Soluciones NAC 2.0

NAC
Control de Acceso a Redes IP
Protection notice / Copyright notice
SIEMENS ENTERPRISE COMMUNICATIONS
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 2
Networking Solutions / SEN / Espaa
TENDENCIAS
PROPUESTAS NAC 1.0
Control acceso RED + Agentes S.O. extra
PROPUESTAS NAC 2.0
TNG ( Enterasys, Juniper,

IBM, HP, consentry, nexus, )
TNG + IF-MAP
Control acceso Logon Windows con Agentes embebidos
Agentes nativos en XP sp3, Vista y 7
MICROSOFT
CISCO
Control acceso RED en switch Cisco + Agentes S.O. extra

Pgina 3
CISCO FRAMEWORK
Agentes extra 802.1x + software de terceros

08 de mayo de 2012
Agenda
08 de mayo de 2012
Pgina 4
ESTADO DEL ARTE NAC 2.0 - COMPONENTES CLIENTES
SERVICIOS
Assesment Pre-Conexin
NAC
FlowControl Post-conexin Metadata (LDAP o AD) NAC Server
RED
Policy Decision Point

08 de mayo de 2012 Pgina 5 Networking Solutions / SEN / Espaa
Agenda
08 de mayo de 2012
Pgina 6
QU HE DE CONOCER PARA DESPLEGAR NAC
ANALIZAR USUARIOS Quien podr acceder a la red Cmo se permitir su conexin Qu permisos le sern concedidos Desde dnde se conectarn
ANALIZAR SERVICIOS Centralizados o distribuidos Desde dnde se conectarn los usuarios Requerimientos de Calidad, Disponibilidad, Ancho de Banda, Tiempo de Respuesta, puertos utilizados, NAT,
08 de mayo de 2012
Pgina 7
QU HE DE TENER EN CUENTA PARA DESPLEGAR NAC
CRITERIOS DE DISEO
Tipo de Deteccin y autenticacin Punto de autenticacin Anlisis del sistema final Autorizacin del sistema final Remediacin Chequeo post-conexin Fabricantes y estndares
08 de mayo de 2012
Pgina 8
CRITERIOS DE DISEO : 1. Tipo de Deteccin y autenticacin CLIENTES
SERVICIOS
NAC
Assesment Basado en 802.1x.. Pre-Conexion Basado en MAC Basado en autenticacin WEB. Basado en logon de Windows FlowControl Configuracin estticas de parejas Post-connection puerto-MAC, Configuracin dinmica de parejas puerto-MAC va SNMP RED Metadata Snooping del protocolo de (LDAP o AD) autenticacin sistemas kerberos NAC Server

CRITERIOS DE DISEO : 2. Punto de autenticacin CLIENTES

EN LOS EQUIPOS DE EN EN LA EL DISTRIBUCCIN ACCESO SEGURIDAD:
FIREWALLS TERMINADORES DE VPNS
IDS/IPS IDS/IPS
Internet Internet Internet
guest
WAN router WAN router WAN router
VPN VPN
Active Directory Active Directory
RED
Gestin
guest guest
08 de mayo de 2012
Pgina 10
CRITERIOS DE DISEO : 3. ANLISIS DEL SISTEMA FINAL ( ASSESSMENT ) CLIENTES
SERVICIOS
Assesment Pre-Conexion CON AGENTE AGENTE PESADO AGENTE LIGERO
NAC
RED
SIN AGENTE FlowControl Post-connection APPLET ESCANEO JAVA DESDE RED Metadata NAC Server

CRITERIOS DE DISEO : 4. AUTORIZACIN DEL SISTEMA FINAL CLIENTES
SERVICIOS NAC poltica de bloqueo todo o paso todo Assesment poltica bsica polticas
RED
Pre-Conexion
poltica granular
FlowControl diferentesPost-connection segn el Metadata
grado de cumplimiento
NACde Server polticas cuarentena
08 de mayo de 2012
Pgina 12
CRITERIOS DE DISEO : 5. REMEDIACIN CLIENTES

RESOLUCIN DE INCUMPLIMIENTOS Assesment Pre-Conexion DE DIRECTIVAS DE SEGURIDAD
Remediacin automtica va agente instalado en el sistema final Remediacin realizada por el usuario asistida va WEB.
RED
Remediacin manual por parte del departamento tcnico
CRITERIOS DE DISEO : 6. POST-CONNECTION CLIENTES
TRATAMIENTO Y ACTUACIN SOBRE
SERVICIOS
NAC
POLTICAS A PARTIR DE EVENTOS Assesment DE SEGURIDAD : Pre-Conexion

Antivirus, Firewalls, VPN, IDS e IPS, Servicios de comunicacin de vulnerabilidades detectadas en S.O., RED aplicaciones, protocolos, Cambios de polticas de uso de los recursos de la red,
08 de mayo de 2012 Pgina 14
FlowControl Post-connection Metadata
NAC Server

FLUJO OPERACIONAL COMPLETO DE NAC CLIENTES
SERVICIOS
SERVICIOS
NAC
Escaneo Informe desde desde Agente red Microsoft Vista o XP
Chequeo preConexin
NAC GATEWAY ENTERASYS
802.1x WEB MAC
Policy NAC GATEWAY Decision ENTERASYS RED

SWITCHES Y PUNTOS DE ACCESO WIFI DE ENTERASYS
Chequeo PostConexin
IDS/IPS + FW
Point
Active Directory, RADIUS,
Gestor polticas
POLICY MANAGER DE ENTERASYS
08 de mayo de 2012
Pgina 15
Agenda
08 de mayo de 2012
Pgina 16
VISION HISTRICA: NETWORK CENTRIC
NETWORK CENTRIC
802.1x, 802.1W, 802.1Q, 802.1ad, 802.1t, 802.1p,
SEN CMC BOM For internal use only
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
VISION NAC: USER CENTRIC
VISION NAC: USER/SERVICE CENTRIC
Inventario de usuarios y servicios de mi red
Servicio
Servicio de Telefona
SLA
Ancho de Banda necesario Delay Prdida de paquetes Jitter
Objetivo
32Kbps por seal* 25ms <0,7% <0,5 ms 4Mbps por cmara 25ms
Medidas adoptadas
Permiso Transmitir slo protocolos de VozIP: Clasificacin y filtrado Rate Limit Uplink = 1 Mbps* Rate Limit acceso = 64 kbps* CoS= 5 Tamao buffer= 30ms VLAN = Voz Permiso Transmitir slo protocolo de VideoIP : Clasificacin y filtrado Rate Limit Uplink = 6 Mbps* CoS= 4 VLAN = Video Rate Limit acceso = 4 Mbps*
Servicio de Video
Ancho de Banda necesario Delay
Servicio de ER3
Anlisis de los servicios

Prdida de paquetes Jitter <0,7% <0,5 ms 25ms Delay Prdida de paquetes <0,7% Prdida de paquetes <1% Prdida de paquetes <3%
Transmitir slo protocolo de datos identificados: ER3, DNS, Descartar otros protocolos: Rate Limit = 15 Mbps* CoS= 3 VLAN = Datos
Servicio especfico para personal de mantenimiento
PERFIL
SECRETARIA / OPERADORA / ATENCIN AL CIUDADANO
Servicios Accesibles
FRONT END WEB ATENCIN AL CIUDADANO WEB MAIL VoIP Navegacin segura Internet FRONT END WEB APLICACIN APROBACIN SUBVENCIONES
Ubicaciones posibles
Autenticacin Necesaria
Tipo de cumplimiento de Seguridad

Ultima release S.O. y navegador WEB
Transmitir cualquier protocolo de datos incluidos los de gestin: SNMP, Telnet, FTP, CoS= 4 VLAN = Gestin Transmitir protocolos de red: web, https, dns, POP3, Rate Limit UpLink = 15 Mbps CoS= 1 VLAN = Datos
Sala A y B de ContactCenter
802.1x
Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, )
Servicio de conexin a Internet, correo electrnico,
GESTOR DE SUBVENCIONES
DEPARTAMENTO DE INFORMTICA
Anlisis de Usuarios y perfiles de uso

APLICACIN GESTIN PRESUPUESTOS EMAIL Cualquiera 802.1x Navegacin segura Internet Gestin y Mantenimiento de red EMAIL BBDD Navegacin Internet VoIP Cualquiera 802.1x VoIP Cualquiera pool de mesas para visitantes INTERNET 802.1x o MAC WEB
Ultima release S.O. y navegador WEB Antivirus y firewall personal activado
No instalado: P2P, emule, skype, MI,
No servidores de red ( FTP, DHC, DNS, ) Ultima release S.O. y navegador WEB Antivirus y firewall personal activado
TELFONO VoIP PRENSA
Consulta al gestor de voz de ltima release de firmware Escaneo de equipo desde red cumpliendo polticas de seguridad: p.ej. no tengan servidores de red ( FTP, DHC, DNS, )
Autenticacin de usuarios y asociacin a SUS perfiles.
Entendiendo los servicios ( ejemplo: la Voz-sobre-IP ) Calidad de Voz: Valores de MOS ( Measure of Service ): Medida de la calidad de la llamada de voz extremo a extremo: 1-5 :
Tcnica de Codificacin Tasa de transferencia (kbps) 64 32 6.3 16 8 13 MOS IP fija 4.3 4.0 3.8 3.9 4.0 3.7
1 Mala 2 Pobre 3 Aceptable 4 Buena 5 Excelente
G.711 G.726 G.723 G.728 G.729 GSM Full Rate (RPE_LTP)
Servicio tiempo real muy sensible a retardo y jitter
Bajas necesidades de ancho de banda Alta Disponibilidad : Seguridad de acceso, separacin de otros trficos,
No es viable el reenvo de paquetes perdidos o errneos.

08 de mayo de 2012 Pgina 20
INFRAESTRUCTURA ORIENTADA A SERVICIOS: Modelado de Servicios

Servicio
Servicio de Telefona
SLA
Objetivo
32Kbps por seal* 25ms <0,7% <0,5 ms 4Mbps por cmara 25ms <0,7% <0,5 ms 25ms
Medidas adoptadas
Permiso Transmitir slo protocolos de VozIP: Clasificacin y filtrado Rate Limit Uplink = 1 Mbps* Rate Limit acceso = 64 kbps* CoS= 5 Tamao buffer= 30ms VLAN = Voz Permiso Transmitir slo protocolo de VideoIP : Clasificacin y filtrado Rate Limit Uplink = 6 Mbps* Rate Limit acceso = 4 Mbps* CoS= 4 VLAN = Video Transmitir slo protocolo de datos identificados: ER3, DNS, Descartar otros protocolos: Rate Limit = 15 Mbps* CoS= 3 VLAN = Datos Transmitir cualquier protocolo de datos incluidos los de gestin: SNMP, Telnet, FTP, CoS= 4 VLAN = Gestin Transmitir protocolos de red: web, https, dns, POP3, Rate Limit UpLink = 15 Mbps CoS= 1 VLAN = Datos
Servicio de Video
Servicio de ER3
Delay
Prdida de paquetes
<0,7%
Servicio especfico para personal de mantenimiento Prdida de paquetes <1%
Servicio de conexin a Internet, correo electrnico,
Prdida de paquetes Page 21
<3%
ANALISIS DE USUARIOS
PERFIL-ROL
SECRETARIA / OPERADORA / ATENCIN AL CIUDADANO
Servicios Accesibles
FRONT END WEB ATENCIN AL CIUDADANO WEB MAIL VoIP Navegacin segura Internet FRONT END WEB APLICACIN APROBACIN SUBVENCIONES APLICACIN GESTIN PRESUPUESTOS EMAIL
Ubicaciones posibles / horarios
Autenticacin Necesaria
Tipo de cumplimiento de Seguridad
Ultima release S.O. y navegador WEB Sala A y B de ContactCenter 802.1x Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, )
GESTOR DE SUBVENCIONES
Ultima release S.O. y navegador WEB Planta 1 802.1x Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, ) Ultima release S.O. y navegador WEB Sotano 802.1x Antivirus y firewall personal activado
Navegacin segura Internet Gestin y Mantenimiento DEPARTAMENTO DE de red INFORMTICA EMAIL BBDD Navegacin Internet VoIP
TELFONO VoIP
VoIP
Cualquiera
802.1x o MAC
Consulta al gestor de voz de ltima release de firmware
PRENSA
INTERNET
Escaneo de equipo desde red cumpliendo pool de mesas para WEB polticas de seguridad: p.ej. no tengan visitantes Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. servidores de red ( FTP, DHC, DNS, )
Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
REDES BASADAS EN POLITICAS

Una poltica de RED es un conjunto de parmetros de anlisis, control y gestin de trfico, que son aplicadas a cada uno de los usuarios, mquinas o flujos y que determinan el comportamiento de todos los sistemas IT que confluyen en la red
Acceso (bloqueado/no bloquedo) Asignacin VLAN del puerto Asignacin QoS del puerto
Anlisis de tramas L2/L3/L4 en tiempo real para:
Contencin Calidad de Servicio Rate Limit
Control
Clasificacin dinmica a VLANs Filtrado de tramas

Anlisis de tramas L2/L3/ L4 en tiempo real para:
Clasificacin dinmica 802.1p Clasificacin dinmica TOS

Limitacin de Ancho de banda de Entrada y/o Salida
por dispositivo, aplicacin, puerto, Granularidad desde 8K hasta 1Gbps

Parametrizacin de la Red basada en polticas
PM
RADIUS / LDAP / D.A. NAC GATEWAY PT PI PB PA
Parametrizacin Dinmica de la Red basada en Polticas

SERVICIOS
PM
RADIUS / LDAP / D.A. NAC GATEWAY
PT
PI
PB
PA A
SIGUIENTE PASO: LA AUTENTICACIN DICTA QUIEN HACE QUE 1.- Despliegue de Polticas 2.- Autenticacin Usuarios
Cliente Radius
X 02.1 C, 8 MA
Perfil Financiero:
S ervicio de Telefona IP : S I S ervicio de Video: NAC NO SERVER
Servidor de Pol Polticas
NAC SERVER S ervicio de E R 3 : S I

S ervicio de mantenimiento : NO
= Polticas
08 de mayo de 2012
Acceso Validado S ervicio de Internet : S I PolPgina tica Personal Financiero Networking Solutions / SEN / Espaa 26
Agenda
08 de mayo de 2012
Pgina 27
ESCENARIO 1: Tipo de Deteccin y autenticacin CLIENTES
SERVICIOS
802.1x
NAC
MAC
Basado en 802.1x.. Basado en MAC Basado en autenticacin WEB
RED
08 de mayo de 2012
Pgina 28
ESCENARIO 2: MULTIAUTENTICACIN CLIENTES
SERVICIOS
NAC
MAC
802.1x
MULTIAUTENTICACIN
RED
08 de mayo de 2012
Pgina 29
ESCENARIO 2: MULTIAUTENTICACIN CLIENTES
SERVICIOS
NAC
MAC
802.1x
MULTIAUTENTICACIN VA HUB O SWITCH SIN POLTICAS
RED
08 de mayo de 2012
Pgina 30
ESCENARIO 3: MOVILIDAD CLIENTES 802.1x
SERVICIOS
NAC
MAC RED
MAC
08 de mayo de 2012
Pgina 31
ESCENARIO 4: ACCESO DISPERSO EN OFICINAS

SEDE REMOTA SEDE CENTRAL
PT PI PBPA IP Network SEDE REMOTA
08 de mayo de 2012
Pgina 32

SEDE REMOTA SEDE CENTRAL PT PI PBPA
IP Network
SEDE REMOTA
OCURRIRA LO MISMO EN CADA PUESTO DE TRABAJO DE CADA SEDE!!
08 de mayo de 2012
Pgina 33

SEDE REMOTA SEDE CENTRAL
PT PI PBPD IP Network SEDE REMOTA
08 de mayo de 2012
Pgina 34
AUTORIZACIN DEL SISTEMA FINAL
CLIENTES
SERVICIO VIDEO
SERVICIOS
Assesment Pre-Conexion todo
NAC
poltica de bloqueo todo o paso poltica bsica poltica granular

RED
FlowControl Post-connection
polticas diferentes segn el

Metadata grado de cumplimiento
polticas de cuarentena
CLIENTES
SERVICIO VIDEO
SERVICIOS
Assesment Pre-Conexion todo
NAC
poltica de bloqueo todo o paso
RED
08 de mayo de 2012
Pgina 36
CLIENTES
SERVICIO VIDEO
SERVICIOS
NAC
poltica bsica RFC 3580

Assesment Pre-Conexion Asignacin de VLANs
RED
08 de mayo de 2012
Pgina 37
CLIENTES
SERVICIO VIDEO
SERVICIOS poltica granular: Rate Limit QoS
NAC
Filtrado nivel 2, 3 y 4 Origen y destino (2, 3 y 4 )

RED
ToS rewrite VLAN ID
08 de mayo de 2012
Pgina 38
CLIENTES
SERVICIO VIDEO
SERVICIOS
NAC
polticas diferentes segn el grado de cumplimiento
RED
08 de mayo de 2012
Pgina 39
REMEDIACIN
CLIENTES
POLTICAS DE CUARENTENA
Remediacin automtica va agente instalado en el sistema final Remediacin realizada por el usuario asistida va WEB.
RED
Remediacin manual por parte del departamento tcnico
08 de mayo de 2012
Pgina 40
POST-CONNECTION IDS DRAGON
CLIENTES
SERVICIOS
SERVICIOS
NAC
FlowControl Post-connection
RED
08 de mayo de 2012
Pgina 41
Control de Acceso a Redes IP
NAC
GRACIAS POR SU ATENCIN
Copyright Siemens Protection S.A. 2007. notice All / Copyright rights reserved. notice

Soluciones NAC 2.0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Soluciones NAC 2.0

Uploaded by

Copyright:

Available Formats

NAC

Control de Acceso a Redes IP

Protection notice / Copyright notice

SIEMENS ENTERPRISE COMMUNICATIONS

Networking Solutions / SEN / Espaa

PROPUESTAS NAC 2.0

TNG ( Enterasys, Juniper,

Control acceso RED en switch Cisco + Agentes S.O. extra

Agentes extra 802.1x + software de terceros

Networking Solutions / SEN / Espaa

ESTADO DEL ARTE NAC 2.0 - COMPONENTES CLIENTES

FlowControl Post-conexin Metadata (LDAP o AD) NAC Server

Policy Decision Point

Networking Solutions / SEN / Espaa

QU HE DE CONOCER PARA DESPLEGAR NAC

Networking Solutions / SEN / Espaa

QU HE DE TENER EN CUENTA PARA DESPLEGAR NAC

Networking Solutions / SEN / Espaa

CRITERIOS DE DISEO : 1. Tipo de Deteccin y autenticacin CLIENTES

Policy Decision Point

CRITERIOS DE DISEO : 2. Punto de autenticacin CLIENTES

Internet Internet Internet

WAN router WAN router WAN router

Active Directory Active Directory

Networking Solutions / SEN / Espaa

CRITERIOS DE DISEO : 3. ANLISIS DEL SISTEMA FINAL ( ASSESSMENT ) CLIENTES

Policy Decision Point

CRITERIOS DE DISEO : 4. AUTORIZACIN DEL SISTEMA FINAL CLIENTES

FlowControl diferentesPost-connection segn el Metadata

Policy Decision Point

Networking Solutions / SEN / Espaa

CRITERIOS DE DISEO : 5. REMEDIACIN CLIENTES

CRITERIOS DE DISEO : 6. POST-CONNECTION CLIENTES

TRATAMIENTO Y ACTUACIN SOBRE

POLTICAS A PARTIR DE EVENTOS Assesment DE SEGURIDAD : Pre-Conexion

FlowControl Post-connection Metadata

Policy Decision Point

FLUJO OPERACIONAL COMPLETO DE NAC CLIENTES

Escaneo Informe desde desde Agente red Microsoft Vista o XP

802.1x WEB MAC

Policy NAC GATEWAY Decision ENTERASYS RED

Active Directory, RADIUS,

Networking Solutions / SEN / Espaa

Networking Solutions / SEN / Espaa

VISION HISTRICA: NETWORK CENTRIC

802.1x, 802.1W, 802.1Q, 802.1ad, 802.1t, 802.1p,

SEN CMC BOM For internal use only

VISION NAC: USER CENTRIC

SEN CMC BOM For internal use only

VISION NAC: USER/SERVICE CENTRIC

Inventario de usuarios y servicios de mi red

Ancho de Banda necesario Delay

Anlisis de los servicios

Servicio especfico para personal de mantenimiento

Tipo de cumplimiento de Seguridad

Servicio de conexin a Internet, correo electrnico,

Anlisis de Usuarios y perfiles de uso

Ultima release S.O. y navegador WEB Antivirus y firewall personal activado

No instalado: P2P, emule, skype, MI,

TELFONO VoIP PRENSA

Autenticacin de usuarios y asociacin a SUS perfiles.

SEN CMC BOM For internal use only

1 Mala 2 Pobre 3 Aceptable 4 Buena 5 Excelente