Главная страница

Поиск по названию:


Справочник по криптографии и методам аутентификации •




Скачать 127.53 Kb.
PDF просмотр
НазваниеСправочник по криптографии и методам аутентификации •
страница12/12
Дата конвертации31.12.2012
Размер127.53 Kb.
ТипСправочник
1   ...   4   5   6   7   8   9   10   11   12




Адаптивная wIPS
Компоненты и функции
ТД
Обнаруж.
24x7 скан
атаки
Over-the-Air Обнаруж.
WLC
Настройка
Управление wIPS ТД
Архив.
Хранение
MSE
сигналов 
«захват»-
тревоги
пакетов
Комплексн. Анализ атак, 
Криминалистика, Событий
WCS
Централиз.
Историч.
мониторинг
отчетность
Мониторинг, 
Отчетность




Mobility Services Engine
Поддержка сервисов Cisco Motion
3310 Mobility Services Engine
3355 Mobility Services Engine
Поддержка адаптивной wIPS для 2000 
Поддержка адаптивной wIPS для 3000 
ТД в Monitor Mode
ТД в Monitor Mode
Поддержка Context Aware для 
Поддержка Context Aware для 
отслеживания до 2000 устройств
отслеживания до 18000 устройств
Требует WLC ПО версии 4.2.130 или 
Требует WLC ПО версии 6.0 или выше
выше и WCS версии 5.2 или выше.
и WCS версии 6.0 или выше.
• Сервисы мобильности могут иметь другие требования к ПО
WLC/WCS
• Адаптивная wIPS лицензируется по количеству ТД в wIPS 
monitor mode



• 1. Attack Launched against infrastructure device (‗trusted‘ AP)
• 2. Detected on AP
Communicated via CAPWAP to WLC
• 3. Passed transparently to MSE via NMSP
• 4. Logged into wIPS Database on MSE
Sent to WCS via SNMP trap
• 5. Displayed at WCS
© 2010 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
120


Option A
Option B
Enhanced 
Local Mode
Local Mode
WIPS Monitor 
Mode/CleanAi
r MMAP + 
WIPS MM
WIPS Monitor Mode or CleanAir MM 
Turn on ELM on all APs 
+ WIPS MM on CleanAir AP:
(including CleanAir)
Recommendation – Ratio of 
1:5 MMAP to Local Mode APs
© 2010 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
121


Руководства по внедрению
• Management Frame Protection
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a008080dc8c.shtml
• Wired/Wireless IDS Integration
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a00807360fc.shtml
• Adaptive wIPS Deployment Guide
–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde
p.html


Выводы


Невзламываемая сеть – возможно ли?
• Максимальный уровень безопасности
– Аутентификация EAP-TLS + смарт-карты (eToken)
– Принудительное отключение автоматического выбора 
профиля на клиентских устройствах
– Проверка серверных сертификатов
– Интеграция с проводными IDS
– Адаптивная беспроводная IDS система с возможностью 
Forensics
• Пример Cisco Systems – 75000 сотрудников
– Автоматический выбор профиля, сертификат сервера не 
проверяется
– Аутентификация EAP-FAST по логину и паролю
– Шифрование – TKIP с постепенным переходом на AES
124


Выводы
• не используйте уязвимые протоколы
• используйте для защиты корпоративных сетей  
технологии корпоративного класса, MFP
• контролируйте радиосреду на предмет наличия DoS атак 
– необходима IDS система
• контролируйте настройки (сапликант) на клиентских ПК -
они самое слабое звено
• используйте заложенные в оборудование функции
• отделяйте зерна от плевел оценивая реальность угроз –
о каких то угрозах можно просто забыть
• Посторонние устройства представляют серьезную угрозу
• Возможность провести расследование НЕОБХОДИМА!!! 
А что дальше делал хакер? Получилось?
126





Фокус на абонентов
• Автоматизированные средства распространения обновления для 
ПО и антивирусоов
• Принудительное использование VPN при работе вне 
корпоративной беспроводной стеи
• От уязвимостей нулевого дня невозможно защититься
127



Рекомендованная литература
• Глава 28 УК РФ. Преступления 
в сфере компьютерной 
информации

 Статья 272 УК РФ. 
Неправомерный доступ к 
компьютерной информации

 Статья 273 УК РФ. Создание, 
использование и 
распространение вредоносных 
программ для ЭВМ

 Статья 274 УК РФ. Нарушение 
правил эксплуатации ЭВМ, 
системы ЭВМ или их сети

128


Спасибо!
Просим Вас оценить эту лекцию.
Ваше мнение очень важно для нас.


WEB аутентификация
“…. Человека по одежке встречают
-Народная мудрость



Атаки против Webauth
• Используются в хотспотах или гостевых сетях
• Основываются на Web аутентификации поверх открытой L2
сети
131



Атаки Webauth
• Открытые сети означают отсутствие защиты на канальном 
уровне
– Нет шифрования или аутентификации!
• Легко запустить атаку L2 и взломать соединения
• MAC spoofing чрезвычайно просто реализуем
132


Атаки Webauth
• Атака просто реализуется отсоединением клиента или 
использованием его адреса во время его неактивности
• 802.11 практически не позволяет предотвратить MAC spoofing, 
если не включить шифрование/аутентификацию на L2 (WPA, 
WPA2)
• Предотвращение: PSK + Webauth
133



User-Based Policy and 
Device Identification

BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
134



Cisco User-Based Policy Offering
• Dynamic Policy
ISE
User Specific Attributes
• Device Profiling
ACS
• Static Policy
WLC
• Cisco ACS (or other RADIUS server which can provide Vendor 
Specific Attributes) can provide static user-based policy which is 
assigned upon initial authentication.
• Cisco Identity Services Engine can provide dynamic user-based 
policy which can be assigned upon initial authentication and changed 
during a session using CoA (Change of Authorization).
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
135




Cisco User-Based Policy Solution with ACS
Employees
• Employee VLAN
User
• Gold QoS
Specific Attributes
Contractors
• Contractor VLAN
• No QoS
• Restrictive ACL
User Specific Attributes
ACS*
• Static Policy
Employee
Employee
VLAN
Employee
WLC
Contractor
VLAN
ACLs
Contractor
*This could also be any RADIUS server that supports VSAs.
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
136





Cisco ACS User Policy Steps
Phase 1
User Authentication
EAP
ACS
Phase 2
User Policy
Allowed 
WLC
Limited 
User?
Access
QoS
• Silver
ACL
• Allow-All
Allowed 
Access
VLAN • Employee
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
137


Cisco Controller User-Based Policy 
Attributes

Network Access
• “Airespace-Interface-Name”
• Sets the Interface to which the client is connected.
Network Restrictions
• “Airespace-ACL-Name”
• Sets the Access Control List used to filter traffic to/from the client.
Quality of Service
• “Airespace-QOS-Level”
• Sets the maximum QoS queue level available for use by the client 
(Bronze, Silver, Gold or Platinum).
• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”
• Sets the maximum QoS tagging level available for use by the client.
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
138





Cisco Wireless LAN Controller ACLs
Inbound
Wired 
LAN
Outbound
Implicit Deny All at the End
• ACLs provide L3-L4 policy and can be applied per interface or per 
user.
• Cisco 5508 and WiSM2 implement line-rate ACLs.
• Upto 64 rules can be configured per ACL.
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
139


Endpoint Access Challenges

IT is struggling with:
-
Classifying managed vs. 
unmanaged endpoints
-
ID devices that cannot authenticate
X
n
-
User <-> Device association
te 
ice
ibur

catio
But there barriers:
ime
tt
User
Lo
T
Dev
A
-
Multiple access mediums
-
Endpoint certainty 
-
No automated way to discover 
new endpoints
PC and Non-PC Devices
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
140





Endpoint Profiling Solution - Cisco Identity 
Services Engine (ISE)


New ground up solution
-
Multiple sensors – rich profiling
-
Complete visibility and tracking
-
Holistic (wired + wireless)
-
Integrated Authentication,
X
n
te 
Authorization
ice
ibu
catio
r
-
Other services (Guest, 
ime
tt
User
Lo
T
Dev
A
Posture, Device Registration)
-
Flexible deployment
ISE
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
141


Integrated, Enhanced Device Profiling with 
Cisco Identity Services Engine 

―iPad Template‖
―Custom Template‖
Visibility for Wired and 
Simplified ―Device 
Create Your Own 
Wireless Devices
Category‖ Policy
Device Templates
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
142





Powerful Policy Deployments with ISE
Consolidated Services, 
Session Directory
Flexible Service 
SW Packages
Deployment
ACS
NAC Manager
User ID
Device (and IP/MAC)
All-in-One 
Admin
M&T
HA Pair
Console
NAC Profiler
NAC Server
ISE
Distributed PDPs
Location
Access Rights
NAC Guest
Tracks Active Users and Devices
Optimize Where Services Run
Simplify Deployment and Admin
Policy Extensibility
Manage Security 
System-Wide Monitoring 
Group Access
and Troubleshooting
SGT
Public
Private
Staff
Permit
Permit
Guest
Permit
Deny
Link in Policy Information Points
Keep Existing Logical Design
Consolidated Data, 3 Click Drill-In
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
143


Cisco’s User-Based Policy Solution with ISE
User and Device
Specific Attributes

• Device Profiling
ISE
• Dynamic Policy
Employees
• Employee VLAN
• Gold QoS
Employee Mobiles
• Employee VLAN
• Gold QoS
• Restrictive ACL
Employee
VLAN
Contractors
WLC
• Contractor VLAN
Contractor
• No QoS
VLAN
• Restrictive ACL
• With the ISE, Cisco wireless can 
Contractor Mobiles
support multiple users and device 
• No Access
types on a single SSID.
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
144




Cisco ISE Device Profiling and Policy Steps
EAP
Phase 1
Device Authentication
MAC, DHCP, DNS, HTTP
Phase 2
Device Identification
ISE
Phase 3
Device Policy
Allowed 
WLC
Limited 
Device?
Access
QoS
• Silver
ACL
• Allow-All
Allowed 
Access
VLAN • Employee
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
145




ISE Device Profiling Capabilities
Smart 
Phones
Minimum 
Confidence for a 
Match
Multiple
Rules to Establish 
Confidence Level
Gaming 
Consoles
Workstations
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
146



ISE Device Profiling Example - iPad
• Once the device is profiled, it is stored within 
the ISE for future associations:
Is the MAC Address 
from Apple?
Does the Hostname 
Contain ―iPad‖?
Is the Web Browser 
Safari on an iPad?
ISE
Apple iPad
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
147




Cisco ISE Provides Policy for Wired and 
Wireless LANs

Centralized Monitoring 
NCS
of Wired and Wireless 
ISE
Networking, Users and 
Endpoints
Central Point of Policy for 
Wired and Wireless Users 
and Endpoints
• Unified wired and wireless policy (ISE) and management (NCS).
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
148





Client Type and Policy Visibility with NCS 
and ISE Integration

Device Identity 
from ISE 
Integration
AAA Override 
Parameters 
Applied to 
Client
Policy 
Information 
Including 
Posture
BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
149




NCS Provides Cross-Linking to ISE Reports 
on Profiling

BRKEWN-2021
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
150

1   ...   4   5   6   7   8   9   10   11   12

Похожие:

Справочник по криптографии и методам аутентификации • iconСправочник рыболова
Справочник рассчитан на широкие слои любителей рыбалки. В книге детально, на современном уровне разбираются способы
Справочник по криптографии и методам аутентификации • iconЕдиный тарифно-квалификационный справочник работ и профессий рабочих Раздел Общие положения
...
Справочник по криптографии и методам аутентификации • iconЕдиный тарифно-квалификационный справочник работ и профессий рабочих (выпуск 57)
Единый тарифно-квалификационный справочник работ и профессий рабочих (выпуск 57) (далее еткс) состоит из раздела: «Рекламно – оформительские...
Справочник по криптографии и методам аутентификации • iconЛекции по математическим методам физики конденсированного состояния Я. И. Родионов Москва 2011
МисиС и института теоретической физики Ландау. Выбор тем может показаться экстравагантным. Я, однако, не стремился к полноте освещения,...
Справочник по криптографии и методам аутентификации • iconАарон Бек, Артур Фримен. Когнитивная психотерапия расстройств личности
В качестве иллюстраций приводятся описания случаев из клинической практики. Книга адресована как специалистам, придерживающимся когнитивно-поведенческой...
Справочник по криптографии и методам аутентификации • iconСправочник социальных
КратКий обЗор уСлуг
Справочник по криптографии и методам аутентификации • iconСправочник / Под ред. В. П. Клюевой
Христианство
Справочник по криптографии и методам аутентификации • iconСправочник продукции «Just» (Том второй)
Вместо введения
Справочник по криптографии и методам аутентификации • iconИ. Я. Атанасова Практическая морфология русского языка пособие-справочник
Содержание
Справочник по криптографии и методам аутентификации • iconСправочник кустаря
Типография издательства «Радио и связь», 101000, Москва, ул. Мясницкая, д. 40
Разместите кнопку на своём сайте:
recept.znate.ru


База данных защищена авторским правом ©recept.znate.ru 2012
обратиться к администрации
Recept