1 / 21

Ateadagen 2006 Välkommen!

Ateadagen 2006 Välkommen!. Nya skyddsmekanismer för intern säkerhet Stephan Lagerholm, BM Säkerhet. Det platta nätet. På medeltiden trodde man att jorden var platt . Columbus bevisade för en häpen omvärld att jorden var rund

baylee
Download Presentation

Ateadagen 2006 Välkommen!

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ateadagen 2006Välkommen! Nya skyddsmekanismer för intern säkerhetStephan Lagerholm, BM Säkerhet

  2. Det platta nätet På medeltiden trodde man att jorden var platt . Columbus bevisade för en häpen omvärld att jorden var rund Från början trodde man också att Internet var platt. Inga brandväggar eller filtreringar behövdes mellan olika organisationer

  3. Brandväggsinterfacens tid 1. Olika säkerhetszoner för olika nätverk • Insida, utsida, DMZ 2. Fler och fler ben, mer och mer prestanda • Insida, utsida, DMZ1, DMZ2, Partnernet, Extranet, Kundnet • VLAN teknologi för att slippa ha så många interface 3. Intern säkerhet, IPS

  4. Maskarna föds

  5. Varje port i korskopplingsskåpetbehöver skyddas! • Insidan och utsidan utsuddade. På grund av laptops. • Skulle behöva en brandvägg/IPS med ett interface per klient! • Kan vi använda switchen? Vad är utmaningen? • Switch ofta L2 • CPU kraften • Administrativa problem, vem ansluter, hur skall vi filtrera? • Leverantör, ofta är Switchtillverkarna inte speciellt bra på säkerhet/virus?

  6. Varje port i korskopplingsskåpetbehöver skyddas! • Switch L2 • Går det att använda någonting annat än switchen för filterering? • CPU • Går det att låna lite av klienternas datakraft? • Måste vi scanna all trafik som passerar? • Räcker det med att scanna när datorn kopplar in sig? • Administration • Kan vi fixa en central policy där ingen konfiguration läggs i switchen? • Leverantörsproblemet • Samarbete över ”gränserna” krävs. Svar på frågorna?

  7. Please enter username: What Is Network Admission Control? Network Admission Control (NAC) är en lösning som använder befintlig infrastruktur för att säkerställa policygraranti på alla enheter som söker access till nätverket. identity device security network security NAC

  8. Lösningen • Network Admission Control = NAC • Samlingsnamn för ett flertal olika tekniker från olika tillverkare för koncept med policygaranti. • Vilken lösning skall man välja: • Switchtillverkarens? kräver ofta homogent nätverk. • Antivirustillverkarens? Svårare att låsa ute externa klienter. • Köpa burk och ställa brevid? Kan bli dyrt med många burkar. • Andra lösningar – DHCP?

  9. Networks Systems Samarbete • Denna typ av lösningar kräver samarbete mellan nätgruppen och säkerhets/antivirusgruppen.

  10. Cisco NAC i praktiken Network Access Devices (NAD) Policy Server Decision Points Hosts Attempting Network Access AAA Server Vendor Servers 1 2 2a Credentials Credentials Credentials EAP/UDP, EAP/802.1x HTTPS RADIUS Comply? Access Rights 3 Notification 4 Cisco Trust Agent 6 Enforcement 5

  11. Supported on Windows 2000, XP, 2003 and Red Hat Linux Supports 2 transport layers EAPoUDP - layer 3 EAPo802.1x - layer 2 (Windows only) Includes OEM 802.1x supplicant from Meetinghouse Communications Wired functionality only Can be replaced by a retail version from either Funk or MDC for full feature support Gathers OS information including patch and hotfixes Support browser auto-launch Includes Customer Scripting Interface Backward compatible with CTA 1.0 posture plugins from NAC Program Participants Cisco Trust Agent 2.0 Over 50 Program Participants Vendor Client Apps Cisco Security Agent Customer Apps Posture Plugin API Scripting Interface Broker & Security Communication services: Layer 3:EAP/UDP Layer 2:EAP/802.1X Cisco Trust Agent

  12. Strategi • Planera tidigt! • Klient eller klientlös? • Stopp direkt vid klient eller längre in i nätverket? • Proof Of Concept • Implementera • ”Logg only” att böra med • HCAP -> Tillverkares Policyserver • GAME -> Avsökning av klientlösa datorer.

  13. NAC Implementation Service Across Security Life Cycle Assess network operations and infrastructure to determine NAC readiness Plan for a sound NAC architecture and design Build scalable, adaptable, easy-to-upgrade NAC solution • Develop a NAC design detailing topology, device configurations, HW/SW upgrades, and management • Provide onsite installation of a corporate-wide deployment Integrate NAC into the network infrastructure • Provide ongoing consultation to optimize NAC for reliability, efficiency and scalability Continually improve network admission control solution

  14. Anslutningsmatrisen

  15. Alt 1, Switchen Alt 2, Bakomliggande utrustning Alt 3, DHCP Scenario, Workgroup

  16. Scenario, Utgående Internet Internet

  17. Alt 1, Accesspunkten Alt 2, Bakomliggande utrustning Scenario, Wireless

  18. Scenario, Remote Access

  19. Scenario, Datacenter Datacenter

  20. NAC Program Participants http://www.cisco.com/go/nac/program SHIPPING DEVELOPING

  21. Tack! Vill du veta mer? E-post: stephan.lagerholm@ementor.se Telefonnummer: 0733 67 19 19

More Related