SlideShare una empresa de Scribd logo

Контроль доступа пользователей к ЛВС

Cisco Russia
Cisco Russia
Tecnología
1 de 24
Descargar para leer sin conexión
Контроль доступа пользователей к ЛВС Архитектура безопасности Cisco TrustSec Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
ПРОГРАММА Причины появления Состав и принцип работы Миграция Внедрение 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
“Архитектура, технологии, устройства, системно решающие задачу безопасного доступа к сети” 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Требования Политики Безопасности •Защищать ресурсы  Как можно ближе к ресурсам  Как можно точнее «открывать» доступ  Контролировать среду передачи •Контролировать угрозы (пользователей!)       Как можно ближе к месту их возникновения Кто подключился? Где подключился? Когда был подключен? Куда предоставлялся доступ? Что за устройство? •Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 4
История вопроса Попытки реализации требований NAC appliance infrastructure Статические 2000-е доступа (ACL) 802.1x – списки • изменение топологии сети ПО красиво! проприетарно!сервисов, Рост подсетей, серверов, не • неготовность клиентского приложение, фильтр работало! протоколов, портов • пакетный • масштабируемость • мобильные пользователи (LAN-1, LAN• пакетный фильтр 2, wireless, VPN, ноутбук, iPad) • Работа с IP-адресами, не с пользователями! 13.01.2014
История вопроса Попытки реализации требований - Нет привязки к пользователю, только IP! - Пакетные фильтры - Большие трудозатраты на поддержание актуальности ACL - Несовместимость компонентов 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 6
Работа TrustSec 0. Категорирование пользователей и ресурсов 1. Запрос на доступ в сеть 2. Разрешение + атрибуты доступа (VLAN, ACL, SGT, MacSec) 20 30 Пользователь А Пользователь Б 3. Трафик с метками SGT 4. МЭ - фильтрация трафика на основе меток Канальное шифрование групп ISE 200 300 access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql Сервер A 13.01.2014 Сервер Б © 2013 Cisco and/or its affiliates. All rights reserved. 7
Составные части Cisco TrustSec • Пользователи и оконечные устройства - Компьютеры, мобильные устройства, гостевой доступ, удаленный доступ • Сетевое оборудование - Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС • Сервер политик Cisco ISE • Единая политика доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 8
Матрица доступа в ISE Portal_ACL Portal_ACL 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp deny ip dst dst dst dst dst dst dst dst des eq eq eq eq eq eq eq eq eq 9 443 80 22 3389 135 136 137 138 139
Безопасный доступ с Сisco TrustSec • Единая политика независимо от способа доступа • Тэгирование на уровне доступа(SGT) / фильтрация в ЦОД (SGACL) Сеть Доверия • Аутентификация пользователей 802.1x, WebAuth, MAB • Аутентификация сетевых устройств (NDAC) Конфиденциальность и целостность • Шифрование «провода». 802.1AE • Шифрование со скоростью интерфейса Контроль доступа на основе групп 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 10
1/2 Аутентификация сетевых устройств EAP-FAST over RADIUS Seed Device 13.01.2014 Authorization (PAC, Env Data, Policy) ISE © 2013 Cisco and/or its affiliates. All rights reserved. ISE 11
2/2 Аутентификация сетевых устройств Authenticator Supplicant Supplicant Non-Seed Device 802.1X NDAC Non-Seed Device Seed Device 802.1X NDAC Supplicant 802.1X NDAC ISE ISE Seed Device Authenticator 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 12
Конфиденциальность и целостность Authenticated Encrypted DST SRC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC 0x88e5 MISEec EtherType TCI/AN SL CMD EtherType Version Length Packet Number SCI (optional) SGT Opt Type SGT Value Защита от MitM-аттак Шифрование по стандарту AES-GCM (AES-128) Шифрование/Дешифрование на каждом устройстве Проверка целостности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 13 Other CMD Options
Конфиденциальность и целостность Дешифрование 01101001010001001 Шифрование «Чистый» трафик 01101001010001001 ASIC 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 14
SGT eXchange Protocol (SXP) • SXP нужен для передачи IP-SGT таблицы между «старыми» и «новыми» устройствами • SXP-таблица передается через TCP:64999 • SXP – протокол миграции на CTS-устройства • • Позволяет внедрять CTS без необходимости менять железо во всей сети Модель использования – классификация на доступе, применение политик на CTSустройстве • Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500, Wireless LAN Controller, ISRG2 и ASR1K • Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000, ASA 9.0 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 15
SGT eXchange Protocol (SXP) SGT = Developer (100) SG-ACL/SGT SG-FW SXP-capable only SXP Production Svr (SGT=4) SXP Developer SGT = 100 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Dev Server (SGT=10) SG-ACL 16
TrustSec в КСПД (План) SGACL WLC MACSec Finance Catalyst ASR 1000 ISR G2 Филиал ISE SGT L2 Frame Nexus 5500 GET-VPN IPSec-VPN DM-VPN Catalyst 6500 Nexus 7000 Data Center Sales Flex-VPN Admin План по функциям • Поддержка фреймов SGT на ISR G2 (кроме ISR800) • Поддержка тегов между ISR G2 и ASR на DMVPN, IPSec, FlexVPN • На ASR 1000 доступно сейчас • Для GETVPN доступно сейчас 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 17
Внедрение Режим мониторинга  оценка готовности хостов к внедрению 802.1x/CTS  интерфейс в режиме открытой аутентификации  логирование информации Режим малого воздействия  При успешной аутентификации – полный доступ  При неуспешной аутентификации – частичный доступ (ACL)  DHCP+DNS+Internet Закрытый режим  нет успешной аутентификации – нет трафика 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 18
Режим мониторинга + защита ЦОД Применение политики  Security Group FW Rule  Security Group ACL TrustSec SXP WLC ЛВС Пользователи Catalyst 2960S3K/4K/6K Cat6k Sup2T Nexus 7k Monitor Mode ISE 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 19
Внедрение • “Красная черта” – изменение поведение пользователя - Двухфакторная аутентификация Переназначение VLAN Сетевые диски Failed auth/No response – реакция сети? Добавление машин в домен • Рекомендации 13.01.2014 PEAP Проводной доступ - машинная аутентификация Беспроводной доступ - пользовательская аутентификация (+ профили) Неуправляемые корпоративные устройства – MAB или ACL на VLAN © 2013 Cisco and/or its affiliates. All rights reserved. 20
TrustSec 2.1 Guides 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 21
Cisco TrustSec • Криптостойкая идентификация • Фильтрация на основе группы безопасности, метки • Защита среды передачи • Подключение в любой точке -> соблюдение политик • Оценка состояния (антивирус, патчи) • Реализация матрицы доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 22
Ссылки - Стартовая страница TrustSec http://www.cisco.com/go/trustsec - TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design Zone_TrustSec.html - “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств”. День 2. - “Безопасность в центрах обработки данных”. День 3. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 23
Спасибо! Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Recomendados

Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...
Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...
Обзор архитектуры маршрутизатора ISR 4451-X и новинки продуктовой линейки мар...Cisco Russia
 
Новые решения для сетей предприятий в области коммутации и маршрутизации. Час...
Новые решения для сетей предприятий в области коммутации и маршрутизации. Час...Новые решения для сетей предприятий в области коммутации и маршрутизации. Час...
Новые решения для сетей предприятий в области коммутации и маршрутизации. Час...Cisco Russia
 
Новые решения для сетей предприятий в области коммутации и маршрутизации.Часть 2
Новые решения для сетей предприятий в области коммутации и маршрутизации.Часть 2Новые решения для сетей предприятий в области коммутации и маршрутизации.Часть 2
Новые решения для сетей предприятий в области коммутации и маршрутизации.Часть 2Cisco Russia
 
Новинки продуктовой линейки маршрутизаторов с интеграцией сервисов (ISR)
Новинки продуктовой линейки маршрутизаторов с интеграцией сервисов (ISR)Новинки продуктовой линейки маршрутизаторов с интеграцией сервисов (ISR)
Новинки продуктовой линейки маршрутизаторов с интеграцией сервисов (ISR)Cisco Russia
 
Обзор и применение универсальных маршрутизаторов ISR 4300/4400
Обзор и применение универсальных маршрутизаторов ISR 4300/4400Обзор и применение универсальных маршрутизаторов ISR 4300/4400
Обзор и применение универсальных маршрутизаторов ISR 4300/4400Cisco Russia
 
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейКоммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейCisco Russia
 
Обзор моделей коммутаторов для построения корпоративных ЛВС и новости продукт...
Обзор моделей коммутаторов для построения корпоративных ЛВС и новости продукт...Обзор моделей коммутаторов для построения корпоративных ЛВС и новости продукт...
Обзор моделей коммутаторов для построения корпоративных ЛВС и новости продукт...Cisco Russia
 
Обзор и новинки продуктовых линеек маршрутизаторов Cisco ISR серий 4300/4400,...
Обзор и новинки продуктовых линеек маршрутизаторов Cisco ISR серий 4300/4400,...Обзор и новинки продуктовых линеек маршрутизаторов Cisco ISR серий 4300/4400,...
Обзор и новинки продуктовых линеек маршрутизаторов Cisco ISR серий 4300/4400,...Cisco Russia
 

Más contenido relacionado

La actualidad más candente

Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...
Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...
Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...Cisco Russia
 
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейЭталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейCisco Russia
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования CiscoSkillFactory
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Cisco Russia
 
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Cisco Russia
 
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи.
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи. Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи.
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи. Cisco Russia
 
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха... Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...Cisco Russia
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Cisco Russia
 
Маршрутизатор ASR1000
Маршрутизатор ASR1000Маршрутизатор ASR1000
Маршрутизатор ASR1000Cisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACICisco Russia
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемSkillFactory
 
Портфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииПортфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииCisco Russia
 
Коммутаторы Cisco в промышленном исполнении
Коммутаторы Cisco в промышленном исполненииКоммутаторы Cisco в промышленном исполнении
Коммутаторы Cisco в промышленном исполненииCisco Russia
 
Маршрутизатор ASR1000. Архитектура и применение.
Маршрутизатор ASR1000. Архитектура и применение. Маршрутизатор ASR1000. Архитектура и применение.
Маршрутизатор ASR1000. Архитектура и применение. Cisco Russia
 
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаНовое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаCisco Russia
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Cisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Обзор обновленной линейки коммутаторов.  Unified Access.
Обзор обновленной линейки коммутаторов.  Unified Access. Обзор обновленной линейки коммутаторов.  Unified Access.
Обзор обновленной линейки коммутаторов.  Unified Access. Cisco Russia
 

La actualidad más candente (20)

Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...
Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...
Обзор линейки коммутаторов Cisco Catalyst для построения сетей унифицированно...
 
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетейЭталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования Cisco
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
 
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
 
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи.
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи. Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи.
Архитектура маршрутизатора ASR1k и его применение в сетях операторов связи.
 
Cisco IPS 4300
Cisco IPS 4300Cisco IPS 4300
Cisco IPS 4300
 
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха... Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор технических ха...
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
 
Маршрутизатор ASR1000
Маршрутизатор ASR1000Маршрутизатор ASR1000
Маршрутизатор ASR1000
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 
Портфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииПортфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполнении
 
Коммутаторы Cisco в промышленном исполнении
Коммутаторы Cisco в промышленном исполненииКоммутаторы Cisco в промышленном исполнении
Коммутаторы Cisco в промышленном исполнении
 
Маршрутизатор ASR1000. Архитектура и применение.
Маршрутизатор ASR1000. Архитектура и применение. Маршрутизатор ASR1000. Архитектура и применение.
Маршрутизатор ASR1000. Архитектура и применение.
 
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаНовое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Обзор обновленной линейки коммутаторов.  Unified Access.
Обзор обновленной линейки коммутаторов.  Unified Access. Обзор обновленной линейки коммутаторов.  Unified Access.
Обзор обновленной линейки коммутаторов.  Unified Access.
 
Switching oct2013
Switching oct2013Switching oct2013
Switching oct2013
 

Similar a Контроль доступа пользователей к ЛВС

Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Cisco Russia
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиCisco Russia
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1Positive Hack Days
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасностиОбзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасностиCisco Russia
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаCisco Russia
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании CiscoCisco Russia
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорCisco Russia
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Cisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиCisco Russia
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Andrey Klyuchka
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Russia
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus ArchitectureCisco Russia
 

Similar a Контроль доступа пользователей к ЛВС (20)

Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасностиОбзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционала
 
Cisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation FirewallsCisco ASA . Next-Generation Firewalls
Cisco ASA . Next-Generation Firewalls
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании Cisco
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзор
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus Architecture
 

Más de Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Más de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Контроль доступа пользователей к ЛВС

  • 1. Контроль доступа пользователей к ЛВС Архитектура безопасности Cisco TrustSec Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • 2. ПРОГРАММА Причины появления Состав и принцип работы Миграция Внедрение 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
  • 3. “Архитектура, технологии, устройства, системно решающие задачу безопасного доступа к сети” 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • 4. Требования Политики Безопасности •Защищать ресурсы  Как можно ближе к ресурсам  Как можно точнее «открывать» доступ  Контролировать среду передачи •Контролировать угрозы (пользователей!)       Как можно ближе к месту их возникновения Кто подключился? Где подключился? Когда был подключен? Куда предоставлялся доступ? Что за устройство? •Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 4
  • 5. История вопроса Попытки реализации требований NAC appliance infrastructure Статические 2000-е доступа (ACL) 802.1x – списки • изменение топологии сети ПО красиво! проприетарно!сервисов, Рост подсетей, серверов, не • неготовность клиентского приложение, фильтр работало! протоколов, портов • пакетный • масштабируемость • мобильные пользователи (LAN-1, LAN• пакетный фильтр 2, wireless, VPN, ноутбук, iPad) • Работа с IP-адресами, не с пользователями! 13.01.2014
  • 6. История вопроса Попытки реализации требований - Нет привязки к пользователю, только IP! - Пакетные фильтры - Большие трудозатраты на поддержание актуальности ACL - Несовместимость компонентов 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 6
  • 7. Работа TrustSec 0. Категорирование пользователей и ресурсов 1. Запрос на доступ в сеть 2. Разрешение + атрибуты доступа (VLAN, ACL, SGT, MacSec) 20 30 Пользователь А Пользователь Б 3. Трафик с метками SGT 4. МЭ - фильтрация трафика на основе меток Канальное шифрование групп ISE 200 300 access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql Сервер A 13.01.2014 Сервер Б © 2013 Cisco and/or its affiliates. All rights reserved. 7
  • 8. Составные части Cisco TrustSec • Пользователи и оконечные устройства - Компьютеры, мобильные устройства, гостевой доступ, удаленный доступ • Сетевое оборудование - Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС • Сервер политик Cisco ISE • Единая политика доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 8
  • 9. Матрица доступа в ISE Portal_ACL Portal_ACL 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp deny ip dst dst dst dst dst dst dst dst des eq eq eq eq eq eq eq eq eq 9 443 80 22 3389 135 136 137 138 139
  • 10. Безопасный доступ с Сisco TrustSec • Единая политика независимо от способа доступа • Тэгирование на уровне доступа(SGT) / фильтрация в ЦОД (SGACL) Сеть Доверия • Аутентификация пользователей 802.1x, WebAuth, MAB • Аутентификация сетевых устройств (NDAC) Конфиденциальность и целостность • Шифрование «провода». 802.1AE • Шифрование со скоростью интерфейса Контроль доступа на основе групп 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 10
  • 11. 1/2 Аутентификация сетевых устройств EAP-FAST over RADIUS Seed Device 13.01.2014 Authorization (PAC, Env Data, Policy) ISE © 2013 Cisco and/or its affiliates. All rights reserved. ISE 11
  • 12. 2/2 Аутентификация сетевых устройств Authenticator Supplicant Supplicant Non-Seed Device 802.1X NDAC Non-Seed Device Seed Device 802.1X NDAC Supplicant 802.1X NDAC ISE ISE Seed Device Authenticator 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 12
  • 13. Конфиденциальность и целостность Authenticated Encrypted DST SRC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC 0x88e5 MISEec EtherType TCI/AN SL CMD EtherType Version Length Packet Number SCI (optional) SGT Opt Type SGT Value Защита от MitM-аттак Шифрование по стандарту AES-GCM (AES-128) Шифрование/Дешифрование на каждом устройстве Проверка целостности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 13 Other CMD Options
  • 14. Конфиденциальность и целостность Дешифрование 01101001010001001 Шифрование «Чистый» трафик 01101001010001001 ASIC 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 14
  • 15. SGT eXchange Protocol (SXP) • SXP нужен для передачи IP-SGT таблицы между «старыми» и «новыми» устройствами • SXP-таблица передается через TCP:64999 • SXP – протокол миграции на CTS-устройства • • Позволяет внедрять CTS без необходимости менять железо во всей сети Модель использования – классификация на доступе, применение политик на CTSустройстве • Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500, Wireless LAN Controller, ISRG2 и ASR1K • Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000, ASA 9.0 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 15
  • 16. SGT eXchange Protocol (SXP) SGT = Developer (100) SG-ACL/SGT SG-FW SXP-capable only SXP Production Svr (SGT=4) SXP Developer SGT = 100 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Dev Server (SGT=10) SG-ACL 16
  • 17. TrustSec в КСПД (План) SGACL WLC MACSec Finance Catalyst ASR 1000 ISR G2 Филиал ISE SGT L2 Frame Nexus 5500 GET-VPN IPSec-VPN DM-VPN Catalyst 6500 Nexus 7000 Data Center Sales Flex-VPN Admin План по функциям • Поддержка фреймов SGT на ISR G2 (кроме ISR800) • Поддержка тегов между ISR G2 и ASR на DMVPN, IPSec, FlexVPN • На ASR 1000 доступно сейчас • Для GETVPN доступно сейчас 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 17
  • 18. Внедрение Режим мониторинга  оценка готовности хостов к внедрению 802.1x/CTS  интерфейс в режиме открытой аутентификации  логирование информации Режим малого воздействия  При успешной аутентификации – полный доступ  При неуспешной аутентификации – частичный доступ (ACL)  DHCP+DNS+Internet Закрытый режим  нет успешной аутентификации – нет трафика 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 18
  • 19. Режим мониторинга + защита ЦОД Применение политики  Security Group FW Rule  Security Group ACL TrustSec SXP WLC ЛВС Пользователи Catalyst 2960S3K/4K/6K Cat6k Sup2T Nexus 7k Monitor Mode ISE 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 19
  • 20. Внедрение • “Красная черта” – изменение поведение пользователя - Двухфакторная аутентификация Переназначение VLAN Сетевые диски Failed auth/No response – реакция сети? Добавление машин в домен • Рекомендации 13.01.2014 PEAP Проводной доступ - машинная аутентификация Беспроводной доступ - пользовательская аутентификация (+ профили) Неуправляемые корпоративные устройства – MAB или ACL на VLAN © 2013 Cisco and/or its affiliates. All rights reserved. 20
  • 21. TrustSec 2.1 Guides 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 21
  • 22. Cisco TrustSec • Криптостойкая идентификация • Фильтрация на основе группы безопасности, метки • Защита среды передачи • Подключение в любой точке -> соблюдение политик • Оценка состояния (антивирус, патчи) • Реализация матрицы доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 22
  • 23. Ссылки - Стартовая страница TrustSec http://www.cisco.com/go/trustsec - TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design Zone_TrustSec.html - “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств”. День 2. - “Безопасность в центрах обработки данных”. День 3. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 23
  • 24. Спасибо! Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.