Transcription
Hálózatok építése, konfigurálása ésműködtetéseNagyvállalati hálózatok - Enterprise networks
CISCO hálózatokCisco eszközök a vállalaton belül 2Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
3Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise CampusSzámítástechnikai infrastruktúra része Hálózati szolgáltatások eléréseEgy adott helyen elérhető hálózat Lehet egy emelet vagy akár több épület is Nagy sebességű L2 és L3 rétegek Integrált elemek, amelyek szolgáltatások megvalósítását teszik lehetővé olyanfelhasználók és eszközök között, akik ugyanazon a nagysebességű hálózathoztartoznak 4Vezetékes és vezetéknélküli adattovábbításForgalom azonosítás és irányítás (biztonság)Forgalom figyelés és menedzsmentRendszer menedzsmentHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise CampusCampus hálózat követelmények Globális elérhetőség Együttműködések, valós idejű kommunikációVédekezés a támadások ellenGyors változáskövetés Multimédia, interaktív HD videoHeterogenitás 5Az eszközöket adaptálni kell a változásokhozGyorsabb, egyszerűbb frissítések, módosításokÚj hálózati protokollok (pl. IPv6 megjelenése)Következő generációs alkalmazások növekvő igényei ötkilences rendelkezésre állás, valós idejű interaktív alkalmazások, gyors hibaelhárításKevesebb, központosított adat. Hálózati elérés minden üzleti folyamatban7x24x365-ös működésPartner és vendég hálózatokKülönböző eszközök támogatásaHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise CampusHálózati tervezés 6RendelkezésreállásBiztonságOptimális erőforrás használatTeljesítményKritikus alkalmazásokSokféle igény, sokféle forgalomHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Rendelkezésreállás7Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
RendelkezésreállásMTBF: Mean Time Between FaliureMTTR: Mean Time to Repair SLA: Service LevelAgreement𝑀𝑇𝐵𝐹Rendelkezésre állás (Availability):𝑀𝑇𝐵𝐹 𝑀𝑇𝑇𝑅Soros esetben (mindkét komponensre szükség van) AS: 𝐴1 𝐴2S1S2Párhuzamos esetben (Csak akkor áll, ha mindkettő áll) AS: 1-(1-𝐴1 ) (1 𝐴2 )S1S28Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
MTBF és MTTR értékek Cisco példa Catalyst 4500datasheet120év9Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Defects per Million (DPM) A hiba hatása a felhasználó szemszögéből Felhasználói élmény mérése DPM:σ(é𝑟𝑖𝑛𝑡𝑒𝑡𝑡 𝑓𝑒𝑙ℎ𝑎𝑠𝑧𝑛á𝑙ó𝑘 𝑠𝑧á𝑚𝑎 𝑘𝑖𝑒𝑠𝑒𝑡𝑡 𝑖𝑑ő)Ö𝑠𝑠𝑧𝑒𝑠 𝑓𝑒𝑙ℎ𝑎𝑠𝑧𝑛á𝑙ó 𝑡𝑒𝑙𝑗𝑒𝑠 𝑠𝑧𝑜𝑙𝑔á𝑙𝑡𝑎𝑡á𝑠𝑖 𝑖𝑑ő 106Szintén fontos metrika, a maximális kiesés mértéke10Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Felépítés11Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
12Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hierarchia és modularitás Komplex rendszerek Moduláris komponensek hierarchikusan felépítveKülön-külön tervezhetőekRészben független elemekEgyszerűbb menedzsmentMinden elemnek meghatározott szerepe vanMeghatározott funkciók és szolgáltatások13Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Campus hierarchia 3 szintű hierarchia 14Lehet kevesebb is és több isAccess/hozzáférési réteg: Felhasználók és eszközök közvetlen hálózat eléréseDistribution/elosztási réteg: Access rétegek aggregációja, szolgáltatások elérhetőségeCore/központi réteg: Nagy hálózatokban a distribution rétegek összekapcsolásaHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Access (hozzáférési) réteg Felhasználó gépek, végpontok csatlakozásaVezetékes vagy vezetéknélküli kapcsolat Nagy sávszélességű kapcsolatTöbb alhálózat (logikai szétválasztás) Biztonságos, hibatűrő működés Teljesítmény, biztonság, menedzsmentMagas rendelkezésreállásVédekezés az emberi hibák ésrosszindulatú támadások ellenHitelesített szolgáltatások ésfelhasználókMegkülönböztetett forgalmak15Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hozzáférési réteg feladatai A legszélesebb funkciókínálatot mutató réteg Konfigurálás, feltérképezésBiztonsági szolgáltatásokHálózati azonosításAlkalmazás felismerő szolgáltatásokIntelligens hálózat irányítási szolgáltatásokFizikai infrastruktúra szolgáltatások (PoE)A hálózat és az eszközök határa 16Biztonság, QoS, házirend feladatokHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hozzáférési réteg eszközei Felhasználói eszközök Munkaállomások,VoIP berendezések,hozzáférési pontok, kapcsolókGigabit Ethernet switch 17Biztonsági megoldások, monitorozás, PoE„Stackable”2-5 Gpbs sebességPl: Cisco Catalyst 2960-X, Catalyst 3850,HP 5500Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hozzáférési réteg eszközei Rack szekrény18Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Core (központi) réteg Állandó összeköttetés az egész campus számáraA legegyszerűbb, de egyben a legkritikusabb réteg Always-on, 7x24x365Nagyon szűk szolgáltatáskör 19Nincsenek felhasználókNincsenek házirendekKizárólag Layer 3 kapcsolatok! (Nincs switching)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Központi réteg REDUNDANCIA! Nagyon fontos, hogy bármely eszközkiesése esetén maradjon a működés Tervezett bővítések, cserékFeladata, hogy a campus más moduljainak aggregálása20Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Központi réteg nélkülVSTöbb kapcsolat, költségesebb is21Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Központi réteg eszközei 10/40/100 Gb EthernetRedundanciaPl: Cisco Nexus 7700, Catalyst 6800,HP 750022Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Distribution (elosztási) réteg Irányítási határSzolgáltatás és szabályozás réteg a hozzáférési és a központi rétegközött Kapcsolódás a hozzáférési réteghez Aggregálja a hozzáférési pontok forgalmátKapcsolódás a központi réteghezSzabályozás A helyi forgalom maradjon a helyi hálózatonForgalomszűrések, forgalomfelügyelet 23Hozzáférés vezérlésTámadás, hiba esetén hibatartomány korlátozásHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Komplexitás, rendelkezésreállás A hozzáférési réteg Csökkenti a komplexitást Növekedő rendelkezésreállás 24Kapcsolatok számának csökkentéseKonfigurálás komplexitásának csökkentéseRedundancia. Redundáns táp, modulokMásodperc közeli helyreállásHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Elosztási réteg eszközei Cisco Catalyst 3850, Catalyst 4500 sorozat 25Többszáz GbpsMagas szintű rendelkezésre állás képességSkálázhatóságIntelligens szolgáltatások vezetékes ésvezeték nélküli hozzáféréshezHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hibakezelés26Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hibakezelés a 3 rétegű modellben Meghatározott funkciók a rétegekbenPl. hiba atok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Hozzáférési-elosztási réteg Gyakorlati megvalósítása Többlépcsős (multi-tier) megoldás„routed access”Virtuális kapcsolóMinhárom megoldásnál a topológia azonos, a kábelezéshasonló 28Különböző beállítások, képességekHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Többlépcsős hozzáférési-elosztási réteg Hozzáférési réteg: L2Elosztási réteg: L2 & L3VLAN trönkök FHRP Akár több switchen keresztülFirst-hop redundancy protocolKonvergencia: 900ms-9mpL3L2STP protokoll 29HurokmentesítésLassú konvergencia (akár 50 mp)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
FHRP: First-hop redundancy protocol Rendelkezésreállás növelése Hot Standby Router Protocol (HSRP) A hoszt alapértelmezett routere egy csoportból kerül ki (virtuális router)Gateway Load Balancing Protocol (GLBP) Prioritások szerinti ARP válaszVirtual Router Redundancy Protocol (VRRP) Beugrás a kieső router helyére (de nem csak router)Terhelésmegosztásos IP cím megosztás (súlyozás)Az ARP válaszoknál különböző virtuális MAC címek kerülnek visszaCommon Address Redundancy Protocol (CARP) 30Egy IP cím megosztása több gép között (master/slave)Terhelésmegosztás is lehetségesHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Többlépcsős variációk Hurokmentes (V) és hurkos változatok A hurok eltávolítása előnyös TerhelésmegosztásSTP függőség csökkentéseHurokmentes31Hálózatok építése, konfigurálása és működtetése, BME-TMITHurkos2020/21.2
Routed access A hozzáférési rétegben már elérhető a L3Az elosztási rétegben már csak L3 vanAz elosztási réteg funkciói ahozzáférési réteghez kerülnek 32Alapértelmezett átjáró,VLANNincs szükség az FHRPprotokollokra, lokális átjárókHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Routed access előnyök, hátrányok Routing protokollok Konvergencia: 200msReroute hiba eseténKönnyebb hibakeresés, ismert szerszámok Ping, traceroute, ip route Egyetlen kontroll protokoll, nincs FHRP Ugyanakkor vannak korlátok is 33A VLAN nem terjedhet át másik kapcsolóbaHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Virtuális kapcsoló (Virtual Switch System - VSS) Régi megközelítés: Redundáns elosztási rétegkapcsolók és protokoll,amely meghatározza azaktívat és vált hiba eseténÚj megközelítés: 34A redundáns elosztási rétegkapcsolók egyetlen logikaikapcsolót alkotnakHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Virtuális kapcsoló előnyök Nincsenek hurkok a (logikai) kapcsolatban STP maradhat, mint tartalék megoldásEgyszerűsödik a topológiaTerhelésmegosztás flow alaponHiba esetén gyors váltás, nincs szükség megvárni az STP-t, vagyhasonló protokolltA VLAN több hozzáférési kapcsolóra is kiterjedhetA technológia nincs korlátozva csak a hozzáférési / elosztásirétegre35Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Virtuális kapcsolók vs. STP Nő a teljesítmény36Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
ÖsszehasonlításTöbblépcsősMultitier AccessRouted AccessVirtual SwitchProtokollokSTPRouting, pl: OSPF(PAgP, LACP)STP szükségSzükségesNincsNincs, detartaléknak jóHibaelhárításSTP és FHRPRe-routingMultichassisEtherChannel(MEC)VLAN átívelésekapcsolónTámogatott, de nem NincsajánlottTámogatottL2 és L3 határaElosztási rétegElosztási réteg (akárhozzáférési réteg is)37Hozzáférési rétesHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Összehasonlítás folyt.TöbblépcsősMultitier AccessRouted AccessVirtual SwitchProtokollokSTPRouting, pl: OSPF(PAgP, lhálózat vagyhoszt alaponFlow alaponFlow ózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture39Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture (CEA)Vállalati telephelySzolgáltatói határvonalVállalati határvonal40Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Nagyvállalati architektúraKözponti réteg41Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise Core Fenyegetések Szolgáltatás akadályozás (DoS és DDoS támadások)Jogosulatlan hozzáférés és ebből következő további támadások Adat hozzáférés 42Jogosulatlan felhasználók, jogosultság megemelése, hozzáférés védettinfrastruktúrához, routing protokoll támadásokAdatlopás, közbeékelődéses támadások (MITM)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise Core Védekezések 43Redundancia: DoS/DDoS elleni védekezés, routing protokolltámadások ellenFelesleges szolgáltatások kikapcsolása: DoS/DDoS elleni védekezés,jogosulatlan hozzáférés ellen, behatolások ellenJelszavak védelme, naplózás, hitelesítés (SNMP): jogosulatlanhozzáférés ellen, behatolások ellenHozzáférési listák felállítása: DoS/DDoS elleni védekezés, jogosulatlanhozzáférés ellen, behatolások ellenRouter hitelesítése: DoS elleni védekezés, jogosulatlan hozzáférésellen, routing protokoll támadások ellenControl Plane Policing (CoPP): Minden támadás ellenHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Control Plane Policing (CoPP) A menedzsment és irányító sík (management, controlplane) védelme az adat sík elárasztása esetén PrioritásokHozzáférési listákSzűrés, rate limitStabil routing, elérhetőség44Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Nagyvállalati architektúraAdatközpont45Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture (CEA)Vállalati telephelySzolgáltatói határvonalVállalati határvonal46Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Intranet Data Center A kritikus alkalmazások és adatok zöme Jellemző a virtualizációAz egyik alapvető követelmény a biztonságos tervezésBiztonság Elszigetetlés (Isolation) 47Tűzfalak, hozzáférési listák,VLAN-ok, virtualizáció, fizikai elszigetelésHázirendek (Policy Enforcement)Felügyelet (Visibility)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center támadások Kiszolgálás főleg a belső hálózat felé De védekezés kívülről jövő támadások ellen isFőleg alkalmazási rétegben lévő támadások (HTML, SQL, XML, )Támadási vektorok 48Jogosulatlan hozzáférés (eszközhöz vagy adatokhoz)Szolgáltatás megakadályozásAdatvesztésAdat módosításHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center zatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center Core Belépési pont az adatközpontba Routing feladatokAz adatközpont aggregációs rétegek kapcsolásaVédekezés routing támadások ellen 50Az összekötött eszközök (peer) hitelesítéseRouting szűrésekNaplózásHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center Aggregation Virtual Device Context (VDC) Síkok (vezérlés, adat, menedzsment) virtualizációjaLogikai szétválasztásTűzfalak Megfelelő hely a tűzfalak elhelyezésére 51Nagy teljesítményű tűzfalak (10 Gbps forgalom megfigyelése)Állapotok figyelése, Layer 2 forgalomA tűzfal szintén virtualizálható, több logikai tűzfalraHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center Services SkálázhatóságBiztonságVédelem 52A titkosított adatforgalom nemmegfigyelhető, ezért itt már nincstitkosítás: SSL-proxyAlkalmazás tűzfalak, tűzfalakBehatolás jelző/megelőző rendszerek (IntrusionDetection/Prevention System)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center Services Webes alkalmazások biztonsága Tűzfal – Web Application Firewall (WAF) Védelem a megszemélyesítés, adatlopás, szolgáltatás megtagadás, csalásellenTámadások: XSS (Cross Site Scripting) támadás, SQL injektálás, Bufferoverflow, Cookie tampering, DoSMűködés, mint reverse proxyBehatolás jelző rendszerek – Intrusion Prevention System 53DPI – Deep Packet InspectionAnomáliák figyeléseHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Data Center Access L2 kapcsolat a szerverfarmhozSkálázhatóság a legalapvetőbb kritérium L2-re fókuszált védelem VLAN technológia az adatutak szétválasztásáraHozzáférési listák (ACL) a jogosultságok ellenőrzéséreARP-DHCP forgalom felügyeletePort elárasztások megakadályozásaVirtuális hozzáférési réteg 54Catalyst IntegratedSecurity Features (CIFS)Logikailag a hozzáférési réteggel egyezőHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
ARP-DHCP felügyelet DHCP snooping Dynamic ARP inspection A nem megfelelő DHCP forgalom eldobásaÖsszerendelések: MAC cím – IP cím - VLANA nem megfelelő ARP forgalom eldobásaStatikus konfiguráció vagy DHCP snoopingIP Source Guard 55IP cím hamisítás (IP spoofing) ellenStatikus konfiguráció vagy DHCP snoopingHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Virtuális hozzáférési réteg Virtuális gépek Adott esetben a forgalom nem hagyja el a gazda gépet Elszigetelés és megfigyelés nehézségeiVirtuális kapcsolók Virtuális felügyelet és hálózati interfészHázirend profilok az egyes virtuális interfészeknekBeágyazott távoli port analizátor - Encapsulated Remote SwitchedPort Analyzer (ERSPAN) 56Virtuális IDS/IPS szenzorokForgalom tükrözése forgalom analízis céljábólHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Nagyvállalati architektúraCampus hozzáférési és elosztási rétegek57Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture (CEA)Vállalati telephelySzolgáltatói határvonalVállalati határvonal58Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise Campus – hozzáférési réteg A nagyvállalati felhasználók csatlakozása Heterogén eszközök (munkaállomás, laptop, printer,VoIPtelefon, ) Nehezen karbantartható megfelelő biztonság (sérülékenységek,vírusok)Hordozhatóságból adódóan vállalathoz bejutó problémák 59A felhasználók hozzák be a támadástVeszélyeztetik az egész nagyvállalatotHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Végpontok elleni támadások Védekezés a végponton Védekezést ismert támadások ellen Vírusok, férgek.Védekezés szignatúrák alapjánVédekezés 0day és még nem javított támadások ellenHázirendek betartatása Hoszt alapú IDS Nem csak a végpontokat, hanem az infrastruktúrát isvédeni kell60Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Infrastruktúra védelme Dedikált menedzsment interfészek, Out-of-Band (OOB)menedzsment hálózatElérhető portok, kommunikáció, hozzáférés korlátozásaHitelesítés, jogosultság, naplózás (AAA)Routing védelmeRedundancia biztosításaHálózat felügyelet, eszközök felügyeleteHálózati eszközök elérése hozzáférési lista alapján (ACL)L2 védelem (DHCP, ARP, MAC, )61Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise Campus – elosztási réteg Infrastruktúra védelmeVégpontok védelme Behatolás felismerő rendszerek (IDS/IPS) Adatútba helyezve (inline) Lehallgató módban (promiscous) Távoli szenzorok küldenek adatot (Switched Port Analyzer – SPAN, RSPAN)Terhelésmegosztással is dolgozhatnak 62Azonnal hatás, a forgalom szűréseTeljesítmény szempontjából kritikusAkár virtuális kapcsolók esetén isHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
IDS forgalom szimmetria A felismerés szempontjából kritikus, hogy az IPS szimmetrikusforgalmat lásson (mindkét irány) A forgalom másolása minden IPS-re A forgalom egyetlen kapcsolóra terelése Hatásos, de bonyolult lehetA terhelésmegosztás irányítása (sticky load balancing), hogy a kétirány egyetlen IDS-es menjen keresztül 63Meghibásodás esetén nagy probléma (Single Point of Faliure)A forgalom irányítása (Policy Based Routing), hogy a két irányegyetlen kapcsolón menjen keresztül Nagy forgalom esetén lehetetlenHatásos, de plusz eszközt igényelHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Network Access Control (NAC) A hálózati elérés szabályozása Különböző jogosultságú felhasználók A hálózat elérhető az egész campus területén Ma már NEM a fizikai védelem (nincs hálózat) a jellemzőSzemélyes vagy szerepkör szerinti azonosításMegfelelés a biztonsági előírásoknak 64Dolgozó, szerződéses külsős, partner, vendég, Megfelelő biztonsági szoftverek, patchekA nem megfelelő eszközök karanténba helyezéseHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Végpontok csatlakozása Csatlakozás hitelesítése IEEE 802.1X – Port-based Network Access Control MAB - MAC Authentication Bypass Hitelesítés MAC cím alapjánWebAuth Felhasználó hitelesítése különböző módszerekkelHTTP alapú kommunikációHitelesítő oldal megjelenítéseCsak akkor mehet adatforgalom, hahitelesítve lett 802.1x segítségévelHitelesítési sorrend (probléma esetén) 802.1X - MAB - WebAuthVáltoztatható, tiltható Újrahitelesítés lehetősége Hitelesítés nélkül külön hálózatra kerülhet (VLAN)65HitelesítettEAPOLSzűrtEAPOLA hitelesítés nélkül csak azExtensible Authentication Protocol overLAN (EAPOL) forgalom engedélyezettHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Identity-Based Networking Services Hitelesítési szintek Elő hitelesítés (hitelesítés előtt) Általában zárt portLehet korlátozott hozzáférés is. Vannak eszközök, amelyek a hálózatról élednek fel Sikeres hitelesítés Utó hitelesítés: VLAN-ba sorolásSikertelen hitelesítés DHCP, TFTP forgalomHasonló helyzet az elő hitelesítéshezÖsszeköttetés Single host: Egyetlen gép a port mögöttMulti domain: Egy VoIP telefon (VoIP VLAN) és egy számítógép (adat VLAN)Multi auth: Egy VoIP telefon (VoIP VLAN) és több számítógép (adat VLAN) 66Virtuális gépek eseténHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
IBNS bevezetése Monitor Mode – 1. fokozat Csak megfigyelés Elő hitelesítés során minden nyitottNincs korlátozás az elérhető hálózatbanLow Impact Mode – 2. fokozat Eszközök hitelesítési sikerei, MAC címekHozzáférés vezérlésElő hitelesítés korlátozott hozzáférésselHitelesítés után általában minden hozzáférés engedélyezéseNem hoz nagy változtatást a meglévő hálózat konfigurációbaHigh Security Mode – 3. fokozat 67Teljesen zárt elő hitelesítés. A speciális eszközök MAB segítségével hitelesítenek még a802.X előttHitelesítés után a forgalmak elkülönítése VLAN segítségévelHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
NAC készülék (Cisco: Identity Services Engine) Biztonságos kliensek NAC Profiler NAC Manager Házirendek kialakításaFelhasználók menedzseléseNAC Server kezeléseNAC Guest Server Vendég felhasználók kezeléseNAC Server A hálózatra csatlakozó eszközök jegyzéseTesztek elvégzése/elvégeztetéseNAC Agent A felhasználó gépén fut, ellenőrzi a gépbiztonságát 68Patchek, vírusírtó állapota, Állandó és web alapú kliensHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Nagyvállalati architektúraInternet határ69Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture (CEA)Vállalati telephelySzolgáltatói határvonalVállalati határvonal70Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise Internet Edge Kapcsolódás az InternethezGyakran tartalék a WAN eléréshez Szolgáltatói határ (SP Edge) Határ elosztási réteg (Edge Distribution) Interfész a nagyvállalati hálózathozRouter a szolgáltató feléRedundánsCorporate Access/DMZ A vállalat eléréseSzolgáltatások az Internetfelhasználóknak Demilitarizált övezetWWW, FTPTávoli elérés (Remote access) 71A vállalat elérése távoli dolgozókrészéreHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Fenyegetések Interfész a nyilvános hálózat felé Támadások az Internetről DoS és DDoS támadásokAlkalmazás, email, webes spyware, malware, adware, virus, spam,phishingAlkalmazási réteg támadások 72XSSHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Védekezések Szolgáltatói határ Védekezés redundanciával Több router, több szolgáltatóForgalom optimalizálása, terhelésmegosztásVállalati elérés/DMZ Demilitarizált övezet (DMZ) Tűzfalak 73Minden olyan forgalom, ami nem mehet be a nagyvállalati hálózatbaCsak a nyilvánosan elérhető szolgáltatások (WWW, FTP, email, DNS, )Kapcsolat megfigyelés (Connection tracking)Deep Packet Inspection (DPI)Web application firewall (WAF)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Védekezések 2. Távoli elérés Különböző VPN megoldások SSL VPN: Csak bizonyos HTTP szolgáltatások eléréseHitelesítés, jogosultság kezelésÁltalában külön tűzfal (nem osztozik a vállalati tűzfallal)Határ elosztási réteg Aggregált forgalom, szolgáltatások védelmeIDS/IPS megoldásokCisco WSA (Web Security Appliance) 74Tartalom szűrésURL szűrés, malware és spyware blokkolásaHázirendekHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Email és Web biztonság ESA: Email Security ApplianceWSA: Web Security Appliance Az email és web forgalom figyelése 75Globális küldési nagyságrendek, spamtrap accountok, DNSfeloldás sikere, fekete listák, open-proxy, URL a vírusoslevelekbenPontozás különböző faktorok alapján, majd szűrés pontszámalapján (reputation score)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Email és Web biztonság 2. Email Külső és belső emailek elkülönítése SMTP (Simple Mail Transfer Protocol)Egy interfészes elrendezésKét interfészes elrendezésESA redundancia 76DNS esetén tartalék MX címekTerhelésmegosztásHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Nagyvállalati architektúraWAN határ77Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
CISCO Enterprise Architecture (CEA)Vállalati telephelySzolgáltatói határvonalVállalati határvonal78Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Enterprise WAN Edge Telephelyek összekötése WAN határ aggregáció Üzleti alkalmazásokEgyüttműködésSite-to-site VPNWAN határ elosztás 79Hozzáférés a központiréteghezHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Fenyegetések Telephelyekről induló támadások Trójai, vírus, botnetWAN hálózatban támadások, közbeékelődéses támadás(MITM)Jogosulatlan hozzáférés, jogosultság emelésDoS80Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Védekezés WAN kapcsolat védelme WAN forgalom elkülönítése Hitelesítés, integritás védelemVPN segítségével, MPLS segítségévelIPSecWAN hozzáférés hitelesítése Erős hitelesítés WAN forgalom titkosítása 81PKI alaponErős titkosítás (pl.: AES)Hálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
WAN határ elosztási réteg IPS/IDS megoldások Inline vagy promiscuous módSkálázhatóságKétirányú forgalom figyelése! Másolás, egyetlen kapcsoló, forgalomirányítás,‘sticky’ terhelésmegosztásForgalomirányítás biztonsága 82Szomszédok hitelesítéseNaplózásHálózatok építése, konfigurálása és működtetése, BME-TMIT2020/21.2
Gateway Load Balancing Protocol (GLBP) Terhelésmegosztásos IP cím megosztás (súlyozás) Az ARP válaszoknál különböző virtuális MAC címek kerülnek vissza Common Address Redundancy Protocol (CARP) Egy IP cím megosztása több gép között (master/slave) Terhelésmegosztás is lehetséges
