Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

2 Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o.

Podobne prezentacje


Prezentacja na temat: "2 Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o."— Zapis prezentacji:

1

2 2 Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o.

3 3 Niezawodność sieci

4 4 6s Aplikacje client/server czasu rzeczywistego mają poważne problemy przerwane połączenia VOIP 3s Pierwsze aplikacje zaczynają wariować z braku synchronizacji (jak WINS ) 10s Użytkownicy aplikacji WWW zauważają brak odpowiedzi 25s STP przebudowane (Root Bridge) 45s Pierwsze zgłoszenia do helpdesk-u 1m5m10m15m30m45m Eskalacja do dyrekcji IT Awaria sieci usunięta, ale wiele aplikacji nadal nie pracuje. Inżynierowie IT rozesłani w różne miejsca w celu potwierdzenia normalnej pracy sieci. Firma sparaliżowana, przypadek rozważany na poziomie zarządu Restart farm serwerów Niezawodność komunikacji Łańcuch zdarzeń Koszty awarii globalnie $6,5M/godzinę

5 5 Root Rozwiązanie tradycyjne Spanning Tree Spanning Tree blokuje połączenia 100% nadmiarowości wykorzystywane przez 1% czasu pracy Płacić 100% wartości za ubezpieczenie? Możemy odzyskać pasmo używając PVST/MSTP, ale: n razy większy stopień komplikacji ręczna dystrybucja obciążenia rozwiązanie kosztowne i ryzykowne – łatwo o pomyłkę Większa złożoność = większy OPEX Root

6 6 A co, jeśli awarii ulegnie Root Bridge? nieprzewidywalny czas przebudowy utrata sesji Root Bridge zawsze jest pojedynczym punktem awarii w konfiguracjach (rapid) spanning tree. Co z telefonami IP? Root Rozwiązanie tradycyjne Spanning Tree

7 7 Nortel Split-Multi Link Trunking Split Multi-Link Trunking (S-MLT) Prostota konfiguracji Kompatybilność z 802.3ad Detekcja sprzętowa Wielokrotnie wyższa efektywność niż Spanning Tree Dystrybucja ruchu w L2 i L3 Współpracuje zarówno z przełącznikami jak i serwerami Klastrowanie przełączników – wysoka dostępność Połączenia rozdystrybuow ane pomiędzy modułami w chassis Połączenia rozdyastrybuo wane pomiędzy przełącznikami w stosie Wirtualny przełącznik

8 8 Nortel Split Multi-Link Trunking Topologie Trójkąt Pojedynczy klaster w szkielecie, urządzenia brzegowe dołączone do klastra Kwadrat Dwie pary przełączników w dwóch klastrach. Szkielet może być skalowany przez dołączanie kolejnych par. Krata Każdy przełącznik ma przynajmniej jedno bezpośrednie połączenie z każdym z pozostałych przełączników. Szkielet może być zkalowany przez dołączanie kolejnych par. Trójkąt Kwadrat Krata

9 9 S-MLT w L3 Routed S-MLT (R-SMLT) + Backup-Master VRRP RSMLT Przebudowa sieci L3 poniżej 1s!!! Router 2 MAC R1 MAC R2 Router 3 MAC R3 MAC R4 Router 4 MAC R3 MAC R4 Router 1 MAC R1 MAC R2 Oba rutery w parze forwardują pakiety zgodnie z dystrybucją ruchu S-MLT. Jeżeli jeden ruter ulegnie awarii, drugi forwarduje ruch w jego imieniu do chwili rekonwergencji protokołu rutującego. W momencie przywrócenia rutera do pracy, następuje ponowna dystrybucja ruchu na oba urządzenia.

10 10 Nortel R-SMLT Trywialnie prosta konfiguracja Włączyć R-SMLT Ustawić timery

11 11 Nortel S-MLT Elastyczność konfiguracji Wirtualny przełącznik Nortel Switched Firewal Nortel VPN Gateway Nortel Secure RouterNortel Communication Server Nortel Wireless LAN Security Switch Serwery Klaster szkieletowy Nortel S-MLT działa z dowolnym urządzeniem, które obsługuje 802.3ad lub jakąś formę agregacji połączeń.

12 12 Nortel S-MLT – elastyczność projektowania Wysoka niezawodność w szkielecie, agregacji i na brzegu + kompatybilność Średni węzeł Zdwojone centrum przetwarzania danych – terabitowe klastry Kampus Klaster dystrybucyjny Campus Klaster dystrybucyjny Małe węzłyDuży węzeł Warstwa L3 – scentralizowana lub rozdystrybuowana Mały węzełKrytyczny węzeł Warstwa opcjonalna można dodać jeśli trzeba Przełącznik dystrybucyjny

13 13 Monitorowanie ruchu w sieci - IPFIX

14 14 IP Flow Information Export Zapewnia informacje biznesowe: Wykorzystanie aplikacji Wykorzystanie infrastruktury Analiza i zrozumienie wzrostów obciążenia Wsparcie dla audytów i analiz zgodności Codzienna analiza Informowanie o potencjalnych wąskich gardłach z wyprzedzeniem Identyfikacja obcych aplikacji i urządzeń Analiza wydajności aplikacji Zróżnicowanie danych wydajnościowych (dane / głos) Rozwiązanie wpsierające analizy bezpieczeństwa, zgodności i wydajności Przekształca suche statystyki w precyzyjny obraz aplikacji Stanowi składnik systemu wczesnego ostrzegania o wirusach Analiza w czasie rzeczywistym oraz historyczna sesji

15 15 Proces pomiaru Pomiar odbywa się na porcie wejściowym Punkt obserwacji (interfejs logiczny) Sposób pomiaru (ERS 8600), częstotliwość eksportu próbek Możliwość zastosowania filtrów do wstępnej selekcji ruchu do monitorowania Dla każdego strumienia IP utrzymywany jest zapis, aktualizowany za każdym razem, gdy pojawia się nowy pakiet Moduł I/O Procesor RSP metering RSP metering RSP pomiar COP Switch Fabric Proces pomiarowy Proces eksportujący

16 16 Kolektor Zewnętrzna aplikacja lub urządzenie Poprzez CLI można zobaczyć surowe dane bezpośrednio na przełączniku Kolektor może być zintegrowany z aplikacją wizualizującą Dane są wysyłane z urządzenia sieciowego do kolektora komunikacja jednokierunkowa kolektor jest pasywny – odbiera dane wysłane do niego, ale sam nie żąda danych z urządzenia sieciowego Pomiar Raportowanie/eksport Pomiar Kolektor Kolektor 2 Aplikacje

17 17 Szczegóły strumienia IP Zapis danych strumienia Statystyki Copied information SIP (4 bytes)DIP (4 bytes)IP Protocol ( 1 byte) Protocol srce port (2 bytes) byte)Protocol dest port (2 bytes) VID (2 bytes)Observation point (port/VLAN/ChId) MAC SA (6 bytes)MAC DA (6 bytes)DSCP (1 byte) ingress-port ( 2 bytes) Packet count (4 bytes)Byte count (4 bytes) First timestamp (4/8 bytes)Last timestamp (4/8 bytes) Template ID Expired (aged, RST, FIN) In-port-down, Flow denied/ permitted Flagi zarządzania wpisem ChID (2 bytes) (future) TCP flags (1 byte)

18 18 Przetwarzanie strumieni Kiedy pakiet jest próbkowany, moduł pomiarowy stosuje unikalny identyfikator strumienia, wykorzystujący: SIP DIP Protocol Source Port Destination Port ingress VID ingress port ID type of observation point (port or VLAN)

19 19 Przetwarzanie strumieni – c.d. Jeżeli rejestr danego strumienia jeszcze nie istniał, to jest on tworzony. Jeżeli już istniał, to jest aktualizowany. W rejestrze są zapisywane następujące dane: adres IP źródłowy, adres IP docelowy, protokół, port żródłowy, port docelowy niektóre inne pola: DSCP, VID, port wejścia pakietu, typ punktu obserwacji (VLAN/Port) TCP RST/FIN, jeśli obecne sygnatury czasowe (początek strumienia, kiedy ostatnio widziany) statystyki (sumaryczna liczba pakietów, sumaryczna liczba bajtów)

20 20 Wykorzystanie IPFIX Bezpieczeństwo – wykrywanie zagrożeń przed ich zdefiniowaniem wykrywanie skanowania portów i adresów w celu włamania wykrywanie aktywności wirusów wykrywanie nietypowego ruchu wykrywanie nieautoryzowanych aplikacji (porty TCP) lub użytkowników (adresy IP) Analiza wykorzystania sieci – przewidywanie i planowanie rozwoju Jakie aplikacje są wykorzystywane i z jakim natężeniem Jak układa się wzorzec konwersacji pomiędzy poszczególnymi użytkownikami Jakie adresy są najbardziej aktywne / najczęściej wykorzystywane Które serwery generują największy ruch

21 21 Kontrola dostępu do LAN

22 22 Kontrola dostępu Rzeczywiste problemy Nowe rodzaje zagrożeń – wciąż pojawiają się nowe rodzaje zagrożeń, powodujące obniżenie produktywności przedsiębiorstwa i straty finansowe. Zagrożenia od wewnątrz – użytkownicy mobilni mogą łatwo i nieświadomie wnieść zagrożenie do wnętrza przedsiębiorstwa, omijając systemy zabezpieczeń na styku z Internetem. Tradycyjne mechanizmy AAA to tylko AAA – autentykacja, autoryzacja i monitorowanie nie dają wymaganego poziomu bezpieczeństwa – nic nie mówią o stanie komputera i oprogramowania. Nawet zautoryzowani użytkownicy nie są jeszcze bezpieczni – wbez dokładnej metody sprawdzenia i wymuszenia właściwego poziomu bezpieczeństwa, nie jest możliwe unikniecie zagtrożeń wewnątrz przedsiębiorstwa. … i rozmywające się granice przedsiębiorstwa

23 23 Jakie są prawdziwe zagrożenia? Duża grupa to ataki od środka 55% przedsiębiorstw zanotowało przynajmniej 1 atak od wewnątrz, wzrost z 39% w % przestępstw wewnątrz przedsiębiorstwa załatwionych wewnętrzne, bez udziału wymiaru sprawiedliwości Więcej strat nastąpiło z powodu zagrożeń od wewnątrz niż od zewnątrz Sumarycznie (%)Od wewnątrz (%)Od zewnątrz (%) Kradzież zasobów Kradzież danych Sabotaż334941

24 24 Zagrożenia / Web-based mail Instant Messaging Internet Postings FTP Peer-to-Peer (KaZaA / Limewire) Chat rooms Załączniki Web

25 25 Rozmywanie się granic przedsiębiorstwa Polityka bezpieczeństwa, a nie topologia, definiuje przedsiębiorstwo Kto, co, kiedy, jak, dlaczego… a czy jest to bezpieczne?????

26 26 Stacja robocza 802.1X/Extensible Authentication Protocol Standard przemysłowy Opcje implementacji: SHSA, MHSA, MHMA, GVLAN, NEAP Secure Network Access Zintegrowane rozwiązanie Nortela Nie wymaga oprogramowania klienckiego Rozszerzone o sprawdzanie stanu stacji roboczej W planach obsługa różnych systemów operacyjnych i przełączników innych firm Platformy dla bezpiecznej mobilności WLAN VPN Gateway VPN Router Podstawowa kontrola: kto i co dołącza się do sieci? Rozszerzenie o sprawdzanie stanu stacji: unikanie infekcji i ataków Wprowadzenie na brzegu sieci autentykacji i wymuszania polityki bezpieczeństwa Pierwsza linia obrony przed wewnętrznymi atakami

27 27 Zunifikowana polityka dostępu Autentykacja i kontrola zgodności Kwarantanna i naprawa Bieżąca analiza zagrożenia Autoryzacja Identyfikacja problemu Co jest potrzebne? … całościowe rozwiązanie, biorące pod uwagę wszystkie aspekty

28 28 Authentication & Device Health Assessment Kontrola dostępu na bazie danych użytkownika, stanu bezpieczeństwa, zgodności z wymogami Authorization Zapewnienie dostępu do właściwej części sieci na bazie statusu użytkownika i terminala Ongoing Threat Analysis Ciągłe monitorowanie zgodności terminala z wymogami bezpieczeństwa Quarantine & Remediation Automatyczna kwarantanna i naprawa Unified Access Policy Scentralizowana polityka dostępu i zarządzanie dla wszystkich użytkowników i terminali w przedsiębiorstwie Nortel Secure Network Access Framework

29 29 Architektura fizyczna Warstwa usługowa Szkielet Warstwa dystrybucyjna Warstwa dostępowa Secure Network Access Switch NSNA

30 30 Nortel Secure Network Access Autentykacja i sprawdzanie stacji bez dodatkowego softu Podłączenie do przełącznika – Port domyślnie zablokowany Sprawdzenie niepomyślne – podłączenie do serwera naprawczego Dostęp ograniczony do SNAS Dane klienta są sprawdzane w serwerze autentykacji Sprawdzenie pomyślne – dołączenie stacji do sieci korporacyjnej Jeżeli logowanie pomyślne, wysyłany jest aplet Java w celu sprawdzenia komputera SNAS ustawicznie monitoruje PC Serwer autentykacji Serwer naprawczy Zasoby korporacyjne PC użytkownika Secure Network Access Switch Przełącznik brzegowy

31 31 Nortel Secure Network Access Urządzenia sieciowe Wszystkie urządzenia Nortel Ethernet Switch Przełączniki Ethernet innych producentów Hub-y Stacje robocze / terminale Windows MAC OS X Linux Drukarki Telefony IP Nortela Telefony IP innych producentów Konsole do gier – XBOX, Playstation Nortel ES / ERS Switch, Hub, innej firmy

32 32 Nortel Tunnel Guard Bezpieczny zdalny dostęp – NSNA w WAN Naprawa Agent zainstalowany na PC Aplet Java ładowany do PC Virus IDS Other PFW Naprawa Virus IDS Other PFW Virus IDS Other PFW Zapewnia bezpieczeństwo od strony stacji (zarówno SSL jak i IPSec Sprawdza obecność i działanie wymaganych i zabronionych aplikacji Decyduje o dostępie do sieci roboczej lub podsieci naprawczej Otwarte API – współpraca z innymi dostawcami Nortel VPN Gateway

33 33 Pozycja rynkowa SearchNetworking.com: Network access control GOLD AWARD: Nortel Secure Network Access The network access control (NAC) market is broad and diverse, with countless startups competing with industry giants for a share. Our readers selected Secure Network Access from Nortel Networks as the gold winner, citing its ability to block and clean up malware and exploits and its policy-based NAC.Nortel Secure Network AccessNortel Networks

34 34 Bezpieczeństwo w sieci bezprzewodowej

35 35 Najlepsza implementacja aktualnych standardów i/WPA/WPA2 Szyfrowanie w AP – maksymalna wydajność Integracja AAA i polityka per użytkownik Ograniczenia typu lokalizacja / czas Skalowalny model polityki dotyczącej użytkowników Autentykacja i szyfrowanie WLAN Security Switch 2300 WLAN Access Point 2300 Serwer AAA 1.WSS pośredniczy w autentykacji 802.1x i odciąża serwer AAA w większej części procesu EAP 2.Podczas autentykacji WSS pobiera dane użytkownika z serwera AAA 3.WSS tworzy profil użytkownika i przekazuje innym WSS-om w systemie 4.Polityka dotycząca użytkownika jest realizowana jednakowo w całym systemie WLAN podczas roamingu.

36 36 Pracownik -Znany ID -Zarządzany terminal Zaufany użytkownik -Znany ID -Dowolny terminal Gość - Nieznany ID -Dowolny terminal Istniejący wpis w RADIUS Autentykacja 802.1X Istniejący wpis w RADIUS Autentykacja przez WWW Utworzenie lokalnego wpisu w RADIUS Dostęp dla gościa Unikalny profil dla każdego pojedynczego użytkownika Podstawa dla wszystkich polityk obsługi ruchu i bezpieczeństwa Ten sam SSID Spójność Profil użytkownika Pełne bezpieczeństwo i kontrola

37 37 Zabezpieczenie przed nieautoryzowanymi AP i terminalami WLAN Security Switch 2300 Autoryzowany Laptop Nieautoryzowany AP Autentykowany Laptop Nieautoryzowany Laptop Nieautoryzowany AP to zagrożenie ominięcia mechanizmów bezpieczeństwa Zautentykowany laptop stwarza poważne zagrożenie jeżeli bierze udział w komunikacji Peer-to-Peer AP skanują wszystkie kanały w paśmie 2,4 i 5 GHz Nieautoryzowane urządzenia Detekcja Klasyfikacja Lokalizacja Alarmowanie Izolowanie Nieautoryzowane punkty dostępowe Peer-to-Peer (Ad-hoc)

38 38 Wireless IDS i lub VPN zapewnia autentykację i poufność danych, ale nie zabezpiecza przed atakami Wireless IDS zabezpiecza przed atakami na strukturę WLAN System wbudowany w WMS Wykrywa i rejestruje zdarzenia i alarmuje administratora RF jamming i interferencje Podszywanie się pod adres MAC AP Łamanie słabych kluczy WEP Ataki Flood / DoS Spoofing Wbudowany system Wireless Threat Protection WSS 23XX Pracownik Zagrożenie WMS 2300 !

39 39 Dostęp do sieci dla gości Bezpieczny i wygodny dostęp do sieci dla gości i użytkowników tymczasowych Wygodne narzędzie umożliwia recepcjonistce proste i szybkie generowanie unikalnego identyfikatora i hasła dla każdego gościa Wpisy automatycznie wygasają i użytkownik jest odcinany od sieci w wyznaczonym czasie Każdy identyfikator jest powiązany z profilem bezpieczeństwa, generowanym z szablonu Przypisanie do VLAN-u / podsieci Kontrola dostepu poprzez ACL Ograniczenia czasowe Ograniczenia na lokalizację Rejestrowanie wykorzystania dostępu Tunelowanie ruchu gościa Dołączenie gościa do bramy do Internetu Blokada wszelkiej komunikacji peer-to-peer wewnątrz VLAN-u Aplikacja generowania identyfikatorów i haseł

40 40 Secure Portable Office – bezpieczne wirtualne przedsiębiorstwo

41 41 Secure Portable Office Wykorzystanie pamięci USB do zapewnienia bezpiecznego środowiska pracy nawet na cudzym PC zabezpieczenie danych nie pozostawia żadnych śladów na PC Bezpieczna sesja Nortel VPN Gateway IntranetWeb-mail Głos, praca grupowa USB Zdalny PC Aplikacje korporacyjne

42 42 Secure Portable Office Bezpieczeństwo Tylko autoryzowany użytkownik może skorzystać z zawartości pamięci USB Tylko pamięć USB może zestawić połączenie – dostęp dla przeglądarki może być zablokowany na NVG Wszystkie dane są szyfrowane w locie – AES 256 Wszystkie dane przechodzące przez PC są zaszyfrowane podczas sesji i usuwane z końcem sesji W przypadku wyjęcia pamięci USB z portu sesja jest kończona a dane usuwane Możliwość zapewnienia bezpieczeństwa dla PC – skanowanie w poszukiwaniu wirusów, aktywnego firewall itp Zabezpieczenie danych – wszystkie dane, łącznie z tymi pobranymi podczas sesji, są usuwane z końcem sesji

43 43 Secure Portable Office Podwója autentykacja Możliwość integracji pamięci USB i smartcard Tylko właściciel pamięci USB zna PIN; certyfikat zapisany w pamięci autentykuje sesję Pamięć USB jest zaszyfrowana i autentykowana przez smardcard

44 44 Secure Portable Office Łatwość użycia Użytkownik podłącza pamięć USB i loguje się jak w LAN-ie Single Sign On z USB Pojawia się menu aplikacji i użytkownik zaczyna pracę – web , VoIP/praca grupowa, zdalny desktop, dowolne aplikacje, a których korzysta przedsiębiorstwo VPN Client Mode – użytkownik może też uruchamiać własne aplikacje, zainstalowane na PC – Outlook, LCS, inne Menu aplikacji zarządzane centralnie z VPN Gateway

45 45


Pobierz ppt "2 Architektura bezpiecznej sieci w przedsiębiorstwie Jakub Roguski Nortel Networks Polska Sp. z o.o."

Podobne prezentacje


Reklamy Google