Кулинарный мастер-класс "Готовим безопасный офис...

Кулинарный мастер-класс

"Готовим безопасный офис

нового поколения на

основе Cisco IOS"Сергей Кучеренко

18 ноября 2013

[email protected]

ведущий:

mailto:[email protected]

В программе мастер класса:

Что может понадобится в безопасном офисе нового поколения?

Из чего готовить безопасный офис

Процесс приготовления и его особенности

Презентация готового блюда

Note: Слайды помеченные этим значком били для данной демонстрации

Что может понадобится в безопасном офисе?

Доступ для пользователей а не адресов – проводной и беспроводной доступ на основе групповой принадлежности пользователя для PC и Laptop

Защита от Web угроз и контроль рабочего времени – политики доступа к Web на основании групповой или сетевой принадлежности пользователей для PC и Laptopи мобильных устройств

BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push сетевых настроек для безопасного подключение я корпоративной сети, установка корпоративных приложений, защита от утери и кражи устройства

Нам понадобится:

Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут при приготовлении использованы следующий компоненты: User Based Firewall Transparent ZBF ScanSafe Connector LDAP Server in AAA

Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 в ходе приготовления был использован интегрированный в ISR WLC на основе ISM-SRE-300 с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы следующий компоненты: WEB Passthrough Authentication 802.1X Authentication/Authorization

Из чего готовить безопасный офис

Microsoft Windows Server – при приготовлении был использован Windows Server 2008 R2 64-bit со следующими ролями: Доменная Служба Active Directory DNS-сервер Служба политик сети и доступа (NPS) Служба сертификации Active Directory

Meraki Systems Manager – облачный Mobile Device Manager, использование данного продукта бесплатно. В ходе приготовлении используется: Push сетевых настроек на мобильные устройства для 802.1x подключений

Нам понадобится (продолжение):

Процесс приготовления и его особенности

Представить/Спланировать/Нарисовать

G0/0

G0

/0.5

0 S

F_D

ata

19

2.1

68.

32.

0/2

4

G0

/0.1

30

SF_S

RV

19

2.1

68.

30.

0/2

4

G0

/0.5

0 S

F_M

ng

19

2.1

68.

95.

0/2

4

Vlan 95 SF_Mng 192.168.95.0/24

Vlan 50 SF_Data 192.168.32.0/24

Vlan 96 SF_Open 192.168.96.0/24

Vlan 97 SF_Sales192.168.97.0/24

Vlan 98 SF_TR 192.168.98.0/24

SF_Open

SF_Corp

Sales Resources

Trainer Resources

.20

.10

.4 .4 .1

.10

.2

.2

.2

.2

G0/2Internet.1

.1

.1

Vlan 95 SF_Mng – MNG zoneVlan 50 SF_Data – IN zoneVlan 96 SF_Open – GUEST zoneVlan 97 SF_Sales – SALES_WF zoneVlan 98 SF_TR – TR_WF zoneVlan 30 SF_SRV – SRV zoneG0/2 – OUT zone

Pair IN_OUTPair IN_SRVPair OUT_SRVPair GUEST_OUTPair SLAES_WF_SRVPair TR_WF_SRVPair MNG_MNGPair IN_INPair SLAES_WF_OUTPair TR_WF_OUTPair SLAES_WF_INPair TR_WF_IN

Глобальные Этапы приготовления:

1. User Based Firewall

2. ScnaSafe Connector

3. WLC Setup

4. MS Network Policy Server setup

5. Meraki Systems Manager setup

1. User Based Firewall

Новый подход позволяющий в качестве match в class-map type inspect использовать user-group

user-group – для получения информации о групповой принадлежности пользователей используется функционал Authentication Proxy.

Authentication Proxy – Функция позволяющая провести аутентификацию пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с помощью протоколов:

Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот пакет и возвращает пользователю запрос username/password. После ввода проводится проверка пользователя по одному из доступных способов аутентификации. Если способ аутентификации это предусматривает нам маршрутизатор возвращается информация о групповой принадлежности пользователя в случаи успешной аутентификации

FTP – процесс проходит аналогично за исключением того что пользователь должен инициировать FTP запрос для начала процедуры аутентификации

HTTP – для проведения аутентификации используется http или httpsпри использовании http authentication proxy аутентификация можетпроходить в двух режимах:

1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не включен ip http secure-server передача пользовательских login/password происходит в открытом виде. В случае если secure-server включен аутентификация проходит через https. Если на маршрутизаторе используется само подписанный сертификат пользователь всегда будет видеть сообщении об ошибке сертификата:

Для того чтоб ошибка сертификата не появлялась требуется: Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации” Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate

Authority

В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP

Режимы HTTP аутентификации:

2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на адрес virtual-proxy, но маршрутизатор пытается получить информацию о аутентификации пользователя прозрачно запрашивая NTLM enabled browser (IE/Mozilla/Chrome). В качестве username/password используются те что были введены при входе в систему* Credentials пользователя никогда не передаются в открытом виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на сервер аутентификации.

При использовании NTLMSSP на клиентской стороне следует: Для Internet Explorer добавить IP/Name virtual-proxy в список trusted-sites

Для Firefox при использовании Virtual-Proxy IP без name может понадобится изменить файл конфигурации

* - работает только на ПК под управлением Windows, ПК должны быть членами Domain, пользовательский вход должен осуществляется с помощью доменной учетной записи

В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)

local – в качестве базы пользователей используется локальная база данных маршрутизатора при использовании данного подхода нет возможности предоставить групповую информацию (Для User Based ZBF не применимо)

radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор воспринимает как имя группы

ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldapвозвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=”с помощью default attribute map

Способы аутентификации:

Как это работает?RADIUS

LDAP

HTTP Request

IP Admission Rule

HTTP Redirect to Virtual Proxy IP IF NTLM with

HASH request

HTTP Request Virtual Proxy IP IF NTLM with

HASH

Authentication Request

Authentication Response

HTTP Basic


AAA Rule

Authentication ResponseCisco AV Pair

“supplicant-group=“

Attribute Map



“memberOF=“

class-map type inspect match usergroup

policy-map type inspect class type inspect

inspect

zone-pair security

Последовательность настройки User Based Firewall:

1. Настройка серверов аутентификацииa) RADIUS MS в IOSb) LDAP MS в IOSc) Настройка Microsoft NAP для возврата информации о группах через Radius

2. Настройка правила AAA для authentication-proxy

3. Настройка политику authentication-proxya) Протокол с помощью которого проходит аутентификация/Исключения из

аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDNb) Изменение таймеров по умолчаниюc) Назначение authentication-proxy на интерфейс

4. Настройка ZBF с использованием Group-Info

5. Проверка настроек

Особенности Приготовления

b) LDAP MS в IOS

Создаем и настраиваем LDAP server

R1(config)#ldap server name

name – имя объекта конфигурации, не FQDN сервера

R1(config-ldap-server)#ipv4 address

R1(config-ldap-server)# transport port port (3268 default for MS)

R1(config-ldap-server)#base-dn dn-name

dn-name – точка с которой следует начинать поиск пользователя в домене, обычно корень домена

R1(config-ldap-server)# bind authenticate root-dn username-dn password password

username-dn – DN пользователя под которым будет подключатся Router, пользователя должен иметь достаточно прав для проведения search/read/lookup, далее мы указываем пароль этого пользователя

R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)

Создаем AAA server-group

R1(config)#aaa group server ldap name

name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaagroup server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа будет использоваться при создании правил аутентификации/авторизации

R1(config-ldap-sg)#server ldap server name

2. Настройка правил AAA для authentication-proxy

Включаем AAA Framework

R1(config)#aaa new-model

Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP)будет требоваться локальная аутентификация. Перед выполнением следует убедится что на устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных:

R1(config)#enable secret passwordR1(config)#username name secret password

Создание правила аутентификации

R1(config)#aaa authentication login list name group {radius|ldap grup name}

list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к authentication-proxy{radius|ldap grup name} – Radius указывает что для проведения аутентификации будут использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь следует указать имя созданной в шаге 2.с) aaa group server ldap

Создание правила авторизации

R1(config)#aaa authorization network list name group {radius|ldap grup name}

login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к authentication-proxy{radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать имя созданной в шаге 2 с) aaa group server ldap

3. Настройка политику authentication-proxy

a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN

Исключения

Для исключений создается extended ACL в котором deny строки являются исключением из правила (ex: Корпоративный AD/DNS сервер)

Протокол для проведения аутентификации

R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name

auth-proxy name – имя правила authentication-proxy, в последующем именованное правило назначается на интерфейс. Для всех настроек имя должно совпадать.ACL name – ACL для исключений созданный в предыдущем шаге

Режим аутентификации для HTTP

R1(config)#ip admission name auth-proxy name {http-basic|ntlm}

R1(config)#ip admission name auth-proxy name order {http-basic|ntlm}

Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается такой же режим как и в предыдущем шаге.

Virtual IP/Virtual FQDN

R1(config)#ip admission virtual-ip ip virtual-host name

ip – любой не используемы в сети IP address (ex:1.1.1.1), не может быть адресом маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для аутентификации

name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN (ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если задано name перенаправлении всегда идет на имя.

Листы AAA

R1(config)# ip admission name name method-list authentication list name authorization list name

Указываются имена листов созданных в шаге 2.

b) Изменение таймеров по умолчанию

У Auth-proxy существует два основных таймера:

Inactivity Timer – сколько сессия может быть неактивной прежде чем кеш аутентификации будет удален (def=60 min)

Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет)

Временные ограничения также могут быть наложены двумя способами:

Global – для всех ip admission rules

Per-rule – для каждого ip admission rules name

c) Назначение Authentication proxy на интерфейс

Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и проводить аутентификацию:

R1(config)#interface type numberR1(config-subif)#ip admission name

name – имя правила authentication proxy созданного в предыдущих шагах

4. Настройка ZBF с использованием Group-Info

При создании class-map type inspect используется способ поиска match-all и в такой class-map выставляется match user-group, match class-map (match-any) с перечнем приложений, и при необходимости match access-group для ограничения по IP адресам

Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс или классы и размещать их выше классов с match по user-group в policy-map type inspect

5. Проверка настроекДля проверки успешного прохождения аутентификации и корректной передачи информации о группах:

R1#test aaa group radius username password legacyR1#tes aaa group ldap group username password new-code

Эти тест можно проводить с параллельно включенным debug:

R1#debug radiusR1#debug ldap all

Мониторинг работы auth-proxy:

R1#sh ip admission cache

Очистка Cache:

R1#clear ip admission cache {*|username}

R1#sh ip admission cache username user

ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:

URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на постоянной основе так и на основе временных рамок

File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также могут быть постоянными либо привязанными к определённым временным диапазонам

Application Filtering – распознавание и фильтрация различных Web based приложений (ex: разрешить Facebook но заблокировать Facebook игры)

Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых сайтов а так же сканирования содержимого этих сайтов

2. ScnaSafe Connector

ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта функция позволяет перенаправлять пользовательский HTTP/HTTPS в облако. При перенаправлении к пользовательскому пакеты может быть добавлена информация о username/group для более гибкого наложения политик доступа. Информация о пользователе и группе всегда передается в зашифрованном виде.

Перенаправление может осуществляется:

Без аутентификации – в этом случаи все пользователи трафик которых был направлен для фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность назначить различные group на разные интерфейсы ISR в этом случае пользователи находящиеся на разных интерфейсах могут принадлежать разным группам.

С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в перенаправляемый пакет информацию о username/group. Аутентификация рабоатет только через http/https и может проходить в двух уже известных режимах:

HTTP Basic NTLM

Как это работает? AAA Rule

IP Admission Rule

HTTP Request vk.com

HTTP Redirect to Virtual Proxy IPIF NTLM with HASH request

HTTP Request Virtual Proxy IP IF NTLM with HASH



HTTP Basic

Content Scan

Access Policy

LDAP

Attribute Map



“memberOF=Boss“

HTTP Request vk.com

HTTP Request vk.com

LDAP://Boss

Antimalware Scan

HTTP Response vk.com

Последовательность настройки IOS ScanSafe Connector:1. Выдача лицензии

2. Настройка Parameter-Map Content Scan

3. Настройка серверов аутентификации


5. Настройка политику authentication-proxya) Протокол с помощью которого проходит аутентификация/Исключения из

аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDNb) Изменение таймеров по умолчаниюc) Назначение authentication-proxy на интерфейс

6. Назначение User-Group на интерфейсах где аутентификация не возможна

7. Включение Content Scan


9. Базовые настройки на портале администратора

1. Выдача лицензии

При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего содержания:

В письме содержится ссылка на портал администратора а так же временный пароль (должен быть изменен при первом входе). В качестве имени администратора используется e-mail of IT contact (нужно указать при заказе)

Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company Key>Create New После этого ключ будет выслан на почту администратора


2. Настройка Parameter-Map Content ScanДанный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности.

R1(config)#parameter-map type content-scan global

Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа

Задать Proxy Servers

R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080 R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080

Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по умолчанию используется порт 8080

Задать license

R1(config-profile)#license {0|7} key

0 – ключ далее вводится в незашифрованном виде (так он приходит в письме)7 – ключ вводится в уже зашифрованном виде

Задать Source IP

R1(config-profile)#source address ipv4 address

Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление

Default User-group

R1(config-profile)#user-group group name

group name – имя группы которое будет отправляться в случае когда аутентификацию провести невозможно.

Действие в случае отказа облака

R1(config-profile)# server scansafe on-failure {allow-all|block-all}

3. Настройка серверов аутентификации

Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM)


Выполняется так же как для User Based ZBF

5. Настройка политику authentication-proxy

Выполняется так же как для User Based ZBF

6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не всегда работает адекватно в мобильных OS

7. Включение Content Scan

На внешнем интерфейсе включается функция перенаправления трафика http/https в облако ScanSafe:

R1(config)#interface type numberR1(config-if)#content-scan out


Статус подключения к Proxy Servers

R1#show content-scan summary

Проверки аутентификации выполняются так же как для User Based ZBF

9. Базовые настройки на портале администратора

Создание групп – для дальнейшего применения политик на основе групповой принадлежности пользователя требуется создать группы на портале администратора:

Admin>Management>Groups>Add Directory Group

LDAP группы должны быть созданы в формате LDAP://Group Name.Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.

Создание Фильтров – фильтр является элементом который идентифицирует URL категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в политику в которой назначается действие

Web Filtering>Management> Filters>Create Filter

Создание Политик – политик объединяют группу пользователя фильтр и действие (Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе временных диапазонов

Web Filtering>Management>Policy>Create Rule

1. Задаем имя политики2. Делаем ее активной3. Указываем действие4. Выбираем группу к

которой будет применятся политика

5. Добавляем Фильтр который будет действовать в этой политике

6. Добавляем расписание работы политики

3. WLC Setup

От WLC нам понадобится:

2 SSID: открытый SSID с captive-portal который будут использовать гости компании а

так же сотрудники при подключении с мобильных устройств если на них еще не установлен Meraki MDM client

SSID c 802.1x аутентификаций – к этой беспроводной сети будут подключатся: сотрудники на PC и Laptop

помещаемые с помощью 802.1х аутентификации в тот же VLAN что и в проводной сети

Сотрудники со своих мобильных устройств после получения сетевых настроек из Meraki Systems Manager

802.1х authentication and Authorization

Последовательность WLC Setup:

1. Задание Radius Server в WLC

2. Настройка Captive Portal WLC

3. Настройка открытого SSID

4. Настройка SSID с 802.1x аутентификацией и авторизацией

5. Настройка политик в MS NPS

1. Задание Radius Server в WLC

Security>>>Radius>>Authentication>>>New

2. Настройка Captive Portal WLC

Security>>>Web Auth>>>Web Login Page

Для создание Custom Captive Portal можно использовать готовые шаблоны Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC: Bundle загружается с cisco.com как .zip Выбираем понравившийся вариант странички Правим его Архивируем снова весь Bundle в .tar и загружаем

на WLC по TFTPCommands>>>Download


3. Настройка открытого SSID

При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую сеть

После этого в настройкахSecurity>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать PassthroughNote: Перенаправление происходит с помощьюподмены адреса в DNS Replay на virtual IP контроллера.

4. Настройка SSID с 802.1x аутентификацией и авторизацией

При создании SSID мапируется к интерфейсу Management

После этого в настройкахSecurity>>>Layer 2 оставляем Layer 2Security в значении по умолчанию

Далее переходим на Security>>>AAA Servers и выбираем в качестве сервера аутентификации ранее созданный

Для того чтоб на SSID работало назначение VLAN

4. MS Network Policy Server setup

Данный этап состоит из двух под-этапов:

1. Задание WLC как Radius client в NPS

Минимально достаточные условия: Группа пользователей Тип проверки подлинности – EAPКроме того можно добавить: Тип порта NAS – Wireless 802.11 а так же Понятное имя клиента – Имя WLC в NPS

2. Создание политик сетевого доступа

Необходимо убедится что в свойствах PEAP указан корректный сертификат.

Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить следующие атрибуты со значениями: Tunnel-Type=Virtual LANs (VLAN) Tunnel-Medium-Type=802 Tunnel-Pvt-Group-ID= VLAN Number

5. Meraki Systems Manager setup

Meraki Systems Manager – является бесплатно облачной Mobile Device Management системой.

Основные функции мобильные устройства: Местоположение Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…) Централизованное развертывание приложений Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение

шифрование/Требование установки пароля и его сложности/…) Защита при краже или утере (Удаление всех данных с устройства/Удаление данных

корпоративных приложений)

Основные функции Laptop/PC (Windows/MAC OS) Местоположение Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…) Удаленное управление (RDP Windows) Централизованное развертывание приложений (Windows)

Последовательность настройки Meraki Systems Manager :

1. Регистрация в системе

2. Deployment клиентов

a) Android Enrollmentb) iOS Enrollment

3. Настройка политик для мобильных устройств

1. Регистрация в системе

https://account.meraki.com/login/dashboard_login?go=

После завершения процедуры регистрации мы входим в систему


https://account.meraki.com/login/dashboard_login?go=

2. Deployment клиентов

За Deployment отвечает раздел Mobile>>>Deployment

a) Android Enrollment– можно начать сразу же после входа в систему

В наличии инструкция для двух вариантов Enrollment: Play Market – в этом случае необходимо прочитать QR-

code с устройства – это приведёт к перенаправлению на старичку клиента Meraki в Play Market. Устанавливаем клиент и после установки еще раз считываем QR-code

Web Enrolment – необходимо открыть указанную ссылку и подтвердить Enrolment CodeПосле подтверждения кода произойдет перенаправление в Play Market для загрузки приложений

Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже работающей инфраструктуре т.к. устройству сразу можно назначить.

b) iOS Enrollment– можно начать сразу же после входа в систему

Для iOS Enrollment необходимо:

Иметь или завести новую учётную запись Apple ID

Выгрузить Meraki Certificate Request на PC Перейти в Apple Push Certification Portal Создать на портале сертификат используй

Meraki Certificate Request и выгрузить его себе на PC

Указать в Organization>>>Settings имя Apple ID и созданный сертификат

Варианты Enrollment: Web based QR-code Email

https://appleid.apple.com/cgi-bin/WebObjects/MyAppleId.woa/wa/createAppleId?localang=ru_RU

3. Настройка политик для мобильных устройств

Основой для применяя политик являются Tags. Tag применяется к устройству, Profileприменяется к одному или более Tags. К Profile применятся Settings По умолчанию при первом входе в систему доступен единственный Tag=recently-added

Monitor>>>Clients

Tag>>> Add добавляем новый TagTag>>>Remove удаляем recently-added

Mobile>>>ProfilesСоздаем нужное количество Profile и указываем к каким Tag они будут применятся

Mobile>>>Settings

Полезные ссылки:

Финальная конфигурация R1https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing

Security Configuration Guide: Zone-Based Policy Firewallhttp://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html

BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London)https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true

Cisco ISR Web Security with Cisco ScanSafe Solution Guidehttp://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf

Cisco ScanCenter Administrator Guidehttp://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html

YouTube канал компании Merakihttp://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew

Wireless LAN Controller Web Passthrough Configuration Examplehttp://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml

Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controllerhttp://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml

https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing

http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html

https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true

http://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf

http://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html

http://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew

http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml

Кулинарный мастер-класс "Готовим безопасный офис...

Technology