NAGYVÁLLALATI SZINTŰ WIFI BIZTONSÁGOS ÉS MEGBÍZHATÓ MEGOLDÁSOK MINDEN CÉGMÉRETHEZ Básthy Gábor RELNET KFT

2 Copyright © 2010 Juniper Networks, Inc. TARTALOM 1.MIRŐL IS LESZ SZÓ 2.MIÉRT IS SZÜKSÉGES 3.A JUNIPER MEGOLDÁSAI

3 Copyright © 2010 Juniper Networks, Inc. TÖBB ÉVES TECHNOLÓGIAI „EVOLÚCIÓS” IRÁNY Óriás adatközpontok (több ezer) Kliensek (milliárdok) Munkaerő globalizáció Adat/Alkalmazás konszolidáció Mobil Fiókiroda Vállalat Otthon Globális nagyteljesítményű hálózat Mindent átszövő mobilitás

4 Copyright © 2010 Juniper Networks, Inc. EGY ÚJ HÁLÓZATI SZEMLÉLETMÓD ÁTTÖRÉSE Egyszerű Összetett Mobil Statikus Biztonságos Sérülékeny Hová Honnan Modern Hálózat

5 Copyright © 2010 Juniper Networks, Inc. A felhasználói hozzáférések típusának elmozdulása az íróasztal-alapú megoldásoktól az erőforrások különböző (akár saját tulajdonú) eszközökön keresztül történő bármikor igénybe vehető folyamatos szolgáltatások biztosításának irányába Inhomogén és helyi biztonsági megoldások a szervezetek különböző helyszínein felmerült új fenyegetettségekkel szemben A ma vállalati hálózatai túlságosan komplexek — területileg szétosztott felhasználók, egyidejűleg több eszközzel, több ezer helyszín és folyamatosan bővülő alkalmazások jelentős működési költségekkel A VÁLLALATI HÁLÓZAT KIHÍVÁSAI Költségek Mobilitás Átláthatóság Biztonság

6 Copyright © 2010 Juniper Networks, Inc. Rapid Device Proliferation (SmartPhones and Other Clients) A VEZETÉK NÉLKÜLI ESZKÖZÖK ÉS HASZNÁLATUK GYORS NÖVEKEDÉSE Source: Gartner 04/ CAGR 90% CAGR 44% CAGR 25% Dual- Mode Phones Other Wi-Fi Devices Industrial Handsets Wi-Fi Phones Laptops, Notebooks Device Growth in Enterprise WLANs 3x Growth in Sessions (Multiple Devices per Student) Spring Summer Break Fall ~50,000 Students 3x Source: UoM 10/2010

7 Copyright © 2010 Juniper Networks, Inc. A VEZETÉK NÉLKÜLI TECHNOLÓGIA BETÖRT AZ ÜZLETILEG KRITIKUS ALKALMAZÁSI TERÜLETEKRE Teljes Lefedettség Hálózati kényelem VoIP Messaging Streaming video FMC Telemetry Location tracking E911 CDR CPOE EMR Locate wheelchair Call nurse Find a doctor Track patient Administer meds Calibrate IV pumps Monitor conditions Security Management Teljesítmény Skálázhatóság Megbízhatóság Garantált Szolgáltatási Szintek Átlátható Menedzsment Garantált Szolgáltatási Szintek Átlátható Menedzsment Alkalmazások ROI MISSION-CRITICAL Outdoor Guest access Wireless data

8 Copyright © 2010 Juniper Networks, Inc. EGY KIZÁRÓLAG VEZETÉK NÉLKÜLI BELSŐ HÁLÓZATOT HASZNÁLÓ ÉPÜLET

9 Copyright © 2010 Juniper Networks, Inc. KÖNNYEN KAPCSOLÓDÓ KOMPONENSEK Simply Connected Simply Provisioned Simply Secured Highly Reliable High Performance Simply Managed

10 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi Device Configuration EGYSZERŰBB ELLÁTÁS Security Cert Provisioning Employee Self Registration 11 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a simplest provisioning élményt

11 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Hálózati felhasználóként, a saját mobil eszközeimet szeretném automatikusan beállítva használni a vállalati hálózatomon. DEVICE CONFIGURATION - ESZKÖZBEÁLLÍTÁS 11 SmartPass WLC WLA Pulse MDM Server Step 1: a felhasználó kapcsolódik egy Guest/Open SSID -hez Step 2: letölti a Pulse alkalmazást az app store ból Step 3: a Pulse –on keresztül, a felhasználó regisztrál a Pulse „felhő„-jébe (opcionálisan előírható az eszköz elő- regisztrálása a központi IT által) Step 4: Pulse ügynök kapcsolódik a szolgáltatáshoz és letölti a vezeték nélküli beállításprofilt. Step 5: Az eszköz újrakapcsolódik a védett szolgáltatáshoz és várja a felhasználó azonosítóit

12 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration IT adminisztrátorként, a vezeték nélküli hálózatomat használó mobil eszközöket szeretném erős tanúsítványalapú hitelesítéssel azonosítani. Mint hálózati felhasználó persze nem tudok (és nem is akarok tudni) semmit a PKI -ról. SIMPLIFY PROVISIONING – BIZTONSÁGI TANÚSÍTVÁNY PROVISIONING 11 SmartPass WLC WLA Pulse MDM Server 3 rd Party PKI pl. W2K8 Tanúsítány- szolgáltatás Step 1: [A felhasználó letöltötte és bejelentkezett a Pulse alkalmazásba] Step 2: A Pulse letölti a beállítás profílt amely tartalmazza a SCEP igénylés leírását Step 3: Az eszköz megigényli és letölti az eszköztanúsítványt valamint a CA tanúsítványát a PKI infrastruktúrából Step 4: A Pulse beállítás profíl konfigurálja az eszközt a biztonságos tanúsítványalapú kapcsolódáshoz Step 5: Az eszköz újrakapcsolódik a biztonságos szolgáltatáshoz és a tanúsítványt használva hitelesíti magát

13 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Munkatársként, szeretném az új iPad-ommal használni a vállalatom belső vezeték nélküli hálózatot SIMPLIFY PROVISIONING – ÖNREGISZTRÁCIÓ 11 WLC WLA RADIUS server e.g. IC, SBR SmartPass Step 1: A felhasználó kapcsolódik a regisztrált SSID (captive portal) Step 2: A captive portál átirányítja a felhasználót a SmartPass önregisztrációs oldalára Step 3: A felhasználó a vállalati azonosítóival hitelesíti magát a regisztrációs oldalon Step 4: A Pulse alkalmazás profile beállítja az eszközt a tanúsítvánnyal védett szolgáltatáson keresztül történő kapcsolathoz (pl. EAP-TLS)

14 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Vendégként a vezeték nélküli hálózat használatához, szükségem van arra hogy létrehozhassak egy ideiglenes hozzáférési fiókot magamnak anélkül hogy igénybe venném a helyi személyzetet SIMPLIFY PROVISIONING – VENDÉG ÖNKISZOLGÁLÁS 11 WLC WLA SmartPass Step 1: A vendég kapcsolódik a „guest” SSID (captive portál) Step 2: A captive portál átirányítja a SmartPass vendég önregisztrációs oldalára Step 3: Létrehoz egy ideiglenes fiók-ot aminek azonosítóit megkapja SMS-ben a mobiltelefonjára Step 4: A felhasználó visszatér a vendég bejelentkező oldalra és belép a fogadott azonosítókkal

15 Copyright © 2010 Juniper Networks, Inc. Guest Self Provisioning Secure Remote Access 3G/4G/Wi-Fi IPASS Service Device Configuration Security Cert Provisioning Employee Self Registration Mint munkatárs, szükséges folyamatosan hozzáférnem a vállalati erőforrásokhoz függetlenül attól hol vagyok SIMPLIFY PROVISIONING – 3G/4G/WI-FI VÉDETT TÁVOLI HOZZÁFÉRÉS 11 SA 3G/4G WiFi Hotstpot Step 1: [A felhasználó letöltötte és telepítette a Pulse mobilalkalmazást] Step 2: A felhasználó belép a vállalati azonosítójával a Pulse alkalmazásba Step 3: A Pulse automatikusan biztonságos magánhálózati kapcsolatot (SSL VPN) épít ki az SA -val Step 4: A Pulse folyamatosan fenntartja szükség esetén a háttérben helyreállítja a VPN kapcsolatot

16 Copyright © 2010 Juniper Networks, Inc. PROVISIONING ELŐNY = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják az egyszerűbb ellátást

17 Copyright © 2010 Juniper Networks, Inc. Firewall Policy Location Based Policy Usage based Policy Time Based Dynamic Policy User Identification Mobile Security 22 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a házirendek egyszerűbb betartatását EGYSZERŰBB BIZTONSÁG

18 Copyright © 2010 Juniper Networks, Inc. BIZTONSÁG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a házirendek egyszerűbb betartatását

19 Copyright © 2010 Juniper Networks, Inc. High Performance Access Points KIEMELKEDŐ TELJESÍTMÉNY Detect and Mitigate Interference Voice Aware Network Video Tuned Network High Performance Network Lowest Latency 33 A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a kiemelkedő teljesítményt

20 Copyright © 2010 Juniper Networks, Inc. TELJESÍTMÉNY ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a kiemelkedő teljesítményt

21 Copyright © 2010 Juniper Networks, Inc. Full Life Cycle Management KÖNNYŰ ÜZEMELTETHETŐSÉG Real Time Monitor and Troubleshoot Automatic Compliance Reports High Utilization Detection and Alerting Plan the Wireless Network (3D) Deploy the Wireless Network from Plan A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a könnyű üzemeltethetőséget Plan Config Monitor Trouble shoot Report 44

22 Copyright © 2010 Juniper Networks, Inc. ÜZEMELTETHETŐSÉG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a könnyű üzemeltethetőséget

23 Copyright © 2010 Juniper Networks, Inc. Zero Impact adds/ moves/changes Automatic Load Balancing Zero impact Network Upgrades Consistent Configuration Zero Impact Network Failure Zero Touch Adds/Moves/Changes NAGYOBB MEGBÍZHATÓSÁG A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a nagyobb megbízhatóságot 55 Reliable Wired Less

24 Copyright © 2010 Juniper Networks, Inc. MEGBÍZHATÓSÁG ELŐNYE = extensive support = limited support = no support A Juniper vezetékes, vezeték nélküli, tűzfal és azonosítási megoldásai egymással együttműködve biztosítják a nagyobb megbízhatóságot

25 Copyright © 2010 Juniper Networks, Inc. TERMÉK ÁTTEKINTÉS Megbízható vezeték nélküli megoldások folyamatos üzemű vállalati környezetben

26 Copyright © 2010 Juniper Networks, Inc. JUNIPER ALAPÚ NAGYVÁLLALATI HÁLÓZAT Single fabric using Virtual Chassis technology Virtualized security M Series EX4200 SRX5800 High density, wire-rate 10GbE Extend Virtual Private LANs with MPLS WAN Edge Core Layer Access Layer EX GbE servers PoE 10GE with LAG WSX-C2800 MP-522 APs IC Series Remote Office SRX210

27 Copyright © 2010 Juniper Networks, Inc. Dynamic Authorization based on location, time-of-day, bandwidth utilization, applications, available resources, events and more... ENTERPRISE OSZTÁLYÚ BIZTONSÁGI ARCHITEKTÚRA Authentication & Encryption 802.1X, EAP-TLS, PEAP, TTLS, MAC, Web, i, WPA / WPA2 TKIP, AES, CCMP … DODD and FIPS validated Intrusion Protection Core WIDS/WIPS Scan, detect, locate, disable rogues etc Countermeasures AirTight integration Access Control Per user, station, group policy enforcement Application-aware QoS scheduling, geographic security Authorization & Endpoint Integrity RADIUS / LDAP … Policy Enforcement Point  Juniper UAC  TCG-TNC  Cisco NAC / MS NAP  Quarantainenet Encrypted SBR Series Rogue AP Rogue User Trusted Client X X Untrusted Client 802.1X Authentication Endpoint Integrity Check via Pulse Intrusion Protection RingMaster SmartPass WLM-LA WLC2800 IC Series (UAC) EX 4200

28 Copyright © 2010 Juniper Networks, Inc. AZ IDS/IPS ÁLTAL ÉSZLELT TÁMADÁSOK

29 Copyright © 2010 Juniper Networks, Inc. ELHELYEZKEDÉSEN ALAPULÓ BIZTONSÁG Total Wireless Security

30 Copyright © 2010 Juniper Networks, Inc. JUNIPER WIRELESS PORTFOLIO Juniper Wireless Office  AX Juniper Wireless WAN  CX Juniper Wireless LAN (Trapeze Networks)  WLA  WLC  WLM

31 Copyright © 2010 Juniper Networks, Inc. TRAPEZE DELIVERS Megbízható Kritikus üzleti környezetben bizonyított működés  Rugalmas telepítési módok  Üzem közbeni karbantartás  Optimalizált Hangátvitel Megelőző RF Spektrum menedzselés  Automatikus kalibrálás  Automatikus „rebalance”  Automatikus „mitigation” Egyszerű Intuitív kezelhetőség  Fejlett életciklus kezelés  Plug-and-play telepítés  Hely és környezet azonosítás Skálázható Fióktelephelytől a több helyszínes óriáshálózatokig  10 -től100K felhasználóig  Folyamatos mobilitás és barangolás  Alacsony késleltetés és jitter

32 Copyright © 2010 Juniper Networks, Inc. TRAPEZE NETWORKS ÁTTEKINTÉS Több mint 6,000 felhasználó Ebből Fortune 500:  Shell, Chevron, Alcoa, Audi, VW Erős az egészségügyi és oktatási szektorban 1M APs telepített kritikus környezetekben Nagy méretű n hálózati megvalósítások  University Minnesota: 300 épületben 9,500 AP, mintegy 5 km 2 területen

33 Copyright © 2010 Juniper Networks, Inc. WIRELESS OFFICE (AX) SRX-termékcsaládhoz integrált Wifi  Controller az SRX (only Branch series)  2 AP-t licensz nélkül is kezel  Max 4 AP  Dual-band - Dual-radio 16 különálló SSID 2 x 3 MIMO 2 Stream a/b/g/n (300Mbps)  GigE interfész PoE vagy külső táp

34 Copyright © 2010 Juniper Networks, Inc. WIRELESS WAN (CX) 3G kapcsolat – elsődleges, vagy backup célra Juniper SSG, J vagy SRX termékcsaládhoz – Több kapcsolatot is tud kezelni, prioritás állítható – Future-proof – LTE/4G ready – PoE vagy külső táp – Tárcsázási módok: Always on Dial on demand

35 Copyright © 2010 Juniper Networks, Inc. WIRELESS WAN (CX) ExpressCard  SRX210, vagy CX111-be USB-modem  Pl. SRX110-be, vagy CX111-be

36 Copyright © 2010 Juniper Networks, Inc. BIZTONSÁGOS FIÓKIRODA

37 Copyright © 2010 Juniper Networks, Inc. WLAN Controllers Management & Security Access Points Real-Time Location Services MINDEN VÁLLALATI IGÉNYNEK MEGFELELŐ WLAN MEGOLDÁS

38 Copyright © 2010 Juniper Networks, Inc. WLC – SKÁLÁZHATÓ VEZÉRLŐK

39 Copyright © 2010 Juniper Networks, Inc. WLC – FŐBB JELLEMZŐK ÖSSZEHASONLÍTÁSA

40 Copyright © 2010 Juniper Networks, Inc. WLA – BEL ÉS KÜLTÉRI HOZZÁFÉRÉSI PONTOK

41 Copyright © 2010 Juniper Networks, Inc. WLA – FŐBB JELLEMZŐK ÖSSZEHASONLÍTÁSA

42 Copyright © 2010 Juniper Networks, Inc. NONSTOP WIRELESS – ADATKÖZPONT FAILOVER

43 Copyright © 2010 Juniper Networks, Inc. LOCAL FORWARDING Smart Mobile - Seamless Mobility Controller AController B Subnet 1 Subnet 2 Controller AController B Anchored Mobility – Basic Roaming Roam Client A on Subnet 1 Client B on Subnet 1 Client A on Subnet 1 Subnet 1 Subnet 2 Client A on Subnet 1 Client B on Subnet 1 Roam Client A on Subnet 1 Mobility Domain

44 Copyright © 2010 Juniper Networks, Inc. JOBB SKÁLÁZHATÓSÁG MEGBÍZHATÓSÁG Központosított ArchitektúraElosztott Architektúra

45 Copyright © 2010 Juniper Networks, Inc. MENEDZSMENT, BIZTONSÁG ÉS HOZZÁFÉRÉS ELLENŐRZÉS

46 Copyright © 2010 Juniper Networks, Inc. RINGMASTER – KÖZPONTI KEZELÉS

47 Copyright © 2010 Juniper Networks, Inc. SMARTPASS – HOZZÁFÉRÉS SZABÁLYOZÁS A SmartPass egy sokoldalú web-alapú, hozzáférés szabályozás biztosító alkalmazáscsomag  Guest access module  Ease of use / Bulk user creation  API for 3 rd part application integration  SMS / creation of guest coupons with Self-Provisioning  Accounting database  Detailed client accounting history  Reporting available via RingMaster.  Access control module  RFC 3576 support to change authorization attributes or disconnect client sessions (Dynamic Radius)  Location awareness for client sessions. –Allow or deny access based on location –Change any AAA attribute based on location  Access Rules (location based, time based or a combination of both) Centralized Guest Access Database

48 Copyright © 2010 Juniper Networks, Inc. SMARTPASS ARCHITECTURE CC Billing Systems Reporting Systems Facilities / Security Registration Systems REST API WLAN Controller Access Points RFC 3576 RingMaster SOAP/XML Location Appliance REST API RADIUS

49 Copyright © 2010 Juniper Networks, Inc. ÖSSZEGZÉS 1.„BRANCH” MEGOLDÁSOK 2.NAGYVÁLLATI SZINTŰ CONTROLLERES TECHNOLÓGIA

KÖSZÖNÖM A FIGYELMET