Технология Secure Networks™ распределенная инфраструктурная система регулирования доступа пользователей к сетевым ресурсам

реклама
“There is nothing more important
than our customers”
Технология Secure Networks™
распределенная инфраструктурная система
регулирования доступа пользователей к сетевым
ресурсам
Кто мы такие?
2
Чем мы занимаемся?
3
Тема неохватно велика
4
Типичный дизайн
5
Типичный дизайн
Access Control Lists
VLAN 40
VLAN 10
VLAN 20
VLAN 50
Маршрутизатор
VLAN 30
VLAN 60
6
Детектирование/Предотвращение атак и
вторжений (типичный дизайн)
IDS/IPS
7
Детектирование/Предотвращение атак и
вторжений (типичный дизайн)
8
Гладко было на бумаге, да забыли про
овраги
Access Control List (ACL)
9
«Как я выжил будем знать только мы с
тобой...»
Неизбежны ошибки
Очень трудоемко
Трудно вносить
изменения
Access Control Lists
Превышение
критического уровня
Spanning Tree
protocol
VLAN – broadcast
container
10
Лес рубят, щепки летят
устройство
и
номер порта на нем ???
11
Близок локоть, да не укусишь
IDS/IPS
L 3-7
OSI
12
«Овес нынче дорог»
При небольшой сети ~ 200-300 пользователей;
При современной тенденции к использованию 1000Base-T на
рабочее место;
Даже с учетом того, что сетевая карта пользователя будет
работать в половину номинальной производительности;
100-150
Network Sensors
13
«Овес нынче дорог»
• Средства обработки и анализа;
• Средства конфигурации;
• Высококвалифицированные специалисты;
14
И что же мы с этого будем иметь?
VLAN 30
VLAN 50
VLAN 20
VLAN 60
15
Где же выход?
Фильтрация пакетов на уровне физического
входного порта, а не логического VLAN
интерфейса
?
Возможность построения политик
безопасности и применение их
непосредственно к пользователю а не к
группе
Способность работать с атрибутикой уровня 2
модели OSI
Способность идентифицировать порт по IP
адресу
Независимость от физического и логического
дизайна сети (проблемы STP)
Производительность характерная для
сегодняшних LAN
16
Редкостный дар
Аутентификация – это само собой..
Динамическая авторизация с
использованием атрибутики уровней
с 4 по 2 включительно
(регулирование происходящего
внутри VLAN)
17
Внешне картинка меняется несильно
18
Однако логически она совершенно
другая...
Access Control Lists
VLAN 40
VLAN 10
VLAN 20
VLAN 50
Маршрутизатор
VLAN 30
VLAN 60
19
Каждый получает свое
OK
?
RADIUS
Server
Policy=
Бывший Князь
Policy
Login: Гигиенишвили
Password:*************
Не следует играть в
игры с соседом.
Работать, работать,
работать...
20
Интеллект сети распространяется на ее
периферию
Каждый коммутатор знает что такое Политики
И может динамически их применить к любому своему порту
21
Опять очень похожая картинка
22
И опять совершенно иная логика
Он творит безобразия
Изменить политику для
этого порта
Настучать кому следует
Нелегальный DHCP сервер
23
Большой круг
Анализ
траффика
Применение
политики
Принятие
решения
24
Малый круг
Классификация пакетов в
соответствии с атрибутикой L2L4
Анализ траффика
Управление портами
Применение политик в
большом круге и блокада
портов по результатам анализа
в малом
Мгновенное самостоятельное
принятие решения
Выключение порта при
наличии на нем определенных
видов траффиков
25
Воистину инфраструктурная
Он творит безобразия
Он творит безобразия
Незамедлительно
блокировать порт
Изменить политику для
этого порта
Настучать кому следует
Нелегальный DHCP сервер
Настучать кому следует
Нелегальный
DHCP сервер
Ни одного
внешнего
устройства,
все построено на микрокоде коммутаторов
26
Идеальный вариант
Он творит безобразия
L3-L7
Большой Круг
L2-L7
Он творит безобразия
Незамедлительно
блокировать порт
L2-L4
Малый круг
Настучать кому
следует
Нелегальный DHCP сервер
Изменить политику для
этого порта
Ни одного внешнего устройства,
все построено на микрокоде коммутаторов
Настучать кому следует
27
Медицинские аналогии
Антисептика –
система мер, направленных на уничтожение микроорганизмов
в ране, патологическом очаге,
вУЖЕ
органах
и тканях,
а также
в организме в целом
ПОПАВШИХ
В ВАШУ
КОРПОРАТИВНУЮ
СЕТЬ
28
Медицинские аналогии
Асептика Система мероприятий, направленных на предупреждение
внедрения возбудителей инфекции
в рану, ткани, органы, полости тела больного
В ВАШУ КОРПОРАТИВНУЮ СЕТЬ
29
Медицинские аналогии
Только неразрывное сочетание асептики и антисептики
образует неразрывную систему,
обеспечивающую предупреждение развития
внутрибольничной инфекции
ВНУСТРИСЕТЕВОЙ ИНФЕКЦИИ
30
В заключение
Поддерживается всеми
коммутаторами серии Matrix
Все функции реализованы в
коммутаторах на аппаратном уровне
31
Работайте с нами и ваш LAN сможет еще
и не такое..
Login: Васисуалий
Лоханкин
Passw: Интеллигент
RADIUS
Server
Login: Гигиенишвили
Passw: Бывший Князь
32
Спасибо
33
Можно ли перехватить траффик в
коммутируемой сети?
File
Server
IP 10.7.70.33
Switch (VLAN)
IP 10.7.70.32
34
Можно ли перехватить траффик в
коммутируемой сети?
File
Server
IP 10.7.70.33
Да.
Port Mirroring
Switch (VLAN)
IP 10.7.70.32
Но требует
доступа к
средствам
управления
коммутатора
35
Можно ли перехватить траффик в
коммутируемой сети?
File
Server
IP 10.7.70.33
Да.
Переполнить
Source Address
Table
коммутатора
VLAN
IP 10.7.70.32
Работа сети резко
замедляется, это
очень хорошо
идентифицируется
простейшими
средствами
36
Ловкость рук и никакого мошенничества
ARP Spoofing
File
Server
IP 10.7.70.33
Использует
специфику
стандартов ARP и
Ethernet
VLAN
IP 10.7.70.32
Необходимые
утилиты есть в
свободном доступе
в Internet
37
Вывод
Информация при передаче ее по
сети предельно уязвима и
доступна любому человеку со
стороны если Вы ничего не
предприняли для ее защиты!
38
Скачать