2. План доклада
• Многообразие мобильных устройств
• Контроль доступа к сети:
• Идентификация
• Аутентификация
• Применение политик
• Изменение доступа к сети
• Web-безопасность, защита от ВПО
• Заключение
• Вопросы
2
3. Распространение мобильных устройств – новые угрозы
2003 2007 2012 2014+
Контроль ИТ
Управляемые ПК
Гостевой доступ
Простой гостевой доступ
Корпоративная
мобильность
Корпоративные и
персональные мобильные
устройства
Интернет вещей
Многообразие устройств,
подключаемых по IP
Возрастает потребность в контроле доступа и защите от угрозКомпаний заявили об обнаружении в
течение последних 12 месяцев ВПО
для мобильных устройств1
1Ponemon Research – http://www.ponemon.org/news-2/48
4. Распространение мобильных устройств – цифры
Самая распространенная ОС на мобильных устройствах – Android, второе место - iOS.
В то время как iOS устройства имеют актуальную версию ПО, большой процент Android-
устройств все еще использует устаревшие релизы, которые могут иметь уязвимости
безопасности.
Источник: IDC Источник: developer.android.com
Версии iOS Версии Android
4 4
5. Состояние угроз в мобильном мире
Ежегодный отчет Cisco о безопасности 2014 описывает эволюцию угроз и вредоносного
программного обеспечения и является отличным источником статистических данных для ИТ
специалистов:
http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html
http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html
Интересная статистика о зловредах, уязвимостях и
мобильных устройствах:
• Количество ВПО на платформах Android выросло на 2,577%
• 99% мобильных зловредов атакуют Android-платформы
• Взаимодействие с вредоносным web-трафиком: 70%
Android, Apple iOS - 22%
• Вредоносный код для мобильных устройств: 1.2% от всего
вредоносного web-трафика (с 0.42%)
• Большинство уязвимостей связаны с Java: поддержка на
мобильных устройствах
5
6. Другие интересные факты и умозаключения
25%+ вредоносов попадает на
мобильные устройства с
порносайтов…
• Фишинг: все еще самый
распространенный вектор атаки,
аналогично ПК
• Пользователь переходит по ссылке в
сообщении, что приводит к установке
приложения с недоверенного ресурса
Типичные атаки под Android:
• Подписка на платные SMS сервисы
• Инфекция ботнетом и удаленный
контроль
• Кража банковских данных
2012 -> первый Android-ботнет
2013 -> крупные Android-ботнеты
зафиксированы в Китае (более 1
млн устройств)
Использование неконтролируемых
мобильных устройств может привести
к инфицированию вашей организации
или краже конфиденциальных данных
7. Другие интересные факты и умозаключения
25%+ вредоносов попадает на
мобильные устройства с
порносайтов…
• Фишинг: все еще самый
распространенный вектор атаки,
аналогично ПК
• Пользователь переходит по ссылке в
сообщении, что приводит к установке
приложения с недоверенного ресурса
Типичные атаки под Android:
• Подписка на платные SMS сервисы
• Инфекция ботнетом и удаленный
контроль
• Кража банковских данных
2012 -> первый Android-ботнет
2013 -> крупные Android-ботнеты
зафиксированы в Китае (более 1
млн устройств)
Использование неконтролируемых
мобильных устройств может привести
к инфицированию вашей организации
или краже конфиденциальных данных
Ежегодный отчет Cisco о безопасности:
“Преимущества использования модели BYOD и превалирования мобильных
устройств для бизнеса неоспоримы, однако компании должны помнить об
угрозах, таких как риски утечки информации, и обеспечивать контроль над
установкой приложений только из официальных источников по доверенным
каналам передачи данных”.
8. Многообразие мобильных устройств
Обзор поведения различных мобильных устройств при работе с различными решениями Cisco
Native Google Android 4.1+
Samsung Android 4.1+
RIM/Blackberry:
Bold 9900 7.1.0
Z10 10.0.10+
Microsoft
Windows 8+/RTApple iPad3 tablet/
iOS 6.1.2+
Anyconnect 3.1/4.xASA 9.4(1) WSA 8.5(0) ISE 1.4 Mobile Device ManagementMicrosoft Certificate
Services Windows 2012
Enterprise R2
Nokia Lumia 520
Windows Phone 8/8.1
MacOS 10.7.5+
8
10. § 802.1x используется для аутентификации пользователя или устройства в сети
§ Три основных компонента, задействованных в аутентификации 802.1x:
- Супликант: Предоставляет сетевым устройствам идентификационную информацию. Встроенный
супликант имеется во всех современных ОС: Apple iOS, Android, Windows 8, и др.
- Аутентификатор: Устройство, контролирующее доступ в сеть, участвует в первичном обмене по
протоколу EAP (Extensible Authentication Protocol) и выступает посредником между супликантом и
сервером аутентификации. Например: коммутатор, контроллер БЛВС, VPN-шлюз.
- Сервер аутентификации: RADIUS сервер проверяет полученную информацию и отправляет
данные авторизации, такие как VLAN, список доступа, время действия сессии, URL для
перенаправления трафика. Поддержка внешних источников идентификации (ISE, ACS).
Сетевая аутентификация с использованием протокола 802.1X
Сервер аутентификации
(RADIUS)
Супликант Аутентификатор
EAP over RADIUSEAP/WPA2
Сессия EAP
10
11. Типы идентификационной информации в 802.1x
Типы идентификационной информации для различных сценариев:
1. Имя пользователя / Пароль
- Аутентификация пользователя (плюс Машинная
аутентификация для Windows)
- Active Directory/LDAP/RADIUS как внешние источники ID
- Типы EAP: PEAP-MSCHAPv2, PEAP-GTC, EAP-FAST
2. Двухфакторная аутентификация
- Нечто, что есть только у пользователя
- В основном для аутентификации пользователей
- RSA SecurID и другие серверы ключей и одноразовых паролей
- Типы EAP: PEAP-GTC, EAP-FAST/EAP-GTC
3. Цифровые сертификаты
- Подписаны/выпущены публичным или частным сервером
сертификатов
- Могут использоваться для аутентификации пользователя и/или
устройства
- Microsoft AD Certificate Services, Entrust, Verisign, и др.
- Типы EAP: EAP-TLS, EAP-FAST
EAP
Extensible Authentication Protocol
PEAP
Protected EAP
GTC
Generic Token Card
FAST
Flexible Authentication
via Secure Tunneling
TLS
Transport Layer Security
11
12. Аутентификация/Авторизация устройства и пользователя
Машинная
аутентификация
PEAP-MSCHAPv2*
EAP-TLS
host/MTLLAB-W500
Аутентификация
пользователя
PEAP-MSCHAPv2
EAP-TLS
CISCOslevesqu
2
1
21 +
Поддержка
двух фаз
Один и тот же тип EAP со встроенным
супликантом
*Windows RT/Phone не поддерживает Active Directory и не может использовать PEAP-MSCHAPv2 для машинной аутентификации
AuthC=аутентификация
AuthZ=авторизация
CN=Common Name
SAN=Subject Alternate Name
= Сертификат
Двухфакторная
аутентификация
21 +
Возможно использование различных
типов EAP
12
13. Аутентификация/Авторизация устройства и пользователя
Только 1 фаза
AuthC=Аутентификация
AuthZ=Авторизация
CN=Common Name
SAN=Subject Alternate Name
= Сертификат
PEAP-MSCHAPv2
EAP-TLS
Аутентификация
пользователя
Аутентификация
пользователя
Гибридная
авторизация
Авторизация
устройства
Авторизация
устройства
CN=slevesqu
SAN=00:21:6A:AB:0C:8E
CN=slevesqu
SAN=00:21:6A:AB:0C:8E
SAN=Unique Device ID
slevesqu
13
*Windows RT/Phone не поддерживает Active Directory и не может использовать PEAP-MSCHAPv2 для машинной аутентификации
14. Вариант двухфакторной аутентификации с 802.1X и
централизованной Web-аутентификацией
802.1X EAP-TLS:
Аутентификация с
сертификатом
1
Централизованная Web-
аутентификация пользователя
по аккаунту в AD
2
Фактор 1: Сертификат
устройства!!!
Фактор 2: Учетные
данные пользователя!!!
ISE
14
15. EAP-Type
Win 8
Pro/
Enterprise
Win
RT
Win
Phone
MacOS
Apple
iOS
Android BB7/10
ACS
5.x
ISE
1.x
AD LDAP
EAP-TLS Да Да 8.1 Да Да Да Да Да Да Да Да
PEAP
MSCHAPv2
Да Да Да Да Да Да Да Да Да Да Нет
PEAP
EAP-GTC
Нет1 Нет Нет Да Да Да Да Да Да Да Да
EAP-FAST Нет1 Нет Нет Да Да2 Нет3 Да Да Да Да Нет
Типы 802.1X EAP и их совместимость
1. Поддержка посредством сторонних супликантов, например, Anyconnect NAM
2. Требуется настройка в Apple Configuration Utility или MDM
3. Нет встроенного супликанта. Поддержка через Cisco Compatible Extensions (CCX)
для определенных производителей мобильных устройств. Подробнее:
http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_partners_0900aecd800a7907.html
Нет встроенной поддержки
систем ОТР аутентификации,
таких как RSA SecurID
15
16. Контроль доступа к сети: Профилирование
устройств с помощью Identity Services Engine16
17. Датчик Получаемые данные
RADIUS OUI, MAC адрес
DHCP Атрибуты DHCP, hostname
DNS FQDN, hostname
HTTP User-Agent
NMAP «отпечаток» ОС
NETFLOW Используемые TCP/UDP порты
SNMP Записи MIB
Обзор сервисов профилирования ISE
Сервисы профилирования ISE используют набор датчиков для сбора трафика, сгенерированного
оконечными устройствами. Затем, информация из служебных полей соответствующих протоколов
сравнивается с профилями устройств в ISE для определения типа устройства. Профили могут быть
встроенными или пользовательскими.
Эту информацию можно затем использовать для присваивания прав доступа на основе типа устройства
(iPhone/iPad, Android, Blackberry или Windows). Также можно использовать для инвентаризации устройств.
Датчики,
используемые
для
профилирования
устройств
17
18. Анализ информации в HTTP User Agent
Совместимость с движком Mozilla
ОС и версия
Модель устройства
Движок HTML
Браузер и расширения
Mozilla/5.0 (Linux; Android 4.0.3; AT300 Build/IML74K) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Safari/535.19
18 18
19. Анализ информации в HTTP User Agent
Apple iPad
Mozilla/5.0 (iPad; CPU OS 7_0_4 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11B554a Safari/9537.53
Windows RT
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; ARM; Trident/6.0; Touch)
Android Samsung Tab2 tablet
Mozilla/5.0 (Linux; U; Android 4.1.2; en-ca; SM-T210R Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Safari/534.30
Android LG Google Nexus 5 smartphone
Mozilla/5.0 (Linux; Android 4.4.2; Nexus 5 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/
537.36
Blackberry Z10 smartphone
Mozilla/5.0 (BB10; Touch) AppleWebKit/537.35+ (KHTML, like Gecko) Version/10.2.1.1925 Mobile Safari/537.35+
Посмотрите свой user-agent на: http://whatsmyuseragent.com
19 19
21. Обновление информации о профилях устройств
• «Фиды» профилей устройств в ISE для
автоматического обновления новых MAC OUI и
базы данных профилей устройств
• Моментальная поддержка новых оконечных
устройств (например, смартфонов)
Сервер DB
ISE
Новые OUI
Сервисы
профилирования
iPhone
Surface
HTC
Nokia
Printers
Cisco Provided
Partner Provided
Обновление
iPhone
Surface
HTC
Nokia
Принтеры
От Cisco
От партнеров
21
23. Сертификаты, доверие и 802.1X
Персональные мобильные устройства по умолчанию не будут доверять
сертификатам, выданным частным сервером цифровых сертификатов (CA).
Поведение таких устройств в рамках работы 802.1X будет различаться:
Рекомендация: Использовать публично подписанный сертификат для
аутентификации RADIUS сервера или выполнять установку сертификатов на
устройства во избежание звонков в службу поддержки!
iOS
Уведомление пользователя -> пользователь может отказаться устанавливать
сертификат и позвонить в службу поддержки
Android По умолчанию принимает недоверенные сертификаты без уведомления!
MacOS
Уведомление пользователя -> пользователь может отказаться устанавливать
сертификат
Windows RT/8
Уведомление пользователя -> пользователь может отказаться устанавливать
сертификат
Windows Phone
Предлагает на выбор проигнорировать или принять определенный сервер
сертификатов
Blackberry 7 Без уведомления -> Отказ в доступе
Blackberry 10 По умолчанию принимает недоверенные сертификаты без уведомления!
Windows Phone
iOS
Windows RT/8
23
24. Установка сертификатов и регистрация
Недоверенный корневой сертификат и сертификат пользователя/устройства могут быть
созданы и установлены на мобильное устройство одним из способов (как вручную, так и
автоматически):
Прямо с устройства
Anyconnect и ASA
ISE BYOD
Система управления
мобильными
устройствами (MDM)
Web-портал CA
SCEP=Simple Certificate Enrollment Protocol
Отправить
по e-mail
Ручной
Скопировать
на устройство Корпоративное мобильное устройства
Безопасность?
SCEP
Корпоративное
устройствоAD GPOАвтоматический
Apple MacOS 10.8DCE/RPC
24
25. Профиль Anyconnect :
SCEP Host =
myCA.ciscolive.demo
Установка сертификатов с Anyconnect и SCEP прокси
SCEP с Anyconnect:
SCEP прокси с Anyconnect и ASA:
Туннель IPSec/SSL
Запрос SCEP
Туннель IPSec/SSL
Запрос SCEP
Запрос SCEP
1. ASA выполняет применение политик
2. ASA добавляет уникальный идентификатор
устройства по результатам оценки состояния
устройства
• Контроль со стороны пользователя
• Нет возможности обновления
сертификата
• Требуется прямой доступ к CA
• Требуется Anyconnect 2.4+
ASA
ASA SCEP прокси
• Контроль со стороны VPN-
концентратора
• Применение начальной политики
еще до настройки устройства
• Уникальный идентификатор
устройства для последующей
авторизации
• Автоматическое обновление
сертификата
• Только ASA взаимодействует с
сервером сертификатов
• Требуется Anyconnect 3.0+`
25
26. Установка сертификатов с использованием ISE BYOD
Запрос SCEP
Внутренний
ISE CA (1.3+)BYOD
ISE
Запрос SCEP
Dual-SSID Single SSID
employee1
*******
Аутентификация сотрудника Регистрация устройства Настройка устройства1 2 3
Active Directory
Certificate Services
26
27. Авторизация в ISE с использованием сертификатов
Зарегистрированные устройства:
Устройство прошло процесс
настройки BYOD
Политика сетевого доступа разрешает
только аутентификацию EAP-TLS с
использованием сертификата
Radius атрибут Calling-Station-ID содержит
MAC адрес устройства, который
сравнивается с SAN в сертификате
Имя пользователя берется из Subject-
Name и отправляется в AD для получения
атрибутов авторизации пользователя Назначаются различные права
(VLAN, ACLs,Tag, и т.д.)
27
28. Метод
Win 8
Pro/
Enterprise
Win
RT
Win
Phone
MacOS
Apple
iOS
Android BB7 BB10
Email Да Да Да Да Да Нет1 Да Нет
Скопировать
на устройство
Да Да Нет Да Да2 Да Да Да
Web
(сервер CA)
Да Да Да Да Да Да Да Нет
ASA SCEP
Proxy
Да Нет Нет Да Да Да Нет Да
Регистрация
в ISE3 Да Нет Нет Да Да Да Нет Нет
Установка сертификатов и настройка устройств
1. Не может быть установлен напрямую из электронного письма, но может быть сохранен и установлен из хранилища
2. С помощью iPhone Configuration Utility/Apple Configurator или MDM
3. Дополнительная информация о поддерживаемых платформах:
http://www.cisco.com/c/en/us/td/docs/security/ise/1-4/compatibility/ise_sdt.html
http://www.cisco.com/c/en/us/td/docs/security/ise/2-0/compatibility/ise_sdt.html
28
30. Варианты удаленного доступа с МСЭ ASA
Безклиентский
SSL
Базовый доступ к
Web, Email и CIFS
Кастомизированный
экран пользователя
SSL с тонким
клиентом
Плагины (SSH,VNC,
Telnet,RDP, Citrix)
Smart Tunnel
SSL или IPSec
с клиентом
AnyConnect
30
31. Поддержка удаленного доступа Citrix
ASA поддерживает интеграцию с инфраструктурой XenApp или XenDesktop для
организации удаленного доступа к приложениям и виртуальному рабочему столу для
большинства операционных систем ПК и для Apple iOS и Android
• Поддержка XenApp 5-6.5, XenDesktop 5-7.5, Metaframe Presentation 4.X, Storefront 2.1-2.5
• Поддержка Mobile Receiver
• Поддержка HTML5 Web Browser с версии 9.3(2)
Интернет
Сервер XenDesktop
Сервер XenApp
SSL
31
32. Websockets HTML5 Access
С версии 9.1(4) ASA поддерживает Websockets и HTML5 прокси.
Обеспечивает единообразное “полностью бесклиентское” решение на различных ОС
с использованием браузера с поддержкой HTML5 – нет зависимости от Java и ActiveX!
Использует сторонние шлюзы Websockets или ПО для конвертации HTML5 в
серверный протокол, такой как RDP/VNC и т.п.
Ресурс HTML5 представляет собой простую закладку для доступа к Безклиентскому
Web-порталу ASA
Мобильное
устройство с
браузером HTML5
Интернет
ASA
SSL SSL RDP, VNC, CIFS, и т.п.
ПриложениеWebsockets
Gateway/
Server
Интранет
ЦОД
32
33. VPN по приложениям с Anyconnect 4.0
• Традиционный VPN обеспечивает контроль туннелирования трафика на основе списков доступа
(ACL).
• VPN по приложениям позволяет настраивать политики для туннелирования трафика отдельных
приложений.
• Политики создаются с помощью Enterprise Application Selector Tool и ASDM DAP
• Корпоративные/персональные устройства: MDM+ASA для управляемых мобильных устройств, ASA
для неуправляемых устройств
• Поддерживается с версии ASA 9.3(1) для Apple iOS.
iPad/iPhone
iOS 7.0
Интернет
ASA
Интранет
VPN
туннель
33
34. Метод
Win
Pro/
Enterprise
Win
RT
Win
Phone
MacOS
Apple
iOS
Android BB7/10
Clientless/Smart Tunnels/
Plugins/
Да Нет Нет Да Нет Нет Нет
Anyconnect – SSL/IPSec-
IKEv2
Да Нет Да Да Да Да BB10
VMWare (through Smart
Tunnels)
Да Нет Нет Да Нет Нет Нет
Clientless – Mobile Citrix
Receiver
Да Нет Нет Да Да Да Нет
Browser HTML5 support Да Да Да Да Да Да Да
Native VPN support Да Да Нет Да Да Да Нет
Поддержка VPN доступа мобильными устройствами
Более детальная информация о поддерживаемых устройствах и операционных системах:
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html#pgfId-157842
Per Application VPN Нет Нет Нет Нет Да Нет Нет
34
36. Корпоративное устройство vs BYOD
Для задания дифференцированных политик доступа для различных устройств могут быть использованы
следующие инструменты, позволяющие сопоставить специфическую идентификационную информацию об
устройстве с политикой:
1. Машинная аутентификация с аккаунтом рабочей станции в AD или сертификатом:
Идентификация корпоративного устройства
2. Атрибуты сертификата: Атрибуты сертификата могут быть использованы для задания различных
политик для корпоративных и BYOD устройств. Могут использоваться для применения различных политик
авторизации в ASA и ISE.
3. Оценка состояния: Сервисы оценки состояния, заложенные в ASA (для удаленных пользователей), ISE и
MDM могут собирать информацию об устройстве. Например: Идентифицировать корпоративное устройство
на основе наличия ключа реестра о принадлежности к домену Active Directory.
Как применить различные права доступа для корпоративных и персональных
(BYOD) мобильных устройств?
Как запретить подключение BYOD устройств к корпоративной сети?
36
37. Идентификация устройств – атрибуты сертификатов
Поле Common Name (имя компьютера) может быть использовано в ISE для авторизации
доступа на основе проверки наличия в AD аккаунта с таким именем.
Также можно использовать атрибут Domain Member для идентификации корпоративного
устройства.
ISE
37
38. Идентификация устройств – атрибуты сертификатов
Другие поля в сертификатах также могут быть использованы для дифференциации типов устройств и
доступа в ISE и для VPN доступа.
Эти поля заполняются автоматически для сертификатов, сгенерированных автоматически с помощью
групповой политики для компьютеров/устройств и пользовательских сертификатов для членов домена.
OU=Corporate Assets
ISE
38
39. Идентификация устройств – Шаблоны сертификатов
В ISE 1.3 появился новый атрибут, позволяющий использовать в качестве признака
принадлежности устройства к корпоративным ресурсам информацию о шаблоне
сертификата, с помощью которого был выпущен сертификат устройства (только
для внешнего Microsoft CA сервера).
Эта информация может быть использована для предоставления
дифференцированных прав доступа:
Authorization rule1 – Template Name = SCEP_BYOD -> Персональные устройства сотрудников
Authorization rule2 – Template Name = Airwatch_template -> Корпоративные мобильные устройства
Authorization rule3 – Template Name = Computer -> Корпоративные ПК
Authorization rule4 – Template Name = DCE_RPC -> Корпоративные Macbook
Можно задавать дополнительные правила на основе атрибутов в CN/SAN
(например: AD username/groups) или с использованием связки Устройство +
Пользователь.
39
41. Авторизация VPN подключений с сертификатами
• ASA позволяет настроить Certificate map для проверки значения поля DN в
сертификате и выбора определенного профиля подключения (Connection
Profile).
• Может использоваться с IPSec VPN и SSL VPN.
• Может использоваться совместно с локальным CA в ASA или с
сертификатами, выпущенными сторонним CA.
• Для сопоставления могут использоваться следующие значения:
1. Alt-subject-name
2. Subject-name
3. Issuer-name
4. Extended Key Usage (EKU) расширения
41
43. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
Отозвать сертификат на сервере
сертификатов и опубликовать данные
с помощью OCSP
OCSP клиент (ISE) проверяет
статус сертификата в режиме
реального времени
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
43
44. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
Отозвать сертификат на сервере
сертификатов и опубликовать данные
с помощью OCSP
OCSP клиент (ISE) проверяет
статус сертификата в режиме
реального времени
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
44
• Корпоративные/BYOD/MDM устройства с аутентификацией
VPN доступа по сертификатами и аутентификацией по
EAP-TLS
• Охватывает беспроводные, проводные и VPN подключения
• Не поддерживает PEAP-MSCHAPv2
• Задержка между аннулированием и применением из-за
периодичности публикации CRL и кэширования в ISE OCSP
45. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого
аккаунта с полем Certificate Subject. Аналогично с аутентификацией PEAP-MSCHAPv2 на основе
аккаунтов в AD
2
Деактивация аккаунта
пользователя или
компьютера в AD
Поле Subject извлекается и
отправляется в AD для
авторизации
45
46. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого
аккаунта с полем Certificate Subject. Аналогично с аутентификацией PEAP-MSCHAPv2 на основе
аккаунтов в AD
2
Деактивация аккаунта
пользователя или
компьютера в AD
Поле Subject извлекается и
отправляется в AD для
авторизации
46
Subject extracted and sent
to AD for authorization
• Корпоративные/BYOD/MDM устройства с аутентификацией
VPN доступа по сертификатами и аутентификацией по
EAP-TLS
• Поддерживает PEAP-MSCHAPv2/EAP-TLS
• Охватывает беспроводные, проводные и VPN подключения
• Рекомендация: Используйте отзыв сертификатов и
деактивацию аккаунта в AD для повышения безопасности
47. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого аккаунта с
полем Certificate Subject.
2
Стирание устройства в MDM: приведет к удалению сертификата3
47
48. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого аккаунта с
полем Certificate Subject.
2
Стирание устройства в MDM: приведет к удалению сертификата3
48
• Только для устройств под управлением MDM с
аутентификацией EAP-TLS и VPN доступа с
сертификатами
• Для проводного, беспроводного и VPN доступа
• Не поддерживает PEAP-MSCHAPv2
• Сертификат может быть скопирован до стирания,
необходимо отозвать
49. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого
аккаунта с полем Certificate Subject.
2
Стирание устройства в MDM: приведет к удалению сертификата3
Добавление устройства в черный список ISE (Blacklist Endpoint Identity Group)4
49
50. Аннулирование сетевого доступа
Аннулирование сетевого доступа может потребоваться для предотвращения доступа к
сети и корпоративными ресурсам и данным.
Для решения этой задачи существует несколько способов:
1 Аннулирование сертификата с использованием CRL или OCSP (OCSP предпочтительнее):
Деактивация аккаунта в AD: авторизация в ISE не будет успешной при сопоставлении такого
аккаунта с полем Certificate Subject.
2
Стирание устройства в MDM: приведет к удалению сертификата3
Добавление устройства в черный список ISE (Blacklist Endpoint Identity Group)4
50
• Корпоративные/BYOD/MDM устройства
• Незамедлительно вступает в действие
• Для проводного, беспроводного и VPN доступа
• Администратору требуется знать MAC-адрес
устройства (можно найти в ISE)
52. Безопасность Web – рекомендации по внедрению
Решения по защите веб-трафика, такие как Cisco Web Security Appliance (WSA),
обеспечивают определенный набор сервисов для защиты периметра организации.
Обычно, эти устройства не находятся непосредственно на пути прохождения трафика, и
пользовательский трафик должен быть перенаправлен на эти устройства.
Существует три метода перенаправления трафика:
§ Explicit Forward Mode: параметры прокси-сервера настраиваются вручную или автоматически с помощью
Web-Proxy Auto-configuration Protocol (WPAD) в web-браузере.
§ Прозрачный режим: для перенаправления трафика используется протокол Web Cache Control Protocol
(WCCP) между шлюзом веб-безопасности и сетевым устройством.
§ Балансировка: Для крупных внедрений. Балансировщик нагрузки перенаправляет трафик на ферму
устройств WSA.
Важно! Мобильные ОС зачастую обладают весьма ограниченными возможностями по
сравнению с ПК под управлением Windows/MacOS.
52
53. Защита от вредоносного программного кода
Прозрачность & Контроль
AMP для сети
Прозрачность & Контроль
AMP для хостов
• Collective Threat
Intelligence
• File Sandboxing
• File Reputation
• Retrospection
53 53
54. Полная защита среды с помощью Cisco AMP
AMP
Защита
Метод
Идеально
для
Контент
Лицензия для ESA и WSA, а
также для CES и CWS
Пользователей решений Cisco
для защиты электронной почты
и обеспечения безопасности
веб-трафика
Сеть
Отдельное устройство
-или -
Включите AMP на
устройствах FirePOWER или
ISR G2/4k
Пользователей NGIPS/NGFW
и ISR
Хост
Установка на стационарные и
мобильные устройства,
включая виртуальные
Windows, Mac, Android, VM,
Linux
Cisco
Advanced
Malware
Protection
Вектор
угроз Email и Web Сеть Оконечные устройства
56. Заключение
• Способность различать корпоративные и персональные мобильные устройства является
ключевой для обеспечения разграничения доступа к корпоративным приложениям и
данным.
• Идентификация устройств может быть реализована посредством машинной
аутентификации + аутентификации для устройств под управлением Windows/MacOS либо с
использование авторизации по цифровым сертификатам для других устройств.
• Сертификаты могут быть установлены в ручную либо в автоматическом режиме с
использованием SCEP и ASA, ISE и MDM.
• Профилирование и оценка состояния для VPN подключений могут быть использованы для
дифференциации мобильных устройств и персональных компьютеров. Также это отличное
средство для классификации устройств и инвентаризации.
• Несколько методов могут быть использованы для аннулирования сетевого доступа
устройств и пользователей: отзыв сертификатов, деактивация AD аккаунтов, стирание в
MDM и черный список в ISE.
• Поддержка аутентификации и прокси в мобильных операционных системах значительно
отстает от реализации на Windows & MacOS для ПК: может повлиять на дизайн решения
для обеспечения web-безопасности.
56
59. MOBILITY
(временная лицензия)
Cisco ISE – функции и лицензирование
APEX
(временная)
PLUS
(временная)
BASE
(постоянная)
ü Сервисы профилирования & обновления
ü BYOD с встроенным центром
сертификации
ü Cisco pxGrid для обмены контекстом
ü Endpoint Protection Services
ü AAA / 802.1X
ü Гостевые сервисы
ü Cisco TrustSec (SGT)
ü MACsec
ü Внешние RESTful сервисы
ü Сервисы профилирования и приведения
к соответствию
ü Интеграция с MDM
ü Сервисы унифицированного агента
AnyConnect (нужна лицензия AnyConnect Apex)
ü Все функции ISE*, только для БЛВС&VPN
ü Возможность апгрейда до проводной
лицензии
ü ATP не требуется
* Для Унифицированного агента нужна лицензия
AnyConnect Apex
60. Web Security – User Authentication
Organizations typically require users to authenticate to an enterprise directory such as Active
Directory before accessing Internet resources to allow for enforcement of Acceptable Use Policies
per role and to provide auditing for reporting and compliance
Authentication/Identification of user ID can be used to retrieve group attributes for authorization and
URL Filtering
4 methods can be used to authenticate/identify users:
Method Description
Allows Single
Sign-On SSO
Best for
Basic User gets a browser prompt No
Any-BYOD, Corporate,
Consultants
NTLM/SSP Gateway fetches credentials from browser Yes
SSO with Corporate
Devices
Passive
Identification
Retrieval of User to IP address mappings Not Applicable Corporate Devices
Kerberos
Uses “tickets”, mutual authentication and a trusted 3rd-party
Key Distribution Center to prove the identity of clients
Can be used for browser authentication and/or as SSO to
external Web applications
Yes
Corporate, BYOD
supporting it
Preferred
Method
60
61. Feature
Win 8
Pro/
Enterprise
Win
RT
Win
Phone
Apple
iOS
MacOS Android BB7 BB10
Manual Proxy
Configuration
Yes Yes Yes Yes Yes Yes No1 Yes
PAC-WPAD Yes Yes No Yes Yes No1 No Yes
PAC-GPO Yes No No No No No No No
PAC-MDM Yes No No Yes Yes No No No
Basic
Authentication
Yes Yes Yes Yes Yes Yes Yes Yes
NTLM/SSP Yes Yes2 Yes2 Yes2 No Yes2 No Yes2
Kerberos3 Yes No Yes MDM Yes Yes No BES
Passive
Identification
Yes No No No No No No No
Proxy and Authentication Methods Support
1. No support on native browser on Wifi. Supported with the Opera mini-browser and 3rd-party applications (not tested)
2. No Single Sign-On
3. Kerberos functionality is dependent on many factors including browser type, OS and domain membership. N.B.: WSA
supports Chrome, Firefox, Safari and Internet Explorer.
61