Integrácia Cisco Trustsec do BYOD prostredia (praktické ukážky) Marek Kľoc CCIE #21288 Pavol Frič CCNP Security
Obsah o Predstavenie demo prostredia [15 min.] Vysvetlenie niektorých použitých technológií o Popis prístupovej (fiktívnej) politiky [5 min.] o Ukážky [2,5 hod.] o Otázky [10 min.]
Predpoklady o Pozorné sledovanie prednášok dopoludnia :-)
Zoznam ukážok (demonštrácia možností tech.) o Prvé pripojenie BYOD zariadenia (riadenie prístupu) o Registrácia BYOD zariadenia (onboarding) o Riadenie prístupu BYOD zariadení s pomocou CTS Zamestnanci Hostia Kontraktori o Vnorené ukážky SGFW Integrácia s VDI infra IPT Sniffing (podľa času)
Zoznam ukážok (scénarov) o Čo nebude prezentované MACsec (laptop->prepínač ; prepínač->prepínač) SGT mapping (port, IP, vlan) MDM integrácia APP integrácia Integrácia s VDI (podľa CVD) RAVPN integrácia
zaujímavosť o Jedna z možností tagovania
Demo prostredie ISE 1.1.1 Catalyst 6504E with Sup2T (15.0(1)SY) Catalyst 3750X (IOS 15.0(2)SE) Catalyst 3560C (IOS 15.0(2)SE) ASA 5515X (v9) WLC2500 (v7.3) AP3600 ipad v3 (ios 6) IPT7911 a 7961 Notebook s Windows XP (SP3) Virt. Win7 (SP1) Annyconnet 3.1 (NAM) AD Win2008R2 CUCM v8.6 ESXi v5 MS Exchange 2010 IIS s ASP.NET
BYOD zariadenia Čo nieje v demo infraštruktúre BYOD (problém pripojiť )
Prístupová politika (ukážka, demonštrácia možností) 1. Len technický pracovníci môžu si doniesť vlastné zariadenie :-) 2. Zaregistrovať je možné iba zariadenia Apple 3. Možné sú výnimky pre 1,2 4. Na BYOD zariadeniach je možné prevádzkovať a. IPT službu b. prístup k firemnému webu (napr. pre naštudovanie dokumentov k riadeniu kvality podľa ISO) c. Prístup k firemnému emailu d. Prístup do VDI 5. Z BYOD zariadení je zakázané spravovať firemnú infraštruktúru 6. Správa firemnej infraštruktúry je možná len z autorizovaných zariadení (??) 7. Prístup kontraktorov je možný z BYOD zariadení k vybraným službám, za podmienky, že spĺňajú tieto kritéria: a. Aktuálny AV/AS b. Aktivovaný a heslom chránený šetrič obrazovky 8. Hosťom je umožnený prístup na Internet z BYOD zariadení, oprávnenie pre prístup vydáva príslušný manažér
Ukážka #1 Prvé pripojenie BYOD zariadenia User ID A metóda Rola CTS rola Prístup Zariadenie roman PEAP manager Bez prístupu a možnosti registrácie ipad
Ukážka #2 Registrácia BYOD zariadenia (onboarding) Autentizácia užívateľa Fingerprint Aplikovanie PKI profilu Aplikovanie CONF profilu Vynútenie zmeny (CoA) Autentizácia novým profilom
Ukážka #2 Registácia BYOD zariadenia User ID A metóda Rola CTS rola Prístup Zariadenie Michal PEAP secadmin Registracny portal ipad Michal EAP-TLS secadmin Employee_byod IPT,Mail,Intraweb,VDI ipad
Ukážka #3.1 Riadenie prístupu BYOD zariadení s pomocou CTS Employee access User ID A metóda Rola CTS rola Prístup Zariadenie Michal EAP-TLS secadmin Employee_byod IPT,Mail,Intraweb,VDI ipad Peter PEAP appadmin App_Admins Byod+App mgmt VDI
Ukážka #3.2 Riadenie prístupu BYOD zariadení s pomocou CTS Employee access User ID A metóda Rola CTS rola Prístup Zariadenie Michal EAP-TLS secadmin Employee_byod IPT,Mail,Intraweb,VDI ipad Michal PEAP secadmin Security_Admins Byod+sec mgmt VDI
Ukážka #3.3 Riadenie prístupu BYOD zariadení s pomocou CTS Employee access User ID A metóda Rola CTS rola Prístup Zariadenie Michal PEAP (User only) secadmin Employee Byod VDI Michal PEAP (User+device) secadmin Security_A dmins Byod+sec mgmt VDI
Ukážka #3.4 Riadenie prístupu BYOD zariadení s pomocou CTS Employee access SG Firewall User ID A metóda Rola CTS rola Prístup Zariadenie Michal EAP-TLS secadmin Employee_byod IPT,Mail,Intraweb,VDI ipad Peter PEAP appadmin App_Admins Byod+App mgmt VDI
Ukážka #4 Riadenie prístupu BYOD zariadení s pomocou CTS Contractor access User ID A metóda Rola CTS rola Prístup Zariadenie contractor1 PEAP contractors contractors Mail, Contractors portal Contractor s PC + PA
Ukážka #5 Riadenie prístupu BYOD zariadení s pomocou CTS Guest access User ID A metóda Rola CTS rola Prístup Zariadenie roman PEAP manager employee Employee+guest portal VDI Chuck n... web guests Internet byod
Ďakujem za pozornosť marek.kloc@lynx.sk pavol.fric@lynx.sk