Технология Secure Networks™


The Presentation inside:

Slide 0

Технология Secure Networks™ распределенная инфраструктурная система регулирования доступа пользователей к сетевым ресурсам


Slide 1

2 Кто мы такие?


Slide 2

3 Чем мы занимаемся?


Slide 3

4 Тема неохватно велика


Slide 4

5 Типичный дизайн


Slide 5

6 Типичный дизайн VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 Маршрутизатор


Slide 6

7 Детектирование/Предотвращение атак и вторжений (типичный дизайн)


Slide 7

8 Детектирование/Предотвращение атак и вторжений (типичный дизайн)


Slide 8

9 Гладко было на бумаге, да забыли про овраги Access Control List (ACL)


Slide 9

10 «Как я выжил будем знать только мы с тобой...» Access Control Lists Очень трудоемко Неизбежны ошибки Трудно вносить изменения VLAN – broadcast container Превышение критического уровня Spanning Tree protocol


Slide 10

11 Лес рубят, щепки летят устройство и номер порта на нем ???


Slide 11

12 Близок локоть, да не укусишь L 3-7 OSI L 2 OSI MAC Addresses Ethertype DSAP/SSAP TCI


Slide 12

13 «Овес нынче дорог» При небольшой сети ~ 200-300 пользователей; При современной тенденции к использованию 1000Base-T на рабочее место; Даже с учетом того, что сетевая карта пользователя будет работать в половину номинальной производительности; 100-150 Network Sensors


Slide 13

14 «Овес нынче дорог» Средства обработки и анализа; Средства конфигурации; Высококвалифицированные специалисты;


Slide 14

15 И что же мы с этого будем иметь?


Slide 15

16 Где же выход? ? Фильтрация пакетов на уровне физического входного порта, а не логического VLAN интерфейса Производительность характерная для сегодняшних LAN Способность работать с атрибутикой уровня 2 модели OSI Способность идентифицировать порт по IP адресу Возможность построения политик безопасности и применение их непосредственно к пользователю а не к группе Независимость от физического и логического дизайна сети (проблемы STP)


Slide 16

17 Редкостный дар Аутентификация – это само собой.. Динамическая авторизация с использованием атрибутики уровней с 4 по 2 включительно (регулирование происходящего внутри VLAN)


Slide 17

18 Внешне картинка меняется несильно


Slide 18

19 Однако логически она совершенно другая... VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 Маршрутизатор


Slide 19

20 Каждый получает свое ? Login: Гигиенишвили Password:************* Policy Не следует играть в игры с соседом. Работать, работать, работать...


Slide 20

21 Интеллект сети распространяется на ее периферию Каждый коммутатор знает что такое Политики И может динамически их применить к любому своему порту


Slide 21

22 Опять очень похожая картинка


Slide 22

23 И опять совершенно иная логика Нелегальный DHCP сервер Он творит безобразия Изменить политику для этого порта Настучать кому следует


Slide 23

24 Большой круг Применение политики Анализ траффика Принятие решения


Slide 24

25 Малый круг Классификация пакетов в соответствии с атрибутикой L2-L4 Анализ траффика Управление портами Применение политик в большом круге и блокада портов по результатам анализа в малом Мгновенное самостоятельное принятие решения Выключение порта при наличии на нем определенных видов траффиков


Slide 25

26 Воистину инфраструктурная Нелегальный DHCP сервер Он творит безобразия Изменить политику для этого порта Настучать кому следует


Slide 26

27 Идеальный вариант L2-L7


Slide 27

28 Антисептика – система мер, направленных на уничтожение микроорганизмов в ране, патологическом очаге, в органах и тканях, а также в организме в целом УЖЕ ПОПАВШИХ В ВАШУ КОРПОРАТИВНУЮ СЕТЬ Медицинские аналогии


Slide 28

29 Медицинские аналогии Асептика - Система мероприятий, направленных на предупреждение внедрения возбудителей инфекции в рану, ткани, органы, полости тела больного В ВАШУ КОРПОРАТИВНУЮ СЕТЬ на предупреждение


Slide 29

30 Медицинские аналогии Только неразрывное сочетание асептики и антисептики образует неразрывную систему, обеспечивающую предупреждение развития внутрибольничной инфекции ВНУСТРИСЕТЕВОЙ ИНФЕКЦИИ


Slide 30

31 В заключение Поддерживается всеми коммутаторами серии Matrix Все функции реализованы в коммутаторах на аппаратном уровне


Slide 31

32 Работайте с нами и ваш LAN сможет еще и не такое.. Login: Гигиенишвили Passw: Бывший Князь Login: Васисуалий Лоханкин Passw: Интеллигент


Slide 32

33 Спасибо


Slide 33

34 Можно ли перехватить траффик в коммутируемой сети? IP 10.7.70.33 IP 10.7.70.32 Switch (VLAN)


Slide 34

35 Можно ли перехватить траффик в коммутируемой сети? IP 10.7.70.33 IP 10.7.70.32 Switch (VLAN) Да. Port Mirroring Но требует доступа к средствам управления коммутатора


Slide 35

36 Можно ли перехватить траффик в коммутируемой сети? IP 10.7.70.33 IP 10.7.70.32 VLAN Да. Переполнить Source Address Table коммутатора Работа сети резко замедляется, это очень хорошо идентифицируется простейшими средствами


Slide 36

37 Ловкость рук и никакого мошенничества IP 10.7.70.33 IP 10.7.70.32 VLAN Использует специфику стандартов ARP и Ethernet Необходимые утилиты есть в свободном доступе в Internet ARP Spoofing


Slide 37

38 Вывод Информация при передаче ее по сети предельно уязвима и доступна любому человеку со стороны если Вы ничего не предприняли для ее защиты!


×

HTML:





Ссылка: