A Siemens Enterprise Communications Company

“There is nothing more important than our customers”

Tu smartphone como dispositivo de seguridad

Jordi Soler

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

El reto de “BYO”

Los programas Bring your own device (BYOD) son cada vez más populares para las empresas de hoy día.- Permite a los usuarios trabajar con el equipo de su elección- Incrementa la satisfacción del empleado- Baja los costes de IT

Muchos tipos de equipos- Bring your own (BYO) iPhone, iPad, tablet, netbook, smartphone ….

Mayores retos en seguridad y gestión, incluso usando los equipos corporativos- Datos privados y sensibles de la empresa residen juntos en un mismo equipo- Las aplicaciones que se instalan en estos equipos no son controlables

- Lo que abre una puerta de acceso en las infraestructuras de las empresas.- Hay que soportar una gran variedad de plataformas hardware y software- Restringir el uso de aplicaciones adicionales en los equipos mediante reglas en la

empresa no es una solución viable- Si se hace, el valor de estos nuevos equipos queda muy limitado para el empleado.

2

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

NACNG – Gestionando la explosion de equipos finales

3

Número de equipos conectados

IP Printers

Medical systems

Facility ManagementBuilding Control

VoIP PhonesDiversidad de sistema/ SO

(Virtual) servers

PC

Sensors,“Machines”

Smart Phones“xPads”

Production Control

Laptops

IP Video Surveillance

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

Registro de los equipos4

Equipos BYO no están gestionados por IT- Falta configuración de seguridad adecuada

- Método fuerte de autentificación- Certificados y/o configuración de encriptación

para la WIFI

NAC proporciona un portal web que permite a un usuario registrar su equipo con sus credenciales

Le podrían seguir las siguientes acciones - Instalación de certificados- Configuración del equipo de forma automática

usando protocolos apropiados- WMI (Windows Management Instrumentation) o

MDM (Mobile Device Management)

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

Detección de nuevos dispositivos – DeviceProfiling

Profiling automático y detección del tipo de equipo- NAC detecta los nuevos dispositivos en la red

automáticamente y los clasifica para determinar el tipo de equipo

- Asignación de una política automática es posible

- Varios orígenes de la clasificación posibles:- Escaneo basado en agente o desde la red

- DHCP OS fingerprinting

- Portal cautivo (usado para remediación y registro o servicios de invitados)

- Se pueden usar clasificadores externos (Netflow, firmas IDS)

- El tipo de equipo puede ser un Sistema Operativo, o tipo de Hardware, como por ejemplo Windows, Windows 7, Debian 3.0, Impresora HP, Android, iPhone, iPad, etc.

5

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

Expandiendo las capacidades de detección de la solución de NAC

- Disponible desde 2005

- Instalada en miles de redes

Autentificación y aplicación de políticas basado en:

- Información del sistema final

- Información de usuario

- Localización (e información histórica)

- Hora

- Método de autentificación

- Estado de salud del equipo

MAC Address

IP Address Tracking First/last seen

Hostname

Phone#

Operating System

Asset IDUsername

Access Point /SSID

Switch/port

Current Location

Switch/portLocation

StateHealth

Applied Policy

Conocimiento del usuario y el equipo

6

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.7

Tipo de acceso: VDI – Virtual Desktop Interface

Usando VDI para conectar equipos BYO- En conjunción con Citrix Receiver technology, el Citrix

Virtual Desktop Infrastructure VDI solution XENDesktop- La plataforma Enterasys Data Center Manager (DCM) en el

CPD es opcional

Citrix Receiver es una tecnologia cliente universal que permite crear desktops virtuales a cualquier usuario o equipo

Ventajas- Acceso a la infrastructura corporativa se puede restringuir

a solo el acceso del VD usando el protocolo Citrix ICA, así no hay otros recursos expuestos.

- Citrix Receiver no requiere que los datos corporativos esten almacenados en el equipo, solo los presenta

Otras soluciones VDI también se pueden soportar

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

Usando VDI para conectar equipos BYO

La alternativa segura- Uso de Virtual Desktop- Restringir acceso a la red corporativa a solo tráfico VDI- Aplicar una política de basada en el usuario para la sesión

VDI en el CDP- Permitir tráfico con destino a recursos externos

8

policy enforcement at the access layer –

device based Server with VDI

instances

Intranet

DMZ

Internet

Other internal traffic blocked

Only VDI (i.e. ICA) traffic to internal ressources allowed

policy enforcement

at the server – user based

VDI traffic – user based enforcement

Internet traffic from other apps

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.9

La alternativa

Acceso nativo para equipos BYO- Los equipos (o sus usuarios) son autenticados o

detectados automáticamente- Como resultado, la política no será igual de restrictiva

que como la aproximación con VDI- Autentificación en lugar de auto detección es

recomendado

La política resultante permitirá- Acceso a Internet si se quiere- Acceso a los recursos necesarios internos- Bloqueará acceso a los recursos sensibles de la

empresa.

Asegura acceso a los servicios- Por ejemplo para aplicaciones médica con soporta

para hacer la ronda con un iPad- Pero sigue protegiendo el resto de recursos críticos

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.

Acceso nativo para equipos BYO

Solución económica- No necesita una solución VDI – reduce CAPEX y OPEX- Restringe el acceso a la red corporativa a solo los recursos

necesarios- Se recomienda usar una autentificación segura y fuerte- No se tiene un control total de los datos en el equipo

10

policy enforcement at the access layer –

user or device based

Application server B

Intranet

DMZ

Internet

Other internal traffic blocked

service access to necessary ressources

Internet traffic from other apps

Application server A

service access to necessary ressources

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.11

Resumen

Automatización- Automatizar la provisión de acceso de cualquier equipo entrando en la red

corporativa

Visibilidad y Control- Control granular del acceso incrementa la seguridad para equipos no

gestionados / no gestionables y equipos privados en la red corporativa

Reducción del coste- Mejorar la eficiencia usando equipos nuevos e innovadores- Reducción del coste de explotación (OPEX) automatizando la provisión

del servicio- No se requiere una infraestructura separada- Usar la misma tecnología que para el control de acceso a la red (NAC) de

otros equipos

©2011 Enterasys Networks, Inc., A Siemens Enterprise Communications Company – All rights reserved.12

Preguntas

¿Preguntas?jsoler@enterasys.com

@JordiETSBcn

A Siemens Enterprise Communications Company

Visit us at: www.enterasys.com