“There is nothing more important than our customers” Технология Secure Networks™ распределенная инфраструктурная система регулирования доступа пользователей к сетевым ресурсам Кто мы такие? 2 Чем мы занимаемся? 3 Тема неохватно велика 4 Типичный дизайн 5 Типичный дизайн Access Control Lists VLAN 40 VLAN 10 VLAN 20 VLAN 50 Маршрутизатор VLAN 30 VLAN 60 6 Детектирование/Предотвращение атак и вторжений (типичный дизайн) IDS/IPS 7 Детектирование/Предотвращение атак и вторжений (типичный дизайн) 8 Гладко было на бумаге, да забыли про овраги Access Control List (ACL) 9 «Как я выжил будем знать только мы с тобой...» Неизбежны ошибки Очень трудоемко Трудно вносить изменения Access Control Lists Превышение критического уровня Spanning Tree protocol VLAN – broadcast container 10 Лес рубят, щепки летят устройство и номер порта на нем ??? 11 Близок локоть, да не укусишь IDS/IPS L 3-7 OSI 12 «Овес нынче дорог» При небольшой сети ~ 200-300 пользователей; При современной тенденции к использованию 1000Base-T на рабочее место; Даже с учетом того, что сетевая карта пользователя будет работать в половину номинальной производительности; 100-150 Network Sensors 13 «Овес нынче дорог» • Средства обработки и анализа; • Средства конфигурации; • Высококвалифицированные специалисты; 14 И что же мы с этого будем иметь? VLAN 30 VLAN 50 VLAN 20 VLAN 60 15 Где же выход? Фильтрация пакетов на уровне физического входного порта, а не логического VLAN интерфейса ? Возможность построения политик безопасности и применение их непосредственно к пользователю а не к группе Способность работать с атрибутикой уровня 2 модели OSI Способность идентифицировать порт по IP адресу Независимость от физического и логического дизайна сети (проблемы STP) Производительность характерная для сегодняшних LAN 16 Редкостный дар Аутентификация – это само собой.. Динамическая авторизация с использованием атрибутики уровней с 4 по 2 включительно (регулирование происходящего внутри VLAN) 17 Внешне картинка меняется несильно 18 Однако логически она совершенно другая... Access Control Lists VLAN 40 VLAN 10 VLAN 20 VLAN 50 Маршрутизатор VLAN 30 VLAN 60 19 Каждый получает свое OK ? RADIUS Server Policy= Бывший Князь Policy Login: Гигиенишвили Password:************* Не следует играть в игры с соседом. Работать, работать, работать... 20 Интеллект сети распространяется на ее периферию Каждый коммутатор знает что такое Политики И может динамически их применить к любому своему порту 21 Опять очень похожая картинка 22 И опять совершенно иная логика Он творит безобразия Изменить политику для этого порта Настучать кому следует Нелегальный DHCP сервер 23 Большой круг Анализ траффика Применение политики Принятие решения 24 Малый круг Классификация пакетов в соответствии с атрибутикой L2L4 Анализ траффика Управление портами Применение политик в большом круге и блокада портов по результатам анализа в малом Мгновенное самостоятельное принятие решения Выключение порта при наличии на нем определенных видов траффиков 25 Воистину инфраструктурная Он творит безобразия Он творит безобразия Незамедлительно блокировать порт Изменить политику для этого порта Настучать кому следует Нелегальный DHCP сервер Настучать кому следует Нелегальный DHCP сервер Ни одного внешнего устройства, все построено на микрокоде коммутаторов 26 Идеальный вариант Он творит безобразия L3-L7 Большой Круг L2-L7 Он творит безобразия Незамедлительно блокировать порт L2-L4 Малый круг Настучать кому следует Нелегальный DHCP сервер Изменить политику для этого порта Ни одного внешнего устройства, все построено на микрокоде коммутаторов Настучать кому следует 27 Медицинские аналогии Антисептика – система мер, направленных на уничтожение микроорганизмов в ране, патологическом очаге, вУЖЕ органах и тканях, а также в организме в целом ПОПАВШИХ В ВАШУ КОРПОРАТИВНУЮ СЕТЬ 28 Медицинские аналогии Асептика Система мероприятий, направленных на предупреждение внедрения возбудителей инфекции в рану, ткани, органы, полости тела больного В ВАШУ КОРПОРАТИВНУЮ СЕТЬ 29 Медицинские аналогии Только неразрывное сочетание асептики и антисептики образует неразрывную систему, обеспечивающую предупреждение развития внутрибольничной инфекции ВНУСТРИСЕТЕВОЙ ИНФЕКЦИИ 30 В заключение Поддерживается всеми коммутаторами серии Matrix Все функции реализованы в коммутаторах на аппаратном уровне 31 Работайте с нами и ваш LAN сможет еще и не такое.. Login: Васисуалий Лоханкин Passw: Интеллигент RADIUS Server Login: Гигиенишвили Passw: Бывший Князь 32 Спасибо 33 Можно ли перехватить траффик в коммутируемой сети? File Server IP 10.7.70.33 Switch (VLAN) IP 10.7.70.32 34 Можно ли перехватить траффик в коммутируемой сети? File Server IP 10.7.70.33 Да. Port Mirroring Switch (VLAN) IP 10.7.70.32 Но требует доступа к средствам управления коммутатора 35 Можно ли перехватить траффик в коммутируемой сети? File Server IP 10.7.70.33 Да. Переполнить Source Address Table коммутатора VLAN IP 10.7.70.32 Работа сети резко замедляется, это очень хорошо идентифицируется простейшими средствами 36 Ловкость рук и никакого мошенничества ARP Spoofing File Server IP 10.7.70.33 Использует специфику стандартов ARP и Ethernet VLAN IP 10.7.70.32 Необходимые утилиты есть в свободном доступе в Internet 37 Вывод Информация при передаче ее по сети предельно уязвима и доступна любому человеку со стороны если Вы ничего не предприняли для ее защиты! 38