Grenzeloos Netwerken
Peter Bazelmans Solution Specialist 4IP Ruim 14 jaar actief in de netwerkbranche 11 jaar actief als Solution Specialist bij Ictivity Sinds 2009 bij 4IP, onderdeel van De Ictivity Groep Werkzaam geweest bij KPN als engineer binnen de business unit Enterprise Networks Mede-verantwoordelijk voor het technisch beleid & portfolio 4IP
AGENDA Het fenomeen xyod Wat vereist xyod van het (Wi-Fi) netwerk? Grenzen verleggen met Wi-Fi Een kijkje in de keuken Korte demo
Simple can be harder than complex HELDER, SIMPEL
You have to work hard to get your thinking clean to make it simple. But it s worth it in the end because once you get there, you can move mountains.
De gebruiker anno nu
De apparaten anno nu
De applicaties anno nu
BEPERKT BASIS UITGEBREID GEAVANCEERD Strikte omgeving Focus op Basis diensten, Simpele toegang Verschillende diensten, On-Boarding Onsite/Offsite Alle diensten en services, Volledige controle Corp Only Device Devices breed ondersteund, www only Meerdere apparaten en toegangsmethodieken 1e generatie xyod Elk apparaat Elk eigendom Mobiliteit (Video, Collaboration, etc.)
En het (bedrade) netwerk dan?
X xyod Betekent uitdagingen voor IT!
Klaar voor de start: Wi-Fi! Klaar voor de start: Wi-Fi
Een historische blik De evolutie van wifi 3 taboe s
WiFi performance Lange tijd een probleem In het begin 2 Mbps 11 54 Mbps
WiFi Stabiliteit Radio management Channel plan Interferentie Complex, lastig beheer
WiFi beveiliging Zwakke encryptie (WEP)
De gebruiker uit het verleden De vroegere gebruiker komt naar het netwerk toe De gebruiker heeft 1 vaste werkplek Heeft 1 device waarop hij werkt Het netwerk stopt bij de muren van het kantoor
Het Wi-Fi netwerk uit het verleden Autonome AP s, lastig beheer Radio management was een uitdaging, waardoor stabiliteit issues Lage bandbreedtes Zwakke beveiliging Beperkt tot kantoor Statisch, bedoeld voor 1 type gebruiker
De hedendaagse gebruiker Het netwerk komt naar de gebruiker toe Het netwerk stopt niet bij de muren van het kantoor De gebruiker heeft een mobiele werkplek en wil overal kunnen werken Eigen apparatuur Veeleisend ( thuis kan ik dit wel! )
Maar Hoe gaan we dit beheersbaar en veilig houden?
Met behulp van een geavanceerd Wi-Fi netwerk! Thin APs bestuurd door een centrale entiteit Hoge performance door 11n standaard Sterke beveilging/encryptie (certificaten) Stopt niet op kantoor (remote networking) Flexibel, meerdere soorten gebruikers kunnen aanmelden op het netwerk Intelligentie in het netwerk ( advanced AAA )
EVOLUTIE van endpoints en Wi-Fi
Evolutie van endpoints Ethernet Geen QoS 1 per user IT beheerd Security per poort Ethernet en Wi-Fi QoS voor data 1 per user IT beheerd Security per user Wi-Fi QoS voor multimedia 1+ per user Eigendom van gebruiker Security per context
Evolutie van Wi-Fi Losse AP s Autonoom Snelheid laag Niet intelligent Niet schaalbaar Wireless Controller Centraal Snelheid hoog Intelligent Schaalbaar Keuze Virtueel en fysiek Centraal Snelheid hoog Intelligent Zeer schaalbaar Zeer flexibel
HEDEN
Wat vragen we ons af? HOE? Verbinden met het netwerk WIE? gast of medewerker? WAAR? thuis of kantoor? WAARMEE? Met welke apparaten, bedrijfs- of gebruikerseigendom?
I TELLIGENTIE Ingrediënten: Wi-Fi NETWERK
Beveiliging hoe het was
Beveiliging hoe het moet
Wi-Fi Netwerk Van De Toekomst!
WNVDT = Role Based
WNVDT = Dynamisch
WNVDT = Any Device Controller Management Access Control
En dan nog de applicaties! Multimedia intensief, Gevoelig voor latency Primair Data, Bandbreedte intensief
Een kijkje in de keuken Voorgerecht Remote Networking Hoofdgerecht Device Onboarding
Remote Networking
Remote Networking Thuis Kantoor VPN infrastructuur Hoofdkantoor
Remote Networking Zeer eenvoudig en laagdrempelig Geen tussenkomst van gebruiker Te gebruiken met een normale internetverbinding Werkt met lightweight access-points Veilig (VPN technologie) op kantoor beleving
Provisioning van een RAP
Resumé Remote Networking Eenvoudig een werkplek op een remote locatie Werkt via VPN Hetzelfde als op kantoor Werkt eenvoudig
Device Onboarding
Wat is Device Onboarding? Zo eenvoudig mogelijk een connectie realiseren met het (Wi-Fi) netwerk voor een medewerker met zijn/haar (willekeurige) apparaat.
AAA @ your service! Identiteit Voorwaarde(n) Autorisatie (Toegang) Vicky Werknemer Marketing Bekabeld 3 p.m. Groep: Werknemers Datum / Tijd Volledige Toegang Beperkte Toegang Frank Gast Wireless 9 a.m. Groep: Contractanten + Gast/Internet Quarantaine Security Camera G/W MAC: F5 AB 8B 65 00 D4 Francois Consultant (Remote) 6 p.m. Groep: Gast Status Device Type Locatie Access Type Geen Toegang Rapportage
Cisco Identity Services Engine ISE: authenticatie/autorisatie voor gebruikers en apparaten Werknemer Internet 802.1X ASA Remote user VPN AnyConnect Campus Network AD/LDAP Printers, camera Cisco Switch Cisco Wireless Cisco Switch Cisco Wireless LAN Controller Cisco Identity Services Engine
ISE versus MDMs ISE MDM Network Policy Enforcement Classification/Profiling Network Access (Wireless, Wired, VPN) Context-Aware toegangscontrole (Role, Location, etc.) Inschrijven & Registratie Cert + Supplicant Configuratie Voorwaarden (Jailbreak, PIN Lock, etc.) Data Loss Prevention (encryptie, wipe, etc) App distributie & Mgmt Bedrijfs App. beleid Backup ISE 1.0 & 1.1 DEMO ISE 1.1.1 (Juni 12) ISE 1.2 (eind 12) Native ISE functies Profiling Authenticatie Policy Enforcement Native ISE functies Inschrijven/Registratie Self-Service Portaal Certificaat uitrollen Blacklisting ISE MDM integratie (API) Uitgebreide device info Policy compliance WIPE functie
5 praktijkvoorbeelden
Bedrijfsbeleid: gedeeltelijke toegang + WWW Provisioning ISE Policy Engine Autorisatie USER GEBRUIKER Certificaat DEVICE APPARAAT PROFIEL Gastportaal AD CA RegisteredDevices Gebruiker in AD Beperkte Toegang Apparaat van gebruiker BYOD_Provisioning SSID Wireless LAN Controller Bedrijfs Netwerk (beperkt) Internet 1. Apparaat verbindt met Provisioning SSID 2. Apparaat wordt omgeleidt naar Guest Portal en doorloopt stappen 3. ISE voegt apparaat toe aan RegisteredDevices groep 4. Na provisioning, kan het apparaat verbinden met BYOD_Medewerker SSID 5. ISE controleert certificaat, RegisteredDevices en de AD groep voor toegang
Bedrijfsbeleid: volledige toegang Provisioning ISE Policy Engine Autorisatie IT USER Beheerder AD CA Certificaat WhiteList Apparaat in AD Volledige Toegang Apparaat van bedrijf BYOD_Employee SSID Wireless LAN Controller Bedrijfs Netwerk (volledig) Internet 1. Apparaat wordt geconfigureerd door de IT beheerder 2. Apparaat moet worden toegevoegd op de WhiteList door de IT beheerder 3. ISE controleert het certificaat, WhiteList en de AD groep
Bedrijfsbeleid: Alleen internet toegang Provisioning ISE Policy Engine Autorisatie USER GEBRUIKER Certificaat DEVICE APPARAAT PROFIEL Gastportaal AD CA RegisteredDevices AD Groep Internet Toegang Apparaat van contractant BYOD_Provisioning SSID Wireless LAN Controller Internet 1. Apparaat verbindt met company SSID 2. ISE controleert credentials in AD (gebruiker en groep) 3. Als de contractant lid is van de AD groep Internet _Access internet toegang
Bedrijfsbeleid: géén Apple apparaten Provisioning ISE Policy Engine Autorisatie USER AD AD Apparaat Profiel Geen Toegang Persoonlijk Apple apparaat BYOD_Medewerker SSID * Apparaat wordt niet geconfigureerd Wireless LAN Controller 1. Apple apparaat maakt verbinding met het BYOD_Medewerker SSID 2. ISE controleert credentials en AD groeplidmaatschap 3. ISE controleert het type device door middel van profiling 4. Indien het een Apple device betreft geen toegang
Bedrijfsbeleid: Internet toegang Provisioning ISE Policy Engine Autorisatie USER GEBRUIKER AD Groep (Gast) AD Gast OF Gastportaal Internet toegang Persoonlijk / Gast apparaat Gast SSID Wireless LAN Controller Internet Internet toegang als gebruiker lid is van AD Groep (Gast) of een gast is 1. Apparaat verbindt met Gast SSID 2. Apparaat wordt omgeleidt naar Gastportaal 3. Als gebruiker lid is van AD Groep (Gast) Internet toegang 4. Als gebruiker is aangemaakt als gast Internet toegang
Resumé Veel scenario s mogelijk (maatwerk) Afhankelijk van de behoefte en beleid in de organisatie
Digitale certificaten
Identificeren van een endpoint (medewerker eigendom) Door middel van digitale certificaten kan een connectie met het netwerk worden verkregen Device ID is geïntegreerd in het certificaat (MAC) Een advanced AAA server (zoals Cisco ISE) kan certificaten uitdelen aan endpoints Het certificaat kan (later) tevens worden gebruikt voor remote-access Een CA server moet in het netwerk actief zijn
Het registreren van een ipad op het Wi-Fi netwerk met behulp van certificaten Hot Topic
Onboarding van een Apple apparaat (ios) PSN MS CA Medewerker HTTPS naar Portal ISE RegisteredDevices Apparaat registreren ISE stuurt CA certificaat naar endpoint (trust) User klikt op Registreer ISE stuurt Profile Service naar ios apparaat Apparaat inschrijven CSR wordt gegenereerd in ios Encrypted Profile Service: https://ise:8905/auth/otamobileconfig?sessionid CSR naar ISE ISE stuurt Device Certificaat naar ios apparaat SCEP naar MS Cert Authority Certificaat wordt naar ISE verzonden Certificaat voor apparaat CN = 74ba333ef6548dfc82054d0c7fec36e6ddddcbf1 SAN = 00-0a-95-7f-de-06 ISE stuurt een Profiel naar ios apparaat CSR naar ISE ISE stuurt gebruikercertificaat naar ios apparaat Apparaat configureren SCEP naar MS Cert Authority Certificaat wordt naar ISE verzonden Uitgegeven gebruikercertificaat CN = Employee SAN = 00-0a-95-7f-de-06 SSID = CTS-CORP EAP-TLS Apparaat en gebruikercertificaat: Wi-Fi Profiel d.m.v. EAP-TLS 62
DEMO Onboarding van een ipad
Dank U!