Cisco ISE megoldások Balatonalmádi, 2014. február 27. Détári Gábor, senior rendszermérnök detari.gabor@t-systems.hu
TARTALOM 1 2 3 Motivációk Aggasztó kérdések, belépési pontok Régi és új típusú megoldások 4 Mit, és hogyan szabályozzunk? 5 BYOD trend 2
Projektek ISE alapon hogy kell(et) jól csinálni Friss, de dinamikus technológia. Motivációk: Vezetői oldalról Igény a tech. felhasználóktól Stratégiai cél (Trend követés) Megvannak az eszközök (csak munka) Új projekthez csatolva Példák: Közigazgatás Oktatás Verseny környezet Mi (TSM) 3
Alapvető támadások Elgondolkodtató kérdések: Ki férhet hozzá egy hálózati csatlakozómhoz? Mihez fér hozzá ezen a kapcsolat keresztül? Mit csatlakoztathat ide? Védekezek-e ezek ellen? Hitelesítek-e a hálózaton? Monitorozom-e a működést? 4
Távbelépés kérdése nézz a falon túl Legfőbb problémák: Külső vagy support userek férnek hozzá a hálózatunkhoz. De nem tudjuk milyen állomásról Saját utazó ügynökeink eszközeinek update állapota Nem ismert vagy ismerten elavult. 5
WiFi kérdése mi van a levegőben Legfőbb problémák: Létezik-e biztonságosan kialakított WiFi hálózat? Biztosak lehetünk-e abban, hogy a felhasználók nem alakítottak-e ki Internetes megoldást? Biztosak lehetünk-e abban, hogy a felhasználók nem épített ki hidat a belső hálózatról? Biztosak lehetünk-e abban, hogy támadó nem épített ki hidat? 6
Network Admission Control komplex projektek Feladata: biztonsági házirend betartatása felhasználó hitelesítés karantén kezelése lehetőség a javítások elvégzésére proaktív védelem biztosítása egyszerű, gazdaságos, központi menedzsment biztosítása Eszköz nyomkövetés 7
Cisco ISE - Identity Services Engine új lehetőségek 8
ISE központi szabályrendszere 9
Építőelemek WiFi Remote VPN MDM Tanúsítvá ny rendszer VDI Központi hitelesítés 10
Építőelemek LAN hálózaton A LAN hálózat rendelkezésre állás kritikus ISE szerver virtuális és appliance párban Beépített vagy AnyConnect supplicant A legtöbb esetben AnyConnect Mi lesz a nyomtatókkal? Ne becsüljük le őket nyomon Legyen-e vendég elérés a LAN-on? Általában szükséges, ne kivételként kezeljük Tanúsítvá ny rendszer VDI Központi hitelesítés 11
Profilozás nyomon követés A célja: Ne csak beléptetés legyen, hanem nyomon követés is. Belépési adatok és viselkedési minták összevetése RADIUS HTTP agent DHCP SNMP monitor Netflow MAC cím ISE 12
Profilozás technika Ne csak ott profilozzunk, ahol MAB metódussal megy beléptetés Ott is ahol Dot1x hitelesítés történik, de gyengébb vagy nincs posture ellenőrzés Hangoljuk be az ismert profiljainkat alacsony illeszkedésre 13
Építőelemek jelenleg támogatott VPN működés: Inline Node Remote VPN MDM Tanúsítvá ny rendszer VDI Központi hitelesítés 14
Építőelemek új ASA elem: CoA támogatás Egyszerűbb, célravezetőbb topológia Kevesebb appliance, kevesebb hibaforrás Kockázat: Upgrade új ASA szoftverre 15
Építőelemek új ASA elem: konfiguráció ISE konfiguráció ASA konfiguráció aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization Redirect ACL 16
Építőelemek új ASA elem: 17
Szabályrendszer betartatása szabályzás és technika (Word és csavarhúzó) Szabályrendszer írása és a technikai megoldás összhangban. 18
Ki szereti a kütyüjét? 19
BYOD trend ez új dolog? Új trendek: De a kialakított biztonságot fenn kell tartani új eszközök mellett is: ipad iphone Android Saját PC Saját MAC Go NoGo 20
BYOD fogalmak A Mobile Device Management önmagában nem BYOD rendszer! A kiadott WiFi kulcs nem BYOD rendszer! A vezetőknek egyedileg beállított megoldás nem BYOD rendszer! A BYOD nem: BYO Phone BYO ipad A Cél: Any Device! 21
BYOD biztonságosan irányelvek 22
Javasolt stratégia irányelvek Kulcs elemek Kommunikáció megoldására Natív kommunikátor alkalmazásxxx MS vagy Cisco UC kliens Adatkezelés megoldására Virtuális környezet vagy terminál szerver VDI, távoli asztali kapcsolat 23
Összefoglalás Hallgassunk a felhasználóink jó ötleteire Vegyük számba mivel rendelkezünk Csak biztonságos megoldásban gondolkozzunk Alkalmazzuk a trükköket 24
KÖSZÖNÖM A FIGYELMET! Détári Gábor szenior rendszermérnök detari.gabor@t-systems.hu