Bezpieczeństwo styku sieci korporacyjnej

1© 2006 Cisco Systems, Inc. All rights reserved.SEC

Bezpieczeństwo styku sieci korporacyjnej Bezpieczeństwo styku sieci korporacyjnej

Agenda

Cisco Business Partner

Kontrola dostępu do zasobów -

Network Admission Control

Wojciech Muras


AgendaAgenda

Agenda ASPEKTY BIZNESOWE DLA NAC PORFOLIO PRODUKTOWE NAC W AKCJI PRZYKŁADY WDROŻEŃ


Network Admission Control Network Admission Control

Aspekty biznesowe Aspekty biznesowe NACNAC


Dlaczego potrzebujemy NAC?

Weryfikujemy ruch tylko na styku z siecią Internet

Rezultat?1. Znamy status partnera na styku z siecią Internet2. Nie znamy statusu stacji końcowych w sieci LAN – brak mechanizmów weryfikacji


Dlaczego potrzebujemy NAC?

Weryfikujemy status urządzeń w dostępie do sieci LAN

Rezultat?1. Znamy podatność stacji

końcowych na zagrożenia anty-X

2. Wprowadzamy reguły ruchu wzg statusu stacji


Jak działa NAC?

Rozpoznaje:Użytkowników, urządzenia, role (gość, pracownik, partner, etc.)

Sprawdza:Podatność urządzeń na ataki

Wymusza:Wprowadzenie reguł ruchu

ROZPOZNAJE

SPRAWDZA

WYMUSZA

Zadanie NAC: Sprawdź status stacji i przydziel politykę na podstawie przeprowadzonej weryfikacji!!!

Rezultat: Tylko stacje spełniające politykę dopuszczamy do zasobów


Co sprawdza NAC?

• Skanowanie pod kątem bezpieczeństwa

-Podatność systemu operacyjnego: wersji hotfixów, wersje, servicepack- Obecność systemu antywisowego : wykrycia infekcji wirusów I robaków- Audyt sieciowy urządzeńw celu sprawdzenia portów usług i podatności na atak-HIPS (CSA)Ochrona stacji przed zagrożeniami Anty-X

• Kwarantanna sieciowa Izolacja urządzeń nizgodnych z policy od reszty sieci

Identyfikacja urządzeń przekierowanych do kwarantanny na podstawie adresów MAC i IP

• Naprawa i UpdateNarzędzia sieciowe pozwalające na doprowadzenie hosta do stanu zgodności (zmniejszenie podatności na ataki i zagrożenia)

Zintegrowane rozwiązanie sprawdzające zgodność z polityką oraz zapewniające usługę remediation



Portfolio produktowePortfolio produktowe


NAC – dwie ścieżki produktoweNAC – dwie ścieżki produktowe

NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych

Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC

Host Kontrola Decyzja


NAC Framework – możliwe scenariusze

Kontrola

Serwer antywirusowy

Serwerratunkowy

ACS v4.0

Serwer katalogowy

Host Decyzja i zapobieganie

Inneserwery

LAN

Użytkownikmobilny

WAN


NAC – dwie ścieżki produktoweNAC – dwie ścieżki produktowe

NAC Framework: Integracja systemowa i aplikacyjna wielu urządzeń sieciowych

Cisco Clean Access: Dedykowane urządzenia (NAC Appliance) dla realizacji zadań NAC

Host Kontrola Decyzja


Cisco Clean Access – możliwe scenariusze

In-band out-of-band VPN


Aktualni Partnerzy Programuhttp://www.cisco.com/en/US/partners/pr46/nac/partners.html



NAC w akcjiNAC w akcji


Dotychczasowe mechanizmy kontroli

Tomek“Witam!”

Anna: “Witam!”

Harnaś: “Witojcie,To sem ja - handlowiec.”

Marek: “Cześć, jestemadministratorem”

Harnaś: “Zainstalowałem niezałatane Windows XP. Mam gigabitowy interfejs sieciowy, mocny procesor i wiele wirusów. W szczycie wygeneruje ruch dochodzący do 600-700Mbit/s, z czego większość będzie próbą zarażenia jak największej liczby innych hostów. Miłego dnia.”

Dostęp zezwolony


Polityka:1 uwierzytelnienie1 Windows XP1 Service Pack 21 CTA 2.01 antywirus1 łatki

Harnaś: handlowiecWindows 2000brak Service Packabrak Antywirusabrak łatek

Kwarantanna

SerwerratunkowySerwer

weryfikujący

Serwerkatalogowy

Właściwe rozwiązanie: Cisco NAC


NAC - perspektywa użytkownika

Wystarczy 1 ping/DHCP/ARP do uwierzytelnienia hosta.

CTA Popup



Przykłady wdrożeńPrzykłady wdrożeń


NAC – wdrożenie w sektorze przemysłowym NAC – wdrożenie w sektorze przemysłowym Cel projektu: - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej,-wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems -integracja z istniejącym systemem antywirusowym F-secure

Sposób realizacji

Korzyści -centralna informacja o statusie urządzeń -mechanizm autentykacji i autoryzacji urządzeń -rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji

AAA

AAA

Firmowe centrum danych

Oddziały

AAA

WAN FR

ACS 4.0

AV Server Portal WWW


NAC – wdrożenie w sektorze telekomunikacyjnym NAC – wdrożenie w sektorze telekomunikacyjnym Cel projektu: - znajomość statusu stacji roboczych pod wzg. posiadanych aktualizacji OS oraz systemu antywirusowego, - wprowadzenie reguł dostępowych do zasobów na podstawie przeprowadzonej weryfikacji stacji roboczej,-wykorzystanie istniejącej infrastruktury sieciowej Cisco Systems -Implementacja reguł na styku z siecią komputerową – port Ethernet

Sposób realizacji

Korzyści - centralna informacja o statusie urządzeń - mechanizm autentykacji i autoryzacji urządzeń - rozszerzenie realizacji stategii bezpieczeństwa o weryfikację stacji

ACS

AAAAAA

AAA

AV

PORTAL


Podsumowanie

•Przeniesienie brzegu sieci do stacji końcowych

•Spójna polityka dla styku z siecią Internet, WLAN, WAN oraz dostępu z sieci LAN

• Niezależność od architektury sieciowej


Network Admission ControlNetwork Admission Control

Pytania…Pytania…Pytania…

Pytania…Pytania…Pytania…

CISCO Business [email protected]

http://www.cisco.com/en/US/hmpgs/index.html

Bezpieczeństwo styku sieci korporacyjnej

Documents

Transcript of Bezpieczeństwo styku sieci korporacyjnej