1 / 45

Architektura bezpiecznej sieci w przedsiębiorstwie

Architektura bezpiecznej sieci w przedsiębiorstwie. Jakub Roguski Nortel Networks Polska Sp. z o.o. Niezawodność sieci. Niezawodność komunikacji Łańcuch zdarzeń.

thetis
Download Presentation

Architektura bezpiecznej sieci w przedsiębiorstwie

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o.

  2. Niezawodność sieci

  3. Niezawodność komunikacjiŁańcuch zdarzeń Awaria sieci usunięta, ale wiele aplikacji nadal nie pracuje. Inżynierowie IT rozesłani w różne miejsca w celu potwierdzenia normalnej pracy sieci. Aplikacje client/server czasu rzeczywistego mają poważne problemy Użytkownicy aplikacji WWW zauważają brak odpowiedzi Pierwsze zgłoszenia do helpdesk-u Restart farm serwerów 3s 6s 10s 25s 45s 1m 5m 10m 15m 30m 45m Eskalacja do dyrekcji IT Pierwsze aplikacje zaczynają „wariować” z braku synchronizacji (jak WINS) Firma sparaliżowana, przypadek rozważany na poziomie zarządu STP przebudowane (Root Bridge) przerwane połączenia VOIP Koszty awariiglobalnie $6,5M/godzinę

  4. Rozwiązanie tradycyjneSpanning Tree • Możemy odzyskać pasmo używając PVST/MSTP, ale: • „n” razy większy stopień komplikacji • ręczna dystrybucja obciążenia • rozwiązanie kosztowne i ryzykowne – łatwo o pomyłkę • Spanning Tree blokuje połączenia • 100% nadmiarowościwykorzystywane przez 1% czasu pracy Root Root Root Większa złożoność = większyOPEX Płacić 100% wartości za ubezpieczenie?

  5. Rozwiązanie tradycyjneSpanning Tree • A co, jeśli awarii ulegnie Root Bridge? • nieprzewidywalny czas przebudowy • utrata sesji • Root Bridge zawsze jest pojedynczym punktem awarii w konfiguracjach (rapid) spanning tree. Root Root Root Co z telefonami IP?

  6. Split Multi-Link Trunking (S-MLT) Prostota konfiguracji Kompatybilność z 802.3ad Detekcja sprzętowa Wielokrotnie wyższa efektywność niż Spanning Tree Dystrybucja ruchu w L2 i L3 Współpracuje zarówno z przełącznikami jak i serwerami Wirtualny przełącznik Nortel Split-Multi Link Trunking Klastrowanie przełączników – wysoka dostępność Połączenia rozdyastrybuowane pomiędzy przełącznikami w stosie Połączenia rozdystrybuowane pomiędzy modułami w chassis Połączenia rozdystrybuowane pomiędzy modułami w chassis

  7. Nortel Split Multi-Link TrunkingTopologie • Trójkąt • Pojedynczy klaster w szkielecie, urządzenia brzegowe dołączone do klastra • Kwadrat • Dwie pary przełączników w dwóch klastrach. Szkielet może być skalowany przez dołączanie kolejnych par. • Krata • Każdy przełącznik ma przynajmniej jedno bezpośrednie połączenie z każdym z pozostałych przełączników. Szkielet może być zkalowany przez dołączanie kolejnych par. Trójkąt Kwadrat Krata

  8. Router 2 MAC R1 MAC R2 Router 3 MAC R3 MAC R4 Router 4 MAC R3 MAC R4 Router 1 MAC R1 MAC R2 Przebudowa sieci L3 poniżej 1s!!! S-MLT w L3Routed S-MLT (R-SMLT) + Backup-Master VRRP Jeżeli jeden ruter ulegnie awarii, drugi forwarduje ruch w jego imieniu do chwili rekonwergencji protokołu rutującego. W momencie przywrócenia rutera do pracy, następuje ponowna dystrybucja ruchu na oba urządzenia. Oba rutery w parze forwardują pakiety zgodnie z dystrybucją ruchu S-MLT. RSMLT

  9. Nortel R-SMLT Trywialnie prosta konfiguracja Włączyć R-SMLT Ustawić timery

  10. Nortel S-MLT działa z dowolnym urządzeniem, które obsługuje 802.3ad lub jakąś formę agregacji połączeń. Nortel S-MLTElastyczność konfiguracji Nortel Wireless LAN Security Switch Nortel Switched Firewal Nortel VPN Gateway Klaster szkieletowy Wirtualny przełącznik Serwery Nortel Secure Router Nortel Communication Server

  11. Nortel S-MLT – elastyczność projektowaniaWysoka niezawodność w szkielecie, agregacji i na brzegu + kompatybilność Średni węzeł Duży węzeł Mały węzeł Krytyczny węzeł Małe węzły Campus Warstwa opcjonalna można dodać jeśli trzeba Klaster dystrybucyjny Klaster dystrybucyjny Przełącznik dystrybucyjny Warstwa L3 – scentralizowana lub rozdystrybuowana Kampus Zdwojone centrum przetwarzania danych – terabitowe klastry

  12. Monitorowanie ruchu w sieci - IPFIX

  13. Zapewnia informacje biznesowe: Wykorzystanie aplikacji Wykorzystanie infrastruktury Analiza i zrozumienie wzrostów obciążenia Wsparcie dla audytów i analiz zgodności Codzienna analiza Informowanie o potencjalnych wąskich gardłach z wyprzedzeniem Identyfikacja obcych aplikacji i urządzeń Analiza wydajności aplikacji Zróżnicowanie danych wydajnościowych (dane / głos) Rozwiązanie wpsierające analizy bezpieczeństwa, zgodności i wydajności Przekształca suche statystyki w precyzyjny obraz aplikacji Stanowi składnik systemu wczesnego ostrzegania o wirusach IP Flow Information Export Analiza w czasie rzeczywistym oraz historyczna sesji

  14. Proces pomiaru • Pomiar odbywa się na porcie wejściowym • Punkt obserwacji (interfejs logiczny) • Sposób pomiaru (ERS 8600), częstotliwość eksportu próbek • Możliwość zastosowania filtrów do wstępnej selekcji ruchu do monitorowania • Dla każdego strumienia IP utrzymywany jest zapis, aktualizowany za każdym razem, gdy pojawia się nowy pakiet Procesor Moduł I/O RSP Switch Fabric RSP metering RSP metering pomiar COP Proces pomiarowy Proces eksportujący

  15. Kolektor • Zewnętrzna aplikacja lub urządzenie • Poprzez CLI można zobaczyć surowe dane bezpośrednio na przełączniku • Kolektor może być zintegrowany z aplikacją wizualizującą • Dane są wysyłane z urządzenia sieciowego do kolektora • komunikacja jednokierunkowa • kolektor jest pasywny – odbiera dane wysłane do niego, ale sam nie żąda danych z urządzenia sieciowego Aplikacje Kolektor 1 Kolektor 2 Raportowanie/eksport Pomiar Pomiar Pomiar 8600

  16. Szczegóły strumienia IP Zapis danych strumienia SIP (4 bytes) DIP (4 bytes) IP Protocol ( 1 byte) ChID (2 bytes) (future) Protocol srce port (2 bytes) byte) Protocol dest port (2 bytes) VID (2 bytes) ingress-port ( 2 bytes) Observation point (port/VLAN/ChId) Statystyki Flagi zarządzania wpisem Packet count (4 bytes) Byte count (4 bytes) First timestamp (4/8 bytes) Last timestamp (4/8 bytes) Expired (aged, RST, FIN) In-port-down, Flow denied/ permitted Copied information Template ID TCP flags (1 byte) DSCP (1 byte) MAC SA (6 bytes) MAC DA (6 bytes)

  17. Przetwarzanie strumieni • Kiedy pakiet jest próbkowany, moduł pomiarowy stosuje unikalny identyfikator strumienia, wykorzystujący: • SIP • DIP • Protocol • Source Port • Destination Port • ingress VID • ingress port ID • type of observation point (port or VLAN)

  18. Przetwarzanie strumieni – c.d. • Jeżeli rejestr danego strumienia jeszcze nie istniał, to jest on tworzony. Jeżeli już istniał, to jest aktualizowany. • W rejestrze są zapisywane następujące dane: • adres IP źródłowy, adres IP docelowy, protokół, port żródłowy, port docelowy • niektóre inne pola: DSCP, VID, port wejścia pakietu, typ punktu obserwacji (VLAN/Port) • TCP RST/FIN, jeśli obecne • sygnatury czasowe (początek strumienia, kiedy ostatnio widziany) • statystyki (sumaryczna liczba pakietów, sumaryczna liczba bajtów)

  19. Wykorzystanie IPFIX • Bezpieczeństwo – wykrywanie zagrożeń przed ich zdefiniowaniem • wykrywanie skanowania portów i adresów w celu włamania • wykrywanie aktywności wirusów • wykrywanie nietypowego ruchu • wykrywanie nieautoryzowanych aplikacji (porty TCP) lubużytkowników (adresy IP) • Analiza wykorzystania sieci – przewidywanie i planowanie rozwoju • Jakie aplikacje są wykorzystywane i z jakim natężeniem • Jak układa się wzorzec konwersacji pomiędzy poszczególnymi użytkownikami • Jakie adresy są najbardziej aktywne / najczęściej wykorzystywane • Które serwery generują największy ruch

  20. Kontrola dostępu do LAN

  21. Kontrola dostępuRzeczywiste problemy … i rozmywające się granice przedsiębiorstwa • Nowe rodzaje zagrożeń – wciąż pojawiają się nowe rodzaje zagrożeń, powodujące obniżenie produktywności przedsiębiorstwa i straty finansowe. • Zagrożenia od wewnątrz –użytkownicy mobilni mogą łatwo i nieświadomie wnieść zagrożenie do wnętrza przedsiębiorstwa, omijając systemy zabezpieczeń na styku z Internetem. • Tradycyjne mechanizmy AAA to tylko AAA–autentykacja, autoryzacja i monitorowanie nie dają wymaganego poziomu bezpieczeństwa – nic nie mówią o stanie komputera i oprogramowania. • Nawet zautoryzowani użytkownicy nie są jeszcze „bezpieczni” –wbez dokładnej metody sprawdzenia i wymuszenia właściwego poziomu bezpieczeństwa, nie jest możliwe unikniecie zagtrożeń wewnątrz przedsiębiorstwa.

  22. Jakie są prawdziwe zagrożenia? Duża grupa to ataki od środka 55% przedsiębiorstw zanotowało przynajmniej 1 atak od wewnątrz, wzrost z 39% w 2005 72% przestępstw wewnątrz przedsiębiorstwa załatwionych wewnętrzne, bez udziału wymiaru sprawiedliwości Więcej strat nastąpiło z powodu zagrożeń od wewnątrz niż od zewnątrz

  23. Zagrożenia E-mail / Web-based mail Instant Messaging Internet Postings FTP Peer-to-Peer (KaZaA / Limewire) Chat rooms Załączniki Web

  24. Kto, co, kiedy, jak, dlaczego… a czy jest to bezpieczne????? Rozmywanie się granic przedsiębiorstwaPolityka bezpieczeństwa, a nie topologia, definiuje przedsiębiorstwo

  25. 802.1X/Extensible Authentication Protocol Standard przemysłowy Opcje implementacji: SHSA, MHSA, MHMA, GVLAN, NEAP Secure Network Access Zintegrowane rozwiązanie Nortela Nie wymaga oprogramowania klienckiego Rozszerzone o sprawdzanie stanu stacji roboczej W planach obsługa różnych systemów operacyjnych i przełączników innych firm Platformy dla bezpiecznej mobilności WLAN VPN Gateway VPN Router Podstawowa kontrola: kto i co dołącza się do sieci? Rozszerzenie o sprawdzanie stanu stacji: unikanie infekcji i ataków Wprowadzenie na brzegu sieci autentykacji i wymuszania polityki bezpieczeństwa Stacja robocza Pierwsza linia obrony przed wewnętrznymi atakami

  26. … całościowe rozwiązanie, biorące pod uwagę wszystkie aspekty Identyfikacja problemu Co jest potrzebne? Zunifikowana polityka dostępu Kwarantanna i naprawa Autentykacja i kontrola zgodności Bieżąca analiza zagrożenia Autoryzacja

  27. Nortel Secure Network Access Framework Unified Access Policy Scentralizowana polityka dostępu i zarządzanie dla wszystkich użytkowników i terminali w przedsiębiorstwie Quarantine & Remediation Automatyczna kwarantanna i naprawa Authentication & Device Health Assessment Kontrola dostępu na bazie danych użytkownika, stanu bezpieczeństwa, zgodności z wymogami Ongoing Threat Analysis Ciągłe monitorowanie zgodności terminala z wymogami bezpieczeństwa Authorization Zapewnienie dostępu do właściwej części sieci na bazie statusu użytkownika i terminala

  28. NSNA NSNA Warstwa dostępowa Warstwa dystrybucyjna Szkielet Warstwa usługowa Architektura fizyczna Secure Network Access Switch

  29. Nortel Secure Network Access Autentykacja i sprawdzanie stacji bez dodatkowego softu Serwer autentykacji Podłączenie do przełącznika – Port domyślnie zablokowany 1 Dostęp ograniczony do SNAS 2 3 Przełącznik brzegowy Dane klienta są sprawdzane w serwerze autentykacji 3 2 Secure Network Access Switch Jeżeli logowanie pomyślne, wysyłany jest aplet Java w celu sprawdzenia komputera 4 4 1 6 Sprawdzenie niepomyślne – podłączenie do serwera naprawczego 5 7 Sprawdzenie pomyślne – dołączenie stacji do sieci korporacyjnej 6 Serwer naprawczy 5 SNAS ustawicznie monitoruje PC 7 PC użytkownika Zasoby korporacyjne

  30. Nortel Secure Network Access Switch, Hub, innej firmy Urządzenia sieciowe • Wszystkie urządzenia Nortel Ethernet Switch • Przełączniki Ethernet innych producentów • Hub-y Stacje robocze / terminale • Windows • MAC OS X • Linux • Drukarki • Telefony IP Nortela • Telefony IP innych producentów • Konsole do gier – XBOX, Playstation Nortel ES / ERS

  31. Virus Virus Virus Other Other Other PFW PFW PFW IDS IDS IDS Nortel Tunnel GuardBezpieczny zdalny dostęp – NSNA w WAN • Zapewnia bezpieczeństwo od strony stacji (zarówno SSL jak i IPSec • Sprawdza obecność i działanie wymaganych i zabronionych aplikacji • Decyduje o dostępie do sieci roboczej lub podsieci naprawczej • Otwarte API – współpraca z innymi dostawcami Nortel VPN Gateway Naprawa Naprawa Agent zainstalowany na PC Aplet Java ładowany do PC

  32. SearchNetworking.com: Pozycja rynkowa Network access control GOLD AWARD:Nortel Secure Network AccessThe network access control (NAC) market is broad and diverse, with countless startups competing with industry giants for a share. Our readers selected Secure Network Access fromNortel Networksas the gold winner, citing its ability to block and clean up malware and exploits and its policy-based NAC.

  33. Bezpieczeństwo w sieci bezprzewodowej

  34. Autentykacja i szyfrowanie • Najlepsza implementacja aktualnych standardów • 802.11i/WPA/WPA2 • Szyfrowanie w AP – maksymalna wydajność • Integracja AAA i polityka „per użytkownik” • Ograniczenia typu lokalizacja / czas • Skalowalny model polityki dotyczącej użytkowników Serwer AAA WLAN Security Switch 2300 WLAN Access Point 2300 WSS pośredniczy w autentykacji 802.1x i odciąża serwer AAA w większej części procesu EAP Podczas autentykacji WSS pobiera dane użytkownika z serwera AAA WSS tworzy profil użytkownika i przekazuje innym WSS-om w systemie Polityka dotycząca użytkownika jest realizowana jednakowo w całym systemie WLAN podczas roamingu.

  35. Profil użytkownika Pełne bezpieczeństwo i kontrola Pracownik • Znany ID • Zarządzany terminal Istniejący wpis w RADIUS Autentykacja 802.1X Unikalny profil dla każdego pojedynczego użytkownika Podstawa dla wszystkich polityk obsługi ruchu i bezpieczeństwa Ten sam SSID Spójność Zaufany użytkownik • Znany ID • Dowolny terminal Istniejący wpis w RADIUS Autentykacja przez WWW Gość -Nieznany ID -Dowolny terminal Utworzenie lokalnego wpisu w RADIUS Dostęp dla gościa

  36. AP skanują wszystkie kanały w paśmie 2,4 i 5 GHz Nieautoryzowane urządzenia Detekcja Klasyfikacja Lokalizacja Alarmowanie Izolowanie Nieautoryzowane punkty dostępowe Peer-to-Peer (Ad-hoc) WLAN Security Switch 2300 Nieautoryzowany AP Autoryzowany Laptop Autentykowany Laptop Nieautoryzowany Laptop Zabezpieczenie przed nieautoryzowanymi AP i terminalami Nieautoryzowany AP to zagrożenie ominięcia mechanizmów bezpieczeństwa Zautentykowany laptop stwarza poważne zagrożenie jeżeli bierze udział w komunikacji Peer-to-Peer

  37. Wireless IDS Wbudowany systemWireless Threat Protection WMS 2300 ! • 802.11i lub VPN zapewnia autentykację i poufność danych, ale nie zabezpiecza przed atakami • Wireless IDS zabezpiecza przed atakami na strukturę WLAN • System wbudowany w WMS • Wykrywa i rejestruje zdarzenia i alarmuje administratora • RF jamming i interferencje • Podszywanie się pod adres MAC AP • Łamanie słabych kluczy WEP • Ataki Flood/DoS • Spoofing WSS 23XX Zagrożenie Pracownik

  38. Dostęp do sieci dla gości • Bezpieczny i wygodny dostęp do sieci dla gości i użytkowników tymczasowych • Wygodne narzędzie umożliwia recepcjonistce proste i szybkie generowanie unikalnego identyfikatora i hasła dla każdego gościa • Wpisy automatycznie wygasają i użytkownik jest odcinany od sieci w wyznaczonym czasie • Każdy identyfikator jest powiązany z profilem bezpieczeństwa, generowanym z szablonu • Przypisanie do VLAN-u / podsieci • Kontrola dostepu poprzez ACL • Ograniczenia czasowe • Ograniczenia na lokalizację • Rejestrowanie wykorzystania dostępu • Tunelowanie ruchu gościa • Dołączenie gościa do bramy do Internetu • Blokada wszelkiej komunikacji peer-to-peer wewnątrz VLAN-u Aplikacja generowania identyfikatorów i haseł

  39. Secure Portable Office – bezpieczne wirtualne przedsiębiorstwo

  40. Secure Portable Office Głos, praca grupowa Aplikacje korporacyjne Wykorzystanie pamięci USB do zapewnienia bezpiecznego środowiska pracy nawet na cudzym PC • zabezpieczenie danych • nie pozostawia żadnych śladów na PC Intranet Web-mail Nortel VPN Gateway USB Bezpieczna sesja Zdalny PC

  41. Secure Portable Office Bezpieczeństwo • Tylko autoryzowany użytkownik może skorzystać z zawartości pamięci USB • Tylko pamięć USB może zestawić połączenie – dostęp dla przeglądarki może być zablokowany na NVG • Wszystkie dane są szyfrowane w locie – AES 256 • Wszystkie dane przechodzące przez PC są zaszyfrowane podczas sesji i usuwane z końcem sesji • W przypadku wyjęcia pamięci USB z portu sesja jest kończona a dane usuwane • Możliwość zapewnienia bezpieczeństwa dla PC – skanowanie w poszukiwaniu wirusów, aktywnego firewall itp • Zabezpieczenie danych – wszystkie dane, łącznie z tymi pobranymi podczas sesji, są usuwane z końcem sesji

  42. Secure Portable OfficePodwója autentykacja • Możliwość integracji pamięci USB i smartcard • Tylko właściciel pamięci USB zna PIN; certyfikat zapisany w pamięci autentykuje sesję • Pamięć USB jest zaszyfrowana i autentykowana przez smardcard

  43. Secure Portable OfficeŁatwość użycia • Użytkownik podłącza pamięć USB i loguje się jak w LAN-ie • Single Sign On z USB • Pojawia się menu aplikacji i użytkownik zaczyna pracę – web email, VoIP/praca grupowa, zdalny desktop, dowolne aplikacje, a których korzysta przedsiębiorstwo • VPN Client Mode – użytkownik może też uruchamiać własne aplikacje, zainstalowane na PC – Outlook, LCS, inne • Menu aplikacji zarządzane centralnie z VPN Gateway

More Related