Nortel Corporate Presentation

Prezentacja na temat: "Nortel Corporate Presentation"— Zapis prezentacji:

1 Nortel Corporate Presentation

2 Architektura bezpiecznej sieci w przedsiębiorstwie
Nortel Corporate Presentation Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o. © 2004 Nortel

3 Nortel Corporate Presentation
Niezawodność sieci © 2004 Nortel

4 Niezawodność komunikacji Łańcuch zdarzeń
Nortel Corporate Presentation Aplikacje client/server czasu rzeczywistego mają poważne problemy Awaria sieci usunięta, ale wiele aplikacji nadal nie pracuje. Inżynierowie IT rozesłani w różne miejsca w celu potwierdzenia normalnej pracy sieci. Użytkownicy aplikacji WWW zauważają brak odpowiedzi Pierwsze zgłoszenia do helpdesk-u Restart farm serwerów 3s 6s 10s 25s 45s 1m 5m 10m 15m 30m 45m Pierwsze aplikacje zaczynają „wariować” z braku synchronizacji (jak WINS) Eskalacja do dyrekcji IT Firma sparaliżowana, przypadek rozważany na poziomie zarządu przerwane połączenia VOIP STP przebudowane (Root Bridge) Koszty awarii globalnie $6,5M/godzinę © 2004 Nortel

5 Rozwiązanie tradycyjne Spanning Tree
Nortel Corporate Presentation Możemy odzyskać pasmo używając PVST/MSTP, ale: „n” razy większy stopień komplikacji ręczna dystrybucja obciążenia rozwiązanie kosztowne i ryzykowne – łatwo o pomyłkę Spanning Tree blokuje połączenia 100% nadmiarowości wykorzystywane przez 1% czasu pracy Root Root Root Płacić 100% wartości za ubezpieczenie? Większa złożoność = większy OPEX © 2004 Nortel

6 Rozwiązanie tradycyjne Spanning Tree
Nortel Corporate Presentation Rozwiązanie tradycyjne Spanning Tree A co, jeśli awarii ulegnie Root Bridge? nieprzewidywalny czas przebudowy utrata sesji Root Bridge zawsze jest pojedynczym punktem awarii w konfiguracjach (rapid) spanning tree. Root Root Root Co z telefonami IP? © 2004 Nortel

7 Nortel Split-Multi Link Trunking
Nortel Corporate Presentation Nortel Split-Multi Link Trunking Klastrowanie przełączników – wysoka dostępność Split Multi-Link Trunking (S-MLT) Prostota konfiguracji Kompatybilność z 802.3ad Detekcja sprzętowa Wielokrotnie wyższa efektywność niż Spanning Tree Dystrybucja ruchu w L2 i L3 Współpracuje zarówno z przełącznikami jak i serwerami Połączenia rozdyastrybuowane pomiędzy przełącznikami w stosie Połączenia rozdystrybuowane pomiędzy modułami w chassis Wirtualny przełącznik Połączenia rozdystrybuowane pomiędzy modułami w chassis © 2004 Nortel

8 Nortel Split Multi-Link Trunking Topologie
Nortel Corporate Presentation Nortel Split Multi-Link Trunking Topologie Trójkąt Pojedynczy klaster w szkielecie, urządzenia brzegowe dołączone do klastra Kwadrat Dwie pary przełączników w dwóch klastrach. Szkielet może być skalowany przez dołączanie kolejnych par. Krata Każdy przełącznik ma przynajmniej jedno bezpośrednie połączenie z każdym z pozostałych przełączników. Szkielet może być zkalowany przez dołączanie kolejnych par. Trójkąt Kwadrat Krata © 2004 Nortel

9 Nortel Corporate Presentation
S-MLT w L3 Routed S-MLT (R-SMLT) + Backup-Master VRRP Nortel Corporate Presentation Jeżeli jeden ruter ulegnie awarii, drugi forwarduje ruch w jego imieniu do chwili rekonwergencji protokołu rutującego. W momencie przywrócenia rutera do pracy, następuje ponowna dystrybucja ruchu na oba urządzenia. Router 1 MAC R1 MAC R2 Router 2 MAC R1 MAC R2 Oba rutery w parze forwardują pakiety zgodnie z dystrybucją ruchu S-MLT. RSMLT Router 3 MAC R3 MAC R4 Router 4 MAC R3 MAC R4 Przebudowa sieci L3 poniżej 1s!!! © 2004 Nortel

10 Nortel Corporate Presentation
Nortel R-SMLT Trywialnie prosta konfiguracja Włączyć R-SMLT Ustawić timery © 2004 Nortel

11 Nortel S-MLT Elastyczność konfiguracji
Nortel Corporate Presentation Nortel Wireless LAN Security Switch Nortel Switched Firewal Nortel VPN Gateway Klaster szkieletowy Wirtualny przełącznik Serwery Nortel Secure Router Nortel Communication Server Nortel S-MLT działa z dowolnym urządzeniem, które obsługuje 802.3ad lub jakąś formę agregacji połączeń. © 2004 Nortel

12 Nortel Corporate Presentation
Nortel S-MLT – elastyczność projektowania Wysoka niezawodność w szkielecie, agregacji i na brzegu + kompatybilność Nortel Corporate Presentation Średni węzeł Duży węzeł Mały węzeł Krytyczny węzeł Małe węzły Campus Warstwa opcjonalna można dodać jeśli trzeba Klaster dystrybucyjny Klaster dystrybucyjny Przełącznik dystrybucyjny Warstwa L3 – scentralizowana lub rozdystrybuowana Kampus Zdwojone centrum przetwarzania danych – terabitowe klastry © 2004 Nortel

13 Monitorowanie ruchu w sieci - IPFIX
Nortel Corporate Presentation Monitorowanie ruchu w sieci - IPFIX © 2004 Nortel

14 IP Flow Information Export
Nortel Corporate Presentation IP Flow Information Export Analiza w czasie rzeczywistym oraz historyczna sesji Zapewnia informacje biznesowe: Wykorzystanie aplikacji Wykorzystanie infrastruktury Analiza i zrozumienie wzrostów obciążenia Wsparcie dla audytów i analiz zgodności Codzienna analiza Informowanie o potencjalnych wąskich gardłach z wyprzedzeniem Identyfikacja obcych aplikacji i urządzeń Analiza wydajności aplikacji Zróżnicowanie danych wydajnościowych (dane / głos) Rozwiązanie wpsierające analizy bezpieczeństwa, zgodności i wydajności Przekształca suche statystyki w precyzyjny obraz aplikacji Stanowi składnik systemu wczesnego ostrzegania o wirusach © 2004 Nortel

15 Nortel Corporate Presentation
Proces pomiaru Pomiar odbywa się na porcie wejściowym Punkt obserwacji (interfejs logiczny) Sposób pomiaru (ERS 8600), częstotliwość eksportu próbek Możliwość zastosowania filtrów do wstępnej selekcji ruchu do monitorowania Dla każdego strumienia IP utrzymywany jest zapis, aktualizowany za każdym razem, gdy pojawia się nowy pakiet Moduł I/O Procesor RSP Switch Fabric RSP metering RSP metering pomiar COP Proces pomiarowy Proces eksportujący © 2004 Nortel

16 Nortel Corporate Presentation
Kolektor Zewnętrzna aplikacja lub urządzenie Poprzez CLI można zobaczyć surowe dane bezpośrednio na przełączniku Kolektor może być zintegrowany z aplikacją wizualizującą Dane są wysyłane z urządzenia sieciowego do kolektora komunikacja jednokierunkowa kolektor jest pasywny – odbiera dane wysłane do niego, ale sam nie żąda danych z urządzenia sieciowego Aplikacje Kolektor 1 Kolektor 2 Raportowanie/eksport Pomiar Pomiar Pomiar 8600 © 2004 Nortel

17 Szczegóły strumienia IP
Nortel Corporate Presentation Szczegóły strumienia IP Zapis danych strumienia SIP (4 bytes) DIP (4 bytes) IP Protocol ( 1 byte) ChID (2 bytes) (future) Protocol srce port (2 bytes) byte) Protocol dest port (2 bytes) VID (2 bytes) ingress-port ( 2 bytes) Observation point (port/VLAN/ChId) Statystyki Flagi zarządzania wpisem Packet count (4 bytes) Byte count (4 bytes) First timestamp (4/8 bytes) Last timestamp (4/8 bytes) Expired (aged, RST, FIN) In-port-down, Flow denied/ permitted Copied information Template ID TCP flags (1 byte) DSCP (1 byte) MAC SA (6 bytes) MAC DA (6 bytes) © 2004 Nortel

18 Przetwarzanie strumieni
Nortel Corporate Presentation Przetwarzanie strumieni Kiedy pakiet jest próbkowany, moduł pomiarowy stosuje unikalny identyfikator strumienia, wykorzystujący: SIP DIP Protocol Source Port Destination Port ingress VID ingress port ID type of observation point (port or VLAN) © 2004 Nortel

19 Przetwarzanie strumieni – c.d.
Nortel Corporate Presentation Przetwarzanie strumieni – c.d. Jeżeli rejestr danego strumienia jeszcze nie istniał, to jest on tworzony. Jeżeli już istniał, to jest aktualizowany. W rejestrze są zapisywane następujące dane: adres IP źródłowy, adres IP docelowy, protokół, port żródłowy, port docelowy niektóre inne pola: DSCP, VID, port wejścia pakietu, typ punktu obserwacji (VLAN/Port) TCP RST/FIN, jeśli obecne sygnatury czasowe (początek strumienia, kiedy ostatnio widziany) statystyki (sumaryczna liczba pakietów, sumaryczna liczba bajtów) © 2004 Nortel

20 Wykorzystanie IPFIX Bezpieczeństwo – wykrywanie zagrożeń przed ich zdefiniowaniem wykrywanie skanowania portów i adresów w celu włamania wykrywanie aktywności wirusów wykrywanie nietypowego ruchu wykrywanie nieautoryzowanych aplikacji (porty TCP) lub użytkowników (adresy IP) Analiza wykorzystania sieci – przewidywanie i planowanie rozwoju Jakie aplikacje są wykorzystywane i z jakim natężeniem Jak układa się wzorzec konwersacji pomiędzy poszczególnymi użytkownikami Jakie adresy są najbardziej aktywne / najczęściej wykorzystywane Które serwery generują największy ruch

21 Kontrola dostępu do LAN
Nortel Corporate Presentation Kontrola dostępu do LAN © 2004 Nortel

22 Kontrola dostępu Rzeczywiste problemy
Nortel Corporate Presentation Nortel Corporate Presentation Kontrola dostępu Rzeczywiste problemy Nowe rodzaje zagrożeń – wciąż pojawiają się nowe rodzaje zagrożeń, powodujące obniżenie produktywności przedsiębiorstwa i straty finansowe. Zagrożenia od wewnątrz – użytkownicy mobilni mogą łatwo i nieświadomie wnieść zagrożenie do wnętrza przedsiębiorstwa, omijając systemy zabezpieczeń na styku z Internetem. Tradycyjne mechanizmy AAA to tylko AAA – autentykacja, autoryzacja i monitorowanie nie dają wymaganego poziomu bezpieczeństwa – nic nie mówią o stanie komputera i oprogramowania. Nawet zautoryzowani użytkownicy nie są jeszcze „bezpieczni” – wbez dokładnej metody sprawdzenia i wymuszenia właściwego poziomu bezpieczeństwa, nie jest możliwe unikniecie zagtrożeń wewnątrz przedsiębiorstwa. … i rozmywające się granice przedsiębiorstwa © 2004 Nortel © 2004 Nortel 22

23 Jakie są prawdziwe zagrożenia? Duża grupa to ataki od środka
Nortel Corporate Presentation Nortel Corporate Presentation Jakie są prawdziwe zagrożenia? Duża grupa to ataki od środka 55% przedsiębiorstw zanotowało przynajmniej 1 atak od wewnątrz, wzrost z 39% w 2005 72% przestępstw wewnątrz przedsiębiorstwa załatwionych wewnętrzne, bez udziału wymiaru sprawiedliwości Więcej strat nastąpiło z powodu zagrożeń od wewnątrz niż od zewnątrz Sumarycznie (%) Od wewnątrz (%) Od zewnątrz (%) Kradzież zasobów 30 63 45 Kradzież danych 36 56 49 Sabotaż 33 41 © 2004 Nortel © 2004 Nortel 23

24 Nortel Corporate Presentation
Zagrożenia Nortel Corporate Presentation Nortel Corporate Presentation / Web-based mail Instant Messaging Internet Postings FTP Peer-to-Peer (KaZaA / Limewire) Chat rooms Załączniki Web © 2004 Nortel © 2004 Nortel 24

25 Nortel Corporate Presentation
Rozmywanie się granic przedsiębiorstwa Polityka bezpieczeństwa, a nie topologia, definiuje przedsiębiorstwo Nortel Corporate Presentation Nortel Corporate Presentation Kto, co, kiedy, jak, dlaczego… a czy jest to bezpieczne????? © 2004 Nortel © 2004 Nortel 25

26 Nortel Corporate Presentation
Stacja robocza Pierwsza linia obrony przed wewnętrznymi atakami 802.1X/Extensible Authentication Protocol Standard przemysłowy Opcje implementacji: SHSA, MHSA, MHMA, GVLAN, NEAP Secure Network Access Zintegrowane rozwiązanie Nortela Nie wymaga oprogramowania klienckiego Rozszerzone o sprawdzanie stanu stacji roboczej W planach obsługa różnych systemów operacyjnych i przełączników innych firm Platformy dla bezpiecznej mobilności WLAN VPN Gateway VPN Router Podstawowa kontrola: kto i co dołącza się do sieci? Rozszerzenie o sprawdzanie stanu stacji: unikanie infekcji i ataków Wprowadzenie na brzegu sieci autentykacji i wymuszania polityki bezpieczeństwa © 2004 Nortel

27 Nortel Corporate Presentation
Identyfikacja problemu Co jest potrzebne? Nortel Corporate Presentation Nortel Corporate Presentation Zunifikowana polityka dostępu Kwarantanna i naprawa Autentykacja i kontrola zgodności 1) Unified Access Policy 2) Authentication and Host Posture Assesment -Provide controlled access for unmanaged users 3) Authorization 4) Quarantine and Remediation 5) Ongoing Threat Analysis Bieżąca analiza zagrożenia Autoryzacja … całościowe rozwiązanie, biorące pod uwagę wszystkie aspekty © 2004 Nortel © 2004 Nortel 27

28 Nortel Corporate Presentation
Nortel Secure Network Access Framework Nortel Corporate Presentation Nortel Corporate Presentation Unified Access Policy Scentralizowana polityka dostępu i zarządzanie dla wszystkich użytkowników i terminali w przedsiębiorstwie Quarantine & Remediation Automatyczna kwarantanna i naprawa Authentication & Device Health Assessment Kontrola dostępu na bazie danych użytkownika, stanu bezpieczeństwa, zgodności z wymogami 1) Unified Access Policy 2) Authentication and Host Posture Assesment -Provide controlled access for unmanaged users 3) Authorization 4) Quarantine and Remediation 5) Ongoing Threat Analysis Ongoing Threat Analysis Ciągłe monitorowanie zgodności terminala z wymogami bezpieczeństwa Authorization Zapewnienie dostępu do właściwej części sieci na bazie statusu użytkownika i terminala © 2004 Nortel © 2004 Nortel 28

29 Nortel Corporate Presentation
Architektura fizyczna Warstwa dostępowa NSNA Warstwa dystrybucyjna Szkielet Warstwa usługowa Secure Network Access Switch © 2004 Nortel

30 Nortel Secure Network Access
Nortel Corporate Presentation Nortel Secure Network Access Autentykacja i sprawdzanie stacji bez dodatkowego softu Serwer autentykacji 1 Podłączenie do przełącznika – Port domyślnie zablokowany 2 Dostęp ograniczony do SNAS 3 Przełącznik brzegowy 2 3 Dane klienta są sprawdzane w serwerze autentykacji Secure Network Access Switch Jeżeli logowanie pomyślne, wysyłany jest aplet Java w celu sprawdzenia komputera 4 4 1 6 Sprawdzenie niepomyślne – podłączenie do serwera naprawczego 5 7 Sprawdzenie pomyślne – dołączenie stacji do sieci korporacyjnej Serwer naprawczy 6 5 7 SNAS ustawicznie monitoruje PC PC użytkownika Zasoby korporacyjne © 2004 Nortel

31 Nortel Secure Network Access
Nortel Corporate Presentation Switch, Hub, innej firmy Urządzenia sieciowe Wszystkie urządzenia Nortel Ethernet Switch Przełączniki Ethernet innych producentów Hub-y Stacje robocze / terminale Windows MAC OS X Linux Drukarki Telefony IP Nortela Telefony IP innych producentów Konsole do gier – XBOX, Playstation Nortel ES / ERS © 2004 Nortel

32 Nortel Tunnel Guard Bezpieczny zdalny dostęp – NSNA w WAN
Nortel Corporate Presentation Nortel Tunnel Guard Bezpieczny zdalny dostęp – NSNA w WAN Zapewnia bezpieczeństwo od strony stacji (zarówno SSL jak i IPSec Sprawdza obecność i działanie wymaganych i zabronionych aplikacji Decyduje o dostępie do sieci roboczej lub podsieci naprawczej Otwarte API – współpraca z innymi dostawcami Nortel VPN Gateway Virus IDS Other PFW Virus IDS Other PFW Naprawa Naprawa Virus IDS Other PFW Agent zainstalowany na PC Aplet Java ładowany do PC © 2004 Nortel

33 Nortel Corporate Presentation
Pozycja rynkowa SearchNetworking.com: Network access control GOLD AWARD: Nortel Secure Network Access The network access control (NAC) market is broad and diverse, with countless startups competing with industry giants for a share. Our readers selected Secure Network Access from Nortel Networks as the gold winner, citing its ability to block and clean up malware and exploits and its policy-based NAC. © 2004 Nortel

34 Bezpieczeństwo w sieci bezprzewodowej
Nortel Corporate Presentation Bezpieczeństwo w sieci bezprzewodowej © 2004 Nortel

35 Nortel Corporate Presentation
Autentykacja i szyfrowanie Najlepsza implementacja aktualnych standardów 802.11i/WPA/WPA2 Szyfrowanie w AP – maksymalna wydajność Integracja AAA i polityka „per użytkownik” Ograniczenia typu lokalizacja / czas Skalowalny model polityki dotyczącej użytkowników Serwer AAA WLAN Security Switch 2300 WLAN Access Point 2300 WSS pośredniczy w autentykacji 802.1x i odciąża serwer AAA w większej części procesu EAP Podczas autentykacji WSS pobiera dane użytkownika z serwera AAA WSS tworzy profil użytkownika i przekazuje innym WSS-om w systemie Polityka dotycząca użytkownika jest realizowana jednakowo w całym systemie WLAN podczas roamingu. © 2004 Nortel

36 Profil użytkownika Pełne bezpieczeństwo i kontrola Pracownik
Znany ID Zarządzany terminal Istniejący wpis w RADIUS Autentykacja 802.1X Unikalny profil dla każdego pojedynczego użytkownika Podstawa dla wszystkich polityk obsługi ruchu i bezpieczeństwa Ten sam SSID Spójność Zaufany użytkownik Znany ID Dowolny terminal Istniejący wpis w RADIUS Autentykacja przez WWW Gość -Nieznany ID -Dowolny terminal Utworzenie lokalnego wpisu w RADIUS Dostęp dla gościa

37 Zabezpieczenie przed nieautoryzowanymi AP i terminalami
WLAN Security Switch 2300 AP skanują wszystkie kanały w paśmie 2,4 i 5 GHz Nieautoryzowane urządzenia Detekcja Klasyfikacja Lokalizacja Alarmowanie Izolowanie Nieautoryzowane punkty dostępowe Peer-to-Peer (Ad-hoc) Nieautoryzowany AP Autentykowany Laptop Nieautoryzowany Laptop Autoryzowany Laptop Nieautoryzowany AP to zagrożenie ominięcia mechanizmów bezpieczeństwa Zautentykowany laptop stwarza poważne zagrożenie jeżeli bierze udział w komunikacji Peer-to-Peer

38 Nortel Corporate Presentation
Wireless IDS Nortel Corporate Presentation Wbudowany system Wireless Threat Protection WMS 2300 ! 802.11i lub VPN zapewnia autentykację i poufność danych, ale nie zabezpiecza przed atakami Wireless IDS zabezpiecza przed atakami na strukturę WLAN System wbudowany w WMS Wykrywa i rejestruje zdarzenia i alarmuje administratora RF jamming i interferencje Podszywanie się pod adres MAC AP Łamanie słabych kluczy WEP Ataki Flood / DoS Spoofing WSS 23XX Zagrożenie Pracownik © 2004 Nortel

39 Dostęp do sieci dla gości
Nortel Corporate Presentation Dostęp do sieci dla gości Bezpieczny i wygodny dostęp do sieci dla gości i użytkowników tymczasowych Wygodne narzędzie umożliwia recepcjonistce proste i szybkie generowanie unikalnego identyfikatora i hasła dla każdego gościa Wpisy automatycznie wygasają i użytkownik jest odcinany od sieci w wyznaczonym czasie Każdy identyfikator jest powiązany z profilem bezpieczeństwa, generowanym z szablonu Przypisanie do VLAN-u / podsieci Kontrola dostepu poprzez ACL Ograniczenia czasowe Ograniczenia na lokalizację Rejestrowanie wykorzystania dostępu Tunelowanie ruchu gościa Dołączenie gościa do bramy do Internetu Blokada wszelkiej komunikacji peer-to-peer wewnątrz VLAN-u Aplikacja generowania identyfikatorów i haseł © 2004 Nortel

40 Secure Portable Office – bezpieczne wirtualne przedsiębiorstwo
Nortel Corporate Presentation Secure Portable Office – bezpieczne wirtualne przedsiębiorstwo © 2004 Nortel

41 Secure Portable Office
Głos, praca grupowa Aplikacje korporacyjne Wykorzystanie pamięci USB do zapewnienia bezpiecznego środowiska pracy nawet na cudzym PC zabezpieczenie danych nie pozostawia żadnych śladów na PC Intranet Web-mail Nortel VPN Gateway Zdalny PC USB Bezpieczna sesja

42 Secure Portable Office Bezpieczeństwo
Nortel Corporate Presentation Secure Portable Office Bezpieczeństwo Tylko autoryzowany użytkownik może skorzystać z zawartości pamięci USB Tylko pamięć USB może zestawić połączenie – dostęp dla przeglądarki może być zablokowany na NVG Wszystkie dane są szyfrowane w locie – AES 256 Wszystkie dane przechodzące przez PC są zaszyfrowane podczas sesji i usuwane z końcem sesji W przypadku wyjęcia pamięci USB z portu sesja jest kończona a dane usuwane Możliwość zapewnienia bezpieczeństwa dla PC – skanowanie w poszukiwaniu wirusów, aktywnego firewall itp Zabezpieczenie danych – wszystkie dane, łącznie z tymi pobranymi podczas sesji, są usuwane z końcem sesji © 2004 Nortel

43 Secure Portable Office Podwója autentykacja
Nortel Corporate Presentation Secure Portable Office Podwója autentykacja Możliwość integracji pamięci USB i smartcard Tylko właściciel pamięci USB zna PIN; certyfikat zapisany w pamięci autentykuje sesję Pamięć USB jest zaszyfrowana i autentykowana przez smardcard © 2004 Nortel

44 Secure Portable Office Łatwość użycia
Nortel Corporate Presentation Secure Portable Office Łatwość użycia Użytkownik podłącza pamięć USB i loguje się jak w LAN-ie Single Sign On z USB Pojawia się menu aplikacji i użytkownik zaczyna pracę – web , VoIP/praca grupowa, zdalny desktop, dowolne aplikacje, a których korzysta przedsiębiorstwo VPN Client Mode – użytkownik może też uruchamiać własne aplikacje, zainstalowane na PC – Outlook, LCS, inne Menu aplikacji zarządzane centralnie z VPN Gateway © 2004 Nortel

45 Nortel Corporate Presentation