Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE).

24,873 views

Published on

Published in: Technology
  • Be the first to comment

Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE).

  1. 1. Интеграция сервисовидентификации и контролядоступа. Решение Cisco IdentityServices Engine (ISE)Владимир Илибманvoilibma@cisco.com
  2. 2. Программа •  Identity Services Engine и TrustSec. •  Управление доступом с учетом контекста: –  Кто: Аутентификация –  Что: Профилирование, оценка состояния, изменение авторизации (CoA) –  Применение политик доступа –  Управление гостевым доступом •  Эксплуатация •  Дизайн и внедрение •  Направления развития
  3. 3. Identity Services EngineВступление
  4. 4. Эволюция сетевого доступаЭпоха сетей без границ Мобильные Сотрудники сотрудники (Продавцы) VPN Принтеры Телеработа (Бухгалтерия) VPN Интернет Сотрудники (Финансы) VPN СистемыСотрудники безопасности(Продавцы) Кампусная Филиал сеть ВнутренниеПринтеры ресурсы (Sales) IP камера Гости Контрактники Сотрудники с WiFI- устройствами
  5. 5. BigРаспространение мобильных устройств•  7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет выходить на рынок в ближайшие пять лет.*•  К 2015 году будет 7.400 млрд 802.11n устройств на рынке*•  1.2 миллиарда смартфонов выйдет на рынок в течение следующих пяти лет, около 40% всех поставок телефонов .*•  К 2012 году более 50% мобильных устройств будет поставляться без проводных портов .*** § Источники: *ABI Research, **IDC, *** Morgan Stanley Market Время Trends 2010
  6. 6. Задачи управления доступом КУДА разрешатся доступ КТО ЧТОПОДКЛЮЧИЛСЯ ? ЗА УСТРОЙСТВО ? ГДЕ КАКПОДКЛЮЧИЛСЯ ? ПОДКЛЮЧИЛСЯ?
  7. 7. Архитектура TrustSec.Контроль доступа на уровне сетиКлиентские ЦОД иустройства приложения Идентификация Контроль доступа Контроль доступа Cisco Infrastructure Политики доступа Динамический контекст КОРПОРАТИВНАЯ СЕТЬ Управление Сервисы Безопасность
  8. 8. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация Контекст: “Кто” и Что находится в моей сети? 802.1X, Web Authentication, MAC-адреса, Профилирование Куда cмогут Авторизация и Контроль доступа иметь доступ пользователи/ Security Group Identity устройства? VLAN DACL Access Firewall Защищены ли сетевые Целостность данных и конфиденциальность коммуникации? MACSec (802.1AE)
  9. 9. Контроль доступа: традиционный подход Управление политиками и сервисами ACS NAC Manager NAC Profiler NAC Guest безопасностиПрименение политик Межсетевые NAC Коммутаторы WiFI Маршрутизаторы экраны Appliance Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
  10. 10. Контроль доступа TrustSec Основные компоненты Управление T h политиками и e i сервисами Identity Services Engine (ISE) безопасностиПрименение политик Межсетевые Коммутаторы WiFI Маршрутизаторы экраны Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
  11. 11. ISE: платформа централизованного управленияполитиками и сервисами Централизованная идентификацияБезопасность пользователей и Эффективностьинфраструктуры IT устройств в сетии compliance Cisco Применение ISE Автоматизация согласованных предоставления сервиса сетевого политик доступа доступа для на основе сотрудников, идентификации гостей и устройств
  12. 12. ISE. Гибкая безопасность на основе политик Я хочу разрешить доступ Идентификация и к своей сети авторизация только авторизованным Управление Я хочу разрешить жизненным циклом Я хочу разрешить гостевого доступа Мне нужно разрешить / Сервисы Мне нужно разрешить / The image cannot be displayed. Your computer may not have enough memory to open запретить iPADы в моей профилирования the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. Мне нужно, чтобы мои Сервисы оценки Мне нужно, чтобы мои Cisco     конечные устройства не состояния ISE   Как я могу установить Управление доступом Как я могу установить политики, основанной на на основе групп личности сотрудника, а не безопасности Мне необходимо защищать конфиденциальные Технология MACSec коммуникации
  13. 13. Что такое политика на основе контекста?Кто? Что?Кто? Что? Идентификация устройств Классификация устройств •  Доступ на основе контекстаГде? Когда?Где? Когда?Местоположение Дата ВремяКак? Как? Другие условия? Проводное подключ. • AD, LDAP атрибуты Беспроводка • Имеет ли сотрудник бейдж в
  14. 14. “- А какие у вас докУменты? Усы, лапы и хвост — вот мои документы!” — Каникулы в ПростоквашиноКто?Идентификация и аутентификация
  15. 15. КТО= Идентификация пользователя –  Основной способ аутентификациии: 802.1X или NAC-агент –  Учитывать: •  Хранилище для идентификации •  Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: •  Портал для веб-аутентификации •  Создание и хранилище гостевых учетных записей Гости, Сотрудники с “чужого” компьютера
  16. 16. Identity Services Engine (ISE)Хранилище идентификации/ Источники атрибутов Хранилище OS / ВерсияISE Internal Endpoints, Internal UsersRADIUS RFC 2865-compliant RADIUS сервераActive Directory Microsoft Windows Active Directory 2000 Microsoft Windows Active Directory 2003, 32-bit only Microsoft Windows Active Directory 2003 R2, 32-bit only Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bitLDAP Сервера SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 or laterToken Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts
  17. 17. 802.1X агенты (сапликанты) “Огласите весь список, пожалуйста.” – "Операция "Ы"•  Встроенный в Windows Win7— EAP-TLS, PEAP•  Встроенный в Windows XP—EAP-TLS, PEAP, MD5•  Встроенный в Windows Mobile 7•  Open1x клиент для Linux Windows HP Jet Direct•  Встроенный в принтеры для некоторых производителей (например HP)•  Встроенный в Apple OS X — EAP-TTLS, 7921 TLS, FAST, PEAP, LEAP, MD5•  Встроенный в Apple iOS•  Встроенный в Android•  Встроенный в Cisco IP Phone — EAP- Solaris Apple MD5, FAST, TLS•  Встроенный в IP-камеры, устройства СКУД для некоторых вендоров WLAN APs (например Cisco)• •  Встроенный в Windows Win7(например Универсальные сапликанты Cisco AnyConnect) — EAP-TLS, IP Phones Pocket PC
  18. 18. АгентыAnyConnect 3.0 NAC агент §  Оценка состояния -“здоровья”§  Унифицированный интерфейс доступа §  802.1X for LAN / WLAN §  Постоянный агент §  VPN (SSL-VPN и IPSec) §  Mobile User Security (WSA / §  Временный агент ScanSafe)§  Поддержка MACSec / MKA (802.1X- REV) для программного шифрования данных; Производительность зависит от CPU§  Сетевые карты с аппаратной поддержкой MACSec имеют увеличенную производительность с AC 3.0 В будущем единый унифицированный агент
  19. 19. TrustSecШифрование MACSec Finance Admin = Must Encrypt ISE 1.0 MACSec in Action Authentication Finance Admin Successful! &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&( AnyConnect 802.1X 3.0 Cat3750X Catalyst 6500 or Nexus 7000Уже сейчас поддерживается:• Шифрование MACSec в DC между Nexus 7000• Шифрование пользовательских интерфейсов от AnyConnect кCatalyst 3KX (MKA)TrustSec 2.0 добавляет:• Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus7000• Шифрование использует SAP, а не MKA для генерации ключей
  20. 20. Обеспечение сквозного шифрования из конца в конец Guest User Data sent in clear Authenticated User Encrypt Decrypt 802.1X &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&( Supplicant with MACSec MACSec Capable Devices (New Switch-to-Switch Encryption) MACSec Link Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K•  1G – на • Шифрование между • Шифрование между существующих коммутаторами коммутаторами портах • SUP 2T модуль • 4500E : Sup7-E•  10G – требуется аплинки и 47xx новый сервис- линейные карты (FCS модуль 3KX 2H CY11)
  21. 21. Доступ на основе контекстаКТО= Идентификация пользователя•  Известные/ “управляемые” пользователи (постоянный доступ) –  Основной способ аутентификациии: 802.1X или NAC-агент –  Учитывать: •  Хранилище для идентификации •  Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники•  Неизвестные / “неуправляемые” пользователи (временный или редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: •  Портал для веб-аутентификации •  Создание и хранилище гостевых учетных записей Гости, Сотрудники с “чужого” компьютера
  22. 22. Веб-аутентификация•  Нужно что-то что будет перехватывать запросы браузеров пользователей и перенаправлять на портал для веб- аутентификации Устройства доступа – коммутаторы Cisco – контроллеры беспроводной сети Устройства безопасности ISE обеспечивает: • Централизованный и настраиваемый веб-портал для аутентфикации • Аутентификация для гостей и сотрудников •  Настройка парольных политик •  Уведомление о параметрах учетной записи •  печать, электронная почта, SMS
  23. 23. ISE – Веб-аутентификация
  24. 24. Политика доступа в ISE , зависит от того“КТО” получает доступ. Пример ЧТО=iPAD КТО? Права доступа= Авторизация •  Employee_iPAD Set VLAN = 30 (Корп. доступ) •  Contractor_iPAD Set VLAN = 40 (Только Интернет)
  25. 25. “Что за люди ? А это не люди. А, ну прекрасно.” — Секретная миссия.Что ?Профилирование,Оценка состояния устройств,
  26. 26. Доступ на основе контекста ЧТО= Идентификация устройств, Классификация, & Состояние•  Идентификация устройства 00:11:22:AA:BB:CC •  Методы: –  802.1X машинная аутентификация 172.16.3.254 Device Identity –  “Аутентификация” основанная на адресе•  Классификация типа устройства (профилирование) •  PC, лептопы, мобильники, не-пользовательские сетевые устройства? Device Profile •  Методы: –  Статически: Присвоить типы адресам устройств –  Динамически: Профилирование(оценка сетью)•  Оценка состояния •  AV инсталлированый /запущенный? OS патчи? Инфицирование? Device Posture
  27. 27. Примеры не-пользовательских сетевыхустройств Принтеры IP камеры Сигнализация Беспроводные APs Турникеты Факсы/МФУ Системы Станции Управляемые UPS жизнеобеспечения видеоконференцийи Платежные RMON Probes IP телефоны терминалы и кассы Медицинское Торговые машины Хабы оборудоваие . . . и много другое
  28. 28. ISE – Статическая классификация MAC- записей•  Одно устройство –  Статически добавляем•  Множество устройств LDAP Import File Import
  29. 29. Сервисы динамического профилирования “Карп, ты на руки то его посмотри... Из него водила как из Промокашки скрипач...” – Место встречи изменить нельзяПрофилирование обеспечивает возможность обнаружить и классифицировать устройства •  Обнаружение и классификация основаны на цифровых отпечатках устройств Profiling Attribute Sources HTTP DHCP NETFLOW DNS RADIUS SNMP •  Дополнительные преимущества профилирования •  Наблюдаемость: Взгляд на то, что находится в вашей сети •  Профилирование основано на эвристике •  Выбирается “наилучшее” предположение
  30. 30. ISE – условия профайла
  31. 31. ISE – библиотека профайлов
  32. 32. ISE – сбор атрибутов устройствDevice AttributesMore attributesAnd more attributes
  33. 33. Политика доступа в ISE , зависит от того“ЧТО” получает доступ. Пример What? Who=Employee Permissions = Authorizations •  Employee_PC Set VLAN = 30 (Полный доступ) •  Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)
  34. 34. Оценка состояния “Ваше курение может пагубно отразиться на моем здоровье! ...” – Малыш и Карлсон •  Состояние (Posture) = состояние соответствия устройства политике безопасности компании. –  Установлены ли на системе последние Windows-патчи? –  Антивирус инсталлированный? Обновлен? –  Есть ли актуальная защита от антишпионского ПО? •  Сейчас мы можем расширить идентификацию пользователя/системы за счет анализа оценки состояния. •  Что может проверяться? –  AV/AS, Реестр, Файлы, Приложения/ Процессы, обновления Windows, WSUS и прочее. •  Если не соответствует– Автоматическое приведение к безопасному статусу, предупреждение, карантин •  Поддерживается NAC Agent (постоянный) и временный Web Agent
  35. 35. ISE – политики состоянияПолитика для сотрудников: Политика для контрактников:• Установленные патчи Microsoft • Установлен любой AV с• McAfee AV инсталированный, актуальной базойзапущенный с актуальными базами• Корпоративный ноутбук Гостевая политика:• Запущено корпоративное Принять соглашение, оценки состоянияприложение нет, только Интернет) Коммутатор VPN Беспроводка Сотрудники Контрактники /Гости
  36. 36. ISE – доступные проверки оценки состояния• Обновления Microsoft Updates Files –  Service Packs –  Hotfixes –  OS/Browser versions•  Антивирус иАнтишпионское ПО Инсталляция/Сигнатуры•  Данные файлов • Сервисы • Приложения/ Процессы • Ключи реестра
  37. 37. ISE – установка агентов Конечный пользователь нажимает ссылку NAC Agent для установки агента. Тип и версия (постоянный) Агента определяются политикой ISE. Веб-агент (временный)
  38. 38. Изменение авторизации (CoA) “… Если друг оказался вдруг И не друг, и не враг, а – так..”Задача: – Вертикаль. В. Высоцкий •  Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ? •  Как мы повторно авторизируем порт после веб-аутентификации пользователя?Проблема:• По стандарту RADIUS сервер не может сам начатьобщение с Radius-клиентом.Решение:•  CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS)позволяет RADIUS серверу начать общение с аутентификатором(клиентом).• CoA позволяет устройству применения политики изменитьVLAN/ACL/Redirection для устройства/пользователя безнеобходимости повторной аутентификации.
  39. 39. Собираем все вместеОпределение политики авторизации ISE Пользователь Тип Местопо Прочие устройства ложение Оценка Время Метод доступа атрибуты
  40. 40. “-Куда? -Туда. -Зачем? -Затем” – Улицы разбитых фонарейПрименение политик.КУДАразрешатся доступ
  41. 41. Применение политик ISEСегментация сети Метод Точка Преимущества Недостатки сегментаци применен и ия VLANS Вход •  Не требует управления ACL на •  Обычно требует изменения IP- порту коммутатора адресов •  Предпочтельный способ изоляция •  Требует распространения трафика на всем пути общих сетей VLAN по всей сети доступа. •  VLANs требуют разворачивания дополнительных механизмов применения политик dACLs Вход •  Не требуется изменения IP •  Ограничение ресурсов •  Не требуется распространения коммутатора по количеству общих VLANs в сети доступа и их записей в ACL. управление •  Обеспечивает контроль доступа прямо на порту коммутатора, а не на отдельном устройстве Secure Выход •  Упрощает управление ACL •  Пока нет универсальной Group •  Уменьшает размер политики поддержки SGA на всех Cisco- •  Разделяет политику и IP- платформах Access адресацию. .
  42. 42. Применение политик ISEVLANs и dACLs VLANs •  Политика авторизации ISE устанавливает VLAN. Инфраструктура обеспечивает применение •  Типичные примеры VLAN : •  Карантин/ВостановлениеVLAN •  Гостевой VLAN •  VLAN сотрудников. VLAN •  Обычно требует замены IP -> потенциальные проблемы с присвоение другими активностями устройства802.1X/MAB/Web Auth dACLs •  Политика авторизации ISE загружает dACL или именнованный Загрузка ACL на сетевое устройство. ACL •  ACL source (any) автоматически конвертируется в адрес хоста •  Не требуется изменение IP-адреса, поэтому менее болезненно сказывается на функционировании устройства.
  43. 43. Применение политик ISEПример для сотрудника в беспроводной сети •  Авторизация для устройств сотрудников устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
  44. 44. Применение политик ISEПример для гостей в беспроводной сети •  Авторизация для гостей устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
  45. 45. Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности SGT = 100 I’m a contractor My group is HR Finance (SGT=4) HR (SGT=10) 802.1X/MAB/Web Auth SGACL Contactor & HR SGT = 100Security Group Based Access Control •  ISE связывает метки (SGT) по результатам идентификации пользователей •  Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе •  Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на выходе •  Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для гранулированного доступа
  46. 46. Применение SGT и SGACL §  Уникальная метка 16 bit (65K) присваивается каждой роли Security §  Представляет привилегии пользователя, устройства или Group Tag субъекта §  Тегирование на входе в домен TrustSec §  Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе) §  Правила без IP-адресов (IP адрес привязан к метке) SGACL SG §  Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройстве TrustSec Преимущества §  Обеспечивает политики независимые от топологии §  Гибкие и масштабируемые политики основанные на роли пользователя §  Централизованное управление политиками для динамического внедрения правил §  Исходящая фильтрация ведет к уменьшению нагрузки на TCAM 46Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  47. 47. Сценарий: сеть медицинского учреждения Security Group Security Group Пользователи (Источник) (Назначение) Сервера SGACL 100 x x 15 Doctor Medical DB (SGT 7) (SGT 10) 5x x5 IT Admin IT Portal (SGT 5) (SGT 4) 145 x x5 Staff Internal Portal (SGT 11) (SGT 9) 150 x x5 Guest Public Portal (SGT 15) (SGT 8) 47Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  48. 48. Эффективность SGACL в реальных условиях 400 пользователей получают доступ к 30 сетевым ресурсам с 4 типами полномочий для каждого ресурса Традиционный ACL на FW без фильтрации источника Any (src) * 30 (dst) * 4 permission = 120 ACEs Традиционный ACL на FW с фильтрацией по источнику 400 (src) * 30 (dst) * 4 permission = 48 000 ACEs Традиционный ACL на интерфейсе VLAN – используя фильтрацию по подсетям источника трафика 4 VLANs (src) * 30 (dst) * 4 permission = 480 ACEs Фильтрация на порту с помощью Downloadable ACL 1 Group (src) * 30 (dst) * 4 permission = 120 ACEs С технологией SGACL 4 SGT (src) * 4 SGT (dst) * 4 permission = 64 ACEs 48Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  49. 49. SGACL Policy on ACS / ISE 1 3© 2011 Cisco and/or its affiliates. All rights reserved. 2 Cisco Confidential 49
  50. 50. Доступ по меткам SGA. Поток трафика. SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) Коммутатор доступа SG ACL Matrix IP Address to SGT Mapping HR сервер #1 Коммутатор 10.1.200.50 ядра Коммутатор ЦОД ASAФинансы ✓ Финансы VSG Финансовый сервер#1Финансы HR 10.1.200.100
  51. 51. “… Я требую продолжение банкета.” – Иван Васильевич меняет профессиюОкончание первой части…
  52. 52. Оцени контент Cisco Expo и получи приз!Призы ждут всех, кто:•  посетил 2 и более дней конференции•  заполнил общую анкету•  заполнил 5 и более сессионных анкет•  заполнил анкеты по 2 и более плановым демоОнлайн-анкеты доступны на сайте www.ceq.com.ua.Анкеты также можно заполнить, воспользовавшись терминалами в зоне общения на первом этаже.
  53. 53. Спасибо!Просим Вас оценить эту лекцию.Ваше мнение очень важно для вас.Олнайн-анкеты: www.ceq.com.ua
  54. 54. Интеграция сервисовидентификации и контролядоступа. Решение Cisco IdentityServices Engine (ISE)ЧАСТЬ 2Владимир Илибманvoilibma@cisco.com
  55. 55. “… Сильвупле, дорогие гости, сильвупле. Жевупри, авеплизир. Господи, прости, от страха все слова повыскакивали..” – Формула ЛюбвиУправление гостевым доступом
  56. 56. Управление жизненным цикломгостевого доступа Гостевой доступ – это построенный процесс, а не исключение из правил ISE Guest ServerСОЗДАНИЕ УВЕДОМЛЕНИЕСоздание гостевых учетную записей Предоставление “учетки” гостям Создайте одну гостевую. запись Печать учетной записи Создайте множество гостевых Отправление деталей доступа по почте записей путем импорта CSV Отправление “учетки” по SMS файлаУправление гостевыми записями Отчет по доступу Просмотр, редактирование или Посмотреть аудиторские отчеты приостановление действия по отдельным записям гостевых записей Управление группой гостевых Показать отчеты по записей гостевому доступуУПРАВЛЕНИЕ ОТЧЕТНОСТЬ
  57. 57. Гостевой доступ по приглашению URL-REDIRECT PDP ISE Guest Server 1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер 3. Проверяется PDP наличие учетной записи на наличие в ISE2. Гости вводят логин и пароль, GUEST Guest User созданный приглашающей Identity Store Identity Store стороной (“спонсором”)
  58. 58. ISE Guest – самостоятельная регистрациягостей URL-REDIRECT PDP ISE Guest Server1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются на ISE Guest Portal после запуска браузера. 3. В ISE Guest PDP Identity Store создаются гостевые учетные записи2. Гости заполняют обязательные поля для аутентификации GUEST Identity Store
  59. 59. ISE Guest – самостоятельная регистрациягостей PDP ISE Guest Server4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/ пароля 6. Учетная PDP запись Internet мониторится на соответствие5. К гостю применяется временным авторизационная политика для GUEST Интернет-доступа Identity Store ограничениям.
  60. 60. Проверка и мониторинг гостевого доступа•  Monitor > Authentications окно покажет все аутентификации, включая гостевые•  Также можно мониторить создание/удаление/изменение гостевых записей
  61. 61. Настройка гостевого портала ISEВ настройках гостевого порталаможно определить, чторазрешается делать гостям •  изменить пароль •  изменить пароль при первой логине •  загрузить клиента для оценки состояния •  делать саморегистрацию •  делать регистрацию своих устройств
  62. 62. Гостевой доступ– Портал приглашающей стороны•  Настраиваемый веб- портал для приглашающей стороны (“спонсоров” )•  Аутентификация спонсоров с помощью корпоративных учетных записей – Локальная база ISE – Active Directory – LDAP – RADIUS – Kerberos
  63. 63. Эксплуатация “…. Человека по одежке встречают” -Народная мудрость
  64. 64. Пользовательский интерефейс ISE : Панельуправления Метрики Итоги аутентфиикации Зарегистрированные ISE ноды Information Store Оценка Классификация соответствия конечных Ошибки устройств аутентфикации Статистика уведомлений
  65. 65. Мониторинг аутентификаций в ISEЖивой журнал аутентификаций отображает все auth-события вединой таблице с возможностью сортировки, фильтрации инастраиваемыми колонками и пр. Ручное или автоматическое обновление данных “Живые” аутентфикации! Фильтрация Цветоваямаркировка событий Детализация
  66. 66. Детали аутентиф.Пример Step-by-step sequence of session events •  RADIUS attributes sent Critical session details: •  Matching ID stores, policies, and rules Essential session info: •  Failure reason •  Username and ID Store •  MAC and IP Address •  Switch name/address/port •  Matching ISE rules •  Protocols used
  67. 67. Отчетность в ISE
  68. 68. Пример отчета – состояние серверов ISE
  69. 69. Инструменты для поиска неисправностей вISE
  70. 70. Аудит конфигурации сетевых устройств Правильно ли настроены порты коммутатора для поддержки 802.1X, MAB, и Веб- аутентификации? Правильно ли настроен мой коммутатор для поддержки AAA и других сервисов ISE, включая оценку, профилирование и логгирование?
  71. 71. Уведомления администратора (alarms) в ISE•  Предопределенные и пользовательские настройки•  Настраиваемое расписание уведомлений – в любое время или в интервале•  Визуальное извещение на всех страницах ISE UI с быстрой детализацеий•  Внешняя отсылка уведомлений через Syslog или email.
  72. 72. Дизайн и внедрение
  73. 73. Платформы ISEHardware Small Medium Large VMModel 1121/3315 3355 3395 VMware Server v2.0 (Demos) Based on the Based on the Based on the VMware ESX v4.0 / v4.1 IBM System x3250 M2 IBM System x3550 M2 IBM System x3550 M2 VMware ESXi v4.0 / v4.1CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processorRAM 4GB 4GB 4GB 4GB (max)Disk 2 x 250-GB SATA 2 x 300-GB 2.5” SATA 4 x 300-GB 2.5” SAS I Admin: >= 60GB (500GB available) (600GB available) (600GB available) Policy Service: >= 60GB Monitoring: >= 200GBRAID No Yes: RAID 0 Yes: RAID 1 -Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit EthernetPower Single 650W 650W Redundant 650W Redundant -Node All Roles All Roles All Roles No Inline Posture NodeRoles eth0 eth1 3315 eth2 eth3 3355 eth2 eth3 eth0 3395 eth1
  74. 74. Роли ISE “Эта роль ругательная, я её прошу ко мне не применять!” -Иван Васильевич меняет профессию Административный узел (Admin Node) –  Интерфейс для конфигурации политик Узел мониторинга (Monitor Node)) –  Интерфейс для сбора событий и мониторинга Узел сервиса политик (Policy Service Node) –  “Движок”, который общается с устройствами доступа и принимает решения по доступу на основе политик
  75. 75. Узлы и роли ISE Единый ISE узел (устройство или VM) ISEРоли – одна или Admin Monitoring Policyнесколько: Service• Администрирование• Мониторинг• Сервис политик ИЛИ Отдельный узел в ISE режиме Inline для оценки состояния Inline Posture (только устройство)
  76. 76. Архитектура ISE Мониторинг Журналирование Журналирование Просмотр журналов/ отчетов Сервис Внешние Админ Просмотр/ политик Запрос данные Настройка атрибутов Политик Запрос/ ответ Журналирование контекста доступа Применение Устройства Ресурсы Запрос на политики Доступ к доступ ресурсам
  77. 77. Отказоустойчивость узла управления исинхронизация•  Изменения, внесенные в первичном узле администрирования, автоматически синхронизируются с Вторичный узлом администрирования и всеми узлами сервисами политик. Admin Node Policy Service (Secondary) Node Policy Sync Policy Service Admin Node Node (Primary) Policy Sync Policy Service Администратор Node Logging Monitoring Monitoring Node Node (Primary) (Secondary)
  78. 78. Отказоустойчивость узла управления исинхронизация•  В случае выхода из строя Основного Административного узла пользователь-администратор может подключиться к Вторичному Административному узлу; все изменения на вторичном узле будут автоматически синронизироваться на сервера Сервиса Политик•  Вторичный Административный Узел должен быть вручную переведен в Первичный режим. Admin Node Policy Service (Secondary -> Primary) Node Policy Sync Policy Service Node X Admin Node (Primary) Policy Service Admin Node User Logging Monitoring Monitoring (Primary) (Secondary)
  79. 79. Мониторинг – Распределенный сбор журналов•  ISE поддерживает распределенный сбора журналов по всем узлам для оптимизации сбора, агрегации, и централизованные корреляцию и хранение событий.•  Local Collector Agent работает на каждом узле ISE и собирает свои события локально. В дополнение Local Agent на узле с Сервисом Политик собирает журналы связанных сетевых устройств. NADs Netflow Policy Services Monitoring External Log SNMP (Collector (Collector) Servers Syslog Agent)
  80. 80. Масштабирование узлов Сервиса Политик иотказоустойчивость•  Сетевые устройства доступа (NADs ) могут быть настроены на отказоустойчивые RADIUS сервера (узлы Сервиса Политик).•  Узлы сервиса политик могут быть настроены в кластер или “группу узлов” позади балансировщика. NADs шлет запросы на виртуальный IP кластера Administration Node Administration Node (Primary) (Secondary) Policy Services Policy Node Group ReplicationAAA connection Switch   Switch   Load Balancers Network Access Devices
  81. 81. МасштабируемостьРазворачиваем все сервисы на едином устройстве•  Максимальное число устройств (endpoints) для 33x5 серверов – 2000 устройств•  Отказоустойчивая конфигурация – два узла ISE ISE Admin Admin Monitoring Monitoring Policy Service Policy Service
  82. 82. МасштабируемостьРаспределенное внедрениеВыделенные узлы для Сервиса Политик Платформа Максимальное События Оценка число профайлера состояния устройствISE-3315-K9 3,000 500 per/sec 70 per/secISE-3355-K9 6,000 500 per/sec 70 per/secISE-3395-K9 10,000 1,200 per/sec 110 per/sec
  83. 83. МасштабируеомостьРаспределенное внедрение Admin + Monitoring размещены на единой паре серверов Admin Admin •  2 x Admin+Mon Mon Mon •  Максимально 5 серверов Сервиса Политик •  Максимально 50k конечных Policy Svcs устройств (3395) Policy •  Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Сервисов Политик N+1
  84. 84. МасштабируеомостьРаспределенное внедрение Admin + Monitoring размещены на выделенных парах серверов Admin Mon •  2 x Admin+2 x Mon Admin •  Максимально 40 серверов Admin Mon Mon Admin Mon Сервиса Политик •  Максимально 100k конечных Policy Svcs устройств Policy •  Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Policy Svcs Сервисов Политик N+1
  85. 85. Варианты внедрения для распределенныхсетейЦентрализованное Географически-внедрение распределенное внедрениеü  Все роли ISE внедрены на ü  Роли ISE распределены междуедином сайте разными сайтами
  86. 86. Оценка распределенного внедрения Спецификация объема генерируемого служебного трафикаq  ОтказоустойчивостьWAN влияет на доступность сервисов ISE Ø  Насколько надежны ваши WAN каналы Ø  Насколько критичны удаленные устройства в филиалах Необходимость удаленного внедрения часто диктует требования наличия одного или двух узлов Сервиса Политик на удаленном сайте
  87. 87. Руководство по виртуализации ISEq  Спецификация для запуска ISE в VM– смотритеспецификацию платформ для ISEq Спецификация хоста должна быть аналогичной илилучше, чем спецификация устройства ISE для заданногочисла конечных устройств (endpoints)q  Если спецификация хоста эквивалентна спецификацииустройства ISE, рекомендовано запускать единственнуюVM на хостеq  ISE VMs обязаны размещаться на поддерживаемых ESXсистемах
  88. 88. Поддерживаемые устройства доступа (NADs) Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA Access Switches Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔ Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES2 Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔ Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔ Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔ Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3560-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES3 Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Data Center Switches Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Wireless WLAN Controller 7.0.114.4 (RADIUS CoA) - ✔ ✔ ✔ ✔ ✔ WLC2100, 4400, 5500 *Named ACLs only on WLC WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS . Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для расширенных функций
  89. 89. Режим работы ISE Inline Posture•  Узел ISE предоставляет возможность применение политик на пути трафика (inline posture) для сетевых устройств, которые не поддерживают Radius CoA.•  Основные сценарии внедрения – это VPN-шлюзы и контроллеры беспроводной сети без поддержки CoA.•  Узлы ISE располагаются на пути трафика между сетевым устройством доступа и защищаемым ресурсом (подобно NAC Inband Appliance)•  Узлы в режиме Inline поддерживают: –  Функции RADIUS Proxy и CoA –  Применение политик с помощью dACLs –  Режимы Bridged или Routed –  L2 или L3 удаленность к сетевому устройству –  Отказоустойчивость Active/StandbyЗамечание: Узел Inline Posture Node это только прокси для RADIUS. Поэтому сетевое устройство должно использовать протокол RADIUS для аутентификации с ISE .
  90. 90. Узел ISE в режиме Inline Posture Примеры логических топологий Подключение VPN-концентратора eth1 eth0 Доверенная Интернет сеть VPN ASA L3 Switch ISE Inline Сервис Политикпользователь Posture 1) RADIUS auth для ASA VPN Проводное узел 2) Auth/Posture ддя узла подключение Inline Posture Подключение WiFi-сетей третьих производителей eth1 eth0 Доверенная сеть Беспроводной AP Third Party ISE Inline L3 Switch Сервис Политик пользователь Controller Posture 1) 802.1X auth для WLC узел 2) Auth/Posture для узла Wireless Проводное Inline Posture Node подключение
  91. 91. TrustSec 2.0 в действии Identity features Policy and Security services •  802.1X, MAB, Web Auth •  Profiling – categorization of •  Flex Auth devices •  Flexible deployment •  Posture – assurance of modes– monitor mode, compliance to health low impact, high security •  Guest – guest management Guest Server Posture SXP ProfilerWirelessuser Cisco ISE Campus Network Wired user MACSec Cisco® Cat 6K Nexus® 7K, 5K and 2K Catalyst® Switch Switch Data Center Site-to- Cisco® site VPN WAN ASR1K user Cisco® Egress Enforcement ISR G2 with integrated switch Campus Aggregation or DC enforcement: SGACL on Cat 6K or Nexus 7KData Integrity & Ingress Authorization Alternative IngressConfidentiality & Enforcement Authorization or Switches and WAN MACSec encryption VLANs, ACLS – AC, Cat 3K, aggregation router: Cat4K, Cat6K, N7K SGTs (data plane) SXP (control plane)
  92. 92. Пакеты и лицензирование в ISE Wireless Upgrade License (ATP) Расширяем политику на проводные и & VPN устройства Лицензия для беспроводного Политики для беспроводных устройств Лицензия на 5 лет Базовая лицензия (ATP) Расширенная лицензия (ATP) Политики для всех видов устройств Политики для всех видов устройств Постоянная лицензия Лицензия на 3/5 лет•  Аутентификация / Авторизация •  Профилирование устройств•  Гостевой доступ •  Оценка состояния•  Политики для MACSec •  Доступ по группам безопасности Платформы Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance
  93. 93. ISE Активное сканирование устройствISE дополняет пассивную сетевуютелеметрию активным сканированиемустройств Cisco IOSСетевая инфраструктура обеспечивает получаетвстроенный функционал сенсора для встроенныйклассификации устройств. набор сенсоровДополнительное “ухо” для ISE (SNMP/LLDP, HTTP, DHCP, eи)Версия ISE 1.1 включают поддержкуинтернационализации и русскийинтерфейс для гостевого портала иагентов
  94. 94. Сценарии на ISE “Все будет Айс!” Перспектива Перспектива Сценарии Раньше 1 год 2 годаПроводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISEКонтроль беспроводного Cisco ACS Cisco ISE Cisco ISEдоступа Cisco NACКонтроль доступа с SNMP appliance Cisco NAC Cisco ISE Cisco NACГостевой доступ Guest Cisco ISE Cisco ISE Cisco ISEОценка состояния (NAC) Cisco NAC Cisco ISE Cisco NACПрофилирование устройств Profiler Cisco ISE Cisco ISEКонтроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISEКонтроль администраторов Cisco ACS Cisco ACS Cisco ISE
  95. 95. ISE – ключевые отличия “Память памятью, а повторить никогда не мешает.” - Семнадцать мгновений весны Доступ в сеть на основании Интегрированные оценка Управление гостевым контекста состояния и профилирование доступом ACCESSUSER ID LOCATION RIGHTS DEVICE (& IP/MAC) Поддержка устройств и ПО ВСЕХ популярных вендоров Тесная интеграция ISE в Упрощенный ролевой доступ Масштабирование Сеть SGT Public Private Staff Permit Permit Guest Permit Deny Упрощение больших политик Масштабируемые архитектура безопасности и лицензирование
  96. 96. Ресурсы
  97. 97. Спасибо!Просим Вас оценить эту лекцию.Ваше мнение очень важно для нас.

×