jogában áll belépni?!
DESCRIPTION
Jogában áll belépni?!. Détári Gábor, rendszermérnök. Tartalom:. Aggasztó kérdések, tapasztalatok, hiányosságok Mit, és hogyan szabályozzunk? A NAC lehetőségei A Cisco NAC alkalmazása a hálózat védelmére. Aggasztó kérdések. Alapvető kérdések a házirendről. Létezik-e biztonsági házirend? - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/1.jpg)
Jogában áll belépni?!
Détári Gábor, rendszermérnök
![Page 2: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/2.jpg)
2
Tartalom:
• Aggasztó kérdések, tapasztalatok, hiányosságok
• Mit, és hogyan szabályozzunk?
• A NAC lehetőségei
• A Cisco NAC alkalmazása a hálózat védelmére
![Page 3: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/3.jpg)
Aggasztó kérdések
![Page 4: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/4.jpg)
4
Alapvető kérdések a házirendről
• Létezik-e biztonsági házirend?
• Ellenőrzött-e a házirend betartása?• pl. szankciók meghatározása, kivételek visszaszorítás
• Követi-e a házirend a infrastruktúra változásait?• pl. vidéki telephelyek nyitása, távmunka bevezetése
![Page 5: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/5.jpg)
5
Alapvető kérdések a házirendről
• Minden belépési pontot megfelelően ellenőrzünk?• helyi vezetékes, wireless, távoli belépési pontok, partnerek
• Milyen technikai ellenőrzések történnek egy belépésnél?• szabad, részben szabad, felhasználó/eszköz azonosítás,• felhasználó és házirend megfelelés
![Page 6: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/6.jpg)
Network Admission Control
![Page 7: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/7.jpg)
7
Network Admission Control
• Egy Policy Firewall az architektúrában• Túllép a hagyományos felhasználó vagy eszköz authentikáción
• Feladata:• biztonsági házirend betartatása• felhasználó hitelesítés• karantén kezelése• lehetőség a javítások elvégzésére• proaktív védelem biztosítása• egyszerű, gazdaságos, központi menedzsment biztosítása
![Page 8: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/8.jpg)
8
Hol alkalmazzuk a NAC-ot?
• Mindenhol, ahol technika oldalról támogatni kell a biztonsági házirendet
• Jellemzően: • mobil munkások• vendégek• partnerek• külső alvállalkozók hálózati hozzáférése esetén
![Page 9: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/9.jpg)
A Cisco NAC koncepciója
![Page 10: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/10.jpg)
10
Cisco NAC = Cisco Clean Access
• Cisco hozzáférés szabályozó rendszere
• Feladata:• policy teljesítésének vizsgálata
az összes belépési ponton• csatlakozni kívánó felhasználók azonosítása• a felhasználó és az eszköz alapján csoportokhoz rendelés• szükség esetén karantén• segítség a házirendnek való megfelelősben
frissítések elérhetősége
![Page 11: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/11.jpg)
12
Cisco Clean Access Manager
• A házirend implementálása• Központi menedzsment felület az összes NAC Serverhez• Felhasználók authentikálása• A döntéshozó elem• Automatikus frissítések• Switchek kezelése (SNMP fogadása és vezérlés)• Log kezelés• Redundancia lehetőség
![Page 12: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/12.jpg)
13
Cisco Clean Access Server
• Felhasználok szeparálása• Route vagy bridge funkció• Információk begyűjtése a NAC Manager számára• A kapott értékelés alapján a szabályok betartatás• Webes authentikáció biztosítása• Redundancia lehetőség
![Page 13: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/13.jpg)
14
Telepítési módok
• A Clean Access Server elhelyezése a hálózati forgalomba
![Page 14: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/14.jpg)
15
Cisco Clean Access Agent
• Információk biztosítása• IP frissítés• Update segítség a felhasználónak
![Page 15: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/15.jpg)
16
Cisco NAC Web Agent
• Vendégek, partnerek esetén• ActiveX vagy Java segítségével• Ellenőrzés Nessus scanner komponensekkel
![Page 16: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/16.jpg)
17
Ellenőrzések
• Registry check: key, value• File check: existance, date, version• Service, Applicalion check: status• User role-okhoz Requirenment-et rendelünk
![Page 17: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/17.jpg)
18
Cisco NAC kiegészítő komponensek
• NAC Profiler & Collector• Külön appliance• Eszköz profil menedzsment és viselkedés követés• Collector:
• A Clean Access Server része• A Profiler-nek gyűjt információkat• NetMap, NetTrap, NetWatch, NetInquiry, NetRelay
• NAC Guest Server• Külön appliance• Vendégmenedzsment támogatás • API-n és RADIUS-on keresztül
![Page 18: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/18.jpg)
19
Védett LAN
• A switchek SNMP trap-et küldenek az új MAC címekről a CAM-nak• A CAM értékel és vezérli a switchet• A felhasználó a CAS-on keresztül authentikál• A CAM értékel és vezérli a switchet
![Page 19: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/19.jpg)
20
Védett távmunka
• A hagyományos távmunka megoldás kiterjesztése
• In-Band, L3, Virtual vagy Real IP gatewaymegoldás
• A végponton Clean Access Agent
SiSiCAM192.168.50.0/24
.254.1 VLAN50
ASA-5510
VLAN2
Untrusted
Trusted
192.168.2.0/24.254
192.168.2.100
VLAN6
192.168.2.1
Távoli felhasználó
Belső hálózat
Internet
CAS
VPN tunnel
192.168.3.0/24
MGR
![Page 20: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/20.jpg)
21
Összefoglalás
• Házirend• Átfogó, aktuális, betartható és betartatott biztonsági házirend kell
• Cisco Clean Access• appliance alapú hozzáférés szabályozó rendszer• hálózat peremén képes észlelni a csatlakozást• automatizált karantén és fertőzés mentesítés
• Komponensek:
• Clean Access Server (Virtual vagy Real IP gateway, Out-of-band vagy In-band)
• Clean Access Manager (Központi menedzsment felület: kiértékelés, hozzáférési engedélyezés)
![Page 21: Jogában áll belépni?!](https://reader035.vdocuments.net/reader035/viewer/2022062519/56814f60550346895dbd143f/html5/thumbnails/21.jpg)
22
Köszönöm a figyelmet!