Presentation laddar. Vänta.

Presentation laddar. Vänta.

Ateadagen 2006 Välkommen! Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet.

Liknande presentationer


En presentation över ämnet: "Ateadagen 2006 Välkommen! Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet."— Presentationens avskrift:

1 Ateadagen 2006 Välkommen! Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet

2 Det platta nätet På medeltiden trodde man att jorden var platt. Columbus bevisade för en häpen omvärld att jorden var rund Från början trodde man också att Internet var platt. Inga brandväggar eller filtreringar behövdes mellan olika organisationer

3 Brandväggsinterfacens tid 1. Olika säkerhetszoner för olika nätverk –Insida, utsida, DMZ 2. Fler och fler ben, mer och mer prestanda –Insida, utsida, DMZ1, DMZ2, Partnernet, Extranet, Kundnet –VLAN teknologi för att slippa ha så många interface 3. Intern säkerhet, IPS

4 Maskarna föds

5 Varje port i korskopplingsskåpet behöver skyddas! Insidan och utsidan utsuddade. På grund av laptops. Skulle behöva en brandvägg/IPS med ett interface per klient! Kan vi använda switchen? Vad är utmaningen? Switch ofta L2 CPU kraften Administrativa problem, vem ansluter, hur skall vi filtrera? Leverantör, ofta är Switchtillverkarna inte speciellt bra på säkerhet/virus?

6 Varje port i korskopplingsskåpet behöver skyddas! Switch L2 –Går det att använda någonting annat än switchen för filterering? CPU –Går det att låna lite av klienternas datakraft? –Måste vi scanna all trafik som passerar? –Räcker det med att scanna när datorn kopplar in sig? Administration –Kan vi fixa en central policy där ingen konfiguration läggs i switchen? Leverantörsproblemet –Samarbete över ”gränserna” krävs. Svar på frågorna?

7 What Is Network Admission Control? Please enter username : device security network security Network Admission Control (NAC) är en lösning som använder befintlig infrastruktur för att säkerställa policygraranti på alla enheter som söker access till nätverket. identity NAC

8 Lösningen Network Admission Control = NAC Samlingsnamn för ett flertal olika tekniker från olika tillverkare för koncept med policygaranti. Vilken lösning skall man välja: –Switchtillverkarens? kräver ofta homogent nätverk. –Antivirustillverkarens? Svårare att låsa ute externa klienter. –Köpa burk och ställa brevid? Kan bli dyrt med många burkar. –Andra lösningar – DHCP?

9 Samarbete Systems Networks Denna typ av lösningar kräver samarbete mellan nätgruppen och säkerhets/antivirusgruppen.

10 Cisco NAC i praktiken AAA Server Vendor Servers Hosts Attempting Network Access Network Access Devices (NAD) Policy Server Decision Points Credentials EAP/UDP, EAP/802.1x RADIUS Credentials HTTPS Access Rights Notification Cisco Trust Agent 1 Comply? Enforcement a 3 5

11 Cisco Trust Agent 2.0 Supported on Windows 2000, XP, 2003 and Red Hat Linux Supports 2 transport layers –EAPoUDP - layer 3 –EAPo802.1x - layer 2 (Windows only) Includes OEM 802.1x supplicant from Meetinghouse Communications –Wired functionality only –Can be replaced by a retail version from either Funk or MDC for full feature support Gathers OS information including patch and hotfixes Support browser auto-launch Includes Customer Scripting Interface Backward compatible with CTA 1.0 posture plugins from NAC Program Participants Broker & Security Vendor Client Apps Cisco Security Agent Customer Apps Communication services: Layer 3: EAP/UDP Layer 2: EAP/802.1X Scripting Interface Posture Plugin API Cisco Trust Agent Over 50 Program Participants

12 Strategi Planera tidigt! –Klient eller klientlös? –Stopp direkt vid klient eller längre in i nätverket? –Proof Of Concept Implementera –”Logg only” att böra med HCAP -> Tillverkares Policyserver GAME -> Avsökning av klientlösa datorer.

13 Continually improve network admission control solution NAC Implementation Service Across Security Life Cycle Plan for a sound NAC architecture and design Build scalable, adaptable, easy-to-upgrade NAC solution Integrate NAC into the network infrastructure Assess network operations and infrastructure to determine NAC readiness  Develop a NAC design detailing topology, device configurations, HW/SW upgrades, and management  Provide onsite installation of a corporate-wide deployment  Provide ongoing consultation to optimize NAC for reliability, efficiency and scalability

14 Anslutningsmatrisen

15 Scenario, Workgroup Alt 1, Switchen Alt 2, Bakomliggande utrustning Alt 3, DHCP

16 Scenario, Utgående Internet Internet

17 Scenario, Wireless Alt 1, Accesspunkten Alt 2, Bakomliggande utrustning

18 Scenario, Remote Access

19 Scenario, Datacenter Datacenter

20 NAC Program Participants SHIPPING DEVELOPING

21 Tack! Vill du veta mer? E-post: Telefonnummer:


Ladda ner ppt "Ateadagen 2006 Välkommen! Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet."

Liknande presentationer


Google-annonser