Network Admission Control

Størrelse: px

Begynne med side:

Download "Network Admission Control"

Grete Nilsen
8 år siden
Visninger:

1 Network Admission Control NAC Atea AS

2 Agenda Trusselbilde Endpoint protection Hvordan fungerer NAC Sonemodell Design Komponenter

3 Trusselbilde Publisert: Adressa May 9, 2008 April 28, , 2009 May 13, 2008 Nov 8, 2008

4 Rising Malware Builds the Botnet, Steals Data Unique Samples of Malicious Programs # of Unique Malware Samples in 2006: 972K # of Unique Malware Samples in 2007: 5.5M 500% Increase in 12 Months

5 Endpoint protection NAC krever at du fortsatt har en antivirus klient på arbstasjonen. Men den sjekker om den er aktivert og oppdatert. Likedann at OS er oppdatert til et definert nivå. Chekpoint Endpoint Protection Kryptering av disker, Usb minnepinner etc. Cisco Security Agent Beskyttelse mot angrep Code, Bonets, Rootkits, Day-Zero attacks Policy Enforcement Firma policy Data Loss Prevention Sjekker om du overfører kontonr. Eller andre sensitive data Nettwork Collaboration NAC, IPS, Wireless

6 Hvordan fungerer NAC

7 Pålogging med NAC

Tilgang til soner Ved oppstart/pålogging av pc vil nettverket autentisere vedkommende inn i nettverket. Forskjellige mekanismer i bakgrunnen vil plassere vedkommende i riktig sone.

8 Tilgang til soner Ved oppstart/pålogging av pc vil nettverket autentisere vedkommende inn i nettverket. Forskjellige mekanismer i bakgrunnen vil plassere vedkommende i riktig sone. Dette gjelder hvis brukeren kopler seg til sentralt via kablet nett eller trådløst nett. Eller vedkommende aksesserer nettverket eksternt med en kryptert forbindelse over Internett. Konsulent Gjest Ansatte Prosjekt Internett Ansatte Karantene

9 Bruker tilgang til nettverket Man kan systematisere brukere i 3 kategorier Kategorier Rettigheter Sone Ansatte High Ansatte Konsulenter Middels n for tilgang til nettverket kan skilles Defineres Gjester Lav Gjestesone som gir Internett I tillegg vil en Ansatte eller en Konsulent ofte ha en bærbar maskin. Ved reise vil denne kunne være en potensiell bærer av virus eller annen ondsinnet programvare. Det vil være behov for å isolere og sjekke slike maskiner for slik ondsinnet programmvare i et karantene nett. Denne sonen vil være temporær inntil maskinen er sjekket og den kan komme over i sin tillhørende sone.

10 Hvordan sjekke hvilken rolle de har. Det vil være behov for å kunne verifisere disse rollene når maskinene koples til nettverket. Kategorier Katalogstruktur Sikkerhet Ansatte Konsulenter Bedriftens katalogstruktur Bedriftens katalog struktur eller egen database Defineres i AD Defineres i egen database Radius Gjester Gjesteserver Legges inn ved registrering Sertifikat En gangs passord Brukernavn og passord. En gangs passord Brukernavn og passord eventuellt kode

11 Komponenter

12 Cisco NAC Key Ingredients NAC Manager and Server (Required) NAC Manager Centralized management, configuration, reporting, and policy store NAC Server Posture, services and enforcement NAC Profiler, Guest Server and ACS (Optional) NAC Profiler Profiles unmanaged devices NAC Guest Server Full-featured guest provisioning server ACS Server Access policy system for 802.1x termination Endpoint Components (Optional) NAC Agent No-cost client: Persistent, dissolvable, or web SSC 802.1x Supplicant CSSC or Vista embedded supplicant

13 Cisco NAC Flexible Deployment Layer 2, Layer 3 In-band, Out-of-band Centralized, Distributed SNMP, RADIUS Innovative NAC Services Posture Assessment Remediation Profiling Guest Features Role-based network access control and security policy compliance enforcement Full lifecycle: discovery, assessment, enforcement, and remediation Benefits Securing both managed and unmanaged assets Providing guest access and preventing unauthorized access Reducing vulnerabilitybased exploits

14 NAC Profiler Hvordan takle enheter i nettveket som ikke kan kjøre NAC? Printere Telefoner Spesial enheter som ikke har en klient som kan logge på nettverket. Simplify the deployment of Cisco NAC by automating device identification and authentication. Cisco NAC Profiler eases administrative tasks including new devices, device moves, and replacements in a Cisco NAC-enabled network Gather endpoint device profiling information and maintain a real-time, contextual inventory of networked devices Monitor and manage device behavior anomalies such as port swapping, MAC address spoofing, and profile changes Secure all company-owned endpoints, even those devices unaffiliated with a user, such as printers and IP phones

15 End point profiling components NAC Profiler Server sold as a separate 3350 appliance NAC Manager Centralized management, configuration, reporting, and policy store Collector NAC Server Posture, services and enforcement OEM Agreement with Great Bay Software NAC Profiler Profiles unmanaged devices NAC Guest Server Full-featured guest provisioning server ACS Server Access policy system for 802.1x termination Collector is a licensed module coresident with NAC Server (CAS) running and above NAC Agent No-cost client: persistent, dissolvable or web SSC 802.1x Supplicant CSSC or Vista embedded supplicant

16 NAC Guest server Definere Guest som blir aktive når de logger inn Active Directory Single Sign On Guest Self Service Application Programming Interface Mail SMS support NAC Guest Server Flash Demo

17 Design

18 Choosing a Server Deployment mode The NAC server is deployed in a combination of the following 3 modes. In-Band (IB) or Out-of-Band (OOB) The NAC server (CAS) is in the data path all the time or only during the NAC process A given NAC server (CAS) can only be IB or OOB, not both Layer 2 (L2) or Layer 3 (L3) Users are L2 adjacent to the NAC server or they are multiple hops away (L3) from the NAC server (CAS) A given NAC server can support both L2 and L3 adjacent users Virtual Gateway (VG) or Real-IP Gateway (RIP-GW) The NAC server (CAS) acts as bridge (VG) or router (RIP-GW) between its two interfaces A given NAC server (CAS) can only be VG or RIP-GW,not both

19 Faser Plan Design Implement

1Q Governance Compliance Ensure user compliance to governance and risk user acceptable policies Guest Compliance

20 Cover All Use Cases Wireless Compliance Secured network access only for compliant wireless devices Endpoint Compliance Network access only for compliant devices Campus Building 1 Wireless Building Q Governance Compliance Ensure user compliance to governance and risk user acceptable policies Guest Compliance Restricted internet access only for guest users Conference Room in Building 3 Internet IPSec VPN User Compliance Intranet access only for compliant remote access users

21 Cisco NAC Appliance Sizing Super Manager Users = online, concurrent manages up to 40 Standard Manager manages up to 20 Enterprise and Branch Servers Manager Lite manages up to 3 Enterprise and Branch Servers 2500 users each 3500 users each Branch Office or SMB Servers 1500 users each 50/100 Users (ISR NM) 100 users 250 users 500 users

22 NAC for eksterne

23 Trådløse og NAC NAC i trådløse nettverk kan være In-Band (IB) eller Out-of-Band (OOB). Trådlsø Out-of-Band (OOB) er ikke supportert i autonomous AP miljøer Single Sign On er ikke supportert i Autonomous AP miljøer

24 NAC for trådløse nett Out of Band Inband

25 Nac for større campus

26 Teknisk skisse NAC

27 Spørsmål?

28 Ekstra slides

29 NAC og NAP ACS NPS 802.1x Radius HCAP ID AD

Like dokumenter

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Utrulling, testing og piloter vil ha verdi i lang tid fremover Full kompatibilitet Det meste som går på Windows Vista, fungerer på Windows 7.