Szkolenie 802.1x – System uwierzytelniania typu NAC
termin: aktualnie zbieramy grupę i nie mamy ustalonego konkretnego terminu szkolenia, możliwe jest dedykowane spotkanie (w tym pod konkretne potrzeby) dla grupy od 4 osób – zapytaj o szkolenie
System uwierzytelniania typu NAC (Network Admission Control) bazujący na protokole 802.1x jest jednym z kluczowych systemów bezpieczeństwa, jakie powinny być zaimplementowane w ramach infrastruktury bezpieczeństwa organizacji/przedsiębiorstwa. System pozwala na kontrolowanie dostępu do sieci LAN (lokalnej wewnętrznej) gwarantując, że w sieci znajdować się będą jedynie urządzenia, które dopuści administrator. Jako, że obecnie stosowane rozwiązania sieciowe bazujące na technologii Ethernet nie zapewniają w znakomitej większości implementacji szyfrowania ani zabezpieczeń przed podszywaniem się pod innych użytkowników sieci, system NAC chroni przed następującymi zagrożeniami
- przechwycenie komunikacji (tzw. sniffing), co pozwala na wgląd w dane przesyłane przez urządzenia,
- ataki na warstwę druga modelu OSI: np. typu spoofing: jak np. arp spoofing , które pozwalają na manipulowanie ruchem sieciowym w którym atakujący przekierowuje ruch i modyfikuje go wg swojego uznania, np. podstawiając strony web udające np. strony banku czy strony z logowaniem do interesujących atakującego portali ( facebook, gogle ) . Pozwala to na pozyskanie przykładowo haseł
- utworzenie kanału dostępowego do sieci wewnętrznej Poprzez umieszczenie w sieci LAN urządzenia otwierającego stałe połączenie z innym komputerem znajdującym się w internecie ( tzw reverse shell ). Takie działanie pozwoli na niekontrolowany dostęp do zasobów wewnętrznych.
Wymienione powyżej ataki są łatwo dostępne dla każdego ko ma fizyczny dostęp do sieci wewnętrznej i może wpiąć urządzenie (komputer lub dedykowany miniaturowy komputer łatwy do ukrycia) do wewnętrznej sieci. Oczywiście można założyć, że dostęp taki posiadają jedynie pracownicy, co w oczywisty sposób nie musi być prawdą (firmy kurierskie, goście poruszający się po obiekcie są codziennością wielu firm) jednak te założenie również nie chroni nas przed atakami. Pracownicy mogą celowo lub zmanipulowani przez inną osobę doprowadzić do umieszczenia w sieci lokalnej urządzenia zagrażającego bezpieczeństwu.
Główną rolę rozwiązania typu NAC jest zatem kontrola dostępu do sieci LAN
Co więcej NAC chroni także przed zagrożeniami związanymi z funkcjonowaniem w sieci urządzeń bez aktualizacji, czy też nie spełniających standardów technicznych. System rozpoznaje te urządzenia i umieszcza je w odseparowanych fragmentach sieci.
NAC obsługuje także funkcję dostępu dla gości
Szczególne zastosowanie ma to w sieci WLAN. Proces udzielania dostępu do sieci staje się dzięki rozwiązaniu NAC łatwy i bezpieczny. Każdy użytkownik typu gość posiada osobne konto, które wydawane jest na określony czas.
Możliwy zakres szkolenia 802.1x – System uwierzytelniania typu NAC
- Uwierzytelnianie 802.1x
- Działanie 802.1x
- Cisco ISE możliwości i zasada działania
- Model AAA
- Integracja z Active Directory
- Podstawowe uwierzytelnianie i polityki dostępowe
- Przypisywanie access list na podstawie polityk autoryzacyjnych
- Przypisywanie VLANów na podstawi polityk autoryzacyjnych
- Konfiguracja przełączników sieciowych dla potrzeb współpracy z 802.1x
- Integracja z siecią WLAN
- Konfiguracja portali gościnnych dla potrzeb WLANu dla gości
- Profilowanie: rozpoznawanie typu urządzenia i budowa polityk na podstawie typu urządzenia.
- Analiza stanu stacji i budowa polityk na podstawie np. instalacji antywirusa i działania określonych procesów
- Architektura ISE oraz skalowalność rozwiązania
- Dobre praktyki przy wdrażaniu ISE
- Elementy 802.1X: EAP, PEAP, EAP-TLS, EAP-MD5, MAB
- Zastosowanie ISE do kontroli dostępu RA VPN
- Kontrola dostępu do urządzeń sieciowych – TACACS
- Przydzielanie uprawnień dla administratorów z dokładnością do poszczególnych poleceń
- Autentykacja użytkownika oraz komputera przy pomocy EAP-CHAINING oraz MAR
- Opis technologii BYOD
- Integracja z AMP For Endpoints w celu kwarantanny zainfekowanych użytkowników
- Integracja z Firepower – pxGrid
Po dokładnym określeniu potrzeb dostosujemy program indywidualnie pod każde szkolenie.
Istnieje możliwość stworzenia szkolenia na każdym poziomie od podstawowego do zaawansowanego i dostosowania go do indywidualnych wymogów.
Szkolenie prowadzi
Piotr Ksieniewicz – główny inżynier Network Expert
Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.