A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA



Hasonló dokumentumok
Termék Célpiac Tulajdonságok Közép és nagyvállalatok Teljes funkcionalitású RADIUS/AAA szerver

WorldSkills 2011 Hálózati informatikai rendszergazda

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

Jogában áll belépni?!

IT Factory képzések ősz. Fejlesztői képzések. I. ASP.NET alapú webfejlesztés Kezdés: október 02.

2. A számítógépes hálózatok előnyei 2.1. Elektronikus üzenetek, levelek, fájlok küldésének lehetősége o

Lekérdező HypEx bankterminál

Sberbank Online Banking Gyakran Ismételt Kérdések

Számítógépes információs rendszerek az iskolában és a gazdaságban Ismerjen számítógépes katalógusokat és adatbázisokat.

2.sz melléklet - Szolgáltatási szint megállapodás

Informatikai hálózattelepítő és üzemeltető képzés tematika oktatott modulok

IT biztonságtechnikus képzés tematika oktatott modulok

IT kockázatkezelés Kinek a felelőssége?

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

Verzió CompLex Officium Felhasználói kézikönyv

Windows7 felhasználóknak

Novell Kisvállalati Csomag 6.5

Lekérdező HypEx bankterminál

IBM BladeCenter megoldások

A fogyasztói tudatosság növelése. az elektronikus hírközlési piacon

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Számítási felhők (Cloud computing)

Binarit.KPKNY. Áttekintés. BINARIT Informatikai Kft Budapest, Váci út 95.

Adatbenyújtási kézikönyv

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Mérnöknek lenni annyit jelent: előre látni, hogy egy megvalósítandó rendszer/termék hogyan működik, viselkedik majd a hétköznapokban.

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

1. számú Melléklet AZ ÖNKORMÁNYZATI ASP KÖZPONTOK KIALAKÍTÁSÁVAL KAPCSOLATOS KÖVETELMÉNYEK

INTEGRÁLT NYOMONKÖVETŐ RENDSZER

Rendszertervek és követelmények KeySafe és ProxerSafe rendszerek esetén... 1

DIGITÁLIS UJJLENYOMAT AZ ADATBIZTONSÁGBAN

ÚTMUTATÓ A PROJEKTMENEDZSMENT TÁMOGATÓ RENDSZER

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

ADATVÉDELMI SZABÁLYZAT

Az intézményi hálózathoz való hozzáférés szabályozása

Már meglévő Microsoft szoftverlicencekhez kapcsolódó emelt szintű konzultációs, frissítési és terméktámogatási szolgáltatások

LOGO-VIR Oktatási terv. Pécs Megyei Jogú Város Önkormányzata Kontrolling (vezetői információs) rendszer oktatási terve

Felhívás. Csoportos tehetségsegítő tevékenységek megvalósítására. a TÁMOP azonosítószámú Tehetséghidak Program

Mobiltelefonos azonosítási lehetőségek 2017-ben

ZÁRÓ VEZETŐI JELENTÉS TEVÉKENYSÉGELEMZÉS ÉS MUNKAKÖRI LEÍRÁSOK KÉSZÍTÉSE SZÁMÍTÓGÉPES ADAT- BÁZIS TÁMOGATÁSÁVAL

LOGO-VIR Teszt terv. Pécs Megyei Jogú Város Önkormányzata Kontrolling (vezetői információs) rendszer teszt terve

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

Hálózati hozzáférés vezérlés Cisco alapokon

Dr. Görög István jegyző. Dr. Görög István jegyző

HASZNÁLATI ÚTMUTATÓ. A ProCoord típusú Precíziós Lézer Targethez

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

10XONE Szoftver és szolgáltatási szerződés Általános Szerződési Feltételek (ÁSzF) XONE V3.3 SZERZŐDÉS

A kis- és középvállalkozások folyamatosan keresik azokat a lehetőségeket és megoldásokat, melyekkel erősíthetik, vagy javíthatják piaci pozíciójukat.

Műszaki specifikáció Telefon alközpont és videokonferencia rendszer

Csapata erősítésére keres gyakornokot a Kultúra.hu. Jelentkezni fényképes önéletrajzzal a takacs.erzsbet@kortarsmedia.hu címre várjuk.

ADATVÉDELMI és COOKIE SZABÁLYZAT

Nyomtatvány közvetlen beküldése az Ügyfélkapun keresztül

Szolgáltatás mérés/riportolás magas fokon Egy valós megoldás Pepsi berkekben

A VÁLLALKOZÁSBARÁT ÖNKORMÁNYZAT VÁLLALKOZÓI INFORMÁCIÓS KÖZPONT

Klinng! Mobil Pincér felhasználói (pincér) tájékoztató

Bevezetés. 1.) Bemutatkozás

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

INFORMATIKAI STRATÉGIA

IBM Tivoli Endpoint Manager

Kiadói díjbeszedésű hírlapok előfizetői állományának adatcseréje

OmniTouch 8400 Instant Communications Suite One Number szolgáltatások, Webes hozzáférés

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

Vezetéknélküli technológia

SC Kérdés. SC Kérdés. SC Kérdés

Rendszerintegráció és -felügyelet

Betegbiztonság az EU országaiban (Nagy István Gottsegen György Országos Kardiológiai Intézet)

2. számú melléklet: Szolgáltatás Minőségi Kritériumai (SLA)

Felhasználói kézikönyv

Komplett, több helyiséget kiszolgáló zenerendszer: NAS- SC55PKE

VerdA GaraS gépjármű költségnyilvántartó

SZERVIZ 7. a kreatív rendszerprogram. Néhány szóban a szoftver nyújtotta lehetőségekről

WEBSHOP FELHASZNÁLÓI KÉZIKÖNYV

A KÖNYVKIADÁS KOLLÉGIUMÁNAK MEGHÍVÁSOS PÁLYÁZATI FELHÍVÁSA. A Könyvkiadás Kollégiuma meghívásos pályázatot hirdet, amelyre meghívja a :

A KÓS KÁROLY ÁLTALÁNOS ISKOLA PEDAGÓGIAI PROGRAMJA

MAGATARTÁSI ÉS ETIKAI KÓDEX TRÖSZTELLENES ÉS VERSENNYEL KAPCSOLATOS ÚTMUTATÓ

TERÜLETFEJLESZTÉS: ÚJ KORSZAK INDUL

Üzemeltetési dokumentáció. Naviscon Informatikai Zrt Budapest, Montevideó utca 16/b.

1. Az ajánlatkérő neve és címe: Nemzeti Választási Iroda (1054 Budapest Alkotmány u. 3.)

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

A hazai vállalkozások és intézmények digitalizációja

Fábián Zoltán Hálózatok elmélet

Új generációs informatikai és kommunikációs megoldások ANMS. távközlési hálózatok informatikai hálózatok kutatás és fejlesztés gazdaságos üzemeltetés

NETinv. Új generációs informatikai és kommunikációs megoldások

MOME WiFi hálózati kapcsolat beállítása február 25.

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Ruckus Wireless. Okos Városok Magyarországon, Okos városok a régióban. Rotzik János

DS-9600/8600/7700/7600NI-ST és DS-7700/7600NI-SP sorozatú digitális rögzítők

Általános gimnáziumi képzés és német nemzetiségi nyelvoktató program 9. évfolyam

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

Prototípus, termék-, technológia- és szolgáltatásfejlesztés

Kerékpárosokra vonatkozó legfontosabb ismeretek 3. rész Oldal 1

Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet

Osztályozó vizsga követelmények Informatika

Bemutatjuk a D 4 t! Kiemelkedı eredmények. Könnyő használat

Szövetségi (föderatív) jogosultságkezelés

Tarantella Secure Global Desktop Enterprise Edition

előszó Jelen anyag abudapesti Bevásárló és Tematikus utcák, azaz a BUM projekt jövőjével kapcsolatos elgondolásokat, javaslatokat tartalmazza.

Folyamatok rugalmas irányítása. FourCorm Kft.

Átírás:

A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA AZ INFRANET CONTROLLER, AZ UAC AGENT ÉS AZ ENFORCEMENT POINT ESZKÖZÖK A hálózat, az azn futó alkalmazásk és az üzlet többé nem elválasztható fgalmak. A hzzáférésnek biztnságsnak kell lennie, de mégis egyszerűnek. Olyan hzzáférés-kezelési megldáskra van szükség, amelyek megfelelően rugalmasak, hgy a vállalat flyamatsan váltzó igényeinek hsszú távn is megfeleljenek. A Juniper Netwrks Unified Access Cntrl (UAC) megldása csökkenti a hálózat sebezhetőségét, miközben kiváló menedzsment eszközöket ad az üzemeltetők kezébe. Az UAC a hálózat minden szintjén védelmet nyújt, széles körű iparági kapcslatk révén pedig száms más gyártó termékeivel is prblémamentesen együttműködik.

Bevezetés Manapság a vállalatk lyan hzzáférés kezelési megldáskat keresnek, amelyek egyszerre képesek kezelni a felhasználó aznsítását, a felhasználó által használt eszköz biztnsági állaptát, a hálózathz kapcslódás helyét és módját; és ezen adatk alapján egységesen, házirend alapn tudják kezelni a hzzáférési igényeket. Külön prblémát jelent, hgy a kapcslódáshz használt eszközök és hálózatk sk esetben nem a vállalat saját felügyelete alatt állnak, illetve a felhasználók sem tekinthetőek megbízhatónak. A megldásnak alapvetően a következő funkciókat kell nyújtania, illetve tulajdnságkkal kell rendelkeznie: csatlakzás előtti és a csatlakzás időtartama alatti biztnsági ellenőrzés részletes hálózati erőfrrás kezelés karanténba helyezés, illetve a biztnsági prbléma rvslása a házirendnek nem megfelelő eszközök esetén nem a vállalat által menedzselt eszközök prblémájának kezelése vendég felhasználók egyszerű kezelése a meglévő hálózati infrastruktúra elemeinek minél hatéknyabb kihasználása, befektetésvédelem az iparági szabványk követelményeit teljes mértékben elégítse ki, hgy a felhasználó ne legyen a szállítóhz kötve a megldás bevezetését követően. lehetővé tegye a fkzats bevezetést, a lehető legkisebb költséggel bevezethető legyen, minimális eszközcserét és knfigurálást igényeljen. A Juniper válasza a prblémára A Juniper Netwrks Unfied Access Cntrl megldása többrétegű az igényeknek való minél jbb megfelelőség érdekében. Képes Layer 2 üzemmódban prt szintű ellenőrzést végezni a 802.1x szabvány segítségével, vagy Layer 3-as szintű ellenőrzést végezni ahl a 802.1x aznsítás valamilyen kból nem lehetséges vagy nem kívánats. A két üzemmód szabadn és rugalmasan kmbinálható egyazn hálózatn belül. Az UAC tvábbi előnyei: Switch infrastruktúra az UAC együttműködik bármely gyártó 802.1x képes switch és wireless access pint eszközeivel. Kmpatibilitási kérdések a Juniper UAC megldása nem egyszerűen 100%-ban 802.1x kmpatibilis (és ezáltal gyártófüggetlen), de kiemelten támgatja a Trusted Cmputing Grup csprt Trusted Netwrk Cnnect kezdeményezését, amely együttmüködést garantál más egyéb biztnsági eszközökkel (például: patch management). A legtöbb felhasználási módra előknfigurált sablnk és megldási metódusk állnak rendelkezésre az eszközben, mint például vendég hzzáférések biztnságs kezelése. Szrs integráció más egyéb Juniper megldáskkal, mint például a behatlásdetektáló és megelőző IDP platfrm. Az integrált működésnek köszönhetően radikálisan csökkenthető az üzemeltető személyzetre nehezedő teher. 1 1 Egy ntebk felhasználó egy külső helyszínen véletlenül féregvírussal fertőzi meg a gépét. Amikr a belső hálózatra csatlakztatja a gépét, a behatlás-detektáló érzékeli a féregvírus által generált frgalmat, és blkklja azt. Ha nincs integrált működés, akkr a felhasználó hálózat hibára gyanakdva hívja a hálózat üzemeltetőjét és hsszas hibakeresés kezdődhet, hgy miért nem éri el az adtt hálózati erőfrrást a felhasználó. Integrált működés esetén az IDP eszköz a vírus frgalmának blkklása mellett értesíti az UAC megldást, amely karanténba helyezi a felhasználót (ezáltal már más gépekhez sem fér hzzá, nem csak azkhz, amiket az IDP véd). A fel- 2 / 8

A felhasználó aznsságát az UAC összerendeli az általa betöltött szerepekkel, és ez alapján szabályzható a felhasználó hálózati és alkalmazás hzzáférése. Így a hatóságk által megkövetelt jgszerű működés (ún. plicy cmpliance ) is egyszerűen teljesíthető. Széles körű kliens platfrm támgatás majdnem minden Windws, Apple Mac OS X, Linux és Slaris verzió támgatása. használó egy felugró ablakból értesül arról, hgy karanténba került a féregvírus miatt, és a tvábbi teendőiről (vírusminta-fájl frissítése, stb.). Így nem fgja az üzemeltetést felesleges munkára kényszeríteni. 3 / 8

A megldás elemei Az UAC infrastruktúra alapkiépítésben hárm elemet tartalmaz: Az Infranet Cntrller (IC) célhardvert, amely a közpnti házirendet tartalmazza, és illesztő-felületként működik / működhet a vállalatnál meglévő AAA megldáskhz. Az IC tartalmaz egy Steel Belted Radius szervert is beépítve, amely lehetővé teszi a 802.1x tranzakciókat a kliensek csatlakzásakr. Az UAC Agent prgramt, amely előknfigurált állaptban autmatikusan letölthető akár valós időben, amikr a kliens csatlakzni próbál a hálózathz. (Természetesen telepíthető közpnti menedzsment megldáskkal is.) Az UAC infrastruktúra képes úgynevezett agentless (kliens prgram nélküli) üzemmódra is, amely különösen haszns például vendég felhasználók elérésének biztsítása esetén. Az UAC Agent infrmációkat gyűjt a kliens biztnsági állaptáról, illetve bekéri hitelesítési infrmációkat (felhasználónév és jelszó, tanúsítvány, stb.) majd a beépített Odyssey Access Client (OAC) 802.1x funkcinalitás segítségével mint 802.1x supplicant tvábbítja azkat. A Hst Checker kmpnens száms adatt képes autmatizáltan begyűjteni, például a személyi tűzfal pnts knfigurációjat, telepített Service Pack csmagk és azk verziója, stb. Az UAC hzzáférés kntrlláló eszközök (az úgynevezett UAC Enfrcement Pints ), amelyek bármely gyártótól származó 802.1x képes drótós vagy drót nélküli eszközök lehetnek, valamint Juniper Netwrks tűzfalak. Az Infranet Cntrller Az Infranet Cntrller technlógiai alapja a Juniper SSL VPN eszközökből már jól ismert plicy cntrl engine illetve a Steel Belted Radius Server. Jelenleg kétféle mdell kapható, az IC 4000 és az IC 6000. Az IC 4000 néhány ezer felhasználó kiszlgálására alkalmas, és redundáns kiépítésben is telepíthető, aznban maximum két tagú klasztereket engedélyez. Az IC 6000 eszköz már belső hardver redundanciát is tartalmaz, menet közben cserélhetőek a merevelemezek és a tápegységek (ht swap); valamint több tízezer egyidejű felhasználó kezelésére alkalmas, mivel többtagú terheléselszttt, hibatűrő klaszter építhető belőle. Az UAC Agent Az UAC Agent prgram gyakrlatilag megegyezik az Odyssey Access Client prgrammal. Tartalmaz néhány fnts kiegészítő funkciót a Windws perációs rendszerhez, mint például a Single Sign On bejelentkezés lehetősége a Windws Active Directry rendszerébe. Az ügynök-prgram száms aspektusát képes vizsgálni a kliensgép állaptának a beépített Hst Checker kmpnens segítségével, mint például: Antivírus, antispyware, személyi tűzfal (persnal firewall) és egyéb harmadik féltől (3rd party) származó termékek állaptának lekérdezése, integritásának figyelése. Tetszőleges állmány meglétének és integritásának figyelése MD5 checksum segítségével. Futó alkalmazásk lekérdezése, az alkalmazás integritásának ellenőrzése. Registry adatbázis kulcs és felvett érték szintű figyelése. Nyittt prtk, futó szerveralkalmazásk a kliensen. 4 / 8

A hzzáférést krlátzó eszköz (Enfrcement Pint) A hzzáférést a Juniper megldásában úgynevezett Enfrcement Pintk segítségével krlázzhatjuk. Enfrcement Pint lehet bármely gyártótól származó 802.1x képes eszköz (például switch vagy wireless access pint), és bármely ScreenOS 5.4 verziójú (vagy afölötti) perációs rendszert futtató Juniper tűzfal. Ennek előnye, hgy amennyiben a meglévő infrastruktúra tartalmaz nem 802.1x képes elemeket is, úgy nem kényszerül a felhasználó költséges hardver cserékre. A Juniper tűzfalak Layer 2 transzparens üzemmódban is telepíthetőek, hgy a meglévő ruting és más egyéb hálózati beállításkn se kelljen módsítani; illetve úgynevezett audit módra is van lehetőség, amikr az eszközök nem végeznek beavatkzást, csak dkumentálják a hálózati hzzáféréseket és azk biztnsági szintjét. Azkn a tűzfalakn, amelyeken tartalmszűrési funkcinalitás is elérhető (mint például az összes SSG eszköz), a rsszindulatú kódk szűrése integrálható az UAC megldásba felhasználónkénti és kapcslatnkénti krlátzást lehetővé téve. 5 / 8

Néhány tvábbi lehetőség áttekintése Tulajdnság Tulajdnság leírása Tvábbi részletek Összeköti a felhasználó és az általa használt eszköz aznsságát a hálózati kapcslódási pnttal valós időben, dinamikus biztnsági házirend betartatással A különböző adatk kiértékelése a kapcslódás megkezdésétől kezdve a kapcslat végéig flyamatsan zajlik, a házirend érvényesítése emiatt teljesen valós idejű és maximálisan biztnságs Bár a megldás teljesen gyártó-független, a dinamikus VLAN újraknfigurálási funkció nem minden 802.1x eszközben áll rendelkezésre. Egységes plicy engine Rbsztus, rendkívül kifrrtt UAC Agent Nincs szükség több eszköz telepítésére és menedzselésére, akárhány telephelyet kell is ellátni UAC funkcinalitással. Dinamikusan (valós időben, az authentikációs flyamat srán) letölthető prgramcsmag, amely előre knfigurálható. Természetesen előre is telepíthető közpnti menedzsment megldásk segítségével. A legnépszerűbb kliens platfrmk támgatása mellett (mint például a Windws Vista) száms ritkábban használtat is támgat (mint például a Slaris. Linux vagy a Apple Mac). TNC kmpatibilitás a más gyártók megldásaival történő integrálás érdekében. A megldás flyamatsan alkalmazkdik a váltzó felhasználói igényekhez, nagyn valószínűtlen, hgy a hálózati infrastruktúra váltzása tvábbi beruházáskat igényelne az UAC megldás ldalán. Kiegészítő funkciók, mint például Single Sign On. Agent-less üzemmód Azkn a gépeken ahl nem lehetséges, vagy nemkívánats az ügynökprgram telepítése, szintén védelmet nyújt az UAC infrastruktúra. Akár hálózati nymtatók kapcslatának védelme is lehetséges a MAC fallback funkció segítségével. 6 / 8

Tulajdnság Tulajdnság leírása Tvábbi részletek Crdinated Threat Cntrl Nem menedzselhető eszközök dinamikus kezelése Kiterjesztett autmatikus prbléma rvslás / megldás lehetősége Integrált, előre definiált patch szint ellenőrzés Az UAC megldás integrálható a Juniper IDP behatlásdetektáló platfrmmal. Az integráció teljes mélységű frgalmelemzést tesz lehetővé. A nem menedzselhető eszközök számára (mint például vnalkód lvasók, pénztárgépek, hálózati nymatatók) MAC Address authentikációs lehetőség áll rendelkezésre a RADIUS szerverből. A MAC címekből fehér- és feketelisták is képezhetőek. Az adatk lekéréséhez meglévő címtárak is használhatóak, például LDAP. A felhasználók számára prtál alakítható ki, ahl száms prblémát önmaguk el tudnak hárítani, nincs szükség az üzemeltető személyzet bevnására. A patch és htfix telepítettségének ellenőrzése alapján biztnsági szintek határzhatóak meg. A rendszer több gyártó megldását támgatja, például a Shavlik NetChk Prtect rendszerét. Az integrált működésnek köszönhetően az adminisztrátr nemcsak a támadó IP címével lesz tisztában, de száms tvábbi részlettel, mint például felhasználónév, prcess neve, stb. Igény szerint a felhasználó is értesíthető és segítséget kap a prbléma rvslására (például féregvírus vagy eltávlítása.) kémprgram Tipikus hiba például a ntebk felhasználó esete, akinek a gépén nincs meg a legfrissebb vírusminta fájl. Ha a vállalati házirend maximum 72 órás vírusminta-fájlkat enged meg, akkr a felhasználót bejelentkezési kísérletekr egy lyan ldal fgadja, ami linket tartalmaz a legfrissebb mintafájlra. Így pillanatk alatt újra tud csatlakzni, de már a biztnsági házirendnek megfelelően. A legkritikusabb erőfrrásk eléréséhez például megkövetelhető, hgy minden ismert kritikus hiba ellen védve legyen az adtt gép, míg átlags erőfrráskat esetleg még elérhet alacsnyabb biztnsági szint mellett is. Dinamikus szerep figyelés Száms biztnsági tényező megléte már az előtt ellenőrizhető, hgy egyáltalán a bejelentkező ldalra jutna a felhasználó. Külön ellenőrzések köthetőek az aznsítás előttre és utánra, illetve a kapcslódás teljes időtartamára. 7 / 8

Tulajdnság Tulajdnság leírása Tvábbi részletek Meglévő AAA megldásk széles köre támgattt 802.1x, RADIUS, LDAP, MS AD, RSA ACE, NIS, tanúsítványk (PKI), helyi felhasználóadatbázis, Netegrity SiteMinder (CA), RSA Cleartrust, Oracle Oblix valamint Prxy Radius Gyakrlatilag bármely AAA rendszerrel integrálható. 8 / 8

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés