3. ¿Quién está accediendo actualmente a su red?
¿Puede forzar una política de acceso basada en la
ubicación?
¿Puede distinguir un teléfono de un PC, impresora, o de
cualquier dispositivo IP?
¿Quién puede acceder a qué, desde dónde y cuándo?
Prevenir es mejor que curar
4. Soluciones actuales
Basadas en agente
Cobertura limitada, muy costoso, problemas de
compatibilidad
Gestores de MAC address
engorroso, merma la productividad, fácil de falsificar
Despliegue de protocolos (802.1x)
alto coste de gestión e implementación
IDS / IPS
técnicas de bloqueo problemáticas
5. Sin agente: monitorización y ejecución a nivel puerto
Integración con todos los switches gestionables, soporta
protocolos estándar (snmp, ssh, http)
Sin manipulación del tráfico, sin cambios de topología
Integración con directorio, dominio y pbx
100% cobertura de acceso - soporta múltiples y flexibles
escenarios de autenticación
Direccionamiento dinámico a vlan basado en
fingerprinting y autenticación del dispositivo
Licenciamiento flexible basado en puertos
¿Qué ofrece Portnox?
6. Arquitectura “fail open”
Opciones granulares del “modelo de conexión”
Un solo servidor puede gestionar 20,000 puertos
Solución basada en software, consola web
Se puede desplegar en sistemas virtuales
Control de acceso basado en roles de administración
Primero monitorizar, luego actuar
Principales características
8. A grandes rasgos
1. El dispositivo arranca / se conecta
2. El switch alerta a portnox
3. Portnox chequea la política del puerto
4. Portnox chequea tipo de sistema operativo
5. Portnox enlaza con el perfil apropiado de
autenticación
6. Portnox chequea los modelos de
cumplimiento
7. Alerta / aisla / desactiva / bloquea / actúa
9. • Switch de un vistazo: 1 switch, 24 puertos, 16 dispositivos (tiempo real)
• Validar las operaciones del puerto (lectura / escritura)
Switch ethernet (NAS)
10. •snmp transport:
community
oid lookup
•networking
transport: telnet
user / pass
•win32
transport: rpc
registry
wmi
kerberos,ntlm2
•VoIP:
pbx integration
linux/unix
transport: ssh
user/pass
ssh-key
known host (sshd)
•misc:
fingerprintchaperone
captive portal
transport: interactive
Perfiles de autenticación
13. Autenticación NAS completa
- Perfiles principales de autenticación (win32, snmp, ssh)
- Gestión de excepciones e.g. virtual systems / residents / vouchers
- Próximos pasos:
- Política básica
- Modelo de cumplimiento
Ejemplo de autenticación
14. dispositivos VoIP están sólo en la vlan de voz
dispositivos ocultos no autenticados
tipo de S.O. Windows (e.g., no 9x)
antivirus instalado (e.g., )
nivel parcheado y SP (e.g., MS08-067 – Crítico)
software corporativo no instalado
chequeo de versiones de software
(servicios, procesos, archivos de sistema)
Chequeo de ubicaciones específicas
ninguna máquina invitada
Acción personalizada (portnox shell)
Ejemplos de cumplimiento
15. Remediación
1. Acciones a nivel de puerto
2. Portal cautivo
3. Portal de auto-registro
4. Accesos temporales
16. ¿Quién está actualmente accediendo a su red?
9329 dispositivos, 51930 puertos
¿Puede forzar una política de acceso basada en la
ubicación?
4 sitios, switch y grupos de puertos
¿Puede distinguir un teléfono de un PC, impresora, o de
cualquier dispositivo IP?
Todo elemento con acceso a la red tiene un perfil
¿Quién puede acceder a qué, desde dónde y cuándo?
Políticas basadas en puertos, históricos, reportes
Las respuestas - Portnox