Документ представляет собой презентацию о Cisco TrustSec, технологии, обеспечивающей безопасный доступ к сети через метки безопасности (SGT). Описываются принципы работы TrustSec, его преимущества, включая упрощение управления списками доступа и повышение безопасности. Также рассматриваются сценарии применения и методы распространения информации о метках безопасности в сетевых устройствах.

1. Алексей Спирин
Системный архитектор
alspirin@cisco.com
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распределенной сети
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.

2. Глоссарий
•
CTS–Cisco TrustSec
•
SGT–Security Group Tag, метка безопасности
•
MACSEC–технология шифрования трафика Ethernet со скоростью провода, опциональная часть TrustSec
•
SGACL–ACL, список доступа, пакетный фильтр, который использует метку безопасности
•
SGFW–stateful firewall, межсетевой экран, который использует метку безопасности
•
CMD –Cisco Meta Data, заголовок Ethernet-кадра, содержащий информацию о метке безопасности
•
SXP –SGT eXchangeProtocol, протокол передачи информации о соответствии IP-адреса метке безопасности. Работает через TCP
•
inline SGT –метод добавления заголовка TrustSec(CMD)в кадр Ethernet
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 2

3. ПЛАН ПРЕЗЕНТАЦИИ
•
Что такое TrustSec и зачем он нужен
•
Основы и принципы работы TrustSec
•
Сценарии примененияи пилотное внедрение
•
Новые вещи в ISE 1.3
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 3

4. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
“
Архитектура, технологии, устройства, системно решающие задачу безопасного доступа к сети”

5. Зачем нужен Trustsec
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 5

6. Зачем нужен Trustsec
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 6
Voice Data Временный
сотрудник
Гость
Карантин
Access Layer
Aggregation Layer
VLAN
Addressing
DHCP Scope
Redundancy
Routing
Static ACL
2 VLAN’а–пока все просто
Увеличение политик –больше VLAN’ов, больше проблем
ACL
Увеличение коммутаторов доступа
Новые способы подключения (WiFi, RA VPN)
Другие здания
Филиалы
Мобильные пользователи

7. Зачем нужен Trustsec
Новый атрибут трафика –метка безопасности (отражает уровень безопасности, уровень доступа пользователя)
Метка безопасности не зависит от:
-
места подключения
-
способа подключения
-
есть ли в этом VLAN пользователи с другим уровнем доступа
В ACL вместо ссылки на IP-адреса –ссылка на метку безопасности
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 7

8. Зачем нужен Trustsec
1.
Значительное упрощение работы с ACL(60-90%)*
2.
Повышение безопасности информационной системы
3.
Первая технология, которая криптостойко привязывает ACL к identity пользователя
4.
Контроль доступа к сети
5.
Категоризация ресурсов и пользователей
* По результатам текущих внедрений у заказчиков
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 8

9. Как работает TrustSec
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 9
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (
VLAN, ACL, SGT, MacSec)
3. Трафик с метками безопасности (
SGT)
4. МЭ - фильтрация трафика на основе меток
безопасности
0. Категорирование пользователей и ресурсов
Сервер Б
Сервер A
Пользователь А
Пользователь Б
200
ISE
Канальное шифрование
300
20
30
access-list DCoutpermit tcp...
SGT 30 anySGT 300eqsql

10. Этапы работы TrustSec
Классификация(Classification)
-статический или динамический процесс назначения SGT пользователю или серверу
Распространение информации(Propagation)
-передача информации о SGT от места классификации до места применения политики
Применение политик(Enforcement)
-ACL на коммутаторе, маршрутизаторе или МЭ с ссылкой на SGT
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 10

11. Классификация
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 11
VLAN-SGT
IP-SGT
Port
Profile
Port-SGT
Prefix
Learning (L3IF-SGT)
Subnet-SGT
802.1X
MAB
Web
Auth
Profiling
VLAN-SGT
ISE
NX-OS/
UCS Dir/
Hypervisors
IOS/Routing
RA-VPN

Способы подключения устройств/пользователей
–ЛВС
–БЛВС
–RA VPN

ЦОД

Подключения партнерских
организаций

12. Способы классификации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 12
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация пользователей и устройств
Классификация для серверов, статических подключений
802.1X Authentication
MAC Auth Bypass
Web Authentication
SGT
12

13. Динамическая классификация
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 13

14. Статическая классификация
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 14
IP to SGT mapping
cts role-based sgt-map A.B.C.D sgt SGT_Value
VLAN to SGT mapping*
cts role-based sgt-map vlan-list VLANsgtSGT_Value
Subnet to SGT mapping
cts role-based sgt-map A.B.C.D/nnsgtSGT_Value
L3 ID to Port Mapping**
(config-if-cts-manual)#policy dynamic identity name
L3IF to SGT mapping**
cts role-based sgt-map interface namesgt SGT_Value
L2IF to SGT mapping*
(config-if-cts-manual)#policy static sgt SGT_Value
Пример IOS CLI
* нуженIP Device Tracking
** нуженroute prefix snooping

15. Централизованная cтатическаяклассификация
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 15
Передает соответствия на
выбранные устройства по
SSH

16. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Распространение информации

17. Передача информацииSGT
Распространение информации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 17
Способ 1.
Inline SGT. «Новое» оборудование
Cat3850 Nexus 2248
WLC5508
ASA5585
Enterprise Backbone
Nexus 2248
Cat6500Sup2T
Nexus7000
Nexus5500
ISE
CRM
ESXi
Соединения с передачей метки в ethernet-кадре
Классифика- цияна доступе
Классификация ЦОД
Приме- нениеполитики

18. Распространение информации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 18
Способ 1.
Inline SGT. «Новое» оборудование
• SGT
в заголовке Cisco Meta Data (CMD) Ethernet-кадра
• Оборудование должно поддерживать
inline SGT «в железе»
• Не влияет на
IP MTU
• Влияет на размер кадра
: ~40 байт
• Рекомендованное
L2 MTU: ~1600 bytes
• Оборудование «не умеющее в»
TrustSec, сбросит кадр
• Опциональное шифрование
MACsec
CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
Ethernet Frame
CMD EtherType
Version
Length
SGT Option Type
Cisco Meta Data
SGT Value
Other CMD Option
CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
MACsec Frame
802.1AE Header
802.1AE Header
AES-GCM 128bit
Encryption
ETHTYPE:0x88E5
ETHTYPE:0x8909
«Новое» оборудование: Cat6k SUP2T, N7k, Cat3850, ASR1kи т.д.

19. Распространение информации
Необходим для:
1)
На «старом» и маломощном оборудовании
2)
Для передачи SGT информации через устройства не поддерживающие inline SGT
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 19
Способ
2. SXP. «Старое» оборудование
SW
SW
RT
SW
SXP
(Aggregation)
SXP
SXP
Speaker
Listener
•
Две роли –speaker (передает SXP- таблицу), listener (принимает SXP- таблицу)
•TCP:64999
•«легкий» протокол (CPU, легко добавить в ПО)
•MD5 аутентификация
•IETF Draft
Cat2k, ASA, AireOS, Nexus 1000v и т.д.

20. Распространение информации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 20
Способ
2. SXP. «Старое» оборудование
Передача информации
SGT
Cat2960-S
Nexus 2248
WLC5508
ASA5585
Enterprise Backbone
Nexus 2248
Cat6500Sup720
Nexus7000
Nexus5500
ISE
CRM
ESXi
Обычные соединения
Классифика- цияна доступе
Классификация ЦОД
Приме- нениеполитики
SXP
SXP
SXP
SXP

21. Масштабирование SXP
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 21
Platform
Max SXP Connections
Max IP-SGT bindings
Catalyst 6500 Sup2T/ 6800
2000
200,000
Nexus 7000 (M Series linecards)
980
50,000
Catalyst 4500 Sup 7E
1000
256,000
Catalyst 4500-X / 4500 Sup 7LE
1000
64,000
ASA 5585-X SSP60
1000
100,000
ASA 5585-X SSP40
500
50,000
Catalyst 3850/WLC 5760
128
12,000

22. Распространение информации
inline SGT
-естественный способ передачи метки безопасности
-требует нового оборудования
SXP
-
«еще один протокол»
-
необходимо планировать архитектуру SXP
-
обнаружение петель начиная с 4-й версии SXP
-
при изменении топологии TrustSec, перенастройка SXP отношений
-
не забыть разрешить TCP:64999*
-
нужно продумать резервирование**
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 22
SXP
или inline SGT? Что использовать?
* ВАЖНО
** ОЧЕНЬ ВАЖНО

23. Распространение информации
Метка безопасности как глобальный атрибут трафика
-использовать в QoS, PBR, ACI и т.п.
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 23
Будущее
inline SGT…

24. Распространение информации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 24
Важный нюанс.
MACSEC
Mode
MACSEC
MACSECPairwiseMaster Key (PMK)
MACSECPairwiseTransient Key (PTK)
Encryption Cipher Selection
(no-encap, null, GCM, GMAC)
Trust/Propagation Policy for Tags
ctsdot1x
Y
Dynamic
Dynamic
Negotiated
Dynamicfrom ISE/configured
ctsmanual –с шифрованием
Y
Static
Dynamic
Static
Static
ctsmanual – без шифрования
N
N/A
N/A
N/A
Static
• CTS Manual
рекомендуется
•“ctsdot1x” выключит порт если AAA-сервер недоступен
•Некоторые платформы (ISRG2, ASR1K, N5K) не поддерживают шифрование
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/15-e/sec-usr-cts-15-e-book/cts-critical-auth.html
•
CTS Critical Authentication Cisco IOS 15.2(2)E / IOS XE Release 3.6E

25. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Применение политики

26. Применение политики
SGFW –ASA55xx, ASR1k (ZBFW), ISR G2 (ZBFW)
SGACL –Cat3650-Xи выше, Cat4500E Sup7E, Cat6500 Sup2T, N1000v и выше,WLC5760
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 26
Платформы
Приме- Классификация ЦОД
нение
политики
Классификация на доступе
Передача информации
Cat3850
Nexus 2248
Nexus 2248
Nexus7000
Nexus5500
ISE
CRM
ESXi
ASA5585
SXP
Cat6500Sup2T

27. Применение политики
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 27
Централизованные политики в
ISE
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 22
permit tcp dst eq 3389
permit tcp dst eq 135
permit tcp dst eq 136
permit tcp dst eq 137
permit tcp dst eq 138
permit tcp des eq 139
deny ip
Portal_ACL

28. Кеширование SGT
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 28
Для передачи нетегированного
трафика на устройства без
поддержки
CTS(LB, IPS)
Коммутатор создает
IP-SGT привязку из inline SGT
DC Access Layer
SGACL enabled Device
Physical Servers
Physical Servers
SGT Tagged Traffic
Untagged Traffic
SXP
8
SRC:10.65.1.9
DST: 10.1.100.52
SGT:8
IP Address
SGT
10.65.1.9
8(Employee)
8

29. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Сценарии использования

30. С чего начать развертывание?
Пилот (минимальное влияние на текущую работу)
-
категоризация пользователей и ресурсов –неполная
-
классификация пользователей –802.1x monitor mode
-
классификация серверов –IP-SGT
-
распространение –SXP
-
применение политики SGACL с дублирующими разрешениями/частичным deny
-
удобный сценарий «Доступ пользователей в ЦОД»
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 30

31. Приме- нениеполитики
Классификация на доступе
С чего начать развертывание?
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 31
Пилотный проект (
SXP, SGACL, IP-SGT). ДОСТУП В ЦОД
Передача информации
Cat2960-S
Nexus 2248
Enterprise Backbone
Nexus 2248
Nexus7000
Nexus5500
ISE
CRM
ESXi
Обычные соединения
Классификация ЦОД
SXP
IP-SGT
802.1x
monitor mode
SGACL
(в ISE)

32. Классификация ЦОД
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 32
Приме-
нение
политики
Классификация
на доступе
Передача информации
Cat3850
Nexus 2248
Nexus 2248
Nexus7000
Nexus5500
ISE
CRM
ESXi
inline SGT
IP-SGT
(централизованно в ISE)
802.1x
monitor mode
SGFW
С чего начать развертывание?
Пилотный проект’(inline SGT, SGFW). ДОСТУП В ЦОД
ASA5585
SXP
Cat6500Sup2T
Соединения с передачей метки в ethernet-кадре

33. СЦЕНАРИЙ: Сегментация в ЦОД
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 33
- разделение
Production/Development серверов
- требования
PCI DSS
горизонтальный трафик через
SGACLна N7k, N6000, N5600, N5000, N1000v
DC FW DC Switch
Development
Servers
Применение
политик
SXP
HR
Database
ISE
классификация
N1k port profile -> N7k, N5k -> N7k

34. СЦЕНАРИЙ: Сегментацияв ЛВС
горизонтальный трафик через SGACL (ISE!)на Cat3560-X, 3750-X, 3850, 4500E (Sup7E), 4500X, Cat6k Sup2T, WLC5760
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 34
AireOS

35. СЦЕНАРИЙ: TrustSec в КСПД
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 35
Inline SGT
черезWAN :
 ISR G2 IOS 15.4(1)T &
 ASR1000 15.4(1)S
 Ethernet inline SGT ISRG2 & ASR
1000 (
кроме ISR800)
 Передача
SGT в заголовках GET- VPN and IPsecVPN
 SXP
от ISR до ASR как план «Б»
 SGFW
на ISR/ASR Zone-based Firewall
Cat
2960X
Cat3750-X
Филиал Б
SGT через
GET-VPN или IPsecVPN
или SXP
HQ
Inline SGT
ASR1000 Router
Филиал А
ISRG2
ISRG2
2900/3900
SXP

36. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 36
Cat4500
Cat4500
Cat4500
Cat6500/Sup2T
Cat6500/Sup2T
N7K
N7K
N5K
N5K
N2248
N2K
ASA RA-VPN
ASR1K
ASA
ASA
ASR1K
ISR G2
Cat3750-X
5508 WLC
AP
Cat3850
ISE1.2
C800 (CVO)
Campus Access Block
Core Block
Internet Edge Block
DC Block
Branch Block
ISR G2
ISR G2
IPSec
GET-VPN
DMVPNв процессе
FlexVPNв процесс
SSL-VPN (RAS)
Cat6500/Sup2T
Cat6500/Sup2T
5760 WLC
DMZ Switch
Outside Switch
Internet
N1KV
UCS
VDI Infra
SGACL
ZBSGFW
ZBSGFW
SGACL
SGFW
SGACL
ZBSGFW
SGFW
SGACL
Nexus
6000
Cat3850
Web Security
Appliance
Cat3560-X
Cat3560-X
AP
SGACL
SGACL
AP
Cat3750-X
5508 WLC
SGACL
SGACL
ASA-1kv
CSR-1kV
VSG
ASA+IPS+CX
Cat4500
Соединение с inline SGT
Обычное соединение
SXPv2
SXPv2
SXPv2
SXPv2

37. 26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Новые возможности
ISE 1.3

38. ISE 1.3
-
Внутренний УЦ (для BYOD внедрений). Возможность интеграции с корпоративной PKI
-
Поддержка нескольких лесов AD (без доверительных отношений)
-
pxGrid–новый способ передавать информацию безопасности
-
Переработанный интерфейс администратора и пользователей рабочих процессов гостевого доступа и BYOD
-
Поддержка Email/SMS для передачи информации гостям+ список ОпСоС
-
Ограничение числа гостевых подключений
-
Уведомление об истечении срока действия учетной записи по SMS/email
-
И мн. др.!
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 38

39. Ссылки и дополнительная информация
CTS Start Page
http://www.cisco.com/go/trustsec
CTS System Bulletin v5.0
http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00- secure-access.pdf
TrustSec Design Guide(версия 2.1)
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
SXP IETF Draft
http://tools.ietf.org/html/draft-smith-kandula-sxp-00
Ролики на YouTube –канал “CiscoISE”
https://www.youtube.com/user/CiscoISE
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 39

40. CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Пожалуйста, заполните анкеты. Код 3661
Ваше мнение очень важно для нас.
Спасибо
Алексей Спирин
alspirin@cisco.com
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.