O documento discute os riscos de segurança em ambientes hiperconectados, destacando a vulnerabilidade dos dispositivos IoT e a falta de autenticação e encriptação adequadas. Propõe soluções de segmentação dinâmica e controle de acesso centralizado para melhorar a segurança das redes. Além disso, menciona a aplicação dessas soluções em diferentes setores, como saúde, varejo e educação.

1. Segurança ao Extremo
Fevereiro 2019
Jordi Garcia
Gustavo Denes

2. 2
Riscos potenciais em
organizações hiperconectadas

3. 3
Aumento exponêncial do número
de dispositivos conectados

4. 4
Os ataques ocorrem internamente
USUÁRIOS
COMPROMETIDOS
Roubo de credênciais e infecção de
usúários com acesso à recursos de TI
USUÁRIOS MALICIOSOS
Edward Snowden roubou mais de 1.7
milhões de documentos confidenciais
USUÁRIOS
DESCUIDADOS
Infecção de dispositivos por vulnerabilidades
de Sistema ou descuido de usuários

5. 5
IOT oferece uma nova possibilidade aos atacantes
ü Procedimento de
autenticação e
autorização deficientes
ü Encriptação inexistente
ou baixa
ü Interfaces web
vulneráveis a ataques
persistentes
ü Sem controlo ou
visibilidade pelo
departamento de TI

6. 6
• Acessos de serviço
centralizado
• Consolidação dos recursos de
segurança
Mudanças no fluxo de trabalho
6
• Conectividade entre
dispositivos
• M2M
• Segurança no acesso
• Facilidade para propagar um
MALWARE
v v

7. 7
Problemática em ambientes
hiperconectados

8. 8
Multiplos tipos de dispositivos e capacidade de autenticação
Vários tipos de dispositivos
com funções diferentes na
rede
Apenas poucos suportam
autenticação1.x
50% de IOT são cabeados
• Como se pode gerenciar e controlar a segurança da rede
de forma simples?

9. 9
A segurança na camada de acesso pode estar comprometida
Client Devices
Access Layer
INTERNET
Malicious Attacker
Core
Firewall
1
Atacante explora uma vulnerabilidade de um
equipamento
2 O equipamento é infectado
3
Utiliza-se do privilégio para efetuar infectar outros
equipamentos

10. 10
Solução tradicional VS Solução inteligente
TRADICIONAL
Políticas controladas por Radius Server
• Diferentes em LAN/WLAN
Configuracão estática em cada Porta LAN
ou SSID:
• ACL/QoS por porta do switch ou SSID
Segmentação baseada em VLAN ou VRF
• Baseada em topologia e subredes
ARUBA
• Políticas baseadas em “role”
unificadas, WLAN, LAN e VPN
• Minima configuração no switch
• Segmentacção granular
• Sem establecer VLANs ou VRFS no
acesso.
ISOLADA, MANUAL, RISCOS DE
SEGURANÇA
EXPERIÊNCIA ÚNICA DE USUÁRIO,
SIMPLICIDADE DE ACESO, FÁCIL
DIAGNÓSTICO, VISIBILIDADE

11. 11
VISIBILITY:
PROFILE ALL
THE THINGS
IoT
SCADA
Employee
BYOD
Visitor
Administrator
Employee
Servers
Data and
Storage
Internal
Applications
Cloud
Applications
Network
Infrastructure
KNOW WHATS CONNECTED
REALTIME 24x7
AGENTLESS

12. 12
Colorless Port: Portas sem configuração pré definida
Aruba
ClearPass
MAC Auth
+ Profiling
Printer VLAN Infusion Pump VLAN
802.1X wired/wireless
support
No 802.1X
1. Utiliza 802.1X quando possível
2. Recorre a autenticação MAC para dispositivos que não são 802.1X
3. Identifica o tipo de dispositivo conectado mediante profiling
4. Configura a porta com o perfil adequado de forma dinâmica.

13. 13
Dynamic Segmentation Simplicidade e proteção
Centraliza e unifica as políticas
de ROLE
Isolamento de tráfico
mediante túneis
Uso de funcionalidades de
segurança das Controladoras
Aruba na camada de acesso LAN
1
2
3

14. 14
Dynamic Segmentation Simplicidade e proteção
PC/Laptop
ClearPass
Policy Manager
(CPPM)
Mobility
Controller
ArubaOS-Switch
2. CPPM returns
Primary Role & Policy
1. Wired user
provides credentials
4. Controller downloads
Secondary Role &
Policy
3. Switch constructs a
per-user tunnel and
redirects user traffic
POLICY
MANAGER
• ClearPass decide se o tráfego deve ser
“tunelizado” ou não na função perfil e
contextualiza o mesmo.
• Se o tráfego é tunelizado este é apresentado
na Mobility Controller onde se aplicam todas
as políticas de segurança e QoS como se
fosse um tráfego WLAN
• A configuração é orquestrada desde CPPM
onde o switch baixa a configuração do
usuário

15. 15
O quê significa para minha rede?
ü Assegurar dispositivos IOT
ü Experiência de usuário consistente
ü Simplicidade e flexibilidade das configurações
ü Cumprir as regulamentações (ISO, PCI, RGPD)
ü Proteger o investimento
ü Sem necessidade de ampliar o conhecimento
ü Co-existe com as topologias atuais e de outros
fabricantes
E para mim?

16. 16
Segmentação
LAN/WLAN nas filiais
ARUBA CENTRAL
Datacenter
Headend Gateway
FILIAL 1
MPLS, Internet, LTE
Integração de SD-WAN, Segurança, LAN, and
WLAN gesrenciado de forma centralizada
2
1 Datacenter
consolidação das
politicas de segurança
FILIAL 2
2
Central como dashboard
unificado de
gerenciamento e
implementação
centralizada
Expanda o controlo da rede para as filiais

17. 17
Caso de uso e demo

18. 18
Caso de uso - Segmentação dinâmica em
cada filial
Sede central - CPD
Sucursal
Escritórios remotos com
vários dispositivos IOT e
usuarios
Todo o tráfego LAN e WLAN
tunelizado
Controlo de permissões por
roles para minimizer o número
de VLANs
Identificação de dispositivos
automática

19. 19
Benefícios da solução em
verticais

20. 20
Clínicas e Hospitais
Multiplos
dispositivos
conectados
na rede
Uso da red
WIFI pela
equipa
médica
WIFI para
pacientes e
familiares
Informação
sensível

21. 21
Retalho e espaços públicos
PCI Mobile Engagement WIFI para empregados Diversos serviços de rede

22. 22
Logística e indústria
Redes IOT no
ambiente de produção
SCADA e elementos
de controlo
Proteção de dados
sensíveis
Dispositivos móveis
para os empregados

23. 23
Educação
Dispositivos BYOD
Rede para
professores
Dispositivos de
streaming
Controlo de conteúdo
de acordo com a
idade

24. Obrigado!
Fernando Teixeira João Passos
Gustavo Denes Pedro Lourenço
Sónia Casaca
Jordi Garcia
Portugal Aruba Team
Gustavo Denes
gustavo.denes@hpe.com
Jordi Garcia
jgalvarez@hpe.com