• Like
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Upcoming SlideShare
Loading in...5
×

Управление доступом к внутренним ресурсам для внешних и внутренних пользователей

  • 464 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
464
On Slideshare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
5
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Управление доступом к внутренним ресурсам для внешних и внутренних пользователей Владимир Илибман Менеджер по продуктам безопасности CISSP, CCSP 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • 2. О чем пойдет речь Потребность в управлении доступом Архитектура безопасного доступа Контролируем доступ в сеть для ПК Сетевые устройства Управляем гостевым доступом Управляем мобильными устройствами Метки безопасности 2
  • 3. Эволюция доступа Эпоха сетей без границ Кампусная сеть ЦОД. Внутренние ресурсы Филиал Интернет Сотрудники (Продавцы) Сотрудники (Продавцы) VPN Сотрудники (Финансы) КонтрактникиГостиIP камера Телеработа VPN VPN Мобильные сотрудники Сотрудники с WiFI- устройствами Системы безопасности Принтеры (Бухгалтерия) POS- терминалы
  • 4. Что такое управление доступом ? Кто вы? 802.1X (или другие методы) аутентифицируют пользователя 1 Защита от посторонних Куда можно ходить? Основываясь на аутентификации пользователь помещается в VLAN 2 Разграничение внутреннего доступа Какой тип сервиса получаете? Пользователь получает персональные сервисы (ACL и т.д.) 3 Привязка к IT- сервисам Что вы делаете? Идентификация пользователя и локация используется для логирования и трекинга 4 Видимость происходящего
  • 5. Архитектура безопасного доступа Cisco TrustSec Коммутаторы Межсетевые экраны Identity Services Engine (ISE) AnyConnect или встроенный в ОС клиент 802.1x Клиенты Применение политик доступа Идентификация и управление политиками доступа WiFI Маршрутизаторы ISE – ключевой управляющий элемент архитектуры Веб-браузер Мобильные устройства IP-устройства
  • 6. Как работает управление доступом ? Identity Services Engine Сетевая инфраструктураКлиенты 5. Передача политики доступа по протоколу Radius (ACL,VLAN, SGT) 2. Передача идентификационных атрибутов по протоколам: Radius, 802.1x, MAC, Web… 1. Подключение в сеть 4. Авторизация 3. Идентификация/ Аутентификация В теории все просто 6. Учет доступа
  • 7. На практике существует множество сценариев 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7 • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации На примере одной организации рассмотрим:
  • 8. Обобщенный образ : Гудвей-X  Банк,  Ритейлер,  Промышленный холдинг,  Агрохолдинг,  Страховая компания,  Оператор связи. Айк – IT-менеджер отвечает за работу сети Зак – Менеджер по информационной безопасности Компания Гудвей-X -
  • 9. В компании Гудвей-X назрела проблема  Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри.  Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Бизнес-кейс Решение: Система контроля доступа 802.1X Описание задач для Айка: 1. Необходимо проводить учет подключений в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
  • 10. Нет видимости (пока) Жесткий контроль доступа Весь трафик кроме служебного 802.1x блокируется ! One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) До аутентификации ? USER ? Закрытый режим 802.1X
  • 11. Пользователь/Устройство известны Доступ только для MAC-адреса устройства прошедшего аутентификацию После аутентификации Выглядит также как и без 802.1X Пользователь: Маша “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Authenticated Machine: XP-Mary-45 Закрытый режим 802.1X
  • 12. Что случилось дальше ? @ Гудвей-X, ДО появления 802.1x… Я не могу соединиться с сетью. Она говорит “Аутентификация не пройдена” и я не знаю что делать, через два часа у меня презентация… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x … Включает 802.1X Звонки в поддержку увеличились на 200% Айк
  • 13. Чего не хватало Айку? Некорректно внедренный 802.1x – это система управления предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений  Управление доступом лучше внедрять поэтапно Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Low Enforcement Mode (Режим малого воздействия 802.1x) Какие уроки мы извлекли?
  • 14. Режим мониторинга Процесс, не просто режим. SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All Traffic always allowed Pre-AuthC Post-AuthC • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 для Гудвей-X
  • 15. Режим малого воздейтствия Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, Интернет, внутренний портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Role-Based ACL Permit Some Pre-AuthC Post-AuthC SGT
  • 16. Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние сапликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для отчетов (DART) — Детализированные журналы с клиентской стороны 16 Чего не хватало Айку? Какие уроки мы извлекли?
  • 17. Чего не хватало Айку? Отсутствие видимости на Radius сервере - ACS 4.x Какие уроки мы извлекли?
  • 18. Чего не хватало Айку? Решение: Identity Services Engine (ISE) Какие уроки мы извлекли 18
  • 19. Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 19
  • 20. Чего не хватало Айку? Детальный вид активных сессий и наложенных политик в Cisco ISE
  • 21. Чего не хватало Айку? Неаутентифицируемые устройства  Вот о каких устройствах мы забыли  У них нет поддержки 802.1x — Либо он на них не настроен — Принтеры, IP Телефоны, Камеры, СКУД  Как же с этим быть? Решение? Не использовать 802.1х на портах с принтерами Решение: MAC Authentication Bypass (MAB) Какие уроки мы извлекли? -------------------------------------------------------------------------------------- -
  • 22. MAC Authentication Bypass (MAB) Список MAC адресов, которым разрешено “пропускать” аутентификацию Это замена Dot1X?  Ни за что! Это скорее всего “Исключения из правил”  В идеале: Все устройства аутентифицированы. Список может быть локальным (на коммутаторах) или централизованным на Radius-сервере ( Cisco ISE) Можете подумать о преимуществах централизованной модели? Что же это?
  • 23. Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка устройств! Эволюция бизнес-кейса
  • 24. Решение есть - Профилирование PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
  • 25. Технология профилирования Профилирование на ISE использует анализ поведения и сигнатуры Запросы, используемые для сбора данных Как мы классифицируем устройство? 25 RADIUS DHCP DNS HTTP SNMP Query NetFlow DHCPSPANSNMP Trap NMAP
  • 26. Детектирование и классификация устройств 26 ISE Policy Server VPN Cisco Prime ISE пассивно и активно собирает данные служебных протоколов об устройствах CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS HTTP/DHCP/RADIUS SNMP DNS NMAP/SNMP NMAP DHCP/NetFlow
  • 27. Примеры профилей • Политики профиля используют условия для определения устройства. • Политики основаны на принципе наилучшего совпадения Is the MAC Address from Apple DHCP:host- name CONTAINS iPad IP:User-Agent CONTAINS iPad Profile Library Назначить MAC Address к группе “iPad” Я вполне уверен что устройство iPAD
  • 28. Сенсор устройств Распределенный сбор данных с централизованным анализом 28 • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k только) • Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones) • Не зависит от топологии Поддержка сенсоров • 3560/3750 (excludes LAN Base) • 3560C/CG (excludes LAN Base) • 4500 (excludes LAN Base) • 2960-XR • 2960-X (in roadmap) • Wireless Controllers (DHCP, HTTP) Check Release Notes! Распределенный сенсор ISE CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP Уникальность сети
  • 29. ISE 1.2 Сервис обновление профилей Feed Service Пополняем библиотеку профилей из разных источников: • Cisco • Вендора • Партнёры
  • 30. Нужно понять насколько устройства соответствуют политике безопасности Эволюция бизнес-кейса Мы имеем идентификацию и профилирование устройства… Можно ли получить еще информации о состоянии ?
  • 31. Бизнес кейс продолжает эволюцию Требования: 1. Сотрудники Гудвей-X должны использовать корпоративные рабочие станции. 2. Все корпоративные станции должны иметь обновленный и работающий Trend Micro Anti-Virus. 3. Все контрактники должны иметь установленный любой антивирус.  Решение: Давайте выясним
  • 32. Оценка состояния Состояние (Posture) = статус соответствия политике безопасности компании.  Пропатчена ли Windows ОС до необходимого уровня?  Установлен ли Антивирус? А базы обновлены?  Анти шпионское ПО установлено? Обновлены ли его базы? Теперь мы можем расширить Идентификацию пользователя включив его статус (Posture). Удовлетворяет ли станция политике безопасности? *выход Q2 CY14 Posture AnyConnect 3.2* Агенты для проверки статуса: АплетыNAC Agent
  • 33. • Microsoft Updates • Service Packs • Hotfixes • OS/Версия браузера ISE – Проверка состояния • Antivirus Установка / Сигнатуры • Antispyware Установка / Сигнатуры • Файловые данные Files • Сервисы • Приложения/ Процессы • Ключи реестра
  • 34. Проверка состояния Исправление (Remediation)  Действие по исправлению недостающих или просроченных компонент состояния.  Может вызывать действия: — Системы корпоративного патчинга системы (ex: BigFix, Altiris…) — Windows Software Update Service (WSUS) — Anti-Virus product Update Services (LiveUpdate.exe, etc.) А что если пользователь не пройдет проверку? Карантин • Помещение в отдельную подсеть с ограниченными правами (например, только выход в Интернет)
  • 35. RADIUS Change of Authorization (CoA) Quarantine VLAN CORP VLAN 1 Клиент провалил проверку состояния и был помещен в карантинный VLAN 2 Клиент исправляет недочеты и отчитывается как: Posture=Compliant 3 ISE использует RADIUS CoA для реаутентификации 4 Клиент реаутентифицирован и помещен в CORP VLAN Динамический контроль сессии с сервера политик  Реаутентификация сессии  Завершение сессии  Завершение сессии со сбросом порта  Отключение хостового порта  Запрос к сессии  на активные сервисы  на полноту идентификации  специфичные запросы  Активация сервиса  Деактивация сервиса  Запрос к сессии
  • 36. Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк: “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения!
  • 37. Wireless APs LAN Internet Требования гостевых пользователей WLC Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
  • 38. Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Отчетность: По всем аспектам гостевых учетных записей Guests Cisco ISE Компоненты полного жизненного цикла гостя Аутентификация/Авторизация Посредством веб-портала ISE
  • 39. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
  • 40. Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
  • 41. ISE Template Builder Инструмент для создания кастомизированных порталов ISE 1.2
  • 42. Полный аудит сетевой активности гостей 42 ISE Policy Server VPN Журналирование на межсетевом экране активности и отправка информации на ISE для корреляции. Guest IP accessed http://www.google.com Guest IP accessed http://facebook.com Guest IP triggered network AV alert Guest IP triggered Infected endpoint event Guest IP …
  • 43. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует, чтобы мы разрешили ему доступ в сеть, потому как это устройство помогает ему в работе”
  • 44. Требования к BYOD Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): •Как поддерживать увеличившиеся кол-во устройств ? •Кто будет настраивать ? •Кто будет согласовывать с безопасностью ? Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям
  • 45. Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Безопасность на основе cертификата привязанного к Employee-ID & Device-ID Поддержка всех типов подключений Занесение устройств в “черный” при хищении, увольнении Самообслуживание персональных устройств для авторизированных сотрудников
  • 46. Можно управлять “Моими устройствами”
  • 47. Для администраторов безопасности и IT Гибкие настройки - кому и и какие устройства можно подключать UserOS Supplicant
  • 48. Эволюция бизнес кейса: Mobile Device Management Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак
  • 49. Распространение корпоративного ПО Инвентаризация Управление (Backup, Remote Wipe, etc.) Контроль использования сетевых ресурсовКлассификация/ Профилирование Регистрация Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Настройка профилей безопасности устройства User <-> Device Ownership Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Позиционирование ISE и MDM Пользователи и IT совместно управляют устройством и доступом Пользователь управляет устройством IT управляет доступом в сеть Управление затратами
  • 50. ISE 1.2 поддерживает интеграцию c MDM ISEMDM Manager Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
  • 51. MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Jailbreak устройства MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. MDM –источник информации для ISE Micro level Macro level
  • 52. Инициация действий через MDM 52 Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • Edit • Reinstate • Lost? • Delete • Full Wipe • Corporate Wipe • PIN Lock Options
  • 53. Добавим мощи в Dot1X Айк: -“При изменение IP-серверов нужно менять ACL” Зак: -“Для создания моей политики моей мечты нужно 800 000 строчек ACL ?” Какие технологии есть ? VLAN, ACL или …. Механизмы авторизации
  • 54. Сложности внедрения авторизации При использовании политик по VLAN, IP-адресам 54 • Могу ли я создавать и управлять новыми VLAN либо адресным IP пространством? • Что мне делать с DHCP при смене VLAN у пользователя? • Как управлять ACL на VLAN интерфейсе? • Кто будет управлять ACL? • А что если destination адреса изменятся? • Хватит ли у коммутатора памяти для обработки всех правил?  Традиционные средства авторизации оставляют вопросы к размышлению:  Не так гибок к изменениям, требуемых бизнесом  Проекты контроля доступа заканчиваются редизайном всей сети 802.1X/MAB/Web Auth ACL Download VLAN Assignment
  • 55. Secure Group Access Понятие включает и описывает термины:  Secure Group TAG (SGT’s)  Secure Group ACL’s (SGACL’s)  Когда пользователь заходит в сеть ему назначается метка (TAG) (SGT), которая обозначает его роль  Эта метка переносится по всей сети Сетевые устройства и устройства безопасности применяют SGACL’s основываясь на матрице доступа: Контроль доступа - независимый от топологии и IP-адресации SGT Public Private Staff Permit Permit Guest Permit Deny
  • 56. Контроль доступа на основе группы безопасности SGA позволяет пользователям:  Сохранить исходный логический дизайн на уровне доступа и исходую IP- адресацию  Изменять / применять политики в соответствии с требованиями сегодняшнего дня  Устанавливать политику централизованно на сервере управления Egress Enforcement SGACL SGT=100 I am an employee My group is HR HR SGT = 100 HR (SGT=100) Ingress Enforcement Finance (SGT=4) 802.1X/MAB/Web Auth 56
  • 57. DC Access WLC FW Inline SGT Tagging CMD Field ASIC ASIC Optionally Encrypted SXP SRC: 10.1.100.98 IP Address SGT SRC 10.1.100.98 50 Local Hypervisor SW SXP IP-SGT Binding Table ASIC L2 Ethernet Frame SRC: 10.1.100.98 (No CMD)  Теггирование Ethernet-фреймов (data plane): Если устройства поддерживают SGT в железе  SXP (control plane): Обмен информации о метках между cетевыми устройствами в отдельном протоколе IP Address SGT 10.1.100.98 50 Campus Access Distribution Core DC Core EOR SXP Enterprise Backbone Распространение меток по сети 57
  • 58. Распространение меток и политик безопасности HR Server #1 10.1.200.50 Finance Server #1 10.1.200.100 VSG ASA 10.1.200.254 10.1.204.254 6506 Finance Finance Finance HR ✓ 10.1.204.126 Nexus 7000 Agg VDC ISE SXP IP Address 10.1.204.126 = SGT 5 EAPOL (dot1x) RADIUS (Access Request) RADIUS (Access Accept, SGT = 5) SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC
  • 59. SGACL политика ISE для свичей 59
  • 60. Контроль доступа на основе группы безопасности для фаерволов ( Cisco ASA) 60 Source Tags Destination Tags
  • 61. Сценарий 1: Управление доступом пользователей в ЦОД Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation Production Servers ISE Directory Classification Employee (Managed asset) Employee (Registered BYOD) Production Servers Internet Access Source Protected Assets PERMIT PERMIT DENY DENY DENY DENY DENY PERMIT PERMIT PERMIT PERMIT PERMIT Logical View Policy View Employee (Unknown BYOD) Development Servers ENG VDI System
  • 62. Сценарий 2: Сегментация кампусной и филиальной сети Switch Router DC FW DC Switch Development Servers Enforcement Production Servers ISE DirectoryClassification LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Logical View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest
  • 63. Сценарий 3: Сегментация центра обработки данных Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation HR Database ISE Classificatio n Production Servers Production Servers HR Database Protected Assets PERMIT DENY Storage PERMITDENY Development Servers Source DENY DENY PERMITPERMIT DENY PERMIT PERMITDENY PERMIT PERMIT PERMITPERMIT Logical View Policy View Development Servers HR Database Storage
  • 64. Эволюция бизнес кейса: Как еще я могу использовать ISE ? Можно ли использовать информацию от ISE в системе SIEM, которую мы внедряем ? Айк
  • 65. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65 Экосистема Cisco ISE и SIEM/ CTD • Обогащаем SIEM/ Lancope информацией о пользователях и устройствах • Обеспечиваем единое окно для реагирования • Открытый интерфейс для интеграции (PxGrid в ISE 1.3) Сеть производит карантин для пользователей и устройств SIEM ПРИМЕНЯЕТ ДЕЙСТВИЕ Пользователь, тип устройства, состояние, авторизация, местоположение ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ Преимущества ISE 1.2
  • 66. Platform eXchange Grid (pxGrid) Обмен контекстом безопасности между устройствами 67 p
  • 67. Эволюция бизнес кейса: Модели и дизайны для внедрения ISE
  • 68. Устройства ISE Cisco Secure Network Servers На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x SNS-3415-K9 and SNS-3495-K9 New ISE 1.2
  • 69. Узлы и роли ISE Роли – одна или несколько: • Администрирование (Admin) • Мониторинг (MnT) • Сервис политик (PSN) Единый ISE узел (устройство или VM) ИЛИ ISE Inline Posture ISE Policy ServiceMonitoring Admin Отдельный узел в режиме Inline для оценки состояния (только устройство)
  • 70. Архитектура ISE Устройства Ресурсы Применение политики Админ Внешние данные Сервис политикПросмотр/ Настройка Политик Запрос атрибутов Запрос на доступ Доступ к ресурсам Журналирование Запрос/ ответ контекста доступа Мониторинг Просмотр журналов/ отчетов Журналирование Журналирование End-Point Сетевые устройства
  • 71. Campus A Branch A Branch B APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X Admin (P) MnT (P) PSN HA Inline Posture Nodes • Все сервисы запущены на обеих нодах • Одна нода основной админ резервный M&T • Вторая нода основная мониторинг, вторичный админ • Максимум устройств зависит от платформы: • 33x5 = Max 2k endpoints • 3415 = Max 5k endpoints • 3495 = Max 10k endpoints AD/LDAP (External ID/ Attribute Store) Базовая централизованное внедрение ISE Максимальное количество end-point до 10,000 72 IPN IPN Admin (S) MnT (S) PSN PSN
  • 72. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) MnT (P) Policy Services Cluster HA Inline Posture Nodes • Выделенные ноды управления • Pri. Admin / Sec MNT • Pri MNT / Sec Admin • Выделенные сервера политик • До 5 PSNs • Не более 10000 устройств поддерживается • 3355/3415 as Admin/MnT = Max 5k endpts • 3395/3495 as Admin/MnT = Max 10k endpts Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Базовое распределенное внедрение Максимум end-point= 10,000 / Максимум 5 ISE PSNs 73 PSN PSN PSNPSN IPN IPN Admin (S) MnT (S)
  • 73. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) Admin (S) Monitor (P) Monitor (S) Policy Services Cluster HA Inline Posture Nodes • Выделенные узлы управления • Pri. Admin • Sec. Admin • Pri MNT • Sec Admin • Выделенные сервера политик • До 40 PSNs • Up to 100k endpoints using 3395 Admin and MnT • Up to 250k endpoints using 3495 Admin and MnT Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Полностью распределенное внедрение Максимум end-point= 250,000 / Максимум 40 ISE PSNs 74 MnTPAN PAN MnT PSN PSN PSN PSN PSNPSN IPN IPN PSN
  • 74. Поэтапная стратегия внедрения ISE • Сфера внедрения: Лаба > Пилот > Промышленное внедрение • Режимы внедрения : Monitor > Authentication > Enforcement • Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc. Вовлекайте всех заинтересованных лиц с первого дня проекта Visibility ISE Installation NAD Configuration Profiling Monitor Classification Agentless MAB/Profiling Unmanaged WebAuth Managed 802.1X Posture Desktop OSs Enforcement Assessment Segmentation Production Availability Performance Operations
  • 75. Архитектура управления доступом TrustSec www.cisco.com/go/trustsec SXP Nexus® 7K, 5K and 2K Switch Data Center Cisco® Catalyst® Switch Cisco ISE WiFI пользователь Кампусная сеть Проводной пользователь Cat 6K Применение политик MACsec Profiler Posture Guest Services RADIUS Применение политик Применение политик Cisco® Wireless Controller Site-to-Site VPN user WAN ISR G2 с встроенным коммутатором ASR1K SXP AnyConnect Named ACLs dVLAN dACLs / Named ACLs dVLAN SGACLs Текущая версия TrustSec 4.0 !!
  • 76. TrustSec Design bHow-To Guides Secure Access Blueprints http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html 77
  • 77. Подведем итоги 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
  • 78. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
  • 79. Что же такое Identity Services Engine? ISE это больше - чем просто RADIUS ISE
  • 80. Building an Identity-Based Network Architecture Ad-Hoc Couplings Versus Systems Approach 83 VS
  • 81. Вопросы? Канал Cisco Russia & CIS на Youtube http://www.youtube.com/playlist?list=PL59B700EF3A2A945E Канал TrustSec на Cisco.com www.cisco.com/go/trustsec
  • 82. 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Спасибо Contacts: Name Phone +380 E-mail voilibma@cisco.com