More Related Content Similar to Практическая реализация BYOD. Similar to Практическая реализация BYOD. (20) More from Cisco Russia (20) Практическая реализация BYOD. 2. Представляем Cisco
TrustSec
Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь, виртуальной
подключенный машины
по VPN Всеобъемлющий учет
IP-устройства контекста: кто, что, где,
когда, как
Использование
преимуществ сети для
защищенного доступа к
Инфраструктура с контролем критически важным
идентификационных ресурсам, нейтрализации
данных и учетом контекста рисков и поддержания
соответствия
нормативным
требованиям
Централизованное
управление сервисами
защищенного доступа и
Центр обработки Интранет Интернет Зоны безопасности
данных масштабируемыми
средствами обеспечения
соответствия
30.10.2012 Copyright © BMS consulting, 2007 2
3. Архитектура Cisco
TrustSec
ГДЕ
Политики,
ЧТО КОГДА относящиеся к бизнесу
Атрибуты
КТО КАК
политики
безопасности
Модуль централизованных политик
Идентификация
Динамическая политика и реализация
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
Пользователи и
ПРИЛОЖЕНИЯМИ
устройства
30.10.2012 Copyright © BMS consulting, 2007 3
4. Портфель решения Cisco
TrustSec
Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации
Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС
Доступ на основе идентификации – это не опция, а свойство
сети, включая проводные, беспроводные сети и VPN
30.10.2012 Copyright © BMS consulting, 2007 4
5. Контроль
идентификационных данных
Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и
802.1X
профилирование
Функции аутентификации
IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
30.10.2012 Copyright © BMS consulting, 2007 5
6. Идентификация устройств
Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для
30.10.2012 беспроводной сети
Copyrightуправление 2007
© BMS consulting, политиками для соответствует цифровым 6
реализации политик каждого типа устройств меткам
7. Идентификация устройств
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Принтер Личный iPad
ISE
Точка доступа
Политика для Политика для
CDP CDP
принтера LLDP LLDP личного iPad
DHCP DHCP
MAC-адрес MAC-адрес
[поместить в VLAN X] [ограниченный доступ]
Точка
доступа
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
классификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе
с 30.10.2012
использованием относящиеся к устройству, и устройства, сбор данных о политик для данного
7
передает отчет в ISE Copyright © трафике и формирует отчет об
BMS consulting, 2007 пользователя и устройства
инфраструктуры использовании устройства
8. Практические примеры
политики
“Сотрудники могут подключаться
ко всем ресурсам, но имеют
ограниченный доступ на
персональных устройсвтах
Интернет
“Весь трафик
финансового
департамента
Внутренние
должен ресурсы
шифроваться”
Кампусная
“Принтеры имеют Cisco сеть
доступ только к Switch
серверам печати”
Cisco AP Cisco контроллер Cisco® Identity Services Engine
Точка доступа беспроводной
сети
30.10.2012 8
9. Внедрение на основе
802.1Х
Выполнение базовых настроек устройств (коммутация
оборудования в сеть, настройка сети, импорт сертификатов,
сбор кластера)
Настройка работы системы
– Подключение тестового коммутатора
– Подключение тестовых рабочих станций (настройка встроенного
в windows сапликанта)
– Реализация механизма аутентификации по 802.1x
– Тестирование
– Реализация механизма контроля рабочих станций пользователей
на соответствия корпоративным политикам безопасности.
– Тестирование
30.10.2012 Copyright © BMS consulting, 2007 9
10. Что имеем на выходе?
Идентификационная Другие Привилегии
информация условия доступа
Identity: Консультант
Сетевой
админ Отдел кадров
Время и дата
Identity:
Штатный
сотрудник
+ Бухгалтерия
Местоположение Маркетинг
Identity: Гость
Гость
Тип доступа
Запретить
30.10.2012 10
11. Спасибо за внимание
Дмитриев Максим
Maxim_Dmitriev@bms-consulting.com
30.10.2012 Copyright © BMS consulting, 2007 11