Aruba ClearPass bezpečné řízení přístupu do sítě a
integrační možnosti
Daniel Fertšák
Aruba Systems Engineer
ZLOSYNI
DOBŘÍ
LIDÉ
Návštěvník
Napadené známé či
neznámé zařízení
Legitimní osoba s
nekalým úmyslem
Lidská chyba
Kontraktor
Bezpečnostní realita dnešních sítí
Mobilita znamená, že hrozby přicházejí zevnitř
Tradiční bezpečnost na bázi perimetru sítě je minulost
Pro bezpečnost hraje KONTEXT významnou roli
USERS DEVICES
WIRED WIRELESS WAN
DATE/TIME LOCATION IDENTITY PLATFORM 3RD PARTY
Bezpečnostní politiky se musí adaptovat na podmínky
ClearPass
Network Access Management
Device Provisioning
Device Visibility
Visitor Management
Compliance
Základní funkce ClearPass
Mějte pod kontrolou přístup uživatelů, hostů/BYOD a IoT
ClearPass
User:
Bob
Corporate
User:
<None>
User:
Bob
BYOD
User:
<None>
Surveillance
3rd party
Centrální definice přístupových politik
User:
Host
Quarantine Guest
Multivendor
Role
1. Zařízení se připojí k jakémukoliv portu či SSID.
2. Switch nebo AP ověří identitu zařízení/uživatele v Clearpass.
3. ClearPass povolí/zamezí přístup a automaticky nastaví port/SSID do správné bezpečnostní role
6
Multi-vendor
switching
Multi-vendor
WLANs
1.příklad nasazení – interní zaměstnanci/zařízení
Aruba ClearPass
Corporate
Devices
Certificate based 802.1x
• Integrace s Active Directory
• User, Machine autenizace
• Integrace firewally a IPS systémy, service deskem
7
Adaptivní bezpečnostní politika podle vlastnictví zařízení
Enterprise Laptop BYOD Phone
Authentication EAP-TLS
SSID CORP-SECURE
Authentication EAP-TLS
SSID CORP-SECURE
Internet Only Internet and Intranet
8
Internet of
Things (IoT) Multi-vendor
switching
Multi-vendor
WLANs
2.příklad nasazení – “hloupá zařízení/IoT”
Aruba ClearPass
Corporate
Devices
Printer
VLAN
Infusion Pump
VLAN
No 802.1X
MAC authentication with
profile based Authorization
• Integrované profilování připojených zařízení
• Pasivní i aktivní metody
9
Internet of
Things (IoT) Multi-vendor
switching
Multi-vendor
WLANs
3.příklad nasazení – Guest/BYOD
Aruba ClearPass
Corporate
Devices
Guest and
BYOD
Self-Service workflows for
Guest and BYOD devices
save on IT / Security time
• Možnost úprav designu pro propagaci všeho loga a stylu
• Bohaté možnosti způsobů přihlášení (kliknutí, formulář,
SMS, recepce, vouchery...)
• Login ze sociálních sítí
• Zapamatování pro časté návštěvníky
BYOD:
Zaměstanec si sám
zaregistruje své
zařízení Jednoduché pro uživatele i IT: Uživatel se zaregistruje bez pomoci IT,
přitom má IT vše plně pod kontrolou
Bezpečnost: Jednoduše nasadíte certifikátové ověřování se zabudovanou CA
Kontext: Data pro adaptivní politiky z různých zdrojů, třeba IPS či SIEM
Internet of
Things (IoT)
BYOD and
corporate owned
REST API,
Syslog Security monitoring and
threat prevention
Device management and
multi-factor authentication
Helpdesk and voice/SMS
service in the cloud
Multi-vendor
switching
Multi-vendor
WLANs
Aruba ClearPass with
Exchange Ecosystem
ClearPass Exchange: možnosti integrace
12
Proč nasadit ClearPass?
Pro síťového administrátora Pro hlubší bezpečnostní přínosy
• Visibilita koncových zařízení v síti
• Bezpečné řízení přístupu interních
zaměstanců, hostů, BYOD
• „Hloupá“ IoT zařízení už nebudou
taková hrozba
• Inteligence vašeho
firewallu/IPS/MDM se dostane na
celou síť
• Chytřejší politiky ve vašem firewallu
• Síťový správce už nikdy nebude
muset nastavovat porty switche
ručně, zjednodušení operativy a
úspora času
• Vše bude automatické dle politik v
AD či ClearPass
Clearpass is Common Criteria Certified!
14
15
Visibility
• Policy Engine
• RADIUS/CoA
• TACACS+
• Profiling+
• +100 RADIUS
dictionaries
• OnConnect
• Advanced reporting
Automation
• Policy simulation
• Access Tracking
• Template-based
policy creation
• Basic Guest (Social
Login)
• LDAP browser
• Per session logs
Protect
• Exchange
• API
• Syslog
• Extensions
• AirGroup Bonjour/DLNA
• Device registration
• Certificate revocation
Co všechno je uvnitř Clearpass?
16
Nasazení, licencování a cluster
Scale with Clustering
• Supports 1 million endpoints per cluster
• Centralized or distributed architecture
Flexible Licensing
• Perpetual licenses
• Subscription licenses
Physical or Virtual Appliances
• Sized for variety of customer needs
• Virtual Appliance relies upon VMWare