Kuluttajaistuminen Verkonhallinnan kannalta. Timo Lonka, Extreme Networks

Kuluttajaistuminen Verkonhallinnan kannalta Timo Lonka, Extreme Networks

Päätelaitteiden laajeneva kirjo Läppärit Älypuhelimet Tabletit 2

Tuo langattomaan verkkoon haasteita Tabletit eivät ole sama kuin kannettavat Pienempi Wi-Fi radio lähetysteho ja herkkyys Antennien sijoittelu laitteissa Akunkeston ongelmat, yhteys aina päällä Tarvitaann enemmän tehoa tukiasemilta! AP AP 44dB SNR laptop 25dB SNR ipad AP 15dB SNR Tablet Clone 3

Käyttäjät tarvitsevat tukiasemat lähemmäksi! 3-4 Wi-Fi Laitetta käyttäjää kohti (BYOD) Odotuksia WiFi Reunalta Käyttäjillä vertailukohtana hyvä WiFi kotoa Riittävästi kaistaa tukiasemaan 802.11. Tuki viiveherkälle liikenteelle, video, ääni Paljon käyttäjiä samalla alueelle 4

Älykäs reunaverkkoratkaisu Helppo IT:lle Helppo käyttäjälle Taloudellinen yritykselle

Mitä haasteita on edessä Enemmän verkkoja jotka tarvitsevat ylläpitoa... Kasvava langallinen ja langaton infra Enemmän käyttäjiä tarvitaan jatkuvaa palvelua.. Verkko on kriittinen resurssi Monimutkaisempaa Laitteita, saitteja, hakkereita... Haasteellista ylläpitää korkeaa käytettävyyttä Budjetti & resurssit pitää tehdä enemmän vähemmällä... Ongelmia saa esiintyä vähemmän ja ne on korjattava nopeammin

Yritysverkkojen evoluutio Perinteinen ratkaisu WLAN Hallinta LAN Hallinta Puhtaasti kaksi päällekäistä verkkoa Molemmat verkot täysin itsenäisiä Pohjatutuu laitteen tunnistautumiseen Langaton verkko Langallinen verkko Extreme Networks ADSP WLAN Hallinta Yhtenäinen siirtotie Ridgeline TM LAN Hallinta Yhdistetty LAN&WLAN ovat tätä päivää 802.11n tukiasemat lisäsivät nopeutta Virtualisoidut Ethernetpohjaisetkonesalitakaisut Identiteetin hallinta laitteille, käyttäjille & virtuaaliratkaisuille ADSP Monitorointi Ridgeline MG Yhdistetty hallinta Yhtenäinen siirtotie Yhdistetty LAN&WLAN hallinta: Tulossa! Keskitetty provisiointi, konfigurointi, ID hallinta Mobile on-boarding Mobile IT administration

Yhdistetyn LAN & WLAN Integraation strategia Yksinkertainen, integroitu lanka & langaton hallinta Extreme & Motorola keskittyvät hallinnan kannalta suunnittelussa neljään eri aiheeseen Provisiointi, konfigurointi, monitorointi, vianselvitys Samankaltaisia ominaisuuksia tuodaan seuraavaan Ridgeline versioon Provisiointi, hallinta Erityiset Wi-Fi ominaisuudet jäävät ADSP:hen monitorointi, vianselvitys

Mobile Onboard: vastaus nykyhetken tarpeisiin Liitä käyttäjät helposti ja tietoturvallisesti Liitä IT:n hallinnoimat laitteet kätevästi ja tietoturvallisesti Hyvä näkyvyys käyttäjään/laitteeseen, identiteettiin, paikkaan Automatisoitu käyttäjien ja laitteiden provisiointi roolipohjaisen pääsynhallinnan kanssa Extreme LAN infra Active Authentication (802.1X, Web Portal) Saatavilla nyt Passive Authentication (Windows Active Directory Snooping) Saatavilla nyt IT Assets/Devices (LLDP attributes and Device MAC OUI) Wired Ethernet Saatavilla nyt Dynamic Role-based Policy Enforcement Saatavilla nyt LDAP Query and match attributes (i.e. Active Directory) Saatavilla nyt Extreme WLAN Infra Saatavilla nyt N/A 802.1X ja WPA PSK kaikkein yleisemmät todennustavat N/A Yleensä Ei WLAN Wireless ratkaisuja Ethernet Saatavilla nyt Heinäkuu 2012 WiNG 5.4 9

Liitä omat käyttäjät tietoturvallisesti Aktiivinen todentaminen: 802.1X 1 Työntekijät Lanka: kun käytäjä liittää laitteen kytkimen porttiin, 802.1X EAP pyyntö/vastaus käyttäjän tunnuksesta kulkee 802.1X suppikantin ja ExtremeXOS kytkimen välillä Langaton: kun langaton käyttäjä liittyy tukiasemalle, 802.1X EAP pyyntö/vastaus käyttäjän tunnuksesta kulkee 802.1X supplikantin tukiaseman välillä Username IP MAC VLA N John_Smith 10.1.1.101 00:00:00:00:01 1 Alice_May 10.1.1.105 00:00:00:00:02 2 Internet 2 ExtremeXOS kytkin ja Summit WM kontrolleri lähettää käyttäjän tiedot eteenpäin RADIUS serverille sekä tallettaa tunnuksen raportointia varten Response Identity EAPOL John_Smit Start h RADIUS Request Request Identity Intranet Mail Servers Student Database 3 RADIUS serveri tarkistaa käyttäjän tunnuksen sekä ilmoittaa siitä tiedon ExtremeXOS kytkimelle ja Summit WM kontrollerille 4 Onnistunut todennus: käyttäjällä on pääsyn verkkoon ja sen resursseihin John Smith Alice May EAPOL Start Response Identity Alice_May Request Identity ExtremeXOS Active Directory Server RADIUS Server Response: Success Response: Success LDAP Server Epäonnistunut todennus: käyttäjä pysyy eristettynä verkosta RADIUS Request Summit WM Controller

Liitä vierailijat kätevästi Aktiivinen todentaminen: Web portaali 1 Vierailijat Lanka: Vierailija liittää laitteen ExtremeXOS kytkimeen, avaa selaimen sekä yrittää pääsyä ulkopuoliseen palveluun(esim. google.com) Langaton: vierailija liittyy avoimeen WLAN-verkkoon avaa selaimen sekä yrittää pääsyä ulkopuoliseen palveluun (esim. google.com) Username IP MAC VLA N John_Smith 10.1.1.101 00:00:00:00:01 1 Alice_May 10.1.1.105 00:00:00:00:02 2 Internet 2 ExtremeXOS ja Summit WM kontrolleri kaappaa HTTP session ja uudelleenohjaa sen todennussivulle 3 Vierailija syöttää tunnuksen. RADIUS Login Request Page Intranet Mail Servers Student Database 4 ExtremeXOS tai Summit WM varmentaa käyttäjätunnuksen RADIUS serveriltä ja tallentaa tapahtuman lokitietoihin John Smith ExtremeXOS Active Directory Server RADIUS Server Response: Success Response: Success LDAP Server 5 Alice May Onnistunut todennus: käyttäjällä on pääsy verkkoon ja se uudelleenohjataan alkuperäiselle sivulle RADIUS Login Request Page Epäonnistunut todennus: käyttäjä pysyy blokattuna verkosta Summit WM Controller

Liitä käyttäjät helposti ja tietoturvallisesti Passiivinen todentaminen: Windows Active Directory Kaikki AD:hen liitetyt laitteet» EI erikseen asennettavia ohjelmistoja käytetään jo olemassa olevaa todentamistapaa» EI tarvetta käyttäjien koulutukselle kirjautumisen yhteydessä PC/MAC Username IP MAC Computer Name VLA N Location Switch Port # 1 John_Smith 10.1.1.101 00:00:00:00:01 Laptop_1011 1 24 Internet Lanka: Työntekijä kirjautuu Windown Domainiin käytäjätunnusta ja salasanaa käyttäen työasemaltaan 2 ExtremeXOS haistelee Kerberos loginin kaappaamalla käyttäjätunnuksen ja tietokoneen host-nimen Intranet Mail Servers Student Database 3 Active Directory palvelin todentaa käyttäjän ja palauttaa vastauksen 4 John Smith ExtremeXOS Active Directory Server RADIUS Server LDAP Server Success ExtremeXOS myöntää pääsyn verkkoon mukaillen AD:lta tulevaa vastausta Alice May 5 Onnistunut todennus: Käytäjällä on pääsy verkon resursseihin Epäonnistunut todennus: käyttäjältä evätään pääsy verkon resursseihin Kerberos Snooping ei sovellu langattomaan ympäristöön 802.1X ja WPA PSK yleisimmät tavat todennukseen! Summit WM Controller

Liitä IT:n hallinnoimat laitteet Laitteiden identiteetti pohjautuen LLDP-protokollaan tai MAC OUI 1 Esimerkiksi: VoIP puhelimet, IP-Valvontakamerat, Langattomat tukiasemat, jne Lanka: LLDP:tä osaava laite kytketään ExtremeXOS kytkimeen jolloin käydään LLDP-MED kättely Device Identity IP MAC VLAN Location Switch Port # iscsi_array 14.1.1.100 00:09:8a:07:29:db 5 1 Cisco_VoIP Phone 11.1.1.101 00:00:00:00:00:02 10 30 IP_Camera 12.1.1.101 00:00:22:22:00:22 20 20 Internet 2 Wireless_AP 13.1.1.105 00:00:12:34:00:05 30 24 ExtremeXOS päättelee laitteen mallin pohjatuen LLDP attribuutteihin: - System Capabilities - Manufacturer Name - Model Name - System Description 3 ExtremeXOS kytkin auto-provisioi porttinsa: VLANs, Policies, QoS, jne 4 Todentamaton laite: pääsy verkkoon joko kokonaan blokattu, tai kaistaa on ainoastaan rajoitettua LLDP-MED LLDP-MED LLDP-MED MAC OUI LLDP-MED ExtremeXOS Intranet Mail Servers Active Directory Server RADIUS Server LDAP Server Summit WM Controller Student Database 13

Käyttäjän, laitteen ja roolin merkitys Käyttäjän ja Laitteen 001010100010101101010 identiteetti 010101010101010010010 Username Device Identity IP MAC Computer Name Role VLAN Location Switch Port # Location Switch Location John_Smith 10.1.1.101 00:00:00:00:00:01 John s_laptop Faculty 1 24 Wiring closet, building 2 Alice_Jones 10.1.1.200 00:00:00:00:00:02 Science_PC Student 1 1 3 rd floor, building 3 Cisco VoIP Phone 10.1.2.100 00:00:00:00:00:03 n/a Voice 10 2 3 rd floor, building 4 Dell iscsi_array 10.3.1.111 00:00:22:00:00:10 n/a Storage 20 8 Data Center <unknown> 10.1.1.50 00:00:00:00:00:50 n/a Guest 1 1 Media building Muodostetaan bittivirrasta sisältö (käyttäjä, laite, ja sijainti) sekä automatisoidaan kytkimen konfigurointityö käyttäen Roolipohjaista politiikkaa Page 14

Dynaamiset profiilit & Follow Me policyt Käyttämällä olemassaolevia käyttäjäkantoja Active Directory LDAP RADIUS VSA Role/Group Internet Intranet Student Records Faculty Servers VLAN Unauthenticated Yes No No No Default 1» Käyttäjälle määrätään rooli perustuen AD atribuutteihin (esim. osasto, lokaatio, jne )» Käytäjät siten perivät verkko-oikeudet rooleiltaan riippumatta siitä mistä verkkoon tulevat Lanka: ExtremeXOS kytkin tunnistaa käyttäjän/laitteen: 802.1X Web Portal Login Windows Active Directory Login LLDP-MED atribuutit Tietyt MAC-osoitteet, MAC OUI Specific IP address, IP range, or IP subnet Extreme Networks on ainoa kytkinvalmistaja, jonka kytkin pystyy saamaan LDAP serveriltä dynaamisen profiilin perustuen käyttäjätunnukseen ja rooliin! Role: Faculty Resource Access = Permit All Role: Student Resource Access = Deny Faculty Servers Role: Unauthenticated Resource Access = Internet Only John Smith Alice May Guest Student Yes Yes Yes No Default Faculty Yes Yes Yes Yes Default LDAP: Who is John? Alice? No Identity detected, Role = Unauthenticated ExtremeXOS Internet Intranet Student Records Active Directory Server RADIUS Server Department Student Success ID = Login Faculty 84532 LDAP Server Summit WM Controller Faculty Servers 15

Dynaamiset profiilit & Follow Me policyt Käyttämällä olemassaolevia käyttäjäkantoja Active Directory LDAP RADIUS VSA Role/Group Internet Intranet Student Records Faculty Servers VLAN Unauthenticated Yes No No No Default 1» Käyttäjälle määrätään rooli perustuen AD atribuutteihin (esim. osasto, lokaatio, jne )» Käytäjät siten perivät verkko-oikeudet rooleiltaan riippumatta siitä mistä verkkoon tulevat Student Yes Yes Yes No Default Faculty Yes Yes Yes Yes Default Internet Langaton: kun käyttäjä irrottaa koneensa lankaverkosta ja assisioituu tukiasemaan, käyttäjä automaattisesti todennetaan 802.1X-protokollalla. Extreme Summit WM kontrolleri todentaa käyttäjän käyttämällä Radius todennusta. RADIUS-palvelin vastaa, vastaus sisältää VSAparametrejä. Samat oikeudet seuraavat käyttäjää uuteen verkkoon. Roolipohjainen pääsy, riippumatta sijainnista, lanka ja langattomassa-verkossa! Ei riippuvuutta VLAN:hin! Alice May Role: Student Resource Access = Deny Faculty Servers Permit all else Role: Student Resource Access = Deny Faculty Servers Alice May ExtremeXOS huom: LDAP on tuettuna ExtremeXOS nyt. LDAP kyselyt Summit WM kontrollerilta kesällä 2012. Intranet Student Records Active Directory Server RADIUS Server Response: Success Group = Student RADIUS Request LDAP Server Summit WM Controller Faculty Servers 16

Mobile Onboard: Roadmap Onboarding käyttäjät ja heidän laitteensa Laitteen ja käyttöjärjestelmän sormenjälki ipad, iphone, Android, MAC, PC, Xbox, PS3, Linux, etc Extreme LAN infra Extreme WLAN Infra Onboarding Users with Active Authentication (802.1X, Web Portal) Available today Available today Onboarding Users with Passive Authentication (Windows Active Directory Snooping) Available today N/A 802.1X and WPA PSK most common authentication on Wireless. Onboarding IT Assets/Devices (LLDP attributes and Device MAC OUI) Wired Ethernet Available today N/A Critical IT assets are wired Wireless connections Ethernet Dynamic Role-based Policy Enforcement Available today Available today LDAP Query and match attributes (i.e. Active Directory) Available today July 2012 WiNG 5.4 Laite/OS sormenjäljet Syksy 2012 XOS 15.2 Ridgeline MG 4.1 Syksy 2012 WiNG 5.5 Ridgeline MG 4.1 17

Roadmap: Onboarding käyttäjät ja laitteet ExtremeXOS kytkimillä ja Summit WM kontrollerilla on mahdollisuus luoda sormenjälki verkkoon liittyvistä laitteista Lanka tai langaton! ExtremeXOS kytkimet: käyttää DHCP:tä sormenjälkien luontiin Summit WM Wireless: käyttää HTTP-pohjaista agenttia Tämä mahdollistaa laajennukset roolipohjaisille politiikoille Esimerkiksi: Jos identiteetti, tai käyttäjän arvot täsmäävät: Department = Sales Department = engineering Location = office ja jos laiteluokka on vastaava: iphone Windows PC Game Console sitten määritä käyttäjälle ja laitteelle rooli: Mobile Sales Role Corporate Sales Role Game Console Role ja dynaamisesti määrite seuraava politiikka: Permit Sales Server Deny Finance Servers Permit Sales Server Permit Finance Server Deny Corporate Resources Rate limit traffic 10% 18

Mobile Onboard: yhdistetty hallinta Roadmap 1:n vaihe: Ridgeline MG 4.0, WiNG 5.4 2:n vaihe: Ridgeline MG 4.1, ExtremeXOS 15.3, WiNG 5.5 Ridgeline yksi näkymä: käyttäjätunnus ja laite (i.e. Tukiasemat, Kontrolleirt, XOS kytkimet) Ridgeline lanka- ja langattomanverkon pääsynhallinta: roolit, ACLs, LDAP Atribuutit Ridgeline Yksi näkymä: Laite/käyttöjärjestelmä, sormenjälki Ridgeline lanka- ja langattomanverkon pääsynhallinta: VLAN:it ja QoS Käyttäjile luotu portaali verkkoon pääsyyn (esim. Itsepalvelu vierailijatunnukset, aikapohjaisuus) Extreme LAN Infra Extreme WLAN Infra Lanka Ethernet Langaton Ethernet Yhdistetty lanka- ja langattomanverkon monitorointi sekä pääsynhallinta 19

Thank you 20