Post on 12-Jun-2015
Copyright © BMS consulting, 2007
Практическая реализация
BYOD
Дмитриев Максим
Maxim_Dmitriev@bms-consulting.com
30.10.2012 2
Представляем Cisco
TrustSec
Copyright © BMS consulting, 2007
Всеобъемлющий учет
контекста: кто, что, где,
когда, как
Использование
преимуществ сети для
защищенного доступа к
критически важным
ресурсам, нейтрализации
рисков и поддержания
соответствия
нормативным
требованиям
Централизованное
управление сервисами
защищенного доступа и
масштабируемыми
средствами обеспечения
соответствия
Центр обработки данных
Интранет Интернет Зоны безопасности
Инфраструктура с контролем
идентификационных
данных и учетом контекста
IP-устройства
Удаленный пользователь, подключенный
по VPN
Пользователь беспроводной
сети / гость
Сотрудник Клиент
виртуальной машины
30.10.2012 3
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
Архитектура Cisco
TrustSec
Copyright © BMS consulting, 2007
Пользователи и
устройства
Атрибуты
политики
безопасности
Политики,
относящиеся к бизнесу
Модуль централизованных политик
Динамическая политика и реализация
УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И
ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК
БЕЗОПАСНОСТИ
30.10.2012 4
Портфель решения Cisco
TrustSec
Copyright © BMS consulting, 2007
Администрирование
политики Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации
Реализация
политик
На основе TrustSec Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
инфраструктура беспроводной сети и маршрутизации
Доступ на основе идентификации – это не опция, а свойство
сети, включая проводные, беспроводные сети и VPN
Информация
о политике
На основе TrustSec
Агент NAC Web-агент
AnyConnect или запрашивающий
клиент, встроенный в ОС
Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным
подключением для оценки состояния и устранения проблем
30.10.2012 5
Контроль
идентификационных данных
Copyright © BMS consulting, 2007
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
настольных систем
Сетевое
устройство
802.1X
IP-
телефоны
Авторизо-
ванные
пользователи
Гости
MAB и
профилирование
Планшеты
Функции аутентификации
IEEE 802.1x Обход аутентификации по
MAC-адресам
Web-
аутентификация
Коммутатор Cisco Catalyst®
30.10.2012 6
Идентификация устройств
Copyright © BMS consulting, 2007
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети
Должно быть предусмотрено управление политиками для каждого типа устройств
Необходима гарантия того, что устройство соответствует цифровым меткам
Быстрый рост числа
устройств
и идентификация для
реализации политик
Проблема
30.10.2012 7
Идентификация устройств
Copyright © BMS consulting, 2007
Политика для
личного iPad
[ограниченный доступ]
Точка доступа Политика для
принтера
[поместить в VLAN X]
Принтер Личный iPad ISE
CDP
LLDP
DHCP MAC-адрес
CDP
LLDP
DHCP MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
ПОЛИТИКА
Точка
доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная
классификация устройств
с использованием
инфраструктуры
Решение
30.10.2012 8
Практические примеры
политики
Интернет
Кампусная
сеть “Принтеры имеют
доступ только к
серверам печати”
“Сотрудники могут подключаться
ко всем ресурсам, но имеют
ограниченный доступ на
персональных устройсвтах
“Весь трафик
финансового
департамента
должен
шифроваться”
Внутренние
ресурсы
Cisco контроллер
беспроводной
сети
Точка доступа Cisco® Identity Services Engine Cisco AP
Cisco
Switch
30.10.2012 9
Внедрение на основе
802.1Х
Выполнение базовых настроек устройств (коммутация
оборудования в сеть, настройка сети, импорт сертификатов,
сбор кластера)
Настройка работы системы
– Подключение тестового коммутатора
– Подключение тестовых рабочих станций (настройка встроенного
в windows сапликанта)
– Реализация механизма аутентификации по 802.1x
– Тестирование
– Реализация механизма контроля рабочих станций пользователей
на соответствия корпоративным политикам безопасности.
– Тестирование
Copyright © BMS consulting, 2007
30.10.2012 10
Что имеем на выходе?
+
Идентификационная
информация
Identity:
Сетевой
админ
Identity:
Штатный
сотрудник
Identity:
Гость
Привилегии
доступа
Консультант
Отдел кадров
Бухгалтерия
Маркетинг
Запретить
Гость
Другие
условия
Время и дата
Тип доступа
Местоположение
30.10.2012 11
Спасибо за внимание
Copyright © BMS consulting, 2007
Дмитриев Максим
Maxim_Dmitriev@bms-consulting.com