Управление сетевым доступом для корпоративных и...

© 2011 Cisco and/or its affiliates. All rights reserved. 1 © 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo 2012

Управление сетевым доступом для корпоративных и персональных устройств Владимир Илибман Технический консультант

© 2011 Cisco and/or its affiliates. All rights reserved. 2

Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.

Как получить подарок:

•  внимательно слушать лекции по технологиям Cisco

•  посещать демонстрации, включенные в основную программу

•  пройти тесты на проверку знаний

Тесты будут открыты:

с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua


“УМНАЯ” ТЕХНИКА c Ethernet

интерфейсом

РОСТ ПЕРСОНАЛЬНЫХ

УСТРОЙСТ

БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ

БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ

К 2015 году 15 миллиардов устройств будут подключаться к сети

На каждого пользователя приходится 3–4 устройства

40 % сотрудников приносят свои собственные устройства на работу


Как управлять доступом в сеть? Кто должен иметь доступ ? К каким ресурсам?


“Кто” и “Что” находится в моей сети?

Куда могут иметь доступ пользователи/устройства?

Централизованное управление и масштабируемость

Центр обработки данных

Интранет Интернет Зоны безопасности

Инфраструктура с контролем идентификации

и учетом контекста

IP-устройства

Удаленный пользователь, подключенный

по VPN

Пользователь беспроводной сети / гость

Сотрудник Клиент

виртуальной машины

Использование существующей инфраструктуры

Эффективное управление

Контроль доступа

Прозрачная идентификация


Безопасность, ориентированная на идентификацию и контекст

КОГДА ЧТО

ГДЕ

КАК КТО

Идентификация

Атрибуты политики безопасности

Система управления доступом Cisco ISE

Политика безопасности

Пользователи и устройства

Динамическая политика Применение

УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ

МОНИТОРИНГ И ОТЧЕТНОСТЬ

РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ


Управление доступом на основе

политик

Реализация политик

Идентификация пользователя и устройства

Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN

Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE) Система политик доступа на основе идентификации

Агент NAC Web-агент

AnyConnect или встроенный в ОС клиент

Клиент 802.1x

Бесплатные клиенты


Сервисы

Технологии реализации политик

Протоколы и стандарты

ACL

802.1X

Гостевой доступ и

BYOD

MAB

WebAuth

Политика

Security Group ACL

VLAN

Оценка состояния

(NAC)

Профилирование устройств AAA

Radius 802.1X-REV

MacSec (802.1AE)

Security Group Tagging и SXP


ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ 802.1X

NAC АГЕНТ

WebAuth

Маша Петрова Федор Калязин

Шлюз камеры видеонаблюдения

Вася Пупкин Личный iPad

Сотрудник, служба маркетинга Служебный десктоп

Гость Беспроводная сеть MacBook Air

Автономный ресурс Консультант Центральный офис, отдел стратегий Служебный нетбук

Собственность гостя Беспроводный центральный офис

Сотрудник, Контрактник или Гость ? Роль в организации ? Дополнительные атрибуты из внешнего каталога ?

ИДЕНТИФИКАЦИЯ УСТРОЙСТВА

MAC

802.1x

Профилирован

Тип и класс устройства ? Корпоративное или персональное ?

Соответствие политике ?

Интеграция сервисов идентификации и контроля доступа. Решение Cisco ISE. http://www.ciscoexpo.ru/expo2011/downloads/materials/security/voilibma_ISE_expo.pdf


Принтеры

Факсы/МФУ

IP телефоны

IP камеры

Беспроводные APs

Управляемые UPS

Хабы

Платежные терминалы и кассы

Медицинское оборудоваие

Сигнализация

Станции видеоконференцийи

Турникеты

Системы жизнеобеспечения

Торговые машины

. . . и многое другое

Кофеварки


Набор для подключения к сети Интернет* новый мир к@фе !  Модель IMPRESSA F90 первая совместимая с Интернетом бытовая кофемашина для приготовления эспрессо благодаря запатентованному комплекту Internet Connectivity©.

!  С помощью набора для подключения Вы можете связать свою машину с персональным компьютером и с сетью Интернет.

!  Запрограммируйте на компьютере ваши любимые рецепты и загрузите их в кофе-машину.


•  Одно устройств Добавляем вручную

•  Множество устройств

LDAP импорт • 

Импорт файлов


Профилирование обеспечивает возможность автоматической классификации устройства

• Обнаружение и классификация основаны на цифровых отпечатках устройств

• Дополнительные преимущества профилирования Наблюдаемость: Взгляд на то, что находится в вашей сети

• Профилирование основано на эвристике Выбирается “наилучшее” предположение • Профилирование дополняет идентификацию по MAC-адресам или 802.1x

DHCP RADIUS SNMP

Profiling Attribute Sources NETFLOW HTTP

DNS


Device&Profile Unique&A1ributes Probes&Used Collec7on&Method Cisco&IP&Phone OUI RADIUS RADIUS&Authen7ca7on

CDP SNMP&Query Triggered&by&RADIUS&Start IP&Camera OUI RADIUS RADIUS&Authen7ca7on

CDP SNMP&Query Triggered&by&RADIUS&Start Printer OUI RADIUS RADIUS&Authen7ca7on

DHCP&Class&Iden7fier DHCP IP&Helper&from&local&L3&switch&SVI POS&Sta7on&&(sta7c&IP)

MAC&Address RADIUS&(MAC&Address&discovery)

RADIUS&Authen7ca7on

ARP&Cache&for&MAC&to&IP&mapping SNMP&Query Triggered&by&RADIUS&Start DNS&name DNS Triggered&by&IP&Discovery

Apple&iPad/iPhone

OUI RADIUS RADIUS&Authen7ca7on

Browser&User&Agent HTTP Authoriza7on&Policy&posture&redirect&to&central&Policy&Service&node&cluster

DHCP&Class&Iden7fier&+&MAC&to&IP&mapping

DHCP IP&Helper&from&local&L3&switch&SVI

Device&X MAC&Address RADIUS&(MAC&Address&discovery)

RADIUS&Authen7ca7on

Requested&IP&Address&for&MAC&to&IP&mapping

DHCP RSPAN&of&DHCP&Server&ports&to&local&Policy&Service&node

Op7onal&to&acquire&ARP&Cache&for&MAC&to&IP&mapping

SNMP&Query Triggered&by&RADIUS&Start

Port&#&traffic&to&Des7na7on&IP NetFlow NetFlow&export&from&Distribu7on&6500&switch&to&central&Policy&Service&node


Интегрированное профилирование: прозрачность и масштабируемость Сетевая инфраструктура обеспечивает локальную функцию распознавания устройств

Данные контекста передаются через RADIUS в ISE

Активное сканирование: повышенная точность ISE расширяет пассивную телеметрию сети данными активной телеметрии оконечных устройств

Web-лента обновлений профилей устройств*

Вендоры и партнеры будут предоставлять обновления для новых устройств

ISE автоматически получает пакеты обновлений через CCO

Web-лента данных об устройствах

* запланировано на осень 2012 г.

Активное сканирование

оконечных устройств

ISE

Сенсор устройств Cisco

Сенсор устройств (функция сети)

Новый функционал


Политика для личного iPad

[ограниченный доступ]

Точка доступа Политика для принтера

[поместить в VLAN X]

Автоматическая классификация устройств с использованием инфраструктуры Cisco

Принтер Личный iPad ISE

CDP LLDP DHCP

MAC-адрес

CDP LLDP DHCP

MAC-адрес

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей

ПОЛИТИКА

Точка доступа

Собираем данные об устройстве распределено – анализируем централизованно на Cisco ISE

Решение


•  IOS Sensor:

- Агрегирует и передает информацию профилирования через протокол RADIUS между коммутатором и ISE

- Преимущества: улучшенная масштабируемость

•  Функциональность: 1.  IOS коммутаторы собирают DHCP, LLDP и CDP данные. 2.  Данные высылаются на ISE как cisco-av-pairs в RADIUS Accounting. 3.  ISE Profiler извлекает данные DHCP, LLDP и CDP и использует их для профилирования.

-  Совместимость: -  Поддерживается на IOS 15.0(1)SE1 для Cat 3K -  Поддерживается на IOS 15.1(1)SG для Cat 4K -  Поддерживается на WLC 7.2 MR1 release - DHCP data only. -  Требуется версия ISE 1.1 и выше


Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру детектировать новые устройства с помощью сканирования сети и классифицировать конечные устройства, основываясь на детектировании операционной системе


Что= ? Кто= Сотрудник

Права доступа= Авторизация •  Employee_PC Set VLAN = 20 (Полный доступ) •  Employee_iPAD Set VLAN = 30 (Только Интернет)


Где находится BYOD ?

Управляемые устройства

Неуправляемые устройства

Управляемые пользователи

“Неуправляемые” пользователи

Гости

BYOD


Среда требует жесткого контроля

Только устройства компании.

Ограниченный

Базовый сервис и удобный доступ

Выход в Интернет для неуправляемых

устройств

Базовый

Разные права доступа +

автоматизация

Автоматическая конфигурация устройства. VPN

Расширенный

Корпор. приложений +

корпор. контроль

Compliance – MDM, шифрование, PIN

Lock…

Передовой


Я знаю тебя, но докажи что ты используешь корпоративное устройство

•  Идентификация пользователя… •  Логин/пароль (802.1X или WebAuth) •  Пользовательский сертификат (802.1X)

•  “Идентичность” устройства … •  MAC адрес? •  Машинный сертификат (802.1X)

•  Как я могу связать это в единой политике?

Пользователь Устройство + =

Политика доступа

Корпоративное устройство ?

00:11:22:AA:BB:CC

ID

Насколько достоверна информация?

Корпоративный пользователь

Привет, я Маша, мой пароль

*******

ID

ОГРАНИЧЕННЫЙ BYOD


Машинный сертификат является достаточно надежным методом идентификации, но секретный ключ и сертификат технически возможно продублировать"

Поэтому можно дополнительно проверять: •  MAC-адрес соответствует адресу в сертификате

•  MAC-адрес находится в корпоративном WhiteList

•  Тип устройства соответствует корпоративному (профилирование в ISE)

•  В реестре и файловой системе устройства находятся корпоративные метки (NAC функционал ISE)


•  Позволяет коррелировать машинную и пользовательскую аутентификации

•  Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса

•  Позволяет легче использовать результат проверки в политике ISE

New


Вовлечение конечного пользователя в управление

Снижение нагрузки на ИТ-персонал

Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту

Снижение нагрузки на службу технической поддержки

Простой, интуитивно понятный интерфейс пользователя

Модель самообслуживания

Портал регистрации устройств пользователя, портал для приглашения гостей


Гостевые политики

Гости и сотрудники с

персональными устройствами

Web-аутентификация

Беспроводный или проводной доступ

Доступ только к Интернету

Выделение ресурсов: Создание гостевых учетных записей на спонсорском

портале либо использование AD

Обратить внимание: Необходимо периодически вводить веб-логин. Возможны злоупотребления со стороны

сотрудников

Управление: Записи создают

администраторы или сами сотрудники (права определяются в AD).

Отчет: по всем аспектам гостевых

учетных записей

Интернет ISE

БАЗОВЫЙ СЦЕНАРИЙ


Автоматизация подключения и эффективное управление

Wireless LAN контроллер

Ресурсы Компании

Интернет-доступ

ISE

SSID

Персональное устройство

Устройство компании

Сотрудница Маша

Политика

•  Возможность саморегистрации персональных устройств •  Надежная идентификация устройств по сертификатам •  Поддержка подключения изнутри и снаружи сети •  Дифференциация доступом на основе информации из AD/LDAP •  Единая политика доступа привязанная к бизнес-правилам

РАСШИРЕННЫЙ СЦЕНАРИЙ


Разные типы локального и удаленного доступа + Автоматизация настройки

NCS Prime

WLAN Controller

Wired Network Devices

Cisco Catalyst Switches

Проводной доступ Беспроводный доступ

ISE

Удаленный доступ

Cisco ASA

CSM / ASDM

AD/LDAP (External ID/ Attribute Store)


Для управления доступом персональных устройств

Автоматическая конфигурация сапликанта 802.1x на поддерживаемых платформах

Портал регистрации устройств

Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатов

Выдача сертификатов с дополнительными атрибутами

Ведение “черного” списка и переинициализация устройств

ISE 1.1.1


•  Позволяет сотрудниками зарегистрировать и настроить их личные устройства

•  Регистрация устройства •  Device ID (MAC адрес) определяется автоматически

•  Автозапуск утилиты для настройки сапликанта 802.1x и получения сертификатов на устройстве

•  Ограничение количества устройств на сотрудника

•  Возможность удалить/заблокировать утерянное устройство

New


Access Point

ISE

Маша User Name = Mary Password = *******

1

Мария подключается к корпоративной SSID вводя доменный логин и пароль

(протокол EAP-MSCHAP)

3 Регистрация устройства Настройка сертификатов Конфигурация сапликанта Мария подключается к SSID

Secure с помощью сертификата (протокол EAP-TLS)

2 Проиходит веб-

редирект на портал регистрации 2

Secure

SSID’s

Персональный iPad

Wireless LAN Controller

AD/LDAP


Access Point

ISE

Маша

Персональный iPad

1

Мария подключается к Open SSID

Secure

Open

SSID’s

3

1.  Регистрация устройства 2.  Настройка сертификатов 3.  Конфигурация

сапликанта 4.  Переподключение к SSID

Secure по сертификату (протокол EAP-TLS)

Wireless LAN Controller

AD/LDAP

User Name = Mary Password = *******

2 Перенаправление на гостевой портал 2


Поддерживаемые устройства •  Настройка сапликанта 802.1x

(PEAP, TLS) на большинстве устройств:

•  Windows – XP, Vista & 7 •  MAC – OS X 10.6 & 10.7 •  iOS – iPhone 3G, 3GS, 4 и 4S, iPad •  Android – 2.2 и выше

•  Автоматизация получения сертификатов, включая дополнительные атрибуты username, MAC, UDID, IMEI

Apple iOS OTA регистрация

Помощник для Android из Google Marketplace

Утилита для Windows & MacOS


•  Позволяет пользователю видеть список своих устройств

•  Позволяет добавлять/удалять и вносить в черный список

•  Делает возможным ручное добавление персональных устройств без настройки сапликанта

•  Портал изначально поддерживает русский язык


•  Функции самостоятельного управления

•  Add - Создание записи для персонального устройства

•  Edit – Позволяет сотруднику персонализировать описание устройства

•  Delete – Удаляет устройство из списка

•  Lost? (Blacklist) – Мгновенно блокирует устройство с уведомлением (Change of Authorization)

•  Reinstate – Позволяет заново активировать устройство

New


User Results Registered BYOD

New


Экосистема MDM

Wired or Wireless

Cisco Catalyst Switches

Window or OS X Computers

Cisco WLAN Controller

ISE MDM

Manager

Smartphones including iOS or Android Devices

Wireless

AD/LDAP

User X User Y

?

ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ

•  Экосистема делает возможным выбор решения заказчиком

Функционал:

•  API для интеграции с MDM

•  Использование в политике ISE информации от MDM о мобильном устройстве

•  Инициация действий с уcтройством через интерфейс ISE

* Scheduled for Fall 2012


•  ISE через MDM API, может проверять Общее соответствие устройства политике ( Compliant или не-Compliant ) -или- •  Есть ли шифрование диска •  Pin lock •  Наличие джейлбрейка •  ….

•  После подключения в сеть делается периодический опрос системы MDM о соответствии пользовательских устройств.

-  Если результат проверки негативный – устройство принудительно отключается от сети


•  Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере

•  Производится через Портал Мои устройства Endpoints Directory в ISE

•  Редактировать •  Переинициал. •  Потерян? •  Удалить •  Полная очистка •  Корпор. очистка •  PIN Lock

Опции


Управление мобильными устройствами

Управление приложениями и

образами

Инвентаризация

Бэкап

Классификация/ Профилирование Регистрация

Безопасный сетевой доступ (Wireless, Wired, VPN)

Управление сетевым доступом на основе

контекста

Настройка сертификатов и саппликанта .1x

Network Policy Enforcement

Соответствие политике

(Jailbreak, Pin Lock, etc.)

Защита от утечек информации

(шифрование, очистка)

ISE MDM

Enterprise App Policy

Встроенный в ISE функционал •  Profiling •  Authentication •  Policy Enforcement •  etc.

ISE 1.0 & 1.1

Встроенный в ISE функционал •  Enrollment/Registration •  Self-Enroll Portal •  Certificate Enrollment •  Blacklisting

ISE 1.1.1 (Jul ‘12)

ISE – MDM API •  Дополнительная информация и проверки от MDM •  Очистка данных

ISE 1.2 (Winter ‘12)


Примечание. Расширенная лицензия не включает базовую

Платформы устройства

Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство

Базовая лицензия ISE

Авторизованы ли мои оконечные устройства?

•  Аутентификация / авторизация

•  Гостевой доступ •  Политики шифрования

MacSec

•  Все базовые сервисы •  Все расширенные сервисы

•  Только для беспроводных устройств

Лицензия ISE для беспроводного

доступа

Бессрочное лицензирование

Расширенная лицензия ISE

•  Профилирование устройств •  Оценка состояния узла •  Доступ для групп безопасности

•  Новый BYOD функционал

Лицензирование на срок 3 года / 5 лет Лицензирование на срок 3/5 лет

Соответствуют ли мои устройства нормативным требованиям? Базовая + Расширенная


Замена оборудования в Киеве в течение 4-х часов. По Украине – следующий рабочий день

Круглосуточный Центр техподдержки (бесплатный номер 0-800-301-20-90, с 10 до 16 часов – русскоязычная поддержка)

Обновление сигнатур, апдейты и апгрейды IOS

Cisco.com Доступ к информациионным ресурсам и обучению


ACS

Identity Services Engine

NAC Guest NAC Profiler NAC Manager NAC Server

•  Выпускаемое оборудование допускает программное обновление (1121/3315/3355/3395)

•  Программа миграции для старого оборудования с большими скидками •  Программа миграции для всех лицензий на программное обеспечение •  Имеются инструментальные средства для миграции данных и конфигураций*

* Будет реализовано в последующих выпусках

Существующие инвестиции защищены


www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba

Безопасное включаем и управляем

персональными устройствами

Профилирование и классификация устройств

Строим политики с учетом того “ЧТО” включается в сеть”

«BYOD – принеси свое собственное устройство»

Cisco ISE

Управляем доступом в сеть на основе

политик безопасности


SXP

Nexus® 7K, 5K and 2K

Switch

Data Center

Cisco®

Catalyst® Switch

Cisco ISE

Wireless user

Campus Network Wired

user Cat 6K

Egress Enforcement

MACsec

Profiler Posture Guest Services RADIUS

Ingress Enforcement

Ingress Enforcement

Cisco®

Wireless Controller

Site-to-Site VPN user WAN

ISR G2 with integrated switch

ASR1K

SXP

AnyConnect

Named ACLs dVLAN

dACLs / Named ACLs dVLAN

SGACLs


Thank you.

Управление сетевым доступом для корпоративных и...

Technology

Transcript of Управление сетевым доступом для корпоративных и...