01.05.2015. Семинар во Львове. Кирилл Карнаухов рассказал о преимуществах внедрения контроля сетевого доступа на предприятии и успешном проекте построения Cisco ISE в крупном украинском банке.
Оптимизация и управление разнородной ИТ-инфраструктурой ЦОД на примере Cisco UCS
Контроль и управление доступом к корпоративным ресурсам предприятия
1. Карнаухов Кирилл
Ведущий системный инженер
Kirill.Karnauhov@verna.ua
Внедрение Cisco Identity Services Engine для управления политиками доступа в
корпоративной сети Platinum Bank
Контроль доступа к корпоративным ресурсам сети с использованием Cisco ISE
http://www.cisco.com/web/RU/about/success/assets/pdfs/success-story-platinum-
verna.pdf
2. Содержание
Эволюция доступа. Эпоха сетей без границ
Что такое управление доступом
Система сетевого контроля доступа – Cisco ISE
Практический пример внедрения – Platinum Bank
Схема внедрения
VPN
Wired, Wireless: причины перехода на 802.1x
Сложности при внедрении Wired, Wireless
Предоставление гостевого доступа
Итоги проекта
ISE 1.3 – Что нового?
3. Эволюция доступа
Эпоха сетей без границ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотрудники
(Продавцы)
VPN
Сотрудники
(Финансы)
КонтрактникиГостиIP камера
Телеработа
VPN
VPN
Мобильные сотрудники
Сотрудники с WiFI-
устройствами
Системы
безопасности
Принтеры
(Бухгалтерия)
POS-
терминалы
4. Что такое управление доступом ?
Кто вы?
802.1X (или другие методы)
аутентифицируют пользователя
1 Защита от
посторонних
Куда можно ходить?
Основываясь на аутентификации
пользователь помещается в VLAN
2
Разграничение
внутреннего
доступа
Какой тип сервиса получаете?
Пользователь получает
персональные сервисы (ACL и т.д.)
3
Привязка к IT-
сервисам
Что вы делаете?
Идентификация пользователя и локация
используется для логирования и трекинга
4
Видимость
происходящего
5. Identity Services Engine
Сетевая
инфраструктураКлиенты
5. Передача
политики доступа
по протоколу Radius
(ACL,VLAN, SGT)
2. Передача идентификационных
атрибутов по
протоколам:
Radius, 802.1x, MAC, Web…
1. Подключение в сеть
4. Авторизация
3. Идентификация/
Аутентификация
• В теории все просто
6. Учет доступа
6. Cisco Identity Services Engine (ISE)
Что такое ISE?
ISE
Атрибуты политики безопасности
Система сетевого контроля доступу “все в одном”
Контекст
идентификации
Wired
Business-Relevant
Policies
Wireless
VPN
Replaces AAA & RADIUS, NAC, guest mgmt & device identity servers
ЧТО
ГДЕ
КАК
КТО
КОГДА
VM клиент, IP-устройство, гость, контрактник, сотрудник
VDI
7. КЕЙС: Platinum Bank
Внедрение системы сетевой безопасности на
базе продукта Cisco ISE.
Организация единой точки управления и
обеспечения
мониторинга процессов подключения в сеть
Переход на новую модель
пользовательского VPN
подключения
Внедрение 802.1х в проводной и
беспроводной сети (Wired &
Wireless)
Обеспечение полного
жизненного цикла
гостевого подключения
Учет и контроль
подключения персональных
устройств (BYOD)
9. Причины перехода на новую модель VPN
Планируется
Cisco AnyConnect v3.x (IKEv2)
в плане переход на V4*
3 VPN profile
ISE (AAA)
Есть в текущий момент
Cisco IPSec Client
25+ VPN-profile
LDAP authentication
10. Контроль VPN подключений
ИНТЕРЕНТ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
VPN
VPN
Мобильные сотрудники
Контрактники/подрядчики
Системы
безопасности
ISE
Подключение к ASA с помощью AnyConnect к
одному из VPN-pfofile: Contractor, COB, Agent
Передача атрибутов – VPN-Tunnel-Name и
User-name
ИнентификацияАутентификация :AD-Group -
UserName
Авторизация – Передача политик доступа
dACL,
Подключение пользователя
Учет доступа (Accounting)
12. Причины для внедрения 802.1x (WIRED&Wireless)
Множество подключаемых устройств в
проводной и беспроводной сетях,
необходимость в персонализации устройств
Port Security на портах коммутаторов
Необходимо проводить учет всех подключений в сеть
Ручная настройка VLAN на портах
Решение: Система контроля доступа 802.1X
Предоставление дифференцированного доступа на основе
принадлежности к группам Active Directory
Контроль доступа для персональных устройств (BYOD)
13. Сложности внедрения корпоративного
(WIRED)
Что такое корпоративное устройство?
Аутентификация ПК и Пользователя:
Предоставление дифференцированного доступа для 802.1x устройств
Это зарегистрированный в MS-AD WinPC
Включена служба проводного доступа
(WiredAutoconfig) и настроен сетевой
профиль
Кто такой корпоративный пользователь?
Пользователь, имеющий учетную запись в MS-AD
Radius Change of Authorization (CoA)
dVLAN + dACL based on AD-GROUP
(EAP-MSCHAP)
Обучение персонала HELPDesk
Предоставление прав HELP Desk
Написание инструкций
14. RADIUS Change of Authorization (CoA)
Quarantine
VLAN CORP
VLAN
1 ПК включается в сеть,
авторизируется в VLAN#A, имеет доступ
к ограниченному ряду сервисов
2 Клиент вводит корпоративный логинпароль
3 ISE использует RADIUS CoA
для реаутентификации
4 Клиент реаутентифицирован и
помещен в CORP VLAN
Динамический
контроль сессии с
сервера политик
Реаутентификация сессии
Завершение сессии
Завершение сессии со сбросом
порта
Отключение хостового порта
Запрос к сессии
на активные сервисы
на полноту идентификации
специфичные запросы
Активация сервиса
Деактивация сервиса
Запрос к сессии
15. Сложности внедрения корпоративного
(WIRED)
Что делать с устройствами не
поддерживающими 802.1x? -
неаутентифицируемые устройства
У них нет поддержки 802.1x
Либо он на них не настроен
Принтеры, IP Телефоны, Камеры, СКУД
Решение: MAB – MAC Authentication Bypass
Использование Internal ISE database
Использование Flex-Auth на порту коммутатора:
authentication order dot1x mab webauth
authentication priority mab dot1x webauth
Использование authentication host-mode multi-domain для IP-
phones
16. Учёт подключений Wired
Source Timestamp 2014-09-24 17:11:40.881
Received Timestamp 2014-09-24 17:11:40.881
Policy Server cise-a
Event 5400 Authentication failed
Failure Reason 24486 Machine authentication against Active Directory has failed because the machine's
account is disabled
Resolution Check the properties of the machine in Active Directory to verify that it is not disabled.
Authentication Details
17. Учёт подключений Wired
Authentication
Details
Source Timestamp 2014-09-24 17:11:01.715
Received Timestamp 2014-09-24 17:11:01.716
Event 5200 Authentication succeeded
Username host/HQ-WS0144
Endpoint Id 1C:75:08:59:88:92
Identity Store AD-
Authentication Method dot1x
Authentication Protocol PEAP (EAP-MSCHAPv2)
Network Device Pt_2960_12D
NAS IP Address 10.xxx.yyy.71
NAS Port Id FastEthernet0/19
Authorization Profile PermitAccess
Other Attributes
AuthorizationPolicyMatchedR
ule
MONITOR
AllowedProtocolMatchedRule Dot1X_WIRED
Model Name WS-C2960-48TT-L
Software Version 15.0(2)SE5
stage stage#STAGE#Low-impact
RADIUS Username host/HQ-WS0144
Device IP Address 10.xxx.yyy.71
Called-Station-ID 3C:CE:73:81:B9:93
18. Сложности внедрения корпоративного
(WIRELESS)
Что такое корпоративное устройство?
Аутентификация ПК и Пользователя:
Предоставление дифференцированного доступа для 802.1x устройств
Это зарегистрированный в MS-AD WinPC
Включена служба проводного доступа
(WiredAutoconfig), установлен сертификат
Кто такой корпоративный пользователь?
Пользователь, имеющий учетную запись в MS-AD,
установлен сертификат пользователя на ПК
Radius Change of Authorization (CoA)
dVLAN + dACL based on AD-GROUP
(EAP-TLS) – Сертификат
Количество SSID?
Corporate SSID(dot1x), BYOD(dot1x), Guest-Access(open) – ION(internet only network)
20. Предоставление гостевого доступа
Эволюция бизнес-кейса
“Гости подключаются в WiFi под одним паролем. Это
небезопасно”
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!
22. Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
или SMS
Управление: Привилегии
спонсора, гостевые аккаунты и
политики, гостевой портал
Отчетность: По всем аспектам
гостевых учетных записей
Guests
Компоненты полного жизненного цикла
гостя
Аутентификация/Авторизация
Посредством веб-портала ISE
23. Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
24. Result
User-Name C0-CB-38-49-FC-83
cisco-av-pair url-redirect-acl= WEB_AUTH_REDIRECT
cisco-av-pair url-
redirect=https://cise2:8443/guestportal/gateway?sessionId=0a9b6f0f0002a60c542549ff
&portal=GUEST_ACCESS&action=cwa
cisco-av-pair profile-name=Windows7-Workstation
Airespace-ACL-Name PERMIT_REDIRECT
Учёт подключений Wireless (Guest)
Authentication
Details
Source Timestamp 2014-09-26 14:11:58.821
Received Timestamp 2014-09-26 14:11:58.815
Event 5200 Authentication succeeded
Username C0:CB:38:49:FC:83
Endpoint Id C0:CB:38:49:FC:83
Endpoint Profile Windows7-Workstation
Identity Group Windows7-Workstation
Authentication
Method
mab
Network Device WLC-1
Device Type Wireless
Location KIEV#1
NAS IP Address 10.xxx.yyy.1
NAS Port Type Wireless - IEEE 802.11
Authorization Profile CWA_REDIRECT
Other Attributes
Framed-MTU 1300
Tunnel-Private-Group-
ID
(tag=0) 666
Airespace-Wlan-Id 4
UseCase Host Lookup
SelectedAuthenticatio
nIdentityStores
Internal Users
AuthorizationPolicyM
atchedRule
CWA_REDIRECT
AllowedProtocolMatc
hedRule
WEB-GUEST-ACCESS
HostIdentityGroup Endpoint Identity Groups:Profiled:Windows7-
Workstation
Called-Station-ID d4-a0-2a-4a-fb-10:Guest
26. Что предлагает ISE для управления
персональными устройствами
(BYOD)
Занесение устройств в
“черный” список и
удаленная очистка
Безопасность
на основе
сертификата
Саморегистрация
Поддержка всех
сетевых
подключений
Поддержка множества
типов устройств:
̶ iOS (post 4.x)
̶ MAC OSX (10.6, 10.7)
̶ Android (2.2 and later)
̶ Windows (XP, Vista,
Win7K)
27. Итоги проекта
Внедрение масштабируемого и отказоустойчивого решения с
централизованной системой ААА (Authentication, Authorization,
Accounting)
Предоставление дифференцированного доступа в корпоративную сеть,
за счет технологии 802.1x (Wired & Wireless)
Предоставление/прекращение/управление ролевым доступом с MS-AD
Использование гостевого доступа к сети (Интернет)
Использование технологии BYOD для регистрации персональных
устройств
Отчётность по каждой попытке подключения
Персонализация всех подключенных устройств
28. Базовые поддерживаемые Гостевые потоки
Hotspot
Самообслуживание
Самообслуживание с подтверждением спонсора
Спонсорский доступ
ISE 1.3 Что нового???
Внутренний Certificate Authority
ISE Portal Builder – https://isepb.cisco.com
Multi–Forest Active Directory Support
29. Гостевая
кнопка
Обновленная
навигация, все
процессы в одном
меню.
Заготовленные
потоки
Поставляется с заготовленными
потоками, покрывающими 90%
нужд: Hotspot, Самообслуживание
(с или без подтверждения), и
Спонсированный.
Настройка
вкладками
Однажды попав сюда,
все необходимые
компоненты уже в
одном месте.
Полностью измененное
администрирование гостей
30. Управление гостевыми
процессами упрощено
Вид процесса
Интересовались как настройки
повлияют на работу? ISE делает
это кристально прозрачным и
предоставляет диаграмму
работы гостевого процесса в
зависомости от изменений.
Удобство настройки
По средством изучения опыта
пользователей мы сделали
настройки гостей настолько
простыми, что настройка
займет пару кликов.
31. Пройдемся по процессу BYOD
Onboarding
• Стандартный процесс ведет
пользователя к Onboarding.
• Полностью настраиваемый
пользовательский портал с
темами.
• My Devices портал дает
пользователю управление и
возможность добавления
устройств.
• Доступен на мобильном и
десктоп уровне.
36. ISE 1.3: Внутренний Certificate
Authority
Управление сертификатами для BYOD вносит существенную
сложность и стоимость при использовании Microsoft Public Key
Infrastructure.
ISE Certificate Authority разработан для работы как
самостоятельное решение либо в связке с существующим
Enterprise PKI для упрощения BYOD развертываний.
• Единая консоль управления – Управление оконечными
устройствами и их сертификатами. Удаляете оконечное
устройство – удаляется и сертификат.
• Упрощенное развертывание – Поддерживается как
standalone так и subordinate развертывания. Убирает
необходимость в команде корпоративной PKI для обработки
каждого BYOD запроса.
Упрощение управления сертификатами
для BYOD
*Designed for BYOD and MDM use-cases only, not a general purpose CA
Optional
Enterprise
Root
Self Contained or
Optional Subordinate
Cisco ISE
Certificate
Authority
37. Multi–Forest Active Directory Support
Поддержка для 50 одновременных
Active Directory точек соединения.
Нет нужды в двустороннем доверии
между доменами.
Улучшенные алгоритмы для работы с
одинаковыми именами.
ISE 1.3 создан для растущего бизнеса. С
поддержкой множества Active Directory
доменов, ISE 1.3 дает возможность
аутентификации и сбора атрибутов в
крупнейших Enterprise развертываниях.
ISE
example-1.com
example-2.com
example-n.com
ISE