Bezpieczeństwo styku sieci korporacyjnej
description
Transcript of Bezpieczeństwo styku sieci korporacyjnej
1© 2006 Cisco Systems, Inc. All rights reserved.SEC
Bezpieczeństwo styku sieci korporacyjnej Bezpieczeństwo styku sieci korporacyjnej
Agenda
Cisco Business Partner
Kontrola dostępu do zasobów -
Network Admission Control
Wojciech Muras
2© 2006 Cisco Systems, Inc. All rights reserved.SEC
AgendaAgenda
Agenda ASPEKTY BIZNESOWE DLA NAC PORFOLIO PRODUKTOWE NAC W AKCJI PRZYKŁADY WDROŻEŃ
3© 2006 Cisco Systems, Inc. All rights reserved.SEC
Network Admission Control Network Admission Control
Aspekty biznesowe Aspekty biznesowe NACNAC
4© 2006 Cisco Systems, Inc. All rights reserved.SEC
Dlaczego potrzebujemy NAC?
Weryfikujemy ruch tylko na styku z siecią Internet
Rezultat?1. Znamy status partnera na styku z siecią Internet2. Nie znamy statusu stacji końcowych w sieci LAN – brak mechanizmów weryfikacji
5© 2006 Cisco Systems, Inc. All rights reserved.SEC
Dlaczego potrzebujemy NAC?
Weryfikujemy status urządzeń w dostępie do sieci LAN
Rezultat?1. Znamy podatność stacji
końcowych na zagrożenia anty-X
2. Wprowadzamy reguły ruchu wzg statusu stacji
6© 2006 Cisco Systems, Inc. All rights reserved.SEC
Jak działa NAC?
Rozpoznaje:Użytkowników, urządzenia, role (gość, pracownik, partner, etc.)
Sprawdza:Podatność urządzeń na ataki
Wymusza:Wprowadzenie reguł ruchu
ROZPOZNAJE
SPRAWDZA
WYMUSZA
Zadanie NAC: Sprawdź status stacji i przydziel politykę na podstawie przeprowadzonej weryfikacji!!!
Rezultat: Tylko stacje spełniające politykę dopuszczamy do zasobów
7© 2006 Cisco Systems, Inc. All rights reserved.SEC
Co sprawdza NAC?
• Skanowanie pod kątem bezpieczeństwa
-Podatność systemu operacyjnego: wersji hotfixów, wersje, servicepack- Obecność systemu antywisowego : wykrycia infekcji wirusów I robaków- Audyt sieciowy urządzeńw celu sprawdzenia portów usług i podatności na atak-HIPS (CSA)Ochrona stacji przed zagrożeniami Anty-X
• Kwarantanna sieciowa Izolacja urządzeń nizgodnych z policy od reszty sieci
Identyfikacja urządzeń przekierowanych do kwarantanny na podstawie adresów MAC i IP
• Naprawa i UpdateNarzędzia sieciowe pozwalające na doprowadzenie hosta do stanu zgodności (zmniejszenie podatności na ataki i zagrożenia)
Zintegrowane rozwiązanie sprawdzające zgodność z polityką oraz zapewniające usługę remediation
8© 2006 Cisco Systems, Inc. All rights reserved.SEC
Network Admission Control Network Admission Control
Portfolio produktowePortfolio produktowe
9© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC – dwie ścieżki produktoweNAC – dwie ścieżki produktowe
NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych
Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC
Host Kontrola Decyzja
10© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC Framework – możliwe scenariusze
Kontrola
Serwer antywirusowy
Serwerratunkowy
ACS v4.0
Serwer katalogowy
Host Decyzja i zapobieganie
Inneserwery
LAN
Użytkownikmobilny
WAN
11© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC – dwie ścieżki produktoweNAC – dwie ścieżki produktowe
NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych
Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC
Host Kontrola Decyzja
12© 2006 Cisco Systems, Inc. All rights reserved.SEC
Cisco Clean Access – możliwe scenariusze
In-band out-of-band VPN
13© 2006 Cisco Systems, Inc. All rights reserved.SEC
Aktualni Partnerzy Programuhttp://www.cisco.com/en/US/partners/pr46/nac/partners.html
14© 2006 Cisco Systems, Inc. All rights reserved.SEC
Network Admission Control Network Admission Control
NAC w akcjiNAC w akcji
15© 2006 Cisco Systems, Inc. All rights reserved.SEC
Dotychczasowe mechanizmy kontroli
Tomek“Witam!”
Anna: “Witam!”
Harnaś: “Witojcie,To sem ja - handlowiec.”
Marek: “Cześć, jestemadministratorem”
Harnaś: “Zainstalowałem niezałatane Windows XP. Mam gigabitowy interfejs sieciowy, mocny procesor i wiele wirusów. W szczycie wygeneruje ruch dochodzący do 600-700Mbit/s, z czego większość będzie próbą zarażenia jak największej liczby innych hostów. Miłego dnia.”
Dostęp zezwolony
16© 2006 Cisco Systems, Inc. All rights reserved.SEC
Polityka:1 uwierzytelnienie1 Windows XP1 Service Pack 21 CTA 2.01 antywirus1 łatki
Harnaś: handlowiecWindows 2000brak Service Packabrak Antywirusabrak łatek
Kwarantanna
SerwerratunkowySerwer
weryfikujący
Serwerkatalogowy
Właściwe rozwiązanie: Cisco NAC
17© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC - perspektywa użytkownika
Wystarczy 1 ping/DHCP/ARP do uwierzytelnienia hosta.
CTA Popup
18© 2006 Cisco Systems, Inc. All rights reserved.SEC
Network Admission Control Network Admission Control
Przykłady wdrożeńPrzykłady wdrożeń
19© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC – wdrożenie w sektorze przemysłowym NAC – wdrożenie w sektorze przemysłowym Cel projektu: - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej,-wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems -integracja z istniejącym systemem antywirusowym F-secure
Sposób realizacji
Korzyści -centralna informacja o statusie urządzeń -mechanizm autentykacji i autoryzacji urządzeń -rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji
AAA
AAA
Firmowe centrum danych
Oddziały
AAA
WAN FR
ACS 4.0
AV Server Portal WWW
20© 2006 Cisco Systems, Inc. All rights reserved.SEC
NAC – wdrożenie w sektorze telekomunikacyjnym NAC – wdrożenie w sektorze telekomunikacyjnym Cel projektu: - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej,-wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems -Implementacja reguł na styku z siecią komputerową – port Ethernet
Sposób realizacji
Korzyści - centralna informacja o statusie urządzeń - mechanizm autentykacji i autoryzacji urządzeń - rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji
ACS
AAAAAA
AAA
AV
PORTAL
21© 2006 Cisco Systems, Inc. All rights reserved.SEC
Podsumowanie
•Przeniesienie brzegu sieci do stacji końcowych
•Spójna polityka dla styku z siecią Internet, WLAN, WAN oraz dostępu z sieci LAN
• Niezależność od architektury sieciowej
22© 2006 Cisco Systems, Inc. All rights reserved.SEC
Network Admission ControlNetwork Admission Control
Pytania…Pytania…Pytania…
Pytania…Pytania…Pytania…
CISCO Business [email protected]