Hegyi Béla
Hálózati hozzáférés szabályozás
…avagy mutasd a mobilod, megmondom, ki vagy!
Miről lesz ma szó
2
Miért kell a hálózati hozzáférés
szabályozással foglalkoznunk?
Hálózatra csatlakozó eszközök
használatának trendjei
Architektúra, építőelemek
Hálózati hozzáférés szabályozás
bevezetése
AAA funkciók és ami mögöttük
van
Mobile Device Management
Mi is az a BYOD?
3
Bring Your Own Device
Bring Your Own Disaster
Block Your Own Device
Hálózatra csatlakozó eszközök - számokban
4
A vállalatok több, mint felénél (53%)
engedélyezik a hálózathoz való hozzáférést a
munkavállaló saját tulajdonú készülékével.
56 %-nál van szabályozás a mobil eszközök
céges hálózathoz való hozzáféréséhez.
A leggyakoribb alkalmazás az e-mail (65%),
ezt az irodai alkalmazások és naptár
használata követi.
A válaszadók 43%-a válaszolta, hogy a céges
hálózatba csak biztonságos kapcsolaton
keresztül tud belépni.
3,3 hálózatra csatlakozó eszköz
felhasználónként
forrás: BYOD and virtualization insights from the
Cisco IBSG horizons study
Hálózati hozzáférési rendszer
komponensei
5
• Authentication
• Authorization
• Profiling
• Posture
• Policy
Authentication
6
Authorization
7
Authorization result Policy
Employee VLAN / dACL / SGA
Contractor VLAN / dACL / SGA
Profilozás
8
Profilozás
9
Permission Description Policy
V601 Employee – Smart Phone dACL = 601 (VLAN, SGA)
V603 Employee – CorpPC dACL = 603 (VLAN, SGA)
Posture
10
Antivirus
Antispyware
Regisztrációs adatbázis bejegyzések
Fájlok, folyamatok megléte/állapota
Windows Update
Posture = a csatlakozni kívánó hoszt megfelel a megkövetelt biztonsági
szabályoknak?
Projekttagok
11
Mobile Device Management
12
MDM
- Adatok távoli törlése
- Mentés
- Jailbreak
- PIN-lock
- Audit funkciók
- Alkalmazás korlátozás
Integrált megoldás
Biztonságos
hozzáférés
&
eszközök
AAA
- Authentication
- Authorization
- Profiling
- Posture
- Policy
• Biztonságos hozzáférés*
*de nem biztonságos eszköz
• Biztonságos eszköz*
*de nem biztonságos hozzáférés
Építőelemek
13
Policy
Enforcement Cisco 2900/3560/3700/4500/6500, Nexus 7000
switches, Wireless and Routing InfrastructureCisco ASA, ISR, ASR 1000
Policy
Information No-Cost Persistent and Temporal Clients
for Posture, and Remediation
NAC Agent Web AgentAnyConnect or
OS-Embedded
Supplicant
802.1X Supplicant
Policy
Administration
Policy Decision Identity Services Engine (ISE) Identity Access Policy System
Összegzés
14
A hálózati hozzáférés vezérlés nem
„dobozos” termék
Mérjünk fel, teszteljünk
A rendszer bevezetése nem csak
biztonsági kérdés
BYOD bekövetkezik – az IT támogatásával
vagy nélküle