Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE.

Cisco Expo
2012
Управление сетевым
доступом
корпоративных и
персональных
устройств с Cisco ISE
Владимир Илибман
Инженер-консультант

© 2011 Cisco and/or its affiliates. All rights reserved. 1

Управление доступом в сеть для интеллектуальных устройств
1. Архитектура Cisco для управлением сетевым доступом
2. Как и зачем идентифицировать тип сетевого устройства
3. Как в сети отличить корпоративные и персональные
устройства
4. Хотим управлять мобильными устройствами
сотрудников - системы Mobile Device Management
5. Дизайны внедрения Cisco ISE– рекомендации и лучшие
практики
6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS

БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
На каждого пользователя
К 2015 году 15 приходится 3–4 устройства
миллиардов устройств
будут подключаться к сети
40 % сотрудников приносят
свои собственные устройства
на работу

РОСТ РОСТ
БЫСТРЫЙ РОСТ ПЕРСОНАЛЬНЫХ НЕ-ПОЛЬЗОВАТЕЛЬСКИХ
ЧИСЛА УСТРОЙСТВ
© 2011 Cisco and/or its affiliates. All rights reserved.
УСТРОЙСТВ УСТРОЙСТВ
3

Принтеры IP камеры Сигнализация

Беспроводные APs Турникеты
Факсы/МФУ
Системы
Станции Управляемые UPS жизнеобеспечения
видеоконференций
Платежные Торговые машины
IP телефоны терминалы и кассы
Медицинское Кофеварки
Хабы оборудоваие
. . . и многое другое

Набор для подключения к сети Интернет
новый мир к@фе
 Модель IMPRESSA F90 первая совместимая с
Интернет бытовая кофемашина для
приготовления экспрессо
 С помощью набора Internet Connectivity© Вы
можете связать свою машину с персональным
компьютером и сетью Интернет.
 Запрограммируйте на компьютере ваши
любимые рецепты и загрузите их в кофе-
машину.


“Кто” и “Что” находится в моей сети?
Кто” “Что”
Куда должны иметь доступ
пользователи и устройства?
устройства?
Как управлять доступом?
доступом?


Управляем доступом в сеть на основе политик
Пользователь
Удаленный беспроводной Сотрудник
Клиент
пользователь, сети / гость
виртуальной “Кто” и “Что”
подключенный
Прозрачная по VPN
машины
IP-устройства находится в
идентификация моей сети?

Контроль Куда могут
доступа на Инфраструктура иметь доступ
основе с контролем идентификации пользователи/ус
политики и учетом контекста тройства?
Эффективное
и Как управлять
централизован Центр обработки Интранет Интернет Зоны безопасности доступом?
данных
ное
управление Использование существующей инфраструктуры

Доступ на основе идентификации — это не опция, а свойство сети, включая
проводные, беспроводные сети и VPN

Управление
доступом на основе
политик Identity Services Engine (ISE)

Реализация
политик Catalyst 2900, 3560, 3700, 4500, 6500, Nexus 7000,
Cisco ASA, ISR, ASR 1000
инфраструктура беспроводной сети и маршрутизации

Идентификация
пользователя и Агент NAC Web-агент Клиент 802.1x
устройства Бесплатные клиенты AnyConnect или встроенный в ОС клиент


Безопасность основанная на идентификации и контексте
Внешний
AD/LDAP каталог
Сетевые устройства доступа

Атрибуты
Аутентификации, Политика
ГДЕ
Авторизации, безопасности
ЧТО КОГДА
Учета (AAA)
КТО КАК Cisco ISE
Radius Реализация политики
Идентификация SNMP (VLAN, ACL, SGT) Radius
в контексте DHCP
NetFlow
…

Пользователи и Устройства
Сетевые устройства доступа


Политика
Идентификация Гостевой Оценка
Сервисы Аутентификация доступ и BYOD
Профилирование состояния
устройств (NAC)
Авторизация
Технологии
реализации VLAN ACL Security Group ACL
политик

802.1X-REV
Протоколы и Radius MAB
MacSec Security Group
стандарты WebAuth (802.1AE) Tagging и SXP


MAC Тип и класс устройства ?
802.1x Корпоративное или персональное ?
Профилирован Соответствие политике ?
ИДЕНТИФИКАЦИЯ УСТРОЙСТВА
Шлюз камеры Вася Пупкин Личный iPad
видеонаблюдения Консультант Собственность гостя
Автономный ресурс Центральный офис, Беспроводный центральный
отдел стратегий офис
Служебный нетбук
Маша Петрова Федор Калязин
Сотрудник, служба Гость
маркетинга Беспроводная сеть
Служебный десктоп MacBook Air

ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ
802.1X Сотрудник, Контрактник или Гость ?
“Интеграция сервисов идентификации и контроля доступа.
NAC агент Решение организации ?
Роль в Cisco ISE” :
WebAuth Дополнительные атрибуты из внешнего каталога ?
http://www.ciscoexpo.ru/expo2011/downloads/materials/секurity/v
© 2011 Cisco and/or its affiliates. All rights reserved. oilibma_ISE_expo.pdf 11

PCs Non-PCs
UPS Phone Printer AP

1. Идентификация может проводиться
• Статически (вручную)
• Динамически (профилирование)
2. Результаты идентификации (Identity Group) используются в
Политике Авторизации Cisco ISE

• Одно устройств
Добавляем вручную
• Множество устройств
•
LDAP импорт
Импорт файлов


Профилирование обеспечивает возможность автоматической
классификации устройства:
• Обнаружение и классификация основаны на цифровых отпечатках
устройств
RADIUS HTTP DHCPSPAN
DHCP SNMP Query NetFlow
DNS NMAP SNMP Trap
• Дополнительные преимущества профилирования
Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
Выбирается “наилучшее” предположение
• Профилирование дополняет идентификацию по MAC-адресам или 802.1x

Политика использует комбинацию условий для идентификации

MAC адрес из
OUI Apple

DHCP:host-name IP:User-Agent
СОДЕРЖИТ iPad СОДЕРЖИТ iPad

Я считаю, что это Присвоить
устройство MAC Адрес к
Библиотека скорее всего iPad ID Group “iPad”
профилей

Сенсор Основные Механизм профилирования
(Probe) атрибуты
RADIUS Calling-Station-ID Считывает MAC Address -> OUI = для идентификации вендора
Framed-IP-Address устройства. Дает информацию для работы других сканеров
SNMP MAC Address/OUI SNMP Trap и Query. Считывает информацию о MAC Address/OUI
CDP/LLDP, ARP CDP/LLDP, ARP таблицах с сетевых устройств
DHCP DHCP атрибуты Считывает Vendor ID уникальный для разных ОС и некоторых
аппаратных платформ. Требуется SPAN или DHCP Helper
DNS FQDN Определяет тип на основании FQDN имени устройства с
помощью обратного DNS запроса
HTTP User-Agent Определяет тип устройства на основании User-Agent браузера.
Требуется SPAN или редирект на ISE
NetFlow Source/Dest Анализирует Source/Dest IP/Ports/Protocol. Детектирует
IP/Ports/Protocol специализированные устройства с характерным трафиком и
выявляет аномальный трафик устройств
NMAP Operating System Анализирует открытые порты и SNMP-ответы устройств.
Common ports Детектирует ОС, сетевые принтеры и устройства которые
Endpoint SNMP data слушают стандартные UDP/TCP ports.

Активное сканирование устройств с помощью Network Mapper (NMAP)
Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру :
• детектировать новые устройства с помощью сканирования сети

• классифицировать конечные устройства, основываясь на
детектировании операционной системе и анализе открытых портов

Внимание: сканирование больших сетей может занимать много времени
и создавать нагрузку на ISE

• Распределенное сканирование по протоколам CDP/LLDP, DHCP и mDNS
(только Catalyst 4k)
• Автоматическое обнаружение распространённых устройств (принтеры,
устройства Cisco, телефоны…)
• Централизованный сбор данных в ISE с минимальной нагрузкой на сеть
• Независимость от топологии Поддержка Device Sensor
• 3560/3750 с 15.0(1)SE1
• 3560C/CG running 15.0(2) SE
ISE • 4500 running 15.1(1)SG
• 4500 running IOS-XE 3.3.0SG
• Wireless Controllers с 7.2.110.0 (только DHCP)

IOS сенсор:
Распределенный
CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP
© 2011 Cisco and/or its affiliates. All rights reserved.
сканер 19

Планируется в
ISE 1.2

Сервис обновлений профилей
устройств:
• Cisco, вендоры устройств и
партнеры будут предоставлять
обновления профилей новых ISE
устройств и обновленную базу
Web-лента данных
OUI об устройствах

• ISE автоматически получает
пакеты обновлений через CCO


Что= ? Кто= Сотрудник

Права доступа= Авторизация
• Employee_PC Set VLAN = 20 (Полный доступ)
• Employee_iPAD Set VLAN = 30 (Только Интернет)

Где находится BYOD ?
Управляемые BYOD
пользователи

Управляемые Неуправляемые
устройства устройства

Гости
“Неуправляемые”
пользователи

Запрет Разрешение Поощрение Контроль
Среда требует Базовый сервис Разные права Корпоративный
жесткого и удобный доступа + контроль персон.
контроля доступ автоматизация устройств

Только Выход в Интернет Автоматизация Compliance – MDM,
устройства для неуправляемых конфигурации, шифрование, PIN
компании устройств сертификаты, VPN Lock…

ТОЛЬКО
КОРПОРАТИВНЫЕ
УСТРОЙСТВА
Я знаю тебя, но докажи что ты используешь корпоративное устройство
Привет, я Маша,
• Идентификация пользователя… мой пароль
*******
• Логин/пароль (802.1X или WebAuth) Корпоративный ID
• Пользовательский сертификат (802.1X) пользователь

00:11:22:AA:B
• “Идентичность” устройства … B:CC

• MAC адрес? ID

• Машинный сертификат (802.1X) Корпоративное
устройство ?
• Как я могу связать это в единой политике?
Насколько
Пользо Политика достоверна
ватель + Устройство = доступа информация?

Машинный сертификат является достаточно
надежным методом идентификации, но
секретный ключ и сертификат технически
возможно продублировать 

Можно дополнительно проверять:

• MAC-адрес соответствует адресу в сертификате

• MAC-адрес находится в корпоративном списке устройств WhiteList

• Тип устройства соответствует корпоративному (профилирование в ISE)

• В реестре и файловой системе устройства находятся корпоративные
метки (NAC функционал ISE)


• Сценарий реальной
используется у большого
корпоративного заказчика Cisco

• Заказчик решил
модифицировать DHCP User
Class-ID на всех членах домена

• Обеспечивается уникальная
возможность спрофилировать
устройства как корпоративный
ресурс

C:>ipconfig /setclassid "Local Area Connection" CorpXYZ

Windows XP IP Configuration
DHCP ClassId successfully modified for adapter"Local Area Connection"
http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx


2

Machine Access Restrictions (MAR)
• MAR - проверка Radius-сервером предыдущих машинных аутентификаций с таким же
Calling-Station-ID (MAC-адресом) во время аутентификации пользователя.

• Устройство должно быть аутентифицировано перед входом пользователя
Потенциальные проблемы при выходе из hibernation/standby, при переключении из
проводной в беспроводную сеть (ведет к смене MAC-адреса)
Возможен спуфинг – подстановка во время пользовательской аутентификации MAC-
адрес аутентифицированного устройства

MAR Cache Rule Name Conditions Permissions
Calling-Station-ID MachineAuth if Domain Computers then MachineAuth
00:11:22:33:44:55 Employee &
Employee if then Employee
– Passed WasMachineAuthenticated = true


ISE
1 .1 .1

• Позволяет коррелировать машинную и пользовательскую аутентификации
• Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса
• Позволяет легче использовать результат проверки в политике ISE

Поддержка EAP-Chaining есть в протоколе EAP-FASTv2:
• AnyConnect 3.1
• Identity Services Engine 1.1.1

Cisco в составе рабочей группы IETF в процессе стандартизации следующей версии
протокола EAP -Tunneled EAP (TEAP), который также поддерживает EAP-Chaining.

РАЗРЕШАЕМ
ПЕРСОНАЛЬНЫЕ
Для управления доступом персональных устройств
Автоматическая конфигурация сапликанта 802.1x на
802.1x
поддерживаемых платформах
Портал регистрации устройств

Автоматизация выдачи сертификатов с
дополнительными атрибутами
Дифференциация сервисов на основе сертификатов.
Защита от копирования сертификатов
Ведение “черного” списка устройств и
переинициализация устройств


РАЗРЕШАЕМ

Автоматизация настройки и управление сетевым доступом персональных
устройств NCS Prime
ISE
AD/LDAP
(External ID/
Attribute Store)

Cisco Catalyst WLAN Cisco ASA
Switches Controller

CSM / ASDM
Wired
Network
Devices

Проводной доступ Беспроводный доступ Удаленный доступ

www.cisco.com/go/byod - BYOD Smart Solution Design Guide

КОНТРОЛИРУЕМ


Планируется в
ISE 1.2

Экосистема MDM
AD/LDAP
ИНТЕГРАЦИЯ С ОСНОВНЫМИ
MDM ВЕНДОРАМИ
MDM ISE
Manager
• Экосистема делает возможным
?
выбор решения заказчиком

Cisco Catalyst
Switches Cisco WLAN
Controller Функционал:
• API для интеграции с MDM
User X User Y
• Использование в политике ISE
информации от MDM о мобильном
устройстве
• Инициация действий с уcтройством
через интерфейс ISE
Window or OS X Smartphones including iOS
Computers or Android Devices
Wired or Wireless Wireless * Запланировано на начало 2013 года


MDM ISE
Manager

• ISE через MDM API, может проверять:
Общее соответствие устройства политике ( Compliant
или не-Compliant ), а также:
• Наличие шифрования диска
• Наличие Pin lock
• Наличие джейлбрейка
• Модель и серийник в “белом” списке….

• После подключения в сеть ISE делает периодический
опрос MDM о соответствии устройств политике:
• Если результат проверки негативный – устройство
принудительно отключается от сети (через Radius
Change-of-Authorization)

MDM ISE
Manager

• Предоставляет возможность администратору и пользователю в ISE удаленно
инициировать действия с мобильным устройством на MDM сервере

• Производится через:
• Портал “Мои устройства”
• Endpoints Directory в ISE

Опции
• Редактировать
• Переинициал.
• Потерян?
• Удалить
• Полная очистка
• Корпор. очистка
• PIN Lock

Базовая Расширенная Лицензия ISE для
лицензия ISE лицензия ISE беспроводного доступа
Авторизованы ли мои Соответствуют ли мои устройства
Базовая + Расширенная
оконечные устройства? нормативным требованиям?
• Аутентификация / • Профилирование устройств • Все базовые сервисы
авторизация • Оценка состояния узла • Все расширенные
• Гостевой доступ • Доступ для групп сервисы
• Политики шифрования безопасности • Только для беспроводных
MacSec
Бессрочная лицензия по • Лицензия на срок 3 / 5 лет по
Новый BYOD функционал устройств
Лицензия на срок 3 / 5 лет по
количеству end-point количеству end-point количеству end-point

Платформы устройства
VM Устройство
Cisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |
для ESXi 4.x и 5.x

Примечание. Расширенная лицензия не включает базовую


Роли могут совмещаться в
одном устройстве
Узел сервиса политик -Policy Service Node (PSN)
Применяет политику AAA
RADIUS сервер & профилирование & оценка состояния
Узел управления -Policy Administration Node (PAN)
Интерфейс для конфигурации политик и управления ISE
Изменение базы данных ISE
Узел мониторинга Monitoring & Troubleshooting Node
(MnT)
Сбор отчетов и логов с узлов ISE
Получатель для syslog от сетевых устройств (NAD)
Inline Posture Node (IPN)
Применяют политику для сетевых устройств, которые не
поддерживают CoA (VPN-концентраторы, third-party WiFi)

Узел
мониторинга
Журналирование (MnT)

Журналирование
Просмотр
журналов/ отчетов
Узел Внешние
Узел сервиса данные
управления Просмотр/ политик (PSN) Запрос (AD/LDAP)
(PAN) Настройка атрибутов
Политик
Radius
Журналирование
SNMP
(Syslog,Radius)
NetFlow

Клиентские
Сетевые устройства Ресурсы
устройства Запрос на Доступ к
доступ ресурсам


• Максимальное число клиентских устройств– 2000
• Отказоустойчивость для 2000 клиентских устройства

ISE Node ISE Node
Основной узел PAN PAN Резервный узел
управления управления

Резервный узел MnT MnT Основной узел
мониторинга мониторирга

PSN PSN


Максимальное количество поддерживаемых пользовательских
устройств и Узлов Политик (PSN) зависит от модели внедрения Узлов
Управления и Мониторинга
PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40

Admin + Monitor + PSN Admin + Monitoring
≤ 2,000 на одном устройстве на одном устройстве:
2x ISE 3355 Выделенные узлы Управления :
или 2x ISE-3395
≤ 5,000 -
2x ISE-VM или
2x ISE-VM
Admin + Monitoring
Выделенные узлы мониторинга:
на одном устройстве:
2x ISE-3395
≤ 10,000 - 2x ISE-3395
или
или
2x ISE-VM
2x ISE-VM

≤ 100,000 - -


• Узел сервиса политик – масштабирование и производительность
Формфактор Платформа Устройство Максимум Событий Событий оценки
Endpoints профайлера состояния

Small ISE 3315 / 1121 3000 500/сек 70/сек
Физический Medium ISE 3355 6000 500/сек 70/сек
Large ISE 3395 10,000 1200/сек 110/сек
Виртуальный S/M/L VM 10,000 * Переменная Переменная

Кол-во аутентификаций в секунду * Аппаратная платформа для ISE VM
EAP-TLS 335 internal, 124 LDAP
должна обеспечивать аппаратные
ресурсы выше или на уровне
MSCHAPv2 1316 internal, 277 AD
соответствующего физического
PEAP-MSCHAPv2 181
устройства ISE
FAST-MSCHAPv2 192
Крайне рекомендуется использовать
Гостевой (web auth) 17
жесткие диски с RPM 10K или выше

Admin (P) Monitor (P) Кластер Узлов сервисов
Admin (S) Monitor (S) политик
PAN MnT PSN PSN PSN PSN
PAN MnT PSN PSN

AD/LDAP
(External ID/ AD/LDAP
Attribute Store) (External ID/
IPN
Data DC B Attribute Store)
IPN Center A
ASA VPN
Скоростной канал с небольшой задержкой WLC
HA Inline 802.1X
Posture Nodes Switch
802.1X AP
WLC
802.1X Switch •Отказоустойчивая, распределенная архитектура внедрения
AP 802.1X
между ЦОД (P=Primary / S=Secondary)
•Централизованные кластеры узлов PSN для
Филиал Филиал
Б проводного/беспроводного доступа в филиалах
A
•Требуется скоростной канал с небольшой задержкой для
AP
Switch
AP
Switch синхронизации обновлений баз данных.
802.1X 802.1X
•Не рекомендуется использовать удаленное профилирование
по SPAN, NetFlow и NMAP

ACS NAC Guest NAC Profiler NAC Manager NAC Server

• ISE является развитием отдельных продуктов семейства NAC и ACS
• Преимуществом ISE является тесная интеграция функционала различных до этого
момента продуктов
• Во многих случаях ISE является предпочтительным выбором для новой инсталляции
• Миграция с ACS/NAC на ISE нужно рассматривать с учетом реально используемого
функционала существующих продуктов

Identity Services Engine

Зачем переходить:
Необходимость интеграции оценки состояния, профилирования и
гостевого доступа
Исключения:
Сценарий использования ACS для управления доступом сетевых
администраторов и TACACS+
Что делать с существующими устройствами:
Новые устройства ACS 1121 могут быть обновлены до Cisco ISE 1.x.
ACS Заказчики со старыми устройствами 1120/1113 могут приобрести новые
устройства ISE или ISE VM по специальной цене (и могут по прежнему
эксплуатировать старые устройства с ACS)
Защита инвестиций:
Для владельцев ACS доступны специальные базовые лицензии ISE для
миграции
Как переходить:
Существует инструмент для автоматизации миграции данных и
конфигурации c ACS 5.1/5.2 на ISE *
*http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html

Зачем переходить:
Необходимость внедрения 802.1x контроля и расширенных функций
авторизации и профилирования
NAC Исключения для NAC Appliance:
Server Когда нет возможности внедрить 802.1x/Radius CoA по всей сети. Необходимо
полноценное inline решение
Исключения для NAC Guest Server:
NAC Manager Используется API для интеграции с внешними системами*
Что делать с существующими устройствами:
Новые устройства NAC 3315/3355/3395 могут быть обновлены до Cisco ISE 1.x.
Заказчики со старыми устройствами 33x0/3140 могут приобрести новые
NAC Guest устройства для ISE или ISE VM по специальной цене
Защита инвестиций:
Для владельцев NAC Appliance и NAC Profiler доступны специальные
расширенные лицензии ISE для миграции.
NAC Profiler Для NAC Guest доступны специальные базовые лицензии ISE для миграции

*Guest API появится в последующих версиях ISE

Идентификация «BYOD – принеси
Cisco ISE свое собственное
устройств
устройство»

Управляем доступом Строим политики с Безопасное включаем и
в сеть на основе управляем
учетом того “ЧТО”
политик персональными
включается в сеть”
безопасности устройствами

www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba


dVLAN RADIUS
Wireless Ingress Enforcement Named ACLs Guest Services
user Cisco Posture
Cisco®
ISE Profiler
Wireless
Controller SXP

Wired Campus
Network
user MACsec Cat 6K
Cisco® Nexus® 7K, 5K and 2K
AnyConnect
Catalyst® Switch Switch
Ingress Enforcement dVLAN Data Center
dACLs / Named ACLs
SXP Egress Enforcement
SGACLs
Site-to-Site ASR1K
VPN user WAN
ISR G2 with integrated switch


Спасибо!
Заполняйте анкеты он-лайн и получайте подарки в Cisco
Shop: http://ciscoexpo.ru/expo2012/quest
Ваше мнение очень важно для нас!

Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE.

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE.

Similar to Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE. (20)

More from Cisco Russia

More from Cisco Russia (20)

Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE.