Weitere ähnliche Inhalte Ähnlich wie Контроль доступа пользователей к ЛВС Ähnlich wie Контроль доступа пользователей к ЛВС (20) Mehr von Cisco Russia (20) Контроль доступа пользователей к ЛВС1. Контроль доступа пользователей к ЛВС
Архитектура безопасности Cisco TrustSec
Алексей Спирин, alspirin@cisco.com
Системный архитектор, CISCO SYSTEMS
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
4. Требования Политики Безопасности
•Защищать ресурсы
Как можно ближе к ресурсам
Как можно точнее «открывать» доступ
Контролировать среду передачи
•Контролировать угрозы (пользователей!)
Как можно ближе к месту их возникновения
Кто подключился?
Где подключился?
Когда был подключен?
Куда предоставлялся доступ?
Что за устройство?
•Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
4
5. История вопроса
Попытки реализации требований
NAC appliance
infrastructure
Статические 2000-е доступа (ACL)
802.1x – списки
• изменение топологии сети ПО
красиво! проприетарно!сервисов,
Рост подсетей, серверов, не
• неготовность клиентского
приложение, фильтр
работало! протоколов, портов
• пакетный
• масштабируемость
• мобильные пользователи (LAN-1, LAN• пакетный фильтр
2, wireless, VPN, ноутбук, iPad)
• Работа с IP-адресами, не с
пользователями!
13.01.2014
6. История вопроса
Попытки реализации требований
- Нет привязки к пользователю, только IP!
- Пакетные фильтры
- Большие трудозатраты на поддержание
актуальности ACL
- Несовместимость компонентов
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
6
7. Работа TrustSec
0. Категорирование пользователей и ресурсов
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (VLAN, ACL,
SGT, MacSec)
20
30
Пользователь А
Пользователь Б
3. Трафик с метками SGT
4. МЭ - фильтрация трафика на основе меток
Канальное шифрование
групп
ISE
200
300
access-list DCin permit tcp ...
SGT 30 any SGT 300 eq sql
Сервер A
13.01.2014
Сервер Б
© 2013 Cisco and/or its affiliates. All rights reserved.
7
8. Составные части Cisco TrustSec
• Пользователи и оконечные устройства
- Компьютеры, мобильные устройства, гостевой доступ, удаленный
доступ
• Сетевое оборудование
-
Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС
• Сервер политик Cisco ISE
• Единая политика доступа
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
8
9. Матрица доступа в ISE
Portal_ACL
Portal_ACL
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
deny ip
dst
dst
dst
dst
dst
dst
dst
dst
des
eq
eq
eq
eq
eq
eq
eq
eq
eq
9
443
80
22
3389
135
136
137
138
139
10. Безопасный доступ с Сisco TrustSec
•
Единая политика независимо от способа доступа
•
Тэгирование на уровне доступа(SGT) / фильтрация
в ЦОД (SGACL)
Сеть
Доверия
•
Аутентификация пользователей 802.1x, WebAuth,
MAB
•
Аутентификация сетевых устройств (NDAC)
Конфиденциальность
и целостность
•
Шифрование «провода». 802.1AE
•
Шифрование со скоростью интерфейса
Контроль доступа
на основе групп
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
10
13. Конфиденциальность и целостность
Authenticated
Encrypted
DST
SRC
802.1AE Header
802.1Q CMD
ETYPE
PAYLOAD
ICV
CRC
0x88e5
MISEec EtherType
TCI/AN
SL
CMD EtherType Version Length
Packet Number
SCI (optional)
SGT Opt Type SGT Value
Защита от MitM-аттак
Шифрование по стандарту AES-GCM (AES-128)
Шифрование/Дешифрование на каждом устройстве
Проверка целостности
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
13
Other CMD Options
15. SGT eXchange Protocol (SXP)
• SXP нужен для передачи IP-SGT таблицы между «старыми» и
«новыми» устройствами
• SXP-таблица передается через TCP:64999
• SXP – протокол миграции на CTS-устройства
•
•
Позволяет внедрять CTS без необходимости менять железо во всей сети
Модель использования – классификация на доступе, применение политик на CTSустройстве
• Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus
7000/5500, Wireless LAN Controller, ISRG2 и ASR1K
• Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000,
ASA 9.0
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
15
16. SGT eXchange Protocol (SXP)
SGT = Developer (100)
SG-ACL/SGT
SG-FW
SXP-capable only
SXP
Production Svr (SGT=4)
SXP
Developer
SGT = 100
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
Dev Server (SGT=10)
SG-ACL
16
17. TrustSec в КСПД (План)
SGACL
WLC
MACSec
Finance
Catalyst
ASR 1000
ISR G2
Филиал
ISE
SGT L2 Frame
Nexus 5500
GET-VPN
IPSec-VPN
DM-VPN
Catalyst 6500
Nexus 7000
Data Center
Sales
Flex-VPN
Admin
План по функциям
•
Поддержка фреймов SGT на ISR G2
(кроме ISR800)
•
Поддержка тегов между ISR G2 и ASR на DMVPN,
IPSec, FlexVPN
•
На ASR 1000 доступно сейчас
•
Для GETVPN доступно сейчас
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
17
18. Внедрение
Режим мониторинга
оценка готовности хостов к внедрению 802.1x/CTS
интерфейс в режиме открытой аутентификации
логирование информации
Режим малого воздействия
При успешной аутентификации – полный доступ
При неуспешной аутентификации – частичный доступ (ACL)
DHCP+DNS+Internet
Закрытый режим
нет успешной аутентификации – нет трафика
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
18
19. Режим мониторинга + защита ЦОД
Применение политики
Security Group FW Rule
Security Group ACL
TrustSec SXP
WLC
ЛВС
Пользователи
Catalyst
2960S3K/4K/6K
Cat6k Sup2T
Nexus 7k
Monitor Mode
ISE
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
19
20. Внедрение
• “Красная черта” – изменение поведение пользователя
-
Двухфакторная аутентификация
Переназначение VLAN
Сетевые диски
Failed auth/No response – реакция сети?
Добавление машин в домен
• Рекомендации
13.01.2014
PEAP
Проводной доступ - машинная аутентификация
Беспроводной доступ - пользовательская аутентификация (+ профили)
Неуправляемые корпоративные устройства – MAB или ACL на VLAN
© 2013 Cisco and/or its affiliates. All rights reserved.
20
22. Cisco TrustSec
• Криптостойкая идентификация
• Фильтрация на основе группы безопасности, метки
• Защита среды передачи
• Подключение в любой точке -> соблюдение политик
• Оценка состояния (антивирус, патчи)
• Реализация матрицы доступа
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
22
23. Ссылки
- Стартовая страница TrustSec
http://www.cisco.com/go/trustsec
- TrustSec Design Guide (текущая версия 2.1)
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design
Zone_TrustSec.html
- “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и
мобильных устройств”. День 2.
- “Безопасность в центрах обработки данных”. День 3.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
23