1. Функции безопасности
инфраструктурного
оборудования Cisco
Илья Озарнов,
Системный инженер Cisco
iozarnov@cisco.com

2. Содержание
• Введение
• Фундаментальные механизмы защиты на уровне 2
– Port Security, DHCP Snopping, DARP Inspection, IP source guard и др.
• Защита L2 в сетях IPv6
• TrustSec

3. Введение

4. Cisco SecureX
Distributed Threat Application Virtualization
Workforce & BYOD Defense Visibility & Control & Cloud
Защищенный
Защищенный Авторизованное
Защита сетевого переход к
универсальный использование
периметра облачным
доступ контента
вычислениям
Исследование угроз
Контекстная политика
Сеть
Сервисы
Соответствие

5. Фундаментальные механизмы защиты на
уровне 2

6. Нормальное функционирование CAM таблицы (1/2)
MAC Port
A 1
B 2
Port 2
C 3 MAC B
Port 1
MAC A
Port 3
A Is on Port 1
Learn:
B Is on Port 2
MAC C

7. Нормальное функционирование CAM таблицы (2/2)
MAC Port
A 1
B 2
Port 2
C 3 MAC B
Traffic A  B
Port 1
MAC A Port 3
B Is on Port 2
Does Not See
Traffic to B MAC C

8. Переполнение таблицы CAM
MAC Port
Assumes CAM Table Now Full
Y 3
Z 3
C 3 Port 2
Y Is on Port 3 MAC B
Traffic A  B
Port 1
MAC A Port 3
Z Is on Port 3
MAC C
I Can See Traffic to B

9. Предотвращение переполнения таблицы MAC адресов
Решение
• Port security предотвращае атаки MAC flooding, защищает порт и отсылает сообщение SNMP
Port Security ограничивает количество MAC адресов на
интерфейсе
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb Только 1 MAC
адрес
разрешен на
порту:
137,000 Shutdown
Bogus MACs

10. Настройка Port Security
• Настройка максимального количества MAC адресов на порт на VLAN
• Restrict позволяет узнать, что что-то произошло с помощью SNMP сообщения
(config-if)#
switchport port-security
switchport port-security maximum 1 vlan voice
switchport port-security maximum 1 vlan access
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
snmp-server enable traps port-security trap-rate 5

11. Атаки на протокол Spanning Tree Protocol
• Attacker sends superior BPDU messages to become root bridge
Now, The attacker then sees frames he shouldn’t. MITM, DoS, all possible
Any attack is very sensitive to
the original topology, trunking, Коммутаторы доступа
PVST Root
Root Blocked
Although STP takes link speed into consideration, it is always done from the perspective of the root bridge;
Taking a 10Gbps backbone to half-duplex 10Mbps was verified X
Requires attacker is dual homed to two different switches (with a hub, it can
be done with just one interface on the attacking host )
Root

12. Получение предсказуемого поведения Spanning Tree
• Разместить Root там, где он должен быть
• Root должен оставаться на своем месте
– Root Guard Loopguard
– Loop Guard
– UplinkFast STP Root
– UDLD
• На порты доступа должен поступать только пользовательский трафик
Si Si
– BPDU Guard
Rootguard
– Root Guard
– PortFast Loopguard
– port-security
UplinkFast
BPDU Guard или
Rootguard
PortFast

13. …или использование протоколов L3
• Проще в эксплуатации, т.к. только 1
control plane – протоколы
маршрутизации
• Проще дизайн – отсутствие FHRP,
Si Si
STP, Trunk, VTP и т.д.
• Балансировка нагрузки
• Лучшее время сходимости
Layer 3
Layer 2
BPDU Guard или
Rootguard
PortFast

14. Attacking HSRP - Denial of Service and man-in-the-middle
• Active Attack. The attacker sends fake HSRP packets with maximum priority of 255 and a proper clear-text
password.
• Attacker claims the Active Virtual Router role and becomes the Default Gateway for hosts in a given VLAN.
• Attacker drops the traffic, effectively creating a DoS condition or becomes man-in-the-middle.
• Countermeasure: use HSRP strong authentication
Internet
HSRP group 1
10.10.10.254
00-00-0c07-ac-01

15. Attacking HSRP – Countermeasures
• Attack tools exist, like yersinia and hsrp, a part of Phenoelit IRPAS (Internetwork Routing Protocol Attack
Suite).
• Typical use:
• The most important countermeasure is MD5 HMAC Strong Authentication combined with key rollover (accept
lifetime and send lifetime).
~# hsrp –d 224.0.0.2 –v 10.10.10.254 –a cisco –g 1 –i eth0 –S 10.10.10.17
(config)#
key chain hsrp1
key 1
key-string 54321098452103ab
(config-if)#
standby 1 ip 10.10.10.254
standby 1 priority 110
standby 1 preempt
standby 1 authentication md5 key-chain hsrp1

16. Атака на DHCP: отказ в обслуживании
• Gobbler/DHCPx пытаются получить адреса из всего адресного пространства
• Атака типа Отказ в обслуживании на DHCP сервер
Клиент
Gobbler Сервер
DHCP
DHCP Discovery (Broadcast) x (Size of Scope)
DHCP Offer (Unicast) x (Size of DHCPScope)
DHCP Request (Broadcast) x (Size of Scope)
DHCP Ack (Unicast) x (Size of Scope)

17. Противодействие атаке DHCP Starvation Attack с помощью Port
Security
Клиент
Gobbler Сервер
DHCP
• Gobbler использует
новый MAC адрес для
запроса нового IP у (config-if)#
DHCP сервера switchport port-security
switchport port-security maximum 1
• Необходимо ограничить switchport port-security violation restrict
количество MAC адресов switchport port-security aging time 2
на порт switchport port-security aging type inactivity
• Атакующий не сможет
получить больше IP
адресов, чем разрешено
MAC адресов

18. Противодействие атакам на DHCP
DHCP Snooping
DHCP сервер
Клиент DHCP Snooping Включен
Untrusted Trusted
Untrusted
Санкционированные
Атакующий,
DHCP ответы
имитирующий
DHCP сервер
Несанкционированные
DHCP ответы
DHCP Snooping Binding Table
sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD 10.120.4.10 193185 dhcp-snooping 4 FastEthernet3/18
• Таблица строится на на основе прослушивания ответов DHCP сервера
клиенту
• Записи остаются в таблице на время выдачи адреса

19. Атака ARP Spoofing
• Атакующий модифицирует таблицы ARP
• Весь трафик идет через атакующего
Адресу 10.1.1.2
соответствует
10.1.1.1 MAC C
MAC A
ARP 10.1.1.1
Адресу 10.1.1.2
соответствует ARP 10.1.1.2: Адресу
MAC C 10.1.1.1 соответствует
MAC C
10.1.1.3
MAC C 10.1.1.2
MAC B
Адресу 10.1.1.1
соотв MAC C

20. Противодействие ARP атакам
Dynamic ARP Inspection
 Использует таблицу
10.1.1.1 DHCP snooping
MAC A
 Динамическая проверка
ARP к 10.1.1.1 Запись ARP (Dynamic ARP
говорит, что Не соответствующие
присутствует в
10.1.1.2 имеет Нет!
таблице ARP пакеты
таблице? Включены: inspection)
MAC C отбрасываются DHCP Snooping, Если пакет не соответствует
Dynamic ARP записи в таблице, он
Inspection отбрасывается
10.1.1.3
MAC C 10.1.1.2
ARP 10.1.1.2: Адресу MAC B
10.1.1.1
соответствует MAC C

21. Противодействие спуфингу
IP Source Guard
 Использует таблицу
10.1.1.1 DHCP snooping
MAC A
Запись
 IP source guard
Трафик с Не соответствующие
Нет!
присутствует в Работает как dynamic
таблице пакеты Включены:
IP 10.1.1.3 таблице? ARP inspection, но
отбрасываются DHCP Snooping,
Mac B проверяет все пакеты,
Dynamic ARP не только ARP
Inspection,
IP Source Guard
10.1.1.3
MAC C 10.1.1.2
Трафик с IP MAC B
10.1.1.2
Mac C
Трафик с IP
10.1.1.2
Mac B

22. Встроенные функции безопасности коммутаторов Catalyst
IP Source Guard
ip dhcp snooping
ip dhcp snooping vlan 2-10
Dynamic ARP Inspection
ip arp inspection vlan 2-10
!
DHCP Snooping
interface fa3/1
Port Security switchport port-security
switchport port-security max 3
switchport port-security violation restrict
• Port security предотвращает switchport port-security aging time 2
атаки переполнения MAC
таблицы switchport port-security aging type
inactivity
• DHCP snooping предотвращает
использование ip arp inspection limit rate 100
несанкционированных DHCP ip dhcp snooping limit rate 100
серверов
!
• Dynamic ARP Inspection
защищает работу ARP, Interface gigabit1/1
используя таблицу DHCP ip dhcp snooping trust
snooping
• IP source guard предотвращает ip arp inspection trust
спуфинг адресов

23. Защита L2 в сетях IPv6

24. IPv6 Address Resolution – comparing with IPv4 ARP
• Creates neighbor cache entry, resolving IPv6 address into MAC address.
• Messages: Neighbor Solicitation (NS), Neighbor Advertisement (NA)
A B C
ICMP type = 135 (Neighbor Solicitation)
Src = A NS
Dst = Solicited-node multicast address of B
Data = B
Option = link-layer address of A
ICMP type = 136 (Neighbor Advertisement)
Query = what is B’s link-layer address?
Src = one B’s IF address
NA Dst = A
Data = B
Option = link-layer address of B
A and B can now exchange packets on this link

25. Attacking IPv6 Address Resolution
• Attacker can claim victim's IPv6 address.
A B C
Dst = Solicited-node multicast address of B
Query = what is B’s link-layer address? NS
Src = B or any C’s IF address
NA Dst = A
Data = B
Option = link-layer address of C
Countermeasures: Static Cache Entries, Address GLEAN, SeND (CGA), Address-Watch.

26. IPv6 Address GLEAN
 „Gleaning” means extracting addresses from NA, ND and DHCP messages.
Binding table
DHCP-
IPv6 MAC VLAN IF
server
H1 H2 H3 A1 MACH1 100 P1
A21 MACH2 100 P2
A22 MACH2 100 P2
NS [IP source=A1, LLA=MACH1] A3 MACH3 100 P3
REQUEST [XID, SMAC = MACH2]
REPLY[XID, IPA21, IPA22]
data [IP source=A3, SMAC=MACH3]
DAD NS [IP source=UNSPEC, target = A3] DHCP LEASEQUERY
NA [IP source=A1, LLA=MACH3] DHCP LEASEQUERY_REPLY

27. IPv6 Router Discovery
 Find default/first-hop routers
 Discover on-link prefixes => which destinations are neighbors
Messages: Router Advertisements (RA), Router Solicitations (RS)
B
A
Internet
ICMP Type = 133 (Router Solicitation)
RS
Src = UNSPEC (or Host link-local address)
Dst = All-routers multicast address (FF02::2)
Query = please send RA
ICMP Type = 134 (Router Advertisement)
RA
Src = Router link-local address
Dst = All-nodes multicast address (FF02::1)
Data = router lifetime, retranstime, autoconfig flag
Option = Prefix, lifetime
Use B as default gateway

28. Attacking IPv6 Router Discovery
• Attacker tricks victim into accepting him as default router
• Based on rogue Router Advertisements
• The most frequent threat by non-malicious user
B
A C
Internet
RA Src = B’s link-local address
Dst = All-nodes
Data = router lifetime=0
Src = C’s link-local address
RA Dst = All-nodes
Data = router lifetime, autoconfig flag
Options = subnet prefix, slla
Node A sending off-link
traffic to C

29. IPv6 RA-Guard – Securing Router Discovery
A C
RA
“I am the default gateway”
Verification Router Advertisement Option:
succeeded? prefix(s)
Forward RA
Switch selectively accepts or rejects RAs based on various criteria –
ACL (configuration) based, learning-based or challenge (SeND) based.
Hosts see only allowed RAs, and RAs with allowed content.
More countermeasures: static routing, SeND, VLAN segmentation, PACL.

30. IPv6 Stateless Address Auto-Configuration (SLAAC)
• Stateless, based on prefix information delivered in Router Advertisements.
• Messages: Router Advertisements, Router Solicitations
B
A
Internet
ICMP Type = 133 (Router Solicitation) RS
Src = UNSPEC (or Host link-local address)
Dst = All-routers multicast address (FF02::2)
Query = please send RA
ICMP Type = 134 (Router Advertisement)
RA Src = Router link-local address
Dst = All-nodes multicast address (FF02::1)
Data = router lifetime, retranstime, autoconfig flag
Computes Options = Prefix X,Y,Z, lifetime
X::x, Y::y, Z::z
and DADs them NS
Source traffic with X::x, Y::y, Z::z

31. BRKSEC-3003 Advanced IPv6 First-Hop Security
Features in IPv6 First-Hop Security
• Switches do/will integrate a set of monitoring, inspection and guard features for a variety of security-centric
purposes:
1. RA-guard
2. NDP address glean/inspection
3. Address watch/ownership enforcement
4. Device Tracking
5. Address GLEAN (NDP + DHCP + data)
6. DHCP-guard
7. DAD/Resolution proxy
8. Source-guard (SAVI)
9. Destination-guard
10. DHCP L2 relay
• Feature set and platform availability have been staged into phases.

32. TrustSec. Обзор

33. Архитектура TrustSec.
Контроль доступа на уровне сети
Клиентские ЦОД и
устройства приложения
Идентификация
Контроль доступа
Контроль доступа
Cisco Infrastructure
Политики доступа
Динамический контекст
КОРПОРАТИВНАЯ СЕТЬ
Управление Сервисы Безопасность

34. Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация Контекст:
“Кто” и Что
находится в моей
сети?
802.1X, Web Authentication, MAC-адреса, Профилирование
Куда cмогут
Авторизация и Контроль доступа иметь доступ
пользователи/уст
Security Group Identity ройства?
VLAN DACL
Access Firewall
Защищены ли
сетевые
Целостность данных и конфиденциальность
коммуникации?
MACSec (802.1AE)

35. Абсолютный контроль
TrustSec: авторизация и
реализация политик
Инновации
Cisco
Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем
Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW
• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии
• Детализированное
управление доступом
Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа

36. TrustSec Solution Review
Identity Services Engine (ISE)
Guest Service to provide full guest
access management with Web
Authentication
Flexible Authentication Methods Scalable / Flexible Policy &
(802.1X, MAB, Web Auth in any order) Authentication Server supporting Guest Services
RBAC
Printer
MAB
Profiling/Posture Services
802.1X
RADIUS
Employee Catalyst
Web Auth Switch ISE
Various Authorization Methods (VLAN, Downloadable
ACL, URL Redirect, etc)
Guest
Authentication Services
Cisco IOS © intelligence to provide phased Profiling System to perform automatic device
deployment mode for 802.1X (Monitor Mode, profiling for unattended device or any type of
Low Impact Mode, High Security Mode) network attached device
36

37. Ingress Access Control
• Can I create / manage the new VLANs or IP Address scope?
VLAN • How to address DHCP refresh?
Assignment • How do I manage ACL on VLAN interface?
802.1X/MAB/Web Auth
ACL • Who’s going to maintain ACLs?
Download • What if my destination IP addresses are changed?
• Does my switch have enough TCAM to handle all request?
 Detailed design before deployment is required,
otherwise…
 Not so flexible for changes required by today’s business
 Access control project ends up with redesigning whole 37
network

38. TrustSec. Использование меток
безопасности Security Group Tags

39. Применение Политик ISE
Контроль доступа на основе групп безопасности – Технология
меток безопасности
SGT = 100
I’m a contractor
My group is HR
Finance (SGT=4)
HR (SGT=10)
802.1X/MAB/Web Auth
SGACL
Contactor & HR
SGT = 100
Security Group Based Access Control
• ISE связывает метки (SGT) по результатам идентификации пользователей
• Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе
• Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на
выходе
• Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для
гранулированного доступа

40. Применение SGT и SGACL
 Уникальная метка 16 bit (65K) присваивается каждой роли
Security  Представляет привилегии пользователя, устройства или
Group
Tag субъекта
 Тегирование на входе в домен TrustSec
 Фильтрация по меткам (SGACL) на выходе из домена
TrustSec (обычно в ЦОДе)
 Правила без IP-адресов (IP адрес привязан к метке)
SGACL
SG
 Политика (ACL) is распределяется от центрального сервера
политик (ACS) или настраивается локально на устройстве
TrustSec
Преимущества
 Обеспечивает политики независимые от топологии
 Гибкие и масштабируемые политики основанные на роли пользователя
 Централизованное управление политиками для динамического внедрения
правил
 Исходящая фильтрация ведет к уменьшению нагрузки на TCAM

41. Формат кадра SGT
Аутентифицировано
Зашифровано
DMAC SMAC Заголовок 802.1AE 802.1Q CMD ETYPE Полезная нагрузка ICV CRC
CMD EtherType Версия Длина Тип опции SGT Значение Другие опции CMD
SGT
Метаданные Cisco.
Поле кадра Ethernet
• Заголовок 802.1AE CMD ICV — служебные данные L2 802.1AE + TrustSec
• Кадр всегда маркируется на входном порте устройства с поддержкой SGT
• Процесс маркировки предшествует другим сервисам уровня L2, например QoS
• Отсутствует влияние на MTU/фрагментацию IP
• Влияние на MTU кадра L2: ~ 40 байтов = меньше чем кадр Baby giant
(~1600 байтов с MTU 1552 байта)

42. Традиционное управление доступом
Пользователь (источник) Серверы (узлы назначения) Управление доступом S1 — D1
Руководители
S1 D1 permit tcp S1 D1 eq https
(10.10.24.13) Продажи permit tcp S1 D1 eq 8081
S2 D2 permit tcp S1 D1 eq 445
(10.10.28.12)
deny ip S1 D1
D3
Отч. кадровой службы Кадры Запись управления
S3 D4 доступом (ACE)
(10.10.36.10)
Число ACE растет по
мере роста числа
D5 разрешений
ИТ-администраторы
Финансов
S4 ая служба
(10.10.135.10)
D6
• (число источников) * (число узлов назначения) * число разрешений = число ACE
• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE
для S1~4
• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик
• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»

43. Как SGACL упрощает управление доступом
Пользователь Группа безопасности Группа безопасности Серверы
(источник) (узел назначения)
S1 D1
Рук-во A
(10 SGT)
D2
Сервер
S2 продаж
Рук-во B (500 SGT)
(20 SGT) D3
S3 Сервер D4
Отчеты кадров
кадров (600 SGT)
(30 SGT)
D5
S4
ИТ-админ. Сервер финансов D6
(40 SGT) (700 SGT)
• Администратор сети управляет каждой связью «группа источника — группа назначения»
• Это отделяет топологию сети от политик и снижает количество
правил политик, которые администратор должен поддерживать
• Сеть автоматизирует привязку пользователей / серверов к группам

44. Эффективность SGACL в эксплуатации
• Предположим, что в текущей технологии межсетевого экрана мы не указываем
конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями
каждый
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
С использованием SGACL
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

45. Эффективность SGACL в эксплуатации (2)
• Предположим, что в текущей технологии межсетевого экрана мы не указываем
конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями
каждый
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
С использованием SGACL
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

46. Role to SGT Binding and SGACL – Egress Policy Rules
Source Security Group Destination Security Group
SGACLS
(Dec/Hex) (Dec/Hex)
Contractor (10/A) Server A (111/6F) Permit All
Contractor (10/A) Server B (222/DE)
Deny All
Server C (333/14D)
Contractor (10/A) Deny All
HR (30/1E) Server A (111/6F) Deny All
HR (30/1E) Server B (222/DE) SGACL-D
HR (30/1E) Server C (333/14D) Permit All
permit tcp src dst eq 1433
#remark destination SQL permit
permit tcp src eq 1433 dst
#remark source SQL permit
 All SGTs are mapped to SGACL using Egress Policy permit tcp src dst eq 80
Rules # web permit
permit tcp src dst eq 443
 Content of SGACL and whole matrix entries are
# secure web permit
provisioned to TrustSec capable devices deny all
46

47. How To Create SGT Policy – Egress Table
Destination
SGT
Source Public Portal Internal Portal ACME Portal HR Server
SGT (SGT 8) (SGT 9) (SGT 5) (SGT 6)
Web
WebIT Maintenance ACL
Web No Access File Share
HR User (SGT 4)
permit tcp dst eq 443
permit tcp dst eq 80
Webpermit tcp Webeq 22
dst
permit tcp dst eq 3389
SSHpermit tcp SSHeq 135 SSH
dst RDP
RDPpermit tcp RDPeq 136
dst Full Access
permit tcp dst eq 137
File Share File Share File Share
permit tcp dst eq 138
IT Admin (SGT 7) permit tcp des eq 139
deny ip
4

48. SGACL Flow - Step 1: Policy Definition
Step 1 SGT policy definition on ISE
User A User C
 ISE is configured for its policy and all endpoints need to be
mapped to SGT in policy
Campus Access
TrustSec Enabled
Network
AD User Role SGT
User A Contractor 10
User B Finance 20
Data Center
User C HR 30
ISE
Server Role IP SGT
Server A Server B Server C Directory
HTTP Server Server Group A 10.1.100.111 111
Service
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
48

49. SGACL Flow - Step 2: SGT Assignment Classification
Step 2 SGTs are assigned to role and bound to IP
User A User C
address
 With 802.1X / MAB / Web Authentication, SGTs are
assigned in an authorization policy via RADIUS
 Access devices snoops ARP and / or DHCP for
802.1X / MAB / Web Auth
Campus Access authenticated MAC Address, then bind assigned SGT to
snooped IP Address
 For Servers IP addresses are bound to SGT statically on
access switch or dynamically looked up on ISE using IPM
feature
TrustSec Enabled
Network
AD User Role SGT
User A Contractor 10
User B Finance 20
Data Center
User C HR 30
30
10
ISE
Server Role IP SGT
Server A Server B Server C Directory
HTTP Server Server Group A 10.1.100.111 111
Service
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
333
222
111
49

50. SGACL Flow Step 3: SGACL Policy Provisioning
Step 3 ISE provisions Egress Policy (SGT Matrix) to
User A User C
TrustSec capable Device
 Each TrustSec capable device downloads policy from ISE
10 30
Campus Access
TrustSec Enabled
Network SRC DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
Data Center User C (30) Deny all Permit all SGACL-D
SGACL
SGACL
ISE
SGACL-D
permit tcp src dst eq 1433
#remark destination SQL permit
Server A Server B Server C Directory permit tcp src eq 1433 dst
Service #remark source SQL permit
111 222 333 permit tcp src dst eq 80
# web permit
permit tcp src dst eq 443
# secure web permit
deny all
50

51. SGACL Flow - Step 4: SGACL Enforcement (1)
Step 4 Now TrustSec network is ready to enforce the
User A User C
policy
 User’s traffic is tagged at ingress of TrustSec domain
10 30
 SGT is carried when packet traverses within domain
Campus Access
 At egress port, TrustSec device looks up local policy
Packets are tagged with SGT at
ingress interface and drops packet if needed
TrustSec Enabled
Network SRC DST Server A (111) Server B (222) Server C (333)
SGACL Applied User A (10) Permit all Deny all Deny all
SGT10 to SGT111
Permit all User B (20) SGACL-B SGACL-C Deny all
Data Center User C (30) Deny all Permit all SGACL-D
Untagged Traffic
CMD Tagged Traffic
ISE
Server A Server B Server C Directory
Service
111 222 333
51

52. SGACL Flow - Step 5: SGACL Enforcement (2)
Step 5 SGACL allows topology independent access
User A User C
control
 Even another user accesses on same VLAN as previous
10 30 example, his traffic is tagged differently
 If traffic is destined to restricted resources, packet will be
Campus Access Packets are tagged with SGT at dropped at egress port of TrustSec domain
ingress interface
SRC DST Server A (111) Server B (222) Server C (333)
TrustSec Enabled
Network User A (10) Permit all Deny all Deny all
SGACL-D is applied
User B (20) SGACL-B SGACL-C Deny all
SQL = OK
SMB = NO User C (30) Deny all Permit all SGACL-D
Data Center
SGACL-D
permit tcp src dst eq 1433
#remark destination SQL permit
ISE
permit tcp src eq 1433 dst
#remark source SQL permit
permit tcp src dst eq 80
Server A Server B Server C Directory # web permit
Service permit tcp src dst eq 443
111 222 333 # secure web permit
SQL traffic
deny all
SMB traffic
SGACL
52

53. Network Device Admission Control
NDAC
 Network Device Admission Control (NDAC)
provides strong mutual authentication
(EAP-FAST) to form trusted domain
 Only SGT from trusted peer is honored
 Authentication leads to Security Association
Protocol (SAP) to negotiate keys and cipher
suite for encryption automatically (mechanism
Customer Benefits
defined in 802.11i)
 Mitigate rogue network devices, establish trusted network fabric to ensure
SGT integrity and its privilege
 802.1X-2010/MKA will replace SAP for switch
 Automatic key and cipher suite negotiation for strong 802.1AE based
encryption
to switch encryption in the future
 Trusted device acquires trust and policies
from ISE server 53

54. Things to know about NDAC
• NDAC was developed as part of TrustSec and is Cisco proprietary but in large part based on 802.1X. NDAC does
not require hardware support but optionally may leverage a hardware credential store.
• SAP is Cisco proprietary and based on the key exchange mechanism defined in 802.11i. 802.1X-2010/MKA will
succeed and replace SAP in future Cisco products for switch to switch authentication.
• Interoperability with other 802.1AE devices becomes more broadly available once 802.1X-2010 is supported by
Cisco. Manual keying is supported in the interim
5

55. TrustSec Domain Establishment
Device Authentication (1)
NDAC validates peer
identity before peer
 The first the circle of Trust!
becomes device to
communicate with ISE is
called TrustSec Seed Device
 NDAC uses EAP-
FAST/MSCHAPv2 for
EAP-FAST over
authentication
RADIUS
Authorization
 Credential (including PAC) is
ISE
Seed Device
(PAC, Env Data,
Policy) ISE stored in hardware key store
55

56. TrustSec Domain Establishment Device Authentication (2)
As device connects to its peer, TrustSec domain
expands its border of trust
 If the device does not have information to connect to ISE, the
device is called non-Seed Device
 When next device connects to device, Role determination
process occurs per link basis, and both Authenticator and
Supplicant role are determined.
Authenticator
Supplicant
 First peer to gain ISE server connectivity wins authenticator
Supplicant
role. Once authenticator role is determined, the device
Non-Seed Device
terminates supplicant role by itself.
802.1X NDAC
 In case of tie, lower MAC address wins
Non-Seed Device
802.1X NDAC
Supplicant
802.1X NDAC
Seed
Device
ISE
ISE
Seed Device
Authenticator
56

57. NDAC Completion
CTS7K-CORE CTS7K-DS
10.1.50.1 10.1.50.1
CTS7K-CORE# show cts interface ethernet 1/15 CTS7K-DC# show cts interface ethernet 1/3
CTS Information for Interface Ethernet1/15: CTS Information for Interface Ethernet1/3:
CTS is enabled, mode: CTS_MODE_DOT1X CTS is enabled, mode: CTS_MODE_DOT1X
IFC state: CTS_IFC_ST_CTS_OPEN_STATE IFC state: CTS_IFC_ST_CTS_OPEN_STATE
Authentication Status: CTS_AUTHC_SUCCESS Authentication Status: CTS_AUTHC_SUCCESS
Peer Identity: CTS7K-DC Peer Identity: CTS7K-CORE
Peer is: CTS Capable Peer is: CTS Capable
802.1X role: CTS_ROLE_SUP 802.1X role: CTS_ROLE_AUTH
Last Re-Authentication: Last Re-Authentication:
Authorization Status: CTS_AUTHZ_SUCCESS Authorization Status: CTS_AUTHZ_SUCCESS
PEER SGT: 2 PEER SGT: 2
Peer SGT assignment: Trusted Peer SGT assignment: Trusted
SAP Status: CTS_SAP_SUCCESS SAP Status: CTS_SAP_SUCCESS
Configured pairwise ciphers: GCM_ENCRYPT Configured pairwise ciphers: GCM_ENCRYPT
Replay protection: Enabled Replay protection: Enabled
Replay protection mode: Strict Replay protection mode: Strict
Selected cipher: GCM_ENCRYPT Selected cipher: GCM_ENCRYPT
Current receive SPI: sci:18bad853520000 an:2 Current receive SPI: sci:18bad853460000 an:2
Current transmit SPI: sci:18bad853460000 an:2 Current transmit SPI: sci:18bad853520000 an:2
57

58. Confidentiality and Integrity 802.1AE based Encryption
• * NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)
• TrustSec provides Layer 2 hop-by-hop encryption and integrity, based
on IEEE 802.1AE standard
802.1AE
• 128bit AES-GCM (Galois/Counter Mode) – NIST Approved *
• Line rate Encryption / Decryption for both 10GbE/1GbE interface
• Replay Protection of each and every frame
• 802.1AE encryption to protect CMD field (SGT value)
Customer Benefits
 Protects against man-in-the-middle attacks (snooping, tampering, replay)
 Standards based frame format and algorithm (AES-GCM)
 802.1X-2010/MKA addition supports per-device security associations in shared media
environments (e.g. PC vs. IP Phone) to provide secured communication
 Network service amenable hop-by-hop approach compared to end-to-end approach (e.g.
Microsoft Domain Isolation/virtualization)
58

59. TrustSec
Шифрование MACSec Finance Admin
=
Must Encrypt
ISE 1.0
MACSec in Action
Authentication
Finance Admin
Successful!
&^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&(
AnyConnect 802.1X
3.0 Cat3750X Catalyst 6500 or Nexus 7000
Уже сейчас поддерживается:
•Шифрование MACSec в DC между Nexus 7000
•Шифрование пользовательских интерфейсов от AnyConnect к
Catalyst 3KX (MKA)
TrustSec 2.0 добавляет:
•Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus
7000
•Шифрование использует SAP, а не MKA для генерации ключей

60. TrustSec 2.0
Обеспечение сквозного шифрования из конца в конец
Guest User Data sent in clear
Authenticated User Encrypt Decrypt
802.1X
&^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&(
Supplicant
with
MACSec MACSec Capable Devices (New
Switch-to-Switch Encryption) MACSec Link
Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K
• 1G – на • Шифрование между •Шифрование между
существующих коммутаторами коммутаторами
портах • SUP 2T модуль •4500E : Sup7-E
• 10G – требуется аплинки и 47xx
новый сервис- линейные карты (FCS
модуль 3KX 2H CY11)

61. 802.1AE (MacSec) Tagging
TrustSec Frame Format
Authenticated
Encrypted
DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC
0x88e5
MISEec EtherType TCI/AN SL Packet Number SCI (optional)
MISEec Tag Format
61

62. Hop-by-Hop Encryption via IEEE802.1AE
• “Bump-in-the-wire” model
-Packets are encrypted on egress
-Packets are decrypted on ingress
-Packets are in the clear in the device
• Allows the network to continue to perform all the packet inspection features currently used
Decrypt at Encrypt at
Ingress Egress
everything in clear
01101001010001001 01101001010001001
128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption
01001010001001001000101001001110101 011010010001100010010010001010010011101010 01101001000110001001001000
ASIC
62

63. Migration Protocol – SGT eXchange Protocol (SXP)
• SXP is used to exchange IP-to-SGT bindings between TrustSec hardware (tagging/enforcement) capable and
software only devices.
• SXP communicates the IP-to-SGT binding “out of band” of the IP packet
• SXP accelerates deployment of SGTs
– Allows classification at the access edge without hardware upgrade
– Allows communication from access edge to enforcement device
• Supported on: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500 switches, Wireless LAN
Controller, ISRG2 and ASR1K
– Not all switches can perform all the SXP functions due to underlying hardware restrictions
– ASR, Catalyst 6500 Sup2T, Nexus 7000 only can take IP/SGT and then tag egress traffic or enforce policy
* - August/Sept. release of IOS
6

64. IP-SGT Binding Exchange with SXP
TCP-based SXP is established between Non-TrustSec
User A User C
capable and TrustSec-Capable devices
 User is assigned to SGT
10 30
 Switch binds endpoint IP address and assigned SGT
Non TrustSec Switch builds binding  Switch uses SXP to send binding table to TrustSec
capable device table
capable device
 TrustSec capable device tags packet based on source IP
address when packet appears on forwarding table
SXP SXP
SXP IP-SGT Binding Table
Packets are tagged
with SGT based on TrustSec
source IP Address capable device IP Address SGT Interface
10.1.10.1 10 Gig 2/10
Data Center
10.1.30.4 30 Gig 2/11
ISE
User A User C
Server A Server B Server C Directory Untagged Traffic Untagged Traffic
Service
CMD Tagged Traffic CMD Tagged Traffic
111 222 333
Once SGT is tagged, then
SGACL can be applied
64

65. SGT Exchange Protocol (SXP) Details
• Uses TCP for transport protocol
• TCP port 64999 for connection initiation
• Use MD5 for authentication and integrity check
• Two roles: Speaker (initiator) and Listener (receiver)
• Communication is unidirectional
6

66. Reference Slide
SXP Flow
IP Src: 10.1.3.2 Dst: 10.1.3.1
TCP Src Port: 16277 Dst Port: 64999
Flags: 0x02 (SYN)
IP Src: 10.1.3.1 Dst: 10.1.3.2
TCP Src Port: 64999 Dst Port: 16277
Flags: 0x12 (SYN, ACK)
IP Src: 10.1.3.2 Dst: 10.1.3.1
TCP Src Port: 16277 Dst Port: 64999
Flags: 0x10 (ACK)
TCP SYN
Speaker Listener
TCP SYN-ACK
TCP ACK
CTS6K CTS7K
10.1.3.2 10.1.3.1 ISE 1.1
10.1.10.100 (SGT6)
SXP OPEN
IP Src: 10.1.3.2 Dst: 10.1.3.1
TCP Src Port: 16277 Dst Port: 64999
Flags: 0x10 ( ACK)
SXP OPEN_RESP
SXP Type: Open
Version: 1 SXP UPDATE
Device ID: CTS6K IP Src: 10.1.3.1 Dst: 10.1.3.2
TCP Src Port: 64999 Dst Port: 16277
Flags: 0x18 (PSH, ACK)
SXP Type: Open_Resp
Version: 1
Device ID: CTS7K
IP Src: 10.1.3.2 Dst: 10.1.3.1
TCP Src Port: 16277 Dst Port: 64999
Flags: 0x10 (ACK)
SXP Type: Update
Update Type: Install
IP Address: 10.1.10.100 SGT: 6
6

67. SXP Connection Types
Single-Hop SXP SXP
Speaker Listener
Non-TrustSec Domain
ISE
TrustSec Enabled SW TrustSec Capable HW
Multi-Hop SXP SXP SXP
Speaker Listener Speaker Listener
ISE
TrustSec TrustSec TrustSec Capable HW
Enabled SW Enabled SW
Speaker
SXP
TrustSec
Enabled SW
67

68. WLC - SGT Assignment and Learning
• SXP is enabled on WLC and TCP connection is established with Peer Switch
• Wireless Client is 802.1x authenticated; SGT assignment is provided as VSA from ISE.
• WLC knows the IP address and SGT for Client and updates with Peer SGT capable switch.
• WLC will Delete Binding message with Peer whenever client is de-authenticated.
• Bulk Update: SXP-enabled WLC will push IP-SGT bindings for all associated clients to Peers
Sales
SXP Capable
WLC
802.1x authenticated
1 SXP Capable
Access-Accept w/ SGT VSA Switch
2
DHCP Discover Request / Response
3
SGT IP Address
10
10 10.1.100.3
Update IP-SGT Binding via SXP
4
6

69. SGTs with Monitor Mode
Egress Enforcement
 Security Group ACL
HR Server
Campus ACME Server
Network
Users, Catalyst® Switches
Endpoints Nexus® 7000/Cat
(3K/4K/6K)
6K
AUTH=OK ACME Server
Monitor Mode
SGT= HR User (10)
authentication port-control auto ISE HR Server ACME Server
authentication open SRC DST
dot1x pae authenticator
(111) (222)
ACME
Deny all Permit all
User(8)
HR User
Permit all Permit all
(10)
Unknown (0) Deny all Deny all
1. User connects to network
2. Monitor mode allows traffic from endpoint before authentication
3. Authentication is performed and results are logged by ISE
4. Traffic traverse to Data Center and hits SGACL at egress
enforcement point
5. Only permitted traffic path (source SGT to destination SGT) is
allowed
69

70. Policy for Today’s Business Requirement
Identity Other Access
Information Conditions Privilege
Identity: Consultant
Network
Administrator
Time and Date Human Resources
+
Identity: Finance
Full-Time
Employee
Location Marketing
Identity:
Guest
Guest
Access Type
Deny Access
70

71. SGA with Location
Privacy Requirements – Require Proper Location
Egress Enforcement
 Security Group ACL
Nexus® 7000/Cat
6K HR Server
Campus
X ACME Server
Network
HR User Catalyst® Switches
not in proper (3K/4K/6K)
locale
AUTH=OK ACME Server
SGT=HR Off Site (8) ISE
HR Server ACME Server
SRC DST Unknown
(111) (222)
HR Off Site (8) Deny all Permit all Permit all
HR User (10) Permit all Permit all Permit all
Guest (30) Deny all Deny all Permit all
1. User connects to network
2. Pre-Auth ACL only allows selective service before authentication
3. Authentication is performed and results are logged by ISE. dACL is
downloaded along with SGT
4. Traffic traverse to Data Center and hits SGACL at egress enforcement point
5. Traffic Denied Due to improper location of HR User
71

72. SGT Assignment - Classification
Campus/Mobile endpoints
 Every endpoint that touches TrustSec domain is classified with SGT
 SGT can be sent to switch via RADIUS authorization after:
• via 802.1X Authentication
Full integration with
• via MAC Authentication Bypass
Cisco Identity
• via Web Authentication Bypass Solution and ISE
• Or Static IP-to-SGT binding on SW
Just like VLAN Assignment or
dACL, we assign SGT in
authorization process
Data Center / Servers
 Every server that touches TrustSec domain is classified with SGT
 SGT is usually assigned to those servers:
• via Manual IP-to-SGT binding on TrustSec device
IP-to-
• via ID-to-Port Mapping
ID-to-
• VLAN – SGT*
• Subnet – SGT**
* Catalyst 3K-X and Sup2T
** Sup2T only
7

73. SGT Assignment – Access Layer Classification
Cat2K Cat3K Cat4K Cat6K ISR WLC Notes
Dynamic 802.1X X X X X X X
MAB X X X X X X
Web Auth X X X X X X
Static Port X X - X - -
Definition
Layer 2 X X - X - - Dynamic
Identity to query to ISE
Port for SGT based
Mapping “identity on
port”
VLAN/SGT - X* - X - - 3K-X only for
CY12
Subnet/SGT - - - X - - Via Sup2T
Layer 3 - - - X - - Based on
Identity to routes
Port learned from
Mapping port via
dynamic
routing
7

74. SGT Migration Strategy - VLAN-SGT* Assignment User 1 – HR Admin
3rd Party or Legacy
Switches/Aps Trunk Connection
VLAN 10 -> HR-User: SGT (10/000A)
VLAN 11 -> HR-Admin: SGT (11/000B)
802.1X RADIUS
ISE 1.1
HR Admin MAC:0050.56BC.14AE Cat6500/Sup2T
Access-Accept
MAC Address Port VLAN Port Open!
0050.56BC.14AE G0/0 11
ARP /DHCP Request / Response
11.11.11.11/32
IP Device Tracking (ARP/DHCP inspection)
MAC Address Port SGT IP Address
NX7010
0050.56BC.14AE Fa2/1 11/000B 11.11.11.11
SXP Binding Table
Cat6503 Tagging
SRC: 11.11.11.11 SGT (11/000B) 11.11.11.11
* - There are limits of the number of VLANs supported per platform
7

75. SGT Migration Strategy - VLAN-SGT* Assignment User 2 – HR User
3rd Party or Legacy
Switches/APs Trunk Connection
VLAN 10 -> HR-User: SGT (10/000A)
VLAN 11-> HR-Admin: SGT (11/000B)
802.1X RADIUS
ISE 1.1
HR User MAC:0070.56BC.237B Cat6500/Sup2T
Access-Accept
MAC Address Port VLAN Port Open!
0070.56BC.237B G0/0 10
ARP /DHCP Request / Response
10.1.10.100/32
IP Device Tracking (ARP/DHCP inspection)
MAC Address Port SGT IP Address NX7010
0070.56BC.237B Fa2/1 10/000B 10.1.10.100 SXP Binding Table
Cat6503 Tagging
SRC: 10.1.10.100 SGT (10/000A) 10.1.10.100
* - There are limits of the number of VLANs supported
7

76. SGT Migration Strategy – VLAN-SGT* Assignment End State
Trunk Connection
3rd Party or Legacy
Switches/APs
VLAN 10 -> HR-User: SGT (10/000A)
VLAN 11 -> HR-Admin: SGT (11/000B)
802.1X RADIUS
ISE 1.1
HR Admin MAC:0050.56BC.14AE Cat6500/Sup2T
10.1.10.100/24
HR User MAC:0070.56BC.237B
11.11.11.11/24
Traffic
IP Device Tracking (ARP/DHCP inspection)
MAC Address Port SGT IP Address VLAN
NX7010
0050.56BC.14AE Fa2/1 11/000B 11.11.11.11 11
SXP Binding Table
0070.56BC.237B Fa2/1 11/000B 10.1.10.100 10
Cat6500/Sup2T Tagging
SRC: 11.11.11.11 SGT (11/000B) 11.11.11.11
Tagging
SRC:10.1.10.100 SGT (10/000A) 10.1.10.100
* - There are limits of the number of VLANs supported
7