0
Управление доступом к внутренним
ресурсам для внешних и внутренних
пользователей
Владимир Илибман
Менеджер по продуктам бе...
О чем пойдет речь
Потребность в управлении доступом
Архитектура безопасного доступа
Контролируем доступ в сеть для ПК
Сете...
Эволюция доступа
Эпоха сетей без границ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотру...
Что такое управление доступом ?
Кто вы?
802.1X (или другие методы)
аутентифицируют пользователя
1 Защита от
посторонних
Ку...
Архитектура безопасного доступа Cisco TrustSec
Коммутаторы
Межсетевые
экраны
Identity Services Engine (ISE)
AnyConnect или...
Как работает управление доступом ?
Identity Services Engine
Сетевая
инфраструктураКлиенты
5. Передача
политики доступа
по ...
На практике существует множество сценариев
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7
• Как эво...
Обобщенный образ : Гудвей-X
 Банк,
 Ритейлер,
 Промышленный холдинг,
 Агрохолдинг,
 Страховая компания,
 Оператор св...
В компании Гудвей-X назрела проблема
 Внешний аудит показал, что в компании не существует
контролей для ограничения досту...
Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two ...
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
...
Что случилось дальше ?
@ Гудвей-X, ДО появления 802.1x…
Я не могу
соединиться с сетью.
Она говорит
“Аутентификация не
прой...
Чего не хватало Айку?
Некорректно внедренный 802.1x – это
система управления предотвращения доступа
 Необходим режим мони...
Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTPDHCP
EAPoL
Permit All
SWITCHPORT
KRB5 HTTP
TFTPDHCP
E...
Режим малого воздейтствия
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым с...
Отсутствие отчетности со стороны сапликанта
 Когда все в порядке – пользователь не в курсе.
 Но когда все перестает рабо...
Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
Чего не хватало Айку?
Решение: Identity Services Engine (ISE)
Какие уроки мы извлекли
18
Чего не хватало Айку? -
Детализация удачных и неудачных попыток доступа в Cisco ISE
19
Чего не хватало Айку?
Детальный вид активных сессий и наложенных политик в Cisco ISE
Чего не хватало Айку?
Неаутентифицируемые устройства
 Вот о каких устройствах мы забыли
 У них нет поддержки 802.1x
— Ли...
MAC Authentication Bypass (MAB)
Список MAC адресов, которым разрешено “пропускать”
аутентификацию
Это замена Dot1X?
 Ни з...
Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на сво...
Решение есть - Профилирование
PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
...
Технология профилирования
Профилирование на ISE использует анализ поведения и сигнатуры
Запросы, используемые для сбора да...
Детектирование и классификация устройств
26
ISE Policy Server
VPN
Cisco Prime
ISE пассивно и активно собирает данные служе...
Примеры профилей
• Политики профиля используют условия для определения устройства.
• Политики основаны на принципе наилучш...
Сенсор устройств
Распределенный сбор данных с централизованным анализом
28
• Профилирование, основанное на CDP/LLDP, DHCP,...
ISE 1.2
Сервис обновление профилей Feed Service
Пополняем библиотеку профилей из разных источников:
• Cisco
• Вендора
• Па...
Нужно понять насколько
устройства соответствуют
политике безопасности
Эволюция бизнес-кейса
Мы имеем идентификацию и профи...
Бизнес кейс продолжает эволюцию
Требования:
1. Сотрудники Гудвей-X должны использовать корпоративные рабочие
станции.
2. В...
Оценка состояния
Состояние (Posture) = статус соответствия политике безопасности
компании.
 Пропатчена ли Windows ОС до н...
• Microsoft Updates
• Service Packs
• Hotfixes
• OS/Версия браузера
ISE – Проверка состояния
• Antivirus
Установка / Сигна...
Проверка состояния
Исправление (Remediation)
 Действие по исправлению недостающих или просроченных
компонент состояния.
...
RADIUS Change of Authorization (CoA)
Quarantine
VLAN CORP
VLAN
1 Клиент провалил проверку состояния и
был помещен в карант...
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк:
“Для каждого контрактника в...
Wireless
APs
LAN
Internet
Требования гостевых пользователей
WLC
Айк хочет унифицировать подключения
гостей и контрактников...
Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
...
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные атрибутов
Гостевые...
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Пол...
ISE Template Builder
Инструмент для создания кастомизированных порталов
ISE 1.2
Полный аудит сетевой активности гостей
42
ISE Policy Server
VPN Журналирование на межсетевом
экране активности и отправка
...
Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует, чтобы мы разрешили
ему досту...
Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто из
сотрудников имеет
право на BYOD ?
•Как защититься в
случае по...
Что предлагает ISE для управления
персональными устройствами
Автоматическая настройка
множества типов устройств:
̶ iOS (po...
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT
Гибкие настройки - кому и и какие устройства можно подключать
UserOS Supplicant
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить...
Распространение
корпоративного ПО
Инвентаризация
Управление
(Backup, Remote
Wipe, etc.)
Контроль
использования
сетевых рес...
ISE 1.2 поддерживает интеграцию c MDM ISEMDM
Manager
Регистрация устройств при включении в сеть –
незарегистрированные кли...
MDM проверка соответствия
Соответствие на основании:
 General Compliant or ! Compliant status
— OR
 Вкл. Шифрование диск...
Инициация действий через MDM
52
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM...
Добавим мощи в Dot1X
Айк: -“При изменение IP-серверов нужно менять
ACL”
Зак: -“Для создания моей политики моей мечты
нужно...
Сложности внедрения авторизации
При использовании политик по VLAN, IP-адресам
54
• Могу ли я создавать и управлять новыми ...
Secure Group Access
Понятие включает и описывает термины:
 Secure Group TAG (SGT’s)
 Secure Group ACL’s (SGACL’s)
 Когд...
Контроль доступа на основе группы безопасности
SGA позволяет пользователям:
 Сохранить исходный логический дизайн на уров...
DC Access
WLC FW
Inline SGT Tagging
CMD Field
ASIC ASIC
Optionally Encrypted
SXP
SRC: 10.1.100.98
IP Address SGT SRC
10.1....
Распространение меток и политик безопасности
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
...
SGACL политика ISE для свичей
59
Контроль доступа на основе группы
безопасности для фаерволов ( Cisco ASA)
60
Source Tags
Destination
Tags
Сценарий 1:
Управление доступом пользователей в ЦОД
Users/
Devices
Switch Router DC FW DC Switch
Development
Servers
Enfor...
Сценарий 2:
Сегментация кампусной и филиальной сети
Switch Router DC FW DC Switch
Development
Servers
Enforcement
Producti...
Сценарий 3:
Сегментация центра обработки данных
Users/
Devices
Switch Router DC FW DC Switch
Development
Servers
Enforceme...
Эволюция бизнес кейса:
Как еще я могу использовать ISE ?
Можно ли использовать информацию от ISE в
системе SIEM, которую м...
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Экосистема Cisco ISE и SIEM/ CTD
• Обогащае...
Platform eXchange Grid (pxGrid)
Обмен контекстом безопасности между устройствами
67
p
Эволюция бизнес кейса:
Модели и дизайны для
внедрения ISE
Устройства ISE
Cisco Secure Network Servers
На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x
SNS-341...
Узлы и роли ISE
Роли – одна или
несколько:
• Администрирование
(Admin)
• Мониторинг (MnT)
• Сервис политик
(PSN)
Единый IS...
Архитектура ISE
Устройства Ресурсы
Применение
политики
Админ
Внешние
данные
Сервис
политикПросмотр/
Настройка
Политик
Запр...
Campus
A
Branch A Branch B
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
Admin (P)
MnT (P)
...
Data
Center A
DC B
Branch A Branch B
AP
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
8...
Data
Center A
DC B
Branch A
Branch B
AP
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
8...
Поэтапная стратегия внедрения ISE
• Сфера внедрения: Лаба > Пилот > Промышленное внедрение
• Режимы внедрения : Monitor > ...
Архитектура управления доступом TrustSec
www.cisco.com/go/trustsec
SXP
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Cata...
TrustSec Design bHow-To Guides
Secure Access Blueprints
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landi...
Подведем итоги
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
Что же такое Identity Services Engine?
ISE это больше - чем просто RADIUS
ISE
Building an Identity-Based Network Architecture
Ad-Hoc Couplings Versus Systems Approach
83
VS
Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cis...
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Спасибо
Contacts:
Name
Phone +380
E-mail voilibma@cisc...
Upcoming SlideShare
Loading in...5
×

Управление доступом к внутренним ресурсам для внешних и внутренних пользователей

663

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
663
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Управление доступом к внутренним ресурсам для внешних и внутренних пользователей"

  1. 1. Управление доступом к внутренним ресурсам для внешних и внутренних пользователей Владимир Илибман Менеджер по продуктам безопасности CISSP, CCSP 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  2. 2. О чем пойдет речь Потребность в управлении доступом Архитектура безопасного доступа Контролируем доступ в сеть для ПК Сетевые устройства Управляем гостевым доступом Управляем мобильными устройствами Метки безопасности 2
  3. 3. Эволюция доступа Эпоха сетей без границ Кампусная сеть ЦОД. Внутренние ресурсы Филиал Интернет Сотрудники (Продавцы) Сотрудники (Продавцы) VPN Сотрудники (Финансы) КонтрактникиГостиIP камера Телеработа VPN VPN Мобильные сотрудники Сотрудники с WiFI- устройствами Системы безопасности Принтеры (Бухгалтерия) POS- терминалы
  4. 4. Что такое управление доступом ? Кто вы? 802.1X (или другие методы) аутентифицируют пользователя 1 Защита от посторонних Куда можно ходить? Основываясь на аутентификации пользователь помещается в VLAN 2 Разграничение внутреннего доступа Какой тип сервиса получаете? Пользователь получает персональные сервисы (ACL и т.д.) 3 Привязка к IT- сервисам Что вы делаете? Идентификация пользователя и локация используется для логирования и трекинга 4 Видимость происходящего
  5. 5. Архитектура безопасного доступа Cisco TrustSec Коммутаторы Межсетевые экраны Identity Services Engine (ISE) AnyConnect или встроенный в ОС клиент 802.1x Клиенты Применение политик доступа Идентификация и управление политиками доступа WiFI Маршрутизаторы ISE – ключевой управляющий элемент архитектуры Веб-браузер Мобильные устройства IP-устройства
  6. 6. Как работает управление доступом ? Identity Services Engine Сетевая инфраструктураКлиенты 5. Передача политики доступа по протоколу Radius (ACL,VLAN, SGT) 2. Передача идентификационных атрибутов по протоколам: Radius, 802.1x, MAC, Web… 1. Подключение в сеть 4. Авторизация 3. Идентификация/ Аутентификация В теории все просто 6. Учет доступа
  7. 7. На практике существует множество сценариев 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7 • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации На примере одной организации рассмотрим:
  8. 8. Обобщенный образ : Гудвей-X  Банк,  Ритейлер,  Промышленный холдинг,  Агрохолдинг,  Страховая компания,  Оператор связи. Айк – IT-менеджер отвечает за работу сети Зак – Менеджер по информационной безопасности Компания Гудвей-X -
  9. 9. В компании Гудвей-X назрела проблема  Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри.  Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Бизнес-кейс Решение: Система контроля доступа 802.1X Описание задач для Айка: 1. Необходимо проводить учет подключений в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
  10. 10. Нет видимости (пока) Жесткий контроль доступа Весь трафик кроме служебного 802.1x блокируется ! One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) До аутентификации ? USER ? Закрытый режим 802.1X
  11. 11. Пользователь/Устройство известны Доступ только для MAC-адреса устройства прошедшего аутентификацию После аутентификации Выглядит также как и без 802.1X Пользователь: Маша “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Authenticated Machine: XP-Mary-45 Закрытый режим 802.1X
  12. 12. Что случилось дальше ? @ Гудвей-X, ДО появления 802.1x… Я не могу соединиться с сетью. Она говорит “Аутентификация не пройдена” и я не знаю что делать, через два часа у меня презентация… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x … Включает 802.1X Звонки в поддержку увеличились на 200% Айк
  13. 13. Чего не хватало Айку? Некорректно внедренный 802.1x – это система управления предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений  Управление доступом лучше внедрять поэтапно Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Low Enforcement Mode (Режим малого воздействия 802.1x) Какие уроки мы извлекли?
  14. 14. Режим мониторинга Процесс, не просто режим. SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All Traffic always allowed Pre-AuthC Post-AuthC • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 для Гудвей-X
  15. 15. Режим малого воздейтствия Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, Интернет, внутренний портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Role-Based ACL Permit Some Pre-AuthC Post-AuthC SGT
  16. 16. Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние сапликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для отчетов (DART) — Детализированные журналы с клиентской стороны 16 Чего не хватало Айку? Какие уроки мы извлекли?
  17. 17. Чего не хватало Айку? Отсутствие видимости на Radius сервере - ACS 4.x Какие уроки мы извлекли?
  18. 18. Чего не хватало Айку? Решение: Identity Services Engine (ISE) Какие уроки мы извлекли 18
  19. 19. Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 19
  20. 20. Чего не хватало Айку? Детальный вид активных сессий и наложенных политик в Cisco ISE
  21. 21. Чего не хватало Айку? Неаутентифицируемые устройства  Вот о каких устройствах мы забыли  У них нет поддержки 802.1x — Либо он на них не настроен — Принтеры, IP Телефоны, Камеры, СКУД  Как же с этим быть? Решение? Не использовать 802.1х на портах с принтерами Решение: MAC Authentication Bypass (MAB) Какие уроки мы извлекли? -------------------------------------------------------------------------------------- -
  22. 22. MAC Authentication Bypass (MAB) Список MAC адресов, которым разрешено “пропускать” аутентификацию Это замена Dot1X?  Ни за что! Это скорее всего “Исключения из правил”  В идеале: Все устройства аутентифицированы. Список может быть локальным (на коммутаторах) или централизованным на Radius-сервере ( Cisco ISE) Можете подумать о преимуществах централизованной модели? Что же это?
  23. 23. Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка устройств! Эволюция бизнес-кейса
  24. 24. Решение есть - Профилирование PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
  25. 25. Технология профилирования Профилирование на ISE использует анализ поведения и сигнатуры Запросы, используемые для сбора данных Как мы классифицируем устройство? 25 RADIUS DHCP DNS HTTP SNMP Query NetFlow DHCPSPANSNMP Trap NMAP
  26. 26. Детектирование и классификация устройств 26 ISE Policy Server VPN Cisco Prime ISE пассивно и активно собирает данные служебных протоколов об устройствах CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS HTTP/DHCP/RADIUS SNMP DNS NMAP/SNMP NMAP DHCP/NetFlow
  27. 27. Примеры профилей • Политики профиля используют условия для определения устройства. • Политики основаны на принципе наилучшего совпадения Is the MAC Address from Apple DHCP:host- name CONTAINS iPad IP:User-Agent CONTAINS iPad Profile Library Назначить MAC Address к группе “iPad” Я вполне уверен что устройство iPAD
  28. 28. Сенсор устройств Распределенный сбор данных с централизованным анализом 28 • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k только) • Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones) • Не зависит от топологии Поддержка сенсоров • 3560/3750 (excludes LAN Base) • 3560C/CG (excludes LAN Base) • 4500 (excludes LAN Base) • 2960-XR • 2960-X (in roadmap) • Wireless Controllers (DHCP, HTTP) Check Release Notes! Распределенный сенсор ISE CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP Уникальность сети
  29. 29. ISE 1.2 Сервис обновление профилей Feed Service Пополняем библиотеку профилей из разных источников: • Cisco • Вендора • Партнёры
  30. 30. Нужно понять насколько устройства соответствуют политике безопасности Эволюция бизнес-кейса Мы имеем идентификацию и профилирование устройства… Можно ли получить еще информации о состоянии ?
  31. 31. Бизнес кейс продолжает эволюцию Требования: 1. Сотрудники Гудвей-X должны использовать корпоративные рабочие станции. 2. Все корпоративные станции должны иметь обновленный и работающий Trend Micro Anti-Virus. 3. Все контрактники должны иметь установленный любой антивирус.  Решение: Давайте выясним
  32. 32. Оценка состояния Состояние (Posture) = статус соответствия политике безопасности компании.  Пропатчена ли Windows ОС до необходимого уровня?  Установлен ли Антивирус? А базы обновлены?  Анти шпионское ПО установлено? Обновлены ли его базы? Теперь мы можем расширить Идентификацию пользователя включив его статус (Posture). Удовлетворяет ли станция политике безопасности? *выход Q2 CY14 Posture AnyConnect 3.2* Агенты для проверки статуса: АплетыNAC Agent
  33. 33. • Microsoft Updates • Service Packs • Hotfixes • OS/Версия браузера ISE – Проверка состояния • Antivirus Установка / Сигнатуры • Antispyware Установка / Сигнатуры • Файловые данные Files • Сервисы • Приложения/ Процессы • Ключи реестра
  34. 34. Проверка состояния Исправление (Remediation)  Действие по исправлению недостающих или просроченных компонент состояния.  Может вызывать действия: — Системы корпоративного патчинга системы (ex: BigFix, Altiris…) — Windows Software Update Service (WSUS) — Anti-Virus product Update Services (LiveUpdate.exe, etc.) А что если пользователь не пройдет проверку? Карантин • Помещение в отдельную подсеть с ограниченными правами (например, только выход в Интернет)
  35. 35. RADIUS Change of Authorization (CoA) Quarantine VLAN CORP VLAN 1 Клиент провалил проверку состояния и был помещен в карантинный VLAN 2 Клиент исправляет недочеты и отчитывается как: Posture=Compliant 3 ISE использует RADIUS CoA для реаутентификации 4 Клиент реаутентифицирован и помещен в CORP VLAN Динамический контроль сессии с сервера политик  Реаутентификация сессии  Завершение сессии  Завершение сессии со сбросом порта  Отключение хостового порта  Запрос к сессии  на активные сервисы  на полноту идентификации  специфичные запросы  Активация сервиса  Деактивация сервиса  Запрос к сессии
  36. 36. Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк: “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения!
  37. 37. Wireless APs LAN Internet Требования гостевых пользователей WLC Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
  38. 38. Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Отчетность: По всем аспектам гостевых учетных записей Guests Cisco ISE Компоненты полного жизненного цикла гостя Аутентификация/Авторизация Посредством веб-портала ISE
  39. 39. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
  40. 40. Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
  41. 41. ISE Template Builder Инструмент для создания кастомизированных порталов ISE 1.2
  42. 42. Полный аудит сетевой активности гостей 42 ISE Policy Server VPN Журналирование на межсетевом экране активности и отправка информации на ISE для корреляции. Guest IP accessed http://www.google.com Guest IP accessed http://facebook.com Guest IP triggered network AV alert Guest IP triggered Infected endpoint event Guest IP …
  43. 43. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует, чтобы мы разрешили ему доступ в сеть, потому как это устройство помогает ему в работе”
  44. 44. Требования к BYOD Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): •Как поддерживать увеличившиеся кол-во устройств ? •Кто будет настраивать ? •Кто будет согласовывать с безопасностью ? Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям
  45. 45. Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Безопасность на основе cертификата привязанного к Employee-ID & Device-ID Поддержка всех типов подключений Занесение устройств в “черный” при хищении, увольнении Самообслуживание персональных устройств для авторизированных сотрудников
  46. 46. Можно управлять “Моими устройствами”
  47. 47. Для администраторов безопасности и IT Гибкие настройки - кому и и какие устройства можно подключать UserOS Supplicant
  48. 48. Эволюция бизнес кейса: Mobile Device Management Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак
  49. 49. Распространение корпоративного ПО Инвентаризация Управление (Backup, Remote Wipe, etc.) Контроль использования сетевых ресурсовКлассификация/ Профилирование Регистрация Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Настройка профилей безопасности устройства User <-> Device Ownership Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Позиционирование ISE и MDM Пользователи и IT совместно управляют устройством и доступом Пользователь управляет устройством IT управляет доступом в сеть Управление затратами
  50. 50. ISE 1.2 поддерживает интеграцию c MDM ISEMDM Manager Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
  51. 51. MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Jailbreak устройства MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. MDM –источник информации для ISE Micro level Macro level
  52. 52. Инициация действий через MDM 52 Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • Edit • Reinstate • Lost? • Delete • Full Wipe • Corporate Wipe • PIN Lock Options
  53. 53. Добавим мощи в Dot1X Айк: -“При изменение IP-серверов нужно менять ACL” Зак: -“Для создания моей политики моей мечты нужно 800 000 строчек ACL ?” Какие технологии есть ? VLAN, ACL или …. Механизмы авторизации
  54. 54. Сложности внедрения авторизации При использовании политик по VLAN, IP-адресам 54 • Могу ли я создавать и управлять новыми VLAN либо адресным IP пространством? • Что мне делать с DHCP при смене VLAN у пользователя? • Как управлять ACL на VLAN интерфейсе? • Кто будет управлять ACL? • А что если destination адреса изменятся? • Хватит ли у коммутатора памяти для обработки всех правил?  Традиционные средства авторизации оставляют вопросы к размышлению:  Не так гибок к изменениям, требуемых бизнесом  Проекты контроля доступа заканчиваются редизайном всей сети 802.1X/MAB/Web Auth ACL Download VLAN Assignment
  55. 55. Secure Group Access Понятие включает и описывает термины:  Secure Group TAG (SGT’s)  Secure Group ACL’s (SGACL’s)  Когда пользователь заходит в сеть ему назначается метка (TAG) (SGT), которая обозначает его роль  Эта метка переносится по всей сети Сетевые устройства и устройства безопасности применяют SGACL’s основываясь на матрице доступа: Контроль доступа - независимый от топологии и IP-адресации SGT Public Private Staff Permit Permit Guest Permit Deny
  56. 56. Контроль доступа на основе группы безопасности SGA позволяет пользователям:  Сохранить исходный логический дизайн на уровне доступа и исходую IP- адресацию  Изменять / применять политики в соответствии с требованиями сегодняшнего дня  Устанавливать политику централизованно на сервере управления Egress Enforcement SGACL SGT=100 I am an employee My group is HR HR SGT = 100 HR (SGT=100) Ingress Enforcement Finance (SGT=4) 802.1X/MAB/Web Auth 56
  57. 57. DC Access WLC FW Inline SGT Tagging CMD Field ASIC ASIC Optionally Encrypted SXP SRC: 10.1.100.98 IP Address SGT SRC 10.1.100.98 50 Local Hypervisor SW SXP IP-SGT Binding Table ASIC L2 Ethernet Frame SRC: 10.1.100.98 (No CMD)  Теггирование Ethernet-фреймов (data plane): Если устройства поддерживают SGT в железе  SXP (control plane): Обмен информации о метках между cетевыми устройствами в отдельном протоколе IP Address SGT 10.1.100.98 50 Campus Access Distribution Core DC Core EOR SXP Enterprise Backbone Распространение меток по сети 57
  58. 58. Распространение меток и политик безопасности HR Server #1 10.1.200.50 Finance Server #1 10.1.200.100 VSG ASA 10.1.200.254 10.1.204.254 6506 Finance Finance Finance HR ✓ 10.1.204.126 Nexus 7000 Agg VDC ISE SXP IP Address 10.1.204.126 = SGT 5 EAPOL (dot1x) RADIUS (Access Request) RADIUS (Access Accept, SGT = 5) SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC
  59. 59. SGACL политика ISE для свичей 59
  60. 60. Контроль доступа на основе группы безопасности для фаерволов ( Cisco ASA) 60 Source Tags Destination Tags
  61. 61. Сценарий 1: Управление доступом пользователей в ЦОД Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation Production Servers ISE Directory Classification Employee (Managed asset) Employee (Registered BYOD) Production Servers Internet Access Source Protected Assets PERMIT PERMIT DENY DENY DENY DENY DENY PERMIT PERMIT PERMIT PERMIT PERMIT Logical View Policy View Employee (Unknown BYOD) Development Servers ENG VDI System
  62. 62. Сценарий 2: Сегментация кампусной и филиальной сети Switch Router DC FW DC Switch Development Servers Enforcement Production Servers ISE DirectoryClassification LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Logical View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest
  63. 63. Сценарий 3: Сегментация центра обработки данных Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation HR Database ISE Classificatio n Production Servers Production Servers HR Database Protected Assets PERMIT DENY Storage PERMITDENY Development Servers Source DENY DENY PERMITPERMIT DENY PERMIT PERMITDENY PERMIT PERMIT PERMITPERMIT Logical View Policy View Development Servers HR Database Storage
  64. 64. Эволюция бизнес кейса: Как еще я могу использовать ISE ? Можно ли использовать информацию от ISE в системе SIEM, которую мы внедряем ? Айк
  65. 65. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65 Экосистема Cisco ISE и SIEM/ CTD • Обогащаем SIEM/ Lancope информацией о пользователях и устройствах • Обеспечиваем единое окно для реагирования • Открытый интерфейс для интеграции (PxGrid в ISE 1.3) Сеть производит карантин для пользователей и устройств SIEM ПРИМЕНЯЕТ ДЕЙСТВИЕ Пользователь, тип устройства, состояние, авторизация, местоположение ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ Преимущества ISE 1.2
  66. 66. Platform eXchange Grid (pxGrid) Обмен контекстом безопасности между устройствами 67 p
  67. 67. Эволюция бизнес кейса: Модели и дизайны для внедрения ISE
  68. 68. Устройства ISE Cisco Secure Network Servers На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x SNS-3415-K9 and SNS-3495-K9 New ISE 1.2
  69. 69. Узлы и роли ISE Роли – одна или несколько: • Администрирование (Admin) • Мониторинг (MnT) • Сервис политик (PSN) Единый ISE узел (устройство или VM) ИЛИ ISE Inline Posture ISE Policy ServiceMonitoring Admin Отдельный узел в режиме Inline для оценки состояния (только устройство)
  70. 70. Архитектура ISE Устройства Ресурсы Применение политики Админ Внешние данные Сервис политикПросмотр/ Настройка Политик Запрос атрибутов Запрос на доступ Доступ к ресурсам Журналирование Запрос/ ответ контекста доступа Мониторинг Просмотр журналов/ отчетов Журналирование Журналирование End-Point Сетевые устройства
  71. 71. Campus A Branch A Branch B APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X Admin (P) MnT (P) PSN HA Inline Posture Nodes • Все сервисы запущены на обеих нодах • Одна нода основной админ резервный M&T • Вторая нода основная мониторинг, вторичный админ • Максимум устройств зависит от платформы: • 33x5 = Max 2k endpoints • 3415 = Max 5k endpoints • 3495 = Max 10k endpoints AD/LDAP (External ID/ Attribute Store) Базовая централизованное внедрение ISE Максимальное количество end-point до 10,000 72 IPN IPN Admin (S) MnT (S) PSN PSN
  72. 72. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) MnT (P) Policy Services Cluster HA Inline Posture Nodes • Выделенные ноды управления • Pri. Admin / Sec MNT • Pri MNT / Sec Admin • Выделенные сервера политик • До 5 PSNs • Не более 10000 устройств поддерживается • 3355/3415 as Admin/MnT = Max 5k endpts • 3395/3495 as Admin/MnT = Max 10k endpts Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Базовое распределенное внедрение Максимум end-point= 10,000 / Максимум 5 ISE PSNs 73 PSN PSN PSNPSN IPN IPN Admin (S) MnT (S)
  73. 73. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) Admin (S) Monitor (P) Monitor (S) Policy Services Cluster HA Inline Posture Nodes • Выделенные узлы управления • Pri. Admin • Sec. Admin • Pri MNT • Sec Admin • Выделенные сервера политик • До 40 PSNs • Up to 100k endpoints using 3395 Admin and MnT • Up to 250k endpoints using 3495 Admin and MnT Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Полностью распределенное внедрение Максимум end-point= 250,000 / Максимум 40 ISE PSNs 74 MnTPAN PAN MnT PSN PSN PSN PSN PSNPSN IPN IPN PSN
  74. 74. Поэтапная стратегия внедрения ISE • Сфера внедрения: Лаба > Пилот > Промышленное внедрение • Режимы внедрения : Monitor > Authentication > Enforcement • Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc. Вовлекайте всех заинтересованных лиц с первого дня проекта Visibility ISE Installation NAD Configuration Profiling Monitor Classification Agentless MAB/Profiling Unmanaged WebAuth Managed 802.1X Posture Desktop OSs Enforcement Assessment Segmentation Production Availability Performance Operations
  75. 75. Архитектура управления доступом TrustSec www.cisco.com/go/trustsec SXP Nexus® 7K, 5K and 2K Switch Data Center Cisco® Catalyst® Switch Cisco ISE WiFI пользователь Кампусная сеть Проводной пользователь Cat 6K Применение политик MACsec Profiler Posture Guest Services RADIUS Применение политик Применение политик Cisco® Wireless Controller Site-to-Site VPN user WAN ISR G2 с встроенным коммутатором ASR1K SXP AnyConnect Named ACLs dVLAN dACLs / Named ACLs dVLAN SGACLs Текущая версия TrustSec 4.0 !!
  76. 76. TrustSec Design bHow-To Guides Secure Access Blueprints http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html 77
  77. 77. Подведем итоги 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
  78. 78. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
  79. 79. Что же такое Identity Services Engine? ISE это больше - чем просто RADIUS ISE
  80. 80. Building an Identity-Based Network Architecture Ad-Hoc Couplings Versus Systems Approach 83 VS
  81. 81. Вопросы? Канал Cisco Russia & CIS на Youtube http://www.youtube.com/playlist?list=PL59B700EF3A2A945E Канал TrustSec на Cisco.com www.cisco.com/go/trustsec
  82. 82. 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Спасибо Contacts: Name Phone +380 E-mail voilibma@cisco.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×