Identidad y Acceso a la Red Eduardo Elizarraras
Los Perfiles de Usuarios y Tráfico Han Cambiado Más usuarios con diferentes roles Más dispositivos con requerimientos únicos... Más aplicaciones generando tráfico demandante... Más recursos con diferentes demandas de seguridad... Quien eres? Empleado vs. Outsourcing vs. Invitado Qué eres? Dispositivo Administrado o No-Administrado Es una amenaza? Riesgo incrementado de datos en movimiento Debes estar aquí? Presión por cumplimientos de regulaciones Internas/Externas Page 2
Extreme Networks le permite a las organizaciones de IT a Manejar Proactivamente sus Operaciones del Negocio Estático Visibilidad limitada del usuario, dispositivo, ubicación y presencia Aprovisionamiento de Red y monitoreo basado en: Dirección IP Información de puertos TCP/UDP ACLs estáticas Configuración Manual Administración Reactiva Dinámico Conciencia de Usuario, Dispositivo, Ubicación y Presencia Aprovisionamiento de Red y Monitoreo basado en: Identidad de Usuario y Dispositivo Identidad de Máquinas Virtuales Acceso basado en Roles, ACLs Dinámicas Configuración Automatizada Administración Proactiva Permitiendo la migración de una red estática a una Red Dinámica (Identity-Aware) 3
Administración de Identidad Tradicional Aprovisionamiento de Identidad y Control de Acceso (IdAM) en el nivel de aplicación (e.x. recursos) Gerente IP: Juan Datos de Propiedad Intelectual Datos de Clientes Ventas: Alicia Sistemas de Recursos Financieros Finanzas: Carlos Comunidad de Usuarios Infraestructura de Red Aplicaciones/ Centro de Datos Application / Data Center Protegidos Page 4
Administración de Identidad Tradicional Aprovisionamiento de Identidad y Control de Acceso (IdAM) en la Red y en el nivel de aplicación con Extreme Networks Gerente IP: Juan Ventas: Alicia Incremento de Disponibilidad de Red Elimina el ruido y actividades maliciosas dentro de la infraestructura. Acceso a la Red y Datos basado en roles e identidad. Audita la actividad de la red por usuario. Datos de Propiedad Intelectual Datos de Clientes Sistemas de Recursos Financieros Finanzas: Carlos Comunidad de Usuarios Infraestructura de Red Aplicaciones/ Centro de Datos Application / Data Center Protegidos Page 5
Identidad y Autenticación de Red Métodos de Autenticación de Red Actuales Netlogin 802.1X Login ID Netlogin Web-based ID Netlogin MAC-radius Que se necesita Autenticación transparente, No intrusiva. Windows Domain Login Kerberos Snooping Atar autenticación e identidad a Roles y Políticas Dinámicas. Rastreo basado en: Usuario Dispositivo Identificación de dispositivos basados en LLDP (e.x. VoIP Phone, Printers, etc ) Nombre de Computadora Ubicación, ubicación, ubicación! Page 6
Autenticación transparente con Kerberos Username IP MAC Computer Name VLAN Location Switch Port # John_Smith 10.1.1.101 00:00:00:00:01 Laptop_1011 1 24 Conciencia de Usuario y Dispositivos a través de Autenticación Transparente» No se requieren de agentes de SW Se utilizan métodos de autenticación existentes.» No se requiere reciclar usuarios al registrarse en la red. Internet Intranet 1 El usuario se registra en el dominio del Active Directory con su usuario y contraseña. Mail Servers 2 Extreme hace snoops el login de Kerberos capturando el usuario. 3 El Active Directory valida y aprueba las credenciales del usuario y le responde al host. 4 Success Extreme le otorga acceso a la Red basado en la respuesta del servidor de AD. Active Directory Server RADIUS Server LDAP Server CRM Database Page 7
Awareness permite Acceso basado en Roles Derivación de Roles» Se les asigna un Rol a los usuarios basados en sus atributos (e.x. Puesto, función laboral, ubicación, etc..)» Se les asigna a los usuarios políticas de red según los Roles para controlar el acceso a los recursos de red sin importar la ubicación. Role Internet Intranet Mail CRM/Database VLAN Unauthenticated Yes No No No Default Contractor Yes Yes No No Default Employee Yes Yes Yes Yes Default Internet User: John Role: Employee Resource Access = Permit All No Authentication Detected Match = Unauthenticated Department Company Who is = Employee John? Alice? Role IBM Intranet User: Alice Role: Contractor Resource Access = Deny Mail and CRM Active Directory Server RADIUS Server LDAP LDAP Server Response Mail Servers User: Bob Role: Unauthenticated Resource Access = Internet Only Data Center Page 8
Awareness Enables Role-based Access Derivación de Roles» Se les asigna un Rol a los usuarios basados en sus atributos (e.x. Puesto, función laboral, ubicación, etc..)» Se les asigna a los usuarios políticas de red según los Roles para controlar el acceso a los recursos de red sin importar la ubicación. Role Internet Intranet Mail CRM/Database VLAN Unauthenticated Yes No No No Default Contractor Yes Yes No No Default Employee Yes Yes Yes Yes Default User: John Role: Employee Resource Access = Permit All Match Group = Query Employee Summit WM3000 Internet Intranet Acceso basado en roles sin importar ubicación, conexión alámbrico o inalámbrico. No depende de VLANs Response Active Directory Server RADIUS Server LDAP Server Mail Servers Data Center Page 9 For Internal Use 2011 Only. Extreme Extreme Networks, Networks Inc. All Confidential rights reserved. and Proprietary. Not to be distributed outside of Extreme Networks, Inc.
Partner Solutions Firewall VPN IPS SIEM UTM Ridgeline Network and Services Mgr DLP AD/LDAP RADIUS Arquitectura Estándar Abierta Device Mgmt Embedded Security (e.g. DoS, IP Spoof, ARP, etc..) Identity and Role-based Wireless Convergence Identity Reporting Role-based Mgmt Extreme XOS Software Modules 3 rd party interface (XML, SNMP, etc ) Application Monitoring Extreme Switching & Wireless Infrastructure Page 10
Gerentes Comerciales Gobierno Federal Gobierno Estatal Jaime López Sergio Rodríguez jalopez@extremenetworks.com smorgado@extremenetworks.com +52.55.5557.6465 +52.55.5557.6465 11
Gracias!