1 / 22

Bezpieczeństwo styku sieci korporacyjnej

Agenda. Bezpieczeństwo styku sieci korporacyjnej. Kontrola dostępu do zasobów - Network Admission Control. Wojciech Muras. Cisco Business Partner. Agenda. Agenda. ASPEKTY BIZNESOWE DLA NAC PORFOLIO PRODUKTOWE NAC W AKCJI PRZYKŁADY WDROŻEŃ. Network Admission Control.

liana
Download Presentation

Bezpieczeństwo styku sieci korporacyjnej

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Agenda Bezpieczeństwo styku sieci korporacyjnej Kontrola dostępu do zasobów - Network Admission Control Wojciech Muras Cisco Business Partner

  2. Agenda Agenda • ASPEKTY BIZNESOWE DLA NAC • PORFOLIO PRODUKTOWE • NAC W AKCJI • PRZYKŁADY WDROŻEŃ

  3. Network Admission Control Aspekty biznesowe NAC

  4. Dlaczego potrzebujemy NAC? Weryfikujemy ruch tylko na styku z siecią Internet Rezultat? 1. Znamy status partnera na styku z siecią Internet 2. Nie znamy statusu stacji końcowych w sieci LAN – brak mechanizmów weryfikacji

  5. Dlaczego potrzebujemy NAC? Weryfikujemy status urządzeń w dostępie do sieci LAN • Rezultat? • Znamy podatność stacji końcowych na zagrożenia anty-X • Wprowadzamy reguły ruchu wzg statusu stacji

  6. Jak działa NAC? Zadanie NAC: Sprawdź status stacji i przydziel politykę na podstawie przeprowadzonej weryfikacji!!! Rozpoznaje: • Użytkowników, urządzenia, role (gość, pracownik, partner, etc.) Sprawdza: • Podatność urządzeń na ataki Wymusza: • Wprowadzenie reguł ruchu ROZPOZNAJE WYMUSZA SPRAWDZA Rezultat: Tylko stacje spełniające politykę dopuszczamy do zasobów

  7. Skanowanie pod kątem bezpieczeństwa Podatność systemuoperacyjnego: wersji hotfixów, wersje, servicepack - Obecność systemuantywisowego : wykrycia infekcji wirusów I robaków - Audyt sieciowy urządzeń w celu sprawdzenia portów usług i podatności na atak HIPS (CSA) Ochrona stacji przed zagrożeniami Anty-X Kwarantanna sieciowa  Izolacja urządzeń nizgodnych z policy od reszty sieci Identyfikacja urządzeń przekierowanych do kwarantanny na podstawie adresów MAC i IP Naprawa i Update Narzędzia sieciowe pozwalające na doprowadzenie hosta do stanu zgodności (zmniejszenie podatności na ataki i zagrożenia) Co sprawdza NAC? Zintegrowane rozwiązanie sprawdzające zgodność z polityką oraz zapewniające usługę remediation

  8. Network Admission Control Portfolio produktowe

  9. NAC – dwie ścieżki produktowe NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC Host Kontrola Decyzja

  10. NAC Framework – możliwe scenariusze Host Kontrola Decyzja i zapobieganie Serwer katalogowy LAN ACS v4.0 Serwer anty wirusowy WAN Inne serwery Serwer ratunkowy Użytkownik mobilny

  11. NAC – dwie ścieżki produktowe NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC Host Kontrola Decyzja

  12. Cisco Clean Access – możliwe scenariusze In-band out-of-band VPN

  13. Aktualni Partnerzy Programuhttp://www.cisco.com/en/US/partners/pr46/nac/partners.html

  14. Network Admission Control NAC w akcji

  15. Dotychczasowe mechanizmy kontroli Harnaś: “Zainstalowałem niezałatane Windows XP. Mam gigabitowy interfejs sieciowy, mocny procesor i wiele wirusów. W szczycie wygeneruje ruch dochodzący do 600-700Mbit/s, z czego większość będzie próbą zarażenia jak największej liczby innych hostów. Miłego dnia.” Tomek“Witam!” Harnaś: “Witojcie, To sem ja - handlowiec.” Dostęp zezwolony Marek: “Cześć, jestem administratorem” Anna: “Witam!”

  16. Właściwe rozwiązanie: Cisco NAC • Polityka: • uwierzytelnienie • Windows XP • Service Pack 2 • CTA 2.0 • antywirus • łatki Harnaś:handlowiec Windows 2000 brak Service Packa brak Antywirusa brak łatek Kwarantanna Serwer katalogowy Serwer ratunkowy Serwer weryfikujący

  17. NAC - perspektywa użytkownika CTA Popup Wystarczy 1 ping/DHCP/ARP do uwierzytelnienia hosta.

  18. Przykłady wdrożeń Network Admission Control

  19. A A A A A A A A A Oddziały AV Server Portal WWW ACS 4.0 WAN FR Firmowe centrum danych NAC – wdrożenie w sektorze przemysłowym • Cel projektu: • - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, • - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej, • wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems • integracja z istniejącym systemem antywirusowym F-secure • Sposób realizacji • Korzyści • -centralna informacja o statusie urządzeń • mechanizm autentykacji i autoryzacji urządzeń • rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji

  20. ACS AV PORTAL A A A A A A A A A NAC – wdrożenie w sektorze telekomunikacyjnym • Cel projektu: • - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, • - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej, • wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems • Implementacja reguł na styku z siecią komputerową – port Ethernet • Sposób realizacji • Korzyści • - centralna informacja o statusie urządzeń • - mechanizm autentykacji i autoryzacji urządzeń • - rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji

  21. Podsumowanie • Przeniesienie brzegu sieci do stacji końcowych • Spójna polityka dla styku z siecią Internet, WLAN, WAN oraz dostępu z sieci LAN • Niezależność od architektury sieciowej

  22. Pytania…Pytania…Pytania… Pytania…Pytania…Pytania… Network Admission Control CISCO Business Partner wojciech.muras@netology.com.pl

More Related