Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Hasonló dokumentumok
Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

Az intézményi hálózathoz való hozzáférés szabályozása

Jogában áll belépni?!

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Netis vezeték nélküli, N típusú, router

Vállalati WIFI használata az OTP Banknál

Gyors üzembe helyezési kézikönyv

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Gyors telepítési kézikönyv

Áttekintés. Magyar Telekom gyakorlat. Hári Krisztián - ITB vezető - Magyar Telekom

BYOD. Bring Your Own Device

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Mobile network offloading. Ratkóczy Péter Konvergens hálózatok és szolgáltatások (VITMM156) 2014 tavasz

S, mint secure. Nagy Attila Gábor Wildom Kft.

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Wi-Fi Direct útmutató

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

1. A Windows Vista munkakörnyezete 1

Hotspot környezetek. Sándor Tamás. főmérnök. SCI-Network Távközlési és Hálózatintegrációs Rt. T.: F.:

Kompromisszum nélküli wireless megoldások

ARUBA CLEARPASS POLICY MANAGER A NAC (Network Access Control) megoldások csúcsa!

Wi-Fi Direct útmutató

IT hálózat biztonság. A WiFi hálózatok biztonsága

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Vezeték nélküli hálózat


Gyors üzembe helyezési kézikönyv

Thomson Speedtouch 780WL

Mosolygó Ferenc. Értékesítési Konzultáns.

Metadirectory koncepció kivitelezése

Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató

Vodafone HomeNet Huawei B315

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

3 A hálózati kamera beállítása LAN hálózaton keresztül

MOME WiFi hálózati kapcsolat beállítása február 25.

Fejlesztés, működtetés, felügyelet Hatékony infrastruktúra IBM szoftverekkel

Tájékoztató a kollégiumi internet beállításához

Fábián Zoltán Hálózatok elmélet

Mobil eszközökön tárolt adatok biztonsága

ROUTER beállítás otthon

Hotspot környezetek gyakorlata

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

3G185 router Li-ion akkumulátor Usb kábel Telepítési útmutató.

CRA - Cisco Remote Access

Gyors üzembe helyezés

Vodafone HomeNet Használati útmutató

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

20 éve az informatikában

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Gyakorlati tudnivalók

Hálózati hozzáférés vezérlés Cisco alapokon

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A cloud szolgáltatási modell a közigazgatásban

DWL-700AP. Előfeltételek. Ellenőrizze a doboz tartalmát

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

NEMZETI MUNKAÜGYI HIVATAL Szak- és Felnőttképzési Igazgatóság

Advanced PT activity: Fejlesztési feladatok

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Párhuzamos és Grid rendszerek

Arconsult Kft. (1)

Netis vezeték nélküli, N típusú Router Gyors Telepítési Útmutató

Kommunikációs rendszerek programozása. Switch-ek

A WiFi hálózatok technikai háttere

WIFI elérés beállítása Windows 7 Felhasználó azonosítással

KÖZPONTOSÍTOTT EAP ALAPÚ HITELESÍTÉS VEZTÉK NÉLKÜLI HÁLÓZATOKBAN CENTRALIZED EAP BASED AUTHENTICATION FOR WIRELESS NETWORKS

Tudnivalók az NYMESEK vezeték nélküli hálózatáról. Beállítási útmutató WIFI felhasználóink számára

Támogatás A csomag tartalma Nighthawk X8 AC5300 háromsávos WiFi router Védjegyek Megfelelés Router UTP hálózati kábel Hálózati adapter

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

Az IBM megközelítése a végpont védelemhez

Vezetéknélküli technológia

Eduroam Az NIIF tervei

IPv6 Elmélet és gyakorlat

Gyors Telepítési Útmutató N típusú, Vezeték Nélküli, ADSL2+ Modem DL-4305, DL-4305D

AirPrint útmutató. 0 verzió HUN

EDUROAM WI-FI beállítása

Wi - Fi hálózatok mérése (?) Tóth Tibor

Fábián Zoltán Hálózatok elmélet

Jön a WiFi 1000-rel - Üzemeltess hatékonyan!

Tanúsítványok kezelése az ibahir rendszerben

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Windows 7. Szolgáltatás aktiválása

IP: /24 Jelszó: Titok123 SSID: Otthoni Titkosítás: WPA-PSK TKIP Kulcs: Titkos1234. Hálózati ismeretek

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

Testnevelési Egyetem VPN beállítása és használata

A készülék fő egységei X1 X1 (kizárólag vezeték nélküli kamera esetében X1 X1 X1 X1 X1

NHDR-3104AHD-II NHDR-3108AHD-II NHDR-3116AHD-II NHDR-5004AHD-II NHDR-5008AHD-II NHDR-5016AHD-II NHDR-5204AHD NHDR-5208AHD. Telepítői Segédlet

Wifi segédlet Windows 7 operációs rendszer esetén

Kipróbált és bevált távmunka megoládsok

Átírás:

Izsó Krisztián Péti Zoltán Cisco Identity Services Engine

Bevezetés Szakképzett informatikusok számának növekedése Biztonságosnak tűnő rendszerek jobb átláthatósága Sérülékenységek, hibák napvilágra kerülése Vállalati és otthoni környezet érintettsége Felbecsülhetetlen károk Fokozott IT Biztonság igénye

Kezdetleges védekezési formák Víruskereső Tűzfal - Szoftver / Hardver

Kár érték Otthoni Kis vállalat Nagy vállalat

Biztonsági rés A céges privát hálózat Felépítése Hozzáférhetősége

Mobil eszközök a vállalatban Notebook Okostelefon ipad

Egy lehetséges megoldás Kinek? Közép- és Nagyvállalatok számára Mit ad? OSI modell alsó rétegeitől induló védelmet Mobilitás támogatását Mi ez? Cisco ISE

Mobilitás építőkövei Elérhetőség Internet kapcsolat Épületen belüli vándorlás

Csatlakozás a hálózathoz LAN WiFi VPN

Engedély nélküli hozzáférés Vezetékes hálózaton Vezeték nélküli hálózaton

Vezetések hálózat védelme 1 Port letiltása ( admin shutdown ) Cisco Port-security feature Fix munkaállomásoknál kiszámítható, jó megoldás MAC cím klónozás problémája Mobil eszközöknél használhatatlan

Vezetések hálózat védelme 2 Port-alapú authentiká ció Hitelesítés hiányában semmilyen kommunikáció sem jöhet létre Centralizált hitelesítő szerver Hitelesítés RADIUS szerveren keresztül ISE rendszer alapköve Dot1x - MAB

Vezeték nélküli hálózat védelme Alapértelmezetten védtelen A megfelelő biztonságoz minimális szaktudás szükséges Kezdetleges védekezési lehetőségek SSID broadcast kikapcsolása Jelszavas hitelesítés, titkosítási algoritmusok Infrastrukturális tervezés Egységes Wifi infrastruktúra Vendég Wifi hálózat

CISCO ISE Jellemzők Csomópontok Logikai architektúra Logikai adatfolyam

Jellemzők Identitás alapú hozzáférés szabályzó rendszer Hitelesítendő eszköz / Felhasználó = Identitás 5 alapvető aspektus Authentikáció Rendszerelemzés Authorizáció Szolgáltatási szint Naplózás

Logikai architektúra Szolgáltatási csomópontokból áll Redundánsan telepíthető Központi admin felületen kezelhető minden

ISE logikai folyamat

ISE csomópontok Admin node ISE rendszer konfigurálása, web GUI Monitoring node Log gyűjtés, elemzések, hibakeresés, riportok Policy service node Felhasználók kiértékelése, vendég hozzáférés biztosítása, NAC agenttel kommunikál In-line posture node Wifi kontroller, VPN koncentrátor mögött Adatforgalom áthalad rajta Folyamatosan változó szabályok

ISE funkciók 802.1x authentikáció tanúsítványokkal Profilozás Mac Authentication Bypass Komponens elemzés Vendég regisztrációs rendszer

802.1x authentikáció tanúsítványokkal Dot1x switch platform OS beállítás Switch konfiguráció

Dot1x switchport konfig

Sikeres Dot1x auth

Mac Authentication Bypass Buta eszközök számára Sikertelen dot1x után javasolt MAC cím alapon hitelesít MAC cloning probléma?

MAB switch konfig

Sikeres MAB

Vendég regisztrációs rendszer Problémák Statikus jelszavak Sávszélesség pazarlás Megoldás Kettős portál rendszer : Szponzor - Vendég

Szponzor portál

Komponens elemzés A hitelesítendő eszköz biztonságos? Szándékos vagy nem szándékos károkozás Eszköz Kiértékelés ( NAC Agent ) Go / No Go!

Profilozás BYOD támogatása Dinamikus felismerés Eltérő szabályozás / eszköz Logikai csoportokba helyezés Hardver alapon : Apple, Blackberry OS alapon : Windows 7, MAC OS X, Win XP

Tanúsítványkezelés ISE alatt X.509-es szabvány User Machine

X.509-es tanúsítvány Publikus kulcsú infrastruktúrában a tanúsítványok feladata elsősorban egy adott publikus kulcs és az ahhoz tartozó titkos kulcs összekapcsolása. Ugyanakkor a tanúsítványoktól elvárjuk, hogy rendelkezzen mindazokkal a tulajdonságokkal, amikkel mondjuk egy személyi igazolvány vagy egy bankkártya. Elvárjuk, hogy az egyes személyek, szervezetek azonosítását, kezelését épp olyan, de inkább nagyobb biztonsággal el tudjuk végezni, mint ahogy azt az offline megfelelőikkel természetesen és magától értetődően tesszük. Elvárjuk tőlük mindazt a biztonságot és kényelmet és természetesen azt, hogy ezt a modern hálózati környezetben hajtsa végre. (Folláth János, 2011)

Tanúsítványok kezelése Több szintű hitelesítésre alkalmas Hitelesítő szerver feladata a tanúsítvány kiértékelése Megbízható CA állította ki? Lejárt? Visszavonták? Tanusítvány ( hitelesítés ) + Active Directory ( authorizáció )

Machine Tanúsítvány példa

User tanúsítvány példa

Folyamat összegzése Helytől független munkavégzés Machine cert. ( Hitelesítés ) User cert. ( Authorizáció ) Kettős kiértékelés Biztonságos hozzáférés

Teszteset 1 Normál működés Teszt alany : Nagy Ottó Modell: HP Elitbook 840 MAC cím: 64:51:06:A0:72:20 Tartományi felhasználónév: Otto.Nagy@xyz.com

Switch konfig

Sikeres Hitelesítés

Machine auth logok

User Auth logok

Teszteset 2 Lopott notebook Hackelt admin jelszó Kísérlet a céges hálózatra való csatlakoztatásra

Machine auth

Tört Admin jelszó után

Sikertelen hitelesítés

Teszteset 3 Idegen notebook Tetszőleges felhasználónév Modell: Fujitsu-Siemens S7210 MAC cím: 00:17:42:79:87:51 Tartományi felhasználónév: Aladar.Kocsis@kertemkft.com

Switchport - MAC

Nem létező machine tanúsítvány

ISE logok

ISE rendszer összefoglalás ISE Dinamikus Skálázható Biztonságos Komplex, erőforrás igényes

Kérdések

Köszönjük a figyelmet

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés