01.05.2015. Семинар во Львове. Кирилл Карнаухов рассказал о преимуществах внедрения контроля сетевого доступа на предприятии и успешном проекте построения Cisco ISE в крупном украинском банке.

1. Карнаухов Кирилл
Ведущий системный инженер
Kirill.Karnauhov@verna.ua
Внедрение Cisco Identity Services Engine для управления политиками доступа в
корпоративной сети Platinum Bank
Контроль доступа к корпоративным ресурсам сети с использованием Cisco ISE
http://www.cisco.com/web/RU/about/success/assets/pdfs/success-story-platinum-
verna.pdf

2. Содержание
 Эволюция доступа. Эпоха сетей без границ
 Что такое управление доступом
 Система сетевого контроля доступа – Cisco ISE
 Практический пример внедрения – Platinum Bank
 Схема внедрения
 VPN
 Wired, Wireless: причины перехода на 802.1x
 Сложности при внедрении Wired, Wireless
 Предоставление гостевого доступа
 Итоги проекта
 ISE 1.3 – Что нового?

3. Эволюция доступа
Эпоха сетей без границ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотрудники
(Продавцы)
VPN
Сотрудники
(Финансы)
КонтрактникиГостиIP камера
Телеработа
VPN
VPN
Мобильные сотрудники
Сотрудники с WiFI-
устройствами
Системы
безопасности
Принтеры
(Бухгалтерия)
POS-
терминалы

4. Что такое управление доступом ?
Кто вы?
802.1X (или другие методы)
аутентифицируют пользователя
1 Защита от
посторонних
Куда можно ходить?
Основываясь на аутентификации
пользователь помещается в VLAN
2
Разграничение
внутреннего
доступа
Какой тип сервиса получаете?
Пользователь получает
персональные сервисы (ACL и т.д.)
3
Привязка к IT-
сервисам
Что вы делаете?
Идентификация пользователя и локация
используется для логирования и трекинга
4
Видимость
происходящего

5. Identity Services Engine
Сетевая
инфраструктураКлиенты
5. Передача
политики доступа
по протоколу Radius
(ACL,VLAN, SGT)
2. Передача идентификационных
атрибутов по
протоколам:
Radius, 802.1x, MAC, Web…
1. Подключение в сеть
4. Авторизация
3. Идентификация/
Аутентификация
• В теории все просто
6. Учет доступа

6. Cisco Identity Services Engine (ISE)
Что такое ISE?
ISE
Атрибуты политики безопасности
 Система сетевого контроля доступу “все в одном”
Контекст
идентификации
Wired
Business-Relevant
Policies
Wireless
VPN
Replaces AAA & RADIUS, NAC, guest mgmt & device identity servers
ЧТО
ГДЕ
КАК
КТО
КОГДА
VM клиент, IP-устройство, гость, контрактник, сотрудник
VDI

7. КЕЙС: Platinum Bank
Внедрение системы сетевой безопасности на
базе продукта Cisco ISE.
Организация единой точки управления и
обеспечения
мониторинга процессов подключения в сеть
Переход на новую модель
пользовательского VPN
подключения
Внедрение 802.1х в проводной и
беспроводной сети (Wired &
Wireless)
Обеспечение полного
жизненного цикла
гостевого подключения
Учет и контроль
подключения персональных
устройств (BYOD)

8. Схема внедрения (HLD)
Admin +
Monitoring (primary)
+ PSN
SNS-3415-K9
AD
Micro Soft Infrastructure
CA SCEP
SNS-3415-K9
Admin
(secondary)+Monitoring
(Secondary)
+
PSN
802.1x
Stack 3750G-48
802.1x
WS-C2960-48TT-L
Wired
WLC-5508
Wireless
ASA5545X
Remote-VPN-Access
VPN
ASA5545X
Remote-VPN-Access
VPN
802.1x
WS-C2960-48TT-L
802.1x
Stack 3750G-48
Wired
WLC-5508
Wireless
Admin Node
Policy Service Node
Monitoring Node
Wireless/Wired 802.1x,MAB
Wireless Guest Access
VPN

9. Причины перехода на новую модель VPN
 Планируется
 Cisco AnyConnect v3.x (IKEv2)
 в плане переход на V4*
 3 VPN profile
 ISE (AAA)
Есть в текущий момент
Cisco IPSec Client
25+ VPN-profile
LDAP authentication

10. Контроль VPN подключений
ИНТЕРЕНТ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
VPN
VPN
Мобильные сотрудники
Контрактники/подрядчики
Системы
безопасности
ISE
Подключение к ASA с помощью AnyConnect к
одному из VPN-pfofile: Contractor, COB, Agent
Передача атрибутов – VPN-Tunnel-Name и
User-name
ИнентификацияАутентификация :AD-Group -
UserName
Авторизация – Передача политик доступа
dACL,
Подключение пользователя
Учет доступа (Accounting)

11. Учет VPN подключений

12. Причины для внедрения 802.1x (WIRED&Wireless)
 Множество подключаемых устройств в
проводной и беспроводной сетях,
необходимость в персонализации устройств
 Port Security на портах коммутаторов
 Необходимо проводить учет всех подключений в сеть
 Ручная настройка VLAN на портах
Решение: Система контроля доступа 802.1X
 Предоставление дифференцированного доступа на основе
принадлежности к группам Active Directory
 Контроль доступа для персональных устройств (BYOD)

13. Сложности внедрения корпоративного
(WIRED)
Что такое корпоративное устройство?
Аутентификация ПК и Пользователя:
Предоставление дифференцированного доступа для 802.1x устройств
 Это зарегистрированный в MS-AD WinPC
 Включена служба проводного доступа
(WiredAutoconfig) и настроен сетевой
профиль
Кто такой корпоративный пользователь?
 Пользователь, имеющий учетную запись в MS-AD
 Radius Change of Authorization (CoA)
 dVLAN + dACL based on AD-GROUP
 (EAP-MSCHAP)
Обучение персонала HELPDesk
 Предоставление прав HELP Desk
 Написание инструкций

14. RADIUS Change of Authorization (CoA)
Quarantine
VLAN CORP
VLAN
1 ПК включается в сеть,
авторизируется в VLAN#A, имеет доступ
к ограниченному ряду сервисов
2 Клиент вводит корпоративный логинпароль
3 ISE использует RADIUS CoA
для реаутентификации
4 Клиент реаутентифицирован и
помещен в CORP VLAN
Динамический
контроль сессии с
сервера политик
 Реаутентификация сессии
 Завершение сессии
 Завершение сессии со сбросом
порта
 Отключение хостового порта
 Запрос к сессии
 на активные сервисы
 на полноту идентификации
 специфичные запросы
 Активация сервиса
 Деактивация сервиса
 Запрос к сессии

15. Сложности внедрения корпоративного
(WIRED)
 Что делать с устройствами не
поддерживающими 802.1x? -
неаутентифицируемые устройства
 У них нет поддержки 802.1x
 Либо он на них не настроен
 Принтеры, IP Телефоны, Камеры, СКУД
Решение: MAB – MAC Authentication Bypass
Использование Internal ISE database
Использование Flex-Auth на порту коммутатора:
authentication order dot1x mab webauth
authentication priority mab dot1x webauth
Использование authentication host-mode multi-domain для IP-
phones

16. Учёт подключений Wired
Source Timestamp 2014-09-24 17:11:40.881
Received Timestamp 2014-09-24 17:11:40.881
Policy Server cise-a
Event 5400 Authentication failed
Failure Reason 24486 Machine authentication against Active Directory has failed because the machine's
account is disabled
Resolution Check the properties of the machine in Active Directory to verify that it is not disabled.
Authentication Details

17. Учёт подключений Wired
Authentication
Details
Source Timestamp 2014-09-24 17:11:01.715
Received Timestamp 2014-09-24 17:11:01.716
Event 5200 Authentication succeeded
Username host/HQ-WS0144
Endpoint Id 1C:75:08:59:88:92
Identity Store AD-
Authentication Method dot1x
Authentication Protocol PEAP (EAP-MSCHAPv2)
Network Device Pt_2960_12D
NAS IP Address 10.xxx.yyy.71
NAS Port Id FastEthernet0/19
Authorization Profile PermitAccess
Other Attributes
AuthorizationPolicyMatchedR
ule
MONITOR
AllowedProtocolMatchedRule Dot1X_WIRED
Model Name WS-C2960-48TT-L
Software Version 15.0(2)SE5
stage stage#STAGE#Low-impact
RADIUS Username host/HQ-WS0144
Device IP Address 10.xxx.yyy.71
Called-Station-ID 3C:CE:73:81:B9:93

18. Сложности внедрения корпоративного
(WIRELESS)
Что такое корпоративное устройство?
Аутентификация ПК и Пользователя:
Предоставление дифференцированного доступа для 802.1x устройств
 Это зарегистрированный в MS-AD WinPC
 Включена служба проводного доступа
(WiredAutoconfig), установлен сертификат
Кто такой корпоративный пользователь?
 Пользователь, имеющий учетную запись в MS-AD,
установлен сертификат пользователя на ПК
 Radius Change of Authorization (CoA)
 dVLAN + dACL based on AD-GROUP
 (EAP-TLS) – Сертификат
Количество SSID?
 Corporate SSID(dot1x), BYOD(dot1x), Guest-Access(open) – ION(internet only network)

19. Учёт подключений Wireless

20. Предоставление гостевого доступа
Эволюция бизнес-кейса
 “Гости подключаются в WiFi под одним паролем. Это
небезопасно”
 “Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!

21. Wireless
APs
LAN
Internet
Требования гостевых
пользователей
WLC
унификация подключения гостей и
контрактников в сеть
И при этом, чтобы все было безопасно !

22. Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
или SMS
Управление: Привилегии
спонсора, гостевые аккаунты и
политики, гостевой портал
Отчетность: По всем аспектам
гостевых учетных записей
Guests
Компоненты полного жизненного цикла
гостя
Аутентификация/Авторизация
Посредством веб-портала ISE

23. Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
 Можно использовать разные порталы (даже с разной локализацией)
 И создавать отдельно группы Гости/Контрактники с разными правами

24. Result
User-Name C0-CB-38-49-FC-83
cisco-av-pair url-redirect-acl= WEB_AUTH_REDIRECT
cisco-av-pair url-
redirect=https://cise2:8443/guestportal/gateway?sessionId=0a9b6f0f0002a60c542549ff
&portal=GUEST_ACCESS&action=cwa
cisco-av-pair profile-name=Windows7-Workstation
Airespace-ACL-Name PERMIT_REDIRECT
Учёт подключений Wireless (Guest)
Authentication
Details
Source Timestamp 2014-09-26 14:11:58.821
Received Timestamp 2014-09-26 14:11:58.815
Event 5200 Authentication succeeded
Username C0:CB:38:49:FC:83
Endpoint Id C0:CB:38:49:FC:83
Endpoint Profile Windows7-Workstation
Identity Group Windows7-Workstation
Authentication
Method
mab
Network Device WLC-1
Device Type Wireless
Location KIEV#1
NAS IP Address 10.xxx.yyy.1
NAS Port Type Wireless - IEEE 802.11
Authorization Profile CWA_REDIRECT
Other Attributes
Framed-MTU 1300
Tunnel-Private-Group-
ID
(tag=0) 666
Airespace-Wlan-Id 4
UseCase Host Lookup
SelectedAuthenticatio
nIdentityStores
Internal Users
AuthorizationPolicyM
atchedRule
CWA_REDIRECT
AllowedProtocolMatc
hedRule
WEB-GUEST-ACCESS
HostIdentityGroup Endpoint Identity Groups:Profiled:Windows7-
Workstation
Called-Station-ID d4-a0-2a-4a-fb-10:Guest

25. Отчет об активном гостевом
подключении

26. Что предлагает ISE для управления
персональными устройствами
(BYOD)
Занесение устройств в
“черный” список и
удаленная очистка
Безопасность
на основе
сертификата
Саморегистрация
Поддержка всех
сетевых
подключений
Поддержка множества
типов устройств:
̶ iOS (post 4.x)
̶ MAC OSX (10.6, 10.7)
̶ Android (2.2 and later)
̶ Windows (XP, Vista,
Win7K)

27. Итоги проекта
 Внедрение масштабируемого и отказоустойчивого решения с
централизованной системой ААА (Authentication, Authorization,
Accounting)
 Предоставление дифференцированного доступа в корпоративную сеть,
за счет технологии 802.1x (Wired & Wireless)
 Предоставление/прекращение/управление ролевым доступом с MS-AD
 Использование гостевого доступа к сети (Интернет)
 Использование технологии BYOD для регистрации персональных
устройств
 Отчётность по каждой попытке подключения
 Персонализация всех подключенных устройств

28.  Базовые поддерживаемые Гостевые потоки
 Hotspot
 Самообслуживание
 Самообслуживание с подтверждением спонсора
 Спонсорский доступ
ISE 1.3 Что нового???
 Внутренний Certificate Authority
 ISE Portal Builder – https://isepb.cisco.com
 Multi–Forest Active Directory Support

29. Гостевая
кнопка
Обновленная
навигация, все
процессы в одном
меню.
Заготовленные
потоки
Поставляется с заготовленными
потоками, покрывающими 90%
нужд: Hotspot, Самообслуживание
(с или без подтверждения), и
Спонсированный.
Настройка
вкладками
Однажды попав сюда,
все необходимые
компоненты уже в
одном месте.
Полностью измененное
администрирование гостей

30. Управление гостевыми
процессами упрощено
Вид процесса
Интересовались как настройки
повлияют на работу? ISE делает
это кристально прозрачным и
предоставляет диаграмму
работы гостевого процесса в
зависомости от изменений.
Удобство настройки
По средством изучения опыта
пользователей мы сделали
настройки гостей настолько
простыми, что настройка
займет пару кликов.

31. Пройдемся по процессу BYOD
Onboarding
• Стандартный процесс ведет
пользователя к Onboarding.
• Полностью настраиваемый
пользовательский портал с
темами.
• My Devices портал дает
пользователю управление и
возможность добавления
устройств.
• Доступен на мобильном и
десктоп уровне.

32. Guest Portal Builder 1.3
https://isepb.cisco.com/

33. Guest Portal Builder 1.3
https://isepb.cisco.com/

34. Guest Portal Builder 1.3
https://isepb.cisco.com/

35. Перенаправление гостя
Страница ISE
Success Page
Страница откуда
они получили
redirect,
Например:
google.com
Преднастроенный
URL, например
страница компании.

36. ISE 1.3: Внутренний Certificate
Authority
Управление сертификатами для BYOD вносит существенную
сложность и стоимость при использовании Microsoft Public Key
Infrastructure.
ISE Certificate Authority разработан для работы как
самостоятельное решение либо в связке с существующим
Enterprise PKI для упрощения BYOD развертываний.
• Единая консоль управления – Управление оконечными
устройствами и их сертификатами. Удаляете оконечное
устройство – удаляется и сертификат.
• Упрощенное развертывание – Поддерживается как
standalone так и subordinate развертывания. Убирает
необходимость в команде корпоративной PKI для обработки
каждого BYOD запроса.
Упрощение управления сертификатами
для BYOD
*Designed for BYOD and MDM use-cases only, not a general purpose CA
Optional
Enterprise
Root
Self Contained or
Optional Subordinate
Cisco ISE
Certificate
Authority

37. Multi–Forest Active Directory Support
 Поддержка для 50 одновременных
Active Directory точек соединения.
 Нет нужды в двустороннем доверии
между доменами.
 Улучшенные алгоритмы для работы с
одинаковыми именами.
ISE 1.3 создан для растущего бизнеса. С
поддержкой множества Active Directory
доменов, ISE 1.3 дает возможность
аутентификации и сбора атрибутов в
крупнейших Enterprise развертываниях.
ISE
example-1.com
example-2.com
example-n.com
ISE

38. Спасибо за внимание
Карнаухов Кирилл
Kirill.Karnauhov@verna.ua
Skype – kirill.karnaukhov
& Cisco team