1. Hálózati eszközök konfiguráció biztonságának
ellenőrzése Cisco APIC-­EM SDN-­en keresztül
A
NET’54
‚’NETaudIT'
működése
és
illesztése
az
APIC
Enterprise Modul
API-­‐hoz
Suba
Attila,
CISA,
CISSP
Műszaki igazgatóhelyettes,
NET’54
Kft.

2. 2EMEAR Enterprise Software-­Defined © 2015 Cisco and/or its affiliates. All rights reserved.
The Pace of IT – Bimodal IT
Problem: CIOs are challenged to keep running existing IT more
efficiently and safely, while enabling business innovation and
differentiation at a quickening pace.
Solution: Bimodal IT,
enabling developers
and
enabling governance

3. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu3
Érdekes-e még a hálózatbiztonság?
“Az életciklusukon túli hardvereknek és szoftvereknek tulajdonítható leállások több kárt okoznak, mint a
kibertámadások.”1 – Dennis Wenk
Értékteremtés
Pillanatképek és a biztonságérzet
Kérdések fontosabbak vagy a válaszok?
1
Ross,
J.
Steven,
Information
Security
Matters:
Standley Baldwin's
Bombers,
ISACA
Journal
Volume
5,
2015

4. Olyan a hálózati eszközök konfigurációját az iparági
szabványok, ajánlások, rendszerintegrátori tapasztalatunk
fényében biztonsági szempontból ellenőrző eszköz
megalkotása, amely egyszerűen használható eszköz a
nagyvállalati hálózati szakemberek, informatikai auditorok és
vezetők számára.
Célkitűzés

5. 5
• Multivendor hálózati integrátor
• Feljesztői kapacitások
• Információbiztonsági háttérismeretek
• Ügyfél szegmens ismerete
• Értékteremtés
• Ügyfél kapcsolataink
• Csatornák
• Fő tevékenységek
• Fő erőforrások
• Revenue Streamek / Költség struktúrák
Háttér

6. 6
Problémák azonosítása, osztályzása
fontosság Specifikus leírás
1 Nagy mennyiségű hálózati eszközök konfiguráció-­biztonságának szinten-­
tartása összetett feladat
2 A konfigurációk ellenőrzése manuálisan nehézkes, a feltárt problémák
rendezett, struktúrált reprezentációja időigényes, és a
megismételhetőség kritériumával bővítve egyre nehebbé válik.
3 Saját toolok híján, saját fejlesztés szükséges vagy olyan sw használata,
amelynek nem specifikusan ezzel a problémára nyújt megoldást
Üzleti környezet
NETaudIT
Nagyvállalatok
Sok hálózati eszközzel (10-­től több ezerig)
Információbiztonsági audit/ellenőrzési kötelezettség van a hálózat tekintetében.
Nincs eszköz a standardok betartásának ellenőrzésére
Nincs (multi)vendor tudás a konfiguráció-­biztonság kialakítására
NETaudIT
4 Nincs átfogó képem a hálózat állapotáról

7. 7
• Szolgáltatás: policy/szabályzatok megismerése, kialakítása, speciális szabályrendszerek definiálása
• Eszközök tömeges vizsgálata, akár napi rendszerességgel sok szempontból
• Eszközök beállításai megfelelnek-­e a belső szabályzatnak
• Eszközök beállításai megfelelnek-­e a legfrissebb biztonsági elvárásoknak
• Adminisztrátorok, dolgozók nem hagynak-­e nyitva (direkt vagy véletlenül) hátsó ajtókat
• Multivendor támogatás
A megoldás kulcsterületei

8. 8
• A legmagasabban képzett, tapasztal Cisco (és más vendor) mérnökök által előre elkészített és
folyamatosan frissített szabálykönyvtár
• Saját szabályok hozhatók létre, a szervezet belső szabályzatának és egyedi igényeknek való
megfelelősség ellenőrzésére
• Akár több ezer konfiguráció ellenőrzése elindítható egyetlen gombnyomással, vagy automatizáltan
• A szabályokat naplózni tudjuk, így pontosan visszakereshetők a feltárt sérülékenységek részletei
• Összesítő riport – vezetői áttekintés
• Szabály-­konfiguráció eredmény mátrix riport
A NETAudIT értékei

9. 9
Más termék NETaudIT
Új szolgáltatás kialakítása:
Új biztonsági ellenőrző funkcionalitás beléptetése a vállalati infomatikába, amely a minden informatikai szolgáltatás
alapját képező hálózati szakasz emberi hibáknak kitett területére fókuszál, könnyen ismételhető és jól riportálható
eszköz formájában.
1. xxxxxx árfekvése
nehézségek/overheadek/tréningek/support/integráció
2. Sok manuális munka
3. Felesleges modulok, USA könyezetre kidolgozott
részelemek
4. Üzemeltetési nehézségek
5. Cloudban történő kiértékelés
1. Egyetlen szimpla rendszer, amely támogató eszköz a
feladatok elvégzésére
2. Beépített szabályrendszerek, szabad
továbbfejleszthetőség, letisztult folyamatokból
felépítve
3. Kisebb és óriási méretekben is alkalmazható
4. Hardver független (nem csak Cisco)
5. Auditor-­, üzemeltetői és vezetői tool egyszerre
Összehasonlítások

10. 10
• Alacsonyabb bekerülési költség
• Kisebb és hatalmas rendszerekben való gondolkodás lehetősége, azonos képességekkel
• Alacsony költség mellett azonos value proposition
• Csak a tényleges funkcionalitást kell megvenni
• Rugalmas fejlesztő partner, a fejlesztő támogatásával, helyi támogatás
• Egyszerű kezelőfelület, BÁRKI használhatja
Várható előnyök

11. 11
Kockázat % Hatás Megelőzés
Bizalmatlanság szoftverrel szemben 70% KRITIKUS oktatások, demók állnak
rendelkezésre, próbaidőszak
Együttműködés a meglevő
környezettel, egyedi igények
50% HIGH A NET’54 rendszerintegrációs
szolgáltatásai
Infrastruktúra biztonság
bagatelizálása
70% HIGH Oktatások, konzultációk, helyi
specifikumok illesztése szükség
esetén
Üzleti kockázatok és megelőzésük

12. 12
Cisco APIC-EM

13. SDN Controller – Cisco Domain Controllers

14. Agility Requires Faster Network Provisioning
Source:
Forrester Source:
Open
Compute
Project
Time
IT
spends
on
operations80% CEOs
are
worried
about
IT
strategy
not
supporting
business
growth57%
Network
Expenses Deployment
Speed
0 10 100 1000
Computing Networking
Seconds
0
100%
CAPEX OPEX
33% 67%

15. 15EMEAR Enterprise Software-­Defined © 2015 Cisco and/or its affiliates. All rights reserved.
Introducing APIC-­EM and 3 Apps
Day 0 : Plug-­and-­Play App
Zero touch deployment of routers / switches / APs
Shrinks deployment from months to minutes
Day 1 : Cisco IWAN App
Guided, fast auto-­provisioning of IWAN solution
with Cisco experts’ best practices
From 1000s of CLI commands to a few policy
deployments with a few GUI clicks per branch
Day 2 : Path Trace App
Discover path between two end points based
Lower OPEX for trouble ticket processing by 98%
3 N E W A P P L I C A T I O N S
Applications
SecurityOrchestration Automation Collaboration
SOUTHBOUND ABSTRACTION LAYER
CATALYST | ISR | ASR | WIRELESS
REST API
E N T E C H N O L O G Y D I F F E R E N T I A T I O N

16. 16EMEAR Enterprise Software-­Defined © 2015 Cisco and/or its affiliates. All rights reserved.
Northbound REST API
APIC-­EM Platform Architecture
APIC-­EM Applications
Elastic Controller Infrastructure (Grapevine )
Network
PnP
IWAN
Path
Trace
Network
Inventory
Advanced Topology Visualizer
APIC-­EM Services
Inventory
Manager
RBAC Policy Analysis
Policy
Programmer
Network PnP
Data Access
Service
Topology
Services
IWAN
Services
Applications built on top of APIC-­EM
Applications packaged with APIC-­EM
Core Applications bundled
IWAN Application separately licensed
Open and Documented REST API
Core Services
Applications Specific Services
Provides Scale and High Availability

17. Common
Policy
Model
from
Branch
to
Data
Center
Application
Network
Flow
Profile
SLA,
Security,
QoS,
Load
Balancing
User
and
Things
Network
Profile
QoS,
Security,
SLA,
Device,
Location,
Role
Cloud Data
Center WAN Access
POLICY
DATA
CENTER WAN
AND
ACCESS
CISCO®
ADVANTAGE
BROWNFIELD
AND
GREENFIELD
END
TO
END
POLICY
FRAMEWORK:
FOCUS
ON
APPLICATION
AND
USER
ENABLEMENT

18. Devices
Supported
General
Availability
Release
`
Device Series
Catalyst 2960-­X/XR Series Switches Catalyst 4500x Series Switches
Catalyst 2960-­S Series Switches Catalyst 4900 Series Switches
Catalyst 2960 Series Compact
Switches
Catalyst 6500 Series Switches
Catalyst 3560 Series Compact
Switches
Catalyst 6800 Series Switches
Catalyst 3650 Series Switches Cisco Nexus 5000 Series Switches
Catalyst 3850 Series Switches Cisco Nexus 7000 Series Switches
Catalyst 3750-­X Series Switches
EtherSwitch Modules for Integrated
Services Routers: SM-­E22-­16-­P, SM-­
ES2-­24-­P, SM-­D-­ES2-­48, SM-­ES3-­16-­
P, SM-­ES3-­24-­P, SM-­D-­ES3-­48-­P
Catalyst 3560-­X Series Switches Industrial Ethernet 2000 Series Switches
Catalyst 4500 Series Switches Industrial Ethernet 3000 Series Switches
LAN
Device Series
4000 Series Integrated Services Routers
Integrated Services Routers Generation 2
ASR 1000 Series Aggregated Services Routers
ASR 9000 Series Aggregated Services Routers
Cisco Cloud Services Router 1000v
WAN
Device Series
Wireless LAN Controllers (IOS XE & AireOS)
WLAN

19. `
Controller
Applications
-­‐ Device
Inventory
Single
Source
of
Truth
§ Real-­‐time
network
device
inventory
and
asset
service
management
§ Includes
all
network
devices
with
an
abstraction
for
the
entire
network:
− Full
knowledge
of
network
− Awareness
of
the
overall
operational
health
of
the
physical
network
− Detailed
inventory
information
for
easier
consumption
by
controller
services
and
applications
− Allows
applications
to
be
device-­‐agnostic
§ Inventory
service
runs
in
the
background
to
maintain
an
accurate
database

20. Controller
Applications
-­‐ Device
Inventory
`

21. `
Topology
Visualizer -­‐ TAG
View
Ability
to
visualize
device
TAGs
in
the
topology
view

22. APIC-EM Northbound REST API
Problem: How to get started with a Controller API?
Solution: Explore
Example:
1) In the APIC-­EM User Interface,
click on [API]
2) Navigate to the desired API
in our example:
/network-­device/count
47

23. 23
NETaudIT

24. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu24
A NETaudIT és a Cisco APIC-EM
NETaudIT

25. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu25
NETAudIT működési ciklus
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Nem
része
az
NETAudit-­‐
nak!
(seggregation of
duties)

26. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu26
NETAudIT logika
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

27. Konfigurációk betöltése
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

28. Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

29. Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

30. IOS konfig és JSON struktúra

31. Alcatel konfig és JSON struktúra

32. Auditálás
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

33. szabályrendszerek
Source
Config Identification Parsing
JSON
Config
GrammarIdentifier
Classification
Classifier
Plain
text
JavaScript
Plain
text
XML JavaScript
JSON
DB DB
AuditingJSON
Rule
JavaScript
Result
Matrix
RulesGrammars
DB
APIC-­‐EM
Web
GUI
upload
Bulk
Insert
Script
REST
API
HTTPFiles
Selects
the
grammar
to
use
for
parsing
Selects
the
group
of
rules
to
run
on
the
config

34. Szabályszerkesztő

35. Szabályfutás folyamata

36. Szabályfutás folyamata

37. Szabály példa – passive intf. ellenőrzése
router ospf 1
router-id 10.216.3.11
log-adjacency-changes
auto-cost reference-bandwidth 10000
timers throttle spf 50 500 10000
network 10.0.0.0 0.255.255.255 area 0
bfd all-interfaces
mpls ldp sync
Javasolt konfiguráció:
router {eigrp|ospf} <as-number>
passive-interface default
no passive-interface <interface1>
no passive-interface <interface2>
address-family ipv4 vrf <vrf-name>
passive-interface default
no passive-interface <interface1>

38. Eredményösszesítő

39. Eredménymátrix – webes formátumban

40. Eredménymátrix Excelben

41. Eredményösszesítője Excelben

42. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu42
NETAudIT működési ciklus
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Nem
része
az
NETAudit-­‐
nak!
(seggregation of
duties)

43. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu43
Remediate
Collect
Classify
Analyse
Report
Remediate
(opcionális)
Miért
nem
javítunk?
(SoD)
Hogy
lehet
javítani?
Roadmap

44. NET’54 Üzleti Kommunikáció Kft.www.net54.hu / info@net54.hu44
A NETaudIT és a Cisco APIC-EM
NETaudIT

45. Köszönöm a figyelmet!