SlideShare uma empresa Scribd logo

Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт.

Cisco Russia
Cisco Russia
Tecnologia
1 de 56
Baixar para ler offline
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт. Владимир Илибман Менеджер по продуктам безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Тема презентации На примере одной организации рассмотрим: • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
Что же такое TrustSec ? Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC” TrustSec это системный подход к контролю доступа, который объединяет:  IEEE 802.1X (Dot1x)  Технологии профилирования  Гостевые сервисы  Метки безопасности (Secure Group )  Канальное шифрование MACSec (802.1AE)  Network Admission Control
Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация 802.1X, Веб-Аутентификация, MAC-адреса, Профилирование Авторизация и Контроль доступа VLAN DACL Security Group Access Identity Firewall Целостность данных и конфиденциальность MACSec (802.1AE) “Кто” и “Что” находится в моей сети? “Куда” cмогут иметь доступ пользователи/уст ройства? Защищены ли сетевые коммуникации?
Контроль доступа TrustSec Основные компоненты Идентификация и управление сервисами доступа Применение политик Клиент Identity Services Engine (ISE) Коммутаторы WiFI AnyConnect или встроенный в ОС клиент 802.1x Маршрутизаторы NAC агент Межсетевые экраны Web-агент или браузер
И так начинаем наше знакомство…
Компания Гудвей-X Бизнес-кейс Компания Гудвей-X  Ритейлер,  Банк,  Промышленный холдинг,  Агрохолдинг,  Страховая компания. Зак – Менеджер по информационной безопасности Айк – IT-менеджер отвечает за работу сети
В компании Гудвей-X назрела проблема Бизнес-кейс Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри. Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Описание задач для Айка: 1. Необходимо журналировать подключения в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств. Решение: Система контроля доступа 802.1X
Настройка по-умолчанию с 802.1X До аутентификации  Нет видимости (пока)  Жесткий контроль доступа One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) ? ? USER Весь трафик кроме служебного 802.1x блокируется !
Настройка по-умолчанию с 802.1X После аутентификации  Пользователь/Устройство известны  Доступ только для MAC-адреса устройства прошедшего аутентификацию Выглядит также как и без 802.1X ? Пользователь: Маша Authenticated Machine: XP-Mary-45 “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк.
Что случилось дальше ? @ Гудвей-X, ДО появления режима мониторинга… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x в продакшн… Айк Включает 802.1X Я не могу соединиться с сетью. Она говорит что Аутентификация не пройдена и я не знаю что делать, через два часа у меня презентация… Звонки в службу поддержки увеличились на 120%
Чего не хватало Айку? Какие уроки мы извлекли? Некорректно внедренный 802.1x – это система контроля предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений — Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля. Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Enforcement Mode (Принудительный режим 802.1x)
Режим мониторинга Процесс, не просто режим. • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать Pre-AuthC пользователей/устройства - Задача №1 Post-AuthC SWITCHPORT P DH C TFTP D HC P HT T 5 KRB E AP o SWITCHPORT L P TFTP P HT T 5 KRB Permit All EA P o Traffic always allowed L Permit All
Принудительный режим Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности Pre-AuthC Post-AuthC SWITCHPORT P DHC KRB P DHC TFTP P HTT 5 E APo SWITCHPORT L TFTP Permit Some E AP o SGT P HTT 5 KRB L Role-Based ACL
Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние супликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для репортинга (DART) — Детализированные логи с клиентской стороны 15
Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие видимости на Radius сервере - ACS 4.x
Чего не хватало Айку? Какие уроки мы извлекли Решение: ACS VIEW  Identity Services Engine (ISE) 17
Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 18
Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE 19
Чего не хватало Айку? Какие уроки мы извлекли? Айк забыл об устройствах без поддержки 802.1x  Принтеры, IP Телефоны, Камеры, СКУД  Решение? Не использовать 802.1х на портах с принтерами  Ну а что если устройство переедет ?  Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
Бизнес кейс продолжает изменяться Требования: 1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети.  Решения: Идентификация с помощью 802.1X 2. Устройства без поддержки 802.1x должны иметь доступ к сети.  Решение: Централизованный MAB Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка MAB устройств!
Решение есть !!! Профилирование
Профилирование Видимость PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
Технология профилирования Как мы классифицируем устройство? Профилирование на ISE использует аналоги сигнатуры Запросы, используемые для сбора данных HTTP SNMP Query SNMP Trap DHCPSPAN DHCP RADIUS DNS NMAP NetFlow 24
Политики профилирования Is the MAC Address from Apple DHCP:hostname CONTAINS iPad Profile Library • • Я вполне уверен что устройство iPAD IP:User-Agent CONTAINS iPad Назначить MAC Address к группе “iPad” Политики профиля используют условия для определения устройства. Политики основаны на принципе наилучшего совпадения
Распределенный сбор данных с централизованным анализом Сенсор устройств • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS • Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi • Не зависит от топологии • • • • • • ISE Поддержка сенсора 2960-X, 2960-XR 3560/3750 3560C/CG 3850* 4500 Wireless Controllers • * roadmap CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP Device Sensor Distributed Probes 26
Эволюция бизнес-кейса Нужно упорядочить и автоматизировать процесс гостевого подключения! Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк “Для каждого контрактника в ручную выделяется порт на коммутаторе”
Требования гостевых пользователей WLC Wireless APs LAN Internet Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
Cisco ISE Компоненты полного жизненного цикла гостя Guests Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Аутентификация/Авторизация Посредством веб-портала ISE Отчетность: По всем аспектам гостевых учетных записей
ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные Гостевые роли и атрибутов профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
Полный аудит гостевого жизненного цикла
Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует чтобы мы разрешили ему доступ в сеть потому как это устройство помогает ему в работе”
Требования к BYOD Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям Айк (IT): • Как поддерживать увеличенное кол-во устройств ? • Кто будет настраивать ? • Кто будет согласовывать с безопасностью ? Зак (Безопасность) • Как ограничить, кто из сотрудников имеет право на BYOD ? • Как защититься в случае потери или увольнения Как избежать утечки ?
Что предлагает ISE для управления персональными устройствами Занесение устройств в “черный” при хищении, увольнении Безопасность на основе cертификата привязанного к Employee-ID & Device-IDSE Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Поддержка всех сетевых подключений Самообслуживание персональных устройств для авторизированных сотрудников
Для сотрудника все просто… Подключил в гостевую сеть и ввел доменный логин и пароль
… Прошел регистрацию
… получил конфигурацию и сертификаты
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT гибкие настройки кому и и какие устройства можно подключать OS User Supplicant
Эволюция бизнес кейса: Mobile Device Management Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк
Позиционирование ISE и MDM СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) Контроль использования сетевых ресурсов Классификация/ Профилирование User <-> Device Ownership Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Регистрация Распространение корпоративного ПО Управление (Backup, Remote Wipe, etc.) Соответствие политике Настройка (Jailbreak, Pin Lock, etc.) профилей Шифрование безопасности данных устройства Инвентаризация Управление затратами Пользователь управляет устройством IT управляет доступом в сеть Пользователи и IT совместно управляют устройством и доступом
ISE 1.2 поддерживает интеграцию c MDM MDM Manager ISE Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
MDM –источник информации для ISE MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Macro level Jailbreak устройства Micro level MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
Инициация действий через MDM Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • • • • • • • Options Edit Reinstate Lost? Delete Full Wipe Corporate Wipe PIN Lock 45
Эволюция бизнес кейса: Метки безопасности После модернизации сети поменялись IP-адреса. Можно как строить политику безопасности без привязки к сетевым адресам и VLAN? Айк Можно ли использовать информацию от ISE для построения политик безопасности на файерволах ? Зак
Применение SGT и SGACL Security Group Tag 1. Когда пользователь/устройство заходит в сеть ему назначается метка безопасности (SGT), которая обозначает его роль 2. Эта метка переносится по всей сети 3. Коммутаторы и межсетевые экраны применяют политику по меткам Security Group Access List SGACL SG Public Private Staff Преимущества: SGT Permit Permit Guest Permit Deny  Гибкие политики независимы от топологии и IP-адресации  Метки основаны на роли пользователя и состоянии/типе устройства  Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
Передача меток по сети For Your Reference SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC Finance Finance ✓ Finance HR 10.1.200.254 Nexus 7000 Agg VDC HR Server #1 10.1.200.50 ASA VSG Finance Server #1 10.1.200.100
Identity-Based Firewall следующего поколения Контроль доступа на основе группы безопасности для ASA Source Tags Destination Tags 49
Identity-Firewall на коммутаторах 50
Переходим к реальному кейсу Создаем систему из всех этих технологий 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 51
TrustSec собирает все воедино TrustSec SGT Профилирование MacSec BYOD NAC MDM
Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
Что же такое Identity Services Engine? ISE это больше ISE - чем просто RADIUS
Вопросы? Канал Cisco Russia & CIS на Youtube Канал TrustSec на Cisco.com http://www.youtube.com/playlist?list=PL59B700EF3A2A945E www.cisco.com/go/trustsec
Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Name Phone E-mail 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Recomendados

Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом... Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом...Cisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...Cisco Russia
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 

Recomendados

Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом... Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом...Cisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...Cisco Russia
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейУправление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overviewNazim Latypayev
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Краткий обзор Cisco ISE
Краткий обзор Cisco ISEКраткий обзор Cisco ISE
Краткий обзор Cisco ISECisco Russia
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Cisco Russia
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine Cisco Russia
 
Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Cisco Russia
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
IP-видеонаблюдение Cisco
IP-видеонаблюдение CiscoIP-видеонаблюдение Cisco
IP-видеонаблюдение Ciscoit.times.com.ua
 
IP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасностьIP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасностьit.times.com.ua
 
Automating Network Security Assessment
Automating Network Security AssessmentAutomating Network Security Assessment
Automating Network Security AssessmentAleksey Lukatskiy
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейУправление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overviewNazim Latypayev
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Краткий обзор Cisco ISE
Краткий обзор Cisco ISEКраткий обзор Cisco ISE
Краткий обзор Cisco ISECisco Russia
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Cisco Russia
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine Cisco Russia
 
Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Cisco Russia
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
IP-видеонаблюдение Cisco
IP-видеонаблюдение CiscoIP-видеонаблюдение Cisco
IP-видеонаблюдение Ciscoit.times.com.ua
 
IP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасностьIP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасностьit.times.com.ua
 
Automating Network Security Assessment
Automating Network Security AssessmentAutomating Network Security Assessment
Automating Network Security AssessmentAleksey Lukatskiy
 

Mais procurados (20)

Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятия
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейУправление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overview
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Краткий обзор Cisco ISE
Краткий обзор Cisco ISEКраткий обзор Cisco ISE
Краткий обзор Cisco ISE
 
Cisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud FirewallCisco ASA1000 v Cloud Firewall
Cisco ASA1000 v Cloud Firewall
 
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
 
Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
IP-видеонаблюдение Cisco
IP-видеонаблюдение CiscoIP-видеонаблюдение Cisco
IP-видеонаблюдение Cisco
 
IP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасностьIP-видеонаблюдение Cisco. Унифицированная безопасность
IP-видеонаблюдение Cisco. Унифицированная безопасность
 
Automating Network Security Assessment
Automating Network Security AssessmentAutomating Network Security Assessment
Automating Network Security Assessment
 

Semelhante a Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт.

From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаИнновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаCisco Russia
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoCisco Russia
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиCisco Russia
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаCisco Russia
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...Cisco Russia
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...Cisco Russia
 
VMDC: Архитектура для ITaaS
VMDC: Архитектура для ITaaSVMDC: Архитектура для ITaaS
VMDC: Архитектура для ITaaSCisco Russia
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Cisco Russia
 
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейЭталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейCisco Russia
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Cisco Russia
 

Semelhante a Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт. (20)

From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаИнновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнеса
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений Cisco
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сети
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнеса
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
 
VMDC: Архитектура для ITaaS
VMDC: Архитектура для ITaaSVMDC: Архитектура для ITaaS
VMDC: Архитектура для ITaaS
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
 
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейЭталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
 

Mais de Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Mais de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт.

  • 1. Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт. Владимир Илибман Менеджер по продуктам безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • 2. Тема презентации На примере одной организации рассмотрим: • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
  • 3. Что же такое TrustSec ? Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC” TrustSec это системный подход к контролю доступа, который объединяет:  IEEE 802.1X (Dot1x)  Технологии профилирования  Гостевые сервисы  Метки безопасности (Secure Group )  Канальное шифрование MACSec (802.1AE)  Network Admission Control
  • 4. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация 802.1X, Веб-Аутентификация, MAC-адреса, Профилирование Авторизация и Контроль доступа VLAN DACL Security Group Access Identity Firewall Целостность данных и конфиденциальность MACSec (802.1AE) “Кто” и “Что” находится в моей сети? “Куда” cмогут иметь доступ пользователи/уст ройства? Защищены ли сетевые коммуникации?
  • 5. Контроль доступа TrustSec Основные компоненты Идентификация и управление сервисами доступа Применение политик Клиент Identity Services Engine (ISE) Коммутаторы WiFI AnyConnect или встроенный в ОС клиент 802.1x Маршрутизаторы NAC агент Межсетевые экраны Web-агент или браузер
  • 6. И так начинаем наше знакомство…
  • 7. Компания Гудвей-X Бизнес-кейс Компания Гудвей-X  Ритейлер,  Банк,  Промышленный холдинг,  Агрохолдинг,  Страховая компания. Зак – Менеджер по информационной безопасности Айк – IT-менеджер отвечает за работу сети
  • 8. В компании Гудвей-X назрела проблема Бизнес-кейс Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри. Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Описание задач для Айка: 1. Необходимо журналировать подключения в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств. Решение: Система контроля доступа 802.1X
  • 9. Настройка по-умолчанию с 802.1X До аутентификации  Нет видимости (пока)  Жесткий контроль доступа One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) ? ? USER Весь трафик кроме служебного 802.1x блокируется !
  • 10. Настройка по-умолчанию с 802.1X После аутентификации  Пользователь/Устройство известны  Доступ только для MAC-адреса устройства прошедшего аутентификацию Выглядит также как и без 802.1X ? Пользователь: Маша Authenticated Machine: XP-Mary-45 “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк.
  • 11. Что случилось дальше ? @ Гудвей-X, ДО появления режима мониторинга… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x в продакшн… Айк Включает 802.1X Я не могу соединиться с сетью. Она говорит что Аутентификация не пройдена и я не знаю что делать, через два часа у меня презентация… Звонки в службу поддержки увеличились на 120%
  • 12. Чего не хватало Айку? Какие уроки мы извлекли? Некорректно внедренный 802.1x – это система контроля предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений — Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля. Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Enforcement Mode (Принудительный режим 802.1x)
  • 13. Режим мониторинга Процесс, не просто режим. • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать Pre-AuthC пользователей/устройства - Задача №1 Post-AuthC SWITCHPORT P DH C TFTP D HC P HT T 5 KRB E AP o SWITCHPORT L P TFTP P HT T 5 KRB Permit All EA P o Traffic always allowed L Permit All
  • 14. Принудительный режим Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности Pre-AuthC Post-AuthC SWITCHPORT P DHC KRB P DHC TFTP P HTT 5 E APo SWITCHPORT L TFTP Permit Some E AP o SGT P HTT 5 KRB L Role-Based ACL
  • 15. Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние супликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для репортинга (DART) — Детализированные логи с клиентской стороны 15
  • 16. Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие видимости на Radius сервере - ACS 4.x
  • 17. Чего не хватало Айку? Какие уроки мы извлекли Решение: ACS VIEW  Identity Services Engine (ISE) 17
  • 18. Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 18
  • 19. Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE 19
  • 20. Чего не хватало Айку? Какие уроки мы извлекли? Айк забыл об устройствах без поддержки 802.1x  Принтеры, IP Телефоны, Камеры, СКУД  Решение? Не использовать 802.1х на портах с принтерами  Ну а что если устройство переедет ?  Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
  • 21. Бизнес кейс продолжает изменяться Требования: 1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети.  Решения: Идентификация с помощью 802.1X 2. Устройства без поддержки 802.1x должны иметь доступ к сети.  Решение: Централизованный MAB Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка MAB устройств!
  • 23. Профилирование Видимость PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
  • 24. Технология профилирования Как мы классифицируем устройство? Профилирование на ISE использует аналоги сигнатуры Запросы, используемые для сбора данных HTTP SNMP Query SNMP Trap DHCPSPAN DHCP RADIUS DNS NMAP NetFlow 24
  • 25. Политики профилирования Is the MAC Address from Apple DHCP:hostname CONTAINS iPad Profile Library • • Я вполне уверен что устройство iPAD IP:User-Agent CONTAINS iPad Назначить MAC Address к группе “iPad” Политики профиля используют условия для определения устройства. Политики основаны на принципе наилучшего совпадения
  • 26. Распределенный сбор данных с централизованным анализом Сенсор устройств • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS • Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi • Не зависит от топологии • • • • • • ISE Поддержка сенсора 2960-X, 2960-XR 3560/3750 3560C/CG 3850* 4500 Wireless Controllers • * roadmap CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP Device Sensor Distributed Probes 26
  • 27. Эволюция бизнес-кейса Нужно упорядочить и автоматизировать процесс гостевого подключения! Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк “Для каждого контрактника в ручную выделяется порт на коммутаторе”
  • 28. Требования гостевых пользователей WLC Wireless APs LAN Internet Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
  • 29. Cisco ISE Компоненты полного жизненного цикла гостя Guests Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Аутентификация/Авторизация Посредством веб-портала ISE Отчетность: По всем аспектам гостевых учетных записей
  • 30. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные Гостевые роли и атрибутов профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
  • 31. Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
  • 32. Полный аудит гостевого жизненного цикла
  • 33. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует чтобы мы разрешили ему доступ в сеть потому как это устройство помогает ему в работе”
  • 34. Требования к BYOD Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям Айк (IT): • Как поддерживать увеличенное кол-во устройств ? • Кто будет настраивать ? • Кто будет согласовывать с безопасностью ? Зак (Безопасность) • Как ограничить, кто из сотрудников имеет право на BYOD ? • Как защититься в случае потери или увольнения Как избежать утечки ?
  • 35. Что предлагает ISE для управления персональными устройствами Занесение устройств в “черный” при хищении, увольнении Безопасность на основе cертификата привязанного к Employee-ID & Device-IDSE Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Поддержка всех сетевых подключений Самообслуживание персональных устройств для авторизированных сотрудников
  • 36. Для сотрудника все просто… Подключил в гостевую сеть и ввел доменный логин и пароль
  • 38. … получил конфигурацию и сертификаты
  • 39. Можно управлять “Моими устройствами”
  • 40. Для администраторов безопасности и IT гибкие настройки кому и и какие устройства можно подключать OS User Supplicant
  • 41. Эволюция бизнес кейса: Mobile Device Management Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк
  • 42. Позиционирование ISE и MDM СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) Контроль использования сетевых ресурсов Классификация/ Профилирование User <-> Device Ownership Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Регистрация Распространение корпоративного ПО Управление (Backup, Remote Wipe, etc.) Соответствие политике Настройка (Jailbreak, Pin Lock, etc.) профилей Шифрование безопасности данных устройства Инвентаризация Управление затратами Пользователь управляет устройством IT управляет доступом в сеть Пользователи и IT совместно управляют устройством и доступом
  • 43. ISE 1.2 поддерживает интеграцию c MDM MDM Manager ISE Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
  • 44. MDM –источник информации для ISE MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Macro level Jailbreak устройства Micro level MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
  • 45. Инициация действий через MDM Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • • • • • • • Options Edit Reinstate Lost? Delete Full Wipe Corporate Wipe PIN Lock 45
  • 46. Эволюция бизнес кейса: Метки безопасности После модернизации сети поменялись IP-адреса. Можно как строить политику безопасности без привязки к сетевым адресам и VLAN? Айк Можно ли использовать информацию от ISE для построения политик безопасности на файерволах ? Зак
  • 47. Применение SGT и SGACL Security Group Tag 1. Когда пользователь/устройство заходит в сеть ему назначается метка безопасности (SGT), которая обозначает его роль 2. Эта метка переносится по всей сети 3. Коммутаторы и межсетевые экраны применяют политику по меткам Security Group Access List SGACL SG Public Private Staff Преимущества: SGT Permit Permit Guest Permit Deny  Гибкие политики независимы от топологии и IP-адресации  Метки основаны на роли пользователя и состоянии/типе устройства  Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
  • 48. Передача меток по сети For Your Reference SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC Finance Finance ✓ Finance HR 10.1.200.254 Nexus 7000 Agg VDC HR Server #1 10.1.200.50 ASA VSG Finance Server #1 10.1.200.100
  • 49. Identity-Based Firewall следующего поколения Контроль доступа на основе группы безопасности для ASA Source Tags Destination Tags 49
  • 51. Переходим к реальному кейсу Создаем систему из всех этих технологий 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 51
  • 52. TrustSec собирает все воедино TrustSec SGT Профилирование MacSec BYOD NAC MDM
  • 53. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
  • 54. Что же такое Identity Services Engine? ISE это больше ISE - чем просто RADIUS
  • 55. Вопросы? Канал Cisco Russia & CIS на Youtube Канал TrustSec на Cisco.com http://www.youtube.com/playlist?list=PL59B700EF3A2A945E www.cisco.com/go/trustsec
  • 56. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Name Phone E-mail 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.