Biztonság és vezeték nélküli hálózat? Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com 1
Amiről szó lesz - tervezés Mi az a CVD? Hogyan készül Mire e használjuk áju Vezeték nélküli hálózat integrált biztonsági megoldásokkal Cisco Unified Wireless Network Cisco Security Agent Cisco NAC Appliance Cisco Firewall Cisco IPS A biztonság egy kicsit más szemszögből 2
Cisco Validated Design (CVD) http://www.cisco.com/en/us/netsol/ns741/networking_solutions_program _home.html Wireless and Network Security Integration Design Guide Bárki számára hozzáférhető ajánlások Nem mindenre találuk benne megoldást igyekszünk fejleszteni Cisco mérnökök által kipróbált megoldások nincs zsákbamacska Követéséhez nem kell minden eszközzel rendelkeznünk, elég ha elindulunk az úton. Így legalább látjuk, hol a vége 3
Cisco Unified Wireless Network 4
Architektúrális megközelítés WCS CSA MC ASA IPS NAC NAC Manager NoC WLC FW FW CS MARS Kiszolgáló elemek Core ACS for AAA Management LWAPP Tunnel LAP LAP WLAN Client Traffic WLAN clients with NAC Agent, CSA, CSSC 5
Wireless elemek Cél WLAN elemek Hálózati elemek Hálózati infrastuktúra megerősítése LWAPP/CAPWAPP, Management Frame Protection, 802.1x Megerősített hálózati elemek (redundancia) Végpontok védelme WPA2 nagyon ajánlott CSA és Cisco Secure Service Client Felhasználói azonosítás WPA2, Client Exclusion a WLC-n CSA, CSSC, NAC, Tűzfal és hozzáférés é szabályozása Titkosított kommunikáció WPA2 Hozzáférés szabályozás ACL a WLC-n Cisco Tűzfal Működtetés Hálózat monitorozása, WLC, Wireless Control System, AAA, SNMP, Eszköz anomáliák és támadások detektálása Adaptive wireless IPS menedzsment és CS- MARS 6
WLC a hálózatban Itt legyen? Access Distribution Distribution Vagy itt? Core Services Module WLAN WAN Data Center Internet 7
Cisco Security Agent - CSA 8
CSA vezetékes és vezeték nélküli hálózat együttes használatára UDP UDP TCP TCP Enterprise Ha az Ethernet port működik, vezeték nélküli átvitel nem lehetséges Több egyidejű hálózati kapcsolat (vezetékes és vezeték nélküli) tiltására 5.2-es CSA verziótól Cisco Secure Service Client használatával is elérhető ugyanez 9
CSA Ad-Hoc kapcsolatok megakadályozása UDP UDP TCP TCP Active Wireless Ad-Hoc Connection Ad-hoc kapcsolatok teljes tiltása Csak engedélyezett hozzáférések legyenek a belső hálózathoz Egyidőben a hálózat oldaláról is érdemes figyelni ezekre a kapcsolatokra Wireless IDS/IPS szolgáltatás 10
NAC Appliance és Tűzfal 11
NAC: Négy fő funkció Használatával a hálózat kényszerítheti ki, hogy a felhasználók megfeleljenek lj a feltételeknek l k Hitelesítés és azonosítás Kikényszerített azonosítás Többféle felhasználó típus is támogatott Ellenőrzés és értékelés Szoftver kliens ellenőrzi a felhasználók megfelelését Központosított víruskeresés indítás, vírusok kezelése Kizárás Nem megfelelő lő eszközök ök forgalmának korlátozása Frissítés, megfelelés Központosított szoftverek a fenyegetések kezelésére MAC és IP alapú kizárások Help-desk integrációs ió lehetőségek 12
Tűzfal és Roaming EoIP A kliens kezdeményezi A forgalom ezután egy tunnelben halad az új és a régi WLC között A forgalom ugyazanon a tűzfalon halad keresztül Roam 13
Cisco IPS 14
Cisco IPS elhelyezkedése a hálózatban ASA Kiszolgáló elemek IPS NAC WCS CSA MC NAC Manager NoC WLC FW FW CS MARS Core ACS for AAA Menedzsment LWAPP Tunnel Problémás WLAN forgalom LAP LAP WLAN Client Traffic Vírusok, férgek, alkalmazás l támadások etc. 15
Cisco WLC and IPS Integration for Automated Threat Mitigation 2.) Az IPS kezdeményezi a kliens kitiltását át IP 1) 1.) Az IPS detektálja a cím alapján rosszindulatú forgalmat 3.) A WLC a következő IPS lekérdezésnél kapja meg ezt az információt WLC IPS 0.) A fenyegetések mérséklése már a hozzáférési rétegben Core Access 4.) A WLC a blokkolt IP címet Network berakja a client exclusion LAP listára a MAC-je alapján 5.) A blokkolt kliens-t lekapcsolása a hálózatról X Malicious WLAN Client Traffic 16
Biztonság kicsit más szemszögből is 17
Cisco Spectrum Expert 18
Kérdések 19
20