220 likes | 364 Views
Network On Demand…. Now !!!! Convergencia Segura. I Jornadas de Comunicaciones de Aragón Mayo 08’ enrique.perez@enterasys.com. Lo que nos viene encima…. (perspectiva de la Red). Incremento exigencias en las comunicaciones (SLA’s)
E N D
Network On Demand…. Now !!!! Convergencia Segura I Jornadas de Comunicaciones de Aragón Mayo 08’ enrique.perez@enterasys.com
Lo que nos viene encima…. (perspectiva de la Red) • Incremento exigencias en las comunicaciones (SLA’s) • De la mesa de reuniones + pizarra-> videoconferencia HD en tiempo real, multi-emplazamiento con aplicaciones Comunicaciones Unificadas. • Multiplicidad de terminales para un mismo servicio / usuarios • Acceso Web, Voz, Videoconferencia -> PDA, PC fijo, laptop, thin client, terminal videoconferencia, tablet PC, smartphone, videowall.…. • Incremento exponencial de terminales Ethernet/IP (NO usuarios) • Sensores de medición, consumo, presencia, producción • Videovigilancia, cartelería digital, megafonía IP , Sistemas de control de accesos físicos, cadenas de producción, telemetría, etc.. • Nuevos protocolos/standars específicos para cada nuevo servicio basado en IP (señalización, routing, etc..) • … y (para rematar) Negocios basados en intercambio / compartición de información • Todos los procesos de negocio / productivos generan, consultan o comparten información (voz, vídeo, datos) que circula en la red interna (LAN).
Las preguntas….. • Mi “equipo” de Comunicaciones -> personas & infraestructuras • Soporta un rápido incremento del número de usuarios ? • Soporta un incremento de tráfico elevado x servicio ? • Prioriza aquellos usuarios / terminales más importantes para el negocio ? • Pude gestionar de manera eficiente todos los servicios emergentes basados en red ? • Cuanto tiempo tardo en soportar / poner disponible un nuevo servicio en red ? • Es transparente al resto de procesos de negocio ? • Dispone de mecanismos de autocontrol / autoregulación en caso de escenarios (terminales/usuarios/flujos de información) no permitidos ? • Se adapta al ritmo del negocio ? • …… Sin tener que recurrir a:
Propuesta de valor • Arquitectura abierta, basada en estandares reconocidos • Detección y Clasificación automática de terminales o de las Aplicaciones / tráfico en red. • Funcionalidades adicionales de Gestión del Tráfico en la red • Control de Acceso a la Red • Infraestructura de Red de Alta Disponibilidad y Alta Capacidad
INTERNET Gestión de Redes por Políticas ATLASPolicy Manager Gestión de Identidad Gestión de SEGURIDAD SNMPv3 VLAN Filtrado tramas QoS Rate limiting NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER
Acceso (bloqueado/no bloquedo) • Asignación VLAN del puerto • Asignación QoS del puerto Control • Análisis de tramas L2/L3/L4 en tiempo real para: • Clasificación dinámica a VLANs • Filtrado de tramas Contención • Análisis de tramas L2/L3/ L4 en tiempo real para: • Clasificación dinámica 802.1p • Clasificación dinámica TOS Calidadde Servicio • Limitación de Ancho de banda de Entrada y/o Salida • por dispositivo, aplicación, puerto,… • Granularidad desde 8K hasta 1Gbps Rate Limit Gestión de Políticas - Redes basadas en políticas • Una política de RED es un conjunto de parámetros de análisis, control y gestión de tráfico, que son aplicadas a cada uno de los usuarios, máquinas o flujos y que determinan el comportamiento de todos los sistemas IT que confluyen en la red P P
© 2008 Enterasys Networks, Inc. All rights reserved. Ejemplo de políticas - Hospital • PACIENTE: • Acceso • Internet WiFi(bandwidth limited) • Prohibido P2P/Gaming • QoS • Low • Seguridad • Acceptable Use Policy • MÉDICO: • ACCESO • Patient Health Records (Aplicación) • Pharmacy (Aplicación) • Medical Database • CDC • Internet via PDA • QoS • Normal • SEGURIDAD • Acceptable Use Policy
INTERNET Políticas de Red dinámicas – Network on Demand !!!!!! • Políticas de red ESTÁTICAS PA PB N etsightPolicy Manager Gestión de Identidad Gestión de SEGURIDAD SNMPv3 NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER Las POLÍTICAS DE USO DE LA RED se centralizan en un único punto desde el que se crean y modifican, para luego ser distribuidas “en caliente” a los equipos. Independientemente del tipo de red o punto físico de acceso – y en función del resultado del proceso de autenticación – la red categoriza y ofrece los servicios IP a cada usuario / terminal que le han sido asignados. PB Política estáticas puertos 1..N PA Política estática puertos N+1..M)
INTERNET Políticas de Red dinámicas – Network onDemand !!!!!! SIN AUTENTICACIÓN PA PB NetsightPolicy Manager X Gestión de Identidad Gestión de SEGURIDAD X NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER Previo al uso de los servicios de Red existe un proceso automático de detección automática del usuario, autenticación, determinación dey asignación de perfil de uso de red… todo de manera transparente al usuario. PA Política A X Política por Defecto
INTERNET Políticas de Red dinámicas – Network on Demand !!!!!! CON AUTENTICACIÓN PA PB NetsightPolicy Manager X Gestión de Identidad Gestión de SEGURIDAD ¿Usuario? 802.1x/WEB/MAC Política PA X PA X NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER • El proceso de autenticación se realiza de manera alternativa o concurrente sobre el mismo punto por diversos métodos: • en base a agente 802.1x • en base a @MAC • vía portal WEB PA Política A X Política por Defecto
INTERNET Filtered Filtered Filtered Filtered Políticas de Red dinámicas – Network on Demand !!!!!! AUTENTICACIÓN PA PB NetsightPolicy Manager X Gestión de Identidad Gestión de SEGURIDAD ¿Usuario? Política PB X PA 802.1x/WEB/MAC X PB NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER PA VoIP Phone Privilege PB Voice VLAN Filtered Logisitic dept. SAP PA Filtered Instant Messaging Data VLAN Política A SAP High Priority Filtered Email Instant Messaging Low Priority Unsupported Protocols & Ports Medium Priority Email VoIP Service PB Unsupported Protocols & Ports Política B MGCP Highest Priority & NOT Rate Limited VoIP Service RTP Highest Priority & Rate Limited MGCP Basic Services (DNS,DHCP,FTP) Low Priority RTP Basic Services (DNS,DHCP,FTP) Low Priority
VPN INTERNET Múltiples tecnologías / redes de conexión • Los usuarios van a utilizan múltiples tecnologías de conexión NetwsightPolicy Manager Gestión de Identidad Gestión de SEGURIDAD NIVEL DE DATACENTER Nivel de Usuario Nivel de Acceso Nivel de Distribución
INTERNET Múltiples puntos físicos de acceso a la red • Una roseta es una puerta de entrada a la red: hay que protegerla NetsightPolicy Manager Gestión de Identidad Gestión de SEGURIDAD NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER
INTERNET Múltiples servicios IP (SLA’s) diferentes x usurio… • Los usuarios y las aplicaciones de red generan un tráfico que es necesario controlar. ATLASPolicy Manager Gestión de Identidad Gestión de SEGURIDAD TELNET SNMP FTP Peer to Peer TFTP NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER
La torre de babel entrópica…. • Mapa de Servicios de Red • Comunicaciones Unificadas • Videoconferencia • Aplicaciones Corporativas 1 • Acceso Internet Policy Management Network Infrastructure • Device and User Identity • End-System Assessment • Authentication • Authorization • Network Policy Assigment End Systems
Portfolio de productos EnterasysLa seguridad en el ADN NETWORK MANAGEMENT LAN EDGE LAN CORE • Dragon Server • NetSight • Console • Policy Manager • Inventory Manager • Automated Security Manager • Router Services Manager NIDS Matrix X-Series Matrix N-Series & E-Series Matrix N-Series & E-Series REMOTE & BRANCH LOCATIONS Standalone Matrix E-Series V-Series Matrix N-Series & E-Series LAN DATA CENTER X-Pedition Standalone Matrix E-Series V-Series Stackable Matrix C-Series VPN Matrix N-Series & E-Series Branch XSR WAN Stackable Matrix C-Series RoamAbout Wireless Regional XSR RoamAbout Wireless Servers NIDS
© 2008 Enterasys Networks, Inc. All rights reserved. Una red alineada con los Procesos de Negocio • Evolución … no revolución • Aproximación de Enterasys • Aportacióninmediata de valor, sin riesgo • Proporcionando los servicios de red con los SLA’s necesarios y lasnecesidades de gestión/administraciónmínimas • Equilibrando el diseño de red, la compatibilidad con estandares a biertos y el diseño de los equiposparaciclos de vida largos • Empecemos con VISIBILIDAD en la red • Quien y quéestácirculandopor la red ? • Dóndeestán los activos (terminales/usuarios) ? • Cuales son los perfiles de uso ? • EvolucionemoshaciaCONTROL & PRIORIZACIÓN • Role-specific • Device-specific • Application-specific • Service-specific
Eficiencia operacional -> mas.. por menos • Método tradicional de cambios de configuración de red • Telnet to switch • Display ACL config file • Highlight ACL text and copy • Paste ACL text into Notepad • Evaluate ACL order and insert new packet filter • Re-order remaining ACLs • Copy text into Notepad • Paste into switch telnet session • Repeat all – FOR EACH SWITCH ON THE NETWORK • Método de cambio de políticas (Enterasys) • Create classification rule in NetSight Policy Manager • Link classification rule to desired user/device/application role(s) • Deploy change to entire network with ONE CLICK 3 minutes 30 minutos © 2008 Enterasys Networks, Inc. All rights reserved.
Eficiencia operacional –> reducción de errores El 80% de los cortes de servicio de la red estánproducidosporcambios de configuración Aproximación tradicional… Gestión de red basada en políticas (perfiles de uso) Versus • Single change • Easily deployed system wide • Easy to back out • Error prone • Time consuming • Not scalable
Secure Networks™An Architectural Approach to Building a Secure Converged Network Advanced Security Applications Intrusion Prevention and Network Access Control Centralized Visibility and Control Management Software Security-Enabled Infrastructure Switches, Routers, Wireless