Your SlideShare is downloading. ×
0
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco

1,389

Published on

Эксперт SkillFactory Сергей Кучеренко о новых трендах в области сетевой безопасности: как ответить новым вызовам, используя уже существующее оборудование Cisco. …

Эксперт SkillFactory Сергей Кучеренко о новых трендах в области сетевой безопасности: как ответить новым вызовам, используя уже существующее оборудование Cisco.

Смотрите запись вебинара: http://www.youtube.com/watch?v=JzO8bRguh74&hd=1

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,389
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
57
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco ведущий: Сергей Кучеренко 14 января 2014 serg.kucherenko@getccna.ru
  • 2. О чем мы поговорим:  Вызовы и ответы на них  Набор необходимых компонентов  Решения отдельных задач  Презентация целостного решения
  • 3. Вызовы и ответы на них  Доступ для пользователей а не адресов – проводной и беспроводной доступ на основе групповой принадлежности пользователя для PC и Laptop  Защита от Web угроз и контроль рабочего времени – политики доступа к Web на основании групповой или сетевой принадлежности пользователей для PC, Laptop и мобильных устройств  BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push сетевых настроек для безопасного подключение я корпоративной сети, установка корпоративных приложений, защита от утери и кражи устройства
  • 4. Набор необходимых компонентов Нам понадобится:  Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут использованы следующий компоненты:  User Based Firewall  Transparent ZBF  ScanSafe Connector  LDAP Server in AAA  Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 для текущей демонстрации был использован интегрированный в ISR WLC на основе ISM-SRE-300 с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы следующий компоненты:  WEB Passthrough Authentication  802.1X Authentication/Authorization
  • 5. Нам понадобится (продолжение):  Microsoft Windows Server – был использован Windows Server 2008 R2 64-bit со следующими ролями:  Доменная Служба Active Directory  DNS-сервер  Служба политик сети и доступа (NPS)  Служба сертификатов Active Directory  Meraki Systems Manager – облачный Mobile Device Manager, использование данного продукта бесплатно. В ходе демонстрации используется:  Push сетевых настроек на мобильные устройства для 802.1x подключений
  • 6. Решения отдельных задач Представить/Спланировать/Нарисовать .10 .2 Vlan 95 SF_Mng 192.168.95.0/24 .2 Vlan 96 SF_Open 192.168.96.0/24 .1 .2 Vlan 97 SF_Sales192.168.97.0/24 .1 .2 Vlan 98 SF_TR 192.168.98.0/24 .1 Vlan 50 SF_Data 192.168.32.0/24 .4 .1 G0/0.130 SF_SRV 192.168.30.0/24 G0/0.50 SF_Mng 192.168.95.0/24 SF_Open .4 G0/0.50 SF_Data 192.168.32.0/24 Vlan 95 SF_Mng – MNG zone Vlan 50 SF_Data – IN zone Vlan 96 SF_Open – GUEST zone Vlan 97 SF_Sales – SALES_WF zone Vlan 98 SF_TR – TR_WF zone Vlan 30 SF_SRV – SRV zone G0/2 – OUT zone G0/2 Internet G0/0 Sales Resources .20 .10 SF_Corp Trainer Resources Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair IN_OUT IN_SRV OUT_SRV GUEST_OUT SLAES_WF_SRV TR_WF_SRV MNG_MNG IN_IN SLAES_WF_OUT TR_WF_OUT SLAES_WF_IN TR_WF_IN
  • 7. Глобальные Этапы: 1. User Based Firewall 2. ScnaSafe Connector 3. WLC Setup 4. MS Network Policy Server setup 5. Meraki Systems Manager setup
  • 8. 1. User Based Firewall Новый подход позволяющий в качестве match в class-map type inspect использовать user-group user-group – для получения информации о групповой принадлежности пользователей используется функционал Authentication Proxy. Authentication Proxy (Admission) – Функция позволяющая провести аутентификацию пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с помощью протоколов:  Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот пакет и возвращает пользователю запрос username/password. После ввода проводится проверка пользователя по одному из доступных способов аутентификации. Если способ аутентификации это предусматривает нам маршрутизатор возвращается информация о групповой принадлежности пользователя в случаи успешной аутентификации  FTP – процесс проходит аналогично за исключением того что пользователь должен инициировать FTP запрос для начала процедуры аутентификации  HTTP – для проведения аутентификации используется http или https при использовании http authentication proxy аутентификация может проходить в двух режимах:
  • 9. Режимы HTTP аутентификации: 1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не включен ip http secure-server передача пользовательских login/password происходит в открытом виде. В случае если secure-server включен аутентификация проходит через https. Если на маршрутизаторе используется само подписанный сертификат пользователь всегда будет видеть сообщении об ошибке сертификата: Для того чтоб ошибка сертификата не появлялась требуется:  Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации”  Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate Authority В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP
  • 10. 2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на адрес virtual-proxy, но маршрутизатор пытается получить информацию о аутентификации пользователя прозрачно запрашивая NTLM enabled browser (IE/Mozilla/Chrome). В качестве username/password используются те что были введены при входе в систему *. Credentials пользователя никогда не передаются в открытом виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на сервер аутентификации. При использовании NTLMSSP на клиентской стороне следует:  Для Internet Explorer добавить IP/FQDN Virtual-proxy в список trusted-sites  Для Firefox при использовании Virtual-Proxy IP без name может понадобится изменить файл конфигурации * - работает только на ПК под управлением Windows, ПК должны быть членами Domain, пользовательский вход должен осуществляется с помощью доменной учетной записи В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)
  • 11. Способы аутентификации:  local – в качестве базы пользователей используется локальная база данных маршрутизатора при использовании данного подхода нет возможности предоставить групповую информацию (Для User Based ZBF не применимо)  radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор воспринимает как имя группы  ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldap возвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=” с помощью default attribute map
  • 12. Как это работает? IP Admission Rule AAA Rule RADIUS Authentication Request HTTP Request HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request HTTP Request Virtual Proxy IP IF NTLM with HASH Authentication Request class-map type inspect match usergroup Authentication Response Cisco AV Pair “supplicant-group=“ policy-map type inspect class type inspect inspect Authentication Request zone-pair security LDAP Authentication Response HTTP Basic Attribute Map Authentication Response “memberOF=“
  • 13. Последовательность настройки User Based Firewall: 1. Настройка серверов аутентификации a) RADIUS MS в IOS b) LDAP MS в IOS c) Настройка Microsoft NAP для возврата информации о группах через Radius 2. Настройка правила AAA для authentication-proxy 3. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 4. Настройка ZBF с использованием Group-Info 5. Проверка настроек
  • 14. Особенности настройки User Based Firewall b) LDAP MS в IOS  Создаем и настраиваем LDAP server R1(config)#ldap server name name – имя объекта конфигурации, не FQDN сервера R1(config-ldap-server)#ipv4 address R1(config-ldap-server)# transport port port (3268 default for MS) R1(config-ldap-server)#base-dn dn-name dn-name – точка с которой следует начинать поиск пользователя в домене, обычно корень домена R1(config-ldap-server)# bind authenticate root-dn username-dn password password username-dn – DN пользователя под которым будет подключатся Router, пользователя должен иметь достаточно прав для проведения search/read/lookup, далее мы указываем пароль этого пользователя
  • 15. R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)  Создаем AAA server-group R1(config)#aaa group server ldap name name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaa group server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа будет использоваться при создании правил аутентификации/авторизации R1(config-ldap-sg)#server ldap server name
  • 16. 2. Настройка правил AAA для authentication-proxy  Включаем AAA Framework R1(config)#aaa new-model Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP) будет требоваться локальная аутентификация. Перед выполнением следует убедится что на устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных: R1(config)#enable secret password R1(config)#username name secret password  Создание правила аутентификации R1(config)#aaa authentication login list name group {radius|ldap grup name} list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения аутентификации будут использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь следует указать имя созданной в шаге 1.b) aaa group server ldap LDAP_GR
  • 17.  Создание правила авторизации R1(config)#aaa authorization network list name group {radius|ldap grup name} login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать имя созданной в шаге 1 b) aaa group server ldap LDAP_GR 3. Настройка политику authentication-proxy a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN  Исключения Для исключений создается extended ACL в котором deny строки являются исключением из правила (ex: Корпоративный AD/DNS сервер)
  • 18.  Протокол для проведения аутентификации R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name auth-proxy name – имя правила authentication-proxy, в последующем именованное правило назначается на интерфейс. Для всех настроек имя должно совпадать. {http|telnet|ftp} – протокол который будет использоваться для аутентификации ACL name – ACL для исключений созданный в предыдущем шаге  Режим аутентификации для HTTP R1(config)#ip admission name auth-proxy name {http-basic|ntlm} R1(config)#ip admission name auth-proxy name order {http-basic|ntlm} Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается такой же режим как и в предыдущем шаге.
  • 19.  Virtual IP/Virtual FQDN R1(config)#ip admission virtual-ip ip virtual-host name ip – любой не используемый в сети IP address (ex:1.1.1.1), не может быть адресом маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для аутентификации name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN (ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если задано name перенаправлении всегда идет на имя.  Листы AAA R1(config)# ip admission name name method-list authentication list name authorization list name Указываются имена листов созданных в шаге 2.
  • 20. b) Изменение таймеров по умолчанию У Auth-proxy существует два основных таймера:  Inactivity Timer – сколько сессия может быть неактивной прежде чем кэш аутентификации будет удален (def=60 min)  Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет) Временные ограничения также могут быть наложены двумя способами:  Global – для всех ip admission rules  Per-rule – для каждого ip admission rules name
  • 21. c) Назначение Authentication proxy на интерфейс Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и проводить аутентификацию: R1(config)#interface type number R1(config-subif)#ip admission name name – имя правила authentication proxy созданного в предыдущих шагах 4. Настройка ZBF с использованием Group-Info При создании class-map type inspect используется способ поиска match-all и в такой class-map выставляется match user-group, match class-map (match-any) с перечнем приложений, и при необходимости match access-group для ограничения по IP адресам Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс или классы и размещать их выше классов с match по user-group в policy-map type inspect
  • 22. 5. Проверка настроек Для проверки успешного прохождения аутентификации и корректной передачи информации о группах: R1#test aaa group radius username password legacy R1#tes aaa group ldap group username password new-code Эти тест можно проводить с параллельно включенным debug: R1#debug radius R1#debug ldap all Мониторинг работы auth-proxy: R1#sh ip admission cache Очистка Cache: R1#clear ip admission cache {*|username} R1#sh ip admission cache username user
  • 23. 2. ScnaSafe Connector ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:  URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на постоянной основе так и на основе временных рамок  File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также могут быть постоянными либо привязанными к определённым временным диапазонам  Application Filtering – распознавание и фильтрация различных Web based приложений (ex: разрешить Facebook но заблокировать Facebook игры)  Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых сайтов а так же сканирования содержимого этих сайтов
  • 24. ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта функция позволяет перенаправлять пользовательский HTTP/HTTPS трафик в облако. При перенаправлении к пользовательскому пакету может быть добавлена информация о username/group для более гибкого наложения политик доступа. Информация о пользователе и группе всегда передается в зашифрованном виде. Перенаправление может осуществляется:  Без аутентификации – в этом случаи все пользователи трафик которых был направлен для фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность назначить различные group на разные интерфейсы ISR в этом случае пользователи находящиеся на разных интерфейсах могут принадлежать разным группам.  С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в перенаправляемый пакет информацию о username/group. Аутентификация работает только через http/https и может проходить в двух уже известных режимах:  HTTP Basic  NTLM
  • 25. Как это работает? IP Admission Rule AAA Rule HTTP Request vk.com HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request Authentication Request HTTP Request Virtual Proxy IP IF NTLM with HASH Attribute Map Authentication Request Authentication Response HTTP Request vk.com LDAP://Boss HTTP Basic HTTP Request vk.com HTTP Response vk.com Content Scan Access Policy Antimalware Scan Authentication Response “memberOF=Boss“ LDAP
  • 26. Последовательность настройки IOS ScanSafe Connector: 1. Выдача лицензии 2. Настройка Parameter-Map Content Scan 3. Настройка серверов аутентификации 4. Настройка правила AAA для authentication-proxy 5. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 6. Назначение User-Group на интерфейсах где аутентификация не возможна 7. Включение Content Scan 8. Проверка настроек 9. Базовые настройки на портале администратора
  • 27. Особенности настройки ScnaSafe Connector 1. Выдача лицензии При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего содержания: В письме содержится ссылка на портал администратора а так же временный пароль (должен быть изменен при первом входе). В качестве имени администратора используется e-mail of IT contact (нужно указать при заказе) Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company Key>Create New После этого ключ будет выслан на почту администратора
  • 28. 2. Настройка Parameter-Map Content Scan Данный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности. R1(config)#parameter-map type content-scan global Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа  Задать Proxy Servers R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080 R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080 Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по умолчанию используется порт 8080  Задать license R1(config-profile)#license {0|7} key 0 – ключ далее вводится в незашифрованном виде (так он приходит в письме) 7 – ключ вводится в уже зашифрованном виде
  • 29.  Задать Source IP R1(config-profile)#source address ipv4 address Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление  Default User-group R1(config-profile)#user-group group name group name – имя группы которое будет отправляться в случае когда аутентификацию провести невозможно.  Действие в случае отказа облака R1(config-profile)# server scansafe on-failure {allow-all|block-all}
  • 30. 3. Настройка серверов аутентификации Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM) 4. Настройка правила AAA для authentication-proxy Выполняется так же как для User Based ZBF 5. Настройка политику authentication-proxy Выполняется так же как для User Based ZBF
  • 31. 6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не всегда работает адекватно в мобильных OS 7. Включение Content Scan На внешнем интерфейсе включается функция перенаправления трафика http/https в облако ScanSafe: R1(config)#interface type number R1(config-if)#content-scan out 8. Проверка настроек Статус подключения к Proxy Servers R1#show content-scan summary Проверки аутентификации выполняются так же как для User Based ZBF
  • 32. 9. Базовые настройки на портале администратора  Создание групп – для дальнейшего применения политик на основе групповой принадлежности пользователя требуется создать группы на портале администратора: Admin>Management>Groups>Add Directory Group LDAP группы должны быть созданы в формате LDAP://Group Name. Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.
  • 33.  Создание Фильтров – фильтр является элементом который идентифицирует URL категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в политику в которой назначается действие Web Filtering>Management> Filters>Create Filter  Создание Политик – политик объединяют группу пользователя фильтр и действие (Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе временных диапазонов Web Filtering>Management>Policy>Create Rule
  • 34. 1. 2. 3. 4. Задаем имя политики Делаем ее активной Указываем действие Выбираем группу к которой будет применятся политика 5. Добавляем Фильтр который будет действовать в этой политике 6. Добавляем расписание работы политики
  • 35. 3. WLC Setup От WLC нам понадобится:  2 SSID:  открытый SSID с captive-portal который будут использовать гости компании а так же сотрудники при подключении с мобильных устройств если на них еще не установлен Meraki MDM client  SSID c 802.1x аутентификаций – к этой беспроводной сети будут подключатся:  сотрудники на PC и Laptop помещаемые с помощью 802.1х аутентификации в тот же VLAN что и в проводной сети  Сотрудники со своих мобильных устройств после получения сетевых настроек из Meraki Systems Manager  802.1х authentication and Authorization
  • 36. Последовательность WLC Setup: 1. Задание Radius Server в WLC 2. Настройка Captive Portal WLC 3. Настройка открытого SSID 4. Настройка SSID с 802.1x аутентификацией и авторизацией 5. Настройка политик в MS NPS
  • 37. Особенности WLC Setup 1. Задание Radius Server в WLC Security>>>Radius>>Authentication>>>New 2. Настройка Captive Portal WLC Security>>>Web Auth>>>Web Login Page Для создание Custom Captive Portal можно использовать готовые шаблоны Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC:  Bundle загружается с cisco.com как .zip  Выбираем понравившийся вариант странички  Правим его  Архивируем снова весь Bundle в .tar и загружаем на WLC по TFTP Commands>>>Download
  • 38. 3. Настройка открытого SSID  При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую сеть  После этого в настройках Security>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать Passthrough Note: Перенаправление происходит с помощью подмены адреса в DNS Replay на virtual IP контроллера.
  • 39. 4. Настройка SSID с 802.1x аутентификацией и авторизацией  При создании SSID мапируется к интерфейсу Management  После этого в настройках Security>>>Layer 2 оставляем Layer 2 Security в значении по умолчанию Далее переходим на Security>>>AAA Servers и выбираем в качестве сервера аутентификации ранее созданный Для того чтоб на SSID работало назначение VLAN Advanced>>>Allow AAA Override
  • 40. 4. MS Network Policy Server setup Данный этап состоит из двух под-этапов: 1. Задание WLC как Radius client в NPS
  • 41. 2. Создание политик сетевого доступа Минимально достаточные условия:  Группа пользователей  Тип проверки подлинности – EAP Кроме того можно добавить: Тип порта NAS – Wireless 802.11 а так же Понятное имя клиента – Имя WLC в NPS
  • 42. Необходимо убедится что в свойствах PEAP указан корректный сертификат. Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить следующие атрибуты со значениями:  Tunnel-Type=Virtual LANs (VLAN)  Tunnel-Medium-Type=802  Tunnel-Pvt-Group-ID= VLAN Number
  • 43. 5. Meraki Systems Manager setup Meraki Systems Manager – является бесплатной облачной Mobile Device Management системой. Основные функции мобильные устройства:  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Централизованное развертывание приложений  Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение шифрование/Требование установки пароля и его сложности/…)  Защита при краже или утере (Удаление всех данных с устройства/Удаление данных корпоративных приложений) Основные функции Laptop/PC (Windows/MAC OS)  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Удаленное управление (RDP Windows)  Централизованное развертывание приложений (Windows)
  • 44. Последовательность настройки Meraki Systems Manager : 1. Регистрация в системе 2. Deployment клиентов a) Android Enrollment b) iOS Enrollment 3. Настройка политик для мобильных устройств
  • 45. Особенности работы с Meraki Systems Manager 1. Регистрация в системе https://account.meraki.com/login/dashboard_login?go= После завершения процедуры регистрации мы входим в систему
  • 46. 2. Deployment клиентов За Deployment отвечает раздел Mobile>>>Deployment a) Android Enrollment– можно начать сразу же после входа в систему В наличии инструкция для двух вариантов Enrollment:  Play Market – в этом случае необходимо прочитать QRcode с устройства – это приведёт к перенаправлению на старичку клиента Meraki в Play Market. Устанавливаем клиент и после установки еще раз считываем QR-code  Web Enrolment – необходимо открыть указанную ссылку и подтвердить Enrolment Code После подтверждения кода произойдет перенаправление в Play Market для загрузки приложений Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже работающей инфраструктуре т.к. устройству сразу можно назначить Tag.
  • 47. b) iOS Enrollment Для iOS Enrollment необходимо:  Иметь или завести новую учётную запись Apple ID  Выгрузить Meraki Certificate Request на PC  Перейти в Apple Push Certification Portal  Создать на портале сертификат используй Meraki Certificate Request и выгрузить его себе на PC  Указать в Organization>>>Settings имя Apple ID и созданный сертификат Варианты Enrollment:  Web based  QR-code  Email
  • 48. 3. Настройка политик для мобильных устройств Основой для применяя политик являются Tags. Tag применяется к устройству, Profile применяется к одному или более Tags. К Profile применятся Settings По умолчанию при первом входе в систему доступен единственный Tag=recently-added Monitor>>>Clients Tag>>> Add добавляем новый Tag Tag>>>Remove удаляем recently-added Mobile>>>Profiles Создаем нужное количество Profile и указываем к каким Tag они будут применятся
  • 49. Mobile>>>Settings
  • 50. Презентация целостного решения “Генеральский Эффект” еще никто не отменял!
  • 51. Полезные ссылки: Финальная конфигурация R1 https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing Security Configuration Guide: Zone-Based Policy Firewall http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London) https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Solution Guide http://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf Cisco ScanCenter Administrator Guide http://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html YouTube канал компании Meraki http://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew Wireless LAN Controller Web Passthrough Configuration Example http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml

×