NAGYVÁLLALATI SZINTŰ WIFI BIZTONSÁGOS ÉS MEGBÍZHATÓ MEGOLDÁSOK MINDEN CÉGMÉRETHEZ Básthy Gábor RELNET KFT
2 Copyright © 2010 Juniper Networks, Inc. TARTALOM 1.MIRŐL IS LESZ SZÓ 2.MIÉRT IS SZÜKSÉGES 3.A JUNIPER MEGOLDÁSAI
3 Copyright © 2010 Juniper Networks, Inc. TÖBB ÉVES TECHNOLÓGIAI „EVOLÚCIÓS” IRÁNY Óriás adatközpontok (több ezer) Kliensek (milliárdok) Munkaerő globalizáció Adat/Alkalmazás konszolidáció Mobil Fiókiroda Vállalat Otthon Globális nagyteljesítményű hálózat Mindent átszövő mobilitás
4 Copyright © 2010 Juniper Networks, Inc. EGY ÚJ HÁLÓZATI SZEMLÉLETMÓD ÁTTÖRÉSE Egyszerű Összetett Mobil Statikus Biztonságos Sérülékeny Hová Honnan Modern Hálózat
5 Copyright © 2010 Juniper Networks, Inc. A felhasználói hozzáférések típusának elmozdulása az íróasztal-alapú megoldásoktól az erőforrások különböző (akár saját tulajdonú) eszközökön keresztül történő bármikor igénybe vehető folyamatos szolgáltatások biztosításának irányába Inhomogén és helyi biztonsági megoldások a szervezetek különböző helyszínein felmerült új fenyegetettségekkel szemben A ma vállalati hálózatai túlságosan komplexek — területileg szétosztott felhasználók, egyidejűleg több eszközzel, több ezer helyszín és folyamatosan bővülő alkalmazások jelentős működési költségekkel A VÁLLALATI HÁLÓZAT KIHÍVÁSAI Költségek Mobilitás Átláthatóság Biztonság
6 Copyright © 2010 Juniper Networks, Inc. Rapid Device Proliferation (SmartPhones and Other Clients) A VEZETÉK NÉLKÜLI ESZKÖZÖK ÉS HASZNÁLATUK GYORS NÖVEKEDÉSE Source: Gartner 04/ CAGR 90% CAGR 44% CAGR 25% Dual- Mode Phones Other Wi-Fi Devices Industrial Handsets Wi-Fi Phones Laptops, Notebooks Device Growth in Enterprise WLANs 3x Growth in Sessions (Multiple Devices per Student) Spring Summer Break Fall ~50,000 Students 3x Source: UoM 10/2010
7 Copyright © 2010 Juniper Networks, Inc. A VEZETÉK NÉLKÜLI TECHNOLÓGIA BETÖRT AZ ÜZLETILEG KRITIKUS ALKALMAZÁSI TERÜLETEKRE Teljes Lefedettség Hálózati kényelem VoIP Messaging Streaming video FMC Telemetry Location tracking E911 CDR CPOE EMR Locate wheelchair Call nurse Find a doctor Track patient Administer meds Calibrate IV pumps Monitor conditions Security Management Teljesítmény Skálázhatóság Megbízhatóság Garantált Szolgáltatási Szintek Átlátható Menedzsment Garantált Szolgáltatási Szintek Átlátható Menedzsment Alkalmazások ROI MISSION-CRITICAL Outdoor Guest access Wireless data
8 Copyright © 2010 Juniper Networks, Inc. EGY KIZÁRÓLAG VEZETÉK NÉLKÜLI BELSŐ HÁLÓZATOT HASZNÁLÓ ÉPÜLET
9 Copyright © 2010 Juniper Networks, Inc. KÖNNYEN KAPCSOLÓDÓ KOMPONENSEK Simply Connected Simply Provisioned Simply Secured Highly Reliable High Performance Simply Managed
10 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi Device Configuration EGYSZERŰBB ELLÁTÁS Security Cert Provisioning Employee Self Registration 11 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a simplest provisioning élményt
11 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Hálózati felhasználóként, a saját mobil eszközeimet szeretném automatikusan beállítva használni a vállalati hálózatomon. DEVICE CONFIGURATION - ESZKÖZBEÁLLÍTÁS 11 SmartPass WLC WLA Pulse MDM Server Step 1: a felhasználó kapcsolódik egy Guest/Open SSID -hez Step 2: letölti a Pulse alkalmazást az app store ból Step 3: a Pulse –on keresztül, a felhasználó regisztrál a Pulse „felhő„-jébe (opcionálisan előírható az eszköz elő- regisztrálása a központi IT által) Step 4: Pulse ügynök kapcsolódik a szolgáltatáshoz és letölti a vezeték nélküli beállításprofilt. Step 5: Az eszköz újrakapcsolódik a védett szolgáltatáshoz és várja a felhasználó azonosítóit
12 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration IT adminisztrátorként, a vezeték nélküli hálózatomat használó mobil eszközöket szeretném erős tanúsítványalapú hitelesítéssel azonosítani. Mint hálózati felhasználó persze nem tudok (és nem is akarok tudni) semmit a PKI -ról. SIMPLIFY PROVISIONING – BIZTONSÁGI TANÚSÍTVÁNY PROVISIONING 11 SmartPass WLC WLA Pulse MDM Server 3 rd Party PKI pl. W2K8 Tanúsítány- szolgáltatás Step 1: [A felhasználó letöltötte és bejelentkezett a Pulse alkalmazásba] Step 2: A Pulse letölti a beállítás profílt amely tartalmazza a SCEP igénylés leírását Step 3: Az eszköz megigényli és letölti az eszköztanúsítványt valamint a CA tanúsítványát a PKI infrastruktúrából Step 4: A Pulse beállítás profíl konfigurálja az eszközt a biztonságos tanúsítványalapú kapcsolódáshoz Step 5: Az eszköz újrakapcsolódik a biztonságos szolgáltatáshoz és a tanúsítványt használva hitelesíti magát
13 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Munkatársként, szeretném az új iPad-ommal használni a vállalatom belső vezeték nélküli hálózatot SIMPLIFY PROVISIONING – ÖNREGISZTRÁCIÓ 11 WLC WLA RADIUS server e.g. IC, SBR SmartPass Step 1: A felhasználó kapcsolódik a regisztrált SSID (captive portal) Step 2: A captive portál átirányítja a felhasználót a SmartPass önregisztrációs oldalára Step 3: A felhasználó a vállalati azonosítóival hitelesíti magát a regisztrációs oldalon Step 4: A Pulse alkalmazás profile beállítja az eszközt a tanúsítvánnyal védett szolgáltatáson keresztül történő kapcsolathoz (pl. EAP-TLS)
14 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Vendégként a vezeték nélküli hálózat használatához, szükségem van arra hogy létrehozhassak egy ideiglenes hozzáférési fiókot magamnak anélkül hogy igénybe venném a helyi személyzetet SIMPLIFY PROVISIONING – VENDÉG ÖNKISZOLGÁLÁS 11 WLC WLA SmartPass Step 1: A vendég kapcsolódik a „guest” SSID (captive portál) Step 2: A captive portál átirányítja a SmartPass vendég önregisztrációs oldalára Step 3: Létrehoz egy ideiglenes fiók-ot aminek azonosítóit megkapja SMS-ben a mobiltelefonjára Step 4: A felhasználó visszatér a vendég bejelentkező oldalra és belép a fogadott azonosítókkal
15 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Mint munkatárs, szükséges folyamatosan hozzáférnem a vállalati erőforrásokhoz függetlenül attól hol vagyok SIMPLIFY PROVISIONING – 3G/4G/WI-FI VÉDETT TÁVOLI HOZZÁFÉRÉS 11 SA 3G/4G WiFi Hotstpot Step 1: [A felhasználó letöltötte és telepítette a Pulse mobilalkalmazást] Step 2: A felhasználó belép a vállalati azonosítójával a Pulse alkalmazásba Step 3: A Pulse automatikusan biztonságos magánhálózati kapcsolatot (SSL VPN) épít ki az SA -val Step 4: A Pulse folyamatosan fenntartja szükség esetén a háttérben helyreállítja a VPN kapcsolatot
16 Copyright © 2010 Juniper Networks, Inc. PROVISIONING ELŐNY = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják az egyszerűbb ellátást
17 Copyright © 2010 Juniper Networks, Inc. Firewall Policy Location Based Policy Usage based Policy Time Based Dynamic Policy User Identification Mobile Security 22 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a házirendek egyszerűbb betartatását EGYSZERŰBB BIZTONSÁG
18 Copyright © 2010 Juniper Networks, Inc. BIZTONSÁG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a házirendek egyszerűbb betartatását
19 Copyright © 2010 Juniper Networks, Inc. High Performance Access Points KIEMELKEDŐ TELJESÍTMÉNY Detect and Mitigate Interference Voice Aware Network Video Tuned Network High Performance Network Lowest Latency 33 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a kiemelkedő teljesítményt
20 Copyright © 2010 Juniper Networks, Inc. TELJESÍTMÉNY ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a kiemelkedő teljesítményt
21 Copyright © 2010 Juniper Networks, Inc. Full Life Cycle Management KÖNNYŰ ÜZEMELTETHETŐSÉG Real Time Monitor and Troubleshoot Automatic Compliance Reports High Utilization Detection and Alerting Plan the Wireless Network (3D) Deploy the Wireless Network from Plan A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a könnyű üzemeltethetőséget Plan Config Monitor Trouble shoot Report 44
22 Copyright © 2010 Juniper Networks, Inc. ÜZEMELTETHETŐSÉG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a könnyű üzemeltethetőséget
23 Copyright © 2010 Juniper Networks, Inc. Zero Impact adds/ moves/changes Automatic Load Balancing Zero impact Network Upgrades Consistent Configuration Zero Impact Network Failure Zero Touch Adds/Moves/Changes NAGYOBB MEGBÍZHATÓSÁG A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a nagyobb megbízhatóságot 55 Reliable Wired Less
24 Copyright © 2010 Juniper Networks, Inc. MEGBÍZHATÓSÁG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a nagyobb megbízhatóságot
25 Copyright © 2010 Juniper Networks, Inc. TERMÉK ÁTTEKINTÉS Megbízható vezeték nélküli megoldások folyamatos üzemű vállalati környezetben
26 Copyright © 2010 Juniper Networks, Inc. JUNIPER ALAPÚ NAGYVÁLLALATI HÁLÓZAT Single fabric using Virtual Chassis technology Virtualized security M Series EX4200 SRX5800 High density, wire-rate 10GbE Extend Virtual Private LANs with MPLS WAN Edge Core Layer Access Layer EX GbE servers PoE 10GE with LAG WSX-C2800 MP-522 APs IC Series Remote Office SRX210
27 Copyright © 2010 Juniper Networks, Inc. Dynamic Authorization based on location, time-of-day, bandwidth utilization, applications, available resources, events and more... ENTERPRISE OSZTÁLYÚ BIZTONSÁGI ARCHITEKTÚRA Authentication & Encryption 802.1X, EAP-TLS, PEAP, TTLS, MAC, Web, i, WPA / WPA2 TKIP, AES, CCMP … DODD and FIPS validated Intrusion Protection Core WIDS/WIPS Scan, detect, locate, disable rogues etc Countermeasures AirTight integration Access Control Per user, station, group policy enforcement Application-aware QoS scheduling, geographic security Authorization & Endpoint Integrity RADIUS / LDAP … Policy Enforcement Point Juniper UAC TCG-TNC Cisco NAC / MS NAP Quarantainenet Encrypted SBR Series Rogue AP Rogue User Trusted Client X X Untrusted Client 802.1X Authentication Endpoint Integrity Check via Pulse Intrusion Protection RingMaster SmartPass WLM-LA WLC2800 IC Series (UAC) EX 4200
28 Copyright © 2010 Juniper Networks, Inc. AZ IDS/IPS ÁLTAL ÉSZLELT TÁMADÁSOK
29 Copyright © 2010 Juniper Networks, Inc. ELHELYEZKEDÉSEN ALAPULÓ BIZTONSÁG Total Wireless Security
30 Copyright © 2010 Juniper Networks, Inc. JUNIPER WIRELESS PORTFOLIO Juniper Wireless Office AX Juniper Wireless WAN CX Juniper Wireless LAN (Trapeze Networks) WLA WLC WLM
31 Copyright © 2010 Juniper Networks, Inc. TRAPEZE DELIVERS Megbízható Kritikus üzleti környezetben bizonyított működés Rugalmas telepítési módok Üzem közbeni karbantartás Optimalizált Hangátvitel Megelőző RF Spektrum menedzselés Automatikus kalibrálás Automatikus „rebalance” Automatikus „mitigation” Egyszerű Intuitív kezelhetőség Fejlett életciklus kezelés Plug-and-play telepítés Hely és környezet azonosítás Skálázható Fióktelephelytől a több helyszínes óriáshálózatokig 10 -től100K felhasználóig Folyamatos mobilitás és barangolás Alacsony késleltetés és jitter
32 Copyright © 2010 Juniper Networks, Inc. TRAPEZE NETWORKS ÁTTEKINTÉS Több mint 6,000 felhasználó Ebből Fortune 500: Shell, Chevron, Alcoa, Audi, VW Erős az egészségügyi és oktatási szektorban 1M APs telepített kritikus környezetekben Nagy méretű n hálózati megvalósítások University Minnesota: 300 épületben 9,500 AP, mintegy 5 km 2 területen
33 Copyright © 2010 Juniper Networks, Inc. WIRELESS OFFICE (AX) SRX-termékcsaládhoz integrált Wifi Controller az SRX (only Branch series) 2 AP-t licensz nélkül is kezel Max 4 AP Dual-band - Dual-radio 16 különálló SSID 2 x 3 MIMO 2 Stream a/b/g/n (300Mbps) GigE interfész PoE vagy külső táp
34 Copyright © 2010 Juniper Networks, Inc. WIRELESS WAN (CX) 3G kapcsolat – elsődleges, vagy backup célra Juniper SSG, J vagy SRX termékcsaládhoz – Több kapcsolatot is tud kezelni, prioritás állítható – Future-proof – LTE/4G ready – PoE vagy külső táp – Tárcsázási módok: Always on Dial on demand
35 Copyright © 2010 Juniper Networks, Inc. WIRELESS WAN (CX) ExpressCard SRX210, vagy CX111-be USB-modem Pl. SRX110-be, vagy CX111-be
36 Copyright © 2010 Juniper Networks, Inc. BIZTONSÁGOS FIÓKIRODA
37 Copyright © 2010 Juniper Networks, Inc. WLAN Controllers Management & Security Access Points Real-Time Location Services MINDEN VÁLLALATI IGÉNYNEK MEGFELELŐ WLAN MEGOLDÁS
38 Copyright © 2010 Juniper Networks, Inc. WLC – SKÁLÁZHATÓ VEZÉRLŐK
39 Copyright © 2010 Juniper Networks, Inc. WLC – FŐBB JELLEMZŐK ÖSSZEHASONLÍTÁSA
40 Copyright © 2010 Juniper Networks, Inc. WLA – BEL ÉS KÜLTÉRI HOZZÁFÉRÉSI PONTOK
41 Copyright © 2010 Juniper Networks, Inc. WLA – FŐBB JELLEMZŐK ÖSSZEHASONLÍTÁSA
42 Copyright © 2010 Juniper Networks, Inc. NONSTOP WIRELESS – ADATKÖZPONT FAILOVER
43 Copyright © 2010 Juniper Networks, Inc. LOCAL FORWARDING Smart Mobile - Seamless Mobility Controller AController B Subnet 1 Subnet 2 Controller AController B Anchored Mobility – Basic Roaming Roam Client A on Subnet 1 Client B on Subnet 1 Client A on Subnet 1 Subnet 1 Subnet 2 Client A on Subnet 1 Client B on Subnet 1 Roam Client A on Subnet 1 Mobility Domain
44 Copyright © 2010 Juniper Networks, Inc. JOBB SKÁLÁZHATÓSÁG MEGBÍZHATÓSÁG Központosított ArchitektúraElosztott Architektúra
45 Copyright © 2010 Juniper Networks, Inc. MENEDZSMENT, BIZTONSÁG ÉS HOZZÁFÉRÉS ELLENŐRZÉS
46 Copyright © 2010 Juniper Networks, Inc. RINGMASTER – KÖZPONTI KEZELÉS
47 Copyright © 2010 Juniper Networks, Inc. SMARTPASS – HOZZÁFÉRÉS SZABÁLYOZÁS A SmartPass egy sokoldalú web-alapú, hozzáférés szabályozás biztosító alkalmazáscsomag Guest access module Ease of use / Bulk user creation API for 3 rd part application integration SMS / creation of guest coupons with Self-Provisioning Accounting database Detailed client accounting history Reporting available via RingMaster. Access control module RFC 3576 support to change authorization attributes or disconnect client sessions (Dynamic Radius) Location awareness for client sessions. –Allow or deny access based on location –Change any AAA attribute based on location Access Rules (location based, time based or a combination of both) Centralized Guest Access Database
48 Copyright © 2010 Juniper Networks, Inc. SMARTPASS ARCHITECTURE CC Billing Systems Reporting Systems Facilities / Security Registration Systems REST API WLAN Controller Access Points RFC 3576 RingMaster SOAP/XML Location Appliance REST API RADIUS
49 Copyright © 2010 Juniper Networks, Inc. ÖSSZEGZÉS 1.„BRANCH” MEGOLDÁSOK 2.NAGYVÁLLATI SZINTŰ CONTROLLERES TECHNOLÓGIA
KÖSZÖNÖM A FIGYELMET