Cisco Lösungen für die Sicherheit bei der Nutzung von mobilen Endgeräten

Transkript

2 Agenda Absicherung der Kommunikation mobiler Endgeräte mittels der Cisco AnyConnect Secure Mobility Lösung Zugangskontrolle durch das Netzwerk mit Hilfe von Cisco Network Admission Control 2006 Cisco Systems, Inc. All rights reserved. 2

4 Herausforderungen mit der Mobilität Verbesserte Remote Access Erfahrung Always-On Schutz und Security Anpassungsfähig Gleiche Erfahrung für den Benutzer im Büro und Unterwegs Erweitern der internen Security Policies zu den mobilen Benutzern Unterstützung für Geräte nach Wahl des Benutzers 2006 Cisco Systems, Inc. All rights reserved. 4

5 Komplexere Anforderungen, aber gleiche Policies Acceptable Use Control Spam Access Control Policy Data-Loss Prevention Threat Protection Malware Infections Intrusions 2006 Cisco Systems, Inc. All rights reserved. 5

6 AnyConnect Secure Mobility Ermöglicht Mobilität, Erweitert die Sicherheit AnyConnect Secure Mobility CORPORATE BORDER SECURITY and POLICY Customers Coffee Shop Home Office Local Data Center Corporate Office Software as a Service Platform as a Service Infrastructure as a Service X as a Service Branch Office Airport Mobile User Attackers Partners 2006 Cisco Systems, Inc. All rights reserved. 7

7 AnyConnect Secure Mobility Solution Overview NEW 1 AnyConnect 2 IronPort Web Security Appliance Vereinfacht Remote Access Erhalten der Verbindung Always-on VPN erzwingen Erweiterter Device Support Spezifische Policies für mobile Benutzer Applikationskontrolle SaaS Zugangskontrolle Mehrschichtiger Schutz Kombinierte Lösung Access und Security Information Sharing Between ASA Firewall and Web Security Appliance News Web-Based AnyConnect ASA Cisco Web Security Appliance Corporate AD Social Networking Enterprise SaaS 2006 Cisco Systems, Inc. All rights reserved. 8

8 Traditionelles Remote Access VPN Begrenzt Überwiegend PC basierender Client Support Manuell Viele Klicks Unterbrochene Verbindungen No Security or Visibility Intranet Corporate File Sharing Security Selten genutzt Nur aktiv wenn unbedingt notwendig 2006 Cisco Systems, Inc. All rights reserved. 9

9 AnyConnect Secure Mobility Web Security with Next Generation Remote Access Auswahl Support für diverse Endgeräte Data Loss Prevention Threat Prevention Acceptable Use Access Control Security UmfassendeSecurity Integriert ins Netzwerk Access Granted Intranet Corporate File Sharing Erfahrung Always-on Intelligenz Dauerhafte Verbindungen 2006 Cisco Systems, Inc. All rights reserved. 10

10 Cisco AnyConnect Client Neue VPN Client Generation verfügbar für viele Systeme: Windows 7 32/64 Bit, Windows Vista 32/64 Bit, Windows XP, Windows 2000 Mac OS X 10.5, Mac OS X 10.6 (32/64 Bit) Intel-based Linux Windows Mobile 5 Pocket PC Edition Windows Mobile 6.0 / 6.1 iphone Stand-alone, Web Launch, und Portal Connection Modes Start before Login (SBL) und DTLS Unterstützung 2006 Cisco Systems, Inc. All rights reserved. 11

11 AnyConnect 2.5 Neue Remote Access Generation Mehr Intelligenz Optimale Gateway Erkennung Trusted Network Detection Mehr Sicherheit Always-On VPN zentral kontrolliert Zustandskontrolle & Quarantäne Bessere Benutzererfahrung Hotspot/Captive Portal Erkennung Sessions bleiben bestehen 2006 Cisco Systems, Inc. All rights reserved. 12

12 Session Mobilität Network Follows User Es funktioniert einfach VPN Session bleibt erhalten Beim Wechsel zwischen Netzen(3G, WiFi, LAN, etc) Bei Verbindungsverlust BeiSystem Hibernation / Standby Administrativ kontrollierte Policy Mit verschiedenen Authentisierungsverfahren Erhalten der Verbindungen Keine Re-Authentisierung nach Hibernation/Standby AnyConnect Cisco Systems, Inc. All rights reserved. 13

13 Trusted Network Detection (TND) Intelligente Mobilität Im Büro Trusted Network Detection Unterwegs AutomatischerConnect / Disconnect unter folgenden Bedingungen: ImBüro Unterwegs Erkennung der Lokation mittels Default Domain Name oder DNS Server IP Weitere Optionen in der Zukunft Zertifikatsbasierende Authentisierung Administrativ kontrollierte Policy Windows XP, Vista, 7 & Mac OS X AnyConnect Cisco Systems, Inc. All rights reserved. 14

14 Captive Portal Behandlung Ermöglicht Benutzern die Anmeldung an einem HOTSPOT Portal AnyConnect erkennt CaptivePortal (redirect) Benutzer authentisiert sich AnyConnect Verbindung wird wieder aufgenommen 2006 Cisco Systems, Inc. All rights reserved. 15

15 IronPort Gateway Security Produkte IronPort SenderBase Internet Internet BLOCK Incoming Threats APPLICATION-SPECIFIC SECURITY GATEWAYS ENCRYPTION Appliance Security Appliance WEB Security Appliance CENTRALIZE Administration PROTECT Corporate Assets Data Loss Prevention Security MANAGEMENT Appliance CLIENTS Web Security Security Security Management Encryption 2006 Cisco Systems, Inc. All rights reserved. 16

16 Cisco IronPort Web Security Appliance 7.0 Full Context Awareness Full Context Awareness Identität Job Sites Human Resource Applikation Instant Message No File Transfer Social Media Warn Gerät Streaming Media 100 kbps/user Lokation P2P All Objekt Priorität 2006 Cisco Systems, Inc. All rights reserved. 17

17 Cisco Adaptive Security Appliance (ASA) Adaptive Threat Defense und VPN Lösungen Adaptive Threat Defense und Flexible VPN Lösung in einem Gerät Applikationssicherheit, Wurm/Virus Abwehr, Malware-Schutz, Threat-Protected VPN und umfangreiche Netzwerkfunktionen Minimiert Inbetriebnahme- und Betriebskosten Plattform Standardisierung, zentrales Management Erweiterbare Technologie gegen zukünftige Bedrohungen Spezialhardware, Adaptive Erkennung und Entschärfungsarchitektur ermöglicht noch nie dagewesene Erweiterbarkeit und Richtlinienkontrolle Die Cisco ASA 5500 Series 2006 Cisco Systems, Inc. All rights reserved. 18

18 VPN Dienste für jeden Anwendungsfall IPSec- und SSL-VPN Dienste Branch Office Site-to-Site Supply Partner Extranet Zugangsszenarien: Site-to-Site, Managed Desktop, Employee Desktop, Kiosk Access Voller oder eingeschränkter Netzwerkzugang Partner Zugang Public Internet Account Manager Mobile User Employee at Home Unmanaged Desktop ASA 5500 Konvergenz von IPSec, WebVPN, Firewall: Konvergenz von IPSec, WebVPN, Firewall: Überwachung von VPN Verbindungen Remote Access VPN Infrastruktur in einem Gerät Zentrale, einheitliche Benutzerverwaltung Optimale Verfügbarkeit Integrierte Lastverteilung Bietet sicheren Zugang für jeden Benutzer von jedem Ort in einem Gerät mit umfassendem Management 2006 Cisco Systems, Inc. All rights reserved. 19

19 Cisco Secure Mobility Portfolio ScanSafe mit AnyWhere+ Roaming Airport Coffee Shop Software as a Service Mobile User Infrastructure as a Service Home Office Platform as a Service ScanSafe SaaS Web Security 12 Rechenzentren Milliarden Web Requests pro Tag 100% Verfügbar AnyWhere+ Roaming Support Zugang zu ScanSafe Services von außerhalb der eigenen Infrastruktur Arbeitet mit VPN Berücksichtigt Lokation 2006 Cisco Systems, Inc. All rights reserved. 21

21 Network Admission Control in Aktion Client baut Verbindung auf Authentifizierung und Überprüfung der Policy (Policy Server) Desktop Agent Si Remediation Corporate Net Zugang erlaubt Zugang verweigert Quarantäne Remediation Quarantine VLAN 2006 Cisco Systems, Inc. All rights reserved. 23

22 NAC Funktionen Authentisierung Zustandskontrolle Authorisierung Authentisiert Nutzer Authentisiert PC Firmen PC? Authentisiert Gast Profile für Geräte Compliance Check OS, Hotfix, Antivirus, Personal Firewall Quarantäne Sanierung Probleme beheben, PC konform machen Definiert verschiedene Zonen / Netzwerk Segmente VLAN Zuweisung ACL Zuweisung 2006 Cisco Systems, Inc. All rights reserved. 25

23 Cisco NAC Anwendungsbereiche Wireless Compliance WLAN Zugang nur für Policy konforme Geräte LAN Compliance für Campus und Außenstellen Netzwerk Zugang nur für Policy konforme Geräte CAMPUS BUILDING 1 WIRELESS BUILDING Q Intranet Access Compliance Zugang zu zentralen Resourcen nur für sichere Geräte Gast Compliance Internetzugang für Gäste Remote User Compliance Intranet Zugang nur für konforme Geräte CONFERENCE ROOM IN BUILDING 3 INTERNET IPSec 2006 Cisco Systems, Inc. All rights reserved. 26

24 NAC Funktionsweise NACAgent (optional) Das Ziel 1. Anwender möchte eine Web-Seite erreichen Netzwerkzugriff wird gestoppt bis der Anwender sich korrekt angemeldet hat. Authentication Server NAC Server 2. Anwender wird zu einer Login Seite umgeleitet NAC überprüft Username und Passwort. Ausserdem wird durch Scans auf Schwachstellen überprüft NAC Manager Intranet/ Network 3a. Gerät ist non compliant oder der login ist falsch Dem Anwender wird der Netzwerkzugriff verweigert und eine quarantine Regel mit Zugriff auf Remediation Server wird zu gewiesen. Quarantine Role 3b. Gerät ist Clean. Maschine kommt auf clean list und erhält Zugriff aufs Netz Cisco Systems, Inc. All rights reserved. 27

25 Einige Vorgekonfigurierte Überprüfungen Critical Windows Updates Windows XP, Windows 2000, Windows 98, Windows ME Anti-Virus Updates Anti-Spyware Updates Other 3 rd Party Checks Cisco Security Agent Kunden können einfach eigene Überprüfungen hinzufügen 2006 Cisco Systems, Inc. All rights reserved. 29

29 NAC Appliance Process Flow VPN Access Laptop IP: Role: Unauthenticated Auth Server IP: NAC Appliance Manager IP: ASA IP: NAC Appliance Server IP: Router IP: Intranet Server IP: NAC Enforcement Point DNS Server IP: Radius Accounting Server IP: Remote user connects to ASA via IPSec or SSL VPN tunnel 2. Remote user obtains IP address from ASA 3. ASA forwards Radius accounting login info to NAC Server 2006 Cisco Systems, Inc. All rights reserved. 34

30 NAC Appliance Process Flow VPN Access Laptop IP: Role: Quarantine Auth Server IP: NAC Appliance Manager IP: ASA IP: NAC Appliance Server IP: NAC Enforcement Point Router IP: DNS Server IP: Radius Accounting Server IP: Intranet Server IP: The Agent queries the NAC Appliance Server to discover if the remote user is authenticated. 5. The Agent performs posture assessment and forwards results to the Server to make the network admission decision Cisco Systems, Inc. All rights reserved. 35

31 NAC Appliance Process Flow VPN Access 6. NAC Server forwards posture report to NAC Manager. 7. Manager determines that the user is NOT in compliance and instructs the Server to put the laptop into the Quarantine Role. 8. NAC Server sends remediation steps to NAC Agent. Laptop IP: Role: Quarantine Auth Server IP: NAC Appliance Manager IP: ASA IP: NAC Appliance Server IP: NAC Enforcement Point Router IP: DNS Server IP: Radius Accounting Server IP: Intranet Server IP: Cisco Systems, Inc. All rights reserved. 36

32 NAC Appliance Process Flow VPN Access Laptop IP: Role: Quarantine Auth Server IP: NAC Appliance Manager IP: ASA IP: NAC Appliance Server IP: Router IP: Intranet Server IP: NAC Enforcement Point DNS Server IP: Radius Accounting Server IP: NAC Agent displays access time remaining in Quarantine Role for remote user 10. The Agent guides remote user through step-by-step remediation with one-click update for virus definition remediation 11. The Agent informs the NAC server that the remote user has been successfully remediated 12. The NAC Server provides the user with an Acceptable User Policy (AUP) agreement 2006 Cisco Systems, Inc. All rights reserved. 37