Контроль доступа пользователей к ЛВС
Upcoming SlideShare
Loading in...5
×
 

Контроль доступа пользователей к ЛВС

on

  • 427 views

 

Statistics

Views

Total Views
427
Views on SlideShare
427
Embed Views
0

Actions

Likes
0
Downloads
4
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Контроль доступа пользователей к ЛВС Контроль доступа пользователей к ЛВС Presentation Transcript

  • Контроль доступа пользователей к ЛВС Архитектура безопасности Cisco TrustSec Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • ПРОГРАММА Причины появления Состав и принцип работы Миграция Внедрение 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
  • “Архитектура, технологии, устройства, системно решающие задачу безопасного доступа к сети” 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • Требования Политики Безопасности •Защищать ресурсы  Как можно ближе к ресурсам  Как можно точнее «открывать» доступ  Контролировать среду передачи •Контролировать угрозы (пользователей!)       Как можно ближе к месту их возникновения Кто подключился? Где подключился? Когда был подключен? Куда предоставлялся доступ? Что за устройство? •Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 4
  • История вопроса Попытки реализации требований NAC appliance infrastructure Статические 2000-е доступа (ACL) 802.1x – списки • изменение топологии сети ПО красиво! проприетарно!сервисов, Рост подсетей, серверов, не • неготовность клиентского приложение, фильтр работало! протоколов, портов • пакетный • масштабируемость • мобильные пользователи (LAN-1, LAN• пакетный фильтр 2, wireless, VPN, ноутбук, iPad) • Работа с IP-адресами, не с пользователями! 13.01.2014
  • История вопроса Попытки реализации требований - Нет привязки к пользователю, только IP! - Пакетные фильтры - Большие трудозатраты на поддержание актуальности ACL - Несовместимость компонентов 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 6
  • Работа TrustSec 0. Категорирование пользователей и ресурсов 1. Запрос на доступ в сеть 2. Разрешение + атрибуты доступа (VLAN, ACL, SGT, MacSec) 20 30 Пользователь А Пользователь Б 3. Трафик с метками SGT 4. МЭ - фильтрация трафика на основе меток Канальное шифрование групп ISE 200 300 access-list DCin permit tcp ... SGT 30 any SGT 300 eq sql Сервер A 13.01.2014 Сервер Б © 2013 Cisco and/or its affiliates. All rights reserved. 7
  • Составные части Cisco TrustSec • Пользователи и оконечные устройства - Компьютеры, мобильные устройства, гостевой доступ, удаленный доступ • Сетевое оборудование - Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС • Сервер политик Cisco ISE • Единая политика доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 8
  • Матрица доступа в ISE Portal_ACL Portal_ACL 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp permit tcp deny ip dst dst dst dst dst dst dst dst des eq eq eq eq eq eq eq eq eq 9 443 80 22 3389 135 136 137 138 139
  • Безопасный доступ с Сisco TrustSec • Единая политика независимо от способа доступа • Тэгирование на уровне доступа(SGT) / фильтрация в ЦОД (SGACL) Сеть Доверия • Аутентификация пользователей 802.1x, WebAuth, MAB • Аутентификация сетевых устройств (NDAC) Конфиденциальность и целостность • Шифрование «провода». 802.1AE • Шифрование со скоростью интерфейса Контроль доступа на основе групп 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 10
  • 1/2 Аутентификация сетевых устройств EAP-FAST over RADIUS Seed Device 13.01.2014 Authorization (PAC, Env Data, Policy) ISE © 2013 Cisco and/or its affiliates. All rights reserved. ISE 11
  • 2/2 Аутентификация сетевых устройств Authenticator Supplicant Supplicant Non-Seed Device 802.1X NDAC Non-Seed Device Seed Device 802.1X NDAC Supplicant 802.1X NDAC ISE ISE Seed Device Authenticator 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 12
  • Конфиденциальность и целостность Authenticated Encrypted DST SRC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC 0x88e5 MISEec EtherType TCI/AN SL CMD EtherType Version Length Packet Number SCI (optional) SGT Opt Type SGT Value Защита от MitM-аттак Шифрование по стандарту AES-GCM (AES-128) Шифрование/Дешифрование на каждом устройстве Проверка целостности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 13 Other CMD Options
  • Конфиденциальность и целостность Дешифрование 01101001010001001 Шифрование «Чистый» трафик 01101001010001001 ASIC 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 14
  • SGT eXchange Protocol (SXP) • SXP нужен для передачи IP-SGT таблицы между «старыми» и «новыми» устройствами • SXP-таблица передается через TCP:64999 • SXP – протокол миграции на CTS-устройства • • Позволяет внедрять CTS без необходимости менять железо во всей сети Модель использования – классификация на доступе, применение политик на CTSустройстве • Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500, Wireless LAN Controller, ISRG2 и ASR1K • Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000, ASA 9.0 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 15
  • SGT eXchange Protocol (SXP) SGT = Developer (100) SG-ACL/SGT SG-FW SXP-capable only SXP Production Svr (SGT=4) SXP Developer SGT = 100 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Dev Server (SGT=10) SG-ACL 16
  • TrustSec в КСПД (План) SGACL WLC MACSec Finance Catalyst ASR 1000 ISR G2 Филиал ISE SGT L2 Frame Nexus 5500 GET-VPN IPSec-VPN DM-VPN Catalyst 6500 Nexus 7000 Data Center Sales Flex-VPN Admin План по функциям • Поддержка фреймов SGT на ISR G2 (кроме ISR800) • Поддержка тегов между ISR G2 и ASR на DMVPN, IPSec, FlexVPN • На ASR 1000 доступно сейчас • Для GETVPN доступно сейчас 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 17
  • Внедрение Режим мониторинга  оценка готовности хостов к внедрению 802.1x/CTS  интерфейс в режиме открытой аутентификации  логирование информации Режим малого воздействия  При успешной аутентификации – полный доступ  При неуспешной аутентификации – частичный доступ (ACL)  DHCP+DNS+Internet Закрытый режим  нет успешной аутентификации – нет трафика 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 18
  • Режим мониторинга + защита ЦОД Применение политики  Security Group FW Rule  Security Group ACL TrustSec SXP WLC ЛВС Пользователи Catalyst 2960S3K/4K/6K Cat6k Sup2T Nexus 7k Monitor Mode ISE 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 19
  • Внедрение • “Красная черта” – изменение поведение пользователя - Двухфакторная аутентификация Переназначение VLAN Сетевые диски Failed auth/No response – реакция сети? Добавление машин в домен • Рекомендации 13.01.2014 PEAP Проводной доступ - машинная аутентификация Беспроводной доступ - пользовательская аутентификация (+ профили) Неуправляемые корпоративные устройства – MAB или ACL на VLAN © 2013 Cisco and/or its affiliates. All rights reserved. 20
  • TrustSec 2.1 Guides 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 21
  • Cisco TrustSec • Криптостойкая идентификация • Фильтрация на основе группы безопасности, метки • Защита среды передачи • Подключение в любой точке -> соблюдение политик • Оценка состояния (антивирус, патчи) • Реализация матрицы доступа 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 22
  • Ссылки - Стартовая страница TrustSec http://www.cisco.com/go/trustsec - TrustSec Design Guide (текущая версия 2.1) http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design Zone_TrustSec.html - “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств”. День 2. - “Безопасность в центрах обработки данных”. День 3. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 23
  • Спасибо! Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Алексей Спирин, alspirin@cisco.com Системный архитектор, CISCO SYSTEMS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.