Новые возможности Cisco ISE 1.2 для
защиты корпоративной сети и мобильных
устройств.
Практический опыт.
Владимир Илибман
М...
Тема презентации
На примере одной организации рассмотрим:
• Как эволюционируют требования к управлению
доступом в сеть и а...
Что же такое TrustSec ?
Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NAC”...
Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация

802.1X, Веб-Аутентификация, MAC-...
Контроль доступа TrustSec
Основные компоненты
Идентификация и
управление
сервисами доступа
Применение
политик

Клиент

Ide...
И так начинаем наше знакомство…
Компания Гудвей-X
Бизнес-кейс
Компания Гудвей-X  Ритейлер,
 Банк,
 Промышленный холдинг,
 Агрохолдинг,
 Страховая ком...
В компании Гудвей-X назрела проблема
Бизнес-кейс
Внешний аудит показал, что в компании не существует
контролей для огранич...
Настройка по-умолчанию с 802.1X
До аутентификации

 Нет видимости (пока)
 Жесткий контроль доступа

One Physical Port ->...
Настройка по-умолчанию с 802.1X
После аутентификации

 Пользователь/Устройство известны
 Доступ только для MAC-адреса
ус...
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я протестировал
дома конфигурацию,
все выглядит
отличн...
Чего не хватало Айку?
Какие уроки мы извлекли?
Некорректно внедренный 802.1x – это система контроля
предотвращения доступа...
Режим мониторинга
Процесс, не просто режим.
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутент...
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевы...
Чего не хватало Айку?
Какие уроки мы извлекли?

Отсутствие отчетности со стороны сапликанта
 Когда все в порядке – пользо...
Чего не хватало Айку?
Какие уроки мы извлекли?
Отсутствие видимости на Radius сервере - ACS 4.x
Чего не хватало Айку?
Какие уроки мы извлекли
Решение: ACS VIEW  Identity Services Engine (ISE)

17
Чего не хватало Айку? -

Детализация удачных и неудачных попыток доступа в Cisco ISE

18
Чего нам не хватало?

Детальный вид активных сессий и наложенных политик в Cisco ISE

19
Чего не хватало Айку?
Какие уроки мы извлекли?
Айк забыл об устройствах без поддержки 802.1x
 Принтеры, IP Телефоны, Каме...
Бизнес кейс продолжает изменяться
Требования:
1. Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х получ...
Решение есть !!!

Профилирование
Профилирование
Видимость

PCs

Non-PCs
UPS Phone Printer AP

Идентификация типа устройств и добавление их в список MAB.
Пр...
Технология профилирования
Как мы классифицируем устройство?

Профилирование на ISE использует аналоги сигнатуры

Запросы, ...
Политики профилирования

Is the MAC
Address from
Apple
DHCP:hostname
CONTAINS iPad

Profile Library

•
•

Я вполне
уверен ...
Распределенный сбор данных с
централизованным анализом
Сенсор устройств

• Профилирование, основанное на CDP/LLDP, DHCP, H...
Эволюция бизнес-кейса
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!
Зак:
“Гости подключаются в WiFi ...
Требования гостевых пользователей

WLC

Wireless
APs

LAN

Internet

Айк хочет унифицировать подключения
гостей и контракт...
Cisco ISE
Компоненты полного жизненного цикла гостя

Guests

Предоставление: Гостевые
аккаунты по средствам
спонсорского п...
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
Гостевые роли и
ат...
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Пол...
Полный аудит гостевого жизненного цикла
Эволюция бизнес кейса:
B.Y.O.D.

“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему досту...
Требования к BYOD
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям

Айк (IT):
• Как поддержив...
Что предлагает ISE для управления
персональными устройствами
Занесение устройств в
“черный” при хищении,
увольнении

Безоп...
Для сотрудника все просто…
Подключил в гостевую сеть и ввел доменный логин и пароль
… Прошел регистрацию
… получил конфигурацию и сертификаты
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT
гибкие настройки кому и и какие устройства можно подключать
OS

User

Supplicant
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть...
Позиционирование ISE и MDM
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE)
Контроль
использования
сетевых ресурсов
Классификация/
Профилировани...
ISE 1.2 поддерживает интеграцию c MDM

MDM
Manager

ISE

Регистрация устройств при включении в сеть –
незарегистрированные...
MDM –источник информации для ISE
MDM проверка соответствия
Соответствие на основании:


General Compliant or ! Compliant ...
Инициация действий через MDM
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM се...
Эволюция бизнес кейса:
Метки безопасности
После модернизации сети поменялись IP-адреса. Можно как
строить политику безопас...
Применение SGT и SGACL
Security
Group
Tag

1. Когда пользователь/устройство заходит в сеть ему назначается
метка безопасно...
Передача меток по сети
For Your
Reference
SXP IP Address 10.1.204.126 = SGT 5

ISE
RADIUS (Access Request)

EAPOL (dot1x)
...
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA

Source Tags

Destinat...
Identity-Firewall на коммутаторах

50
Переходим к реальному кейсу
Создаем систему из всех этих технологий
13.01.2014

© 2013 Cisco and/or its affiliates. All ri...
TrustSec собирает все воедино
TrustSec

SGT
Профилирование

MacSec

BYOD
NAC

MDM
Что же такое Identity Services Engine?

ISE это больше чем просто RADIUS

ISE
Что же такое Identity Services Engine?

ISE это больше

ISE

- чем просто RADIUS
Вопросы?

Канал Cisco Russia & CIS на Youtube

Канал TrustSec на Cisco.com

http://www.youtube.com/playlist?list=PL59B700E...
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name
Phone
E-mail
13.01.2014

© 2013 Cisc...
Upcoming SlideShare
Loading in …5
×

Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт.

1,347 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,347
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
28
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт.

  1. 1. Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт. Владимир Илибман Менеджер по продуктам безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  2. 2. Тема презентации На примере одной организации рассмотрим: • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
  3. 3. Что же такое TrustSec ? Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC” TrustSec это системный подход к контролю доступа, который объединяет:  IEEE 802.1X (Dot1x)  Технологии профилирования  Гостевые сервисы  Метки безопасности (Secure Group )  Канальное шифрование MACSec (802.1AE)  Network Admission Control
  4. 4. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация 802.1X, Веб-Аутентификация, MAC-адреса, Профилирование Авторизация и Контроль доступа VLAN DACL Security Group Access Identity Firewall Целостность данных и конфиденциальность MACSec (802.1AE) “Кто” и “Что” находится в моей сети? “Куда” cмогут иметь доступ пользователи/уст ройства? Защищены ли сетевые коммуникации?
  5. 5. Контроль доступа TrustSec Основные компоненты Идентификация и управление сервисами доступа Применение политик Клиент Identity Services Engine (ISE) Коммутаторы WiFI AnyConnect или встроенный в ОС клиент 802.1x Маршрутизаторы NAC агент Межсетевые экраны Web-агент или браузер
  6. 6. И так начинаем наше знакомство…
  7. 7. Компания Гудвей-X Бизнес-кейс Компания Гудвей-X  Ритейлер,  Банк,  Промышленный холдинг,  Агрохолдинг,  Страховая компания. Зак – Менеджер по информационной безопасности Айк – IT-менеджер отвечает за работу сети
  8. 8. В компании Гудвей-X назрела проблема Бизнес-кейс Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри. Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Описание задач для Айка: 1. Необходимо журналировать подключения в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств. Решение: Система контроля доступа 802.1X
  9. 9. Настройка по-умолчанию с 802.1X До аутентификации  Нет видимости (пока)  Жесткий контроль доступа One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) ? ? USER Весь трафик кроме служебного 802.1x блокируется !
  10. 10. Настройка по-умолчанию с 802.1X После аутентификации  Пользователь/Устройство известны  Доступ только для MAC-адреса устройства прошедшего аутентификацию Выглядит также как и без 802.1X ? Пользователь: Маша Authenticated Machine: XP-Mary-45 “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк.
  11. 11. Что случилось дальше ? @ Гудвей-X, ДО появления режима мониторинга… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x в продакшн… Айк Включает 802.1X Я не могу соединиться с сетью. Она говорит что Аутентификация не пройдена и я не знаю что делать, через два часа у меня презентация… Звонки в службу поддержки увеличились на 120%
  12. 12. Чего не хватало Айку? Какие уроки мы извлекли? Некорректно внедренный 802.1x – это система контроля предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений — Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля. Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Enforcement Mode (Принудительный режим 802.1x)
  13. 13. Режим мониторинга Процесс, не просто режим. • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать Pre-AuthC пользователей/устройства - Задача №1 Post-AuthC SWITCHPORT P DH C TFTP D HC P HT T 5 KRB E AP o SWITCHPORT L P TFTP P HT T 5 KRB Permit All EA P o Traffic always allowed L Permit All
  14. 14. Принудительный режим Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности Pre-AuthC Post-AuthC SWITCHPORT P DHC KRB P DHC TFTP P HTT 5 E APo SWITCHPORT L TFTP Permit Some E AP o SGT P HTT 5 KRB L Role-Based ACL
  15. 15. Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние супликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для репортинга (DART) — Детализированные логи с клиентской стороны 15
  16. 16. Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие видимости на Radius сервере - ACS 4.x
  17. 17. Чего не хватало Айку? Какие уроки мы извлекли Решение: ACS VIEW  Identity Services Engine (ISE) 17
  18. 18. Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 18
  19. 19. Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE 19
  20. 20. Чего не хватало Айку? Какие уроки мы извлекли? Айк забыл об устройствах без поддержки 802.1x  Принтеры, IP Телефоны, Камеры, СКУД  Решение? Не использовать 802.1х на портах с принтерами  Ну а что если устройство переедет ?  Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
  21. 21. Бизнес кейс продолжает изменяться Требования: 1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети.  Решения: Идентификация с помощью 802.1X 2. Устройства без поддержки 802.1x должны иметь доступ к сети.  Решение: Централизованный MAB Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка MAB устройств!
  22. 22. Решение есть !!! Профилирование
  23. 23. Профилирование Видимость PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
  24. 24. Технология профилирования Как мы классифицируем устройство? Профилирование на ISE использует аналоги сигнатуры Запросы, используемые для сбора данных HTTP SNMP Query SNMP Trap DHCPSPAN DHCP RADIUS DNS NMAP NetFlow 24
  25. 25. Политики профилирования Is the MAC Address from Apple DHCP:hostname CONTAINS iPad Profile Library • • Я вполне уверен что устройство iPAD IP:User-Agent CONTAINS iPad Назначить MAC Address к группе “iPad” Политики профиля используют условия для определения устройства. Политики основаны на принципе наилучшего совпадения
  26. 26. Распределенный сбор данных с централизованным анализом Сенсор устройств • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS • Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi • Не зависит от топологии • • • • • • ISE Поддержка сенсора 2960-X, 2960-XR 3560/3750 3560C/CG 3850* 4500 Wireless Controllers • * roadmap CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP Device Sensor Distributed Probes 26
  27. 27. Эволюция бизнес-кейса Нужно упорядочить и автоматизировать процесс гостевого подключения! Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк “Для каждого контрактника в ручную выделяется порт на коммутаторе”
  28. 28. Требования гостевых пользователей WLC Wireless APs LAN Internet Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
  29. 29. Cisco ISE Компоненты полного жизненного цикла гостя Guests Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Аутентификация/Авторизация Посредством веб-портала ISE Отчетность: По всем аспектам гостевых учетных записей
  30. 30. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные Гостевые роли и атрибутов профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
  31. 31. Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
  32. 32. Полный аудит гостевого жизненного цикла
  33. 33. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует чтобы мы разрешили ему доступ в сеть потому как это устройство помогает ему в работе”
  34. 34. Требования к BYOD Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям Айк (IT): • Как поддерживать увеличенное кол-во устройств ? • Кто будет настраивать ? • Кто будет согласовывать с безопасностью ? Зак (Безопасность) • Как ограничить, кто из сотрудников имеет право на BYOD ? • Как защититься в случае потери или увольнения Как избежать утечки ?
  35. 35. Что предлагает ISE для управления персональными устройствами Занесение устройств в “черный” при хищении, увольнении Безопасность на основе cертификата привязанного к Employee-ID & Device-IDSE Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Поддержка всех сетевых подключений Самообслуживание персональных устройств для авторизированных сотрудников
  36. 36. Для сотрудника все просто… Подключил в гостевую сеть и ввел доменный логин и пароль
  37. 37. … Прошел регистрацию
  38. 38. … получил конфигурацию и сертификаты
  39. 39. Можно управлять “Моими устройствами”
  40. 40. Для администраторов безопасности и IT гибкие настройки кому и и какие устройства можно подключать OS User Supplicant
  41. 41. Эволюция бизнес кейса: Mobile Device Management Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк
  42. 42. Позиционирование ISE и MDM СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) Контроль использования сетевых ресурсов Классификация/ Профилирование User <-> Device Ownership Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Регистрация Распространение корпоративного ПО Управление (Backup, Remote Wipe, etc.) Соответствие политике Настройка (Jailbreak, Pin Lock, etc.) профилей Шифрование безопасности данных устройства Инвентаризация Управление затратами Пользователь управляет устройством IT управляет доступом в сеть Пользователи и IT совместно управляют устройством и доступом
  43. 43. ISE 1.2 поддерживает интеграцию c MDM MDM Manager ISE Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
  44. 44. MDM –источник информации для ISE MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Macro level Jailbreak устройства Micro level MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
  45. 45. Инициация действий через MDM Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • • • • • • • Options Edit Reinstate Lost? Delete Full Wipe Corporate Wipe PIN Lock 45
  46. 46. Эволюция бизнес кейса: Метки безопасности После модернизации сети поменялись IP-адреса. Можно как строить политику безопасности без привязки к сетевым адресам и VLAN? Айк Можно ли использовать информацию от ISE для построения политик безопасности на файерволах ? Зак
  47. 47. Применение SGT и SGACL Security Group Tag 1. Когда пользователь/устройство заходит в сеть ему назначается метка безопасности (SGT), которая обозначает его роль 2. Эта метка переносится по всей сети 3. Коммутаторы и межсетевые экраны применяют политику по меткам Security Group Access List SGACL SG Public Private Staff Преимущества: SGT Permit Permit Guest Permit Deny  Гибкие политики независимы от топологии и IP-адресации  Метки основаны на роли пользователя и состоянии/типе устройства  Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
  48. 48. Передача меток по сети For Your Reference SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC Finance Finance ✓ Finance HR 10.1.200.254 Nexus 7000 Agg VDC HR Server #1 10.1.200.50 ASA VSG Finance Server #1 10.1.200.100
  49. 49. Identity-Based Firewall следующего поколения Контроль доступа на основе группы безопасности для ASA Source Tags Destination Tags 49
  50. 50. Identity-Firewall на коммутаторах 50
  51. 51. Переходим к реальному кейсу Создаем систему из всех этих технологий 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 51
  52. 52. TrustSec собирает все воедино TrustSec SGT Профилирование MacSec BYOD NAC MDM
  53. 53. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
  54. 54. Что же такое Identity Services Engine? ISE это больше ISE - чем просто RADIUS
  55. 55. Вопросы? Канал Cisco Russia & CIS на Youtube Канал TrustSec на Cisco.com http://www.youtube.com/playlist?list=PL59B700EF3A2A945E www.cisco.com/go/trustsec
  56. 56. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Name Phone E-mail 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

×