NAC, una solución REAL. Samuel Bonete

“There is nothing more important than our customers”

NAC, una solución REAL.

Samuel Bonete

Enterasys Networks – For Internal Use Only

Contenido a tratar

•¿Por qué hacer Control de Acceso?

•¿Qué debe ofrecer NAC?

•¿Consideraciones de cara al despliegue?

•Conclusiones

2


¿Por qué hacer control de acceso ?

•¿Por qué hacer Control de Acceso?•¿Qué debe ofrecer NAC?•¿Consideraciones de cara al despliegue?•Conclusiones


Control de Acceso Físico

•A nadie le extraña el control de acceso físico…4

Enterasys Networks – For Internal Use Only 5

La necesidad

Bienvenido, Sr. Usuario

Internet

Compañía XYZ


La solución NAC – Control del sistema final

Bienvenido Sr. Usuario

Internet

Compañía XYZ

STOP


Sorpresas desagradables

7


¿Qué debe de ofrecer NAC?



Funciones PRE-Conexión

1. Detectar

2. Authenticar

3. Evaluar

4. Autorizar

5. Remediar

Funciones de una solución NAC

Autenticar

Evaluar

Autorizar

Detectar

Remedio NACNAC


Acceso de un equipo que no cumple…

User Laptop

Role = Quarentena

Verificación de políticas

4

3

NAC Gateway(equipo fuera de

banda)

Gestor de Vulnerabiliades

Enterasys™ NAC

Manager

1

EnterasysMatrix/SecureStack Switch

Role = Quarentena

Role = Quarentena

Funciones Pre-Conexión

Switch(RFC 3580 compatible)

VLAN = Quarentena 12

3

Funciones NAC Pre-Connect Detectar Authenticación Evaluación Autorización Remedio

Servidor de autenticación

2

4

5


Funciones PRE-Conexión1. Detectar2. Authenticar3. Evaluar4. Autorizar5. Remediar

Funciones de una solución NAC

Autenticar

Evaluar

Autorizar

Detectar

Remedio NACNACFunciones POST-Conexión:

1.Monitorizar

2.Contenter

3.Remediar

Detección de Detección de IntrusionesIntrusiones

Detección de Detección de anomalíasanomalías

RESPUESTAS RESPUESTAS AUTOMÁTICASAUTOMÁTICAS


Riesgos en la red.

Role = Quarentena

2Dragon IDS

Enterasys™Automated Security

Manager

Enterasys Post-Connect NAC (Demo)

3rd Party Switch

ROLE = Quarentena

2

Post-Connect NAC Functions Monitor Contain

1


¿Consideraciones de cara al despliegue?



Consideraciones al despliegue

•Ámbito de aplicación.•¿Qué evaluar en el sistema?

•Políticas a aplicar.

•Monitorización Constante.

14


¿Por dónde empezar con NAC?

• Redes Wireless.

• Usuarios remotos VPN

• ¿Acceso cableado?

1. Sólo portátiles

2. Sobremesas.

3. CPD.

¡CONTROLAR LA INFRAESTRUCTURA!

Internet

Capa de Distribución

Capa de Acceso

Backbone de RED

Firewall

IPS

NetSight (NMS)

Gran entorno

Usuarios locales

Authentication Server (RADIUS)

Trabajadoresremotos



•Ámbito de aplicación.

•¿Qué evaluar en el sistema?•Políticas a aplicar.


16


Intranet

EVALUACIÓN!!!!!

EquipoUsuario Final

Servidor de Autenticación(RADIUS)

Queremos controlar

1. Software no autorizado.2. Equipo CORPORATIVO3. Antivirus encencido

Authentication:User IDPassword

SalesForce

Email

HTTP

worm

Cracking

Voice

High Priority

Low Priority

Rate Limited

Highest Priority

& Rate Limited

Filtered

Filtered

Authoriz

ado

:

Autenticación Autorización Validación Detección Remediación

FUNDAMENTAL NAC vs 802.1x


Qué evaluar…

• Virus y gusanos

Antivirus encencido, actualizado, equipo parcheado a nivel de SSOO.

• Spyware/Adware

Firmar actualizadas.

• Mal uso de la red interna.

Aplicaciones no autorizadas instaladas(P2P, Skype, FTP, etc.)

• Acceso no autorizado.

Equipos conocidos o que pertenezcan a la corporación.

Denegar el acceso tras varios intentos fallidos.

Controlar e inventariar el acceso de visitas.

¡¡¡CUMPLIMIENTO DE NORMATIVA!!!

POLÍTICA DE SEGURIDAD


Cómo evaluar.

EVALUACION DEL EQUIPO

Sin Agente

Basado en applet

Basado en red

Con Agente

Agenteligero

Agentepesado




•¿Qué evaluar en el sistema?

•Políticas a aplicar.•Monitorización Constante.

20


Gestión de PolíticasRedes basadas en políticas

• Una política de RED es un conjunto de parámetros de análisis, control y gestión de tráfico, que son aplicadas a cada uno de los usuarios, máquinas o flujos y que determinan el comportamiento de todos los sistemas IT que confluyen en la red

P

• Acceso (bloqueado/no bloquedo) • Asignación VLAN del puerto• Asignación QoS del puertoC

ontr

ol

Análisis de tramas L2/L3/L4 en tiempo real para:• Clasificación dinámica a VLANs• Filtrado de tramas

Conte

nci

ón

Análisis de tramas L2/L3/ L4 en tiempo real para:•Clasificación dinámica 802.1p •Clasificación dinámica TOS

Calid

ad

de

Serv

icio

Limitación de Ancho de banda de Entrada y/o Salida•por dispositivo, aplicación, puerto,…•Granularidad desde 8K hasta 1Gbps

Rate

Lim

it


22

<Ted, MAC, Authenticated, PID=Guest, Applied >

MU

A L

og

ic

DFE

SMAC = Anita

SMAC = Bob

SMAC = Ted

Sales Policy Role

Credit Policy Role

GuestPolicy Role

<Anita, dot1x, Authenticated, PID=Credit, Applied >

Port X

Multi-Mode Sessions

<Bob, PWA, Authenticated, PID=Sales, Applied >

<Anita, MAC, Authenticated, PID=Guest, Not Applied >

802.1802.1XX

PWAPWA

<Bob, MAC, Authenticated, PID=Guest, Not Applied >

MACMAC

Auth. Agent

<Anita, PWA, Authenticated, PID=Credit, Not Applied >

CEPCEP

Multiple usuario por puerto.




•¿Qué evaluar en el sistema?

•Políticas a aplicar.


23


Firewall IDS/IPS Router/Switch

Net flow/S-flowJ-flow Server log

Eventos/Recolección de flujos, normalización y correlación.

Reportes

PriorizarAlertas REALES

Probar el cumplimiento

Operaciones

Monitorización constante.


Conclusiones

•¿Por qué hacer Control de Acceso?•¿Qué debe ofrecer NAC?•¿Consideraciones de cara al despliegue?• Conclusiones


Conclusiones

• El perímetro es permeable.

• Es necesaria la PRE y POST validación.

• NAC se puede implementar por FASES.

• Flexibilidad de políticas.

• Correlación y monitorización.

• DOCUMENTO DE SEGURIDAD.

26


MUCHAS GRACIAS POR SU ATENCIÓN

Samuel Bonete

NAC, una solución REAL. Samuel Bonete

Documents

Transcript of NAC, una solución REAL. Samuel Bonete