Kontrola dostępu do sieci dla komputerów lokalnych i zdalnych - rozwiązania Juniper Secure Access (SA) i Unified Access Control (UAC) Radosław Wal radosław.wal@clico.pl
Agenda Wprowadzenie Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu Infrastruktura NAC podstawowe zasady działania Infrastruktura NAC w wydaniu Juniper Urządzenia IC vs. urządzenia SA Juniper NAC komponenty Integracja UAC z urządzeniami IDP Standardy Nowości w rodzinie SA
Wprowadzenie Dzisiejsze potrzeby w zakresie kontroli dostępu Zwiększenie dostępu Dostęp do krytycznych zasobów sieciowych Mobilność użytkowników/ rozmycie tradycyjnych granic sieci Nie zarządzane/słabo zarządzane urządzenia Duże zróżnicowanie użytkowników i urządzeń końcowych Trudniejsze do kontroli/ bardziej wymagające aplikacje Gwałtowny wzrost podatności Krótsze odstępy czasowe od wgrania poprawki do pojawienia się nowej podatności Zagrożenia pochodzące od zaufanych użytkowników i urządzeń Zmniejszające się poczucie bezpieczeństwa sieci Większa ilość zagrożeń Szybsze włamania Większa ilość celów Brak nadzoru nad użytkownikami
Sieć WAN Siec LAN Robaki Wirusy Spyware Internet Złośliwe kody / konie trojańskie itp. Dostęp zdalny Pracownicy Partnerzy biznesowi Klienci Goście Kontraktorzy Zarządzane/nie zarządzane urządzenia Zaufany/Nie zaufany ruch Problem rozwiązany dzięki zastosowaniu SSL VPN Różnorodni użytkownicy Pracownicy Partnerzy biznesowi Klienci Goście Kontraktorzy Zaufanie jest zakładane, ale niewymuszalne Potrzeba wszechstronnej KONTROLI DOSTĘPU Oddziały zdalne - Słabo zarządzane urządzenia końcowe - Brak kontroli Farma serwerów / Data Center Aplikacje biznesowe Email Zasoby wewnętrzne Podatne usługi dostępne dla KAŻDEJ kategorii użytkowników >BEZPIECZEŃSTWO >SIECI >ZARZĄDZANIE
Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu Internet Kiosk Odział Użytkownicy mobilni Oddział Centrala Telepracownicy Partnerzy biznesowi, Kontraktorzy, Użytkownicy Rodzaj aplikacji klienckiej Specjalizowany klient IPSec Rodzaj aplikacji klienckiej Przeglądarka Web Zastosowanie Site-2-Site Zastosowanie Mobilny użytkownik Zdalny oddział Ekstranet dla partnerów Ekstranet dla klientów Kontraktorzy Telepracownik Typ połączenia Stałe Typ połączenia Mobilne lub stałe Stan bezpieczeństwa sieci odłegłej Zarządzalna, zaufana Stan bezpieczeństwa sieci odległej Zarządzalna lub nie Zaufana lub nie
Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu Wymaganie bezpieczeństwa: Zasada przywilejów koniecznych Poufność, integralność, autentyczność Bezpieczeństwo zdalnego urządzenia Mechanizmy zapewniające: Różnorodne metody dostępu (Core,SAM,NC) Reguły mapowania użtkowników do ról Polityki dostępu do zasobów (listy ACL) Wiele URL dla różnych grup użytkowników (Sign-in policy) Kryptografia symetryczna i klucza plublicznego stosowana w standardzie SSL Mechanizmy silnego uwierzytlenienia Host Checker Cache Cleaner Secure Virtual Workspace
Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu Dostępność Silne uwierzytelnienie Klastry A/A Klastry A/P Multi-unit klaster Multi-site klaster Uwierzytelnienie dwuskładnikowe RADIUS LDAD / AD PKI SAML, Netegrity,
Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu J.E.D.I Korzyści dla klientów Zintegrowane bezpieczeństwo Zapewnia integralność bezpieczeństwa urządzenia zdalnego przed zezwoleniem na dostęp do zasobów wewnętrznych Administracja typu single click poprzez Neoteris HC API Łatwa integracja z rozwiązaniami bezpieczeństwa 3 rd party zdalnych węzłów Sprawdzenie natywnych procesów zdalnego klienta Wartości kluczy rejestrów Otwarte, niedozwolone porty, Dozwolone, niedozwolone procesy Dozwolone, niedozwolone pliki Specyficzne DLL s Wymuszenie zamknięcia sesji, jeśli nie zostały spełnione określone warunki Możliwość dostosowywania testów Sprawdzenie autentyczności aplikacji (skróty MD5 dla procesów i plików ) Wymuszanie ponownych testów sprawdzających Wybór spośród szerokiej gamy czołowych produktów bezpieczeństwa desktopowego Integracja z liderami rynku CheckPoint ZoneLabs InfoExpress McAfee Trend Micro WholeSecurity Symantec
Podstawowe cechy urządzeń SA w zakresie zarządzania prawami dostępu Obsługa wielu nazw Personifikowalna strona logowania Polityki dynamicznego uwierzytelnienia Rola Szczegółowa autoryzacja dostępu do zasobów Hasło Silver Partner Tylko system MRP partners. company. com Uwierzytelnienie dwu-składnikowe Gold Partner MRP + Cennik employees. company. com customers. company. com Uwierzytelnienie dwu-składnikowe /Certyfikaty Pracownik pełen etat intranet, Outlook, pliki współdzielone Hasło Kontrahent specyficzne pliki - jeśli pomyślny wyniki sprawdzenia urządzenia Hasło z nałożonymi restrykcjami Hasło Klient W perspektywie dostęp do aplikacji CRM, tylko w godzinach 9:00-15:00 Dokumentacja produktu
Infrastruktura NAC podstawowe zasady działania Network Access Control (NAC) Zapewnienie dostępu do sieci (i aplikacji) na podstawie tożsamości użytkownika, stanu bezpieczeństwa urządzenia dostępowego, lokalizacji sieciowej, przynależności do grupy lub innych atrybutów użytkownika oraz pełnionej przez niego roli. Kontrola dostępu do zasobów MUSI być kluczowym elementem każdej nowoczesnej sieci
Infrastruktura NAC podstawowe zasady działania 1. Assessment 3. Enforcement 2. Evaluation 5. Monitoring Intrusion Detection Anomaly Detection Security Event Manager 4. Remediation
Infrastruktura NAC w wydaniu Juniper Centrale zarządzanie politykami dostępu Agent UAC Uwierzytelnienie użytkownika, oszacowanie poziomu bezpieczeństwa komputera AAA Dynamiczny przydział ról Serwery silnego uwierzytelnienia AAA Dostęp użytkownika do sieci Chronione zasoby Dostęp użytkowników do chronionych zasobów 802.1X Punkty wymuszające polityki UAC Dynamiczna kontrola dostępu w oparciu o: Tożsamość użytkownika Stan bezpieczeństwa urządzenia końcowego Lokalizację Elementy wymuszające: Nowa/instniejąca infrastruktura 802.1X (przełączniki, punkty dostępowe WiFi) Dla warstw L3-L7 urządzenia Juniper firewall/vpn Kombinacja L2 + L3-7 zapewniająca najwyższy poziom szczegółowości kontroli
Urządzenia IC vs. urządzenia SA IC (UAC) oparty jest o platformę IVE! Większość zasad funkcjonowania dzięki którym urządzenia SA są niekwestionowanym liderem rynku SSL VPN obowiązuje również w urządzeniach IC Obowiązują te same zasady zarządzania uprawnieniami użytkowników oparte o role (wykorzystanie istniejących grup LDAP lub atrybutów RADIUS e celu przydziału użytkownika do roli)
Urządzenia IC vs. urządzenia SA Obowiązują te same zasady weryfikacji poziomu bezpieczeństwa urządzeń dostępowych użytkowników (J.E.D.I./HC) Różnice leżą w naturze konfigurowanych polityk resource policy Po stronie SA - Metody dostępu do zasobów(core, SAM, NC) Po stronie IC - Zasady przydziału komputera do VLAN (jeśli EP* jest switch L2) - Docelowe zasoby sieciowe - Polityki kontroli dostępu dla - Listy ACL wymuszane na SA firewall (jeśli EP* jest urządzenie FW) * EP enforcement point, element wymuszający polityki IC
Juniper NAC - komponenty Juniper Infranet Controller IC 4000 Konfiguracje HA/skalowalność Para urządzeń w klastrze IC 6000 Konfiguracje HA/skalowalność Wiele urządzeń w kalstrze Redundancja sprzętowa Redundantne zasilacze Hot Swap Redundantne dyski HDD Łatowść instalacji i wdrożenia Scentralizowane zarządzanie politykami, weryfikacja tożsamości użytkowników i poziomu bezpieczeństwa ich komputerów na jednym urządzeniu Zintegrowany serwer RADIUS (Steel- Belted Radius ) umożliwiający uwierzytelnienie 802.1x/EAP Dynamiczna kontrola dostępu Zmiany w politykach dostępowych dla całej sieci (L2-L7) propagowane są w czasie rzeczywistym Wykorzystanie istniejącej infrastruktury Switche L2 oraz punkty dostępowe WiFi zgodne z 802.1x dowolnego producenta Dowolne urządzenie Juniper firewall/vpn Istniejące infrastruktura AAA/LDAP Dwa typy dostępu (obsługa wielu OS) zawsze z Host Checking Dynamicznie dostarczany Agent UAC Tryb agentless
Juniper NAC - komponenty UAC Agent Layer 2 (802.1X Client/Supplicant) Uwierzytelnienie w L2 poprzez 802.1x Oszacowanie poziomu bezpieczeństwa komputera i uwierzytelnienie użytkownika PRZED przydziałem portu do VLAN Zawiera Host Checker, Personal Firewall (Host Enforcer), Auto-Remediation (Windows) Wsparcie dla Microsoft Windows XP, 2000, oraz Windows Vista Layer 3 (Firewall, IPSec & wymuszanie SourceIP ) Weryfikacja zgodności z polityką bezpieczeństwa Zgodny z Trusted Network Connect (TNC) Zawiera Host Checker, Personal Firewall (Host Enforcer), Auto-Remediation (Windows) Windows Single Sign-On Eliminuje konieczność interwencji użytkownika Agent UAC może użyć danych dostępowych do domeny w celu uwierzytelnienia w IC Transport IPSec Zapewnia uwierzytelnioną i opcjonalnie zaszyfrowaną komunikację Wbudowana obsługa IPSec, funkcja NAT traversal Narzędzia diagnostyczne Konfiguracja i diagnozowanie tuneli IPsec Diagnostyka działania agenta Konfiguracja presonal firewall IPSec Encryption 3DES, DES or null IPSec Encryption 3DES, DES or null
Juniper NAC - komponenty Tryb Agent-less UAC Dynamicznie ładowany przez przeglądarkę cienki klient UAC Zawiera Host Checker Wsparcie wielu OS Microsoft Windows Apple Mac OS Linux Solaris Bezpieczny, kontrolowany dostęp do sieci i aplikacji dla WSZYSTKICH urządzeń końcowych
Juniper NAC - komponenty Punkty wymuszające (Enforcement Points) Niezależne od producenta urządzenia L2 lub Juniper FW L3-7 lub ich kombinacja Urządzenia zgodne z 802.1x (L2 switch, access point) DOWOLNEGO producenta, W TYM przełączniki Juniper serii EX Uproszczone wdrożenie kontroli dostępu Ochrona inwestycji w istniejącą infrastrukturę Możliwość doboru najlepszych urządzeń sieciowych do swoich potrzeb Dowolne urządzenie Juniper Firewall/VPN Skalowalne punkty wymuszające Odział, LAN, Data Center 75Mbps to 30Gbps Dodatkowe funkcje zabezpieczające Ochrona przed DoS, Deep Packet Inspection Antivirus, Content Management Intrusion Detection and Prevention Captive Portal (automatyczne przekierowanie nie uwierzytelnionej sesji do portalu IC) Np. w hotelach
Integracja UAC z urządzeniami IDP Siedziba główna połączenia przewodowe/wifi Krok nr 3: IC koreluje informację o zagrożeniu z użytkownikiem Krok nr 2: IDP wysyła informację o zagrożeniu do Infranet Controller (IC) Internet Centrum danych Aplikacje Użytkownik Krok nr 4: IC podejmuję stosowną akcję w ramach kontroli dostępu Krok nr 1: IDP wykrywa zagrożenie sieciowe Zintegrowana kontrola zagrożeń Wykorzystanie pełnego wglądu do ruchu sieciowego na poziomie L2-L7 w celu: Zapobiegania złośliwemu ruchowi aplikacyjnemu Poddawania kwarantannie podejrzanych użytkowników i urządzeń Zerwania sesji użytkownika Zalogowania podejrzanego zdarzenia i powiadomienia administratora
Integracja UAC z urządzeniami IDP 3 1 4 2 Log Viewer z logami UAC Użytkownik 1 Użytkownik uwierzytelnia się na IC 5 2 IC przesyła logi o użytkownikach i rolach do ISG/IDP 3 ISG/IDP zbiera logi z IC oraz ESP 4 5 ISG/IDP wysyła wszystkie zebrane informacje do NSM NSM koreluje logi aplikacyjne z informacjami o użytkownikach Dane pofilera zawierające skorelowane logi
Integracja UAC z urządzeniami IDP
Standardy (TNC) Otwarta architektura kontroli dostępu do sieci Zestaw standardów zapewniających zgodność pomiędzy komponentami różnych producentów Członek grupy TCG Otwarty standard Wykorzystanie istniejącej infrastruktury sieciowej Plany na przyszłość (Roadmap) Produkty spełniające standard TNC dostępne już dzisiaj. Access Requester (AR) Policy Enforcement Point (PEP) Policy Decision Point (PDP) Wireless UAC Agent Wired Network Perimeter
Nowości w rodzinie SA Secure Access 2500 Secure Access 4500 Secure Access 6500 Pojedyncze urządzeniesa 6500 Do 10,000 jednoczesnych połączeń Dwa urządzenia SA 6500 w klastrze Do 18,000 jednoczesnych połączeń Trzy urządzenia SA 6500 w klastrze Do 26,000 jednoczesnych połączeń Cztery urządzenia SA 6500 w klastrze Do 30,000 jednoczesnych połączeń* * Wyniki uzyskane podczas symulacji realnego środowiska sieciowego
Nowości w rodzinie SA - Zmiany zasad licencjonowania Co się zmieniło w licencjonowaniu? Licencje SAM/NC oraz Advanced zawarte w licencji podstawowej Brak licencji SSL Acceleration Dla SA 4000 i SA 6000 akceleracja SSL dołączona do licencji podstawowej po upgrade do IVE 6.1 Opcjonalny moduł sprzętowy do SA 4500; moduł sprzętowy zawarty w SA 6500 Obsługa VLAN zawarta w licencji podstawowej Dostępne pozostają następujące licencje dodatkowe: Secure Meeting Instant Virtual System (IVS) Advanced Endpoint Defense (AED) In Case of Emergency (ICE) Lab license Evaluation license Te same zmiany dotyczą platform SA2000, SA4000 i SA6000 po upgrade do IVE 6.1
Pytania?