Porque la LAN se parece cada vez más a la WiFi...3/28/19 1 #ArubaAirheads Porque la LAN se parece...
Transcript of Porque la LAN se parece cada vez más a la WiFi...3/28/19 1 #ArubaAirheads Porque la LAN se parece...
3/28/19
1
#ArubaAirheads
Porque la LAN se parece cada vez más a la WiFi
2#ArubaAirheads
Obetivos de las redes de acceso actuales
Acceso basado en Roles
– El role define la política de conectividad
– La política aplicada al dispositivo unificada, independiente del medio
– Gestión centralizada de roles
ROL - Teléfono
ROL - Externo
ROL - Visitante
ROL – Empleado
ROL – Camara Seguridad
CONTEXTO
Identidad, tipo de dispositivoy condiciones adicionales
del entorno definen la conectividad
3/28/19
2
3#ArubaAirheads
Obetivos de las redes de acceso actuales
Acceso basado en Roles
– El role define la política de conectividad
– La política aplicada al dispositivo unificada, independiente del medio
– Gestión centralizada de roles
Simplificación de la configuración
– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto
4#ArubaAirheads
Métodos de seguridad tradicionales aplicados a la red cableada
Static VLAN/ACL Security- Ports are pre-configured based on which devices are
going to be connected.
- Requires a lot of manual configuration.
- There are issues when someone plugs in something different.
Port Security- Locks the port to the 1st or 2nd MAC that it sees. Clears
out after the port has been down for some time.
- Works well against someone trying to unplug a printer and use that port, but not really secure.
MAC Whitelists- MAC whitelists are good for “Quick and Dirty” security.
- What if a USB NIC gets changed?
- What about BYOD laptops?
- What about MAC spoofing?
- Let’s face it, no one wants to maintain an enterprise-wide list of MAC addresses.
3/28/19
3
5#ArubaAirheads
Falsa sensación de seguridad
6#ArubaAirheads
Fases en la securización
• Paso 0: Empezar por la Visibilidadü Primero con ClearPass Profiling, añadiendo ClearPass Device Insight
• Paso 1: Aplicar la autenticación “Best Fit” ü Todo no tiene porque ser 802.1Xü Podría ser Mac Auth, o SNMP al principioü Hacer una aproximación en fases
• Paso 2: Añadir mejoras de valorü Experiencias de Usuarios/Operacionalesü Automation/Orquestaciónü Integraciones
3/28/19
4
7#ArubaAirheads
Utiliza la autenticación más adecuada
8#ArubaAirheads
“Best Fit” Control
• AuthN/AuthZ:• SNMP
• Enforcement:• Port Based VLAN• SNMP/CLI
Basic Port Control
• AuthN/AuthZ:• MAC Authentication• Allowall
• Enforcement:• Session Based ACL, Role, VLAN• RADIUS
Basic Session Control
• AuthN/AuthZ:• Multi Auth 802.1X, MAC, WEB
• Enforcement:• Session Based ACL, Role, VLAN• RADIUS
Full Visibility and Control
VLAN 100QoS Policy ‘A’
VLAN 200ACL ‘headless’
VLAN 300ACL ‘desktop’
VLAN 400ACL ‘guest’
user-role 'PRINTER'
ACL 'CORP'vlan 'SECURE'
user-role 'GUEST'
user-role 'VOIP'
Mac auth, profiling, asset DB
Mac auth, profiling, asset DB
802.1X, profiling, endpoint DB, OnGuard
Web Auth, Self Registration, Mac Auth
3/28/19
5
9#ArubaAirheads
Colorless Ports – Red autoconfigurada
Puerto UniversalEjemplo: 802.1X, MAC Auth y ultimo recurso Portal Cautivo
ROLES
10#ArubaAirheads
Obetivos de las redes de de acceso actuales
Acceso basado en Roles
– El role define la política de conectividad
– La política aplicada al dispositivo unificada, independiente del medio
– Gestión centralizada de roles
Simplificación de la configuración
– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto
Segmentación
– Red overlay hacia un punto central para aplicar políticas de !Segmentación
– Posibilidad de seguir cursando el tráfico de forma tradicional
3/28/19
6
11#ArubaAirheads
Segementación – Red Overlay según necesidad
Aruba Mobility
ControllerCore Switch
Access Switch
IoT (Device Profiling)
Captive Portal
802.1X
IP Phone (MAC-Auth)
12#ArubaAirheads
Obetivos de las redes de acceso actuales
Acceso basado en Roles
– El role define la política de conectividad
– La política aplicada al dispositivo unificada, independiente del medio
– Gestión centralizada de roles
Simplificación de la configuración
– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto
Segmentación
– Red overlay hacia un punto central para aplicar políticas de !Segmentación
– Posibilidad de seguir cursando el tráfico de forma tradicional
Automatización
– Configuración
– Troubleshooting
3/28/19
7
13#ArubaAirheads
Propuesta de valor Aruba Mobile First
Definido por Puerto/SSIDAsignación estática porconfiguración manual
Definido por softwareAsignación dinámica de servicios
por usuarioProgramabilidad
Securización entre cada usuario (uSegemtación)
Mobile-First
14#ArubaAirheads
Obetivos de las redes de acceso actualesAruba Dynamic Segmentation
Acceso basado en Roles
– El role define la política de conectividad
– La política aplicada al dispositivo unificada, independiente del medio
– Gestión centralizada de roles
Simplificación de la configuración
– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto
Segmentación
– Red overlay hacia un punto central para aplicar políticas de !Segmentación
– Posibilidad de seguir cursando el tráfico de forma tradicional
Automatización
– Configuración
– Troubleshooting
RBAC + DUR Colorless PortUBT/PBT
Legacy VLAN APIs
3/28/19
8
15#ArubaAirheads
Es simple y estándarSin complejidad Sin Workarounds
Ni parcheos
Con estándares de seguridad
16#ArubaAirheads
Externo
Conectividad basada en roles
Aruba 2930
Aruba 3810
Aruba 5400
Aruba AP-200
Aruba AP-300
Mobility Controller
ROL - Teléfono
ROL - Externo
1
2
Empleado
ROL - Visitante
ROL – Empleado
Visitante
Teléfono
Visitante
Externo
ROL – Camara Seguridad
CámaraSeguridad
Aruba 8400/8320
Orquestación de servicios de red
3/28/19
9
Gracias