More Related Content
Similar to Управление сетевым доступом для корпоративных и персональных устройств.
Similar to Управление сетевым доступом для корпоративных и персональных устройств. (20)
More from Cisco Russia (20)
Управление сетевым доступом для корпоративных и персональных устройств.
- 1. Cisco Expo
2012
Управление
сетевым доступом
для корпоративных
и персональных
устройств
Владимир Илибман
Технический консультант
© 2011 Cisco and/or its affiliates. All rights reserved. 1
- 2. Принимайте активное участие в Cisco Expo и получите в
подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 2
- 3. БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
На каждого пользователя
приходится 3–4 устройства
К 2015 году 15
миллиардов устройств
будут подключаться к сети
40 % сотрудников приносят
свои собственные устройства
на работу
РОСТ “УМНАЯ” ТЕХНИКА
БЫСТРЫЙ РОСТ
ПЕРСОНАЛЬНЫХ c Ethernet
ЧИСЛА УСТРОЙСТВ
© 2011 Cisco and/or its affiliates. All rights reserved. УСТРОЙСТ интерфейсом 3
- 4. Как управлять доступом
в сеть?
Кто должен иметь
доступ ?
К каким ресурсам?
© 2011 Cisco and/or its affiliates. All rights reserved. 4
- 5. Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь,
подключенный
виртуальной
машины “Кто” и “Что”
Прозрачная по VPN
IP-устройства находится в
идентификация моей сети?
Куда могут
Инфраструктура
Контроль с контролем идентификации
иметь доступ
доступа и учетом контекста пользователи/
устройства?
Централизованно
Эффективное е управление и
Центр обработки Интранет Интернет Зоны безопасности
управление данных масштабируемос
Использование существующей ть
инфраструктуры
© 2011 Cisco and/or its affiliates. All rights reserved. 5
- 6. Безопасность, ориентированная на идентификацию и контекст
Политика
ГДЕ
безопасности
ЧТО
Атрибуты
КОГДА
политики
КТО КАК безопасности
Система управления доступом
Cisco ISE
Идентификация
Динамическая политика
Применение
Пользователи и устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
© 2011 Cisco and/or its affiliates. All rights reserved. 6
- 7. Управление
доступом на основе
политик
Identity Services Engine (ISE)
Система политик доступа на основе идентификации
Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000
Идентификация
пользователя и Агент NAC Web-агент Клиент 802.1x
устройства Бесплатные клиенты AnyConnect или встроенный в ОС клиент
Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 7
- 8. Политика
Гостевой Оценка
Сервисы Профилирование
AAA доступ и устройств
состояния
(NAC)
BYOD
Технологии
реализации VLAN Security Group
ACL
политик ACL
Протоколы и 802.1X-REV
MacSec Security Group
стандарты Radius
802.1X MAB
(802.1AE) Tagging и SXP
WebAuth
© 2011 Cisco and/or its affiliates. All rights reserved. 8
- 9. MAC Тип и класс устройства ?
802.1x Корпоративное или персональное ?
Профилирован
Соответствие политике ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
Шлюз камеры Вася Пупкин Личный iPad
видеонаблюдения Консультант Собственность гостя
Центральный офис, Беспроводный центральный
Автономный ресурс
отдел стратегий офис
Служебный нетбук
Маша Петрова Федор Калязин
Сотрудник, служба Гость
маркетинга Беспроводная сеть
Служебный десктоп MacBook Air
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ
802.1X Интеграция сервисов идентификации и контроля
Сотрудник, Контрактник или Гость ?
NAC АГЕНТ
доступа. Решение Cisco ISE.
Роль в организации ?
http://www.ciscoexpo.ru/expo2011/downloads/
Дополнительные атрибуты из внешнего каталога ?
WebAuth
materials/security/voilibma_ISE_expo.pdf
© 2011 Cisco and/or its affiliates. All rights reserved. 9
- 10. © 2011 Cisco and/or its affiliates. All rights reserved. 10
- 11. Принтеры IP камеры Сигнализация
Беспроводные APs Турникеты
Факсы/МФУ
Системы
Станции Управляемые UPS жизнеобеспечения
видеоконференцийи
Платежные Торговые машины
IP телефоны терминалы и кассы
Медицинское Кофеварки
Хабы оборудоваие
. . . и многое другое
© 2011 Cisco and/or its affiliates. All rights reserved. 11
- 12. Набор для подключения к сети Интернет*
новый мир к@фе
! Модель IMPRESSA F90 первая
совместимая с Интернетом бытовая
кофемашина для приготовления эспрессо
благодаря запатентованному комплекту
Internet Connectivity©.
! С помощью набора для подключения Вы
можете связать свою машину с
персональным компьютером и с сетью
Интернет.
! Запрограммируйте на компьютере ваши
любимые рецепты и загрузите их в кофе-
машину.
© 2011 Cisco and/or its affiliates. All rights reserved. 12
- 13. • Одно устройств
Добавляем вручную
• Множество устройств
•
LDAP импорт
Импорт файлов
© 2011 Cisco and/or its affiliates. All rights reserved. 13
- 14. Профилирование обеспечивает возможность автоматической
классификации устройства
• Обнаружение и классификация основаны на цифровых
отпечатках устройств
Profiling Attribute Sources
HTTP DHCP NETFLOW
DNS RADIUS SNMP
• Дополнительные преимущества профилирования
Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
Выбирается “наилучшее” предположение
• Профилирование дополняет идентификацию по MAC-адресам
или 802.1x
© 2011 Cisco and/or its affiliates. All rights reserved. 14
- 15. Device&Profile Unique&A1ributes Probes&Used Collec7on&Method
Cisco&IP&Phone OUI RADIUS RADIUS&Authen7ca7on
CDP SNMP&Query Triggered&by&RADIUS&Start
IP&Camera OUI RADIUS RADIUS&Authen7ca7on
CDP SNMP&Query Triggered&by&RADIUS&Start
Printer OUI RADIUS RADIUS&Authen7ca7on
DHCP&Class&Iden7fier DHCP IP&Helper&from&local&L3&switch&SVI
POS&Sta7on&& MAC&Address RADIUS&(MAC& RADIUS&Authen7ca7on
(sta7c&IP) Address&discovery)
ARP&Cache&for&MAC&to&IP&mapping SNMP&Query Triggered&by&RADIUS&Start
DNS&name DNS Triggered&by&IP&Discovery
Apple&iPad/ OUI RADIUS RADIUS&Authen7ca7on
iPhone
Browser&User&Agent HTTP Authoriza7on&Policy&posture&redirect&to&
central&Policy&Service&node&cluster
DHCP&Class&Iden7fier&+&MAC&to&IP& DHCP IP&Helper&from&local&L3&switch&SVI
mapping
Device&X MAC&Address RADIUS&(MAC& RADIUS&Authen7ca7on
Address&discovery)
Requested&IP&Address&for&MAC&to&IP& DHCP RSPAN&of&DHCP&Server&ports&to&local&Policy&
mapping Service&node
Op7onal&to&acquire&ARP&Cache&for& SNMP&Query Triggered&by&RADIUS&Start
MAC&to&IP&mapping
Port&#&traffic&to&Des7na7on&IP NetFlow NetFlow&export&from&Distribu7on&6500&
© 2011 Cisco and/or its affiliates. All rights reserved.
switch&to¢ral&Policy&Service&node 15
- 16. © 2011 Cisco and/or its affiliates. All rights reserved. 16
- 17. © 2011 Cisco and/or its affiliates. All rights reserved. 17
- 18. Новый
функционал
Интегрированное профилирование:
прозрачность и масштабируемость
Сетевая инфраструктура обеспечивает локальную
функцию распознавания устройств
Данные контекста передаются через RADIUS в Активное
ISE сканирование
оконечных
устройств
Активное сканирование:
повышенная точность
ISE расширяет пассивную телеметрию сети
данными активной телеметрии оконечных ISE
устройств
Web-лента данных
об устройствах
Web-лента обновлений профилей
устройств*
Сенсор устройств
Вендоры и партнеры будут предоставлять (функция сети)
обновления для новых устройств
ISE автоматически получает пакеты обновлений
через CCO Сенсор устройств Cisco * запланировано на осень 2012 г.
© 2011 Cisco and/or its affiliates. All rights reserved. 18
- 19. Автоматическая классификация устройств с использованием
инфраструктуры Cisco
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Принтер Личный iPad
ISE
Точка доступа
Политика для Политика для
CDP CDP
принтера LLDP LLDP личного iPad
DHCP DHCP
MAC-адрес MAC-адрес
[поместить в VLAN X] [ограниченный доступ]
Точка
доступа
Решение
Собираем данные об устройстве распределено –
анализируем централизованно на Cisco ISE 19
© 2011 Cisco and/or its affiliates. All rights reserved.
- 20. • IOS Sensor:
- Агрегирует и передает информацию профилирования через
протокол RADIUS между коммутатором и ISE
- Преимущества: улучшенная масштабируемость
• Функциональность:
1. IOS коммутаторы собирают DHCP, LLDP и CDP данные.
2. Данные высылаются на ISE как cisco-av-pairs в RADIUS Accounting.
3. ISE Profiler извлекает данные DHCP, LLDP и CDP и использует их
для профилирования.
- Совместимость:
- Поддерживается на IOS 15.0(1)SE1 для Cat 3K
- Поддерживается на IOS 15.1(1)SG для Cat 4K
- Поддерживается на WLC 7.2 MR1 release - DHCP data only.
- Требуется версия ISE 1.1 и выше
© 2011 Cisco and/or its affiliates. All rights reserved. 20
- 21. Утилита NMAP встроена в
ISE 1.1, и позволяет
профайлеру детектировать
новые устройства с помощью
сканирования сети и
классифицировать конечные
устройства, основываясь на
детектировании
операционной системе
© 2011 Cisco and/or its affiliates. All rights reserved. 21
- 22. Что= ? Кто= Сотрудник
Права доступа= Авторизация
• Employee_PC Set VLAN = 20 (Полный доступ)
• Employee_iPAD Set VLAN = 30 (Только Интернет)
© 2011 Cisco and/or its affiliates. All rights reserved. 22
- 23. © 2011 Cisco and/or its affiliates. All rights reserved. 23
- 24. Где находится BYOD ?
Управляемые BYOD
пользователи
Управляемые Неуправляемые
устройства устройства
Гости
“Неуправляемые”
пользователи
© 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. Ограниченный Базовый Расширенный Передовой
Корпор.
Среда требует Базовый сервис Разные права
приложений +
жесткого и удобный доступа +
корпор. контроль
контроля доступ автоматизация
Только Выход в Интернет Автоматическая Compliance – MDM,
устройства для неуправляемых конфигурация шифрование, PIN
компании. устройств устройства. VPN Lock…
© 2011 Cisco and/or its affiliates. All rights reserved. 25
- 26. ОГРАНИЧЕННЫЙ
BYOD
Я знаю тебя, но докажи что ты используешь корпоративное устройство
• Идентификация пользователя… Привет, я Маша,
мой пароль
*******
• Логин/пароль (802.1X или WebAuth)
Корпоративный ID
• Пользовательский сертификат (802.1X) пользователь
00:11:22:AA:BB
• “Идентичность” устройства … :CC
• MAC адрес? ID
• Машинный сертификат (802.1X)
Корпоративное
устройство ?
• Как я могу связать это в единой
политике?
Насколько
Политика
Пользо
ватель + Устройство = доступа достоверна
информация?
© 2011 Cisco and/or its affiliates. All rights reserved. 26
- 27. Машинный сертификат является
достаточно надежным методом
идентификации, но секретный ключ и
сертификат технически возможно
продублировать"
Поэтому можно дополнительно проверять:
• MAC-адрес соответствует адресу в сертификате
• MAC-адрес находится в корпоративном WhiteList
• Тип устройства соответствует корпоративному
(профилирование в ISE)
• В реестре и файловой системе устройства находятся
корпоративные метки (NAC функционал ISE)
© 2011 Cisco and/or its affiliates. All rights reserved. 27
- 28. New
• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса
• Позволяет легче использовать результат проверки в политике ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 28
- 29. © 2011 Cisco and/or its affiliates. All rights reserved. 29
- 30. Вовлечение конечного
пользователя в управление
Модель самообслуживания
Портал регистрации устройств пользователя,
портал для приглашения гостей
Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств,
саморегистрация, выделение ресурсов
запрашивающему клиенту
Снижение нагрузки на службу технической
поддержки
Простой, интуитивно понятный интерфейс
пользователя
© 2011 Cisco and/or its affiliates. All rights reserved. 30
- 31. БАЗОВЫЙ
СЦЕНАРИЙ
Гостевые политики Web-
аутентификация
Интернет
ISE
Беспроводный или Гости и
проводной доступ
сотрудники с
Доступ только к персональными
Интернету устройствами
Выделение ресурсов: Управление: Отчет: Обратить внимание:
Создание гостевых учетных Записи создают по всем аспектам гостевых Необходимо периодически
записей на спонсорском администраторы или сами учетных записей вводить веб-логин. Возможны
портале либо сотрудники (права злоупотребления со стороны
использование AD
© 2011 Cisco and/or its affiliates. All rights reserved. определяются в AD). сотрудников 31
- 32. РАСШИРЕННЫЙ
СЦЕНАРИЙ
Автоматизация подключения и эффективное управление
ISE
Политика
Ресурсы
Устройство
Компании
компании
SSID Wireless LAN
контроллер Интернет-
Сотрудница
Маша доступ
Персональное
устройство
• Возможность саморегистрации персональных устройств
• Надежная идентификация устройств по сертификатам
• Поддержка подключения изнутри и снаружи сети
• Дифференциация доступом на основе информации из AD/LDAP
• Единая политика доступа привязанная к бизнес-правилам
© 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. Разные типы локального и удаленного доступа + Автоматизация настройки
ISE
NCS Prime
AD/LDAP
(External ID/
Attribute Store)
Cisco Catalyst WLAN Cisco ASA
Switches Controller
CSM / ASDM
Wired
Network
Devices
Проводной доступ Беспроводный доступ Удаленный доступ
© 2011 Cisco and/or its affiliates. All rights reserved. 33
- 34. ISE
1.1.1
Для управления доступом персональных устройств
Автоматическая конфигурация сапликанта 802.1x на
поддерживаемых платформах
Портал регистрации устройств
Выдача сертификатов с дополнительными атрибутами
Дифференциация сервисов на основе сертификатов.
Защита от копирования сертификатов
Ведение “черного” списка и переинициализация
устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 34
- 35. New
• Позволяет сотрудниками
зарегистрировать и
настроить их личные
устройства
• Регистрация устройства
• Device ID (MAC адрес)
определяется автоматически
• Автозапуск утилиты для
настройки сапликанта 802.1x
и получения сертификатов на
устройстве
• Ограничение количества
устройств на сотрудника
• Возможность удалить/
заблокировать утерянное
устройство
© 2011 Cisco and/or its affiliates. All rights reserved. 35
- 36. Маша User Name = Mary
Password = ******* Мария подключается к корпоративной
SSID вводя доменный логин и пароль
(протокол EAP-MSCHAP)
1
Персональный SSID’s
iPad Secure
Проиходит веб-
редирект на портал
2 регистрации
Access Point
Wireless LAN Controller
Регистрация устройства
Настройка сертификатов
3
Конфигурация сапликанта
Мария подключается к SSID
Secure с помощью сертификата
(протокол EAP-TLS)
ISE AD/LDAP
© 2011 Cisco and/or its affiliates. All rights reserved. 36
- 37. Маша
Мария подключается к Open SSID
1
Персональный SSID’s
iPad Open
Secure
2 Перенаправление на
гостевой портал
Access Point
Wireless LAN Controller
1. Регистрация устройства
2. Настройка сертификатов
3. Конфигурация
3 сапликанта
4. Переподключение к SSID
User Name = Mary Secure по сертификату
Password = ******* (протокол EAP-TLS)
ISE AD/LDAP
© 2011 Cisco and/or its affiliates. All rights reserved. 37
- 38. Поддерживаемые устройства
Apple iOS OTA
• Настройка сапликанта 802.1x регистрация
(PEAP, TLS) на большинстве
устройств:
• Windows – XP, Vista & 7
• MAC – OS X 10.6 & 10.7
• iOS – iPhone 3G, 3GS, 4 и 4S, iPad
• Android – 2.2 и выше
• Автоматизация получения
сертификатов, включая
дополнительные атрибуты
username, MAC, UDID, IMEI
Помощник для Android
из Google Marketplace
Утилита для Windows &
MacOS
© 2011 Cisco and/or its affiliates. All rights reserved. 38
- 39. • Позволяет
пользователю видеть
список своих
устройств
• Позволяет добавлять/
удалять и вносить в
черный список
• Делает возможным
ручное добавление
персональных
устройств без
настройки сапликанта
• Портал изначально
поддерживает русский
язык
© 2011 Cisco and/or its affiliates. All rights reserved. 39
- 40. New
• Функции самостоятельного
управления
• Add - Создание записи для
персонального устройства
• Edit – Позволяет сотруднику
персонализировать описание
устройства
• Delete – Удаляет устройство
из списка
• Lost? (Blacklist) – Мгновенно
блокирует устройство с
уведомлением (Change of
Authorization)
• Reinstate – Позволяет заново
активировать устройство
© 2011 Cisco and/or its affiliates. All rights reserved. 40
- 41. New
Registered BYOD User Results
© 2011 Cisco and/or its affiliates. All rights reserved. 41
- 42. © 2011 Cisco and/or its affiliates. All rights reserved. 42
- 43. Экосистема MDM
ИНТЕГРАЦИЯ С ОСНОВНЫМИ
AD/LDAP
MDM ВЕНДОРАМИ
ISE
MDM
Manager
? • Экосистема делает возможным
выбор решения заказчиком
Cisco Catalyst
Switches
Cisco WLAN
Controller Функционал:
• API для интеграции с MDM
User X User Y
• Использование в политике ISE
информации от MDM о мобильном
устройстве
• Инициация действий с уcтройством
через интерфейс ISE
Window or OS X Smartphones including iOS
Computers or Android Devices
* Scheduled for Fall 2012
Wired or Wireless Wireless
© 2011 Cisco and/or its affiliates. All rights reserved. 43
- 44. • ISE через MDM API, может
проверять
Общее соответствие устройства политике
( Compliant или не-Compliant ) -или-
• Есть ли шифрование диска
• Pin lock
• Наличие джейлбрейка
• ….
• После подключения в сеть делается
периодический опрос системы MDM
о соответствии пользовательских
устройств.
- Если результат проверки негативный –
устройство принудительно отключается
от сети
© 2011 Cisco and/or its affiliates. All rights reserved. 44
- 45. • Предоставляет возможность администратору и пользователю
в ISE удаленно инициировать действия с мобильным
устройством на MDM сервере
• Производится через
Портал Мои устройства
Endpoints Directory в ISE
Опции
• Редактировать
• Переинициал.
• Потерян?
• Удалить
• Полная очистка
• Корпор. очистка
• PIN Lock
© 2011 Cisco and/or its affiliates. All rights reserved. 45
- 46. Управление мобильными устройствами
ISE MDM
Network Policy Соответствие Управление
Классификация/Enforcement политике приложениями и
Профилирование Регистрация (Jailbreak, Pin образами
Lock, etc.) Бэкап
Безопасный сетевой доступ Enterprise
(Wireless, Wired, VPN) Настройка App Policy
сертификатов и Защита от утечек
Управление сетевым саппликанта .1x информации Инвентаризация
доступом на основе (шифрование,
контекста очистка)
ISE 1.0 & 1.1 ISE 1.1.1 (Jul ‘12) ISE 1.2 (Winter ‘12)
Встроенный в ISE Встроенный в ISE
функционал ISE – MDM API
функционал
• Enrollment/ • Дополнительная
• Profiling
Registration информация и
• Authentication
• Self-Enroll Portal проверки от MDM
• Policy Enforcement
• Certificate Enrollment • Очистка данных
• etc.
• Blacklisting
© 2011 Cisco and/or its affiliates. All rights reserved. 46
- 47. © 2011 Cisco and/or its affiliates. All rights reserved. 47
- 48. Лицензия ISE для
Базовая Расширенная
беспроводного
лицензия ISE лицензия ISE
доступа
Авторизованы ли мои Соответствуют ли мои устройства
оконечные устройства? нормативным требованиям? Базовая + Расширенная
• Аутентификация / • Профилирование устройств • Все базовые сервисы
авторизация • Оценка состояния узла • Все расширенные
• Гостевой доступ • Доступ для групп сервисы
• Политики шифрования безопасности • Только для беспроводных
MacSec • Новый BYOD функционал устройств
Бессрочное лицензирование Лицензирование на срок 3 года / 5 лет Лицензирование на срок 3/5 лет
Платформы устройства
Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство
Примечание. Расширенная лицензия не включает базовую
© 2011 Cisco and/or its affiliates. All rights reserved. 48
- 49. Замена оборудования в Круглосуточный Центр
Киеве в течение 4-х часов. техподдержки (бесплатный
По Украине – следующий номер 0-800-301-20-90, с
рабочий день 10 до 16 часов –
русскоязычная поддержка)
Обновление сигнатур, Cisco.com
апдейты и апгрейды Доступ к
IOS информациионным
ресурсам и обучению
© 2011 Cisco and/or its affiliates. All rights reserved. 49
- 50. ACS NAC Guest NAC Profiler NAC Manager NAC Server
• Выпускаемое оборудование допускает программное обновление
(1121/3315/3355/3395)
• Программа миграции для старого оборудования с большими скидками
• Программа миграции для всех лицензий на программное обеспечение
• Имеются инструментальные средства для миграции данных и конфигураций*
* Будет реализовано в последующих выпусках
Identity Services Engine
Существующие инвестиции защищены
© 2011 Cisco and/or its affiliates. All rights reserved. 50
- 51. Cisco ISE Профилирование и «BYOD – принеси
классификация свое собственное
устройств устройство»
Управляем доступом Строим политики с Безопасное включаем и
в сеть на основе учетом того “ЧТО” управляем
политик включается в сеть” персональными
безопасности устройствами
www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba
© 2011 Cisco and/or its affiliates. All rights reserved. 51
- 52. dVLAN
Ingress Enforcement RADIUS
Wireless Named ACLs Guest Services
user Cisco
Cisco® Posture
ISE
Wireless Profiler
Controller
SXP
Campus
Wired Network
user
MACsec Cat 6K
Cisco® Nexus® 7K, 5K and 2K
AnyConnect Catalyst® Switch Switch
dVLAN Data Center
Ingress Enforcement
dACLs / Named ACLs
SXP Egress Enforcement
SGACLs
Site-to-Site ASR1K
VPN user WAN
ISR G2 with integrated switch
© 2011 Cisco and/or its affiliates. All rights reserved. 52