There is nothing more important than our customers

Transkrypt

1 There is nothing more important than our customers There is nothing more important than our customers 2012 Enterasys Networks, Inc. All rights reserved

2 Rozwiązania OneFabric OneFabric Control Center, Data Center, Edge oraz Security Control Center (Unified security and management) OneFabric Data Center OneFabric Edge OneFabric Security Core Networking Services Application Provisioning and Delivery Integrated Wired/Wireless Solution Mobile IAM Mobile IAM (BYOD) Managing Devices, Users, Applications, etc.

3 The Enterasys Security Solutions Complete suite of standards-based products Visibility Detection Enforcement Correlate and manage network flow data Correlate and manage network flow data Enforce role based least privilege access Control visitor access Enforce location dependent access Enforce time dependent access Provide visibility and reporting Provide visibility and reporting Protect critical network segments Enforce compartmentalization Harden servers N E T W O R K S E C U R I T Y SIEM NAC SIEM HIDS IPS, WIPS Distributed IPS Policy Based Switches NAC

4 There is nothing more important than our customers Enterasys NAC 2012 Enterasys Networks, Inc. All rights reserved

5 Ciągła ochrona organizacji Zapewnia stan bezpieczeństwa i zgodność przed przyznaniem dostępu do sieci - Ocenianie z agentami lub bez Zapewnia odpowiedni dostęp (do zasobów i QoS) w oparciu o rolę w organizacji, czas, położenie, itp. - Polityki lub opcje przypisywania VLAN Obsługa dostępu gości, sponsorowanego dostępu oraz określanie położenia systemów końcowych - IP to ID mapping: śledzenie nazwy użytkownika, IP, MAC, położenia, itp. Zapewnia kontrolę stanu bezpieczeństwa i zgodność po połączeniu z siecią - Ciągłe monitorowanie przez IDS, NBAD, SIEM Adres MAC Numer telefonu Adres IP Śledzenie Nazwa hosta położenia Nazwa użytkownika ID zasobu System operacyjny Położenie Aktualne położenie portu/przełącznika Zastosowa Punkt dostępowy/ssid na polityka Przełącznik/port Stan Zabezpieczenia Automatycznie przechowuje wykryte zagrożenia

6 Optimal Wireless LAN User Experience We have identified 10 Success Factors for today s WiFi Użytkownicy Wydajność Aplikacje Skalowalność Typy urządzeń Bezpieczeństwo Lokalizacja Użyteczność IT Środowisko radiowe Zarządzalność 8

7 Funkcje NAC Zapewnianie odpowiedniego bezpieczeństwa i zgodności przed przyznaniem dostępu do sieci Ocenianie z agentami lub bez Zapewnianie odpowiedniego dostępu (do zasobów i QoS) w oparciu o rolę organizacyjną Polityki lub przypisywanie VLAN Obsługa dostępu gości, sponsorowanego dostępu oraz określanie położenia systemu końcowego lub użytkownika IP to ID mapping: śledzenie nazwy użytkownika, adresu IP, MAC, położenia, itp. 9 Zapewnianie kontroli stanu zabezpieczeń i zgodności po połączeniu z siecią Ciągły monitoring z IDS, NBAD, SIEM Automatyczne przechowywanie wykrytych zagrożeń

8 Cyfrowa tożsamość w ramach przedsiębiorstwa Tożsamość użytkownika Joe Smith Typ(y) dostępu Bezprzewodowy Związany punkt dost.: wifi-243 SSID: Prod-Guest BSSID: 0-1a-e8-14-de-98 Tożsamość urządzeń wirtualnych Windows v7.5.3 Świadczenie aplikacji Web (HTTP): 5Mb pobieranie (SMTP): 2Mb pobieranie Pozostałe usługi: Wyłączone Uwierzytelnianie MAC-Auth: 28:37:37:19:17:e6 PWA: 00:00:f0:45:a2:b X: 00:0D:3A:00:a2:f1 Typy urządzeń Apple MacBook Air Samsung Galaxy Note Tożsamość urządzeń fizycznych Apple Lion OSX v10.7 Android v4.0.4 Położenie Budynek A Piętro - 2 Sala konferencyjna 7b Pora dnia Środa, 11 kwiecień, :41:00 AM EST Autoryzacja Stan zabezpieczeń Symantec Anti-Virus: Włączony Wersja sygnatur v Łaty OS Aktualne Usługi P2P: Wyłączone Uruchomione 43 usługi Rola: Sponsorowany gość Sponsor: Jane Doe Dostęp do Internetu Dzielone serwery inżynieryjne 12

9 Mobile IAM jak to działa Automatyczne wykrywanie Elastyczne wdrażanie nowych elementów Wielopoziomowe profilowanie urządzeń Dostęp gości Kontekstowe zarządzanie politykami Integracja MDM (Mobile Device Management) Integracja VDI (Virtual Desktop Infrastructure) 13

10 Rules Allow SNMP Allow Ping Allow TFTP Allow Telnet Allow Oracle Allow SAP Allow Rate Limit Allow IPSec Allow HTTPS Allow HTTP Deny Bcast Services Roles Polityki Enterasys Pierwsze na rynku zarządzanie oparte na politykach bezpieczeństwa - Egzekwowanie polityk już na brzegu sieci - Opracowane w 2001 i wdrożone na ponad 10 milionach portów - Egzekwowanie polityk w oparciu o QoS, bandwidth, VLAN, Access Control from Layer 2 to Layer 4 From port to end system/user based policies - Opublikowane w 2004 unikatowe rozwiązanie w skali globalnej - Obecnie skalowane również dla data center SMAC = Anita SMAC = Bob SMAC = Phone IT Admin Employee Guest Admin. Applications 802.1X login PWA login MAC traffic Port X Corporate Productivity Applications Enterasys Switch MUA & P Logic DFE 802.1X PWA MAC Policy credit Policy sales Policy Phone Internet & VPN Access Only Dynamic admin rule 802.1X credentials PWA credentials MAC credentials Filter ID: credit Filter ID: policy sales Filter ID: policy phone Roles correspond to specific user types on the network Services group Rules and apply to Roles Rules allow, deny, rate limit or contain specific traffic type RADIUS Authority 14

11 Dostęp gościnny Każdy kto nie jest pracownikiem i chce uzyskać tymczasowy dostęp do sieci - Odwiedzający - Partnerzy, wykonawcy Dostęp gości musi zapewniać - Odpowiedzialność: ktoś w organizacji musi być odpowiedzialny za zachowanie gościa - Śledzenie: wiąże tożsamość gościa i sponsora ze sobą w celu określenia aktywności sieciowej gościa - Kontrola: o przypisywanie użytkowników do właściwej roli zgodnie z zasadą najmniejszego uprzywilejowania o Zezwolenie określonemu sponsorowi na przyznawanie dostępu w oparciu o wcześniej przygotowane przywileje

12 Interoperacyjność projektowania Możliwość wdrożenia w dowolnej sieci bez konieczności jej modernizacji Wykorzystywanie standardów integruje się z wyposażeniem sieci obsługującym RFC3580, sieci VLAN i uwierzytelnianie Seria S pozwala na integrację z dowolnym obszarem dostępowym sieci, niezależnie od obsługiwanych standardów

13 NAC w heterogenicznym środowisku Enterasys Switch Non- Enterasys Switch

14 Dowolny dostęp LAN, WLAN, VPN AP WLAN Controller Enterasys Policy and/or RFC 3580 LAN Switch RADIUS Request Intern et VPN User-Based Policies

15 Najlepsze doświadczenia w ochronie przed zagrożeniami Uwierzytelnianie i autoryzacja każdego użytkownika przed przyznaniem mu dostępu do sieci Sprawdzanie czy każdy system końcowy jest zgodny z polityką bezpieczeństwa organizacji Autoryzowany dostęp dla zgodnych urządzeń (użytkowników) w oparciu o role w organizacji Izolowanie (kwarantanna) niezgodnych urządzeń (użytkowników) Korygowanie stanu systemów w kwarantannie i ponowne ocenianie Ciągłe monitorowanie systemów końcowych pod względem zgodności

16 Zgodność - Widoczność Automatyczny spis wszystkich systemów końcowych Stosowany port Przypisana rola Tożsamość użytkownika Wyniki ostatnich ocen Stan zabezpieczeń I wiele więcej

17 Zgodność raportowanie dla Helpdesk Raportowanie NAC - Poziom ryzyka - Najwyższa ryzykowność systemu końcowego - Nowe systemy końcowe - Najczęstsze podatności - Adres MAC Fizyczny adres systemu końcowego - Adres IP - Adres IP ostatni znany adres IP - Typ uwierzytelniania - Stan Stan autoryzacji systemu końcowego - Uzasadnienie - Nazwa użytkownika Nazwa użytkownika każdej osoby wykorzystującej system końcowy - Data dołączenia - Ostatnio widziany - Data ostatniego skanowania

18 Ocenianie Ocenianie nie wykorzystujące agenta - Skanowanie sieci - Wyniki w formacie csv - Wbudowane opcje skanowania oraz możliwość ich dostosowania do potrzeb - Obsługa wielu systemów operacyjnych - Przykłady: Oprogramowanie antywirusowe Łaty/nowsze wersje systemu operacyjnego Aplikacje Ocenianie wykorzystujące agenta - Stałe lub tymczasowe - Przykłady: Oprogramowanie antywirusowe Firewalle Łaty/wersje systemu operacyjnego Aplikacje (zainstalowane, aktywne, itp.)

19 Hirsch Integration through IF-MAP Enterasys NetSight/NAC Retrieve User / Zone Publish Endsystem Infoblox IF-MAP Server Enforce Policy Publish User / Zone Authenticate Access Switch Endsystem Hirsch Electronics Card System

20 Integracja z Palo Alto Poprawia bezpieczeństwo i zgodność poprzez możliwość wspierania/ograniczania użytkowników/aplikacji na brzegu sieci Przyjmuje od FW informacje nt. naruszeń użytkowników i na tej podstawie przenosi ich do kwarantanny Usprawnia dokładność FW eliminując nieaktualne adres IP-to-ID mapping dla użytkowników Upraszcza zarządzanie FW poprzez zintegrowanie z LDAP/AD 1. Disconnect Notification 2. Name to IP-address mapping Enterasys NMS Palo Alto Firewall 3. Thread Mitigation

21 Network based NAC NG Security Data Center Manager (DCM) automatyzacja wirtualnego data center Dynamiczna konfiguracja vswitch i fizycznej infrastruktury dla każdej VM Zintegrowane śledzenie VM i aplikacji poprzez scentralizowany widok fizycznej i wirtualnej infrastruktury Integracja z popularnymi środowiskami wirtualnymi Citrix, Microsoft and VMware OpenScape LIA Automate UC operation - Automatic inventory and location service - Automatic authentication & authorization - Automatic adaptation and location-based configuration of devices

22 Info-Tech podkreśla wiodącą na rynku pozycję Enterasys

23 There is nothing more important than our customers Pytania i dyskusja 2012 Enterasys Networks, Inc. All rights reserved