BYOD (BRING YOUR OWN DEVICE) INFRASTRUKTURA UMOŻLIWIAJĄCA BEZPIECZNĄ KOMUNIKACĘ WIFI DLA URZĄDZEŃ Marek Krauze Marek.Krauze@clico.pl Clico Professional Services CLICO 2012, Sp. CLICO z o.o., SP. 2010 Z O.O.
AGENDA WYSTĄPIENIA Wprowadzenie Rozwiązania Aruba Networks Mechanizmy obsługi urządzeń mobilnych Studium przypadku Podsumowanie
NACISKI NA IT W SPRAWIE DOSTĘPU MOBILNEGO Mogę użyć mój ipad? Nie! Praca z domu? Nie! Bad users Videoconf? Nie! Poor Admins Połączenie na zewn? Nie!
ZMIANA W RÓŻNORODNOŚCI URZĄDZEŃ Po raz pierwszy od wielu lat przekroczona została bariera 50% dla urządzeń opartych o platformę Widnows/Intel Apple zanotowało 111% wzrostu sprzedaży ipadów R/R
BYOD ROZPOWSZECHNIENIE IDEI BYOD 2011 BYOD 2012+ Urządzenie ios ios Android Ultrabooks Sieć VPN Każda sieć Użytkownik Pracownik Każdy
PROBLEMY PRZY WDRAŻANIU BYOD BYOD 2012+ Jak zapewnić bezpieczeństwo sieci i użytkowników? ios Android Ultrabooks VPN Każda sieć Jak zapewnić wygodę korzystania z sieci dla pracowników i gości? Każdy Jak zminimalizować zaangażowanie helpdesku i działu IT?
OBECNE SIECI A MOBILNOŚĆ Manager 1 Manager 2 Manager 3 Manager 4 Manager 5 VLAN 100 VLAN 200 VLAN 300 VLAN 400 VLAN 500 WIRELESS WIRED VPN REMOTE OFFICE OUTDOOR
ARUBA MOVE AirWave Mobility Controller ClearPass Serwisy mobilne w chmurze Wewnętrzne i zewnętrzne AP Mobility Access Switch Punkty zdalne & Instant APs VIA Agent Wszystkie elementy sieci typu context-aware
ROZWIĄZANIE ARUBA MOBILITY Ultracienki Punkt Dostępowy Kontroler Authentication Encryption Access Rights Forwarding Media Access Radios Form Antennas Końcówka WiFi Dostęp Wireless IDS/IPS RF Scanning RTLS Packet Capture Wysoka wydajność Niski koszt Łatwość instalacji Automatyczna instalacja i konfiguracja Istniejąca sieć = Transport Tunele GRE lub IPSEC Autokonfiguracja Bez konieczności zmian w sieci Cały ruch szyfrowany Ramki 802.11 Policy Management Troubleshooting Location Svcs Fingerprinting Enforcement Kontroler widzi RF Automatyczna konfiguracja i optymalizacja Funkcje bezpieczeństwa Centralne uwierzytelnianie Szyfrowanie/deszyfrowanie Centralna baza konfiguracji Śledzenie i korelacja zagrożeń Wbudowana zapora sieciowa per użytkownik Monitoring Rozbudowany QoS Zaawansowane funkcje sieciowe Pojedynczy punkt konfiguracji/zarządzania
JAK TO DZIAŁA? Klient sieci WiFi Data Center 802.11 a/b/g/n Tunel GRE Infrastruktura sieciowa Layer 2 / Layer 3 Kontroler Przypisanie ról użytkownikom = reguły firewalla Punkty dostępowe
WIFI PLUG N PLAY Automatyczne zarządzanie pokryciem i pojemnością Redukcja interferencji i zakłóceń Centralne zarządzanie przydziałem kanałów
ANALIZA WIDMA RF Analizatory wbudowane w punkty 802.11n Brak utraty funkcjonalności przy włączonym analizatorze Szczegółowe raporty i wykresy
ZARZĄDZANIE DOSTĘPEM DO MEDIUM Channel 1 Channel 6 Channel 11 Równomierny rozkład klientów w kanałach RF Sterowanie wyborem pasma Sprawiedliwa dystrybucja czasu dostępu do pasma RF
BEZPIECZEŃSTWO SYSTEMU RADIOWEGO Zintegrowany system IPS w każdym AP Rogue Client Blokowanie wrogich punktów dostępowych Rogue AP Aruba 802.11n Blokowanie wrogich stacji
Rozmiar sieci KONTROLERY WIFI Sieci kampusowe Instalacje średniej wielkości Seria 6000 Małe lokalizacje Seria 3000 650 620 S2500/3500 Instant Wydajność
Rozmiar sieci PUNKTY DOSTĘPOWE Wi-Fi OUTDOOR Sieci kampusowe AP-130 Ethernet AP-175 AP-120 Małe lokalizacje AP-104105 AP-92/93 AP-93H Sieci kampusowe S2500/3500 ArubaStack AP-68 Małe lokalizacje S2500/3500 RAP HOME OFFICE Użytkownicy mobilni 600 Wydajność
ZDALNE PUNKTY DOSTĘPOWE RAP
VIA (VIRTUAL INTRANET ACCESS)
ARUBA INSTANT Jedyne rozwiązanie WLAN dla przedsiębiorstw uwzględniające zarówno prostotę konfiguracji, koszt i jednocześnie wysoki poziom ochrony, jakość i skalowalność Technologia wirtualnego kontrolera w punkcie dostępowym! Automatyczna rejestracja nowych punktów bez kabla Konfiguracja w 5 minut!
PORÓWNAJMY.
SIEĆ CONTEXT-AWARE Identyfikacja użytkownika Polityka na bazie ról Raportowanie per user Uwzględnienie port/vlan Ograniczona polityka Trudna w skalowaniu Droga w zarządzaniu Większość dostawców Identyfikacja urządzeń Auto enrollment Polityka per urządzenie Identyfikacja aplikacji QoS per aplikacja Duża ilość urządzeń Lokalizacja, czas Elastyczność konfiguracji Aruba MOVE
KONFIGURACJA ZERO-TOUCH Typowa konfiguracja przełącznika L2 Aruba Zero-Touch Configuration 1. Management IP 2. Trunk port S2500/3500 3. VLANy dostępowe 4. Porty do vlanów 5. STP priority Większość dostawców 2. Podłączenie przełącznika pod DHCP lub ADP, wykrycie kontrolera, pobranie oprogramowania i konfiguracji. THE END 6. 802.1x per interfejs 7. QoS per VLAN 1. Polityka, VLANy, uwierzytelnienie na kontrolerze Aruba MC 8. Powtórka na 2gim przełączniku 9. Powtórka na 3cim przełączniku Efektywna redukcja punktów zarządzania
POŁĄCZENIE SIECI WLAN I LAN S2500/3500 Wymuszanie polityki Sieć LAN Tunel od portu LAN Wymuszanie polityki AirWave Kontroler Przewodowy punkt dostępowy Tunelowanie ruchu do kontrolera Wymuszanie polityki na kontrolerze Wbudowany kontroler WLAN Ubsłga 8 AP Terminowanie tuneli z AP WiFi Przełącznik Ethernet Forwading w L2 Wymuszanie polityk w L2
CYKL ZARZĄDZANIA BEZPIECZEŃSTWEM 1 Podłączenie 2 Konfiguracja 3 Kontrola
AUTOMATYCZNA KONFIGURACJA URZĄDZEŃ Podłączenie do sieci 1. Połączenie do portalu System ClearPass 2. VPN Konfiguracja 802.1x, VPN, poczty oraz parametrów uwierzytelnienia 3. Instalator wybranych aplikacji
KONTA GOŚCINNE Nowy gość Podłączenie do sieci System ClearPass 1. Zebranie informacji o użytkowniku Sponsor 3. Konto jest odblokowywane a gość zostaje powiadomiony (SMS/Email/Ekran) 2. Sponsor akceptuje dostęp gościnny
POLITYKI DOSTĘPOWE Polityka BYOD Ograniczony dostęp dla prywatnych urządzeń Polityka dla dyrektorów Najwyższy priorytet ruchu Polityka Multimedialna Optymalizacja dla połączeń VoIP i Video Polityka Nieautoryzowana próba dostępu Blokowanie i umieszczanie użytkowników na czarnych listach Odwoływanie poświadczeń VPN Blokowanie dostępu dla np. skradzionych urządzeń Kwarantanna Strefa kwarantanny dla urządzeń niespełniających wymogów bezpieczeństwa
BYOD IDENTYFIKACJA URZĄDZEŃ W SIECI Identyfikacja typu urządzenia i systemu operacyjnego, np.: ios, Android, Windows, RIM Rozróżnienie działań użytkownika na laptopie vs. urządzeniu mobilnym Polityka z uwzględnieniem atrybutów użytkownika i urządzeń Architektura rozumiejąca użytkowników i urządzenia
BYOD IDENTYFIKACJA URZĄDZEŃ W SIECI
JAK TO DZIAŁA 5. Aplikacje Zero IT touch Automatyczna identyfikacja Monitoring, raporty 4. Kontrola Apple Facetime (QoS level 7) użytkownika, aplikacji, urządzeń Application 8. 2. Device Fingerprinting AAA per user i per device dostępu Virtual Desktop (QoS level 4) 6. Adaptive Radio FastConnect Fingerprinting context-aware 3. ipad Self Internet (QoS level 1) Management 9. VLAN 10. Bandwidth Registration Pooling contracts 802.11n AP Mobility Controller ClearPass Kontekst User: Joe Smith Dept: Finance Device: Apple ipad Date: M-F, 8am-5pm Location: Campus 1. User Fingerprinting Active Directory 7. Analiza per urządzenie i user AirWave
STATYSTYKI
PO CO?
JAK TO DZIAŁA W PRAKTYCE
JAK TO DZIAŁA W PRAKTYCE
JAK TO DZIAŁA W PRAKTYCE
ARUBA NETWORKS W OCZACH INNYCH Copyright Gartner, Inc. "Magic Quadrant for Wireless LAN Infrastructure, 2009" by Michael J. King and Timothy Zimmerman, 12 February 2009. The Magic Quadrant is copyrighted 2009 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner s analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the Leaders quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
CLICO PROFESSIONAL SERVICES Przedsprzedażna pomoc techniczna Dobór optymalnego rozwiązania dla potrzeb klienta Prezentacje produktów Poradniki konfiguracyjne Pomoc techniczna posprzedażna Centrum pomocy tac.clico.pl Obsługa incydentów w języku polskim
CLICO PROFESSIONAL SERVICES Sprzęt demo Zestawy demo nieodpłatnie wypożyczane do testów Usługi projektowe i analityczne Kontakt: psw@clico.pl 22 201 06 88
PYTANIA?