1. Интеграция сервисов
идентификации и контроля
доступа. Решение Cisco Identity
Services Engine (ISE)
Владимир Илибман
voilibma@cisco.com

2. Программа
• Identity Services Engine и TrustSec.
• Управление доступом с учетом
контекста:
– Кто: Аутентификация
– Что: Профилирование, оценка состояния,
изменение авторизации (CoA)
– Применение политик доступа
– Управление гостевым доступом
• Эксплуатация
• Дизайн и внедрение
• Направления развития

3. Identity Services Engine
Вступление

4. Эволюция сетевого доступа
Эпоха сетей без границ
Мобильные Сотрудники
сотрудники (Продавцы)
VPN Принтеры
Телеработа (Бухгалтерия)
VPN
Интернет Сотрудники
(Финансы)
VPN
Системы
Сотрудники безопасности
(Продавцы)
Кампусная
Филиал
сеть
Внутренние
Принтеры ресурсы
(Sales)
IP камера Гости
Контрактники Сотрудники с
WiFI-
устройствами

5. Big
Распространение мобильных устройств
• 7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет
выходить на рынок в ближайшие пять лет.*
• К 2015 году будет 7.400 млрд 802.11n устройств на
рынке*
• 1.2 миллиарда смартфонов выйдет на рынок в
течение следующих пяти лет, около 40% всех
поставок телефонов .*
• К 2012 году более 50% мобильных устройств будет
поставляться без проводных портов .***
§ Источники: *ABI Research, **IDC, *** Morgan Stanley Market Время
Trends 2010

6. Задачи управления доступом
КУДА
разрешатся доступ
КТО ЧТО
ПОДКЛЮЧИЛСЯ ? ЗА УСТРОЙСТВО ?
ГДЕ КАК
ПОДКЛЮЧИЛСЯ ? ПОДКЛЮЧИЛСЯ?

7. Архитектура TrustSec.
Контроль доступа на уровне сети
Клиентские ЦОД и
устройства приложения
Идентификация
Контроль доступа
Контроль доступа
Cisco Infrastructure
Политики доступа
Динамический контекст
КОРПОРАТИВНАЯ СЕТЬ
Управление Сервисы Безопасность

8. Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация Контекст:
“Кто” и Что
находится в моей
сети?
802.1X, Web Authentication, MAC-адреса, Профилирование
Куда cмогут
Авторизация и Контроль доступа иметь доступ
пользователи/
Security Group Identity устройства?
VLAN DACL
Access Firewall
Защищены ли
сетевые
Целостность данных и конфиденциальность
коммуникации?
MACSec (802.1AE)

9. Контроль доступа: традиционный подход
Управление
политиками и
сервисами
ACS NAC Manager NAC Profiler NAC Guest
безопасности
Применение политик
Межсетевые NAC
Коммутаторы WiFI Маршрутизаторы
экраны Appliance
Клиент
AnyConnect или NAC агент Web-агент или
встроенный в ОС браузер

10. Контроль доступа TrustSec
Основные компоненты
Управление T
h
политиками и
e
i
сервисами Identity Services Engine (ISE)
безопасности
Применение политик
Межсетевые
Коммутаторы WiFI Маршрутизаторы
экраны
Клиент
AnyConnect или NAC агент Web-агент или
встроенный в ОС браузер

11. ISE: платформа централизованного управления
политиками и сервисами
Централизованная
идентификация
Безопасность пользователей и Эффективность
инфраструктуры IT
устройств в сети
и compliance
Cisco
Применение ISE Автоматизация
согласованных предоставления
сервиса сетевого
политик доступа доступа для
на основе сотрудников,
идентификации гостей и
устройств

12. ISE. Гибкая безопасность на основе политик
Я хочу разрешить доступ Идентификация и
к своей сети авторизация
только авторизованным
Управление
Я хочу разрешить жизненным циклом
Я хочу разрешить
гостевого доступа
Мне нужно разрешить / Сервисы
Мне нужно разрешить /
The image cannot be
displayed. Your
computer may not have
enough memory to open запретить iPADы в моей профилирования
the image, or the image
may have been
corrupted. Restart your
computer, and then
open the file again. If
the red x still appears,
you may have to delete
the image and then
insert it again. Мне нужно, чтобы мои Сервисы оценки
Мне нужно, чтобы мои
Cisco
конечные устройства не состояния
ISE
Как я могу установить Управление доступом
Как я могу установить
политики, основанной на
на основе групп
личности сотрудника, а не безопасности
Мне необходимо
защищать
конфиденциальные
Технология MACSec
коммуникации

13. Что такое политика на основе контекста?
Кто? Что?
Кто? Что?
Идентификация устройств
Классификация устройств
• Доступ на основе контекста
Где? Когда?
Где? Когда?
Местоположение Дата
Время
Как?
Как? Другие условия?
Проводное подключ. • AD, LDAP атрибуты
Беспроводка • Имеет ли сотрудник бейдж в

14. “- А какие у вас докУменты?
Усы, лапы и хвост — вот мои документы!”
— Каникулы в Простоквашино
Кто?
Идентификация и аутентификация

15. КТО= Идентификация пользователя
– Основной способ аутентификациии: 802.1X или NAC-агент
– Учитывать:
• Хранилище для идентификации
• Типы 802.1x EAP и выбор клиента/сапликанта
Сотрудники и
контрактники
редкий доступ)
Основной способ аутентификациии: Веб-аутентификация
Учитывать:
• Портал для веб-аутентификации
• Создание и хранилище гостевых учетных записей
Гости, Сотрудники
с “чужого” компьютера

16. Identity Services Engine (ISE)
Хранилище идентификации/ Источники атрибутов
Хранилище OS / Версия
ISE Internal Endpoints, Internal Users
RADIUS RFC 2865-compliant RADIUS сервера
Active Directory Microsoft Windows Active Directory 2000
Microsoft Windows Active Directory 2003, 32-bit only
Microsoft Windows Active Directory 2003 R2, 32-bit only
Microsoft Windows Active Directory 2008, 32-bit and 64-bit
Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit
LDAP Сервера SunONE LDAP Directory Server, Version 5.2
Linux LDAP Directory Server, Version 4.1
NAC Profiler, Version 2.1.8 or later
Token Servers RSA ACE/Server 6.x Series
RSA Authentication Manager 7.x Series
RADIUS RFC 2865-compliant token servers
SafeWord Server prompts

17. 802.1X агенты (сапликанты) “Огласите весь список,
пожалуйста.”
– "Операция "Ы"
• Встроенный в Windows Win7— EAP-TLS,
PEAP
• Встроенный в Windows XP—EAP-TLS,
PEAP, MD5
• Встроенный в Windows Mobile 7
• Open1x клиент для Linux
Windows HP Jet Direct
• Встроенный в принтеры для некоторых
производителей (например HP)
• Встроенный в Apple OS X — EAP-TTLS, 7921
TLS, FAST, PEAP, LEAP, MD5
• Встроенный в Apple iOS
• Встроенный в Android
• Встроенный в Cisco IP Phone — EAP- Solaris Apple
MD5, FAST, TLS
• Встроенный в IP-камеры, устройства
СКУД для некоторых вендоров WLAN APs
(например Cisco)
•
• Встроенный в Windows Win7(например
Универсальные сапликанты
Cisco AnyConnect) — EAP-TLS,
IP Phones Pocket PC

18. Агенты
AnyConnect 3.0 NAC агент
§ Оценка состояния -“здоровья”
§ Унифицированный интерфейс доступа
§ 802.1X for LAN / WLAN § Постоянный агент
§ VPN (SSL-VPN и IPSec)
§ Mobile User Security (WSA / § Временный агент
ScanSafe)
§ Поддержка MACSec / MKA (802.1X-
REV) для программного шифрования
данных; Производительность зависит
от CPU
§ Сетевые карты с аппаратной
поддержкой MACSec имеют
увеличенную производительность с
AC 3.0
В будущем единый
унифицированный агент

19. TrustSec
Шифрование MACSec Finance Admin
=
Must Encrypt
ISE 1.0
MACSec in Action
Authentication
Finance Admin Successful!
&^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&(
AnyConnect 802.1X
3.0 Cat3750X Catalyst 6500 or Nexus 7000
Уже сейчас поддерживается:
• Шифрование MACSec в DC между Nexus 7000
• Шифрование пользовательских интерфейсов от AnyConnect к
Catalyst 3KX (MKA)
TrustSec 2.0 добавляет:
• Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus
7000
• Шифрование использует SAP, а не MKA для генерации ключей

20. Обеспечение сквозного шифрования из конца в конец
Guest User Data sent in clear
Authenticated User Encrypt Decrypt
802.1X
&^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&(
Supplicant
with
MACSec MACSec Capable Devices
(New Switch-to-Switch Encryption) MACSec Link
Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K
• 1G – на • Шифрование между • Шифрование между
существующих коммутаторами коммутаторами
портах • SUP 2T модуль • 4500E : Sup7-E
• 10G – требуется аплинки и 47xx
новый сервис- линейные карты (FCS
модуль 3KX 2H CY11)

21. Доступ на основе контекста
КТО= Идентификация пользователя
• Известные/ “управляемые” пользователи (постоянный доступ)
– Основной способ аутентификациии: 802.1X или NAC-агент
– Учитывать:
• Хранилище для идентификации
• Типы 802.1x EAP и выбор клиента/сапликанта
Сотрудники и
контрактники
• Неизвестные / “неуправляемые” пользователи (временный или
редкий доступ)
Основной способ аутентификациии: Веб-аутентификация
Учитывать:
• Портал для веб-аутентификации
• Создание и хранилище гостевых учетных записей
Гости, Сотрудники
с “чужого” компьютера

22. Веб-аутентификация
• Нужно что-то что будет перехватывать запросы браузеров
пользователей и перенаправлять на портал для веб-
аутентификации
Устройства доступа
– коммутаторы Cisco
– контроллеры беспроводной сети
Устройства безопасности
ISE обеспечивает:
• Централизованный и настраиваемый веб-портал для
аутентфикации
• Аутентификация для гостей и сотрудников
• Настройка парольных политик
• Уведомление о параметрах учетной записи
• печать, электронная почта, SMS

23. ISE – Веб-аутентификация

24. Политика доступа в ISE , зависит от того
“КТО” получает доступ. Пример
ЧТО=iPAD КТО?
Права доступа= Авторизация
• Employee_iPAD Set VLAN = 30 (Корп. доступ)
• Contractor_iPAD Set VLAN = 40 (Только Интернет)

25. “Что за люди ?
А это не люди.
А, ну прекрасно.”
— Секретная миссия.
Что ?
Профилирование,
Оценка состояния устройств,

26. Доступ на основе контекста
ЧТО= Идентификация устройств, Классификация, &
Состояние
• Идентификация устройства
00:11:22:AA:BB:CC
• Методы:
– 802.1X машинная аутентификация
172.16.3.254
Device Identity
– “Аутентификация” основанная на адресе
• Классификация типа устройства
(профилирование)
• PC, лептопы, мобильники, не-пользовательские
сетевые
устройства?
Device Profile
• Методы:
– Статически: Присвоить типы адресам устройств
– Динамически: Профилирование(оценка сетью)
• Оценка состояния
• AV инсталлированый /запущенный? OS патчи?
Инфицирование?
Device Posture

27. Примеры не-пользовательских сетевых
устройств
Принтеры IP камеры Сигнализация
Беспроводные APs Турникеты
Факсы/МФУ
Системы
Станции Управляемые UPS жизнеобеспечения
видеоконференцийи
Платежные RMON Probes
IP телефоны терминалы и кассы
Медицинское Торговые машины
Хабы оборудоваие
. . . и много другое

28. ISE – Статическая классификация MAC-
записей
• Одно устройство
– Статически
добавляем
• Множество устройств
LDAP Import
File Import

29. Сервисы динамического профилирования
“Карп, ты на руки то его посмотри...
Из него водила как из Промокашки
скрипач...”
– Место встречи изменить нельзя
Профилирование обеспечивает возможность обнаружить и
классифицировать устройства
• Обнаружение и классификация основаны на цифровых
отпечатках устройств
Profiling Attribute Sources
HTTP DHCP NETFLOW
DNS RADIUS SNMP
• Дополнительные преимущества профилирования
• Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
• Выбирается “наилучшее” предположение

30. ISE – условия профайла

31. ISE – библиотека профайлов

32. ISE – сбор атрибутов устройств
Device Attributes
More attributes
And more attributes

33. Политика доступа в ISE , зависит от того
“ЧТО” получает доступ. Пример
What? Who=Employee
Permissions = Authorizations
• Employee_PC Set VLAN = 30 (Полный доступ)
• Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)

34. Оценка состояния
“Ваше курение может пагубно
отразиться на моем здоровье!
...”
– Малыш и Карлсон
• Состояние (Posture) = состояние соответствия устройства
политике безопасности компании.
– Установлены ли на системе последние Windows-патчи?
– Антивирус инсталлированный? Обновлен?
– Есть ли актуальная защита от антишпионского ПО?
• Сейчас мы можем расширить идентификацию
пользователя/системы за счет анализа оценки состояния.
• Что может проверяться?
– AV/AS, Реестр, Файлы, Приложения/ Процессы,
обновления Windows, WSUS и прочее.
• Если не соответствует– Автоматическое приведение к
безопасному статусу, предупреждение, карантин
• Поддерживается NAC Agent (постоянный) и временный Web
Agent

35. ISE – политики состояния
Политика для сотрудников: Политика для контрактников:
• Установленные патчи Microsoft • Установлен любой AV с
• McAfee AV инсталированный, актуальной базой
запущенный с актуальными
базами
• Корпоративный ноутбук
Гостевая политика:
• Запущено корпоративное Принять соглашение, оценки состояния
приложение нет, только Интернет)
Коммутатор VPN Беспроводка
Сотрудники Контрактники /Гости

36. ISE – доступные проверки оценки состояния
• Обновления Microsoft Updates Files
– Service Packs
– Hotfixes
– OS/Browser versions
• Антивирус и
Антишпионское ПО
Инсталляция/Сигнатуры
• Данные файлов
• Сервисы
• Приложения/
Процессы
• Ключи реестра

37. ISE – установка агентов
Конечный пользователь нажимает ссылку
NAC Agent
для установки агента. Тип и версия
(постоянный)
Агента определяются политикой ISE.
Веб-агент
(временный)

38. Изменение авторизации (CoA)
“… Если друг оказался вдруг
И не друг, и не враг, а – так..”
Задача: – Вертикаль. В. Высоцкий
• Каким образом происходит переавторизация устройства после
классификации типа или оценки состояния ?
• Как мы повторно авторизируем порт после веб-аутентификации
пользователя?
Проблема:
• По стандарту RADIUS сервер не может сам начать
общение с Radius-клиентом.
Решение:
• CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS)
позволяет RADIUS серверу начать общение с аутентификатором
(клиентом).
• CoA позволяет устройству применения политики изменить
VLAN/ACL/Redirection для устройства/пользователя без
необходимости повторной аутентификации.

39. Собираем все вместе
Определение политики авторизации ISE
Пользователь Тип Местопо Прочие
устройства ложение Оценка Время Метод доступа атрибуты

40. “-Куда?
-Туда.
-Зачем?
-Затем”
– Улицы разбитых фонарей
Применение политик.
КУДА
разрешатся доступ

41. Применение политик ISE
Сегментация сети
Метод Точка Преимущества Недостатки
сегментаци применен
и ия
VLANS Вход • Не требует управления ACL на • Обычно требует изменения IP-
порту коммутатора адресов
• Предпочтельный способ изоляция • Требует распространения
трафика на всем пути общих сетей VLAN по всей сети
доступа.
• VLANs требуют разворачивания
дополнительных механизмов
применения политик
dACLs Вход • Не требуется изменения IP • Ограничение ресурсов
• Не требуется распространения коммутатора по количеству
общих VLANs в сети доступа и их записей в ACL.
управление
• Обеспечивает контроль доступа
прямо на порту коммутатора, а не
на отдельном устройстве
Secure Выход • Упрощает управление ACL • Пока нет универсальной
Group • Уменьшает размер политики поддержки SGA на всех Cisco-
• Разделяет политику и IP- платформах
Access
адресацию. .

42. Применение политик ISE
VLANs и dACLs
VLANs
• Политика авторизации ISE устанавливает VLAN.
Инфраструктура обеспечивает применение
• Типичные примеры VLAN :
• Карантин/ВостановлениеVLAN
• Гостевой VLAN
• VLAN сотрудников.
VLAN • Обычно требует замены IP -> потенциальные проблемы с
присвоение другими активностями устройства
802.1X/MAB/Web Auth
dACLs
• Политика авторизации ISE загружает dACL или именнованный
Загрузка ACL на сетевое устройство.
ACL • ACL source (any) автоматически конвертируется в адрес хоста
• Не требуется изменение IP-адреса, поэтому менее болезненно
сказывается на функционировании устройства.

43. Применение политик ISE
Пример для сотрудника в беспроводной сети
• Авторизация для устройств сотрудников устанавливает
политику доступа с помощью VLAN, WLC ACL, и QoS

44. Применение политик ISE
Пример для гостей в беспроводной сети
• Авторизация для гостей устанавливает политику доступа с
помощью VLAN, WLC ACL, и QoS

45. Применение Политик ISE
Контроль доступа на основе групп безопасности – Технология меток
безопасности
SGT = 100
I’m a contractor
My group is HR
Finance (SGT=4)
HR (SGT=10)
802.1X/MAB/Web Auth
SGACL
Contactor & HR
SGT = 100
Security Group Based Access Control
• ISE связывает метки (SGT) по результатам идентификации пользователей
• Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе
• Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на
выходе
• Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для
гранулированного доступа

46. Применение SGT и SGACL
§ Уникальная метка 16 bit (65K) присваивается каждой роли
Security § Представляет привилегии пользователя, устройства или
Group
Tag субъекта
§ Тегирование на входе в домен TrustSec
§ Фильтрация по меткам (SGACL) на выходе из домена
TrustSec (обычно в ЦОДе)
§ Правила без IP-адресов (IP адрес привязан к метке)
SGACL
SG
§ Политика (ACL) is распределяется от центрального сервера
политик (ACS) или настраивается локально на устройстве
TrustSec
Преимущества
§ Обеспечивает политики независимые от топологии
§ Гибкие и масштабируемые политики основанные на роли пользователя
§ Централизованное управление политиками для динамического
внедрения правил
§ Исходящая фильтрация ведет к уменьшению нагрузки на TCAM 46
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

47. Сценарий: сеть медицинского учреждения
Security Group Security Group
Пользователи (Источник) (Назначение) Сервера
SGACL
100 x x 15
Doctor Medical DB
(SGT 7) (SGT 10)
5x x5
IT Admin IT Portal
(SGT 5) (SGT 4)
145 x
x5
Staff Internal Portal
(SGT 11) (SGT 9)
150 x x5
Guest Public Portal
(SGT 15) (SGT 8)
47
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

48. Эффективность SGACL в реальных условиях
400 пользователей получают доступ к 30 сетевым ресурсам с 4
типами полномочий для каждого ресурса
Традиционный ACL на FW без фильтрации источника
Any (src) * 30 (dst) * 4 permission = 120 ACEs
Традиционный ACL на FW с фильтрацией по источнику
400 (src) * 30 (dst) * 4 permission = 48 000 ACEs
Традиционный ACL на интерфейсе VLAN – используя
фильтрацию по подсетям источника трафика
4 VLANs (src) * 30 (dst) * 4 permission = 480 ACEs
Фильтрация на порту с помощью Downloadable ACL
1 Group (src) * 30 (dst) * 4 permission = 120 ACEs
С технологией SGACL
4 SGT (src) * 4 SGT (dst) * 4 permission = 64 ACEs
48
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

49. SGACL Policy on ACS / ISE
1
3
© 2011 Cisco and/or its affiliates. All rights reserved.
2 Cisco Confidential 49

50. Доступ по меткам SGA. Поток трафика.
SXP IP Address 10.1.204.126 = SGT 5
ISE
RADIUS (Access Request)
EAPOL (dot1x)
10.1.204.126 RADIUS (Access Accept, SGT = 5)
Коммутатор
доступа SG ACL Matrix
IP Address to SGT Mapping
HR
сервер #1
Коммутатор 10.1.200.50
ядра
Коммутатор
ЦОД ASA
Финансы
✓ Финансы
VSG
Финансовый
сервер#1
Финансы HR 10.1.200.100

51. “… Я требую продолжение банкета.”
– Иван Васильевич меняет профессию
Окончание первой части…

52. Оцени контент Cisco Expo и получи приз!
Призы ждут всех, кто:
• посетил 2 и более дней конференции
• заполнил общую анкету
• заполнил 5 и более сессионных анкет
• заполнил анкеты по 2 и более плановым демо
Онлайн-анкеты доступны на сайте www.ceq.com.ua.
Анкеты также можно заполнить, воспользовавшись терминалами в
зоне общения на первом этаже.

53. Спасибо!
Просим Вас оценить эту лекцию.
Ваше мнение очень важно для вас.
Олнайн-анкеты: www.ceq.com.ua

54. Интеграция сервисов
идентификации и контроля
доступа. Решение Cisco Identity
Services Engine (ISE)
ЧАСТЬ 2
Владимир Илибман
voilibma@cisco.com

55. “… Сильвупле, дорогие гости,
сильвупле. Жевупри, авеплизир.
Господи, прости, от страха все слова
повыскакивали..”
– Формула Любви
Управление гостевым доступом

56. Управление жизненным циклом
гостевого доступа
Гостевой доступ – это
построенный процесс, а не
исключение из правил
ISE Guest Server
СОЗДАНИЕ УВЕДОМЛЕНИЕ
Создание гостевых учетную записей Предоставление “учетки” гостям
Создайте одну гостевую. запись Печать учетной записи
Создайте множество гостевых Отправление деталей доступа по почте
записей путем импорта CSV Отправление “учетки” по SMS
файла
Управление гостевыми записями Отчет по доступу
Просмотр, редактирование или Посмотреть аудиторские отчеты
приостановление действия по отдельным записям
гостевых записей
Управление группой гостевых Показать отчеты по
записей гостевому доступу
УПРАВЛЕНИЕ ОТЧЕТНОСТЬ

57. Гостевой доступ по приглашению
URL-REDIRECT
PDP
ISE Guest Server
1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер
3. Проверяется
PDP
наличие
учетной
записи на
наличие в ISE
2. Гости вводят логин и пароль, GUEST Guest User
созданный приглашающей Identity Store Identity Store
стороной (“спонсором”)

58. ISE Guest – самостоятельная регистрация
гостей
URL-REDIRECT
PDP
ISE Guest Server
1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются
на ISE Guest Portal после запуска браузера.
3. В ISE Guest
PDP Identity Store
создаются
гостевые учетные
записи
2. Гости заполняют обязательные
поля для аутентификации
GUEST
Identity Store

59. ISE Guest – самостоятельная регистрация
гостей
PDP
ISE Guest Server
4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/
пароля
6. Учетная
PDP
запись
Internet мониторится
на
соответствие
5. К гостю применяется временным
авторизационная политика для GUEST
Интернет-доступа Identity Store ограничениям.

60. Проверка и мониторинг гостевого доступа
• Monitor > Authentications окно покажет все аутентификации,
включая гостевые
• Также можно мониторить создание/удаление/изменение гостевых
записей

61. Настройка гостевого портала ISE
В настройках гостевого портала
можно определить, что
разрешается делать гостям
• изменить пароль
• изменить пароль при
первой логине
• загрузить клиента для
оценки состояния
• делать саморегистрацию
• делать регистрацию своих
устройств

62. Гостевой доступ– Портал приглашающей
стороны
• Настраиваемый веб-
портал для
приглашающей стороны
(“спонсоров” )
• Аутентификация
спонсоров с помощью
корпоративных учетных
записей
– Локальная база ISE
– Active Directory
– LDAP
– RADIUS
– Kerberos

63. Эксплуатация
“…. Человека по одежке встречают”
-Народная мудрость

64. Пользовательский интерефейс ISE : Панель
управления
Метрики
Итоги
аутентфиикации
Зарегистрированные
ISE ноды
Information Store
Оценка
Классификация соответствия
конечных
Ошибки устройств
аутентфикации
Статистика уведомлений

65. Мониторинг аутентификаций в ISE
Живой журнал аутентификаций отображает все auth-события в
единой таблице с возможностью сортировки, фильтрации и
настраиваемыми колонками и пр.
Ручное или автоматическое обновление данных
“Живые”
аутентфикации!
Фильтрация
Цветовая
маркировка
событий
Детализация

66. Детали аутентиф.
Пример
Step-by-step
sequence of
session events
• RADIUS attributes sent
Critical session details:
• Matching ID stores,
policies, and rules
Essential session info:
• Failure reason
• Username and ID Store
• MAC and IP Address
• Switch name/address/port
• Matching ISE rules
• Protocols used

67. Отчетность в ISE

68. Пример отчета – состояние серверов ISE

69. Инструменты для поиска неисправностей в
ISE

70. Аудит конфигурации сетевых устройств
Правильно ли настроены порты
коммутатора для поддержки
802.1X, MAB, и Веб-
аутентификации?
Правильно ли настроен мой
коммутатор для поддержки AAA и
других сервисов ISE, включая
оценку, профилирование и
логгирование?

71. Уведомления администратора (alarms) в ISE
• Предопределенные и пользовательские настройки
• Настраиваемое расписание уведомлений – в любое время или в
интервале
• Визуальное извещение на всех страницах ISE UI с быстрой
детализацеий
• Внешняя отсылка уведомлений через Syslog или email.

72. Дизайн и внедрение

73. Платформы ISE
Hardware Small Medium Large VM
Model 1121/3315 3355 3395 VMware Server v2.0 (Demos)
Based on the Based on the Based on the VMware ESX v4.0 / v4.1
IBM System x3250 M2 IBM System x3550 M2 IBM System x3550 M2 VMware ESXi v4.0 / v4.1
CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor
RAM 4GB 4GB 4GB 4GB (max)
Disk 2 x 250-GB SATA 2 x 300-GB 2.5” SATA 4 x 300-GB 2.5” SAS I Admin: >= 60GB
(500GB available) (600GB available) (600GB available) Policy Service: >= 60GB
Monitoring: >= 200GB
RAID No Yes: RAID 0 Yes: RAID 1 -
Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet
Power Single 650W 650W Redundant 650W Redundant -
Node All Roles All Roles All Roles No Inline Posture Node
Roles
eth0 eth1
3315
eth2 eth3
3355 eth2 eth3 eth0
3395
eth1

74. Роли ISE
“Эта роль ругательная, я её прошу
ко мне не применять!”
-Иван Васильевич меняет профессию
Административный узел (Admin Node)
– Интерфейс для конфигурации политик
Узел мониторинга (Monitor Node))
– Интерфейс для сбора событий и мониторинга
Узел сервиса политик (Policy Service Node)
– “Движок”, который общается с устройствами доступа и принимает
решения по доступу на основе политик

75. Узлы и роли ISE
Единый ISE узел
(устройство или VM)
ISE
Роли – одна или
Admin Monitoring Policy
несколько: Service
• Администрирование
• Мониторинг
• Сервис политик
ИЛИ
Отдельный узел в
ISE режиме Inline для
оценки состояния
Inline
Posture
(только
устройство)

76. Архитектура ISE
Мониторинг
Журналирование
Журналирование
Просмотр
журналов/ отчетов
Сервис Внешние
Админ
Просмотр/ политик Запрос данные
Настройка атрибутов
Политик
Запрос/ ответ
Журналирование
контекста
доступа
Применение
Устройства Ресурсы
Запрос на политики Доступ к
доступ ресурсам

77. Отказоустойчивость узла управления и
синхронизация
• Изменения, внесенные в первичном узле администрирования,
автоматически синхронизируются с Вторичный узлом
администрирования и всеми узлами сервисами политик.
Admin Node Policy Service
(Secondary) Node
Policy Sync
Policy Service
Admin Node Node
(Primary) Policy Sync
Policy Service
Администратор Node
Logging
Monitoring Monitoring
Node Node
(Primary) (Secondary)

78. Отказоустойчивость узла управления и
синхронизация
• В случае выхода из строя Основного Административного узла
пользователь-администратор может подключиться к Вторичному
Административному узлу; все изменения на вторичном узле будут
автоматически синронизироваться на сервера Сервиса Политик
• Вторичный Административный Узел должен быть вручную переведен в
Первичный режим.
Admin Node Policy Service
(Secondary -> Primary) Node
Policy Sync
Policy Service
Node
X
Admin
Node
(Primary) Policy Service
Admin Node
User
Logging
Monitoring Monitoring
(Primary) (Secondary)

79. Мониторинг – Распределенный сбор журналов
• ISE поддерживает распределенный сбора журналов по всем узлам для
оптимизации сбора, агрегации, и централизованные корреляцию и
хранение событий.
• Local Collector Agent работает на каждом узле ISE и собирает свои
события локально. В дополнение Local Agent на узле с Сервисом Политик
собирает журналы связанных сетевых устройств.
NADs Netflow Policy Services Monitoring External Log
SNMP (Collector (Collector) Servers
Syslog Agent)

80. Масштабирование узлов Сервиса Политик и
отказоустойчивость
• Сетевые устройства доступа (NADs ) могут быть настроены на
отказоустойчивые RADIUS сервера (узлы Сервиса Политик).
• Узлы сервиса политик могут быть настроены в кластер или “группу
узлов” позади балансировщика. NADs шлет запросы на виртуальный
IP кластера Administration Node Administration Node
(Primary) (Secondary)
Policy Services
Policy Node Group
Replication
AAA connection
Switch
Switch
Load Balancers
Network
Access
Devices

81. Масштабируемость
Разворачиваем все сервисы на едином устройстве
• Максимальное число устройств (endpoints)
для 33x5 серверов – 2000 устройств
• Отказоустойчивая конфигурация – два узла
ISE ISE
Admin
Admin
Monitoring
Monitoring
Policy
Service Policy
Service

82. Масштабируемость
Распределенное внедрение
Выделенные узлы для Сервиса Политик
Платформа Максимальное События Оценка
число профайлера состояния
устройств
ISE-3315-K9 3,000 500 per/sec 70 per/sec
ISE-3355-K9 6,000 500 per/sec 70 per/sec
ISE-3395-K9 10,000 1,200 per/sec 110 per/sec

83. Масштабируеомость
Распределенное внедрение
Admin + Monitoring размещены на единой паре
серверов
Admin Admin
• 2 x Admin+Mon
Mon Mon
• Максимально 5 серверов
Сервиса Политик
• Максимально 50k конечных
Policy
Svcs
устройств (3395)
Policy
• Рекомендованная
Svcs
Policy
Svcs
Policy
Svcs
отказоустойчивость узлов
Policy
Svcs
Сервисов Политик N+1

84. Масштабируеомость
Распределенное внедрение
Admin + Monitoring размещены на выделенных
парах серверов
Admin
Mon
• 2 x Admin+2 x Mon
Admin
• Максимально 40 серверов
Admin Mon
Mon
Admin
Mon
Сервиса Политик
• Максимально 100k конечных
Policy
Svcs
устройств
Policy
• Рекомендованная
Svcs
Policy
Svcs
Policy
Svcs
отказоустойчивость узлов
Policy
Svcs
Policy
Svcs
Сервисов Политик N+1

85. Варианты внедрения для распределенных
сетей
Централизованное Географически-
внедрение распределенное внедрение
ü Все роли ISE внедрены на ü Роли ISE распределены между
едином сайте разными сайтами

86. Оценка распределенного внедрения
Спецификация объема генерируемого служебного трафика
q ОтказоустойчивостьWAN влияет на доступность сервисов ISE
Ø Насколько надежны ваши WAN каналы
Ø Насколько критичны удаленные устройства в филиалах
Необходимость удаленного внедрения часто диктует
требования наличия одного или двух узлов Сервиса
Политик на удаленном сайте

87. Руководство по виртуализации ISE
q Спецификация для запуска ISE в VM– смотрите
спецификацию платформ для ISE
q Спецификация хоста должна быть аналогичной или
лучше, чем спецификация устройства ISE для заданного
числа конечных устройств (endpoints)
q Если спецификация хоста эквивалентна спецификации
устройства ISE, рекомендовано запускать единственную
VM на хосте
q ISE VMs обязаны размещаться на поддерживаемых ESX
системах

88. Поддерживаемые устройства доступа (NADs)
Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA
Access Switches
Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔
Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔
Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔
Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔
ISR EtherSwitch ES2
Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔
Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔
Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔
Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3560-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
ISR EtherSwitch ES3
Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Data Center Switches
Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔
Wireless
WLAN Controller 7.0.114.4 (RADIUS CoA) - ✔ ✔ ✔ ✔ ✔
WLC2100, 4400, 5500 *Named ACLs only on WLC
WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS .
Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для
расширенных функций

89. Режим работы ISE Inline Posture
• Узел ISE предоставляет возможность применение политик на пути
трафика (inline posture) для сетевых устройств, которые не поддерживают
Radius CoA.
• Основные сценарии внедрения – это VPN-шлюзы и контроллеры
беспроводной сети без поддержки CoA.
• Узлы ISE располагаются на пути трафика между сетевым устройством
доступа и защищаемым ресурсом (подобно NAC Inband Appliance)
• Узлы в режиме Inline поддерживают:
– Функции RADIUS Proxy и CoA
– Применение политик с помощью dACLs
– Режимы Bridged или Routed
– L2 или L3 удаленность к сетевому устройству
– Отказоустойчивость Active/Standby
Замечание: Узел Inline Posture Node это только прокси для RADIUS.
Поэтому сетевое устройство должно использовать протокол RADIUS для
аутентификации с ISE .

90. Узел ISE в режиме Inline Posture
Примеры логических топологий
Подключение VPN-концентратора
eth1 eth0 Доверенная
Интернет сеть
VPN ASA L3 Switch
ISE Inline Сервис Политик
пользователь
Posture 1) RADIUS auth для ASA
VPN Проводное узел 2) Auth/Posture ддя узла
подключение Inline Posture
Подключение WiFi-сетей третьих производителей
eth1 eth0 Доверенная
сеть
Беспроводной AP Third Party
ISE Inline L3 Switch Сервис Политик
пользователь Controller
Posture 1) 802.1X auth для WLC
узел 2) Auth/Posture для узла
Wireless Проводное Inline Posture Node
подключение

91. TrustSec 2.0 в действии
Identity features Policy and Security services
• 802.1X, MAB, Web Auth • Profiling – categorization of
• Flex Auth devices
• Flexible deployment • Posture – assurance of
modes– monitor mode, compliance to health
low impact, high security • Guest – guest management
Guest Server
Posture
SXP Profiler
Wireless
user Cisco
ISE
Campus
Network
Wired
user MACSec Cisco® Cat 6K
Nexus® 7K, 5K and 2K
Catalyst® Switch Switch
Data Center
Site-to- Cisco®
site VPN WAN
ASR1K
user Cisco® Egress Enforcement
ISR G2 with integrated switch Campus Aggregation or
DC enforcement: SGACL
on Cat 6K or Nexus 7K
Data Integrity & Ingress Authorization Alternative Ingress
Confidentiality & Enforcement Authorization
or Switches and WAN
MACSec encryption VLANs, ACLS
– AC, Cat 3K, aggregation router:
Cat4K, Cat6K, N7K SGTs (data plane)
SXP (control plane)

92. Пакеты и лицензирование в ISE
Wireless Upgrade License (ATP)
Расширяем политику на проводные и & VPN устройства
Лицензия для беспроводного
Политики для беспроводных устройств
Лицензия на 5 лет
Базовая лицензия (ATP) Расширенная лицензия (ATP)
Политики для всех видов устройств Политики для всех видов устройств
Постоянная лицензия Лицензия на 3/5 лет
• Аутентификация / Авторизация • Профилирование устройств
• Гостевой доступ • Оценка состояния
• Политики для MACSec • Доступ по группам безопасности
Платформы
Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance

93. ISE
Активное
сканирование
устройств
ISE дополняет пассивную сетевую
телеметрию активным сканированием
устройств
Cisco IOS
Сетевая инфраструктура обеспечивает получает
встроенный функционал сенсора для встроенный
классификации устройств. набор сенсоров
Дополнительное “ухо” для ISE (SNMP/LLDP,
HTTP, DHCP, eи)
Версия ISE 1.1 включают поддержку
интернационализации и русский
интерфейс для гостевого портала и
агентов

94. Сценарии на ISE “Все будет Айс!”
Перспектива Перспектива
Сценарии Раньше 1 год 2 года
Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE
Контроль беспроводного
Cisco ACS Cisco ISE Cisco ISE
доступа
Cisco NAC
Контроль доступа с SNMP appliance
Cisco NAC Cisco ISE
Cisco NAC
Гостевой доступ Guest
Cisco ISE Cisco ISE
Cisco ISE
Оценка состояния (NAC) Cisco NAC Cisco ISE
Cisco NAC
Профилирование устройств Profiler
Cisco ISE Cisco ISE
Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE
Контроль администраторов Cisco ACS Cisco ACS Cisco ISE

95. ISE – ключевые отличия
“Память памятью, а повторить
никогда не мешает.”
- Семнадцать мгновений весны
Доступ в сеть на основании Интегрированные оценка Управление гостевым
контекста состояния и профилирование доступом
ACCESS
USER ID LOCATION RIGHTS DEVICE (& IP/MAC)
Поддержка устройств и ПО
ВСЕХ популярных вендоров
Тесная интеграция ISE в
Упрощенный ролевой доступ Масштабирование
Сеть
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Упрощение больших политик Масштабируемые архитектура
безопасности и лицензирование

96. Ресурсы

97. Спасибо!
Просим Вас оценить эту лекцию.
Ваше мнение очень важно для нас.