Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Transkrypt

1 Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC Radosław Wal radosław.wal@clico.pl

2 Agenda Quiz pt: Czy potrzebuję rozwiązania klasy NAC, a jeśli tak, to jakiego?

3 Czy potrzebujesz rozwiązania NAC?

4 Czy chciał(a)byś, aby: Komputery pracowników uzyskiwały dostęp do sieci dopiero po pozytywnym: zweryfikowaniu tożsamości ich użytkowników, zweryfikowaniu stanu ich bezpieczeństwa? Nie Tak

5 Czy chciał(a)byś, aby: Komputery gości, serwisantów, pracowników kontraktowych, etc. uzyskiwały dostęp tylko do wyznaczonych zasobów i obszarów w sieci? Nie Tak

6 Czy chciał(a)byś, aby: Działania wszystkich użytkowników w sieci LAN były monitorowane i rejestrowane? Nie Tak

7 Czy potrzebujesz rozwiązania, które: Oparte jest o dojrzałą i zweryfikowaną platformę o ogromnych możliwościach w zakresie uwierzytelnienia i autoryzacji dostępu użytkowników? Nie Tak

8 IC (UAC) oparty jest o platformę IVE! Większość zasad funkcjonowania dzięki którym urządzenia SA są niekwestionowanym liderem rynku SSL VPN obowiązuje również w urządzeniach IC Obowiązują te same zasady zarządzania uprawnieniami użytkowników oparte o role (wykorzystanie istniejących grup LDAP lub atrybutów RADIUS w celu przydziału użytkownika do roli) Obowiązują te same zasady weryfikacji poziomu bezpieczeństwa urządzeń dostępowych użytkowników (J.E.D.I./HC) Różnice leżą w naturze konfigurowanych polityk resource policy Po stronie SA - Metody dostępu do zasobów(core, SAM, NC) Po stronie IC - Zasady przydziału komputera do VLAN (jeśli EP* jest switch L2) - Docelowe zasoby sieciowe - Polityki kontroli dostępu dla - Listy ACL wymuszane na SA firewall (jeśli EP* jest urządzenie FW) * EP enforcement point, element wymuszający polityki IC

9 Czy potrzebujesz rozwiązania, które: Posiada wbudowany serwer RADIUS i potrafi współpracować z urządzeniami L2 dowolnego producenta (zgodnymi z 802.1x/EAP) Nie Tak

10 Przykładowa konfiguracja współpraca z urządzeniami L X/EAP

11 Czy potrzebujesz rozwiązania, które: Potrafi współpracować z urządzeniami firewall w zakresie wymuszania polityk kontroli dostępu? Nie Tak

12 Przykładowa konfiguracja współpraca z urządzeniami L3 FW Juniper Konfiguracja takich reguł na IC

13 Przykładowa konfiguracja współpraca z urządzeniami L3 FW Juniper Powoduje automatyczną konfigurację FW

14 Czy potrzebujesz rozwiązania, które: Potrafi jednocześnie wymuszać polityki w zakresie dostępu do zasobów sieciowych zarówno na przełącznikach L2 jak i firewallach? Nie Tak

15 Infrastruktura Juniepr UAC Centralne zarządzanie politykami dostępu AAA Systemy silnego uwierzytelnienia AAA Chronione zasoby Dostęp użytkowników do chronionych zasobów Dynamiczny przydział ról Uwierzytelnienie użytkownika, oszacowanie poziomu bezpieczeństwa komputera 802.1X Punkty Wymuszające polityki UAC Agent UAC Dostęp użytkownika do sieci

16 Czy potrzebujesz rozwiązania, które: Można zintegrować z dowolnym zewnętrznym systemem silnego uwierzytelnienia i autoryzacji (AAA) oraz dowolną bazą użytkowników? Nie Tak

17 Przykładowa konfiguracja wspierane serwery silnego uwierzytelnienia

18 Czy potrzebujesz rozwiązania, które: Potrafi w elastyczny sposób przydzielać dowolny zestaw VLAN-ów dla różnych kategorii użytkowników? Nie Tak

19 Przykładowa konfiguracja współpraca z urządzeniami L X/EAP

20 Czy potrzebujesz rozwiązania, które: Potrafi szczegółowo weryfikować poziom bezpieczeństwa komputerów użytkowników? Nie Tak

21 Przykładowa konfiguracja polityki Host Checker

22 Przykładowa konfiguracja polityki Host Checker

23 Czy potrzebujesz rozwiązania, które: Potrafi we współpracy z przełącznikami Junieper EX zadawać pożądaną politykę QoS dla poszczególnych grup użytkowników? Nie Tak

24 Przykładowa konfiguracja polityki QoS

25 Czy potrzebujesz rozwiązania, które: Potrafi obsługiwać użytkowników bez konieczności instalacji agenta na urządzeniu dostępowym? Nie Tak

26 Tryb Agentless Dynamicznie ładowany przez przeglądarkę cienki klient UAC Zawiera Host Checker Wsparcie wielu OS Microsoft Windows Apple Mac OS Linux Solaris Bezpieczny, kontrolowany dostęp do sieci i aplikacji dla WSZYSTKICH urządzeń końcowych

27 Czy potrzebujesz rozwiązania, które: Potrafi chronić transmisję w sieciach wewnętrznych przy pomocy protokołów IPSec? Nie Tak

28 Przykładowa konfiguracja tunele IPSec

29 Przykładowa konfiguracja tunele IPSec

30 Przykładowa konfiguracja tunele IPSec

31 Przykładowa konfiguracja tunele IPSec

32 Czy potrzebujesz rozwiązania, które: Potrafi współpracować z urządzeniami klasy IPS celem podejmowania automatycznych reakcji na wypadek zaistnienia nadużyć? Nie Tak

33 Przykładowa konfiguracja Integrated Threat Control

34 Przykładowa konfiguracja Integrated Threat Control

35 Przykładowa konfiguracja Integrated Threat Control

36 Czy potrzebujesz rozwiązania, które: Potrafi uzupełniać dane zebrane przez urządzenie IPS o informacje dotyczące użytkownika i przydzielonej mu roli? Nie Tak

37 Przykładowa konfiguracja współpraca z urządzeniami IPS Juniper IDP Log Viewer z logami UAC Użytkownik 1 Użytkownik uwierzytelnia się na IC 5 2 IC przesyła logi o użytkownikach i rolach do ISG/IDP 3 ISG/IDP zbiera logi z IC oraz Profilera 4 5 ISG/IDP wysyła wszystkie zebrane informacje do NSM NSM koreluje logi aplikacyjne z informacjami o użytkownikach Dane pofilera zawierające skorelowane logi

38 Przykładowa konfiguracja współpraca z urządzeniami IPS Juniper IDP

39 Czy potrzebujesz rozwiązania, które: Wspiera ustandaryzowany protokół IF-MAP (TNC), poprzez który może w przezroczysty sposób przekazywać informacje o uprawnieniach użytkowników do/z innych systemów (SA, IC)? Nie Tak

40 Wsparcie dla protokołu IF-MAP Federacja IC-IC IC 1 IF-MAP IC 2 EX/SSG/SRX IDP Enforcer US HQ Użytkownik EX/SSG/SRX EMEA HQ Dane Federation SA-IC IC Finance Użytkownik mobilny Internet SA EX/SSG/SRX Video Apps Zasoby wewnętrzne

41 Użytkowniku (i ew. jego czworonogu ;-)) Nie idźcie Innych produktów drogą!!!

42 Pytania?