Aktivní bezpečnost sítě

Úvodní stránka/Datové komunikace a bezpečnost/Aktivní bezpečnost sítě/AddNet

AddNet

Systém AddNet je unikátní DDI/NAC nástroj pro řádové zvýšení efektivity správy IP adresního prostoru a řízení bezpečnosti přístupu v rozsáhlých sítích. Integruje systémy správy IP adresního prostoru, síťové služby (DHCP, DNS), L2 monitoring, řízení přístupu do sítě (NAC) a pokročilou komunikaci s aktivními prvky sítě. AddNet přináší zásadní časovou úsporu při IP adresní správě sítí a zároveň výrazně zvyšuje bezpečnost díky schopnosti řídit přístupy do sítě. Unikátní provázání jednotlivých modulů umožňuje AddNetu efektivně řešit rovněž krizové plánování nebo integraci nových sítí do stávající infrastruktury. Systém plně využívá výhod pokročilých technologií, jako jsou SGP – Secure Grid Platform nebo SDP – Secure Delivery Protocol, které mu umožňují pracovat v plně redundantním módu (N+1 Active – Active). Díky tomu AddNet poskytuje maximální výkon a vysoce nadstandardní míru provozní spolehlivosti.

Integrovaný L2 monitor upozorní na nové/neznámé zařízení v síti, jednoznačně určí místo jeho v síti a případně rovněž jeho fyzickou lokalitu. Správce může následně na jedné obrazovce vybrat všechny potřebné informace, které mu AddNet nabízí a ty doplnit o potřebné unikátní informace. Na jedné obrazovce tak zadá nebo vybere a následně potvrdí informace o adresním plánování, vybrané síti, doby platnosti, začlenění do kritické infrastruktury, specifických DHCP voleb, DNS jménu apod. Po potvrzení záznamu dojde k okamžité distribuci informaci do celé AddNet infrastruktury a updatu všech klíčových subsystémů AddNetu.

DDI představuje integrovanou správu IP adresního prostoru a základních síťových služeb. Řádově zjednodušuje běžné operace IP síťové správy – IPAM a DHCP/DNS.

IPAM

Nástroj správy IP adresního prostoru poskytuje přehledné nástroje adresního plánování s integrovaným řízením všech dalších dílčích částí (DHCP/DNS/NAC). V adresním plánování je tak možné velmi jednoduše přidat nové zařízení nebo změnit síťové parametry stávajících zařízení. Díky adresnímu plánování AddNetu je možné realizovat změnu IP politiky (přečíslování) i v rozsáhlých a distribuovaných sítích. Součástí adresního plánování jsou uživatelsky flexibilní pohledy na síťovou správu. V adresním plánování je možné se pohybovat buď v běžném detailním výpisu, nebo v rámci přehledového stromového pohledu.

DHCP

Integrované DHCP služby jsou navržené pro práci v rozsáhlých distribuovaných sítích, tam, kde je zapotřebí maximální provozní spolehlivost nebo maximální výkon. Díky nativní integraci s L2 monitorem přináší rovněž rozšířené funkční možnosti. To přináší mimo jiné možnost velmi snadno zavést přidělování fixních IP adres pomocí DHCP na základě známých MAC adres. Velmi silným prvkem AddNetu je rovněž správa DHCP voleb a možnost vytváření složených pravidel pro jednotlivé sítě nebo typy zařízení. Toto ocení zejména správci, kteří se narazili na limity svých DHCP infrastruktur například při zavádění IP telefonie.

DNS

Integrované DNS služby přinášejí možnost spolehlivého provozu v distribuovaných sítích s více interface. Vedle toho je možné využít flexibilitu AddNetu při integraci se stávající DNS infrastrukturou organizace, kdy AddNet řídí existující DNS servery prostřednictvím dynamických DNS a zajišťuje tak plnou konzistenci prostředí IPAM, DHCP a DNS. Tato flexibilita bývá obvykle využívána pro zákazníky Microsoftu, kteří požadují zachování stávající DNS infrastruktury pro technologie typu cluster nebo doména.

NAC – řízení přístupu do sítě. Zvýšení bezpečnost sítě díky možnosti využití 802.1x/ MAC autentizace a autorizace. AddNet zabezpečuje přístup do sítí díky integrované podpoře 802.1x/MAC autentizaci a autorizaci. Pro využití služby AddNet NAC je zapotřebí, aby v síti byla využívána infrastruktura podporující 802.1x s MAC autentikací. Tento standard dnes splňují prakticky všechny střední a prémiové řady předních výrobců síťových prvků.

Výhodou NAC řešení AddNetu je možnost snadného nasazení v prostředí rozsáhlé distribuované sítě. Je tak možné zajistit NAC funkcionalitu i ve vzdálené lokalitě, která nemá dočasně spojení s centrálou. To je zajištěno díky integrovanému Radius serveru provozovaného na vzdálených AddNet Workserverech.

802.1x/MAC autentizace

AddNet se v oblasti NAC plně opírá o standard RADIUS protokolu. Podporuje tak možnost 802.1x s MAC autentizací. Zavádění plného 802.1x, vzhledem k nutnosti zavádět na všechny síťové zařízení suplikanty a držet v nich aktuálně platné certifikáty, přináší poměrně značnou pracnost. To je doplněno o dodatečná bezpečnostní rizika spojená s nutností spravovat výjimky – suplikanty totiž nejsou k dispozici pro všechny platformy a zařízení. Port aktivního prvku, ke kterému je připojeno zařízení, bez podpory suplikanta 802.1x, je pak nutné vyjmout z podpory 802.1x. Případné připojení jiného zařízení do takového portu pak představuje bezpečností riziko.

Většina zákazníků, využívající AddNet, proto dává přednost možnosti využívat NAC ve formě MAC autentizace s ochranou. To znamená, že zařízení se ověřují oproti MAC adrese. Ta je však díky integrovanému monitoringu vyhodnocována ve více parametrech a dokáže s vysokou mírou pravděpodobnosti upozornit na podvržené MAC adresy. Tento způsob se svojí funkční hodnotou blíží plnému zavedení 802.1x, avšak odpadá jakákoliv pracnost s jeho zavedením, správou a především dlouhodobou udržitelností spravování výjimek.

Zavedení AddNet MAC autentizace s ochranou je součástí standardní implementace DDI řešení a nevyžaduje žádné další nároky, mimo nastavení aktivních prvků. Přidáním několika málo řádek do konfigurace aktivních prvků, je tak dosaženo okamžitého využívání NAC. Na straně nastavení AddNetu se pak jedná pouze o nastavení komunikačních parametrů pro Radius servery.

Autorizace

Další významnou bezpečnostní funkcionalitou AddNetu je řízení autorizace. Po provedení autentizace, kdy na základě ověření identity zařízení je umožněna komunikaci v síti, dojde v rámci procesu autorizace k určení, do jaké sítě (VLAN) zařízení patří. Následně je pak daný port aktivního prvku dynamicky přenastaven jako accessový pro danou VLAN. Zařízení tak může komunikovat pouze v dané VLAN.

Autorizace, podobně jako 802.1x/MAC autentizace je řízena prostřednictvím Radius serverů, který je součástí AddNet workserveru. Výhodou tohoto modelu je, že odpadá nutnost ručního nastavování VLAN pro jednotlivé porty aktivních prvků. Lze tak snadno dosáhnout stavu, kdy povolené zařízení, ať se připojí kdekoliv v rámci celé sítě, automaticky dostane svoji správnou IP adresu v dané síti a je zařazeno do příslušné sítě (VLAN).

AddNet vedle podpory drátových sítí, přináší kompletní IP správu i pro wi-fi sítě. Konvenční model správy DDI/NAC je navíc doplněn o automatizovanou správu BYOD zařízení (z anglického „Bring Your Own Device“).

Dnešní trend na připojování BYOD a mobilních zařízení do podnikových sítí naráží na protikladné požadavky síťových správců (snaha vyhnout se správě těchto zařízení) a bezpečnostních managerů (požadavek na jednoznačnou identifikaci a řízení přístupu). AddNet tento rozpor řeší. Dává k dispozici samoobslužnou zónu pro zaměstnance, kde je možné provádět jednorázovou autentizaci a autorizaci těchto zařízení (přidělení do příslušné VLAN). Vedle samoobslužné správy pro zaměstnance je možné vytvářet rovněž recepční zóny. Pro hosty organizace je v nich možné snadné vygenerovat jednorázový přístup na omezenou dobu.

Výhodou řešení AddNet BYOD je podpora všech typů uživatelských zařízení, bez ohledu na operační systém a prostředí zařízení. Na uživatelských zařízeních není nutné cokoliv instalovat. Síťových správců se tak správa těchto zařízení prakticky nedotýká. Bezpečnostní manažeři pak oceňují, že mají přehled o pohybu těchto zařízení v síti a rovněž díky vyřešené autentizaci znají jejich uživatele a mohou přiřadit tyto zařízení do příslušných VLAN podle uživatele zařízení.

Klíčové přínosy BYOD modulu

  • Plně automatizovaná IP správa BYOD a mobilních zařízení
  • Jednoznačná identifikace BYOD a mobílních zařízení v síti
  • Možnost okamžitého zakázání komunikace zařízení na síti
  • Podpora 100% platforem mobilních zařízení
  • Na mobilních zařízeních není nutné cokoliv instalovat nebo nastavovat
  • Na registrované mobilní zařízení lze aplikovat bezpečnostní pravidla organizace
  • Úplný přehled o provozu VŠECH zařízení připojených k síti

Hlavní přínosy řešení

Zavedení DDI – významná úspora práce síťových administrátorů

Vysoce výkonný L2 monitoring s možností fyzické
lokalizace zařízení – díky integraci s kabelovou knihou

Zavedení NAC – řízení bezpečnosti přístupu do sítě s využitím 802.1x/MAC autentizace a autorizace (přiřazování do VLAN)

Standardizace činností síťových správců a možnost centralizace správy rozsáhlých distribuovaných sítí

Podstatné zvýšení provozní spolehlivosti a výkonu DNS, DHCP, Radius díky vícenásobné redundanci a nadstandardní škálovatelnosti

Unikátní podpora distribuovaného modelu sítě – garance zajištění provozu L2 monitoringu / DDI / NAC i ve vzdálené lokalitě v případě ztráty konektivity s centrální lokalitou

Plně automatizovaná správa BYOD a mobilních zařízení a jejich jednoznačná identifikace v síti

Úspora nákladů díky dlouhodobému sledování využití aktivních prvků

Plná heterogennost a bezproblémová spolupráce se síťovými technologiemi Microsoft a Cisco

Flexibilní nasazení – vhodné pro centralizované i plně distribuované organizace

Snadné nasazení – díky vlastní implementační metodice a výkonnému iniciačnímu sniffingu

AddNet jako integrální součást konceptu Aktivní bezpečnost sítě přináší připravené integrace na další prvky (např. Flowmon ADS)

Mopos Communications, a.s. je certifikovaným partnerem pro implementaci řešení Flowmon, technologie pro efektivní monitorování síťového provozu v reálném čase.

Mopos Communications, a.s. je certifikovaným partnerem společnosti Cisco Systems, celosvětového lídra v oblasti síťových služeb, výrobce firewallů, routerů, switchů, přístupových bodů atd.

Mopos Communications, a.s. je partnerem řešení Logmanager, systému pro centralizovanou správu, logmanagement eventů a logů z libovolných síťových aktivních prvků, operačních systémů a aplikačního software.

Mopos Communications, a.s. je partnerem pro implementaci řešení AddNet, systému pro řízení přístupu a správu adresního prostoru rozsáhlých firemních sítí.

Chcete se na něco zeptat? Potřebujete s něčím poradit?

Proč zvolit Mopos Communications?

Dlouholeté zkušenosti

Více než 30 let na českém trhu v oblasti elektronických systémů, komunikačních technologií a systémů pro města a obce.

Kvalita na prvním místě

Kvalitní firemní zázemí tvořené specialisty s mnohaletou praxí a vyškolenými techniky.

Přidaná hodnota

Ucelená nabídka produktů a služeb. Profylaktické, servisní a revizní činnosti jako nedílná součást nabídky služeb.