Network On Demand…. Now !!!! I Jornadas de Comunicaciones de Aragón

Presentación del tema: "Network On Demand…. Now !!!! I Jornadas de Comunicaciones de Aragón"— Transcripción de la presentación:

1 Network On Demand…. Now !!!! I Jornadas de Comunicaciones de Aragón
Convergencia Segura This presentation explains the Enterasys Secure Networks™ solution for supporting VoIP deployments. I Jornadas de Comunicaciones de Aragón Mayo 08’

2 Lo que nos viene encima…. (perspectiva de la Red)
Incremento exigencias en las comunicaciones (SLA’s) De la mesa de reuniones + pizarra-> videoconferencia HD en tiempo real, multi-emplazamiento con aplicaciones Comunicaciones Unificadas. Multiplicidad de terminales para un mismo servicio / usuarios Acceso Web, Voz, Videoconferencia -> PDA, PC fijo, laptop, thin client, terminal videoconferencia, tablet PC, smartphone, videowall.…. Incremento exponencial de terminales Ethernet/IP (NO usuarios) Sensores de medición, consumo, presencia, producción Videovigilancia, cartelería digital, megafonía IP , Sistemas de control de accesos físicos, cadenas de producción, telemetría, etc.. Nuevos protocolos/standars específicos para cada nuevo servicio basado en IP (señalización, routing, etc..) … y (para rematar) Negocios basados en intercambio / compartición de información Todos los procesos de negocio / productivos generan, consultan o comparten información (voz, vídeo, datos) que circula en la red interna (LAN).

3 Las preguntas….. Mi “equipo” de Comunicaciones -> personas & infraestructuras Soporta un rápido incremento del número de usuarios ? Soporta un incremento de tráfico elevado x servicio ? Prioriza aquellos usuarios / terminales más importantes para el negocio ? Pude gestionar de manera eficiente todos los servicios emergentes basados en red ? Cuanto tiempo tardo en soportar / poner disponible un nuevo servicio en red ? Es transparente al resto de procesos de negocio ? Dispone de mecanismos de autocontrol / autoregulación en caso de escenarios (terminales/usuarios/flujos de información) no permitidos ? Se adapta al ritmo del negocio ? …… Sin tener que recurrir a:

4 Propuesta de valor Arquitectura abierta, basada en estandares reconocidos Detección y Clasificación automática de terminales o de las Aplicaciones / tráfico en red. Funcionalidades adicionales de Gestión del Tráfico en la red Control de Acceso a la Red Infraestructura de Red de Alta Disponibilidad y Alta Capacidad  In order to ensure an effective implementation of a converged network solution there are several requirements that should be met. Open architecture—support of any convergence application Infrastructure capacity Highly available network communications path Secure application services End-system detection / classification Application traffic detection / classification Network access control

5 Cómo conseguirlo ? ?

6 Gestión de Redes por Políticas
ATLAS Policy Manager Gestión de Identidad Gestión de SEGURIDAD SNMPv3 VLAN Filtrado tramas QoS Rate limiting INTERNET NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER En primer lugar antes de nada hay que alinear los sistemas del DATA CENTER con las políticas. Para ello, en primer lugar se piensa sobre papel o a través de una consultaría como irán agrupados los sistemas y sus características comunes o diferenciales. A continuación, estos parámetros se configuran en forma de POLITICAS en el Policy Manager. Una vez hecho esto, se descargan a TODOS los equipos de la red por SNMP, teniendo todos y cada uno de los elementos de la red todas las posibles políticas de trabajo. Administradores Directivos Desarrollo Invitados

7 Gestión de Políticas - Redes basadas en políticas
Una política de RED es un conjunto de parámetros de análisis, control y gestión de tráfico, que son aplicadas a cada uno de los usuarios, máquinas o flujos y que determinan el comportamiento de todos los sistemas IT que confluyen en la red Acceso (bloqueado/no bloquedo) Asignación VLAN del puerto Asignación QoS del puerto Control Análisis de tramas L2/L3/L4 en tiempo real para: Clasificación dinámica a VLANs Filtrado de tramas Contención P P Análisis de tramas L2/L3/ L4 en tiempo real para: Clasificación dinámica 802.1p Clasificación dinámica TOS Calidad de Servicio Una política CONTROLA y MODIFICA toda el tráfico de cada uno de los sistemas de DATACENTER. Las políticas tienen cuatro partes distintas. CONTROL del tráfico CONTENCION CALIDAD DE SERVICIO RATE LIMIT Limitación de Ancho de banda de Entrada y/o Salida por dispositivo, aplicación, puerto,… Granularidad desde 8K hasta 1Gbps Rate Limit

8 Ejemplo de políticas - Hospital
PACIENTE: Acceso Internet WiFi (bandwidth limited) Prohibido P2P/Gaming QoS Low Seguridad Acceptable Use Policy MÉDICO: ACCESO Patient Health Records (Aplicación) Pharmacy (Aplicación) Medical Database CDC Internet via PDA QoS Normal SEGURIDAD Acceptable Use Policy © 2008 Enterasys Networks, Inc. All rights reserved.

9 Políticas de Red dinámicas – Network on Demand !!!!!!
Políticas de red ESTÁTICAS PA PB N etsight Policy Manager Gestión de Identidad Gestión de SEGURIDAD SNMPv3 INTERNET NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER En primer lugar antes de nada hay que alinear los sistemas del DATA CENTER con las políticas. Para ello, en primer lugar se piensa sobre papel o a través de una consultaría como irán agrupados los sistemas y sus características comunes o diferenciales. A continuación, estos parámetros se configuran en forma de POLITICAS en el Policy Manager. Una vez hecho esto, se descargan a TODOS los equipos de la red por SNMP, teniendo todos y cada uno de los elementos de la red todas las posibles políticas de trabajo. Las POLÍTICAS DE USO DE LA RED se centralizan en un único punto desde el que se crean y modifican, para luego ser distribuidas “en caliente” a los equipos. Independientemente del tipo de red o punto físico de acceso – y en función del resultado del proceso de autenticación – la red categoriza y ofrece los servicios IP a cada usuario / terminal que le han sido asignados. PB Política estáticas puertos 1..N PA Política estática puertos N+1..M)

10 Políticas de Red dinámicas – Network on Demand !!!!!!
SIN AUTENTICACIÓN PA PB Netsight Policy Manager X Gestión de Identidad Gestión de SEGURIDAD X INTERNET NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER Antes de aplicar una política hay que autenticar al equipo. Como estamos hablando de DATACENTER, se realizará una autenticación a nivel de máquina, es decir por MAC. Previo al uso de los servicios de Red existe un proceso automático de detección automática del usuario, autenticación, determinación dey asignación de perfil de uso de red… todo de manera transparente al usuario. PA Política A X Política por Defecto

11 Políticas de Red dinámicas – Network on Demand !!!!!!
CON AUTENTICACIÓN PA PB Netsight Policy Manager X Gestión de Identidad Gestión de SEGURIDAD ¿Usuario? 802.1x/WEB/MAC Política PA X PA INTERNET X NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER El SWITCH pregunta al RADIUS por la validez de la dirección MAC que entra por el puerto. Si el RADIUS acepta al Servidor, devuelve además la política que hay que configurar en el puerto. El proceso de autenticación se realiza de manera alternativa o concurrente sobre el mismo punto por diversos métodos: en base a agente 802.1x en base vía portal WEB PA Política A X Política por Defecto

12 Políticas de Red dinámicas – Network on Demand !!!!!!
AUTENTICACIÓN PA PB Netsight Policy Manager X Gestión de Identidad Gestión de SEGURIDAD ¿Usuario? X PA Política PB 802.1x/WEB/MAC INTERNET PB X NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER RTP VoIP Phone Privilege Instant Messaging MGCP Filtered Unsupported Protocols & Ports VoIP Service Highest Priority & Rate Limited Highest Priority & NOT Rate Limited SAP Voice VLAN Basic Services (DNS,DHCP,FTP) Low Priority PA En otro puerto cualquiera dónde se conecte otro servidor del DATACENTER, se busca la autenticación en el mismo RADIUS, dando otra política diferente, correspondiente a su grupo de trabajo. RTP Logisitic dept. Instant Messaging MGCP Filtered Unsupported Protocols & Ports VoIP Service SAP Data VLAN Low Priority Medium Priority High Priority Basic Services (DNS,DHCP,FTP) PB PA Política A PB Política B

13 Múltiples tecnologías / redes de conexión
Los usuarios van a utilizan múltiples tecnologías de conexión Netwsight Policy Manager Gestión de Identidad Gestión de SEGURIDAD INTERNET NIVEL DE DATACENTER VPN Nivel de Usuario Nivel de Acceso Nivel de Distribución

14 Múltiples puntos físicos de acceso a la red
Una roseta es una puerta de entrada a la red: hay que protegerla Netsight Policy Manager Gestión de Identidad Gestión de SEGURIDAD INTERNET NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER

15 Múltiples servicios IP (SLA’s) diferentes x usurio…
Los usuarios y las aplicaciones de red generan un tráfico que es necesario controlar. ATLAS Policy Manager Gestión de Identidad Gestión de SEGURIDAD TELNET SNMP FTP Peer to Peer INTERNET TFTP NIVEL de USUARIO NIVEL DE ACCESO NIVEL DE DISTRIBUCION NIVEL DE DATACENTER

16 La torre de babel entrópica….
Mapa de Servicios de Red Comunicaciones Unificadas Videoconferencia Aplicaciones Corporativas 1 Acceso Internet Policy Management Providing access control for all end systems is an important component of securing the network environment and also for authorizing appropriate services. In a converged network environment it is important not only to control access to the network infrastructure, but also to control access to services on that network. An IP phone or IP camera should be authenticated to communicate on the network just as a user on a PC should be authenticated. Once an end system is authenticated and allowed to communicate on the network, access to required applications and services should be controlled based on criteria such as type of device, user credentials, organizational role, location, and time of day. The infrastructure devices to which end systems connect must be able to challenge an end system when it first attempts to connect. Several methods of authentication challenge should be available to support both human-centric and machine-centric end systems. The converged network infrastructure must restrict access to services based upon end-system identity. Network communication rules must be enforceable at the end system’s point of entry, allowing it to communicate with the services it should be able to access, but restricting communication with services it should not be allowed to access. Network Infrastructure Device and User Identity End-System Assessment Authentication Authorization Network Policy Assigment End Systems

17 Portfolio de productos Enterasys La seguridad en el ADN
LAN EDGE LAN CORE NETWORK MANAGEMENT Dragon Server NetSight Console Policy Manager Inventory Manager Automated Security Manager Router Services Manager NIDS Matrix X-Series Matrix N-Series & E-Series Matrix N-Series & E-Series REMOTE & BRANCH LOCATIONS Standalone Matrix E-Series V-Series Matrix N-Series & E-Series LAN DATA CENTER X-Pedition Stackable Matrix C-Series Standalone Matrix E-Series V-Series VPN Matrix N-Series & E-Series WAN Branch XSR Our solutions focus is supported by a broad, end-to-end product line that addresses every area of your infrastructure—from the edge to the distribution layer to the core and out to the WAN. Few vendors can offer the breadth and depth of this portfolio. More importantly, we integrate our products with the embedded security intelligence that helps form the foundation of an enterprise-wide Secure Network. We call this the DNA of our products and it is manifested in built-in features like rate limiting, bandwidth provisioning, multilayer classification, 802.1X authentication, stateful inspection firewall, and more in products like our Matrix switches, Matrix X-Series secure core routers, RoamAbout wireless, XSR security routers, etc. Our NetSight Atlas management platform serves as the overarching and unifying product that ties it all together, providing granular, centralized control of the network with total visibility. Stackable Matrix C-Series RoamAbout Wireless Regional XSR RoamAbout Wireless NIDS Servers

18 Una red alineada con los Procesos de Negocio
Evolución … no revolución Aproximación de Enterasys Aportación inmediata de valor, sin riesgo Proporcionando los servicios de red con los SLA’s necesarios y las necesidades de gestión/administración mínimas Equilibrando el diseño de red, la compatibilidad con estandares a biertos y el diseño de los equipos para ciclos de vida largos Empecemos con VISIBILIDAD en la red Quien y qué está circulando por la red ? Dónde están los activos (terminales/usuarios) ? Cuales son los perfiles de uso ? Evolucionemos hacia CONTROL & PRIORIZACIÓN Role-specific Device-specific Application-specific Service-specific Evolution, not revolution Start with existing VLANs, ACLs, etc. Tackle most important issues first Pick the level of control you need today and project that you’ll need in the future © 2008 Enterasys Networks, Inc. All rights reserved.

19 Eficiencia operacional -> mas.. por menos
Método de cambio de políticas (Enterasys) Create classification rule in NetSight Policy Manager Link classification rule to desired user/device/application role(s) Deploy change to entire network with ONE CLICK Método tradicional de cambios de configuración de red Telnet to switch Display ACL config file Highlight ACL text and copy Paste ACL text into Notepad Evaluate ACL order and insert new packet filter Re-order remaining ACLs Copy text into Notepad Paste into switch telnet session Repeat all – FOR EACH SWITCH ON THE NETWORK 3 minutes Classification rule = packet filter Ratios for competitors are 1 staff to users Mark Townsend example – iLabs interoperability exercise (UNH). All vendors given 30 minutes for change, Mark done in 2! 30 minutos © 2008 Enterasys Networks, Inc. All rights reserved.

20 Eficiencia operacional –> reducción de errores
El 80% de los cortes de servicio de la red están producidos por cambios de configuración Aproximación tradicional… Gestión de red basada en políticas (perfiles de uso) Versus Traditional Configuration – 90% done this way CLI; switch-by-switch and router-by-router configuration Static configuration – adds/changes require extensive planning and configuration changes, mostly via CLI ACLs are “order sensitive” and require extensive analysis before committing changes Time to make a single change (observed in interoperability lab tests) – 10 minutes per device (times –n- devices) Enterasys Policy Service-based model, error-checking native to management application Policy model not dependant on order of packet filters - uses “precedence table” to automatically sort and order packet filters to get desired function Time to make a single change – 2 minutes per service – period. Automatically synchronized across all devices in domain. Single change Easily deployed system wide Easy to back out Error prone Time consuming Not scalable

21 Secure Networks™ An Architectural Approach to Building a Secure Converged Network
Advanced Security Applications Intrusion Prevention and Network Access Control Centralized Visibility and Control Management Software Enterasys Networks provides an architectural approach to delivering a secure converged network. Unlike other vendors’ approaches, Enterasys fully integrates a security-enabled infrastructure, advanced security applications and centralized visibility and control to enable IT organizations to deploy networks that will adapt to any converged application and will provide secured and highly available services to business users. Security-Enabled Infrastructure Switches, Routers, Wireless

22 Thank You.

23 Secure Networks Capabilities – Supporting a Secure Converged Network
Establish and Enforce Policy for users and devices to protect the enterprise Differentiate data, voice and video communications policies Protect converged application resources Define specific policies for CEPs (such as VoIP Phones) Access Control of users and devices on the network Authenticate and Authorize users and CEPs Detect CEPs through various methods Restrict application access for CEPs Detect & Locate security intrusions and anomalous behavior Detect specific threats to convergence applications Learn users and CEP location throughout the network Provide real-time location information for CEPs (E911 support) Respond & Remediate identified security breaches Contain specific threats to converged services Dynamically adjust network usage policy based on behavior Enable secure notification and self-remediation This architectural approach to delivering secure converged networks delivers significant capabilities. The architecture enables network usage policies for users and devices to be established centrally and enforced throughout the converged network environment. These policies for network communication enable an IT organization to ensure the quality of service needed for convergence applications, and also ensures secure access to all business-critical services in the converged network environment.  The architecture will enforce access control of users and devices attempting to communicate on the converged network and to specific services. Various end systems can be detected and identified when they connect to the converged network. Once an end system is identified, access to the network as well as to specific services can be controlled based on the type of end system, the organizational role of the end system and/or the person who may be using it, the location of the connection, and the time of day.  The architecture will detect threats and anomalies anywhere on the converged network and locate the exact source. Because of the increased business importance of a converged network infrastructure, it is critical that threats to critical services are detected and mitigated in real-time. Enterasys leverages patented technology to deliver a unique capability of detecting problems as they occur in the network and isolating the exact source of the problem.  The architecture will respond to threats with specific and measured action and will enable users to self-remediate when appropriate. The architecture’s ability to locate the exact source of a threat to the environment enables an appropriate response to be taken.  The architecture will proactively protect the converged network from vulnerable and dangerous end-systems, preventing them from compromising critical business services, other users and end systems. Defenses are established to protect the environment from known threats and network misuse. In addition, end-systems of all types (including convergence endpoints) can be assessed for vulnerability and threat posture before they are allowed on the network. Proactive Prevention of attacks & compromises—everywhere, all the time Eliminate unnecessary protocols and communications Restrict unapproved converged services Assess all end systems for compliance