Управление сетевым доступом для корпоративных и...
-
Upload
cisco-russia -
Category
Technology
-
view
716 -
download
5
description
Transcript of Управление сетевым доступом для корпоративных и...
© 2011 Cisco and/or its affiliates. All rights reserved. 1 © 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo 2012
Управление сетевым доступом для корпоративных и персональных устройств Владимир Илибман Технический консультант
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 3
“УМНАЯ” ТЕХНИКА c Ethernet
интерфейсом
РОСТ ПЕРСОНАЛЬНЫХ
УСТРОЙСТ
БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ
БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ
К 2015 году 15 миллиардов устройств будут подключаться к сети
На каждого пользователя приходится 3–4 устройства
40 % сотрудников приносят свои собственные устройства на работу
© 2011 Cisco and/or its affiliates. All rights reserved. 4
Как управлять доступом в сеть? Кто должен иметь доступ ? К каким ресурсам?
© 2011 Cisco and/or its affiliates. All rights reserved. 5
“Кто” и “Что” находится в моей сети?
Куда могут иметь доступ пользователи/устройства?
Централизованное управление и масштабируемость
Центр обработки данных
Интранет Интернет Зоны безопасности
Инфраструктура с контролем идентификации
и учетом контекста
IP-устройства
Удаленный пользователь, подключенный
по VPN
Пользователь беспроводной сети / гость
Сотрудник Клиент
виртуальной машины
Использование существующей инфраструктуры
Эффективное управление
Контроль доступа
Прозрачная идентификация
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Безопасность, ориентированная на идентификацию и контекст
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
Атрибуты политики безопасности
Система управления доступом Cisco ISE
Политика безопасности
Пользователи и устройства
Динамическая политика Применение
УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ
© 2011 Cisco and/or its affiliates. All rights reserved. 7
Управление доступом на основе
политик
Реализация политик
Идентификация пользователя и устройства
Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE) Система политик доступа на основе идентификации
Агент NAC Web-агент
AnyConnect или встроенный в ОС клиент
Клиент 802.1x
Бесплатные клиенты
© 2011 Cisco and/or its affiliates. All rights reserved. 8
Сервисы
Технологии реализации политик
Протоколы и стандарты
ACL
802.1X
Гостевой доступ и
BYOD
MAB
WebAuth
Политика
Security Group ACL
VLAN
Оценка состояния
(NAC)
Профилирование устройств AAA
Radius 802.1X-REV
MacSec (802.1AE)
Security Group Tagging и SXP
© 2011 Cisco and/or its affiliates. All rights reserved. 9
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ 802.1X
NAC АГЕНТ
WebAuth
Маша Петрова Федор Калязин
Шлюз камеры видеонаблюдения
Вася Пупкин Личный iPad
Сотрудник, служба маркетинга Служебный десктоп
Гость Беспроводная сеть MacBook Air
Автономный ресурс Консультант Центральный офис, отдел стратегий Служебный нетбук
Собственность гостя Беспроводный центральный офис
Сотрудник, Контрактник или Гость ? Роль в организации ? Дополнительные атрибуты из внешнего каталога ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
MAC
802.1x
Профилирован
Тип и класс устройства ? Корпоративное или персональное ?
Соответствие политике ?
Интеграция сервисов идентификации и контроля доступа. Решение Cisco ISE. http://www.ciscoexpo.ru/expo2011/downloads/materials/security/voilibma_ISE_expo.pdf
© 2011 Cisco and/or its affiliates. All rights reserved. 10
© 2011 Cisco and/or its affiliates. All rights reserved. 11
Принтеры
Факсы/МФУ
IP телефоны
IP камеры
Беспроводные APs
Управляемые UPS
Хабы
Платежные терминалы и кассы
Медицинское оборудоваие
Сигнализация
Станции видеоконференцийи
Турникеты
Системы жизнеобеспечения
Торговые машины
. . . и многое другое
Кофеварки
© 2011 Cisco and/or its affiliates. All rights reserved. 12
Набор для подключения к сети Интернет* новый мир к@фе ! Модель IMPRESSA F90 первая совместимая с Интернетом бытовая кофемашина для приготовления эспрессо благодаря запатентованному комплекту Internet Connectivity©.
! С помощью набора для подключения Вы можете связать свою машину с персональным компьютером и с сетью Интернет.
! Запрограммируйте на компьютере ваши любимые рецепты и загрузите их в кофе-машину.
© 2011 Cisco and/or its affiliates. All rights reserved. 13
• Одно устройств Добавляем вручную
• Множество устройств
LDAP импорт •
Импорт файлов
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Профилирование обеспечивает возможность автоматической классификации устройства
• Обнаружение и классификация основаны на цифровых отпечатках устройств
• Дополнительные преимущества профилирования Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике Выбирается “наилучшее” предположение • Профилирование дополняет идентификацию по MAC-адресам или 802.1x
DHCP RADIUS SNMP
Profiling Attribute Sources NETFLOW HTTP
DNS
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Device&Profile Unique&A1ributes Probes&Used Collec7on&Method Cisco&IP&Phone OUI RADIUS RADIUS&Authen7ca7on
CDP SNMP&Query Triggered&by&RADIUS&Start IP&Camera OUI RADIUS RADIUS&Authen7ca7on
CDP SNMP&Query Triggered&by&RADIUS&Start Printer OUI RADIUS RADIUS&Authen7ca7on
DHCP&Class&Iden7fier DHCP IP&Helper&from&local&L3&switch&SVI POS&Sta7on&&(sta7c&IP)
MAC&Address RADIUS&(MAC&Address&discovery)
RADIUS&Authen7ca7on
ARP&Cache&for&MAC&to&IP&mapping SNMP&Query Triggered&by&RADIUS&Start DNS&name DNS Triggered&by&IP&Discovery
Apple&iPad/iPhone
OUI RADIUS RADIUS&Authen7ca7on
Browser&User&Agent HTTP Authoriza7on&Policy&posture&redirect&to¢ral&Policy&Service&node&cluster
DHCP&Class&Iden7fier&+&MAC&to&IP&mapping
DHCP IP&Helper&from&local&L3&switch&SVI
Device&X MAC&Address RADIUS&(MAC&Address&discovery)
RADIUS&Authen7ca7on
Requested&IP&Address&for&MAC&to&IP&mapping
DHCP RSPAN&of&DHCP&Server&ports&to&local&Policy&Service&node
Op7onal&to&acquire&ARP&Cache&for&MAC&to&IP&mapping
SNMP&Query Triggered&by&RADIUS&Start
Port&#&traffic&to&Des7na7on&IP NetFlow NetFlow&export&from&Distribu7on&6500&switch&to¢ral&Policy&Service&node
© 2011 Cisco and/or its affiliates. All rights reserved. 16
© 2011 Cisco and/or its affiliates. All rights reserved. 17
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Интегрированное профилирование: прозрачность и масштабируемость Сетевая инфраструктура обеспечивает локальную функцию распознавания устройств
Данные контекста передаются через RADIUS в ISE
Активное сканирование: повышенная точность ISE расширяет пассивную телеметрию сети данными активной телеметрии оконечных устройств
Web-лента обновлений профилей устройств*
Вендоры и партнеры будут предоставлять обновления для новых устройств
ISE автоматически получает пакеты обновлений через CCO
Web-лента данных об устройствах
* запланировано на осень 2012 г.
Активное сканирование
оконечных устройств
ISE
Сенсор устройств Cisco
Сенсор устройств (функция сети)
Новый функционал
© 2011 Cisco and/or its affiliates. All rights reserved. 19
Политика для личного iPad
[ограниченный доступ]
Точка доступа Политика для принтера
[поместить в VLAN X]
Автоматическая классификация устройств с использованием инфраструктуры Cisco
Принтер Личный iPad ISE
CDP LLDP DHCP
MAC-адрес
CDP LLDP DHCP
MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
ПОЛИТИКА
Точка доступа
Собираем данные об устройстве распределено – анализируем централизованно на Cisco ISE
Решение
© 2011 Cisco and/or its affiliates. All rights reserved. 20
• IOS Sensor:
- Агрегирует и передает информацию профилирования через протокол RADIUS между коммутатором и ISE
- Преимущества: улучшенная масштабируемость
• Функциональность: 1. IOS коммутаторы собирают DHCP, LLDP и CDP данные. 2. Данные высылаются на ISE как cisco-av-pairs в RADIUS Accounting. 3. ISE Profiler извлекает данные DHCP, LLDP и CDP и использует их для профилирования.
- Совместимость: - Поддерживается на IOS 15.0(1)SE1 для Cat 3K - Поддерживается на IOS 15.1(1)SG для Cat 4K - Поддерживается на WLC 7.2 MR1 release - DHCP data only. - Требуется версия ISE 1.1 и выше
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру детектировать новые устройства с помощью сканирования сети и классифицировать конечные устройства, основываясь на детектировании операционной системе
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Что= ? Кто= Сотрудник
Права доступа= Авторизация • Employee_PC Set VLAN = 20 (Полный доступ) • Employee_iPAD Set VLAN = 30 (Только Интернет)
© 2011 Cisco and/or its affiliates. All rights reserved. 23
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Где находится BYOD ?
Управляемые устройства
Неуправляемые устройства
Управляемые пользователи
“Неуправляемые” пользователи
Гости
BYOD
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Среда требует жесткого контроля
Только устройства компании.
Ограниченный
Базовый сервис и удобный доступ
Выход в Интернет для неуправляемых
устройств
Базовый
Разные права доступа +
автоматизация
Автоматическая конфигурация устройства. VPN
Расширенный
Корпор. приложений +
корпор. контроль
Compliance – MDM, шифрование, PIN
Lock…
Передовой
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Я знаю тебя, но докажи что ты используешь корпоративное устройство
• Идентификация пользователя… • Логин/пароль (802.1X или WebAuth) • Пользовательский сертификат (802.1X)
• “Идентичность” устройства … • MAC адрес? • Машинный сертификат (802.1X)
• Как я могу связать это в единой политике?
Пользователь Устройство + =
Политика доступа
Корпоративное устройство ?
00:11:22:AA:BB:CC
ID
Насколько достоверна информация?
Корпоративный пользователь
Привет, я Маша, мой пароль
*******
ID
ОГРАНИЧЕННЫЙ BYOD
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Машинный сертификат является достаточно надежным методом идентификации, но секретный ключ и сертификат технически возможно продублировать"
Поэтому можно дополнительно проверять: • MAC-адрес соответствует адресу в сертификате
• MAC-адрес находится в корпоративном WhiteList
• Тип устройства соответствует корпоративному (профилирование в ISE)
• В реестре и файловой системе устройства находятся корпоративные метки (NAC функционал ISE)
© 2011 Cisco and/or its affiliates. All rights reserved. 28
• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса
• Позволяет легче использовать результат проверки в политике ISE
New
© 2011 Cisco and/or its affiliates. All rights reserved. 29
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Вовлечение конечного пользователя в управление
Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту
Снижение нагрузки на службу технической поддержки
Простой, интуитивно понятный интерфейс пользователя
Модель самообслуживания
Портал регистрации устройств пользователя, портал для приглашения гостей
© 2011 Cisco and/or its affiliates. All rights reserved. 31
Гостевые политики
Гости и сотрудники с
персональными устройствами
Web-аутентификация
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов: Создание гостевых учетных записей на спонсорском
портале либо использование AD
Обратить внимание: Необходимо периодически вводить веб-логин. Возможны злоупотребления со стороны
сотрудников
Управление: Записи создают
администраторы или сами сотрудники (права определяются в AD).
Отчет: по всем аспектам гостевых
учетных записей
Интернет ISE
БАЗОВЫЙ СЦЕНАРИЙ
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Автоматизация подключения и эффективное управление
Wireless LAN контроллер
Ресурсы Компании
Интернет-доступ
ISE
SSID
Персональное устройство
Устройство компании
Сотрудница Маша
Политика
• Возможность саморегистрации персональных устройств • Надежная идентификация устройств по сертификатам • Поддержка подключения изнутри и снаружи сети • Дифференциация доступом на основе информации из AD/LDAP • Единая политика доступа привязанная к бизнес-правилам
РАСШИРЕННЫЙ СЦЕНАРИЙ
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Разные типы локального и удаленного доступа + Автоматизация настройки
NCS Prime
WLAN Controller
Wired Network Devices
Cisco Catalyst Switches
Проводной доступ Беспроводный доступ
ISE
Удаленный доступ
Cisco ASA
CSM / ASDM
AD/LDAP (External ID/ Attribute Store)
© 2011 Cisco and/or its affiliates. All rights reserved. 34
Для управления доступом персональных устройств
Автоматическая конфигурация сапликанта 802.1x на поддерживаемых платформах
Портал регистрации устройств
Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатов
Выдача сертификатов с дополнительными атрибутами
Ведение “черного” списка и переинициализация устройств
ISE 1.1.1
© 2011 Cisco and/or its affiliates. All rights reserved. 35
• Позволяет сотрудниками зарегистрировать и настроить их личные устройства
• Регистрация устройства • Device ID (MAC адрес) определяется автоматически
• Автозапуск утилиты для настройки сапликанта 802.1x и получения сертификатов на устройстве
• Ограничение количества устройств на сотрудника
• Возможность удалить/заблокировать утерянное устройство
New
© 2011 Cisco and/or its affiliates. All rights reserved. 36
Access Point
ISE
Маша User Name = Mary Password = *******
1
Мария подключается к корпоративной SSID вводя доменный логин и пароль
(протокол EAP-MSCHAP)
3 Регистрация устройства Настройка сертификатов Конфигурация сапликанта Мария подключается к SSID
Secure с помощью сертификата (протокол EAP-TLS)
2 Проиходит веб-
редирект на портал регистрации 2
Secure
SSID’s
Персональный iPad
Wireless LAN Controller
AD/LDAP
© 2011 Cisco and/or its affiliates. All rights reserved. 37
Access Point
ISE
Маша
Персональный iPad
1
Мария подключается к Open SSID
Secure
Open
SSID’s
3
1. Регистрация устройства 2. Настройка сертификатов 3. Конфигурация
сапликанта 4. Переподключение к SSID
Secure по сертификату (протокол EAP-TLS)
Wireless LAN Controller
AD/LDAP
User Name = Mary Password = *******
2 Перенаправление на гостевой портал 2
© 2011 Cisco and/or its affiliates. All rights reserved. 38
Поддерживаемые устройства • Настройка сапликанта 802.1x
(PEAP, TLS) на большинстве устройств:
• Windows – XP, Vista & 7 • MAC – OS X 10.6 & 10.7 • iOS – iPhone 3G, 3GS, 4 и 4S, iPad • Android – 2.2 и выше
• Автоматизация получения сертификатов, включая дополнительные атрибуты username, MAC, UDID, IMEI
Apple iOS OTA регистрация
Помощник для Android из Google Marketplace
Утилита для Windows & MacOS
© 2011 Cisco and/or its affiliates. All rights reserved. 39
• Позволяет пользователю видеть список своих устройств
• Позволяет добавлять/удалять и вносить в черный список
• Делает возможным ручное добавление персональных устройств без настройки сапликанта
• Портал изначально поддерживает русский язык
© 2011 Cisco and/or its affiliates. All rights reserved. 40
• Функции самостоятельного управления
• Add - Создание записи для персонального устройства
• Edit – Позволяет сотруднику персонализировать описание устройства
• Delete – Удаляет устройство из списка
• Lost? (Blacklist) – Мгновенно блокирует устройство с уведомлением (Change of Authorization)
• Reinstate – Позволяет заново активировать устройство
New
© 2011 Cisco and/or its affiliates. All rights reserved. 41
User Results Registered BYOD
New
© 2011 Cisco and/or its affiliates. All rights reserved. 42
© 2011 Cisco and/or its affiliates. All rights reserved. 43
Экосистема MDM
Wired or Wireless
Cisco Catalyst Switches
Window or OS X Computers
Cisco WLAN Controller
ISE MDM
Manager
Smartphones including iOS or Android Devices
Wireless
AD/LDAP
User X User Y
?
ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ
• Экосистема делает возможным выбор решения заказчиком
Функционал:
• API для интеграции с MDM
• Использование в политике ISE информации от MDM о мобильном устройстве
• Инициация действий с уcтройством через интерфейс ISE
* Scheduled for Fall 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 44
• ISE через MDM API, может проверять Общее соответствие устройства политике ( Compliant или не-Compliant ) -или- • Есть ли шифрование диска • Pin lock • Наличие джейлбрейка • ….
• После подключения в сеть делается периодический опрос системы MDM о соответствии пользовательских устройств.
- Если результат проверки негативный – устройство принудительно отключается от сети
© 2011 Cisco and/or its affiliates. All rights reserved. 45
• Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере
• Производится через Портал Мои устройства Endpoints Directory в ISE
• Редактировать • Переинициал. • Потерян? • Удалить • Полная очистка • Корпор. очистка • PIN Lock
Опции
© 2011 Cisco and/or its affiliates. All rights reserved. 46
Управление мобильными устройствами
Управление приложениями и
образами
Инвентаризация
Бэкап
Классификация/ Профилирование Регистрация
Безопасный сетевой доступ (Wireless, Wired, VPN)
Управление сетевым доступом на основе
контекста
Настройка сертификатов и саппликанта .1x
Network Policy Enforcement
Соответствие политике
(Jailbreak, Pin Lock, etc.)
Защита от утечек информации
(шифрование, очистка)
ISE MDM
Enterprise App Policy
Встроенный в ISE функционал • Profiling • Authentication • Policy Enforcement • etc.
ISE 1.0 & 1.1
Встроенный в ISE функционал • Enrollment/Registration • Self-Enroll Portal • Certificate Enrollment • Blacklisting
ISE 1.1.1 (Jul ‘12)
ISE – MDM API • Дополнительная информация и проверки от MDM • Очистка данных
ISE 1.2 (Winter ‘12)
© 2011 Cisco and/or its affiliates. All rights reserved. 47
© 2011 Cisco and/or its affiliates. All rights reserved. 48
Примечание. Расширенная лицензия не включает базовую
Платформы устройства
Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство
Базовая лицензия ISE
Авторизованы ли мои оконечные устройства?
• Аутентификация / авторизация
• Гостевой доступ • Политики шифрования
MacSec
• Все базовые сервисы • Все расширенные сервисы
• Только для беспроводных устройств
Лицензия ISE для беспроводного
доступа
Бессрочное лицензирование
Расширенная лицензия ISE
• Профилирование устройств • Оценка состояния узла • Доступ для групп безопасности
• Новый BYOD функционал
Лицензирование на срок 3 года / 5 лет Лицензирование на срок 3/5 лет
Соответствуют ли мои устройства нормативным требованиям? Базовая + Расширенная
© 2011 Cisco and/or its affiliates. All rights reserved. 49
Замена оборудования в Киеве в течение 4-х часов. По Украине – следующий рабочий день
Круглосуточный Центр техподдержки (бесплатный номер 0-800-301-20-90, с 10 до 16 часов – русскоязычная поддержка)
Обновление сигнатур, апдейты и апгрейды IOS
Cisco.com Доступ к информациионным ресурсам и обучению
© 2011 Cisco and/or its affiliates. All rights reserved. 50
ACS
Identity Services Engine
NAC Guest NAC Profiler NAC Manager NAC Server
• Выпускаемое оборудование допускает программное обновление (1121/3315/3355/3395)
• Программа миграции для старого оборудования с большими скидками • Программа миграции для всех лицензий на программное обеспечение • Имеются инструментальные средства для миграции данных и конфигураций*
* Будет реализовано в последующих выпусках
Существующие инвестиции защищены
© 2011 Cisco and/or its affiliates. All rights reserved. 51
www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba
Безопасное включаем и управляем
персональными устройствами
Профилирование и классификация устройств
Строим политики с учетом того “ЧТО” включается в сеть”
«BYOD – принеси свое собственное устройство»
Cisco ISE
Управляем доступом в сеть на основе
политик безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 52
SXP
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Catalyst® Switch
Cisco ISE
Wireless user
Campus Network Wired
user Cat 6K
Egress Enforcement
MACsec
Profiler Posture Guest Services RADIUS
Ingress Enforcement
Ingress Enforcement
Cisco®
Wireless Controller
Site-to-Site VPN user WAN
ISR G2 with integrated switch
ASR1K
SXP
AnyConnect
Named ACLs dVLAN
dACLs / Named ACLs dVLAN
SGACLs
© 2011 Cisco and/or its affiliates. All rights reserved. 53
Thank you.