Cisco ISE megoldások Balatonalmádi, 2014. február 27.
Détári Gábor, senior rendszermérnök
[email protected]
TARTALOM
1 Motivációk 2 Aggasztó kérdések, belépési pontok 3 Régi és új típusú megoldások 4 Mit, és hogyan szabályozzunk? 5 BYOD trend
– public –
04/03/14
2
Projektek ISE alapon hogy kell(et) jól csinálni Friss, de dinamikus technológia. Motivációk: • Vezetői oldalról • Igény a tech. felhasználóktól • Stratégiai cél (Trend követés) • Megvannak az eszközök (csak munka) • Új projekthez csatolva Példák: • Közigazgatás • Oktatás • Verseny környezet • Mi (TSM)
– public –
04/03/14
3
Alapvető támadások
Elgondolkodtató kérdések: • Ki férhet hozzá egy hálózati csatlakozómhoz ? •
Mihez fér hozzá ezen a kapcsolat keresztül ?
•
Mit csatlakoztathat ide ?
•
Védekezek-e ezek ellen ?
•
Hitelesítek-e a hálózaton ?
•
Monitorozom-e a működést ?
– public –
04/03/14
4
Távbelépés kérdése nézz a falon túl Legfőbb problémák: • Külső vagy „support” userek férnek hozzá a hálózatunkhoz. De nem tudjuk milyen állomásról •
Saját utazó ügynökeink eszközeinek update állapota Nem ismert vagy ismerten elavult.
– public –
04/03/14
5
WiFi kérdése mi van a levegőben Legfőbb problémák: § Létezik-e biztonságosan kialakított WiFi hálózat? §
Biztosak lehetünk-e abban, hogy a felhasználók nem alakítottak-e ki Internetes megoldást?
§
Biztosak lehetünk-e abban, hogy a felhasználók nem épített ki hidat a belső hálózatról?
§
Biztosak lehetünk-e abban, hogy támadó nem épített ki hidat?
– public –
04/03/14
6
Network Admission Control komplex projektek Feladata: • biztonsági házirend betartatása • felhasználó hitelesítés • karantén kezelése • lehetőség a javítások elvégzésére • proaktív védelem biztosítása • egyszerű, gazdaságos, központi menedzsment biztosítása • Eszköz nyomkövetés
– public –
04/03/14
7
Cisco ISE - Identity Services Engine új lehetőségek
– public –
04/03/14
8
ISE központi szabályrendszere
– public –
04/03/14
9
Építőelemek
WiFi
Remote VPN
MDM
Tanúsítvá ny rendszer
VDI
Központi hitelesítés
– public –
04/03/14
10
Építőelemek LAN hálózaton •
•
„A LAN hálózat rendelkezésre állás kritikus ” ISE szerver virtuális és appliance párban Beépített vagy AnyConnect supplicant A legtöbb esetben AnyConnect nyomon
•
•
Mi lesz a nyomtatókkal? Ne becsüljük le őket
Tanúsítvá ny rendszer
VDI
Legyen-e vendég elérés a LAN-on? Általában szükséges, ne kivételként kezeljük
– public –
Központi hitelesítés
04/03/14
11
Profilozás nyomon követés A célja: Ne „csak” beléptetés legyen, hanem nyomon követés is. Belépési adatok és viselkedési minták összevetése HTTP agent RADIUS
DHCP SNMP monitor
Netflow MAC cím
ISE
– public –
04/03/14
12
Profilozás technika
•
Ne csak ott profilozzunk, ahol MAB metódussal megy beléptetés Ott is ahol Dot1x hitelesítés történik, de gyengébb vagy nincs posture ellenőrzés
•
Hangoljuk be az ismert profiljainkat alacsony illeszkedésre
– public –
04/03/14
13
Építőelemek jelenleg támogatott VPN működés: Inline Node
Tanúsítvá ny rendszer
Remote VPN
MDM
VDI
Központi hitelesítés
– public –
04/03/14
14
Építőelemek új ASA elem: CoA támogatás • •
Egyszerűbb, célravezetőbb topológia Kevesebb appliance, kevesebb hibaforrás
Kockázat: • Upgrade új ASA szoftverre
– public –
04/03/14
15
Építőelemek új ASA elem: konfiguráció
ISE konfiguráció
ASA konfiguráció
•
•
aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization Redirect ACL
– public –
04/03/14
16
Építőelemek új ASA elem:
– public –
04/03/14
17
Szabályrendszer betartatása szabályzás és technika (Word és csavarhúzó) Szabályrendszer írása és a technikai megoldás összhangban.
– public –
04/03/14
18
Ki szereti a kütyüjét?
– public –
04/03/14
19
BYOD trend ez új dolog? Új trendek: De a kialakított biztonságot fenn kell tartani új eszközök mellett is: iPad • iPhone • Android • Saját PC • Saját MAC
Go
NoGo – public –
04/03/14
20
BYOD fogalmak
A Mobile Device Management önmagában nem BYOD rendszer! A kiadott WiFi kulcs nem BYOD rendszer! A vezetőknek egyedileg beállított megoldás nem BYOD rendszer! A BYOD nem: • BYO Phone • BYO iPad
A Cél: Any Device! – public –
04/03/14
21
BYOD biztonságosan irányelvek
– public –
04/03/14
22
Javasolt stratégia irányelvek Kulcs elemek Kommunikáció megoldására
Adatkezelés megoldására
§ Natív kommunikátor alkalmazásXxx § MS vagy Cisco UC kliens
§ Virtuális környezet vagy terminál szerver § VDI, távoli asztali kapcsolat
– public –
04/03/14
23
Összefoglalás
§ Hallgassunk a felhasználóink jó ötleteire § Vegyük számba mivel rendelkezünk § Csak biztonságos megoldásban gondolkozzunk § Alkalmazzuk a trükköket
– public –
04/03/14
24
KÖSZÖNÖM A FIGYELMET! Détári Gábor szenior rendszermérnök
[email protected]