Bezpečnost sítí

Podobné dokumenty
Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

& GDPR & ŘÍZENÍ PŘÍSTUPU

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Výzva k podání nabídky na dodávku WiFi sítě na MČ Brnostřed

Představení Kerio Control

Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

Enterprise Mobility Management

Technické aspekty zákona o kybernetické bezpečnosti

Z internetu do nemocnice bezpečně a snadno

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Google Apps. Administrace

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Extrémně silné zabezpečení mobilního přístupu do sítě

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Intune a možnosti správy koncových zařízení online

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Aktivace RSA ověření

Návod na nastavení sítě Eduroam v prostorách 3.LF

SPS Úvod Technologie Ethernetu

Zkušební provoz wifi sítě na SPŠ a VOŠ Písek

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Dodatečné informace k zadávacím podmínkám č. 2. Řešení IT síťové bezpečnosti BIOCEV. v otevřeném řízení

Extrémně silné zabezpečení mobilního přístupu do sítě.

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Bezpečná autentizace přístupu do firemní sítě

Desktop systémy Microsoft Windows

Návod na nastavení klienta pro připojení k WiFi síti SPŠE Brno

Nastavení MS Windows XP pro připojení k eduroam

AleFIT MAB Keeper & Office Locator

Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot...

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

ICZ - Sekce Bezpečnost

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Specifikace předmětu zakázky

Návod pro připojení do bezdrátové sítě eduroam pro MS Windows XP

Bezpečný přístup v LAN IEEE 802.1X. Petr Hon

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows VISTA

Bezpečnost internetového bankovnictví, bankomaty

Použití čipových karet v IT úřadu

Mobilita a roaming Možnosti připojení

Vysvětlení zadávací dokumentace č. 1

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Obrana sítě - základní principy

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

SSL Secure Sockets Layer

Úloha sítě při zajištění kybernetické bezpečnosti

Nastavení MS Windows XP pro připojení k eduroam

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows XP

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Bezpečnostní vlastnosti moderních sítí

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Poskytněte zákazníkům bezpečný přístup na Internet přes vlastní internetový Hotspot.

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Správa stanic a uživatelského desktopu

Aktivace RSA ověření

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Návod pro připojení do bezdrátové sítě eduroam pro MS Windows XP

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

McAfee EMM Jan Pergler Pre-Sales Engineer I

Počítačové systémy. Uživatelské účty. Mgr. Martin Kolář

Zabezpečení organizace v pohybu

Ivo Němeček. Manager, Systems Engineering Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Krádež eduroam identity a obrana proti ní

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Návod pro připojení do pevné sítě eduroam pro MS Windows VISTA

5. Zabezpečení Wi-Fi

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Poznámky pro uživatele bezdrátové sítě LAN

registrace Fyzické (tj. MAC) adresy

Koncept centrálního monitoringu a IP správy sítě

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Návod pro připojení do bezdrátové sítě eduroam pro MS Windows 8

Karel Bittner HUMUSOFT s.r.o. HUMUSOFT s.r.o.

Instalační a uživatelská příručka

Projekt podnikové mobility

Praha, Martin Beran

eidas odstartuje Německo Jaromír Talíř

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

VPN - Virtual private networks

P16V PŘÍLOHA Č. 5 STANDARD KONEKTIVITY ŠKOL

Xirrus Zajímavé funkce. Jiří Zelenka

Virtualizace desktopů

Řešení služby tisku na vyžádání od HP

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Návod na nastavení připojení k drátové síti na kolejích Jana Opletala pro operační systém MS Windows 10

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Transkript:

Bezpečnost sítí 6. 4. 2017 Jiří Žiška

Pročřešit bezpečnost? Dle statistik je až 90% všech útoků provedeno zevnitř sítě Zodpovědnost za útoky z vaší sítě má vždy provozovatel Bezpečnost je jen jedna pro bezdrátovou i drátovou síť

Kde řešit bezpečnost? U bezdrátových sítí U drátových sítí Na routerech Ve VPN Na aplikační úrovni Správa aktivních prvků

Šifrování a autentizace Šifrování a autentizace jsou téměř nezávislé Šifrování se používá především ve WiFi Typy šifrování WiFi WEP WPA-TKIP IEEE 802.11i (WPA2-AES)

Způsoby autentizace Otevřená síť MAC adresa Web portal Jednotné heslo (pouze WiFi) IEEE 802.1X Jménem a heslem Pomocí certifikátů a SmartCard

IEEE 802.1X Vydání 2001 (2004, 2010) Původně určen pro porty na drátové síti Nutný klient (supplicant) na zařízení, které se přihlašuje do sítě Ve výchozím nastavení neumožňuje přístup do sítě zařízením bez supplicantu

Flex-auth Sequencing Umožňuje se do zabezpečené sítě přihlásit i bez 802.1X supplicantu Podporováno na Cisco přepínačích i u některých jiných výrobců V bezdrátových sítích je omezené

Řešení autentizace? Cisco Identity Services Engine

Identity Services Engine HW i Virtuální platforma Podpora VMware, Hyper-V i KVM Různé licence Možnost HA Standalone nebo distribuovaná architektura

Identity Services Engine Podpora velkého množství databází Mnohem více než jen RADIUS Předdefinované profily pro různé výrobce (nejen Cisco) Možnost propojení s Cisco Prime Infrastructure API

ISE - Funkce Guest Portal RADIUS TACACS+ VPN Klasifikace koncových zařízení BYOD Posture

ISE - Funkce Autentizace na základě polohy Podpora MDM Portál pro generování certifikátů TrustSec pxgrid Easy Connect (PassiveID)

ISE architektura Standalone architektura Možnost HA Distribuovaná architektura Podpora od jednotek klientů až po stovky tisíc klientů

ISE podpora databází Interní databáze (pro uživatele i koncová zařízení) Active Directory Možnost více domén Trusted domény LDAP (RFC 2251) RADIUS Token identity source (RFC 2865) a RSA RADIUS token server Certificate authentication profile

ISE Guest Portal Možnost vytvoření vlastního vzhledu portálu (plná customizace) 15 předdefinovaných jazyků Možnost vytváření portálu ve WYSIWYG editoru (isepb.cisco.com) Uživatelské účty mohou vytvářet vybraní zaměstnanci Účty lze vytvářet pro jednotlivce i hromadně Lze omezit vytváření účtů dle skupin Lze definovat, kdo účty může spravovat

ISE Guest Portal Účet si může vytvořit sám uživatel (self-registration) Vytváření účtů lze omezit pomocí PIN kódu Vytvořené účty mohou vyžadovat schválení navštívenou osobou nebo pověřeným zaměstnancem Účty lze předat různými způsoby Tisk E-mail SMS

ISE Guest Portal Platnost lze nastavit od prvního přihlášení Možnost zobrazení reklamy Lze propojit s registračním portálem zařízení zaměstnanců Portálů může být více (např. dle polohy)

ISE AAA RADIUS pro Autentizaci, Autorizaci a Accounting (zaznamenávání) Možnost ověřit a definovat práva pro přístup na síťové aktivní prvky (TACACS+) Podpora mnoha protokolů (např. MS-ChapV2, EAP-GTC, PEAP, EAP-TLS, PEAP-TLS, EAP-FAST) Proxy funkce pro externí RADIUS (např. EDUROAM) Lze volit pořadí databází, u kterých se uživatel ověřuje

ISE AAA (Autorizace) Lze aplikovat VLAN nebo filtr (ACL) dle: Uživatele (Role, skupiny) Stavu a typu koncového zařízení (Profiling) Místa připojení Historie připojení Politiky lze měnit za běhu pomocí CoA (RFC 3576)

ISE AAA (Accounting) Zaznamenávání aktivity uživatelů a zařízení připojených v síti Systém pro sledování výstrah (úspěšná/neúspěšná přihlašování, neaktivita, stav systému AAA, dostupnost externích databází, aktivita filtrů)

ISE Profiling Automatické rozpoznávání a klasifikace připojených zařízení Předdefinované profily pro běžná mobilní zařízení Předdefinované profily pro síťová zařízení (NAD) různých výrobců Podpora pro IPv6

ISE BYOD Co si představit pod pojmem BYOD??? Registrace a provisioning klientských zařízení Specifické podmínky pro BYOD zařízení Možnost vydávání certifikátů pro BYOD zařízení Možnost automatické konfigurace BYOD zařízení (Windows, MacOS, ios, android)

ISE Posture

ISE EMM

ISE EMM

ISE Easy Connect

ISE Vendor compatibility

ISE Vendor compatibility

ISE Licencování Každý node je HW nebo virtual appliance Virtual appliance není zdarma Support se kupuje pouze pro HW nebo virtual appliance Existují 3 typy licencí BASE, PLUS a APEX Zvlášť licence pro TACACS+

ISE Licencování

ISE Express Bundle Standalone verze ISE Lze pouze jeden virtuální stroj Nelze použít HA (pouze na úrovni virtualizace) Součástí licence pro 150 zařízení Lze licencovat pomocí BASE, PLUS i APEX licencí až do 5000 zařízení Nelze použít s TACACS+ licencí Velmi výhodná cena

ISE Upgrade ACS Brzy bude vyhlášeno End-Of-Sale ACS 5.8 Lze upgradovat z ACS na ISE za zvýhodněných podmínek Možnost upgrade s EoS pravděpodobně také skončí Upgrade lze provést od verze 5.5 výše

Shrnutí MAC adresy jsou nedostatečné zabezpečení (zejména chybí šifrování v bezdrátových sítích) ISE slouží k přihlášení a přidělení práv hostům a zaměstnancům (na firemních i soukromých zařízeních) Síla ISE je zejména v komplexnosti řešení a integraci s ostatními systémy Zabezpečení lze kombinovat a řešit kontext Lze sjednotit bezpečnost pro uživatele v bezdrátové, drátové i VPN síti

Děkuji za pozornost. UNIS COMPUTERS, a.s. Jundrovská 31, 624 00 Brno tel.: +420 544 528 301 fax: +420 541 223 134 obchod@uniscomp.cz Pobočka Praha Zelený pruh 95/97, 140 00 Praha 4 tel.: +420 227 230 080

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář