Современные методы аутентификации и авторизации
advertisement
Управление доступом в беспроводных сетях ©2014 Extreme Networks, Inc. All rights reserved. 802.11b ©2014 Extreme Networks, Inc. All rights reserved. Первые мысли были совсем не о том Wireless Equivalent Privacy Privacy ©2014 Extreme Networks, Inc. All rights reserved. Первые мысли были совсем не о том WiFi Protected Access Privacy 4 ©2014 Extreme Networks, Inc. All rights reserved. Ключи удлиннились WPA II 5 ©2014 Extreme Networks, Inc. All rights reserved. Око видит, но зуб неймет 6 ©2014 Extreme Networks, Inc. All rights reserved. Пан или пропал 7 ©2014 Extreme Networks, Inc. All rights reserved. Будем называть вещи своими именами Аутентификация Проверка принадлежности субъекту доступа предъявленного им идентификатора 8 ©2014 Extreme Networks, Inc. All rights reserved. Авторизация Процесс предоставления определенному лицу прав на выполнение определенных действий 9 ©2014 Extreme Networks, Inc. All rights reserved. В проводном мире VLAN 40 WLAN 10 WLAN 20 VLAN 50 Маршрутизатор VLAN 30 10 ©2014 Extreme Networks, Inc. All rights reserved. VLAN 60 RFC 3580 VLAN 10 VLAN 20 Access Control Lists VLAN 40 VLAN 50 Маршрутизатор VLAN 30 11 ©2014 Extreme Networks, Inc. All rights reserved. VLAN 60 RFC 3580 Access Control Lists VLAN 10 VLAN 40 VLAN 20 VLAN 50 Маршрутизатор VLAN 30 12 Аутентификация – порты уровня доступа Авторизация – логические IP интерфейсы маршрутизатора ядра ©2014 Extreme Networks, Inc. All rights reserved. VLAN 60 Не самая удачная схема из возможных Очень трудоемко Превышение критического уровня 13 13 ©2014 Extreme Networks, Inc. All rights reserved. Неизбежны ошибки Access Control Lists Трудно вносить изменения VLAN – broadcast container Мы наш, мы новый мир построим… 14 14 SSID ©2014 Extreme Networks, Inc. All rights reserved. VLAN Изменилось ли что-то? Access Control Lists SSID 10 SSID 40 SSID 20 SSID 50 Controller SSID 30 15 ©2014 Extreme Networks, Inc. All rights reserved. SSID 60 Точка авторизации (IP интерфейс) не совпадает с точкой аутентификации (порт доступа) Access Control Lists VLAN 40 VLAN 10 SSID 30 SSID 50 VLAN 20 VLAN 50 Маршрутизатор VLAN 30 SSID 20 16 VLAN 60 SSID 60 ©2014 Extreme Networks, Inc. All rights reserved. 16 Сегодня в стандартном варианте (WPA II) Generic WPA II ?OK Policy ? Login: Гигиенишвили Password:************* ©2014 Extreme Networks, Inc. All rights reserved. RADIUS Server Сегодня в стандартном варианте (WPA II) +RFC 3580 Generic WPA II + RFC 3580 ?OK RADIUS Server Tunnel ID Policy ? Login: Гигиенишвили Password:************* 18 ©2014 Extreme Networks, Inc. All rights reserved. Политики доступа на контроллере Firewall ? 19 ©2014 Extreme Networks, Inc. All rights reserved. Состояние WiFi на сегодняшний день 20 Technology 20 MHz 802.11b 11 Mbps 802.11a/g 54 Mbps 802.11n (1 SS) 72 Mbps 150 Mbps 802.11ac (1 SS) 87 Mbps 200 Mbps 802.11n (2 SS) 144 Mbps 300 Mbps 802.11ac (2 SS) 173 Mbps 400 Mbps 802.11n (3 SS) 216 Mbps 450 Mbps 802.11ac (3 SS) 289 Mbps 600 Mbps 802.11n (4 SS)[c] 289 Mbps 600 Mbps 802.11ac (4 SS) 347 Mbps 802.11ac (8 SS) 693 Mbps ©2014 Extreme Networks, Inc. All rights reserved. 40 MHz 80 MHz 160 MHz 433 Mbps 867 Mbps 867 Mbps 1.7 Gbps 1.3 Gbps 2.3 Gbps 800 Mbps 1.7 Gbps 3.5 Gbps 1.6 Gbps 3.4 Gbps 6.9 Gbps Овес нынче дорог Firewall производительностью в десятки Gbps ? 21 ©2014 Extreme Networks, Inc. All rights reserved. SSID - Beacon Frames 1 Mbps 11 Mbps 22 ©2014 Extreme Networks, Inc. All rights reserved. 5.5 Mbps 54 Mbps Тратить исключительно жалко 23 ©2014 Extreme Networks, Inc. All rights reserved. Что делать ? Фильтрация пакетов на уровне физического входного порта, а не логического VLAN интерфейса Возможность построения политик безопасности и применение их непосредственно к пользователю а не к группе Способность работать с атрибутикой уровня 2 модели OSI Способность место подключения по IP адресу Распредленность обработки Производительность характерная для сегодняшних LAN 24 ©2014 Extreme Networks, Inc. All rights reserved. Policy Defined WLAN Policy Defined WLAN Critical • VOIP Business Applications • SFDC • SAP/Oracle App’s Best Effort • Apple Bonjour • Email • FTP Unauthorized • Possible Worm • Kazaa Individual Users 25 ©2014 Extreme Networks, Inc. All rights reserved. Вне конкуренции MAC Destination MAC Source EtherType Protocol Bonjour/UPnP Source IP Destination IP Source Port Destination Port ©2014 Extreme Networks, Inc. All rights reserved. Политики доступа в действии Нормальному пользователю TFTP не нужен.... Logon Logon TFTP get Policy no ICMP no SNMP no tftp ©2014 Extreme Networks, Inc. All rights reserved. Policy no ICMP no SNMP no tftp Новая парадигма SSID Accounting SSID Management 28 ©2014 Extreme Networks, Inc. All rights reserved. SSID Development SSID IT SSID Employees SSID Executives Новая парадигма SSID 3rd floor Access Policy Accounting SSID 3rd floor Access Policy Management 29 29 ©2014 Extreme Networks, Inc. All rights reserved. SSID 3rd floor Access policy Development SSID 3rd floor Access policy IT SSID 3rd floor Access policy Employees SSID 3rd floor Access Policy Executives Аутентификация 802.1x MAC SSID Extreme Access policy Contain to VLAN Surveilance RADIUS MAC 802.1x SSID Extreme Access policy Contain to VLAN Development 30 ©2014 Extreme Networks, Inc. All rights reserved. Авторизация Непосредственно на точке доступа независимо от SSID (L2) Switching– SA, DA, Port, VLAN, EtherType, (L3) Routing – SIP, DIP, DSCP, IP Protocol (L4) Application – L4 Source, L4 Dest Contain to VLAN Allow Deny Prioritize Rate Limit 31 ©2014 Extreme Networks, Inc. All rights reserved. Средства конструирования политик доступа 32 ©2014 Extreme Networks, Inc. All rights reserved. Средства конструирования политик доступа 33 ©2014 Extreme Networks, Inc. All rights reserved. Легким движением руки 34 ©2014 Extreme Networks, Inc. All rights reserved. NAC User Identity – Joe Smith Network Access Control Access Type(s) Application Provision Wireless Associated AP: wifi-243 SSID: Prod-Guest BSSID: 0-1a-e8-14-de-98 Web (HTTP): 5Mb download Email (SMTP): 2Mb download All other Services: DISABLED Virtual Device Identity(s) Windows v7.5.3 • Позволяет добавить к авторизационным атрибутам такие как: • Время суток • Местоположение • Операционная система • Тип устройства и т.д. • Мобильный телефон с авторизацией через SMS 35 ©2014 Extreme Networks, Inc. All rights reserved. Authentication MAC-Auth: 28:37:37:19:17:e6 PWA: 00:00:f0:45:a2:b3 802.1X: 00:0D:3A:00:a2:f1 Physical Device Identity(s) Device Type(s) Apple MacBook Air Samsung Galaxy Note Apple Lion OSX v10.7 Android v4.0.4 Location Health Building-A Floor-2 Conference Room-7b Symantec Anti-Virus: Enabled Signature Update – v10.4.3 OS Patches – Up to date Peer2Peer Service: DISABLED 43 Services Running Time of Day Wednesday, April 11, 2012 9:41:00 AM EST Authorization Role: Sponsored Guest Sponsor: Jane Doe Internet Access Shared Engineering Servers Компоненты Purview DPI NetFlow Application Flow and Context data 36 ©2014 Extreme Networks, Inc. All rights reserved. Добро пожаловать в Purview 37 ©2014 Extreme Networks, Inc. All rights reserved. Purview – Представление приложений 38 ©2014 Extreme Networks, Inc. All rights reserved. Purview – Top приложений 39 ©2014 Extreme Networks, Inc. All rights reserved. Purview – отклик приложений 40 ©2014 Extreme Networks, Inc. All rights reserved. Серия коммутаторов Summit X460-G2 41 ©2014 Extreme Networks, Inc. All rights reserved. Основные характеристики Summit X460-G2 Показатель Summit X440 Summit X460 Summit X460-G2 L2 Maximum MAC 16K 32K 32K, 64K, 98K* L3 L3 Hash IPv4 Unicast 512 16K 80K, 48K, 16K* L3 Hash IPv6 Unicast 256 4K 32K, 24K, 8K* IPv4 LPM 64 12K 12K IPv6 LPM 32 6K 6K IP multicast groups 64 4K 4K IP-multicast (s,v,g) entries 1K 6K 24K ECMP --- 2K 4K L3 Interfaces 256 512 512 Ingress ACL 1K 4K 4K Egress ACL No 512 1K Security 42 ©2014 Extreme Networks, Inc. All rights reserved. Коммутаторы Summit X670-G2 43 ©2014 Extreme Networks, Inc. All rights reserved. Основные характеристики Summit X670-G2 Feature X670-G2-48x-4q X670V-48x 48 48 4 integrated on front panel 4 with optional VIM4-40G4X Yes Yes 12MB 9MB >600 nsec >1 µsec 2GB DDR3 SDRAM / 4GB eMMC Flash 1GB SDRAM / 1GB CF Flash Yes No 288K 128K IPv4 Host Addresses IPv4 / IPv6 136K / 48K 6K / 3K 1588 Precision Timing Protocol Yes No 4096 ingress / 1024 egress rules 2048 ingress / 1024 egress rules SummitStack-V, V80, V160, V320 with base system SummitStack-V w/Base System, V80, V160, V320 w/ VIM4 64 64 Front-panel SFP+ 1Gb/10Gb Ports 10Gb/40GbE QSFP+ Ports Front-Back / Back-Front Cooling and Power Supply Airflow Options Packet Buffers Latency CPU Memory Flexible Universal Forwarding Tables MAC Addresses ACL Scaling SummitStack Options Max ©2014 10GbE Ports Extreme Networks, Inc. All rights reserved. 44 Медицинские аналогии Антисептика – система мер, направленных на уничтожение микроорганизмов в ране, патологическом очаге, в органах и тканях, а также в организме в целом УЖЕ ПОПАВШИХ В ВАШУ КОРПОРАТИВНУЮ СЕТЬ ©2014 Extreme Networks, Inc. All rights reserved. Медицинские аналогии Асептика напредупреждение предупреждение Система мероприятий, направленных на внедрения возбудителей инфекции в рану, ткани, органы, полости тела больного В ВАШУ КОРПОРАТИВНУЮ СЕТЬ ©2014 Extreme Networks, Inc. All rights reserved. Медицинские аналогии Только неразрывное сочетание асептики и антисептики образует неразрывную систему, обеспечивающую предупреждение развития внутрибольничной инфекции ВНУСТРИСЕТЕВОЙ ИНФЕКЦИИ ©2014 Extreme Networks, Inc. All rights reserved. В заключение Поддерживается всеми Точками Доступа компании Extreme Networks Netsight Policy Manager средство конфигурации Все функции реализованы в точках доступа на аппаратном уровне ©2014 Extreme Networks, Inc. All rights reserved. В заключение Унификация политик доступа для проводных и беспроводных сетей. 49 ©2014 Extreme Networks, Inc. All rights reserved. Работайте с нами и ваш WiFi сможет еще и не такое.. Login: Васисуалий Лоханкин Passw: Интеллигент RADIUS Server Login: Гигиенишвили Passw: Бывший Князь ©2014 Extreme Networks, Inc. All rights reserved. Вопросы ? ©2014 Extreme Networks, Inc. All rights reserved. 52 ©2014 Extreme Networks, Inc. All rights reserved.
