Transcript Jak zbudowac bezpieczną, wydajną i wielousługową sieć
Bezpieczeństwo styku sieci korporacyjnej
Agenda
Kontrola dostępu do zasobów -
Network Admission Control
Wojciech Muras SEC Cisco Business Partner © 2006 Cisco Systems, Inc. All rights reserved.
1
Agenda
Agenda
ASPEKTY BIZNESOWE DLA NAC PORFOLIO PRODUKTOWE NAC W AKCJI PRZYKŁADY WDROŻEŃ SEC © 2006 Cisco Systems, Inc. All rights reserved.
2
Network Admission Control
Aspekty biznesowe NAC
SEC © 2006 Cisco Systems, Inc. All rights reserved.
3
Dlaczego potrzebujemy NAC? Weryfikujemy ruch tylko na styku z siecią Internet Rezultat?
1. Znamy status partnera na styku z siecią Internet 2. Nie znamy statusu stacji końcowych w sieci LAN – brak mechanizmów weryfikacji
SEC © 2006 Cisco Systems, Inc. All rights reserved.
4
Dlaczego potrzebujemy NAC?
Weryfikujemy status urządzeń w dostępie do sieci LAN Rezultat?
1.
Znamy podatność stacji końcowych na zagrożenia anty-X 2.
Wprowadzamy reguły ruchu wzg statusu stacji
SEC © 2006 Cisco Systems, Inc. All rights reserved.
5
Jak działa NAC? Zadanie NAC: Sprawdź status stacji i przydziel politykę na podstawie przeprowadzonej weryfikacji!!!
WYMUSZA ROZPOZNAJE Rozpoznaje: Użytkowników, urządzenia, role (gość, pracownik, partner, etc.) Sprawdza: Podatność urządzeń na ataki SPRAWDZA Wymusza: Wprowadzenie reguł ruchu Rezultat: Tylko stacje spełniające politykę dopuszczamy do zasobów
© 2006 Cisco Systems, Inc. All rights reserved.
SEC 6
Co sprawdza NAC?
SEC
Zintegrowane rozwiązanie sprawdzające zgodność z polityką oraz zapewniające usługę remediation
•
Skanowanie pod kątem bezpieczeństwa
-
Podatność systemu operacyjnego : wersji hotfixów, wersje, servicepack Obecność systemu antywisowego : wykrycia infekcji wirusów I robaków Audyt sieciowy urządzeń w celu sprawdzenia portów usług i podatności na atak
-
HIPS (CSA) Ochrona stacji przed zagrożeniami Anty-X
•
Kwarantanna sieciowa
Izolacja urządzeń nizgodnych z policy od reszty sieci Identyfikacja urządzeń przekierowanych do kwarantanny na podstawie adresów MAC i IP
•
Naprawa i Update Narzędzia sieciowe pozwalające na doprowadzenie hosta do stanu zgodności (zmniejszenie podatności na ataki i zagrożenia)
© 2006 Cisco Systems, Inc. All rights reserved.
7
Network Admission Control
Portfolio produktowe
SEC © 2006 Cisco Systems, Inc. All rights reserved.
8
NAC – dwie ścieżki produktowe NAC Framework
: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych
Cisco Clean Access
: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC SEC
Host Kontrola Decyzja
© 2006 Cisco Systems, Inc. All rights reserved.
9
NAC Framework – możliwe scenariusze Host Kontrola Decyzja i zapobieganie LAN WAN Użytkownik mobilny Serwer katalogowy Serwer ratunkowy ACS v4.0
Serwer anty wirusowy Inne serwery
10 SEC © 2006 Cisco Systems, Inc. All rights reserved.
NAC – dwie ścieżki produktowe NAC Framework
: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych
Cisco Clean Access
: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC SEC
Host Kontrola Decyzja
© 2006 Cisco Systems, Inc. All rights reserved.
11
Cisco Clean Access – możliwe scenariusze In-band out-of-band VPN
SEC © 2006 Cisco Systems, Inc. All rights reserved.
12
Aktualni Partnerzy Programu http://www.cisco.com/en/US/partners/pr46/nac/partners.html
SEC © 2006 Cisco Systems, Inc. All rights reserved.
13
Network Admission Control
NAC w akcji
SEC © 2006 Cisco Systems, Inc. All rights reserved.
14
Dotychczasowe mechanizmy kontroli Harnaś: “Zainstalowałem niezałatane Windows XP. Mam gigabitowy interfejs sieciowy, mocny procesor i wiele wirusów. W szczycie wygeneruje ruch dochodzący do 600-700Mbit/s, z czego większość będzie próbą zarażenia jak największej liczby innych hostów. Miłego dnia.” Tomek “Witam!” Anna: “Witam!” Harnaś: “Witojcie, To sem ja handlowiec .” Dostęp zezwolony Marek: “Cześć, jestem administratorem ”
© 2006 Cisco Systems, Inc. All rights reserved.
SEC 15
SEC
Właściwe rozwiązanie: Cisco NAC Harnaś: handlowiec Windows 2000 brak Service Packa brak Antywirusa brak łatek Kwarantanna Serwer katalogowy Serwer weryfikujący Serwer ratunkowy
1 1 1 1
Polityka:
1
uwierzytelnienie
1
Windows XP Service Pack 2 CTA 2.0
antywirus łatki
© 2006 Cisco Systems, Inc. All rights reserved.
16
NAC perspektywa użytkownika CTA Popup
SEC
Wystarczy 1 ping/DHCP/ARP do uwierzytelnienia hosta.
© 2006 Cisco Systems, Inc. All rights reserved.
17
Network Admission Control
Przykłady wdrożeń
SEC © 2006 Cisco Systems, Inc. All rights reserved.
18
NAC – wdrożenie w sektorze przemysłowym
-
Cel projektu:
znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej, wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems integracja z istniejącym systemem antywirusowym
F-secure Sposób realizacji Oddziały AV Server ACS 4.0
AAA AAA Portal WWW AAA WAN FR Firmowe centrum danych Korzyści
centralna informacja o statusie urządzeń mechanizm autentykacji i autoryzacji urządzeń rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji SEC © 2006 Cisco Systems, Inc. All rights reserved.
19
NAC – wdrożenie w sektorze telekomunikacyjnym
-
Cel projektu:
znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej, wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems -
Implementacja reguł na styku z siecią komputerową – port Ethernet Sposób realizacji ACS AV PORTAL AAA AAA AAA
-
Korzyści
centralna informacja o statusie urządzeń mechanizm autentykacji i autoryzacji urządzeń rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji SEC © 2006 Cisco Systems, Inc. All rights reserved.
20
Podsumowanie
•Przeniesienie brzegu sieci do stacji końcowych •Spójna polityka dla styku z siecią Internet, WLAN, WAN oraz dostępu z sieci LAN • Niezależność od architektury sieciowej SEC © 2006 Cisco Systems, Inc. All rights reserved.
21
Network Admission Control Pytania… Pytania… Pytania…
SEC CISCO Business Partner
© 2006 Cisco Systems, Inc. All rights reserved.
22