3. Что же такое TrustSec ?
Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NAC”
TrustSec это системный подход к контролю доступа, который
объединяет:
IEEE 802.1X (Dot1x)
Технологии профилирования
Гостевые сервисы
Метки безопасности (Secure Group )
Канальное шифрование MACSec (802.1AE)
Network Admission Control
4. Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация
802.1X, Веб-Аутентификация, MAC-адреса, Профилирование
Авторизация и Контроль доступа
VLAN
DACL
Security Group
Access
Identity
Firewall
Целостность данных и конфиденциальность
MACSec (802.1AE)
“Кто” и “Что”
находится в моей
сети?
“Куда” cмогут
иметь доступ
пользователи/уст
ройства?
Защищены ли
сетевые
коммуникации?
5. Контроль доступа TrustSec
Основные компоненты
Идентификация и
управление
сервисами доступа
Применение
политик
Клиент
Identity Services Engine (ISE)
Коммутаторы
WiFI
AnyConnect или
встроенный в ОС
клиент 802.1x
Маршрутизаторы
NAC агент
Межсетевые
экраны
Web-агент или
браузер
7. Компания Гудвей-X
Бизнес-кейс
Компания Гудвей-X Ритейлер,
Банк,
Промышленный холдинг,
Агрохолдинг,
Страховая компания.
Зак –
Менеджер
по информационной
безопасности
Айк –
IT-менеджер
отвечает за работу сети
8. В компании Гудвей-X назрела проблема
Бизнес-кейс
Внешний аудит показал, что в компании не существует
контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и
поручил Айку внедрить контроли.
Описание задач для Айка:
1. Необходимо журналировать подключения в сеть
2. Компания хочет быть уверена, что сотрудники
получают доступ в сеть только с авторизированных
устройств.
Решение: Система контроля доступа 802.1X
9. Настройка по-умолчанию с 802.1X
До аутентификации
Нет видимости (пока)
Жесткий контроль доступа
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
?
?
USER
Весь трафик кроме служебного 802.1x
блокируется !
10. Настройка по-умолчанию с 802.1X
После аутентификации
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
Выглядит
также как
и без
802.1X
?
Пользователь: Маша
Authenticated Machine: XP-Mary-45
“Клиент для 802.1x есть в
Windows XP/7 и у меня
завалялся Cisco ACS.
Задача решена!”
подумал Айк.
11. Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я протестировал
дома конфигурацию,
все выглядит
отлично. Завтра я
включаю 802.1x в
продакшн…
Айк
Включает 802.1X
Я не могу
соединиться с сетью.
Она говорит что
Аутентификация не
пройдена и я не
знаю что делать,
через два часа у
меня презентация…
Звонки в службу поддержки увеличились на 120%
12. Чего не хватало Айку?
Какие уроки мы извлекли?
Некорректно внедренный 802.1x – это система контроля
предотвращения доступа
Необходим режим мониторинга
Должен существовать метод анализа удачных и
неудачных соединений
— Для того чтобы устранить проблемы до перевода
системы 802.1x в более сильный режим контроля.
Внедрение 802.1x лучше начинать с:
Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
Enforcement Mode (Принудительный режим 802.1x)
13. Режим мониторинга
Процесс, не просто режим.
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
Pre-AuthC
пользователей/устройства - Задача №1 Post-AuthC
SWITCHPORT
P
DH C
TFTP
D HC
P
HT T
5
KRB
E AP o
SWITCHPORT
L
P
TFTP
P
HT T
5
KRB
Permit All
EA P o
Traffic always allowed
L
Permit All
14. Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
Pre-AuthC
Post-AuthC
SWITCHPORT
P
DHC
KRB
P
DHC
TFTP
P
HTT
5
E APo
SWITCHPORT
L
TFTP
Permit
Some
E AP o
SGT
P
HTT
5
KRB
L
Role-Based ACL
15. Чего не хватало Айку?
Какие уроки мы извлекли?
Отсутствие отчетности со стороны сапликанта
Когда все в порядке – пользователь не в курсе.
Но когда все перестает работать…
— Пользователь видит “Authentication Failed”
сообщение и всё.
— Отсутствие видимости. Только звонок в
службу поддержки
Решение: Сторонние супликанты
Cisco’s AnyConnect Supplicant
— Предоставляет утилиту для репортинга
(DART)
— Детализированные логи с клиентской
стороны
15
16. Чего не хватало Айку?
Какие уроки мы извлекли?
Отсутствие видимости на Radius сервере - ACS 4.x
17. Чего не хватало Айку?
Какие уроки мы извлекли
Решение: ACS VIEW Identity Services Engine (ISE)
17
18. Чего не хватало Айку? -
Детализация удачных и неудачных попыток доступа в Cisco ISE
18
19. Чего нам не хватало?
Детальный вид активных сессий и наложенных политик в Cisco ISE
19
20. Чего не хватало Айку?
Какие уроки мы извлекли?
Айк забыл об устройствах без поддержки 802.1x
Принтеры, IP Телефоны, Камеры, СКУД
Решение? Не использовать 802.1х на
портах с принтерами
Ну а что если устройство переедет ?
Решение: MAC Authentication Bypass (MAB) – централизованная
в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без
аутентификации по 802.1x
21. Бизнес кейс продолжает изменяться
Требования:
1. Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х получают доступ к сети.
Решения: Идентификация с помощью 802.1X
2. Устройства без поддержки 802.1x должны иметь доступ к
сети.
Решение: Централизованный MAB
Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на свой ноутбук ?”
Требуется автоматизировать
построение списка MAB
устройств!
23. Профилирование
Видимость
PCs
Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
24. Технология профилирования
Как мы классифицируем устройство?
Профилирование на ISE использует аналоги сигнатуры
Запросы, используемые для сбора данных
HTTP
SNMP Query
SNMP Trap
DHCPSPAN
DHCP
RADIUS
DNS
NMAP
NetFlow
24
25. Политики профилирования
Is the MAC
Address from
Apple
DHCP:hostname
CONTAINS iPad
Profile Library
•
•
Я вполне
уверен что
устройство iPAD
IP:User-Agent
CONTAINS iPad
Назначить
MAC Address к
группе “iPad”
Политики профиля используют условия для определения устройства.
Политики основаны на принципе наилучшего совпадения
26. Распределенный сбор данных с
централизованным анализом
Сенсор устройств
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS
• Автоматическое обнаружение многих устройств (Printers, Cisco devices,
телефоны, планшеты) на коммутаторе/WiFi
• Не зависит от топологии
•
•
•
•
•
•
ISE
Поддержка сенсора
2960-X, 2960-XR
3560/3750
3560C/CG
3850*
4500
Wireless Controllers
• * roadmap
CDP/LLDP/DHCP
CDP/LLDP/DHCP
CDP/LLDP/DHCP
DHCP
DHCP
Device Sensor Distributed Probes
26
27. Эволюция бизнес-кейса
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
29. Cisco ISE
Компоненты полного жизненного цикла гостя
Guests
Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
или SMS
Управление: Привилегии
спонсора, гостевые аккаунты и
политики, гостевой портал
Аутентификация/Авторизация
Посредством веб-портала ISE
Отчетность: По всем аспектам
гостевых учетных записей
30. ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
Гостевые роли и
атрибутов
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
31. Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
33. Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему доступ в сеть потому как это
устройство помогает ему в работе”
34. Требования к BYOD
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям
Айк (IT):
• Как поддерживать
увеличенное кол-во
устройств ?
• Кто будет настраивать ?
• Кто будет согласовывать
с безопасностью ?
Зак (Безопасность)
• Как ограничить, кто из
сотрудников имеет
право на BYOD ?
• Как защититься в
случае потери или
увольнения Как
избежать утечки ?
35. Что предлагает ISE для управления
персональными устройствами
Занесение устройств в
“черный” при хищении,
увольнении
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-IDSE
Автоматическая
настройка множества
типов устройств:
̶ iOS (post 4.x)
̶ MAC OSX (10.6, 10.7)
̶ Android (2.2 and later)
̶ Windows (XP, Vista,
Win7K, Win8)
Поддержка всех
сетевых
подключений
Самообслуживание
персональных устройств
для авторизированных
сотрудников
36. Для сотрудника все просто…
Подключил в гостевую сеть и ввел доменный логин и пароль
41. Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
42. Позиционирование ISE и MDM
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE)
Контроль
использования
сетевых ресурсов
Классификация/
Профилирование User <-> Device
Ownership
Безопасный сетевой доступ
(Wireless, Wired, VPN)
Управление сетевым
доступом на основе
контекста
УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Регистрация
Распространение
корпоративного ПО
Управление
(Backup, Remote
Wipe, etc.)
Соответствие политике
Настройка
(Jailbreak, Pin Lock, etc.)
профилей
Шифрование
безопасности
данных
устройства
Инвентаризация
Управление затратами
Пользователь управляет устройством
IT управляет доступом в сеть
Пользователи и IT совместно
управляют устройством и доступом
43. ISE 1.2 поддерживает интеграцию c MDM
MDM
Manager
ISE
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM
Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
44. MDM –источник информации для ISE
MDM проверка соответствия
Соответствие на основании:
General Compliant or ! Compliant status
—
OR
Вкл. Шифрование диска
Парольная защита вкл.
Macro level
Jailbreak устройства
Micro level
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит
через определенные промежутки времени.
Если со временем устройство перестоит быть
соответствующим политике, ISE завершает
сессию устройства.
45. Инициация действий через MDM
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM сервер
(пример: удаленно стереть устройство)
Портал мои устройств
ISE Каталог устройств
•
•
•
•
•
•
•
Options
Edit
Reinstate
Lost?
Delete
Full Wipe
Corporate Wipe
PIN Lock
45
46. Эволюция бизнес кейса:
Метки безопасности
После модернизации сети поменялись IP-адреса. Можно как
строить политику безопасности без привязки к сетевым
адресам и VLAN?
Айк
Можно ли использовать информацию от ISE
для построения политик безопасности на
файерволах ?
Зак
47. Применение SGT и SGACL
Security
Group
Tag
1. Когда пользователь/устройство заходит в сеть ему назначается
метка безопасности (SGT), которая обозначает его роль
2. Эта метка переносится по всей сети
3. Коммутаторы и межсетевые экраны применяют политику по
меткам Security Group Access List
SGACL
SG
Public
Private
Staff
Преимущества:
SGT
Permit
Permit
Guest
Permit
Deny
Гибкие политики независимы от топологии и IP-адресации
Метки основаны на роли пользователя и состоянии/типе устройства
Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
48. Передача меток по сети
For Your
Reference
SXP IP Address 10.1.204.126 = SGT 5
ISE
RADIUS (Access Request)
EAPOL (dot1x)
10.1.204.126
RADIUS (Access Accept, SGT = 5)
6506
10.1.204.254
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
Finance
Finance
✓
Finance
HR
10.1.200.254
Nexus 7000
Agg VDC
HR
Server #1
10.1.200.50
ASA
VSG
Finance Server
#1
10.1.200.100
53. Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
54. Что же такое Identity Services Engine?
ISE это больше
ISE
- чем просто RADIUS
55. Вопросы?
Канал Cisco Russia & CIS на Youtube
Канал TrustSec на Cisco.com
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
www.cisco.com/go/trustsec