Tài liệu Đề tài Network Access Control-Final: * ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG …… ĐỀ TÀI: GVHD: Thầy NGUYỄN VIỆT HÀ Cô TRẦN THỊ THẢO NGUYÊN Lê Thạnh Hưng Trần Nguyên Bão Nguyễn Bá Tùng Lê Hữu Phú Lê Thanh Sang Quan Quốc Cường Lâm Toan Minh Nguyễn Đình Phúc Nguyễn Văn Sơn Nguyễn Trần Quốc Vy * * Bảo mật tích hợp Tích hợp các công nghệ bảo mật vào các thiết bị mạng: Router, switch, … Kiểm soát 1 gói tin bằng nhiều chính sách bảo mật tại cùng một thời điểm Các hệ thống bảo mật cộng tác Tăng cường khả năng xác định, ngăn ngừa, thích nghi Phòng vệ thích nghi với hiểm họa (ATD) Xác định rủi ro một cách linh hoạt trên nhiều tầng bảo vệ Kiểm soát lưu thông, người dùng, ứng dụng trên hệ thống * Anti – X Tích hợp dịch vụ bảo mật luồng tin, hướng nội dung Kết hợp tường lửa, IPS, chống virus, lọc địa chỉ Bảo mật ứng dụng Kiểm soát truy cập mức ứng dụng Kiểm soát ứng dụng, bảo vệ giao dịch Kiểm soát mạng Trực quan hóa các công nghệ bảo mật Kiểm soát các tầng phức hợp Liên kết các thành phần mạng * * mail dns web * * mail ...
33 trang |
Chia sẻ: hunglv | Lượt xem: 1746 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Network Access Control-Final, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
* ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG …… ĐỀ TÀI: GVHD: Thầy NGUYỄN VIỆT HÀ Cô TRẦN THỊ THẢO NGUYÊN Lê Thạnh Hưng Trần Nguyên Bão Nguyễn Bá Tùng Lê Hữu Phú Lê Thanh Sang Quan Quốc Cường Lâm Toan Minh Nguyễn Đình Phúc Nguyễn Văn Sơn Nguyễn Trần Quốc Vy * * Bảo mật tích hợp Tích hợp các công nghệ bảo mật vào các thiết bị mạng: Router, switch, … Kiểm soát 1 gói tin bằng nhiều chính sách bảo mật tại cùng một thời điểm Các hệ thống bảo mật cộng tác Tăng cường khả năng xác định, ngăn ngừa, thích nghi Phòng vệ thích nghi với hiểm họa (ATD) Xác định rủi ro một cách linh hoạt trên nhiều tầng bảo vệ Kiểm soát lưu thông, người dùng, ứng dụng trên hệ thống * Anti – X Tích hợp dịch vụ bảo mật luồng tin, hướng nội dung Kết hợp tường lửa, IPS, chống virus, lọc địa chỉ Bảo mật ứng dụng Kiểm soát truy cập mức ứng dụng Kiểm soát ứng dụng, bảo vệ giao dịch Kiểm soát mạng Trực quan hóa các công nghệ bảo mật Kiểm soát các tầng phức hợp Liên kết các thành phần mạng * * mail dns web * * mail dns web * Tại các access point (wireless, SSL or IPsec VPN), NAC comes into play 1: Who are you?2: What do I know about you?3: Does your end-point comply to policy? * * Firewall Decision Elements Source IP and portDestination IP and port . Position Between two networks NAC Decision Elements Username, GroupAccess method, DestinationEnd-point security status Position Between user and network * Authentication of the user Authenticate Một user sẽ được chứng thực trước khi được phép truy cập vào mạng * 2. Use environmental information as part of policy decision making Environment User truy cập mạng từ đâu? Khi nào có yêu cầu truy cập từ xa xảy ra? Điều kiện an ninh của điểm truy cập (bao gồm user+device) như thế nào? Authentication of the user Authenticate * 3. Control usage based on capabilities of hardware and security policy Cho hoặc không cho phép truy cập. Đặt user vào một VLAN. Áp dụng ACLs (access control lists) or firewall rules. 2. Use environmental information as part of policy decision making Environment Authentication of the user Authenticate Access Control * 4. Manage it all Quản lý trên toàn hệ thông mạng 3. Control usage based on capabilities of hardware and security policy 2. Use environmental information as part of policy decision making Authentication of the user * NAC Policy Server * ClientBroker NetworkAccessRequestor NetworkAccessAuthority ServerBroker PostureValidator PostureCollector NetworkEnforcementPoint These are the IETF terms for each piece. TCG/TNC, Microsoft, and Cisco all have their own similar ones Network Endpoint Assessment Client Network Endpoint Assessment Server * ClientBroker NetworkAccessRequestor NetworkAccessAuthority ServerBroker PostureValidator PostureCollector NetworkEnforcementPoint * ClientBroker NetworkAccessRequestor NetworkAccessAuthority ServerBroker PostureValidator PostureCollector NetworkEnforcementPoint * ClientBroker NetworkAccessRequestor NetworkAccessAuthority ServerBroker PostureValidator PostureCollector NetworkEnforcementPoint * NAC Policy Server Có 3 giao thức thường được sử dụng: 802.1X Web-based Authentication Proprietary Client * Corporate Net NAC Policy Server Nếu việc xác thực thành công thì policy server gửi tín hiệu đến AP cho phép User truy cập.User nhận địa chỉ IP Việc xác thực User được thực hiện tại policy server AP/Switch bật 802.1X (EAP) cho việc xác thực Đầu tiên User kết nối với AP * Corporate Net NAC Policy Server Nếu việc xác thực thành công thì port được bật lên cho phép User truy cập vào mạng Việc xác thực User được thực hiện tại policy server User mở web browser và đóng port lại User kết nối đến mạng,và nhận địa chỉ IP * Corporate Net NAC Policy Server Nếu việc xác thực thành công thì cho phép User truy cập vào mạng Việc xác thực cũng diễn ra tại policy server User kết nối đến mạng và nhận IP * Environment Authenticate Access Control Management * Corporate Net NAC Policy Server Nếu việc xác thực thành công thì được truy cập vào mạng Xác thực User tại policy server AP bắt đầu việc xác thực User kết nối với AP Pure Environment Access Method (wired, wireless, VPN) Time of Day/Day of Week/Date within Limits Client Platform (Mac, Windows, etc.) Authentication Method (user/pass, MAC, etc.) End Point Security Does the device comply to my policy regarding Security Tools (A/V, FW) Applications (running/not) Patch Level Corporate “signature” * * What you can do = Who You Are Where You Are Coming From How Well You Comply with Policy + + Darn… We just summarized NAC in one slide. What else is there to talk about? * Environment Authenticate Access Control Management Control Granularity On/Off the network Gán VLAN Bộ lọc Packet Trạng thái firewall Control Location Về bản thân khách hàng Ở rìa của mạng Một rào cản giữa người dùng và mạng Sâu bên trong lõi mạng Tại các máy chủ chính * * Stateful Full Firewall Basic Packet Filters VLAN Assignment Go/No-Go Decision NAC needs to be on your radar Tools like 802.1X should be part of your short and long range plans anyway Don’t jump into a proprietary solution without considering the emerging standard architectures *
Các file đính kèm theo tài liệu này:
- Network_Access_Control-final.ppt