Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях

  • 1,068 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,068
On Slideshare
1,068
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
11
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 2011 Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях. Компания «I-Teco». Департамент сетей и телекоммуникаций.Алексей ГолыхИнженер поддержки продажgolyh@i-teco.ru
  • 2. СодержаниеØ  Компания «I-Teco»Ø  Описание реализованного проекта защищенной катастрофоустойчивой сетиØ  Технология защищенного доступа ISEØ  Проект развития сети с использованием ISEØ  Реализация ISE в лаборатории «I-Teco» 2
  • 3. Профиль компании «Ай-Теко»•  Ведущий системный интегратор (TOP-10) и крупный поставщик информационных технологий•  Статусы Cisco Gold Certified Partner и Cisco Customer Satisfaction Excellence•  TOP-5 лучших российских поставщиков ИТ-услуг в банковском секторе•  TOP-10 крупнейших поставщиков ИТ в госсекторе•  Сертификат системы менеджмента качества ГОСТ Р ИСО 9001-2001•  Сертификат системы управления IT-сервисами ISO/IEC 20000-1:2005 Принципы работы компании Ключевые партнеры Локальная Мировой экспертиза опыт Передовые технологии «Ай-Теко» в России и СНГ: ü 8 собственных региональных подразделений в России — Санкт-Петербург, Уфа, Ростов-на-Дону, Ярославль, Пермь, Иркутск, Красноярск, Казань. ü 3 представительства в странах СНГ — Украина, Казахстан, Узбекистан. ü 128 партнеров во всех субъектах Российской Федерации. 3
  • 4. Примеры проектовШереметьево-3 Ø  Построение отказоустойчивой сетевой инфраструктуры (до 8000 подключений)АК «Трансаэро» Ø  Построение современной отказоустойчивой мультисервисной телекоммуникационной инфраструктуры для нового шестиэтажного зданияМинистерство внутренних дел РФ Ø  Проектирование и развертывание ведомственной защищенной сети передачи данныхАдминистрация Вологодской области Ø  Проект мультисервисной сети, соединяющей 28 финансовых органов муниципальных образованийСбербанк России Ø  Построение и развитие программно-аппаратных комплексов в ЦА и тер. банках Ø  Внедрение географически распределенных систем высокой доступностиБанк ВТБ Ø  Модернизация ИТ-инфраструктуры всех региональных офисовНПФ «Газфонд» Ø  Создание системы телефонии в новом офисе на базе Cisco Unified Communication ManagerИнгосстрах Ø  Построение локальной вычислительной сети центрального офиса компанииРостелеком Ø  Модернизация КСПД филиалов Ø  Создание СКС и ЛВС в центральном офисе Ø  Построение сети беспроводного доступа в зданиях генеральной дирекцииБашинформсвязь Ø  Построение опорной сети на территории Башкортостана на базе технологии MPLS, сети MetroEthernet в г. Уфе, сети доступа клиентов на базе технологии ADSL Ø  Модернизация транспортной сети г. Уфы. Впервые в России для построения оптического DWDM-кольца использована технология Xponder 10 GbpsВымпелком Ø  Построение магистральной сети DWDM в центральном регионе 4
  • 5. СодержаниеØ  Компания «I-Teco»Ø  Описание реализованного проекта защищенной катастрофоустойчивой сетиØ  Технология защищенного доступа ISEØ  Проект развития сети с использованием ISEØ  Реализация ISE в лаборатории «I-Teco» 5
  • 6. Проект сети финансовой организацииСеть крупной финансовой компанииСеть построена давно, имеет следующие недостатки: Ø  Недостаточная защищенность пользовательских подключений и сети в целом Ø  Низкая пропускная способность каналов связи и перегруженность оборудования Ø  Неоптимальное использования оптических каналов Ø  Невозможность организации современных сервисов в ЦОД из-за низкой производительности инфраструктуры Ø  Отсутствие отказоустойчивости Ø  Отсутствие централизованного мониторинга транспортной сети Ø  Отсутствие изолированности сегментов сети на разных площадкахМодернизированная сеть должна отвечать следующимтребованиям: Ø  ЛВС и ЦОД, распределенные по нескольким площадкам Ø  Несколько сегментов ЛВС с различным уровнем защищенности и различными правами Ø  Высокая пропускная способность между площадками Ø  Высокая масштабируемость Ø  Высокая надежность и отказоустойчивость 6
  • 7. Модернизированная сеть - схема Удаленные Удаленные объекты объекты Агрегация Агрегация Cisco 7606 Cisco 7606 Стек Стек Cat 3750X Cat 3750X Криптошлюзы Криптошлюзы ГОСТ ГОСТ Открытый сегмент Закрытый сегмент Ядро Ядро Cat 6500 Cat 6500 VSS VSS ONS ONS 15454 15454 ASA 5585 ASA 5585Агрегация Агрегация Агрегация Агрегация Агрегация ЛВС ЛВС ЛВС ЦОД ЦОД Cat 6500 Cat 6500 Cat 6500 Cat 6500 Cat 6500 VSS VSS VSS VSS VSS FWSM DWDM FWSM FWSM ... ... ... Доступ ЛВС Доступ ЛВС Доступ ЛВС Cat 3750X ACS ACS Cat 3750X Cat 3750X Площадка 3 SAN SAN Площадка 1 Площадка 2 7
  • 8. Модернизированная сеть - описаниеМодернизированная сеть состоит из следующих компонентов: Ø  Опорная транспортная сеть. Ø  Закрытый сегмент: распределенная ЛВС и территориально распределенный ЦОД. Ø  Открытый сегмент: подключение к внешним каналам связи.Опорная транспортная сеть (Cisco ONS 15454 MSTP): Ø  Единая среда передачи информации всех подсистем. Ø  Разделение трафика с помощью спектрального уплотнения (DWDM), прозрачный транзит различных типов трафика (Ethernet и Fiber Channel). Ø  Проактивный мониторинг параметров оптических трактов, защиту и переключение на резервные маршруты.Закрытый сегмент (Cisco Catalyst 6500 VSS, Catalyst 3750X, ASA 5585, ACE, ACS): Ø  Взаимодействие пользователей и подсистем ЛВС и ЦОД. Ø  Аутентификация/авторизация пользователей с помощью 802.1x. Ø  Отказоустойчивый доступ пользователей к ресурсам распределенного ЦОД.Открытый сегмент (Cisco 7600, Catalyst 3750X, криптошлюзы ГОСТ): Ø  Агрегация внешних каналов связи. Ø  Передача пользовательского зашифрованного трафика между закрытым сегментом и удаленными объектами – филиалами, банкоматами, терминалами, интернет-пользователями 8
  • 9. Модернизированная сеть - результаты Результаты модернизации:Ø  Построено отказоустойчивое ядро КСПДØ  Создана иерархия взаимодействия площадокØ  Увеличена пропускная способность КСПД и модернизировано телекоммуникационное оборудованиеØ  Обеспечена высокая доступность серверов приложений, работа кластерных систем ЦОДØ  Реализована инфраструктура, отвечающая современным требованиям по масштабируемости, функциональности, отказоустойчивости и катастрофоустойчивостиØ  Обеспечена защита серверов ЦОД от различных видов сетевых атак, увеличена производительность подсистемы безопасности ЦОДØ  Обеспечена балансировки нагрузки на вычислительные комплексы ЦОДØ  Обеспеченна единая и прозрачная среда передачи информации всех подсистем с оптимальным использованием оптических линий связиØ  Осуществляется проактивный мониторинг параметров оптических трактов, защита и переключение на резервные маршрутыØ  Сетевые администраторы получили систему контроля доступа и управления оборудованием сети 9
  • 10. СодержаниеØ  Компания «I-Teco»Ø  Описание реализованного проекта защищенной катастрофоустойчивой сетиØ  Технология защищенного доступа ISEØ  Проект развития сети с использованием ISEØ  Реализация ISE в лаборатории «I-Teco» 10
  • 11. ISE - Identity Services Engine Identity Service Engine Аутентификация и контроль доступа ISE Access Control System Роли (Personas): Аутентификация, Administration – контроль доступа + управление ISE слежение за состоянием NAC NAC Monitoring – Manager Server хранение log- файлов Определение и Policy Service –инициализация устройств + аутентификация, проверка подлинности хранение и NAC NAC Collector распределение Profiler Отдельное политик устройство или часть NAC server’а Inline Posture – Безопасный гостевой позволяет доступ подключать к сети устройства без NAC Guest Server поддержки 802.1x 11
  • 12. Схема работы ISE Monitoring Протоколирование Просмотр Протоколирование log-файлов Policy Service Admin Внешние Просмотр и Запрос данные создание атрибутов политик Запрос и Протоколирование передача контекстов Сетевые Устройства Сетевыеустройства Запрос доступа ресурсы Доступ к доступа ресурсам 12
  • 13. Внедрение ISE – небольшая сеть (< 2 000) Узлы Admin, Monitoring, Особенности: Policy Service (A/S) Ø  Централизованное управление Windows AD/LDAP (Внешнее проводным доступом с 802.1X хранилище Ø  Поддержка VPN в главном офисе идентификаторов с помощью Inline Posture узлов Узлы Inline и атрибутов) Ø  Централизованное управление Posture (HA) беспроводным доступом в главном офисе и в филиалах с Главный 802.1X и беспроводным офис контроллеромASA VPN Ø  Централизованное управление доступом для филиалов с 802.1X Wi-Fi Узел Administration контроллер с Коммутатор 802.1x с 802.1x Точка Узел Monitoringдоступа Филиал 2 Wi-Fi Филиал 1 Узел Policy Service Узле Inline Posture Коммутатор Внешнее хранилище Точка доступа Точка доступа Коммутатор идентификаторов и с 802.1x с 802.1x Wi-Fi Wi-Fi атрибутов 13
  • 14. Внедрение ISE – огромная сеть (> 10 000) Policy Service кластер Distributed Policy Admin (P) Monitor (P) Service Admin (S) Monitor (S) Узлы Inline Posture (HA) Windows AD/LDAP Windows AD/ ДЦ 2 LDAP Дата-центр 1ASA VPN Wi-Fi контроллер с 802.1x Коммутатор Точка доступа с 802.1x Wi-Fi Wi-Fi Коммутатор контроллер с с 802.1x Policy Ø  Отказоустойчивые выделенные узлы 802.1x Service Administration и Monitoring разделены Policy между дата-центрами (P=Primary / Service Филиал 2 S=Secondary) Филиал 1 Ø  Кластер узлов Policy Service для проводного и беспроводного доступа 802.1X в главном офисе Коммутатор Ø  Распределенные узлы и кластеры Точка доступа с 802.1x Policy Service проводного и Точка Коммутатор беспроводного доступа 802.1X в доступа с 802.1x Wi-Fi 14 филиалах Wi-Fi Ø  Поддержка VPN в главном офисе с помощью Inline Posture узлов
  • 15. СодержаниеØ  Компания «I-Teco»Ø  Описание реализованного проекта защищенной катастрофоустойчивой сетиØ  Технология защищенного доступа ISEØ  Проект развития сети с использованием ISEØ  Реализация ISE в лаборатории «I-Teco» 15
  • 16. Развитие сети с иcпользованием ISE Удаленные Удаленные объекты объекты Агрегация Агрегация Cisco 7606 Cisco 7606 Стек Стек Cat 3750X Cat 3750X Криптошлюзы Криптошлюзы ГОСТ ГОСТ Открытый сегмент Закрытый сегмент Ядро Ядро Cat 6500 Cat 6500 VSS VSS ONS ONS 15454 15454 ASA 5585 ASA 5585Агрегация Агрегация Агрегация Агрегация Агрегация ЛВС ЛВС ЛВС ЦОД ЦОД Cat 6500 Cat 6500 Cat 6500 Cat 6500 Cat 6500 VSS VSS VSS VSS VSS FWSM DWDM FWSM FWSM ... ... ... Доступ ЛВС ISE ISE ISE ISE Доступ ЛВС Доступ ЛВС Cat 3750X Admin + Policy Admin + Policy Cat 3750X Cat 3750X Monitoring (P) Service Monitoring (S) Service Площадка 3 SAN SAN Площадка 1 Площадка 2 16
  • 17. СодержаниеØ  Компания «I-Teco»Ø  Описание реализованного проекта защищенной катастрофоустойчивой сетиØ  Технология защищенного доступа ISEØ  Проект развития сети с использованием ISEØ  Реализация ISE в лаборатории «I-Teco» 17
  • 18. Схема стенда ISE WLAN WiredПользователь Внутренниебеспроводной AP WLC ресурсы: сети Wi-Fi WWW Internal CIFS Карантин: Gi1/0/3 Сервер обновлений Внутренний Gi1/0/1 Gi1/0/2 Корпоративная     ADпользователь сеть сети CA DNS WWW Guest VLAN 80 VLAN 100 LAN NTP ISE Inline Posture ISE 1) Administration Node ISE 2) Monitoring 3) Policy Service VLAN 60 Удаленный Публичнаяпользователь сеть VLAN 70 ASA(IP Sec VPN) VPN Wired 18
  • 19. Аутентификация пользователя 802.1x Интернет Имя пользователя: user1 ISE ACCESS Коммутатор 10.1.10.x /24 доступа ISE Пользователь Корпоративная     сети сеть Open Mode: ACL-DEFAULT: permit DHCP 802.1X / EAP ACL-PREPOSTURE RADIUS1) Определение aaa authen dot1x default group RADIUS Сервис аутентификации: 802.1X EAPoL-Start NAS-IP: 10.1.10.5 RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet Access-Request Проверка сертификата? IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed2) Запрос-Ответ(Challenge-Response) Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS) Identity Challenge & Response Успешно! Группа: Internal Users Username & Password? Cisco/Cisco1233) Аутентификация Повторный Авторизация запрос пройдена DHCP Политика авторизации:4) Авторизация PREPOSTURE Access-Accept [27] = 86400 (24 hours) EAP Success [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=ACL-PREPOSTURE5) Аккаунтинг Accounting-Start Timestamp, MAC, NAS IP, Port ID Username, Group, Session-ID, … Disconnect, Shutdown, Accounting-Stop Restart, Sleep 19
  • 20. Гостевой доступ 802.1x Интернет Имя пользователя: guest ISE ACCESS Коммутатор 10.1.10.x /24 доступа ISE Пользователь Корпоративная     сети сеть ACL-GUEST-REDIRECT Open Mode: ACL-DEFAULT: permit DHCP 802.1X / EAP/HTTP RADIUS1) Определение EAPoL-Start aaa authen dot1x default group RADIUS Отсутствует суппликант EAPOL TIMEOUT Сервис аутентификации: MAB NAS-IP: 10.1.10.52) Аутентификация MAB User-Name : [1] 14 "000423b2c55b” MAB Request Access-Request User-Password : [2] 18 * Service-Type :[6] 6 Call Check [10] Повторный Авторизация запрос пройдена DHCP Access-Accept3) Авторизация [GUEST ACCESS] Политика авторизации: GUEST [27] = 86400 (24 hours) EAP Success [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “GUEST” [26/9/1] = dACL=ACL-GUEST [26/9/1] = url-redirect-acl=ACL-WEBAUTH- REDIRECT HTTP://www.google.com4) HTTP BROWSER URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cwa 20
  • 21. Аутентификация 802.1X с проверкой состояния рабочей среды (1) Интернет Имя пользователя: user1 ISE ACCESS Коммутатор 10.1.10.x /24 доступа ISE Пользователь Корпоративная     сети сеть Open Mode: ACL-DEFAULT: permit DHCP PRE-POSTURE-ACL 802.1X / EAP/HTTP RADIUS1) Определение aaa authen dot1x default group RADIUS Сервис аутентификации: 802.1X User EAPoL-Start NAS-IP: 10.1.10.5 Суппликант RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet Access-Request Проверка сертификата? IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed2) Запрос-Ответ(Challenge-Response) Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS) Успешно! Group: DomainUser Username & Password? Identity Challenge & Response3) Аутентификация Повторный Авторизация запрос пройдена DHCP Политика авторизации: EMPLOYEE [27] = 86400 (24 hours)4) Авторизация Access-Accept [29] = RADIUS-Request (1) EAP Success [But non-Compliant] [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=PRE-POSTURE-ACL [26/9/1] = url-redirect-acl=ACL-5) Старт проверки WEBAUTH-REDIRECT Discovery to http://{default_gateway}/positron/discovery NAC Agent URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cpp 21
  • 22. Аутентификация 802.1X с проверкой состояния рабочей среды (2) Интернет Имя пользователя: user1 ISE ACCESS Коммутатор 10.1.10.x /24 доступа ISE Пользователь Корпоративная     сети сеть 802.1X / EAP/HTTPS RADIUS/HTTPS6) Запрос проверки HTTPS://ISE1.demo.local/discovery:8905 Posture Request HTTPS://ISE1.demo.local/discovery:8905 Posture Requirements7) Выполнение проверки HTTPS://ISE1.demo.local/discovery:8905 Posture Report HTTPS://ISE1.demo.local/discovery:8905 Posture Compliant Авторизация пройдена Change of Authz (CoA)8.) Повторная Authz Requestавторизация ПОЛНЫЙ ДОСТУП! RADIUS CoA Authz Response9) Повторная проверка HTTPS://ISE1.demo.local/discovery:8905 Posture Status10.) IF No Response : Требуется проверка Change of Authz (CoA) 22
  • 23. КонтактыАлексей ГолыхИнженер поддержки продажДепартамент сетей и телекоммуникацийЗАО "Ай-Теко"Тел.: +7 (495) 777-10-95Факс: +7 (495) 777-10-96E-mail: golyh@i-teco.ruWWW: http://www.i-teco.ru 23