SlideShare une entreprise Scribd logo

Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS

Cisco Russia
Cisco Russia
Technologie
1  sur  51
Télécharger pour lire hors ligne
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS" ведущий: Сергей Кучеренко 18 ноября 2013 serg.kucherenko@getccna.ru
В программе мастер класса:  Что может понадобится в безопасном офисе нового поколения?  Из чего готовить безопасный офис  Процесс приготовления и его особенности  Презентация готового блюда Note: Слайды помеченные этим значком били для данной демонстрации
Что может понадобится в безопасном офисе?  Доступ для пользователей а не адресов – проводной и беспроводной доступ на основе групповой принадлежности пользователя для PC и Laptop  Защита от Web угроз и контроль рабочего времени – политики доступа к Web на основании групповой или сетевой принадлежности пользователей для PC и Laptop и мобильных устройств  BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push сетевых настроек для безопасного подключение я корпоративной сети, установка корпоративных приложений, защита от утери и кражи устройства
Из чего готовить безопасный офис Нам понадобится:  Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут при приготовлении использованы следующий компоненты:  User Based Firewall  Transparent ZBF  ScanSafe Connector  LDAP Server in AAA  Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 в ходе приготовления был использован интегрированный в ISR WLC на основе ISM-SRE-300 с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы следующий компоненты:  WEB Passthrough Authentication  802.1X Authentication/Authorization
Нам понадобится (продолжение):  Microsoft Windows Server – при приготовлении был использован Windows Server 2008 R2 64-bit со следующими ролями:  Доменная Служба Active Directory  DNS-сервер  Служба политик сети и доступа (NPS)  Служба сертификации Active Directory  Meraki Systems Manager – облачный Mobile Device Manager, использование данного продукта бесплатно. В ходе приготовлении используется:  Push сетевых настроек на мобильные устройства для 802.1x подключений
Процесс приготовления и его особенности Представить/Спланировать/Нарисовать .10 .2 Vlan 95 SF_Mng 192.168.95.0/24 .2 Vlan 96 SF_Open 192.168.96.0/24 .1 .2 Vlan 97 SF_Sales192.168.97.0/24 .1 .2 Vlan 98 SF_TR 192.168.98.0/24 .1 Vlan 50 SF_Data 192.168.32.0/24 .4 .1 G0/0.130 SF_SRV 192.168.30.0/24 G0/0.50 SF_Mng 192.168.95.0/24 SF_Open .4 G0/0.50 SF_Data 192.168.32.0/24 Vlan 95 SF_Mng – MNG zone Vlan 50 SF_Data – IN zone Vlan 96 SF_Open – GUEST zone Vlan 97 SF_Sales – SALES_WF zone Vlan 98 SF_TR – TR_WF zone Vlan 30 SF_SRV – SRV zone G0/2 – OUT zone G0/2 Internet G0/0 Sales Resources .20 .10 SF_Corp Trainer Resources Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair IN_OUT IN_SRV OUT_SRV GUEST_OUT SLAES_WF_SRV TR_WF_SRV MNG_MNG IN_IN SLAES_WF_OUT TR_WF_OUT SLAES_WF_IN TR_WF_IN
Глобальные Этапы приготовления: 1. User Based Firewall 2. ScnaSafe Connector 3. WLC Setup 4. MS Network Policy Server setup 5. Meraki Systems Manager setup
1. User Based Firewall Новый подход позволяющий в качестве match в class-map type inspect использовать user-group user-group – для получения информации о групповой принадлежности пользователей используется функционал Authentication Proxy. Authentication Proxy – Функция позволяющая провести аутентификацию пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с помощью протоколов:  Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот пакет и возвращает пользователю запрос username/password. После ввода проводится проверка пользователя по одному из доступных способов аутентификации. Если способ аутентификации это предусматривает нам маршрутизатор возвращается информация о групповой принадлежности пользователя в случаи успешной аутентификации  FTP – процесс проходит аналогично за исключением того что пользователь должен инициировать FTP запрос для начала процедуры аутентификации  HTTP – для проведения аутентификации используется http или https при использовании http authentication proxy аутентификация может проходить в двух режимах:
Режимы HTTP аутентификации: 1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не включен ip http secure-server передача пользовательских login/password происходит в открытом виде. В случае если secure-server включен аутентификация проходит через https. Если на маршрутизаторе используется само подписанный сертификат пользователь всегда будет видеть сообщении об ошибке сертификата: Для того чтоб ошибка сертификата не появлялась требуется:  Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации”  Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate Authority В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP
2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на адрес virtual-proxy, но маршрутизатор пытается получить информацию о аутентификации пользователя прозрачно запрашивая NTLM enabled browser (IE/Mozilla/Chrome). В качестве username/password используются те что были введены при входе в систему* Credentials пользователя никогда не передаются в открытом виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на сервер аутентификации. При использовании NTLMSSP на клиентской стороне следует:  Для Internet Explorer добавить IP/Name virtual-proxy в список trusted-sites  Для Firefox при использовании Virtual-Proxy IP без name может понадобится изменить файл конфигурации * - работает только на ПК под управлением Windows, ПК должны быть членами Domain, пользовательский вход должен осуществляется с помощью доменной учетной записи В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)
Способы аутентификации:  local – в качестве базы пользователей используется локальная база данных маршрутизатора при использовании данного подхода нет возможности предоставить групповую информацию (Для User Based ZBF не применимо)  radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор воспринимает как имя группы  ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldap возвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=” с помощью default attribute map
Как это работает? IP Admission Rule AAA Rule RADIUS Authentication Request HTTP Request HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request HTTP Request Virtual Proxy IP IF NTLM with HASH Authentication Request class-map type inspect match usergroup Authentication Response Cisco AV Pair “supplicant-group=“ policy-map type inspect class type inspect inspect Authentication Request zone-pair security LDAP Authentication Response HTTP Basic Attribute Map Authentication Response “memberOF=“
Последовательность настройки User Based Firewall: 1. Настройка серверов аутентификации a) RADIUS MS в IOS b) LDAP MS в IOS c) Настройка Microsoft NAP для возврата информации о группах через Radius 2. Настройка правила AAA для authentication-proxy 3. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 4. Настройка ZBF с использованием Group-Info 5. Проверка настроек
Особенности Приготовления b) LDAP MS в IOS  Создаем и настраиваем LDAP server R1(config)#ldap server name name – имя объекта конфигурации, не FQDN сервера R1(config-ldap-server)#ipv4 address R1(config-ldap-server)# transport port port (3268 default for MS) R1(config-ldap-server)#base-dn dn-name dn-name – точка с которой следует начинать поиск пользователя в домене, обычно корень домена R1(config-ldap-server)# bind authenticate root-dn username-dn password password username-dn – DN пользователя под которым будет подключатся Router, пользователя должен иметь достаточно прав для проведения search/read/lookup, далее мы указываем пароль этого пользователя
R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)  Создаем AAA server-group R1(config)#aaa group server ldap name name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaa group server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа будет использоваться при создании правил аутентификации/авторизации R1(config-ldap-sg)#server ldap server name
2. Настройка правил AAA для authentication-proxy  Включаем AAA Framework R1(config)#aaa new-model Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP) будет требоваться локальная аутентификация. Перед выполнением следует убедится что на устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных: R1(config)#enable secret password R1(config)#username name secret password  Создание правила аутентификации R1(config)#aaa authentication login list name group {radius|ldap grup name} list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения аутентификации будут использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь следует указать имя созданной в шаге 2.с) aaa group server ldap
 Создание правила авторизации R1(config)#aaa authorization network list name group {radius|ldap grup name} login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать имя созданной в шаге 2 с) aaa group server ldap 3. Настройка политику authentication-proxy a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN  Исключения Для исключений создается extended ACL в котором deny строки являются исключением из правила (ex: Корпоративный AD/DNS сервер)
 Протокол для проведения аутентификации R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name auth-proxy name – имя правила authentication-proxy, в последующем именованное правило назначается на интерфейс. Для всех настроек имя должно совпадать. ACL name – ACL для исключений созданный в предыдущем шаге  Режим аутентификации для HTTP R1(config)#ip admission name auth-proxy name {http-basic|ntlm} R1(config)#ip admission name auth-proxy name order {http-basic|ntlm} Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается такой же режим как и в предыдущем шаге.
 Virtual IP/Virtual FQDN R1(config)#ip admission virtual-ip ip virtual-host name ip – любой не используемы в сети IP address (ex:1.1.1.1), не может быть адресом маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для аутентификации name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN (ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если задано name перенаправлении всегда идет на имя.  Листы AAA R1(config)# ip admission name name method-list authentication list name authorization list name Указываются имена листов созданных в шаге 2.
b) Изменение таймеров по умолчанию У Auth-proxy существует два основных таймера:  Inactivity Timer – сколько сессия может быть неактивной прежде чем кеш аутентификации будет удален (def=60 min)  Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет) Временные ограничения также могут быть наложены двумя способами:  Global – для всех ip admission rules  Per-rule – для каждого ip admission rules name
c) Назначение Authentication proxy на интерфейс Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и проводить аутентификацию: R1(config)#interface type number R1(config-subif)#ip admission name name – имя правила authentication proxy созданного в предыдущих шагах 4. Настройка ZBF с использованием Group-Info При создании class-map type inspect используется способ поиска match-all и в такой class-map выставляется match user-group, match class-map (match-any) с перечнем приложений, и при необходимости match access-group для ограничения по IP адресам Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс или классы и размещать их выше классов с match по user-group в policy-map type inspect
5. Проверка настроек Для проверки успешного прохождения аутентификации и корректной передачи информации о группах: R1#test aaa group radius username password legacy R1#tes aaa group ldap group username password new-code Эти тест можно проводить с параллельно включенным debug: R1#debug radius R1#debug ldap all Мониторинг работы auth-proxy: R1#sh ip admission cache Очистка Cache: R1#clear ip admission cache {*|username} R1#sh ip admission cache username user
2. ScnaSafe Connector ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:  URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на постоянной основе так и на основе временных рамок  File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также могут быть постоянными либо привязанными к определённым временным диапазонам  Application Filtering – распознавание и фильтрация различных Web based приложений (ex: разрешить Facebook но заблокировать Facebook игры)  Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых сайтов а так же сканирования содержимого этих сайтов
ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта функция позволяет перенаправлять пользовательский HTTP/HTTPS в облако. При перенаправлении к пользовательскому пакеты может быть добавлена информация о username/group для более гибкого наложения политик доступа. Информация о пользователе и группе всегда передается в зашифрованном виде. Перенаправление может осуществляется:  Без аутентификации – в этом случаи все пользователи трафик которых был направлен для фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность назначить различные group на разные интерфейсы ISR в этом случае пользователи находящиеся на разных интерфейсах могут принадлежать разным группам.  С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в перенаправляемый пакет информацию о username/group. Аутентификация рабоатет только через http/https и может проходить в двух уже известных режимах:  HTTP Basic  NTLM
Как это работает? IP Admission Rule AAA Rule HTTP Request vk.com HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request Authentication Request HTTP Request Virtual Proxy IP IF NTLM with HASH Attribute Map Authentication Request Authentication Response HTTP Request vk.com LDAP://Boss HTTP Basic HTTP Request vk.com HTTP Response vk.com Content Scan Access Policy Antimalware Scan Authentication Response “memberOF=Boss“ LDAP
Последовательность настройки IOS ScanSafe Connector: 1. Выдача лицензии 2. Настройка Parameter-Map Content Scan 3. Настройка серверов аутентификации 4. Настройка правила AAA для authentication-proxy 5. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 6. Назначение User-Group на интерфейсах где аутентификация не возможна 7. Включение Content Scan 8. Проверка настроек 9. Базовые настройки на портале администратора
Особенности Приготовления 1. Выдача лицензии При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего содержания: В письме содержится ссылка на портал администратора а так же временный пароль (должен быть изменен при первом входе). В качестве имени администратора используется e-mail of IT contact (нужно указать при заказе) Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company Key>Create New После этого ключ будет выслан на почту администратора
2. Настройка Parameter-Map Content Scan Данный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности. R1(config)#parameter-map type content-scan global Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа  Задать Proxy Servers R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080 R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080 Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по умолчанию используется порт 8080  Задать license R1(config-profile)#license {0|7} key 0 – ключ далее вводится в незашифрованном виде (так он приходит в письме) 7 – ключ вводится в уже зашифрованном виде
 Задать Source IP R1(config-profile)#source address ipv4 address Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление  Default User-group R1(config-profile)#user-group group name group name – имя группы которое будет отправляться в случае когда аутентификацию провести невозможно.  Действие в случае отказа облака R1(config-profile)# server scansafe on-failure {allow-all|block-all}
3. Настройка серверов аутентификации Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM) 4. Настройка правила AAA для authentication-proxy Выполняется так же как для User Based ZBF 5. Настройка политику authentication-proxy Выполняется так же как для User Based ZBF
6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не всегда работает адекватно в мобильных OS 7. Включение Content Scan На внешнем интерфейсе включается функция перенаправления трафика http/https в облако ScanSafe: R1(config)#interface type number R1(config-if)#content-scan out 8. Проверка настроек Статус подключения к Proxy Servers R1#show content-scan summary Проверки аутентификации выполняются так же как для User Based ZBF
9. Базовые настройки на портале администратора  Создание групп – для дальнейшего применения политик на основе групповой принадлежности пользователя требуется создать группы на портале администратора: Admin>Management>Groups>Add Directory Group LDAP группы должны быть созданы в формате LDAP://Group Name. Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.
 Создание Фильтров – фильтр является элементом который идентифицирует URL категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в политику в которой назначается действие Web Filtering>Management> Filters>Create Filter  Создание Политик – политик объединяют группу пользователя фильтр и действие (Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе временных диапазонов Web Filtering>Management>Policy>Create Rule
1. 2. 3. 4. Задаем имя политики Делаем ее активной Указываем действие Выбираем группу к которой будет применятся политика 5. Добавляем Фильтр который будет действовать в этой политике 6. Добавляем расписание работы политики
3. WLC Setup От WLC нам понадобится:  2 SSID:  открытый SSID с captive-portal который будут использовать гости компании а так же сотрудники при подключении с мобильных устройств если на них еще не установлен Meraki MDM client  SSID c 802.1x аутентификаций – к этой беспроводной сети будут подключатся:  сотрудники на PC и Laptop помещаемые с помощью 802.1х аутентификации в тот же VLAN что и в проводной сети  Сотрудники со своих мобильных устройств после получения сетевых настроек из Meraki Systems Manager  802.1х authentication and Authorization
Последовательность WLC Setup: 1. Задание Radius Server в WLC 2. Настройка Captive Portal WLC 3. Настройка открытого SSID 4. Настройка SSID с 802.1x аутентификацией и авторизацией 5. Настройка политик в MS NPS
Особенности Приготовления 1. Задание Radius Server в WLC Security>>>Radius>>Authentication>>>New 2. Настройка Captive Portal WLC Security>>>Web Auth>>>Web Login Page Для создание Custom Captive Portal можно использовать готовые шаблоны Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC:  Bundle загружается с cisco.com как .zip  Выбираем понравившийся вариант странички  Правим его  Архивируем снова весь Bundle в .tar и загружаем на WLC по TFTP Commands>>>Download
3. Настройка открытого SSID  При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую сеть  После этого в настройках Security>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать Passthrough Note: Перенаправление происходит с помощью подмены адреса в DNS Replay на virtual IP контроллера.
4. Настройка SSID с 802.1x аутентификацией и авторизацией  При создании SSID мапируется к интерфейсу Management  После этого в настройках Security>>>Layer 2 оставляем Layer 2 Security в значении по умолчанию Далее переходим на Security>>>AAA Servers и выбираем в качестве сервера аутентификации ранее созданный Для того чтоб на SSID работало назначение VLAN
4. MS Network Policy Server setup Данный этап состоит из двух под-этапов: 1. Задание WLC как Radius client в NPS
2. Создание политик сетевого доступа Минимально достаточные условия:  Группа пользователей  Тип проверки подлинности – EAP Кроме того можно добавить: Тип порта NAS – Wireless 802.11 а так же Понятное имя клиента – Имя WLC в NPS
Необходимо убедится что в свойствах PEAP указан корректный сертификат. Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить следующие атрибуты со значениями:  Tunnel-Type=Virtual LANs (VLAN)  Tunnel-Medium-Type=802  Tunnel-Pvt-Group-ID= VLAN Number
5. Meraki Systems Manager setup Meraki Systems Manager – является бесплатно облачной Mobile Device Management системой. Основные функции мобильные устройства:  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Централизованное развертывание приложений  Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение шифрование/Требование установки пароля и его сложности/…)  Защита при краже или утере (Удаление всех данных с устройства/Удаление данных корпоративных приложений) Основные функции Laptop/PC (Windows/MAC OS)  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Удаленное управление (RDP Windows)  Централизованное развертывание приложений (Windows)
Последовательность настройки Meraki Systems Manager : 1. Регистрация в системе 2. Deployment клиентов a) Android Enrollment b) iOS Enrollment 3. Настройка политик для мобильных устройств
Особенности Приготовления 1. Регистрация в системе https://account.meraki.com/login/dashboard_login?go= После завершения процедуры регистрации мы входим в систему
2. Deployment клиентов За Deployment отвечает раздел Mobile>>>Deployment a) Android Enrollment– можно начать сразу же после входа в систему В наличии инструкция для двух вариантов Enrollment:  Play Market – в этом случае необходимо прочитать QRcode с устройства – это приведёт к перенаправлению на старичку клиента Meraki в Play Market. Устанавливаем клиент и после установки еще раз считываем QR-code  Web Enrolment – необходимо открыть указанную ссылку и подтвердить Enrolment Code После подтверждения кода произойдет перенаправление в Play Market для загрузки приложений Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже работающей инфраструктуре т.к. устройству сразу можно назначить.
b) iOS Enrollment– можно начать сразу же после входа в систему Для iOS Enrollment необходимо:  Иметь или завести новую учётную запись Apple ID  Выгрузить Meraki Certificate Request на PC  Перейти в Apple Push Certification Portal  Создать на портале сертификат используй Meraki Certificate Request и выгрузить его себе на PC  Указать в Organization>>>Settings имя Apple ID и созданный сертификат Варианты Enrollment:  Web based  QR-code  Email
3. Настройка политик для мобильных устройств Основой для применяя политик являются Tags. Tag применяется к устройству, Profile применяется к одному или более Tags. К Profile применятся Settings По умолчанию при первом входе в систему доступен единственный Tag=recently-added Monitor>>>Clients Tag>>> Add добавляем новый Tag Tag>>>Remove удаляем recently-added Mobile>>>Profiles Создаем нужное количество Profile и указываем к каким Tag они будут применятся
Mobile>>>Settings
Полезные ссылки: Финальная конфигурация R1 https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing Security Configuration Guide: Zone-Based Policy Firewall http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London) https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Solution Guide http://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf Cisco ScanCenter Administrator Guide http://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html YouTube канал компании Meraki http://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew Wireless LAN Controller Web Passthrough Configuration Example http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS

Recommandé

Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
SkillFactory
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
Основные аспекты управления веб-проектом в Microsoft Azure Websites
Основные аспекты управления веб-проектом в Microsoft Azure WebsitesОсновные аспекты управления веб-проектом в Microsoft Azure Websites
Основные аспекты управления веб-проектом в Microsoft Azure Websites
Artur Baranok
 
презентация V.2.3.2
презентация V.2.3.2презентация V.2.3.2
презентация V.2.3.2
ООО Компания Стек
 
Новые возможности развертывания и масштабирования open source приложений в Az...
Новые возможности развертывания и масштабирования open source приложений в Az...Новые возможности развертывания и масштабирования open source приложений в Az...
Новые возможности развертывания и масштабирования open source приложений в Az...
Artur Baranok
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
 

Recommandé

Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
SkillFactory
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
Основные аспекты управления веб-проектом в Microsoft Azure Websites
Основные аспекты управления веб-проектом в Microsoft Azure WebsitesОсновные аспекты управления веб-проектом в Microsoft Azure Websites
Основные аспекты управления веб-проектом в Microsoft Azure Websites
Artur Baranok
 
презентация V.2.3.2
презентация V.2.3.2презентация V.2.3.2
презентация V.2.3.2
ООО Компания Стек
 
Новые возможности развертывания и масштабирования open source приложений в Az...
Новые возможности развертывания и масштабирования open source приложений в Az...Новые возможности развертывания и масштабирования open source приложений в Az...
Новые возможности развертывания и масштабирования open source приложений в Az...
Artur Baranok
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
 
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
kzissu
 
Архитектура UCCE: компоненты UCCE и их взаимодействие
Архитектура UCCE: компоненты UCCE и их взаимодействиеАрхитектура UCCE: компоненты UCCE и их взаимодействие
Архитектура UCCE: компоненты UCCE и их взаимодействие
Cisco Russia
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.
Cisco Russia
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site moving
Транслируем.бел
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Cisco Russia
 
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Cisco Russia
 
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCSЭффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
Cisco Russia
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Cisco Russia
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareРазвертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Cisco Russia
 
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
ForkConf
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
Maxim Krentovskiy
 
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Ontico
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
WDDay
 
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетяхPositive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
Positive Hack Days
 
Решения Cisco для хранения данных с использованием UCS, MDS, Nexus
Решения Cisco для хранения данных с использованием UCS, MDS, NexusРешения Cisco для хранения данных с использованием UCS, MDS, Nexus
Решения Cisco для хранения данных с использованием UCS, MDS, Nexus
Cisco Russia
 
1С-Битрикс - Веб-кластер
1С-Битрикс - Веб-кластер1С-Битрикс - Веб-кластер
1С-Битрикс - Веб-кластер
Alexander Demidov
 
Руководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCРуководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPC
Cisco Russia
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
SkillFactory
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Cisco Russia
 

Contenu connexe

Tendances

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.
Cisco Russia
 
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Cisco Russia
 
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Ontico
 

Tendances (20)

Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
 
Архитектура UCCE: компоненты UCCE и их взаимодействие
Архитектура UCCE: компоненты UCCE и их взаимодействиеАрхитектура UCCE: компоненты UCCE и их взаимодействие
Архитектура UCCE: компоненты UCCE и их взаимодействие
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site moving
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного до...
 
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCSЭффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
Эффективная эксплуатация вычислительной инфраструктуры на примере Cisco UCS
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total CareРазвертывание и конфигурацияколлектора CSPC Smart Net Total Care
Развертывание и конфигурацияколлектора CSPC Smart Net Total Care
 
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
(1 часть) 1С-Битрикс. Как настроить двухуровневую конфигурацию веб-приложения...
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
Как балансировать на «сетевом» канате под куполом тяжелой нагрузки? / Сергей ...
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
 
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетяхPositive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
Positive Hack Days. Лепихин. Мастер-класс: Атаки в беспроводных сетях
 
Решения Cisco для хранения данных с использованием UCS, MDS, Nexus
Решения Cisco для хранения данных с использованием UCS, MDS, NexusРешения Cisco для хранения данных с использованием UCS, MDS, Nexus
Решения Cisco для хранения данных с использованием UCS, MDS, Nexus
 
1С-Битрикс - Веб-кластер
1С-Битрикс - Веб-кластер1С-Битрикс - Веб-кластер
1С-Битрикс - Веб-кластер
 
Руководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPCРуководство по началу самостоятельной работы с CSPC
Руководство по началу самостоятельной работы с CSPC
 

Similaire à Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS

Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps way
Andrey Rebrov
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
snowytoxa
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11
Technopark
 
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
Cisco Russia
 

Similaire à Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS (20)

Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
 
Azure web apps - designing and debugging
Azure web apps - designing and debuggingAzure web apps - designing and debugging
Azure web apps - designing and debugging
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps way
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusПрограммируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco Nexus
 
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
 
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятия
 
Bazhin 1 zal
Bazhin 1 zal Bazhin 1 zal
Bazhin 1 zal
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
 
Новые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNGНовые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNG
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11
 
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
Семейство мультисервисных маршрутизаторов Cisco ISR G2. Обзор интегрированных...
 
S terra-presentations new
S terra-presentations newS terra-presentations new
S terra-presentations new
 

Plus de Cisco Russia

Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 

Plus de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Dernier

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 

Dernier (9)

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 

Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS

  • 1. Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе Cisco IOS" ведущий: Сергей Кучеренко 18 ноября 2013 serg.kucherenko@getccna.ru
  • 2. В программе мастер класса:  Что может понадобится в безопасном офисе нового поколения?  Из чего готовить безопасный офис  Процесс приготовления и его особенности  Презентация готового блюда Note: Слайды помеченные этим значком били для данной демонстрации
  • 3. Что может понадобится в безопасном офисе?  Доступ для пользователей а не адресов – проводной и беспроводной доступ на основе групповой принадлежности пользователя для PC и Laptop  Защита от Web угроз и контроль рабочего времени – политики доступа к Web на основании групповой или сетевой принадлежности пользователей для PC и Laptop и мобильных устройств  BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push сетевых настроек для безопасного подключение я корпоративной сети, установка корпоративных приложений, защита от утери и кражи устройства
  • 4. Из чего готовить безопасный офис Нам понадобится:  Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут при приготовлении использованы следующий компоненты:  User Based Firewall  Transparent ZBF  ScanSafe Connector  LDAP Server in AAA  Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 в ходе приготовления был использован интегрированный в ISR WLC на основе ISM-SRE-300 с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы следующий компоненты:  WEB Passthrough Authentication  802.1X Authentication/Authorization
  • 5. Нам понадобится (продолжение):  Microsoft Windows Server – при приготовлении был использован Windows Server 2008 R2 64-bit со следующими ролями:  Доменная Служба Active Directory  DNS-сервер  Служба политик сети и доступа (NPS)  Служба сертификации Active Directory  Meraki Systems Manager – облачный Mobile Device Manager, использование данного продукта бесплатно. В ходе приготовлении используется:  Push сетевых настроек на мобильные устройства для 802.1x подключений
  • 6. Процесс приготовления и его особенности Представить/Спланировать/Нарисовать .10 .2 Vlan 95 SF_Mng 192.168.95.0/24 .2 Vlan 96 SF_Open 192.168.96.0/24 .1 .2 Vlan 97 SF_Sales192.168.97.0/24 .1 .2 Vlan 98 SF_TR 192.168.98.0/24 .1 Vlan 50 SF_Data 192.168.32.0/24 .4 .1 G0/0.130 SF_SRV 192.168.30.0/24 G0/0.50 SF_Mng 192.168.95.0/24 SF_Open .4 G0/0.50 SF_Data 192.168.32.0/24 Vlan 95 SF_Mng – MNG zone Vlan 50 SF_Data – IN zone Vlan 96 SF_Open – GUEST zone Vlan 97 SF_Sales – SALES_WF zone Vlan 98 SF_TR – TR_WF zone Vlan 30 SF_SRV – SRV zone G0/2 – OUT zone G0/2 Internet G0/0 Sales Resources .20 .10 SF_Corp Trainer Resources Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair Pair IN_OUT IN_SRV OUT_SRV GUEST_OUT SLAES_WF_SRV TR_WF_SRV MNG_MNG IN_IN SLAES_WF_OUT TR_WF_OUT SLAES_WF_IN TR_WF_IN
  • 7. Глобальные Этапы приготовления: 1. User Based Firewall 2. ScnaSafe Connector 3. WLC Setup 4. MS Network Policy Server setup 5. Meraki Systems Manager setup
  • 8. 1. User Based Firewall Новый подход позволяющий в качестве match в class-map type inspect использовать user-group user-group – для получения информации о групповой принадлежности пользователей используется функционал Authentication Proxy. Authentication Proxy – Функция позволяющая провести аутентификацию пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с помощью протоколов:  Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот пакет и возвращает пользователю запрос username/password. После ввода проводится проверка пользователя по одному из доступных способов аутентификации. Если способ аутентификации это предусматривает нам маршрутизатор возвращается информация о групповой принадлежности пользователя в случаи успешной аутентификации  FTP – процесс проходит аналогично за исключением того что пользователь должен инициировать FTP запрос для начала процедуры аутентификации  HTTP – для проведения аутентификации используется http или https при использовании http authentication proxy аутентификация может проходить в двух режимах:
  • 9. Режимы HTTP аутентификации: 1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не включен ip http secure-server передача пользовательских login/password происходит в открытом виде. В случае если secure-server включен аутентификация проходит через https. Если на маршрутизаторе используется само подписанный сертификат пользователь всегда будет видеть сообщении об ошибке сертификата: Для того чтоб ошибка сертификата не появлялась требуется:  Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации”  Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate Authority В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP
  • 10. 2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на адрес virtual-proxy, но маршрутизатор пытается получить информацию о аутентификации пользователя прозрачно запрашивая NTLM enabled browser (IE/Mozilla/Chrome). В качестве username/password используются те что были введены при входе в систему* Credentials пользователя никогда не передаются в открытом виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на сервер аутентификации. При использовании NTLMSSP на клиентской стороне следует:  Для Internet Explorer добавить IP/Name virtual-proxy в список trusted-sites  Для Firefox при использовании Virtual-Proxy IP без name может понадобится изменить файл конфигурации * - работает только на ПК под управлением Windows, ПК должны быть членами Domain, пользовательский вход должен осуществляется с помощью доменной учетной записи В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)
  • 11. Способы аутентификации:  local – в качестве базы пользователей используется локальная база данных маршрутизатора при использовании данного подхода нет возможности предоставить групповую информацию (Для User Based ZBF не применимо)  radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор воспринимает как имя группы  ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldap возвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=” с помощью default attribute map
  • 12. Как это работает? IP Admission Rule AAA Rule RADIUS Authentication Request HTTP Request HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request HTTP Request Virtual Proxy IP IF NTLM with HASH Authentication Request class-map type inspect match usergroup Authentication Response Cisco AV Pair “supplicant-group=“ policy-map type inspect class type inspect inspect Authentication Request zone-pair security LDAP Authentication Response HTTP Basic Attribute Map Authentication Response “memberOF=“
  • 13. Последовательность настройки User Based Firewall: 1. Настройка серверов аутентификации a) RADIUS MS в IOS b) LDAP MS в IOS c) Настройка Microsoft NAP для возврата информации о группах через Radius 2. Настройка правила AAA для authentication-proxy 3. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 4. Настройка ZBF с использованием Group-Info 5. Проверка настроек
  • 14. Особенности Приготовления b) LDAP MS в IOS  Создаем и настраиваем LDAP server R1(config)#ldap server name name – имя объекта конфигурации, не FQDN сервера R1(config-ldap-server)#ipv4 address R1(config-ldap-server)# transport port port (3268 default for MS) R1(config-ldap-server)#base-dn dn-name dn-name – точка с которой следует начинать поиск пользователя в домене, обычно корень домена R1(config-ldap-server)# bind authenticate root-dn username-dn password password username-dn – DN пользователя под которым будет подключатся Router, пользователя должен иметь достаточно прав для проведения search/read/lookup, далее мы указываем пароль этого пользователя
  • 15. R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)  Создаем AAA server-group R1(config)#aaa group server ldap name name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaa group server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа будет использоваться при создании правил аутентификации/авторизации R1(config-ldap-sg)#server ldap server name
  • 16. 2. Настройка правил AAA для authentication-proxy  Включаем AAA Framework R1(config)#aaa new-model Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP) будет требоваться локальная аутентификация. Перед выполнением следует убедится что на устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных: R1(config)#enable secret password R1(config)#username name secret password  Создание правила аутентификации R1(config)#aaa authentication login list name group {radius|ldap grup name} list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения аутентификации будут использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь следует указать имя созданной в шаге 2.с) aaa group server ldap
  • 17.  Создание правила авторизации R1(config)#aaa authorization network list name group {radius|ldap grup name} login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к authentication-proxy {radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать имя созданной в шаге 2 с) aaa group server ldap 3. Настройка политику authentication-proxy a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN  Исключения Для исключений создается extended ACL в котором deny строки являются исключением из правила (ex: Корпоративный AD/DNS сервер)
  • 18.  Протокол для проведения аутентификации R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name auth-proxy name – имя правила authentication-proxy, в последующем именованное правило назначается на интерфейс. Для всех настроек имя должно совпадать. ACL name – ACL для исключений созданный в предыдущем шаге  Режим аутентификации для HTTP R1(config)#ip admission name auth-proxy name {http-basic|ntlm} R1(config)#ip admission name auth-proxy name order {http-basic|ntlm} Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается такой же режим как и в предыдущем шаге.
  • 19.  Virtual IP/Virtual FQDN R1(config)#ip admission virtual-ip ip virtual-host name ip – любой не используемы в сети IP address (ex:1.1.1.1), не может быть адресом маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для аутентификации name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN (ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если задано name перенаправлении всегда идет на имя.  Листы AAA R1(config)# ip admission name name method-list authentication list name authorization list name Указываются имена листов созданных в шаге 2.
  • 20. b) Изменение таймеров по умолчанию У Auth-proxy существует два основных таймера:  Inactivity Timer – сколько сессия может быть неактивной прежде чем кеш аутентификации будет удален (def=60 min)  Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет) Временные ограничения также могут быть наложены двумя способами:  Global – для всех ip admission rules  Per-rule – для каждого ip admission rules name
  • 21. c) Назначение Authentication proxy на интерфейс Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и проводить аутентификацию: R1(config)#interface type number R1(config-subif)#ip admission name name – имя правила authentication proxy созданного в предыдущих шагах 4. Настройка ZBF с использованием Group-Info При создании class-map type inspect используется способ поиска match-all и в такой class-map выставляется match user-group, match class-map (match-any) с перечнем приложений, и при необходимости match access-group для ограничения по IP адресам Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс или классы и размещать их выше классов с match по user-group в policy-map type inspect
  • 22. 5. Проверка настроек Для проверки успешного прохождения аутентификации и корректной передачи информации о группах: R1#test aaa group radius username password legacy R1#tes aaa group ldap group username password new-code Эти тест можно проводить с параллельно включенным debug: R1#debug radius R1#debug ldap all Мониторинг работы auth-proxy: R1#sh ip admission cache Очистка Cache: R1#clear ip admission cache {*|username} R1#sh ip admission cache username user
  • 23. 2. ScnaSafe Connector ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:  URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на постоянной основе так и на основе временных рамок  File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также могут быть постоянными либо привязанными к определённым временным диапазонам  Application Filtering – распознавание и фильтрация различных Web based приложений (ex: разрешить Facebook но заблокировать Facebook игры)  Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых сайтов а так же сканирования содержимого этих сайтов
  • 24. ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта функция позволяет перенаправлять пользовательский HTTP/HTTPS в облако. При перенаправлении к пользовательскому пакеты может быть добавлена информация о username/group для более гибкого наложения политик доступа. Информация о пользователе и группе всегда передается в зашифрованном виде. Перенаправление может осуществляется:  Без аутентификации – в этом случаи все пользователи трафик которых был направлен для фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность назначить различные group на разные интерфейсы ISR в этом случае пользователи находящиеся на разных интерфейсах могут принадлежать разным группам.  С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в перенаправляемый пакет информацию о username/group. Аутентификация рабоатет только через http/https и может проходить в двух уже известных режимах:  HTTP Basic  NTLM
  • 25. Как это работает? IP Admission Rule AAA Rule HTTP Request vk.com HTTP Redirect to Virtual Proxy IP IF NTLM with HASH request Authentication Request HTTP Request Virtual Proxy IP IF NTLM with HASH Attribute Map Authentication Request Authentication Response HTTP Request vk.com LDAP://Boss HTTP Basic HTTP Request vk.com HTTP Response vk.com Content Scan Access Policy Antimalware Scan Authentication Response “memberOF=Boss“ LDAP
  • 26. Последовательность настройки IOS ScanSafe Connector: 1. Выдача лицензии 2. Настройка Parameter-Map Content Scan 3. Настройка серверов аутентификации 4. Настройка правила AAA для authentication-proxy 5. Настройка политику authentication-proxy a) Протокол с помощью которого проходит аутентификация/Исключения из аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN b) Изменение таймеров по умолчанию c) Назначение authentication-proxy на интерфейс 6. Назначение User-Group на интерфейсах где аутентификация не возможна 7. Включение Content Scan 8. Проверка настроек 9. Базовые настройки на портале администратора
  • 27. Особенности Приготовления 1. Выдача лицензии При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего содержания: В письме содержится ссылка на портал администратора а так же временный пароль (должен быть изменен при первом входе). В качестве имени администратора используется e-mail of IT contact (нужно указать при заказе) Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company Key>Create New После этого ключ будет выслан на почту администратора
  • 28. 2. Настройка Parameter-Map Content Scan Данный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности. R1(config)#parameter-map type content-scan global Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа  Задать Proxy Servers R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080 R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080 Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по умолчанию используется порт 8080  Задать license R1(config-profile)#license {0|7} key 0 – ключ далее вводится в незашифрованном виде (так он приходит в письме) 7 – ключ вводится в уже зашифрованном виде
  • 29.  Задать Source IP R1(config-profile)#source address ipv4 address Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление  Default User-group R1(config-profile)#user-group group name group name – имя группы которое будет отправляться в случае когда аутентификацию провести невозможно.  Действие в случае отказа облака R1(config-profile)# server scansafe on-failure {allow-all|block-all}
  • 30. 3. Настройка серверов аутентификации Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM) 4. Настройка правила AAA для authentication-proxy Выполняется так же как для User Based ZBF 5. Настройка политику authentication-proxy Выполняется так же как для User Based ZBF
  • 31. 6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не всегда работает адекватно в мобильных OS 7. Включение Content Scan На внешнем интерфейсе включается функция перенаправления трафика http/https в облако ScanSafe: R1(config)#interface type number R1(config-if)#content-scan out 8. Проверка настроек Статус подключения к Proxy Servers R1#show content-scan summary Проверки аутентификации выполняются так же как для User Based ZBF
  • 32. 9. Базовые настройки на портале администратора  Создание групп – для дальнейшего применения политик на основе групповой принадлежности пользователя требуется создать группы на портале администратора: Admin>Management>Groups>Add Directory Group LDAP группы должны быть созданы в формате LDAP://Group Name. Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.
  • 33.  Создание Фильтров – фильтр является элементом который идентифицирует URL категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в политику в которой назначается действие Web Filtering>Management> Filters>Create Filter  Создание Политик – политик объединяют группу пользователя фильтр и действие (Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе временных диапазонов Web Filtering>Management>Policy>Create Rule
  • 34. 1. 2. 3. 4. Задаем имя политики Делаем ее активной Указываем действие Выбираем группу к которой будет применятся политика 5. Добавляем Фильтр который будет действовать в этой политике 6. Добавляем расписание работы политики
  • 35. 3. WLC Setup От WLC нам понадобится:  2 SSID:  открытый SSID с captive-portal который будут использовать гости компании а так же сотрудники при подключении с мобильных устройств если на них еще не установлен Meraki MDM client  SSID c 802.1x аутентификаций – к этой беспроводной сети будут подключатся:  сотрудники на PC и Laptop помещаемые с помощью 802.1х аутентификации в тот же VLAN что и в проводной сети  Сотрудники со своих мобильных устройств после получения сетевых настроек из Meraki Systems Manager  802.1х authentication and Authorization
  • 36. Последовательность WLC Setup: 1. Задание Radius Server в WLC 2. Настройка Captive Portal WLC 3. Настройка открытого SSID 4. Настройка SSID с 802.1x аутентификацией и авторизацией 5. Настройка политик в MS NPS
  • 37. Особенности Приготовления 1. Задание Radius Server в WLC Security>>>Radius>>Authentication>>>New 2. Настройка Captive Portal WLC Security>>>Web Auth>>>Web Login Page Для создание Custom Captive Portal можно использовать готовые шаблоны Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC:  Bundle загружается с cisco.com как .zip  Выбираем понравившийся вариант странички  Правим его  Архивируем снова весь Bundle в .tar и загружаем на WLC по TFTP Commands>>>Download
  • 38. 3. Настройка открытого SSID  При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую сеть  После этого в настройках Security>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать Passthrough Note: Перенаправление происходит с помощью подмены адреса в DNS Replay на virtual IP контроллера.
  • 39. 4. Настройка SSID с 802.1x аутентификацией и авторизацией  При создании SSID мапируется к интерфейсу Management  После этого в настройках Security>>>Layer 2 оставляем Layer 2 Security в значении по умолчанию Далее переходим на Security>>>AAA Servers и выбираем в качестве сервера аутентификации ранее созданный Для того чтоб на SSID работало назначение VLAN
  • 40. 4. MS Network Policy Server setup Данный этап состоит из двух под-этапов: 1. Задание WLC как Radius client в NPS
  • 41. 2. Создание политик сетевого доступа Минимально достаточные условия:  Группа пользователей  Тип проверки подлинности – EAP Кроме того можно добавить: Тип порта NAS – Wireless 802.11 а так же Понятное имя клиента – Имя WLC в NPS
  • 42. Необходимо убедится что в свойствах PEAP указан корректный сертификат. Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить следующие атрибуты со значениями:  Tunnel-Type=Virtual LANs (VLAN)  Tunnel-Medium-Type=802  Tunnel-Pvt-Group-ID= VLAN Number
  • 43. 5. Meraki Systems Manager setup Meraki Systems Manager – является бесплатно облачной Mobile Device Management системой. Основные функции мобильные устройства:  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Централизованное развертывание приложений  Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение шифрование/Требование установки пароля и его сложности/…)  Защита при краже или утере (Удаление всех данных с устройства/Удаление данных корпоративных приложений) Основные функции Laptop/PC (Windows/MAC OS)  Местоположение  Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)  Удаленное управление (RDP Windows)  Централизованное развертывание приложений (Windows)
  • 44. Последовательность настройки Meraki Systems Manager : 1. Регистрация в системе 2. Deployment клиентов a) Android Enrollment b) iOS Enrollment 3. Настройка политик для мобильных устройств
  • 45. Особенности Приготовления 1. Регистрация в системе https://account.meraki.com/login/dashboard_login?go= После завершения процедуры регистрации мы входим в систему
  • 46. 2. Deployment клиентов За Deployment отвечает раздел Mobile>>>Deployment a) Android Enrollment– можно начать сразу же после входа в систему В наличии инструкция для двух вариантов Enrollment:  Play Market – в этом случае необходимо прочитать QRcode с устройства – это приведёт к перенаправлению на старичку клиента Meraki в Play Market. Устанавливаем клиент и после установки еще раз считываем QR-code  Web Enrolment – необходимо открыть указанную ссылку и подтвердить Enrolment Code После подтверждения кода произойдет перенаправление в Play Market для загрузки приложений Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже работающей инфраструктуре т.к. устройству сразу можно назначить.
  • 47. b) iOS Enrollment– можно начать сразу же после входа в систему Для iOS Enrollment необходимо:  Иметь или завести новую учётную запись Apple ID  Выгрузить Meraki Certificate Request на PC  Перейти в Apple Push Certification Portal  Создать на портале сертификат используй Meraki Certificate Request и выгрузить его себе на PC  Указать в Organization>>>Settings имя Apple ID и созданный сертификат Варианты Enrollment:  Web based  QR-code  Email
  • 48. 3. Настройка политик для мобильных устройств Основой для применяя политик являются Tags. Tag применяется к устройству, Profile применяется к одному или более Tags. К Profile применятся Settings По умолчанию при первом входе в систему доступен единственный Tag=recently-added Monitor>>>Clients Tag>>> Add добавляем новый Tag Tag>>>Remove удаляем recently-added Mobile>>>Profiles Создаем нужное количество Profile и указываем к каким Tag они будут применятся
  • 50. Полезные ссылки: Финальная конфигурация R1 https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing Security Configuration Guide: Zone-Based Policy Firewall http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London) https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Solution Guide http://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf Cisco ScanCenter Administrator Guide http://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html YouTube канал компании Meraki http://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew Wireless LAN Controller Web Passthrough Configuration Example http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml