A JUNIPER NETWORKS AAA ÉS 802.1X PORTFO- LIÓJA
Áttekintés Juniper Netwrks Steel Belted Radius az iparági szabvány A Juniper Netwrks teljes RADIUS/AAA és 802.1x alapú hzzáférés-biztnsági megldást kínál nagyvállalatk és szlgáltatatók számára; akár drótnélküli, akár hagymánys bekábelezett megldásról van szó. A tervezés srán mindvégig a szlgáltatók rendkívül magas sebesség- és megbízhatóság igényét vették figyelembe, így rendkívül rbsztus és gyrs megldás született. Ha egységes biztnsági szintet kíván egy ügyfél megvalósítani függetlenül az aktuális kapcslat típusától (amely lehet például WLAN, VPN vagy betárcsázás (dial-up)) 802.1x alapn, akkr a Juniper Netwrks segítségével ezt könnyűszerrel megteheti. A Juniper Netwrks Steel-Belted Radius (SBR) terméke teljesen szabványs, a támgattt hálózati gyártók és eszközök több százas köre egyszerű szerkezetű mintafájlk alapján tvább bővíthető igény szerint. A Juniper SBR a nagyvállalati- és a szlgáltatói szegmens kezébe adja azt a felügyeleti lehetőséget, hgy a felhasználók miként férnek hzzá, és hgyan használják a hálózatt; megelőzhető a jgsulatlan hzzáférés és a felhasználók csatlakzása előtt ellenőrizhető, hgy megfelelnek-e a biztnsági házirend kritériumainak. Ezzel biztsíttt minden felhasználó megfelelő szintű hzzáférése, és a hzzáférések naplózása a későbbi számlázási/követési flyamatkhz. A rendszer emellett képes például a többszörös bejelentkezések és a döglött kapcslatk szűrésére. Egy SDK kit segítségével egyedi fejlesztések is illeszthetőek a rendszerhez. Odyssey Access Client (OAC) 802.1x minden Windws és Red Hat Linux platfrmn Az Odyssey kliens előnye a Windws ingyenes beépített megldásával szemben, hgy valós nagyvállalati megldást nyújt. Azns, közpntilag menedzselhető, szabványs megldás szinte minden Windws és Red Hat Linux platfrmn. Ez a megldás is tökéletes szabványkövetést valósít meg, így összességében a lehető legkedvezőbb teljes birtklási költség (TCO) érhető el vele. Fnts megjegyezni, hgy az OAC képes integrált működésre a Juniper Infranet Cntrller rendszerével, aminek segítségével a legszigrúbb követelményeknek megfelelő biztnsági rendszer építhető fel, ahl a felhasználó csak flyamatsan ellenőrzött kapcslati állapta szerint érhet el hálózati erőfrráskat. 2 / 10
A Steel Belted Radius termékcsalád Termék Célpiac Tulajdnságk Közép és nagyvállalatk Teljes funkcinalitású RADIUS/AAA szerver SBR Enterprise Editin (SBR EE) SBR Glbal Enterprise Editin (SBR GE) SBR Service Prvider Editin (SBR SPE) SBR Appliance Nemzetközi nagyvállalatk részére több ezer felhasználó és reginális fiókirdák kezelése Telekmmunikációs szlgáltatók speciális igényeihez igazdó kiegészítő mdulk Radius megldás célhardver frmában Közpntsíttt távli/vpn és 802.1X felhasználó menedzsment és hitelesítés (vezetékes- és vezeték nélküli hálózatn kapcslódó felhasználók esetén is.) Speciális többlet funkciók a glbális működés támgatására SNMP menedzsment A magas megbízhatóság akár 99.999% rendelkezésre állást biztsít A prxy RADIUS funkció segítségével elszttt aznsítási rendszer is megvalósítható Speciális többlet funkciók az ISP-k számára Képes az SLA-k autmatikus támgatására Lehetővé teszi a lptt vagy megszttt accuntk detektálását Dedikált, rack-be szerelhető eszköz SBR EE és SBR GE megldáskhz Kmpakt kivitel, könnyen integrálható az adatközpntkba Megnövelt biztnság a RADIUS szlgáltatáskhz ptimalizált perációs rendszerrel. Alacsnyabb birtklási költség (TCO): gyrsabb üzembe helyezhetőség, a karbantartásra frdíttt idő csökken, autmatikus frissítések, egy szállító A Steel Belted Radius Enterprise Editin (SBR EE) tulajdnságai A termék közpntsíttt hitelesítést nyújt a távli/vpn és a 802.1X felhasználók (vezetékes- vagy vezeték nélküli) aznsítására. Növeli a hálózati biztnságt és csökkenti az adminisztrációs terheket. Biztsítja a vállalat biztnsági házirendjének betartatását A vezeték nélküli hálózati kapcslatk védelme. Teljes körűen védi a felhasználói aznsítókat és az adatkat a vezeték nélküli kapcslatban, megelőzve a lehetséges támadáskat például a lehallgatást. A WLAN hzzáférés biztnságsan integrálhatóvá válik a hálózatba. A nagy műveleti sebesség kielégíti még a legnagybb és legjbban kihasznált hálózatk igényeit is. Prblémamentes kmpatibilitás a hálózatban. Az iparági standard AAA felügyeletet a gyakrlatban előfrduló minden integrációnál és gyártónál. A tökéletes integrálhatóság hetergén környezetben egyszerűsíti a telepítéseket és a napi rutinműveleteket. Száms back-end hitelesítési adatbázis támgattt, mint például a Micrsft Active Directry, az LDAP és az RSA Authenticatin Manager. 3 / 10
Fejlett tulajdnságk mint például az XML alapú felhasználói felület és a replikáció könnyítik meg a knfigurálást és a karbantartást. Jelentősen csökkenti a felhasználók és eszközök beléptetésének idejét. Csökken a knfigurációs prblémák lehetősége. Könnyen kezelhető diagnsztikai, hibakeresési és riprtlási lehetőségek. Különböző váltzatkban érhető el, hgy illeszkedjen a vállalattípusk igényeihez. SBR Enterprise Editin ideális választás néhány ezer felhasználóig. SBR Glbal Enterprise Editin nemzetközi nagyvállalatk részére, ahl igény a különböző telephelyeken működő RADIUS megldásk szinkrnizált működése, akár több millió felhasználóval. SBR Appliance Célhardver platfrm a SBR EE vagy SBR GEE futtatásáhz. A Juniper Steel Belted Radius (SBR) lehetővé teszi a hálózat elérési paramétereinek és biztnsági szintjének közpntsíttt ellenőrzését: ki jgsult belépni a hálózatba, milyen krlátzáskkal, milyen speciális felhasználói hzzáférési karakterisztikákkal mint például a kapcslódási idő krlátja, a felhasználható maximális sávszélesség vagy a WiFi hzzáférés biztnsági szintje. A SBR megbiznysdik afelől is, hgy a felhasználó megfelel a vállalati biztnsági házirend AAA vnatkzásainak, mint például a kétfaktrs aznsítás, stb. Ezek a szabályk egységesen végrehajtásra kerülnek a lkális és a távli/vpn, vagy a 802.1X alapú vezetékes és vezeték nélküli kapcslatk esetén is, ami jelentősen könnyíti a rendszerbe állítást és a hálózat-felügyelet flyamatát. A Juniper Netwrks SBR a széles körben elterjedt RADIUS (Remte Authenticatin Dial-In User Service) prtkll teljes implementációja, mindhárm alapvető funkcióval: Authenticatin (Hitelesítés): összeveti minden felhasználó belépési aznsítóit egy közpnti biztnsági adatbázissal; megbiznysdik arról, hgy a felhasználó egyéni és érvényes belépési aznsítókkal lép be a hálózatba. Authrizatin (Engedélyezés vagy hzzáférés kezelés): Minden új kapcslat esetén infrmációkat ad a hálózathz kapcslódó eszköznek, hgy milyen IP címet használjn, milyen kapcslat időlimittel, illetve milyen csatrnát építsen fel. Accunting (Naplózás): Minden kapcslat naplózása, felhasználónevekkel és a kapcslatk idejével, a követhetőség és a szlgáltatói számlázás érdekében. Ha egy felhasználó csatlakzik a hálózathz egy távli szerveren, VPN-en, tűzfaln, ruteren, access pintn, vagy bármely RADIUS kmpatibilis eszközön keresztül, az az eszköz a SBR-hz frdul hitelesítésért. A SBR a felhasználói aznsítók és a belső adatbázis összevetése után elfgadja, vagy elutasítja a kapcslódási kérelmet; a kapcslódás jóváhagyása esetén meghatárzza a kapcslat paramétereit. Amikr a felhasználó kijelentkezik, a hzzáféréshez használt eszköz (az úgynevezett netwrk access device ) infrmálja a SBR-t, ami naplózza a tranzakciót. A SBR megfelel minden lyan igénynek, amelyeket a mai kmplex hálózatk támasztanak. Részt vesz a WLAN kapcslatk felépítésében úgy, hgy közben biztsítja a felhasználói hzzáférési adatk teljes biztnságát a vezeték nélküli kapcslatban (mivel a jelszavak shasem kerülnek átvitelre titksítatlanul). Széleskörű jelentés és statisztika készítési lehetőségeket nyújt a hálózati tevékenységek elemzésére, vagy az aznnali hibafelderítésre és elhárításra. Gyakrlatilag bármilyen nagyságú hálózati frgalmmal könnyen elbldgul; kifinmult replikációs képességekkel és intuitív adminisztrációs felülettel rendelkezik. Közpntilag menedzselt hálózati hitelesítés minden környezetben A Micrsft Windws kliens ldali perációs rendszerek széles körével kmpatibilis Juniper Netwrks Odyssey Access Client (OAC) és a Juniper Netwrks Steel Belted Radius (SBR) család lehetővé teszi, hgy csak a feljgsíttt felhasználók tudjanak csatlakzni a hálózathz, megfelelően knfigurált hzzáférési paraméterek mellett akár WLAN-ról, távli/vpn hzzáférésről, vagy vezetékes 802.1X kapcslatról beszélünk. Az alap AAA követelmények mellett a SBR megfelel minden hzzáférési mód specifikus igényeinek is. 4 / 10
Tulajdnságk Platfrmk közti átjárhatóság több gyártó megldásával is kmpatibilis Transzparens módn működik együtt a többi hzzáférést szlgáló hálózati elemmel, beleértve a WLAN, remte/vpn, vezetékes 802.1X, betárcsázós, utsurced, és bármilyen más hzzáférési megldással minden kmbinációban. Egyszerű kapcslódás hálózati eszközökhöz, akár több gyártó megldásaihz egyszerre. Gyártó specifikus szótárak írják le az egyes gyártók által készített RADIUS attribútumkat. (Saját szótárak is készíthetőek.) A támgattt biztnságs WLAN hzzáférési prtkllk közül néhány: EAP-TTLS EAP-PEAP EAP-TLS Cisc EAP-FAST és LEAP RSA Security EAP-POTP EAP-MD5 Teljes támgatás a remte/vpn szerverek különböző specifikus igényeinek. Vezetékes 802.1X hitelesítés a felhasználói attribútumk és nem csupán az Ethernet prt alapján. (Szükséges egy 802.1X kliens hzzá, mint például a Juniper Netwrk Odyssey Access Client szftvere.) Minden felhasználó-hitelesítés típus (vagy típusk kmbinációja) támgattt: 1. A beépített adatbázis használata maximum 20.000 felhasználónévig és jelszóig ajánltt. 2. Ha a felhasználószám több mint 20.000 vagy a helyi igények indklják, úgy Pass-thrugh hitelesítés ajánltt az alábbi rendszerek felé: Windws dmain és Unix rendszerek, beleértve az Active Directry-t (teljes MS-CHAP támgatással, a lejárt jelszavak váltztathatóságának érdekében), UNIX helyi felhasználók és csprtk, Slaris Netwrk Infrmatin Services (NIS/NIS+) Tken alapú hitelesítési rendszerek, mint például az RSA Security Authenticatin Manager (SecureID) LDAP könyvtárak (Nvell edirectry, Sun Java System Directry Server, pen LDAP, stb.) SQL adatbázisk (Oracle, MySQL, stb.) Bármely ODBC- vagy JDBC felületen elérhető adatfrrás TACACS+ hitelesítés Más RADIUS szerverek felé, prxy hitelesítéshez. Előnyök Iparági szabvány AAA felügyelet minden integrációnál és gyártónál. A hetergén környezetek kiemelt támgatása nagymértékben egyszerűsíti az üzembe helyezést és a napi rutinműveleteket is. Bármely WLAN prtkll támgatása; a helyi igényeknek megfelelően lehet kiválasztani a legmegfelelőbb prtkllt. Lehetővé teszi a remte/vpn hzzáférések közpnti menedzselését. Leegyszerűsíti az adminisztratív feladatkat csökkenti a költségeket. Rengeteg időt takarít meg a termék használata azáltal, hgy ugyanaz az adatbázis felhasználható LAN, WLAN, remte/vpn, vezetékes 802.1X felhasználók hitelesítéséhez. A hitelesítés nem krlátzódik kizárólag a felhasználónév/jelszó típusú aznsításra, lehetséges erős aznsítás is. LDAP felhasználásával lehetséges a felhasználók teljesen centralizált kezelése. 5 / 10
Az üzembe helyezési és üzemeltetési költségek csökkentése A Juniper Netwrks SBR száms lyan fnts tulajdnsággal rendelkezik, amik egyszerűvé teszik az üzembe helyezést és a napi szintű műveleteket, miközben minden lyan AAA képességgel rendelkezik, ami egy piacvezetőtől elvárható. Tulajdnságk Egyszerű diagnsztika dinamikus statisztikákkal és riprtkkal. Az összes hitelesítési kérés és válasz története követhető A felhasználó kapcslódási ideje nymn követhető a RADIUS accunting funkció segítségével Statisztikák a hitelesítésekről, hzzáférés kezelés, prxy kérelmekről, stb. Az infrmációk knvertálása infrmatív, kereshető jelentésekké Egyszerű knfigurálás és karbantartás XML alapú felhasználói felület Egyszerű cut-and-paste szerver knfigurálási lehetőségek Közpntsíttt Knfiguráció Menedzsment (Centralized Cnfiguratin Management, CCM) Közpnti menedzsment egyidejűleg több SBR rendszerhez Egyszerű replikációs lehetőségek a mester szerverről Előnyök Kifinmult naplózás, audit- és riprtlehetőségek könynyítik meg a tevékenységek figyelését különböző perspektívákból. A szerver bármely gépről. bárhnnan menedzselhető. Jelentősen lecsökkenti azt az időt, ami új szlgáltatásk üzembe helyezéséhez szükséges. A knfigurációs hibák esélye jelentősen lecsökken rengeteg idő takarítható meg. A Steel Belted Radius Glbal Enterprise Editin többlet funkcinalitása Az Enterprise Editin verzióhz képest a Glbal Enterprise Editin száms specializált tulajdnsággal rendelkezik, hgy kielégítse a nemzetközi nagyvállalatk AAA igényeit. Erős prxy RADIUS támgatás lehetővé teszi a kihelyezett hitelesítést bármely RADIUS szerverre, száms tvábbi haszns tulajdnsággal együtt mint például az irányíttt tartmányk (directed realms) vagy a prxy kérések szűrése (prxy packet filtering). A magas rendelkezésre állás támgatása terheléselsztás segítségével történik. A megbízható hzzáférés kezelés megszünteti az elveszett hzzáférési rekrdkat és az esetlegesen létrejövő duplikált bejegyzéseket, ezáltal szükségtelenné válik a helyi mentés és a kötegelt feldlgzás. Kmpatibilitás az SNMP alapú menedzsment rendszerekkel. A Steel Belted Radius Service Prvider Editin mduljai Termék Célpiac Alkalmazási terület Vezeték nélküli és vezetékes szlgáltatók SBR Service Prvider Editin Nagykapacitású, magas megbízhatóságú RADIUS/AAA szerver. Felhasználó hitelesítés és számlázási adatk nyújtása. Skálázható minden szlgáltatási szinthez. Könnyen illeszthető az ügyviteli és a számlázási rendszerbe. 6 / 10
Termék Célpiac Alkalmazási terület SBR Mbile IP Mdule CDMA szlgáltatók AAA kiegészítés az SBR SPE-hez, hgy megfeleljen a CDMA szlgáltatók 3GPP2 szabványának Menedzseli a hitelesítést és a szlgáltatást vezeték nélküli 3G hálózatkn. Htlining funkció (mbil kliensek kényszerített tvábbirányítása prtál felületre) SBR SIM Server GSM szlgáltatók Teljes funkcinalitású RADIUS/AAA szerver menedzseli a hitelesítést és a szlgáltatást GSM, CDMA hálózatkn. IP alapú szlgáltatást nyújt a GSM előfizetőknek. Rugalmas hitelesítési lehetőségek: EAP-SIM, EAP-AKA, vagy ne-time passwrd (SMS-en keresztül) SBR EAP Expansin Mdule Biztnságs Htspt hzzáférést kínáló perátrk Biztnságs WLAN hzzáférés 802.1x és tunneled EAP prtkllk segítségével. Kiegészítő eszközöket nyújt az perátr számára, amelyekkel hsztlt szlgáltatáskat nyújthatnak vállalati ügyfélkörüknek SBR Service Level Manager ISP-k és Whlesale Carrierek számára Minden felhasználó knkurens bejelentkezéseinek limitálása, akármelyik szerveren is hitelesítették magukat. Betartatja a szlgáltatási szerződésben fglaltakat (SLA). Glbálisan képes mnitrzni a prtk használatát az SLA-k pnts betartása érdekében. Technikai specifikáció Steel Belted Radius Enterprise Editin és Glbal Enterprise Editin SBR fr Windws a következő perációs rendszerekkel kmpatibilis: Windws NT 4.0 (Service Pack 6) Windws 2000 (minden váltzat) Windws XP (minden váltzat) Windws Server 2003 (minden váltzat) SBR fr Slaris: Slaris 8 vagy 9, SPARC vagy UltraSPARC platfrmn. SBR fr Linux a következő perációs rendszerekkel kmpatibilis: SuSE Enterprise Server 9 (SLES9) Red Hat (Enterprise and Advanced Server 3) Az SBR egy XML alapú adminisztrációs felületen keresztül knfigurálható, ami a Windws, Slaris és Linux platfrmn is működik, így az adminisztráció platfrm független. A Steel Belted Radius Appliance eszközönként és másdpercenként 1500 tranzakció végrehajtására képes. A Steel Belted Radius Service Prvider Editin nem minden kiegészítő mdulja érhető el minden platfrmn! 7 / 10
Az Odyssey Access termékcsalád Az Odyssey termékcsalád a 802.1x szabvány nagyvállalati igényeknek megfelelő implementációja. Elsősrban a WLAN hálózatk biztnságs hzzáférésére lett ptimalizálva, aznban dróts 802.1x környezetben is tökéletesen alkalmazható. Az Odyssey Access Client garantálja a biztnságs hzzáférést (csak a feljgsíttt felhasználók csatlakzhatnak, a csatlakzási flyamat lehallgatás esetén is biztnságs marad) a hálózathz. Az OAC szftver rendkívül egyszerűen telepíthető a kliensekre, és a telepítést követően a felügyelet is jóval egyszerűbb mint más megldásk esetén. Az Odyssey Access termékcsalád eredetileg hárm tagból állt: Odyssey Access Client (OAC) Odyssey Access Client FIPS Editin (OAC FIPS 140-2 Level 1) Odyssey Access Server (OAS) Az Odyssey Access Server terméktámgatása és fejlesztése 2007. május 31-én megszűnt, a termék helyett a Steel Belted Radius Enterprise Editin használata ajánltt. A Juniper Netwrks Odyssey Access Client (OAC) Biztnságs, könnyen telepíthető 802.1X kliens nagyvállalati és krmányzati ügyfeleknek A Tunneled EAP metódusk és haladó titksítási algritmusk, mint a WPA2 teljes védelmet nyújt a felhasználói aznsítóknak és az adatknak vezetékes vagy vezeték nélküli kapcslódás esetén. A teljes birtklási költség kisebb, mint más megldásknál a terméktámgatás, ügyfélszlgálat, betanítási költségek jelentősen csökkennek Áttekintés A Juniper Netwrks Odyssey Access Client egy nagyvállalati 802.1X kliens szftver, amely a legmdernebb WLAN biztnsági prtkllkat alkalmazza. Együtt egy 802.1X RADIUS szerverrel, mint például a Juniper Netwrks Odyssey Access Server vagy a Steel-Belted Radius Server, az OAC gndskdik a WLAN felhasználók hitelesítéséről és a kapcslat biztnságáról. Biztsítja, hgy csak a hitelesített felhasználók tudjanak csatlakzni, a bejelentkezés flyamata védett legyen lehallgatás és a hamisítási kísérletek ellen; valamint a kapcslat ideje alatt végig fenntartja az adatátvitel biztnságát. Az OAC lyan nagyvállalatk számára is ideális, akik vezetékes 802.1X hálózatt telepítenek. Az OAC teljes mértékben támgatja a vezetékes 802.1X kapcslatkat és költségeket takarít meg azáltal, hgy a vezetékes és vezeték nélküli hálózati hzzáféréseket csak egyszer kell kiépíteni. Az egyetlen interfész használata minden funkcióra a felhasználók képzési költségeit is csökkenti. Mind vezetékes, mind pedig vezeték nélküli kapcslat esetén támgattt a Juniper Netwrks Infranet Cntrller eszközzel való integráció. Az Infranet Cntrller képes a kapcslódni kívánó kliens biztnsági házirendnek való megfelelését ellenőrizni, és a házirendnek megfelelően a hzzáféréseket megadni vagy megtagadni (például karanténba helyezni). Tehát az Odyssey Access Client, 8 / 10
a Steel Belted Radius szerver és az Infranet Cntrller segítségével kmplett hzzáférés ellenőrzési megldást lehet felépíteni. 1 Tulajdnságk és előnyök A felhasználói aznsítók tökéletes védelme drótnélküli kapcslat használata esetén is A Tunneled EAP metódusk és a fejlett WPA/WPA2 titksítási algritmusk védik a vezetékes és vezeték nélküli hálózatt a támadásktól. A kliensldali kezelőfelület lezárásának lehetősége segíti a vállalat biztnsági szabályzatának betartatását. Stabil és biztnságs WLAN hzzáférés a hálózatn. Alacsny összköltség (TCO) Előre knfigurált kliens telepíthető rendkívül egyszerűen, amely a későbbi frissítéseket is autmatikusan képes telepíteni. A hálózati knfiguráció bármikr könnyen módsítható a közpnti menedzsmentnek köszönhetően. A felhasználók nagyn könnyen megtanulják és megszkják a termék használatát. Tökéletes kmpatibilitás A Windws verziók (asztali és PDA is) többségén, és a Linux platfrmn is fut. Vezetékes- és vezeték nélküli hálózatkban is alkalmazható. Kmpatibilis a meglévő authentikációs sémákkal, mint az Active Directry, az RSA Authenticatin Manager, vagy az LDAP. Együttműködik a Juniper Netwrks Steel Belted Radius család RADIUS/AAA szervereivel, illetve más gyártótól származó 802.1X kmpatibilis RADIUS szerverekkel is. Az Odyssey Access Client segítségével az IEEE 802.1x szabványnak megfelelő Layer 2 teljeskörű (prt szintű) hálózat-hzzáférés kntrll valósítható meg. Technikai specifikáció Támgattt perációs rendszerek: Windws XP Windws 2000 Windws Mbile 2005 és Windws Mbile 2003 Windws CE 5 and CE 4.2 Windws Mbile 2003 fr Pcket PC Red Hat Enterprise Linux v3 és v4 Windws 95, 98 és Millenium Editin krábbi, de még támgattt verzióval Fntsabb támgattt EAP típusk: EAP-TTLS EAP-PEAP EAP-TLS EAP-FAST és LEAP, EAP-SIM, and EAPMD5 WLAN támgatás: 1 Gyártótól függően az alábbi elnevezések használatsak körülbelül ugyanarra a technlógiára: netwrk admissin cntrl, netwrk access cntrl, user accunt cntrl, netwrk access prtectin, unified access cntrl. 9 / 10
WPA WPA2 Biztnsági szabályzat betartatás / Plicy cmpliance : A kliens beállításainak rögzítése A kapcslódni kívánó kliens biztnsági szintjének ellenőrzése szabványs megldásk segítségével (lásd: Juniper Netwrks Infranet Cntrller) FIPS verzió: Egyedi Juniper Odyssey biznsági titksító mdul - FIPS 140-2 Level 1 tanúsíttt. Illeszkedik a FIPS irányelvekhez, EAP-TLS hitelesítés használata, 802.11i (WPA2) és AES-CCMP adattitksítás Támgatás az xsec prtkllhz, AES titksítással Támgatja a kliens lezárását 10 / 10