Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 2
TENDENCIAS
PROPUESTAS NAC 1.0
Control acceso RED + Agentes S.O. extra
TNG + IF-MAP
Control acceso Logon Windows con Agentes embebidos
Agentes nativos en XP sp3, Vista y 7
MICROSOFT
CISCO
CISCO FRAMEWORK
08 de mayo de 2012
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 4
SERVICIOS
Assesment Pre-Conexin
NAC
RED
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 6
ANALIZAR USUARIOS Quien podr acceder a la red Cmo se permitir su conexin Qu permisos le sern concedidos Desde dnde se conectarn
ANALIZAR SERVICIOS Centralizados o distribuidos Desde dnde se conectarn los usuarios Requerimientos de Calidad, Disponibilidad, Ancho de Banda, Tiempo de Respuesta, puertos utilizados, NAT,
08 de mayo de 2012
Pgina 7
CRITERIOS DE DISEO
Tipo de Deteccin y autenticacin Punto de autenticacin Anlisis del sistema final Autorizacin del sistema final Remediacin Chequeo post-conexin Fabricantes y estndares
08 de mayo de 2012
Pgina 8
SERVICIOS
NAC
Assesment Basado en 802.1x.. Pre-Conexion Basado en MAC Basado en autenticacin WEB. Basado en logon de Windows FlowControl Configuracin estticas de parejas Post-connection puerto-MAC, Configuracin dinmica de parejas puerto-MAC va SNMP RED Metadata Snooping del protocolo de (LDAP o AD) autenticacin sistemas kerberos NAC Server
guest
VPN VPN
RED
Gestin
guest guest
08 de mayo de 2012
Pgina 10
SERVICIOS
Assesment Pre-Conexion CON AGENTE AGENTE PESADO AGENTE LIGERO
NAC
RED
SIN AGENTE FlowControl Post-connection APPLET ESCANEO JAVA DESDE RED Metadata NAC Server
SERVICIOS NAC poltica de bloqueo todo o paso todo Assesment poltica bsica polticas
RED
Pre-Conexion
poltica granular
grado de cumplimiento
NACde Server polticas cuarentena
08 de mayo de 2012
Pgina 12
Remediacin automtica va agente instalado en el sistema final Remediacin realizada por el usuario asistida va WEB.
RED
Remediacin manual por parte del departamento tcnico
08 de mayo de 2012 Pgina 13 Networking Solutions / SEN / Espaa
SERVICIOS
NAC
NAC Server
SERVICIOS
SERVICIOS
NAC
Chequeo preConexin
NAC GATEWAY ENTERASYS
Chequeo PostConexin
IDS/IPS + FW
Point
Gestor polticas
POLICY MANAGER DE ENTERASYS
08 de mayo de 2012
Pgina 15
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 16
NETWORK CENTRIC
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Servicio
Servicio de Telefona
SLA
Ancho de Banda necesario Delay Prdida de paquetes Jitter
Objetivo
32Kbps por seal* 25ms <0,7% <0,5 ms 4Mbps por cmara 25ms
Medidas adoptadas
Permiso Transmitir slo protocolos de VozIP: Clasificacin y filtrado Rate Limit Uplink = 1 Mbps* Rate Limit acceso = 64 kbps* CoS= 5 Tamao buffer= 30ms VLAN = Voz Permiso Transmitir slo protocolo de VideoIP : Clasificacin y filtrado Rate Limit Uplink = 6 Mbps* CoS= 4 VLAN = Video Rate Limit acceso = 4 Mbps*
Servicio de Video
Servicio de ER3
Transmitir slo protocolo de datos identificados: ER3, DNS, Descartar otros protocolos: Rate Limit = 15 Mbps* CoS= 3 VLAN = Datos
PERFIL
SECRETARIA / OPERADORA / ATENCIN AL CIUDADANO
Servicios Accesibles
FRONT END WEB ATENCIN AL CIUDADANO WEB MAIL VoIP Navegacin segura Internet FRONT END WEB APLICACIN APROBACIN SUBVENCIONES
Ubicaciones posibles
Autenticacin Necesaria
Transmitir cualquier protocolo de datos incluidos los de gestin: SNMP, Telnet, FTP, CoS= 4 VLAN = Gestin Transmitir protocolos de red: web, https, dns, POP3, Rate Limit UpLink = 15 Mbps CoS= 1 VLAN = Datos
Sala A y B de ContactCenter
802.1x
Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, )
GESTOR DE SUBVENCIONES
DEPARTAMENTO DE INFORMTICA
No servidores de red ( FTP, DHC, DNS, ) Ultima release S.O. y navegador WEB Antivirus y firewall personal activado
Consulta al gestor de voz de ltima release de firmware Escaneo de equipo desde red cumpliendo polticas de seguridad: p.ej. no tengan servidores de red ( FTP, DHC, DNS, )
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Entendiendo los servicios ( ejemplo: la Voz-sobre-IP ) Calidad de Voz: Valores de MOS ( Measure of Service ): Medida de la calidad de la llamada de voz extremo a extremo: 1-5 :
Tcnica de Codificacin Tasa de transferencia (kbps) 64 32 6.3 16 8 13 MOS IP fija 4.3 4.0 3.8 3.9 4.0 3.7
Bajas necesidades de ancho de banda Alta Disponibilidad : Seguridad de acceso, separacin de otros trficos,
SLA
Ancho de Banda necesario Delay Prdida de paquetes Jitter
Objetivo
32Kbps por seal* 25ms <0,7% <0,5 ms 4Mbps por cmara 25ms <0,7% <0,5 ms 25ms
Medidas adoptadas
Permiso Transmitir slo protocolos de VozIP: Clasificacin y filtrado Rate Limit Uplink = 1 Mbps* Rate Limit acceso = 64 kbps* CoS= 5 Tamao buffer= 30ms VLAN = Voz Permiso Transmitir slo protocolo de VideoIP : Clasificacin y filtrado Rate Limit Uplink = 6 Mbps* Rate Limit acceso = 4 Mbps* CoS= 4 VLAN = Video Transmitir slo protocolo de datos identificados: ER3, DNS, Descartar otros protocolos: Rate Limit = 15 Mbps* CoS= 3 VLAN = Datos Transmitir cualquier protocolo de datos incluidos los de gestin: SNMP, Telnet, FTP, CoS= 4 VLAN = Gestin Transmitir protocolos de red: web, https, dns, POP3, Rate Limit UpLink = 15 Mbps CoS= 1 VLAN = Datos
Servicio de Video
Servicio de ER3
Delay
Prdida de paquetes
<0,7%
<3%
ANALISIS DE USUARIOS
PERFIL-ROL
SECRETARIA / OPERADORA / ATENCIN AL CIUDADANO
Servicios Accesibles
FRONT END WEB ATENCIN AL CIUDADANO WEB MAIL VoIP Navegacin segura Internet FRONT END WEB APLICACIN APROBACIN SUBVENCIONES APLICACIN GESTIN PRESUPUESTOS EMAIL
Autenticacin Necesaria
Ultima release S.O. y navegador WEB Sala A y B de ContactCenter 802.1x Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, )
GESTOR DE SUBVENCIONES
Ultima release S.O. y navegador WEB Planta 1 802.1x Antivirus y firewall personal activado No instalado: P2P, emule, skype, MI, No servidores de red ( FTP, DHC, DNS, ) Ultima release S.O. y navegador WEB Sotano 802.1x Antivirus y firewall personal activado
Navegacin segura Internet Gestin y Mantenimiento DEPARTAMENTO DE de red INFORMTICA EMAIL BBDD Navegacin Internet VoIP
TELFONO VoIP
VoIP
Cualquiera
802.1x o MAC
PRENSA
SEN CMC BOM For internal use only
INTERNET
Escaneo de equipo desde red cumpliendo pool de mesas para WEB polticas de seguridad: p.ej. no tengan visitantes Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. servidores de red ( FTP, DHC, DNS, )
Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Acceso (bloqueado/no bloquedo) Asignacin VLAN del puerto Asignacin QoS del puerto
Anlisis de tramas L2/L3/L4 en tiempo real para:
Control
PM
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
PT
PI
PB
PA A
Copyright Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved. Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
SIGUIENTE PASO: LA AUTENTICACIN DICTA QUIEN HACE QUE 1.- Despliegue de Polticas 2.- Autenticacin Usuarios
Cliente Radius
X 02.1 C, 8 MA
Perfil Financiero:
S ervicio de Telefona IP : S I S ervicio de Video: NAC NO SERVER
= Polticas
08 de mayo de 2012
Acceso Validado S ervicio de Internet : S I PolPgina tica Personal Financiero Networking Solutions / SEN / Espaa 26
Agenda
SITUACION ACTUAL DEL NAC VISION GLOBAL CRITERIOS DE DISEO REDES ORIENTADAS A SERVICIOS ESCENARIOS DE USO
08 de mayo de 2012
Pgina 27
SERVICIOS
802.1x
NAC
MAC
Basado en 802.1x.. Basado en MAC Basado en autenticacin WEB
RED
08 de mayo de 2012
Pgina 28
SERVICIOS
NAC
MAC
802.1x
MULTIAUTENTICACIN
RED
08 de mayo de 2012
Pgina 29
SERVICIOS
NAC
MAC
802.1x
MULTIAUTENTICACIN VA HUB O SWITCH SIN POLTICAS
RED
08 de mayo de 2012
Pgina 30
SERVICIOS
NAC
MAC RED
MAC
08 de mayo de 2012
Pgina 31
08 de mayo de 2012
Pgina 32
IP Network
SEDE REMOTA
08 de mayo de 2012
Pgina 33
08 de mayo de 2012
Pgina 34
CLIENTES
SERVICIO VIDEO
SERVICIOS
Assesment Pre-Conexion todo
NAC
polticas de cuarentena
08 de mayo de 2012 Pgina 35 Networking Solutions / SEN / Espaa
CLIENTES
SERVICIO VIDEO
SERVICIOS
Assesment Pre-Conexion todo
NAC
RED
08 de mayo de 2012
Pgina 36
CLIENTES
SERVICIO VIDEO
SERVICIOS
NAC
RED
08 de mayo de 2012
Pgina 37
CLIENTES
SERVICIO VIDEO
NAC
08 de mayo de 2012
Pgina 38
CLIENTES
SERVICIO VIDEO
SERVICIOS
NAC
RED
08 de mayo de 2012
Pgina 39
REMEDIACIN
CLIENTES
POLTICAS DE CUARENTENA
Remediacin automtica va agente instalado en el sistema final Remediacin realizada por el usuario asistida va WEB.
RED
08 de mayo de 2012
Pgina 40
CLIENTES
SERVICIOS
SERVICIOS
NAC
FlowControl Post-connection
RED
08 de mayo de 2012
Pgina 41
NAC
Copyright Siemens Protection S.A. 2007. notice All / Copyright rights reserved. notice