فايل آقاي محمديان
Download
Report
Transcript فايل آقاي محمديان
به نام خدا
Hadi Mohammadian:
• Karnama Rayaneh Network & Security
Technical Manager
• B.Sc in Computer Hardware Engineering
• M.Sc in Computer Architecture
• CCIE Routing & Switching (350-001)
• CCIE Security (350-018)
• Cyberoam Certified Network & Security
Expert (CCNSE)
• Cyberoam Certified Network & Security
Professional (CCNSP)
کنترل دسترس ی به شبکه
)(NAC
رئوس مطالب:
چرا به NACفکر می کنیم ؟
تعریف NACچیست ؟
چهار مولفه اصلی تشکیل دهنده NACکدامند ؟
چه معماری هایی برای NACوجود دارند ؟
رابطه NACو دورکاری
مدیریت امنیت به سمت کاربران در حرکت است
نگرانی های امنیتی موجود در گذشته:
.1بستن راه های نفود بر اساس آدرس IPو یا یک سرویس خاص روی دیواره آتش
.2ایجاد ارتباط امن از راه دور از طریق IPSec VPN
نگرانی های امنیتی آینده:
.1تعیین سیاست های امنیتی بر اساس اینکه چه افرادی و از کجا سعی در برقراری
ارتباط نموده اند
.2ایجاد راهکارهای دسترس ی از راه دور بطوری که تمرکز بر روی کاربران باشد نه شبکه
همانطور که مشخص است راهکارهای امنیتی محیطی نمی
توانند برای همیشه کارساز باشند
ساخت دوباره محیط دفاعی
دفاع بصورت عمیق
مشخص نمودن هویت و سطح
دسترس ی تمام کاربران
استفاده از ( NACکنترل دسترس ی به
شبکه) در LAN
پیاده سازی VLANبرای
جداسازی ترافیک کاربران
استفاده از NACروی VPNبرای کنترل
کاربران خارج شبکه
استفاده از رمزنگاری در سراسر شبکه
یافتن و از میان بردن تهدیدات برای
برقراری یکپارچگی شبکه
اعمال سیاست های امنیتی در نقاط
پایانی ()End-Points
ساخت دوباره محیط دفاعی یعنی ایجاد محیط های دفاعی
مجازی
وجود یک حفره در سرویس
های قابل دسترس ی از بیرون
می تواند یک تهدید جدی
محسوب شود
SSL VPN
mail
dns
web
IPsec VPN
استفاده از VPNبه ایجاد محیط مجازی
برای دفاع کمک می کند
می
NACیک محیط دفاعی در اطراف شبکه ایجاد
کند
در نقاط دسترس ی (،wired ،wireless
)SSL VPN ،IPSecاز NACمی
توان استفاده کرد
SSL VPN
شما چه کس ی هستید ؟
چه اطالعاتی در مورد شما وجود دارد ؟
7
آیا سیستم شما با سیاست های امنیتی سازمان تطابق دارد ؟
تعریف NAC
کنترل دسترس ی به شبکه با تمرکز بر روی کاربر و شرایط آن
دیواره آتش و کنترل دسترس ی
با وجود اینکه کنترل دسترس ی بر عهده دیواره آتش است ،تفاوت آن با NACدر نوع
تصمیم گیری است
شما اجازه دسترس ی
ندارید
اینترنت
9
NACیک دیواره آتش با تفاوت های زیر است
ویژگی های یک دیواره آتش:
.1تصمیم گیری بر اساس IPو ( Portو در برخی موارد نام کاربری)
.2موقعیت قرارگیری :بین دو شبکه
ویژگی های :NAC
.1تصمیم گیری بر اساس نام کاربری ،گروه ،روش دسترس ی ،موقعیت امنیتی دستگاهی
که تقاضای دسترس ی نموده است
.2موقعیت قرارگیری :بین کاربر و شبکه
دیدی که از NACوجود دارد
اینترنت
شبکه سازمان
11
NACدارای چهار مولفه است
تعیین هویت کاربر
کاربران پیش از دسترس ی به شبکه
تعیین هویت می شوند
اطالعات محیطی در تغییر دسترس ی و یا از بین بردن ضعف
ها موثرند
استفاده از اطالعات محیطی به عنوان بخش ی از سیاست های تصمیم گیری
کاربر از کجا آمده ؟
درخواست دسترس ی در چه زمانی
انجام شده ؟
دستگاه کاربر در چه وضعیت امنیتی
ای قرار دارد ؟
کنترل های دسترس ی ( )Access Controlsقابلیت ها را تعریف
کرده و کاربر را محدود می نمایند
کنترل استفاده از منابع شبکه بر اساس سیاست های امنیتی و وضعیت کاربر
اجازه و یا رد درخواست دسترس ی
قرار دادن کاربر در VLANمربوطه
بصورت پویا بر اساس هویت شناسایی
شده
مرتبط نمودن کاربر با منابع دیگر برای از
بین بردن ضعف ها
اعمال ACLهای گوناگون بصورت پویا
مدیریت در NAC
مدیریت سیاست های NACیکی از بخش های با اهمیت در آن است که در بسیاری
از پیاده سازی ها فراموش می شود
مدیریت سیاست ها و گزارش گیری
محصوالت NACزیادی در بازار موجودند ولی...
برخی از آنها یک معماری خوب را معرفی می نمایند
در معماری زیر از واژگان IETFاستفاده شده است .سیسکو ،مایکروسافت و
TCG/TNCواژگانی معادل دارند.
کالینت
سرور
جمع آوری
وضعیت
تائید یا رد
وضعیت امنیتی
تعیین سطوح
دسترس ی
نقطه اجرای
سیاست ها
درخواست دسترس ی
به شبکه
کالینت
سرور
جمع آوری
وضعیت
تائید یا رد
وضعیت امنیتی
تعیین سطوح
دسترس ی
نقطه اجرای سیاست ها
یکی از اجزای شبکه که سیاست ها را اجرا می
کند
نقطه اجرای
سیاست ها
درخواست دسترس ی
به شبکه
Microsoft
NAP
TCG TNC
Cisco NAC
NAP
Enforcement
Server
Policy
Enforcement
Point
Network
Access
Device
جمع کننده وضعیت:
یک نرم افزار که بر روی
دستگاه کاربر اجرا شده و
به جمع آوری اطالعات
برنامه ها و وضعیت
امنیتی سیستم می پردازد.
برای مثال :آیا آنتی
ویروس فعال و به روز
است یا نه ؟
درخواست کننده
دسترس ی به شبکه:
کاربر را به شبکه متصل
می کند ،مثل متقاض ی
802.1x
تعیین هویت کاربر را
انجام داده ،و رابط
انتقال اطالعات جمع
آوری شده است
Microsoft NAP
TCG TNC
Cisco NAC
System
Health
Agent
Integrity
Measurement
Collector
Posture Plug-in
Apps
NAP
Enforcement
Client
Network Access
Requestor
Cisco
Trust
Agent
تائید یا رد وضعیت امنیتی:
اطالعات مربوط به وضعیت سیستم
را از جمع کننده وضعیت دریافت
کرده و آن را با سیاست های
سازمان مقایسه می نماید.
تعیین سطح دسترس ی:
تائید هویت را انجام داده و سپس
سیاست را به نقطه اعمال سیاست
ها منتقل می کند.
Microsoft NAP
TCG TNC
Cisco NAC
System
Health Validator
Integrity
Measurement
Verifier
Policy
Vendor Server
Network
Policy
Server
Network Access
Authority
Access Control
Server
عمل تعیین هویت به چه صورتی انجام می شود ؟
The Internet
Corporate Net
سه انتخاب برای انجام این کار وجود
:دارد
802.1X
Web-based Authentication
Proprietary Client
NAC Policy
Server
802.1xبهترین و امن ترین روش است
Internet
Corporate Net
NAC Policy
Server
کاربر به سوئیچ و یا APمتصل می شود
سوئیچ یا APاز طریق EAPهویت را درخواست می نماید
کاربر از طریق سرور سیاست گذاری مرکزی تعیین هویت می شود
اگر تعیین هویت موفقیت آمیز باشد ،سرور سیاست گذاری ،دستگاهی که در لبه
ارتباط با کاربر قرار دارد را وادار به ارائه دسترس ی مناسب به کاربر می کند
معرفی
IEEE 802.1x به منظور فراهم کردن شناسایی و ارائه اختیارات و امکانات در
شبکه های مبتنی بر استاندارد IEEE 802شامل شبکه های محلی LANو
شبکه های محلی بی سیم Wireless LANپدید آمده است
در اینجا منظور از شناسایی ،روند استخراج و تصدیق هویت کاربری است که
سرویس خاص ی را از شبکه در خواست می کند
در حال حاضر 802.1Xقویترین راهکار برای شناسایی کاربران در شبکه ها می
باشد
احراز هویت 802.1xاز سه قسمت تشکیل شده است
ً
درخواست کننده ی اتصال که معموال نرم افزاری در کامپیوتر سرویس گیرنده است
احرازکننده ی هویت که در شبکه های اترنت سوئیچ ها و در شبکه های محلی بی
سیم همان نقاط دسترس ی) (Access Pointهستند
سرویس دهنده ی احراز هویت که همان سرور سرویس دهنده ی RADIUSاست
مراحل احراز هویت
Supplicant
Authenticator
Authentication Server
EAPOL-Start
EAP-Request/Identity
EAPResponse/Identity
EAP-Request/OTP
EAP-Response/OTP
EAP-Success
RADIUS Access-Request
RADIUS Access-Challenge
RADIUS AccessRequest
RADIUS Access-Accept
Port Authorized
EAPOL-Logoff
Port unauthorized
Credentialهایی که در IEEE 802.1xمورد
استفاده قرار می گیرد
Authentication قبل از
Authenticationبه صورت کامل انجام شده است
ناموفقAuthentication
خالصه ویژگی ها
شناسایی هویت کاربر پیش از اجازه دسترس ی به شبکه سازمان
جلوگیری کامل از دسترس ی های غیر مجاز به شبکه سازمان ( Blockکردن کامل پورت)
استفاده از نام کاربری و رمز عبور و یا Certificateبرای شناسایی هویت
امکان استفاده از ( Dynamic VLanقرارگیری در VLanبا توجه به هویت کاربر ،نه
موقعیت فیزیکی)
امکان استفاده از Dynamic ACL
اعمال سیاست های دسترس ی گوناگون با توجه به سطح کاربر شناسایی شده
قرار دادن کاربران شناسایی نشده در VLanمهمان و یا Blockکردن آنها
تعیین هویت از طریق Webبسیار ساده است
Internet
NAC Policy
Server
Corporate Net
کاربر به شبکه وصل شده و IPدریافت می نماید
کاربر مرورگر خود را باز کرده و نام کاربری و رمزعبور خود را وارد می کند
کاربر از طریق سرور سیاست گذاری مرکزی تعیین هویت می شود
اگر تعیین هویت موفقیت آمیز باشد ،سرور سیاست گذاری ،دستگاهی که در لبه
ارتباط با کاربر قرار دارد را وادار به ارائه دسترس ی مناسب به کاربر می کند
NACو دورکاری
VPN
Concentrator
Internet
Corporate Net
Remote User
NAC Policy
Server
کاربر از طریق اینترنت به دستگاه VPNمتصل می شود
از طریق مرورگر و یا Agentنام کاربری و رمزعبور خور را وارد می کند
کاربر از طریق سرور سیاست گذاری مرکزی تعیین هویت می شود
اگر تعیین هویت موفقیت آمیز باشد ،سرور سیاست گذاری ،دستگاه VPNکه در
لبه ارتباط با کاربر قرار دارد را وادار به ارائه دسترس ی مناسب به کاربر می کند
اطالعات محیطی می تواند موارد گوناگونی را شامل شود
روش دسترس ی ()VPN ،Wireless ،Wired
زمان دسترس ی (و محدودیت های زمانی اعمال شده برای دسترس ی)
سیستم عامل کاربر ()... Mac ،Windows
روش تعیین هویت ( )Certificate ،MAC ،user/pass
آیا وضعیت دستگاه با سیاست های امنیتی سازمان تطابق دارد:
.1
.2
.3
.4
فعال و یا غیر فعال بودن ابزارهای امنیتی ()...A/S ،A/V
به روز بودن ابزارهای امنیتی ()...A/S ،A/V
به روز بودن سیستم عامل (نصب Patchها و )...
وضعیت مناسب بعد از اسکن آسیب پذیری ها
عدم تطابق وضعیت دستگاه با سیاست های امنیتی سازمان باعث رد دسترس ی و قرار
گرفتن دستگاه در وضعیت قرنطینه می شود
خالصه ویژگی ها:
شناسایی هویت کاربر پیش از اجازه دسترس ی به شبکه
امکان استفاده از Dynamic VLan
امکان استفاده از Dynamic ACLs
اعمال سیاست های دسترس ی گوناگون با توجه به سطح کاربر شناسایی شده
قرار دادن کاربران شناسایی نشده در VLanمهمان و یا Blockکردن آنها
جلوگیری از گسترش تهدیدات کاربران و دستگاه های غیرمجاز در شبکه شما
اعمال سیاست های امنیتی سازمان روی تمامی کاربران و دستگاه هایی که خواستار
دسترس ی به شبکه هستند
بهره جویی از داشته های امنیتی موجود مانند برنامه های آنتی ویروس ,ضد جاسوس
افزارها و مدیریت وصله های امنیتی و دیگر برنامه های امنیتی سازگار با NACبه
طوری که کاربران ناگزیر به استفاده از این برنامه ها در آخرین وضعیت بروز رسانی
می شوند
با تشکر