Grenzeloos Netwerken
Peter Bazelmans | Solution Specialist 4IP Ruim 14 jaar actief in de netwerkbranche 11 jaar actief als Solution Specialist bij Ictivity Sinds 2009 bij 4IP, onderdeel van De Ictivity Groep Werkzaam geweest bij KPN als engineer binnen de business unit Enterprise Networks Mede-verantwoordelijk voor het technisch beleid & portfolio 4IP
AGENDA
• Het fenomeen ‘xYOD’ • Wat vereist xYOD van het (Wi-Fi) netwerk? • Grenzen verleggen met Wi-Fi • Een kijkje in de keuken… • Korte demo
“Simple can be harder than complex”
HELDER, SIMPEL
“You have to work hard to get your thinking clean to make it simple. But it’s worth it in the end because once you get there, you can move mountains.”
De gebruiker anno nu…
De apparaten anno nu…
De applicaties anno nu…
BEPERKT
BASIS
UITGEBREID
GEAVANCEERD
Strikte omgeving
Focus op Basis diensten, Simpele toegang
Verschillende diensten, On-Boarding Onsite/Offsite
Alle diensten en services, Volledige controle
Corp Only Device
Devices breed ondersteund, www only
Meerdere apparaten en toegangsmethodieken
Elk apparaat Elk eigendom Mobiliteit (Video, Collaboration, etc.)
1e generatie xYOD
En het (bedrade) netwerk dan?
X
xYOD … Betekent uitdagingen voor IT!
Klaar voor de start: Wi-Fi! • Klaar voor de start: Wi-Fi
Een historische blik…
• De evolutie van wifi • 3 taboe’s
WiFi performance
• Lange tijd een probleem • In het begin 2 Mbps • 11 – 54 Mbps
WiFi Stabiliteit
• Radio management • Channel plan • Interferentie
• Complex, lastig beheer
WiFi beveiliging •
Zwakke encryptie (WEP)
De gebruiker uit het verleden •
De vroegere gebruiker komt naar het netwerk toe
•
De gebruiker heeft 1 ‘vaste’ werkplek
•
Heeft 1 device waarop hij werkt
•
Het netwerk stopt bij de muren van het kantoor
Het Wi-Fi netwerk uit het verleden •
Autonome AP’s, lastig beheer
•
Radio management was een uitdaging, waardoor stabiliteit issues
•
Lage bandbreedtes
•
Zwakke beveiliging
•
Beperkt tot kantoor
•
Statisch, bedoeld voor 1 type gebruiker
De hedendaagse gebruiker •
Het netwerk komt naar de gebruiker toe
•
Het netwerk stopt niet bij de muren van het kantoor
•
De gebruiker heeft een mobiele werkplek en wil overal kunnen werken
•
Eigen apparatuur
•
Veeleisend (“thuis kan ik dit wel…!”)
Maar… Hoe gaan we dit beheersbaar en veilig houden?
Met behulp van een geavanceerd Wi-Fi netwerk! • Thin APs bestuurd door een centrale entiteit
• Hoge performance door 11n standaard • Sterke beveilging/encryptie (certificaten) • Stopt niet op kantoor (remote networking) • Flexibel, meerdere soorten gebruikers kunnen aanmelden op het netwerk
• Intelligentie in het netwerk (‘advanced AAA’)
EVOLUTIE van endpoints en Wi-Fi
Evolutie van endpoints
Ethernet
Ethernet en Wi-Fi
Wi-Fi
Geen QoS
QoS voor data
1 per user
QoS voor multimedia
1 per user
1+ per user
IT beheerd
IT beheerd
Eigendom van gebruiker
Security per poort
Security per user
Security per context
Evolutie van Wi-Fi
Losse AP’s
Keuze
Wireless Controller
Autonoom
Centraal
Virtueel en fysiek
Snelheid laag
Snelheid hoog
Centraal
Niet intelligent
Intelligent
Snelheid hoog
Niet schaalbaar
Schaalbaar
Intelligent
Zeer schaalbaar
Zeer flexibel
HEDEN
Wat vragen we ons af? HOE? Verbinden met het netwerk WIE? gast of medewerker? WAAR? thuis of kantoor? WAARMEE? Met welke apparaten, bedrijfs- of gebruikerseigendom?
I TELLIGENTIE
Ingrediënten:
Wi-Fi NETWERK
Beveiliging… hoe het was
Beveiliging… hoe het moet
Wi-Fi Netwerk Van De Toekomst!
WNVDT = Role Based
WNVDT = Dynamisch
WNVDT = Any Device Controller Management
Access Control
En dan nog… de applicaties! Multimedia intensief, Gevoelig voor latency
Primair Data, Bandbreedte intensief
Een kijkje in de keuken… Voorgerecht Remote Networking
Hoofdgerecht Device Onboarding
Remote Networking
Remote Networking Thuis
Kantoor
VPN infrastructuur
Hoofdkantoor
Remote Networking •
Zeer eenvoudig en laagdrempelig
•
Geen ‘tussenkomst’ van gebruiker
•
Te gebruiken met een normale internetverbinding
•
Werkt met lightweight access-points
• Veilig (VPN technologie) • “op kantoor” beleving
Provisioning van een RAP
Resumé Remote Networking • Eenvoudig een werkplek op een remote locatie • Werkt via VPN • Hetzelfde als op kantoor • Werkt eenvoudig
Device Onboarding
Wat is Device Onboarding?
Zo eenvoudig mogelijk een connectie realiseren met het (Wi-Fi) netwerk voor een medewerker met zijn/haar (willekeurige) apparaat.
AAA @ your service! Identiteit Vicky Werknemer Marketing Bekabeld 3 p.m.
Frank Gast Wireless 9 a.m.
Voorwaarde(n)
Groep:
Datum / Tijd
Werknemers
Autorisatie (Toegang)
Volledige Toegang Beperkte Toegang
Groep:
Contractanten
Gast/Internet
+
Quarantaine
Status
Locatie
Device Type
Access Type
Geen Toegang
Security Camera G/W MAC: F5 AB 8B 65 00 D4
Groep:
Gast Francois Consultant (Remote) 6 p.m.
Rapportage
Cisco Identity Services Engine ISE: authenticatie/autorisatie voor gebruikers en apparaten Werknemer
Internet
802.1X ASA
Campus Network
Printers, camera
Cisco Wireless
Remote user VPN AnyConnect
AD/LDAP
Cisco Switch
Cisco Switch
Cisco Wireless LAN Controller
Cisco® Identity Services Engine
ISE versus MDMs ISE Network Policy Enforcement Classification/Profiling
Network Access (Wireless, Wired, VPN)
MDM Inschrijven & Registratie Cert + Supplicant Configuratie
Context-Aware toegangscontrole (Role, Location, etc.)
Voorwaarden (Jailbreak, PIN Lock, etc.)
App distributie & Mgmt Backup
Data Loss Prevention (encryptie, wipe, etc)
Bedrijfs App. beleid
DEMO ISE 1.0 & 1.1
ISE 1.1.1 (Juni ‘12)
ISE 1.2 (eind‘12)
Native ISE functies • Profiling • Authenticatie • Policy Enforcement
Native ISE functies • Inschrijven/Registratie • Self-Service Portaal • Certificaat uitrollen • Blacklisting
ISE – MDM integratie (API) • Uitgebreide device info • Policy compliance • ‘WIPE’ functie
5 praktijkvoorbeelden
Bedrijfsbeleid: gedeeltelijke toegang + WWW Provisioning
Autorisatie
ISE Policy Engine
Certificaat
GEBRUIKER USER
RegisteredDevices
APPARAAT DEVICE
PROFIEL
AD CA
Gebruiker in AD
Gastportaal Beperkte Toegang
Apparaat van gebruiker
1. 2. 3. 4. 5.
BYOD_Provisioning SSID
Wireless LAN Controller
Bedrijfs Netwerk (beperkt)
Internet
Apparaat verbindt met “Provisioning SSID” Apparaat wordt omgeleidt naar “Guest Portal” en doorloopt stappen ISE voegt apparaat toe aan “RegisteredDevices” groep Na provisioning, kan het apparaat verbinden met “BYOD_Medewerker” SSID ISE controleert certificaat, RegisteredDevices en de AD groep voor toegang
Bedrijfsbeleid: volledige toegang Provisioning
Autorisatie
ISE Policy Engine
Certificaat
IT USER Beheerder
WhiteList
AD CA
Apparaat in AD Volledige Toegang
Apparaat van bedrijf
BYOD_Employee SSID
Wireless LAN Controller
Bedrijfs Netwerk (volledig)
Internet
1. Apparaat wordt geconfigureerd door de IT beheerder 2. Apparaat moet worden toegevoegd op de “WhiteList” door de IT beheerder 3. ISE controleert het certificaat, WhiteList en de AD groep
Bedrijfsbeleid: Alleen internet toegang Provisioning
Autorisatie
ISE Policy Engine
Certificaat
GEBRUIKER USER
RegisteredDevices
APPARAAT DEVICE
PROFIEL
AD CA
AD Groep
Gastportaal Internet Toegang
Apparaat van contractant
BYOD_Provisioning SSID
Wireless LAN Controller
Internet
1. Apparaat verbindt met company SSID 2. ISE controleert credentials in AD (gebruiker en groep) 3. Als de contractant lid is van de AD groep “Internet _Access” internet toegang
Bedrijfsbeleid: géén Apple apparaten Provisioning
Autorisatie
ISE Policy Engine
AD
USER
Apparaat Profiel
AD
Geen Toegang
Persoonlijk Apple apparaat
BYOD_Medewerker SSID
Wireless LAN Controller
* Apparaat wordt niet geconfigureerd
1. 2. 3. 4.
Apple apparaat maakt verbinding met het “BYOD_Medewerker” SSID ISE controleert credentials en AD groeplidmaatschap ISE controleert het type device door middel van “profiling” Indien het een Apple device betreft geen toegang
Bedrijfsbeleid: Internet toegang Provisioning
Autorisatie
ISE Policy Engine
AD Groep (Gast)
GEBRUIKER USER
OF AD
Gast
Gastportaal Internet toegang
Persoonlijk / Gast apparaat
Gast SSID
Wireless LAN Controller
Internet
Internet toegang als gebruiker lid is van AD Groep (Gast) of een gast is 1. Apparaat verbindt met Gast SSID 2. Apparaat wordt omgeleidt naar Gastportaal 3. Als gebruiker lid is van AD Groep (Gast) Internet toegang 4. Als gebruiker is aangemaakt als gast Internet toegang
Resumé • Veel scenario’s mogelijk (maatwerk) • Afhankelijk van de behoefte en beleid in de organisatie
Digitale certificaten
Identificeren van een ‘endpoint’ (medewerker eigendom) • Door middel van digitale certificaten kan een connectie met het netwerk worden verkregen • Device ID is geïntegreerd in het certificaat (MAC) • Een advanced AAA server (zoals Cisco ISE) kan certificaten uitdelen aan endpoints • Het certificaat kan (later) tevens worden gebruikt voor remote-access • Een CA server moet in het netwerk actief zijn
Het registreren van een iPad op het Wi-Fi netwerk met behulp van certificaten
Hot Topic
Onboarding van een Apple apparaat (iOS) PSN
MS CA
ISE Medewerker
“RegisteredDevices”
Apparaat registreren
HTTPS naar Portal ISE stuurt CA certificaat naar endpoint (trust)
User klikt op Registreer
Apparaat inschrijven
ISE stuurt Profile Service naar iOS apparaat CSR wordt gegenereerd in iOS
Encrypted Profile Service: https://ISE:8905/auth/OTAMobileConfig?sessionID CSR naar ISE
SCEP naar MS Cert Authority
Certificaat voor apparaat Certificaat wordt naar ISE verzonden ISE stuurt Device Certificaat naar iOS apparaat
ISE stuurt een “Profiel” naar iOS apparaat CSR naar ISE
Apparaat configureren SCEP naar MS Cert Authority Certificaat wordt naar ISE verzonden
ISE stuurt gebruikercertificaat naar iOS apparaat
SSID = CTS-CORP EAP-TLS
CN = 74ba333ef6548dfc82054d0c7fec36e6ddddcbf1 SAN = 00-0a-95-7f-de-06
Uitgegeven gebruikercertificaat CN = Employee SAN = 00-0a-95-7f-de-06
Apparaat en gebruikercertificaat: Wi-Fi Profiel d.m.v. EAP-TLS 62
DEMO
Onboarding van een iPad
Dank U!
