There is nothing more important than our customers Технология Secure Networks распределенная инфраструктурная система регулирования доступа пользователей. - презентация

1 There is nothing more important than our customers Технология Secure Networks распределенная инфраструктурная система регулирования доступа пользователей к сетевым ресурсам

2 © 2007 Enterasys Networks, Inc. All rights reserved. 2 Кто мы такие?

3 © 2007 Enterasys Networks, Inc. All rights reserved. 3 Чем мы занимаемся?

4 © 2007 Enterasys Networks, Inc. All rights reserved. 4 Тема неохватно велика

5 © 2007 Enterasys Networks, Inc. All rights reserved. 5 Типичный дизайн

6 © 2007 Enterasys Networks, Inc. All rights reserved. 6 Типичный дизайн VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 Маршрутизатор Access Control Lists

7 © 2007 Enterasys Networks, Inc. All rights reserved. 7 Детектирование/Предотвращение атак и вторжений (типичный дизайн) IDS/IPS

8 © 2007 Enterasys Networks, Inc. All rights reserved. 8 Детектирование/Предотвращение атак и вторжений (типичный дизайн)

9 © 2007 Enterasys Networks, Inc. All rights reserved. 9 Гладко было на бумаге, да забыли про овраги Access Control List (ACL)

10 © 2007 Enterasys Networks, Inc. All rights reserved. 10 «Как я выжил будем знать только мы с тобой...» Access Control Lists Очень трудоемко Неизбежны ошибки Трудно вносить изменения VLAN – broadcast container Превышение критического уровня Spanning Tree protocol

11 © 2007 Enterasys Networks, Inc. All rights reserved. 11 Лес рубят, щепки летят устройство и номер порта на нем ???

12 © 2007 Enterasys Networks, Inc. All rights reserved. 12 Близок локоть, да не укусишь L 3-7 OSI L 2 OSI MAC Addresses Ethertype DSAP/SSAP TCI IDS/IPS

13 © 2007 Enterasys Networks, Inc. All rights reserved. 13 «Овес нынче дорог» При небольшой сети ~ пользователей; При современной тенденции к использованию 1000Base-T на рабочее место; Даже с учетом того, что сетевая карта пользователя будет работать в половину номинальной производительности; Network Sensors

14 © 2007 Enterasys Networks, Inc. All rights reserved. 14 «Овес нынче дорог» Средства обработки и анализа; Средства конфигурации; Высококвалифицированные специалисты;

15 © 2007 Enterasys Networks, Inc. All rights reserved. 15 И что же мы с этого будем иметь? VLAN 50 VLAN 60 VLAN 20 VLAN 30

16 © 2007 Enterasys Networks, Inc. All rights reserved. 16 Где же выход? ? Фильтрация пакетов на уровне физического входного порта, а не логического VLAN интерфейса Производительность характерная для сегодняшних LAN Способность работать с атрибутикой уровня 2 модели OSI Способность идентифицировать порт по IP адресу Возможность построения политик безопасности и применение их непосредственно к пользователю а не к группе Независимость от физического и логического дизайна сети (проблемы STP)

17 © 2007 Enterasys Networks, Inc. All rights reserved. 17 Редкостный дар Аутентификация – это само собой.. Динамическая авторизация с использованием атрибутики уровней с 4 по 2 включительно (регулирование происходящего внутри VLAN)

18 © 2007 Enterasys Networks, Inc. All rights reserved. 18 Внешне картинка меняется несильно

19 © 2007 Enterasys Networks, Inc. All rights reserved. 19 Однако логически она совершенно другая... VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 Маршрутизатор Access Control Lists

20 © 2007 Enterasys Networks, Inc. All rights reserved. 20 Каждый получает свое RADIUS Server ? OK Policy= Бывший Князь Login: Гигиенишвили Password:************* Policy Не следует играть в игры с соседом. Работать, работать, работать...

21 © 2007 Enterasys Networks, Inc. All rights reserved. 21 Интеллект сети распространяется на ее периферию Каждый коммутатор знает что такое Политики И может динамически их применить к любому своему порту

22 © 2007 Enterasys Networks, Inc. All rights reserved. 22 Опять очень похожая картинка

23 © 2007 Enterasys Networks, Inc. All rights reserved. 23 И опять совершенно иная логика Нелегальный DHCP сервер Он творит безобразия Изменить политику для этого порта Настучать кому следует

24 © 2007 Enterasys Networks, Inc. All rights reserved. 24 Большой круг Применение политики Анализ траффика Принятие решения

25 © 2007 Enterasys Networks, Inc. All rights reserved. 25 Малый круг Классификация пакетов в соответствии с атрибутикой L2- L4 Анализ траффика Управление портами Применение политик в большом круге и блокада портов по результатам анализа в малом Мгновенное самостоятельное принятие решения Выключение порта при наличии на нем определенных видов траффиков

26 © 2007 Enterasys Networks, Inc. All rights reserved. 26 Воистину инфраструктурная Нелегальный DHCP сервер Он творит безобразия Изменить политику для этого порта Настучать кому следует Нелегальный DHCP сервер Он творит безобразия Незамедлительно блокировать порт Настучать кому следует Ни одного внешнего устройства, все построено на микрокоде коммутаторов

27 © 2007 Enterasys Networks, Inc. All rights reserved. 27 Идеальный вариант Нелегальный DHCP сервер Он творит безобразия Незамедлительно блокировать порт Настучать кому следует Ни одного внешнего устройства, все построено на микрокоде коммутаторов L2-L4 Малый круг Он творит безобразия Изменить политику для этого порта Настучать кому следует L3-L7 Большой Круг L2-L7

28 © 2007 Enterasys Networks, Inc. All rights reserved. 28 Антисептика – система мер, направленных на уничтожение микроорганизмов в ране, патологическом очаге, в органах и тканях, а также в организме в целом УЖЕ ПОПАВШИХ В ВАШУ КОРПОРАТИВНУЮ СЕТЬ Медицинские аналогии

29 © 2007 Enterasys Networks, Inc. All rights reserved. 29 Медицинские аналогии Асептика - Система мероприятий, направленных на предупреждение внедрения возбудителей инфекции в рану, ткани, органы, полости тела больного В ВАШУ КОРПОРАТИВНУЮ СЕТЬ на предупреждение

30 © 2007 Enterasys Networks, Inc. All rights reserved. 30 Медицинские аналогии Только неразрывное сочетание асептики и антисептики образует неразрывную систему, обеспечивающую предупреждение развития внутрибольничной инфекции ВНУСТРИСЕТЕВОЙ ИНФЕКЦИИ

31 © 2007 Enterasys Networks, Inc. All rights reserved. 31 В заключение Поддерживается всеми коммутаторами серии Matrix Все функции реализованы в коммутаторах на аппаратном уровне

32 © 2007 Enterasys Networks, Inc. All rights reserved. 32 Работайте с нами и ваш LAN сможет еще и не такое.. RADIUS Server Login: Гигиенишвили Passw: Бывший Князь Login: Васисуалий Лоханкин Passw: Интеллигент

33 © 2007 Enterasys Networks, Inc. All rights reserved. 33 Спасибо

34 © 2007 Enterasys Networks, Inc. All rights reserved. 34 Можно ли перехватить траффик в коммутируемой сети? File Server IP IP Switch (VLAN)

35 © 2007 Enterasys Networks, Inc. All rights reserved. 35 Можно ли перехватить траффик в коммутируемой сети? File Server IP IP Switch (VLAN) Да. Port Mirroring Но требует доступа к средствам управления коммутатора

36 © 2007 Enterasys Networks, Inc. All rights reserved. 36 Можно ли перехватить траффик в коммутируемой сети? File Server IP IP VLAN Да. Переполнить Source Address Table коммутатора Работа сети резко замедляется, это очень хорошо идентифицируется простейшими средствами

37 © 2007 Enterasys Networks, Inc. All rights reserved. 37 Ловкость рук и никакого мошенничества File Server IP IP VLAN Использует специфику стандартов ARP и Ethernet Необходимые утилиты есть в свободном доступе в Internet ARP Spoofing

38 © 2007 Enterasys Networks, Inc. All rights reserved. 38 Вывод Информация при передаче ее по сети предельно уязвима и доступна любому человеку со стороны если Вы ничего не предприняли для ее защиты!