A Siemens Enterprise Communications Company
“There is nothing more important than our customers”
Tu smartphone como dispositivo de seguridad
Jordi Soler
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
El reto de “BYO”
Los programas Bring your own device (BYOD) son cada vez más populares para las empresas de hoy día.- Permite a los usuarios trabajar con el equipo de su elección- Incrementa la satisfacción del empleado- Baja los costes de IT
Muchos tipos de equipos- Bring your own (BYO) iPhone, iPad, tablet, netbook, smartphone ….
Mayores retos en seguridad y gestión, incluso usando los equipos corporativos- Datos privados y sensibles de la empresa residen juntos en un mismo equipo- Las aplicaciones que se instalan en estos equipos no son controlables
- Lo que abre una puerta de acceso en las infraestructuras de las empresas.- Hay que soportar una gran variedad de plataformas hardware y software- Restringir el uso de aplicaciones adicionales en los equipos mediante reglas en la
empresa no es una solución viable- Si se hace, el valor de estos nuevos equipos queda muy limitado para el empleado.
2
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
NACNG – Gestionando la explosion de equipos finales
3
Número de equipos conectados
IP Printers
Medical systems
Facility ManagementBuilding Control
VoIP PhonesDiversidad de sistema/ SO
(Virtual) servers
PC
Sensors,“Machines”
Smart Phones“xPads”
Production Control
Laptops
IP Video Surveillance
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
Registro de los equipos4
Equipos BYO no están gestionados por IT- Falta configuración de seguridad adecuada
- Método fuerte de autentificación- Certificados y/o configuración de encriptación
para la WIFI
NAC proporciona un portal web que permite a un usuario registrar su equipo con sus credenciales
Le podrían seguir las siguientes acciones - Instalación de certificados- Configuración del equipo de forma automática
usando protocolos apropiados- WMI (Windows Management Instrumentation) o
MDM (Mobile Device Management)
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
Detección de nuevos dispositivos – DeviceProfiling
Profiling automático y detección del tipo de equipo- NAC detecta los nuevos dispositivos en la red
automáticamente y los clasifica para determinar el tipo de equipo
- Asignación de una política automática es posible
- Varios orígenes de la clasificación posibles:- Escaneo basado en agente o desde la red
- DHCP OS fingerprinting
- Portal cautivo (usado para remediación y registro o servicios de invitados)
- Se pueden usar clasificadores externos (Netflow, firmas IDS)
- El tipo de equipo puede ser un Sistema Operativo, o tipo de Hardware, como por ejemplo Windows, Windows 7, Debian 3.0, Impresora HP, Android, iPhone, iPad, etc.
5
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
Expandiendo las capacidades de detección de la solución de NAC
- Disponible desde 2005
- Instalada en miles de redes
Autentificación y aplicación de políticas basado en:
- Información del sistema final
- Información de usuario
- Localización (e información histórica)
- Hora
- Método de autentificación
- Estado de salud del equipo
MAC Address
IP Address Tracking First/last seen
Hostname
Phone#
Operating System
Asset IDUsername
Access Point /SSID
Switch/port
Current Location
Switch/portLocation
StateHealth
Applied Policy
Conocimiento del usuario y el equipo
6
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.7
Tipo de acceso: VDI – Virtual Desktop Interface
Usando VDI para conectar equipos BYO- En conjunción con Citrix Receiver technology, el Citrix
Virtual Desktop Infrastructure VDI solution XENDesktop- La plataforma Enterasys Data Center Manager (DCM) en el
CPD es opcional
Citrix Receiver es una tecnologia cliente universal que permite crear desktops virtuales a cualquier usuario o equipo
Ventajas- Acceso a la infrastructura corporativa se puede restringuir
a solo el acceso del VD usando el protocolo Citrix ICA, así no hay otros recursos expuestos.
- Citrix Receiver no requiere que los datos corporativos esten almacenados en el equipo, solo los presenta
Otras soluciones VDI también se pueden soportar
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
Usando VDI para conectar equipos BYO
La alternativa segura- Uso de Virtual Desktop- Restringir acceso a la red corporativa a solo tráfico VDI- Aplicar una política de basada en el usuario para la sesión
VDI en el CDP- Permitir tráfico con destino a recursos externos
8
policy enforcement at the access layer –
device based Server with VDI
instances
Intranet
DMZ
Internet
Other internal traffic blocked
Only VDI (i.e. ICA) traffic to internal ressources allowed
policy enforcement
at the server – user based
VDI traffic – user based enforcement
Internet traffic from other apps
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.9
La alternativa
Acceso nativo para equipos BYO- Los equipos (o sus usuarios) son autenticados o
detectados automáticamente- Como resultado, la política no será igual de restrictiva
que como la aproximación con VDI- Autentificación en lugar de auto detección es
recomendado
La política resultante permitirá- Acceso a Internet si se quiere- Acceso a los recursos necesarios internos- Bloqueará acceso a los recursos sensibles de la
empresa.
Asegura acceso a los servicios- Por ejemplo para aplicaciones médica con soporta
para hacer la ronda con un iPad- Pero sigue protegiendo el resto de recursos críticos
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.
Acceso nativo para equipos BYO
Solución económica- No necesita una solución VDI – reduce CAPEX y OPEX- Restringe el acceso a la red corporativa a solo los recursos
necesarios- Se recomienda usar una autentificación segura y fuerte- No se tiene un control total de los datos en el equipo
10
policy enforcement at the access layer –
user or device based
Application server B
Intranet
DMZ
Internet
Other internal traffic blocked
service access to necessary ressources
Internet traffic from other apps
Application server A
service access to necessary ressources
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.11
Resumen
Automatización- Automatizar la provisión de acceso de cualquier equipo entrando en la red
corporativa
Visibilidad y Control- Control granular del acceso incrementa la seguridad para equipos no
gestionados / no gestionables y equipos privados en la red corporativa
Reducción del coste- Mejorar la eficiencia usando equipos nuevos e innovadores- Reducción del coste de explotación (OPEX) automatizando la provisión
del servicio- No se requiere una infraestructura separada- Usar la misma tecnología que para el control de acceso a la red (NAC) de
otros equipos
©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.12
Preguntas
@JordiETSBcn
A Siemens Enterprise Communications Company
Visit us at: www.enterasys.com