A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1 Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer CCIE #16321 Routing/Switching.

Apresentações semelhantes


Apresentação em tema: "1 Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer CCIE #16321 Routing/Switching."— Transcrição da apresentação:

1 1 Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer CCIE #16321 Routing/Switching

2 2 Agenda Introdução Operação do 802.1x 802.1x não se limita a autenticação Network Admission Control (NAC) Conclusão

3 3 Introdução

4 4 Identidade

5 5 Alguns conceitos importantes sobre Identidade Arquitetura AAA – Autenticação, Autorização e Accounting O processo de autenticação é usado para verificar uma identidade alegada. Um sistema de autenticação é tão forte quanto o método de verificação utilizado. Uma identidade só é útil como um ponteiropara uma política aplicável ao usuário e para accounting dos serviços utilizados. Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes. Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização. Você DEVE ter no mínimo a altura H para entrar H

6 6 Identidade em todas as camadas? Camada Física cadeados, crachá baseado em RFID Camada de Enlace Arquitetura IEEE 802.1x Camada de Rede gateways, extended authentication (x- auth), firewalls, método lock and key em roteadores Camada de Sessão SSL, TLS Camada de Aplicação Windows networking, Kerberos Física Enlace Rede Sessão Aplicação Gateways, X-Auth, Firewalls, Lock and Key Cadeados, Crachá RFID 802.1x SSL, TLS Windows Networking (SMB), Kerberos

7 7 Pausa para Reflexão : Por que ter Segurança já no nível 2 ? Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a IP e, conseqüentemente, à camada 3 do modelo OSI. APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE ENLACE FÍSICO Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados. !

8 x : Visão simplificada Credenciais Válidas Credenciais Inválidas (ou Ausentes) X Rede Corporativa Acesso negado Usuário autorizado Usuário externo não autorizado Recursos Corporativos Verificação de Identidade Switch * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x

9 9 O risco de não se ter Controle de Admissão Oi. Alice: Oi. Chuck: Oi. Sou do departamento de Vendas. Bob: Oi. Sou um administrador. Permitido Chuck: Estou usando uma versão sem patch do Windows Estou conectado via Gigabit Ethernet à Rede e minha máquina está carregada com o worm de jour (e este é bem interessante...) Boa sorte a todos !

10 10 Network Admission Control – Visão Geral Política de Admissão à Rede: Identidade Windows XP Service Pack 2 CTA 2.0 Anti-Vírus Patch Management Chuck: Departamento de vendas Windows 2000 Sem Service Pack Sem Anti-Vírus Sem Patch Management Serviço de Remediação Quarentena Servidores de Verificação de Status Serviço de Diretório

11 11 Operação do Sistema IBNS + NAC 1. Quem é você ? 802.1x e servidor de controle de acesso autenticam o usuário. 2. Sua estação está adequada ? Usando Network Admission Control, a Rede e a máquina do usuário verificam se esta tem, por exemplo, a versão correta do AV e outras ferramentas de proteção. 3. Onde você pode ir? Baseado em autorização, o usuário é colocado na VLAN e grupo pertinentes. 4.Que nível de serviço você vai receber ? O usuário pode ser colocado em uma VPN protegida por Firewall ou receber um determinado valor de QoS. 5. O que você está fazendo? Usando a identidade do usuário, podem-se gerenciar mais facilmente as funções de accounting e localização.

12 12 Operação do 802.1X

13 13 Extensible Authentication Protocol (EAP) É um protocolo de transporte flexível usado para carregar informações arbitrárias de autenticação o EAP não é o método de autenticação em si. O EAP provê um framework flexível para Segurança na camada de enlace Protocolo de encapsulamento simples Não depende do IP Poucos requisitos em relação à camada de Enlace Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.) Pode funcionar em meios com perdas Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicação da RFC 3748

14 14 O que o EAP faz ? Transporta informação de autenticação sob a forma de payloads EAP Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação. Métodos EAP mais utilizados : EAP-TLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor) PEAP: Protected EAP tunnel mode EAP encapsulator; promove tunelamento de outros métodos EAP em uma sessão TLS criptografada. EAP-FAST: projetado para não depender de certificados ; promove tunelamento de outros métodos EAP em uma sessão TLS criptografada x Header Ethernet Header RADIUS IP Header EAP Payload UDP EAP Payload Conversação EAP Resultante Switch cliente Servidor RADIUS

15 15 Protocol Version 1 Byte Packet Type 1 Byte Packet Length 2 Byte Packet Body N Byte DST MACSRC MACTypeDataFCS Tipo de PacoteDescrição do Pacote EAP Packet (0) Enviado pelo Suplicante e pelo Switch. Contém informação MD5 ou TLS necessária para completar o processo de autenticação. EAPOL Start (1)Enviado pelo Suplicante no início do processo de autenticação EAPOL Logoff (2)Enviado pelo Suplicante para terminar a sessão 802.1x EAPOL Key (3) Enviado pelo Switch ao Suplicante (contém chave usada durante a autenticação TLS) Formato do Frame EAPOL (EAP over LAN)

16 16 RADIUS age como o transporte para o EAP, entre o autenticador (switch) e o servidor de autenticação (servidor RADIUS) RFC trata do suporte do RADIUS ao protocolo EAP entre autenticador e servidor de autenticação RADIUS também é usado para passar informações de política (autorização) ao autenticador, após a identificação do usuário, sob a forma de pares AV (attribute-value pairs) RFC 3580 – define forma de uso do protocolo RADIUS por parte dos autenticadores 802.1x Como o RADIUS é usado ? RADIUS Header EAP Payload UDP Header IP Header RADIUS Header EAP Payload UDP Header IP Header AV Pairs

17 17 Terminologia IEEE Termos do IEEETermos usuais SupplicantClient AuthenticatorNetwork Access Device Authentication ServerAAA/RADIUS Server * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x

18 18 Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) and CDP traffic only Segurança Implícita do 802.1x O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN) Para cada porta física habilitada para 802.1x, o switch cria dois canais virtuais de comunicação O canal controlado só é aberto após a autorização da porta via 802.1x Controlled Uncontrolled EAPOL Switch

19 19 Entendendo o 802.1x Trocas de Mensagens EAP A autenticação 802.1x é iniciada quando o link muda de down para up. Tanto o Switch como o Cliente (Supplicant) podem iniciar a autenticação. O protocolo EAP over LAN (EAPOL) transporta frames EAP entre o Suplicante e o Autenticador. O protocolo EAPOL é encapsulado em um Frame Ethernet conforme ilustração abaixo : DST MACSRC MACTYPEDATAFCS Protocol version 1 byte Packet Type 1 byte Packet Length 2 byte Packet Body N byte O endereço MAC de destino é sempre C

20 20 Modelo 802.1x para controle de acesso por porta Request for Service (Connectivity) Backend Authentication Support Identity Store Integration Authenticator LAN Switch WLAN Access Point Identity Store/Management Microsoft AD LDAP NDS ODBC Authentication Server Microsoft IAS ACS (Access Control Server) Any IETF RADIUS server Supplicant Desktop/laptop IP phone WLAN Access Point LAN Switch IP Network L2 Access

21 21 Detalhamento dos fluxos 802.1x 802.1x Port Unauthorized 802.1x, STP EAP-Identity-Request EAP-Identity-Response EAPOL-Start

22 x RADIUS EAPMethod Dependent Port Unauthorized 802.1x, STP EAP-Auth Exchange EAP-Identity-Request EAP-Success/Failure EAP-Identity-Response EAPOL-Start Auth Exchange w/AAA Server Authentication Successful/Rejected Detalhamento dos fluxos 802.1x

23 23 EAP-Auth ExchangeAuth Exchange w/AAA Server EAP-Identity-Request Authentication Successful/Rejected EAP-Success/Failure 802.1x RADIUS Policy Instructions EAPOL-Start EAPMethod Dependent Port Authorized EAP-Identity-Response Port Unauthorized 802.1x, STP Detalhamento dos fluxos 802.1x

24 x RADIUS EAPMethod Dependent Port Authorized EAPOL-Logoff Port Unauthorized 802.1x, STP EAP-Auth ExchangeAuth Exchange w/AAA Server EAP-Identity-Request Authentication Successful/Rejected EAP-Success/Failure Policy Instructions EAPOL-Start Port Authorized EAP-Identity-Response Detalhamento dos fluxos 802.1x

25 25 Actual Authentication Conversation Is Between Client and Auth Server Using EAP; the Switch Is an EAP Conduit, but Aware of Whats Going on 802.1x RADIUS EAPMethod Dependent Port Authorized Port Unauthorized 802.1x, STP EAPOL-Logoff EAP-Auth ExchangeAuth Exchange w/AAA Server EAP-Identity-Request Authentication Successful/Rejected EAP-Success/Failure Policy Instructions EAPOL-Start EAP-Identity-Response Detalhamento dos fluxos 802.1x

26 x não se limita a autenticação

27 27 ATRIBUTONOME OFICIALSIGNIFICADO Attribute[1]User Name Nome do usuário Attribute[4]NAS IP Address IP do switch Attribute[5]NAS Port Porta do switch Attribute[8]Framed IP Address IP do usuário Attribute[25]Class Vinculação ao grupo Attribute[30]Called Station ID MAC da porta do switch Attribute[31] Calling Station ID MAC do usuário Attribute[40]Acct Status Type Start/stop Attribute[42]Acct Input Octets Bytes transmitidos Attribute[43]Acct Output Octets Bytes recebidos Attribute[44] Acct Session ID Identificador da sessão Attribute[61] NAS Port Type Tipo de porta do switch O switch envia uma mensagem de accounting do tipo start para o servidor RADIUS após a autenticação da sessão 802.1x O switch envia uma mensagem de accounting do tipo stop para o servidor RADIUS após o término da sessão 802.1x (mensagem EAP-Logoff do switch ou desconexão da porta física) Um pacote RADIUS-Accounting é transportado sobre a porta UDP 1813 e é seguido por um pacote RADIUS-Accounting Response, conforme definições das RFCs 2139 e As informações de sessão são carregadas via RADIUS Attribute Value Pairs RADIUS Accounting na arquitetura 802.1X Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS.

28 x Accounting : Auditoria e Localização (1)

29 x Accounting : Auditoria e Localização (2)

30 x com associação dinâmica de VLAN [64] Tunnel-typeVLAN (13) [65] Tunnel-medium-type802 (6) [81] Tunnel-private-group-ID Marketing = VLAN 10 Attribute Value Pairs Usadosconforme padrão IETF Engenharia = VLAN 20 Grupo 1 Grupo 2 VLAN 10 VLAN 20 Política de Autorização Servidor RADIUS Associação de VLAN por grupo de usuários

31 x com VLAN de visitante (Guest VLAN) Timeout padrão é de 30 segundos e 3 tentativas; Timeout total é de 90 segundos (valor padrão) Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOL-Identity-Request enviados pelo switch (que podem ser vistos como hellos 802.1x) Inexistência ou não habilitação do suplicante Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch) Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante Guest

32 32 Integração de 802.1x com Wake on LAN Supplicant802.1x Process PC Must 802.1x Authenticate Tráfego de saída de uma porta (Rede ->> Cliente) é permitido Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado. Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar. WoL Frame Transmitted PC Can Wakeup PC Sends Traffic

33 X : Reautenticação periódica Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente Switch LAN (suporta 802.1x) Switch LAN (suporta 802.1x) Algumas máquinas foram autenticadas e estão utilizando a Rede Período de reautenticação expira e todos os clientes são forçados a se reautenticar.

34 x : Desafios específicos de ambientes Microsoft

35 35 Processo de bootdo Windows : visão geral Power UpLoad NDIS Drivers DHCPSetup Secure Channel to DC Update GPOsApply Computer GPOs Present GINA (Ctrl-Alt-Del) Login Pressupõe-se Conectividade à Rede A espera pela autenticação de usuário via 802.1x contraria o pressuposto de conectividade da Microsoft

36 36 Machine Authentication no Windows Power Up Load NDIS drivers DHCP Setup Secure Channel to DC Update GPOs Apply Computer GPOs Present GINA (Ctrl-Alt-Del) Login 802.1x Authenticate as Computer Suposição de conectividade à Rede Foi concebido para compatibilizar a plataforma 802.1x com as características de boot do Windows

37 37 Machine Authentication e 802.1x Identity Req. Computer Identity EAP-TLS Authentication Computer Identity Access-Accept Authenticate to Domain Controller Request Group Policy Updates Group Policy Updates Machine Authentication é suportada com EAP-TLS, PEAP-MSCHAPv2 e EAP-FAST Domain Controller Servidor RADIUS Switch Cliente

38 38 Boot da estação Interface física é ativada (não autenticada) Início da autenticação 802.1x Máquina envia sua credencial Certificado de Máquina no EAP-TLS Chave compartilhada Windows AD no PEAP-MS-CHAPv2 Prefixo de nome de máquina (host/) para machine authentication EAP-FAST Machine Authentication Machine Authentication e User Authentication User Authentication Nota: Os dois processos de autenticação são, por definição, independentes. Se o usuário faz login na máquina, esta envia uma mensagem EAPOL-start para avisar o switch sobre a nova autenticação em andamento. Em seguida é feita a autenticação de usuário usando a credencial pertinente (de acordo com o método EAP utilizado)

39 x e Machine Access Restriction A proposta é criar um vínculo entre a autenticação de usuário e a autenticação de máquina (uma autenticação de usuário só pode ser aceita após uma autenticação de máquina correta) Possível para EAP-FAST, PEAP/MS-CHAPv2 e EAP-TLS A autenticação de máquina foi originalmente concebida para compatibilizar a plataforma 802.1x com as características de boot do Windows e não como um item de Segurança. Usando o conceito de Machine Access Restriction a autenticação de usuário só será aceita se o endereço MAC da estação usada pelo usuário, tiver sido usado previamente numa autenticação de máquina. Ganhou-se uma nova característica de Segurança !

40 40 Network Admission Control

41 41 Arquitetura NAC Framework Rede Servidor de Autenticação Servidor de Patching Servidor de Diretório (Computadores Gerenciados e não Gerenciados) Decisão e Remediação LAN Remoto WAN Servidor de Validação de Status Servidor de Relatórios Servidor de Auditoria

42 42 NAC proporciona maior Segurança Qual é a melhor maneira de verificar/corrigir? Pre-Configured Checks Customized Checks Self-Remediation or Auto-Remediation Third-Party Software Windows, Mac, Linux ? Laptop, Desktop, PDA ? Impressora ? Telefone IP ?... ? Qual é o sistema? Empresa Empregado Terceirizado Visitante Desconhecido A quem ele pertence? VPN LAN WLAN WAN Qual é o meio de acesso? Anti-Virus, Anti-Spyware Personal Firewall Ferramentas de Patching Quais são os softwares instalados? Eles estão habilitados?

43 43 Operação 802.1x e NAC Autenticação via 802.1x Um único túnel, múltiplas transações. Validação de Identidade Validação do Status (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede) Aplicação de Políticas de Grupo (autorização) RADIUS Identidade + Status da Máquina L2 (802.1x) Cliente Switch Servidor RADIUS

44 44 Fluxo de Admissão NAC Key: Opcional Obrigatório Servidor RADIUS Posture Validation Server (PVS) Máquina solicitando acesso à Rede Network Access Devices (NADs) Servidores de Políticas de Acesso/Admissão RADIUS Cisco Trust Agent (CTA) Servidor de Auditoria (AS) Credentials 2 Notification 8 Authorization 6 Identity 4a Compliant? 5 Enforcement 7 3 Credentials Servidor de Diretório LDAP, OTP HCAP Posture 4b Audit 4c GAME: HTTPS Status 9 Traffic Triggers Challenge 1 EAP

45 45 Possíveis estados NAC (Status da Máquina) Healthy a estação está de acordo com as políticas; sem restrições no acesso à Rede Checkup a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status healthy de uma maneira pró-ativa Transition a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis Quarantine a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção Infected a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado Unknown a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status

46 46 Método EAP-FAST Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) é um método EAP baseado em TLS (RFC3748) O estabelecimento do túnel se baseia no Protected Access Credential (PAC) que pode ser aprovisionado e gerenciado dinamicamente pelo EAP-FAST através de um servidor AAA PAC é uma credencial única compartilhada para autenticar mutuamente o cliente e o servidor PAC é associado a um user-ID e um authority-ID específico Por enquanto é o único método que suporta 802.1x + NAC (Identidade + validação de Status simultaneamente)

47 47 NAC-L x: Identidade e Status NAD ACSv Vendor Server.140 VLAN /24 CTA 2.0 LITE Supplicant VLAN /24 EAPOL-Start EAP Identity-Request EAP Identity-Response EAP-Req. (EAPFAST)RADIUS / EAPFAST-Start Client + Server Hello/ cipher spec. RADIUS Access-Accept w/ necessary attributes EAP-Success RADIUS / ID AUth+PA Posture EAP / ID Auth+PA Posture RADIUS / APT+SPT+UserNotif EAP/ APT+SPT+UserNotif Port opens / Dynamic VLAN assignment Dynamic VLAN based on authorization restricts traffic to specific network segment [026/9/1] = Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine int VLAN7=.254 EAPo802.1x Key: [26/9/1] cisco-av-pair [27] Session-Timeout [29] Termination-Action [64] Tunnel-type [65] Tunnel-Medium-Type [81] Tunnel-Private-Group-ID RADIUS Access-Request EAPoRADIUS

48 48 NAC-L x: Processo de reautenticação NAD ACSv Vendor Server.140 VLAN /24 CTA 2.0 Lite Supplicant DHCP (.100) VLAN /24 RADIUS Access-Accept w/ necessary attributes EAP-Success int VLAN7=.254 EAPo802.1x EAPoRADIUS Overwrite NAD Default Reauth Timer and reset Session Timeout = x Re-authentication 1. RADIUS Attribute [29] is not sent via Access-Accept or set to Default 802.1x SM initialized Line Protocol down EAPoL-start (AUTHENTICATED DISCONNECTED CONNECTING AUTHENTICATING AUTHENTICATED) 2. RADIUS Attribute [29] is sent via Access-Accept and set to RADIUS-Request SM = AUTHENTICATED CONNECTING AUTHENTICATING AUTHENTICATED [26/9/1] Posture-Token=Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine Reauth timer sets to From AAA Server

49 49 NAC-L x: Quarentena (Atribuição Dinâmica de VLAN) NAD ACSv Vendor Server.140 VLAN /24 CTA 2.0 Lite Supplicant DHCP (.100) VLAN /24 RADIUS Access-Accept w/ necessary attributes EAP-Success int VLAN7=.254 EAPo802.1x EAPoRADIUS If um nome de VLAN existe localmente no switch, then overwrite a VLAN da porta [26/9/1] Posture-Token=Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine Reauth timer sets to From AAA Server VLAN Name Status Ports default active Fa0/11 10 client active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10 11 quarantine active 12 temp active 13 Guests active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

50 50 Resultado da validação de Identidade e Status (1) HealthyQuarantineUnknown Users QuarantineUnknown Contractors QuarantineUnknown Guests Utilities Servidor de Antivírus Servidor de Diretório RADIUS RADIUS Attribute Component: Users [26/9/1] = Healthy [27] = [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = users

51 51 HealthyQuarantineUnknown Users QuarantineUnknown Contractors QuarantineUnknown Guests Utilities Servidor de Antivírus Servidor de Diretório RADIUS RADIUS Attribute Component: Quarantine [26/9/1] = Quarantine [27] = 30 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = quarantine Resultado da validação de Identidade e Status (2)

52 52 HealthyQuarantineUnknown Users QuarantineUnknown Contractors QuarantineUnknown Guests Utilities Servidor de Antivírus Servidor de Diretório RADIUS RADIUS Attribute Component: Guests [26/9/1] = Unknown [27] = 3600 [29] = RADIUS_Request (1) [64] = VLAN [65] = 802 [81] = guests Resultado da validação de Identidade e Status (3)

53 53 Elementos definidores de uma solução NAC IDENTIFICAR DE FORMA SEGURA A ESTAÇÃO E O A ESTAÇÃO E O USUARIO USUARIO O QUE SIGNIFICA… SEM ISSO... Identificar estações e usuários e criar associações entre eles Crítico para associar as estações e os usuários às suas respectivas políticas. Previne device spoofing. GERÊNCIAECONFIGURAÇÃO Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto. Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas QUARENTENAEREMEDIAÇÃO Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação. Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada. GARANTIR UMA POLÍTICACONSISTENTE Um mecanismo de política descentralizada (ex: baseado na estação) pode levar a problemas de Segurança. Verifica e reforça uma única política consistente em toda a rede Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro características limita significativamente a solução.

54 54 Cuidado com os agentes inteligentes... Algumas implementações prometem agentes inteligentes O suposto Agente Inteligente se traduz em : Ponto Único de falha Propagação automática de worms: com um agente inteligente, um worm só precisa fazer uma coisa certa: SHUT DOWN AGENT = NO MORE NAC Numa implementação NAC o agente deve ser intencionalmenteburro – verificar o que foi perguntado pelo ponto de acesso à Rede e gerar uma resposta pertinente. Quando o Agente Inteligente é Neutralizado, o NAC falha

55 55 Avaliando supostas implementações de NAC Atende as características da definição de NAC? Suporte a Políticas? Agente Inteligente ou Burro? Aplicações (LAN,WAN, VPN,WLAN)? Perímetro ou Gateway?

56 56 Padronização do NAC A Cisco está participando do processo de padronização do NAC Os drafts EAP-FAST (NAC-L2) e EAPoUDP (NAC-L3) estão publicados no IETF Cisco participou na reunião Network Endpoint Assessment (NEA) realizado no IETF em 2006 Lista de discussão Mais informações :

57 57 Conclusão

58 58 *2005 FBI/CSI Report Necessidade de Network Admission Control Vírus, worms, spyware, etc., continuam a ser um grande desafio no dia-a-dia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança. Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes. Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectá-los e contê-los. Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede Localizar, isolar e fazer patching de sistemas inefctados consome tempo e recursos. Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage. Burton Group

59 59 Em que abordagem você confia ? Segurança como uma opção Segurança como um aditivo Integração extremamente complicada Não é economicamente viável Não pode focar na principal prioridade Segurança como parte do sistema Segurança Embutida na Rede Colaboração inteligente entre os elementos Visão de sistemas Foco direto na principal prioridade

60 60 Obrigado !!!

61 61 Q and A

62 62 Demos NAC DEMO

63 63 Backup Slides

64 64 The Lingering Effect of Non-Compliant Endpoints Example: Blaster Fast spreading 128,000 systems infected in first three hours Worms linger on need to put out brush fires CERT data on Blastertwo plus weeks of damage Unique IP Addresses Number of Systems Infected by Blaster August , , ,000 80,000 60,000 40,000 20, Aug. 11 th 127,965

65 65 NAC Benefits Dramatically Improves Security Ensures endpoints (laptops, PCs, PDAs, servers, etc.) conform to security policy Proactively protects against worms, viruses, spyware, and malware Focuses operations on prevention, not reaction Extends Existing Investments Broad integration with multi-vendor antivirus, security, and management software Enhances investment in network infrastructure and vendor software Increases Enterprise Resilience Comprehensive admission control across all access methods (LAN, WAN, wireless, VPN, etc.) Prevents noncompliant and rogue endpoints from impacting network availability Reduces OpEx related to identifying and repairing non-compliant, rogue, and infected systems


Carregar ppt "1 Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC) Italo Brito Systems Engineer CCIE #16321 Routing/Switching."

Apresentações semelhantes


Anúncios Google