2. О чем пойдет речь
Потребность в управлении доступом
Архитектура безопасного доступа
Контролируем доступ в сеть для ПК
Сетевые устройства
Управляем гостевым доступом
Управляем мобильными устройствами
Метки безопасности
2
3. Эволюция доступа
Эпоха сетей без границ
Кампусная
сеть
ЦОД.
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотрудники
(Продавцы)
VPN
Сотрудники
(Финансы)
КонтрактникиГостиIP камера
Телеработа
VPN
VPN
Мобильные сотрудники
Сотрудники с WiFI-
устройствами
Системы
безопасности
Принтеры
(Бухгалтерия)
POS-
терминалы
4. Что такое управление доступом ?
Кто вы?
802.1X (или другие методы)
аутентифицируют пользователя
1 Защита от
посторонних
Куда можно ходить?
Основываясь на аутентификации
пользователь помещается в VLAN
2
Разграничение
внутреннего
доступа
Какой тип сервиса получаете?
Пользователь получает
персональные сервисы (ACL и т.д.)
3
Привязка к IT-
сервисам
Что вы делаете?
Идентификация пользователя и локация
используется для логирования и трекинга
4
Видимость
происходящего
5. Архитектура безопасного доступа Cisco TrustSec
Коммутаторы
Межсетевые
экраны
Identity Services Engine (ISE)
AnyConnect или встроенный в
ОС клиент 802.1x
Клиенты
Применение
политик доступа
Идентификация и
управление
политиками доступа
WiFI Маршрутизаторы
ISE – ключевой управляющий элемент архитектуры
Веб-браузер Мобильные
устройства
IP-устройства
6. Как работает управление доступом ?
Identity Services Engine
Сетевая
инфраструктураКлиенты
5. Передача
политики доступа
по протоколу Radius
(ACL,VLAN, SGT)
2. Передача идентификационных
атрибутов по
протоколам:
Radius, 802.1x, MAC, Web…
1. Подключение в сеть
4. Авторизация
3. Идентификация/
Аутентификация
В теории все просто
6. Учет доступа
8. Обобщенный образ : Гудвей-X
Банк,
Ритейлер,
Промышленный холдинг,
Агрохолдинг,
Страховая компания,
Оператор связи.
Айк –
IT-менеджер
отвечает за работу сети
Зак –
Менеджер
по информационной
безопасности
Компания
Гудвей-X -
9. В компании Гудвей-X назрела проблема
Внешний аудит показал, что в компании не существует
контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и
поручил Айку внедрить контроли.
Бизнес-кейс
Решение: Система контроля доступа 802.1X
Описание задач для Айка:
1. Необходимо проводить учет подключений в сеть
2. Компания хочет быть уверена, что сотрудники
получают доступ в сеть только с авторизированных
устройств.
10. Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
До аутентификации
?
USER
?
Закрытый режим 802.1X
11. Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
Выглядит
также как и
без 802.1X
Пользователь: Маша
“Клиент для 802.1x есть в
Windows XP/7 и у меня
завалялся Cisco ACS.
Задача решена!”
подумал Айк.
Authenticated Machine: XP-Mary-45
Закрытый режим 802.1X
12. Что случилось дальше ?
@ Гудвей-X, ДО появления 802.1x…
Я не могу
соединиться с сетью.
Она говорит
“Аутентификация не
пройдена” и я не
знаю что делать,
через два часа у
меня презентация…
Я протестировал
дома конфигурацию,
все выглядит
отлично. Завтра я
включаю 802.1x …
Включает 802.1X
Звонки в поддержку увеличились на 200%
Айк
13. Чего не хватало Айку?
Некорректно внедренный 802.1x – это
система управления предотвращения доступа
Необходим режим мониторинга
Должен существовать метод анализа удачных и неудачных
соединений
Управление доступом лучше внедрять поэтапно
Внедрение 802.1x лучше начинать с:
Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
Low Enforcement Mode (Режим малого воздействия 802.1x)
Какие уроки мы извлекли?
14. Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTPDHCP
EAPoL
Permit All
SWITCHPORT
KRB5 HTTP
TFTPDHCP
EAPoL
Permit All
Traffic always allowed
Pre-AuthC Post-AuthC
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1 для Гудвей-X
15. Режим малого воздейтствия
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, Интернет, внутренний портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
SWITCHPORT
KRB5 HTTP
TFTPDHCP
EAPoL
SWITCHPORT
KRB5 HTTP
TFTPDHCP
EAPoL
Role-Based ACL
Permit
Some
Pre-AuthC Post-AuthC
SGT
16. Отсутствие отчетности со стороны сапликанта
Когда все в порядке – пользователь не в курсе.
Но когда все перестает работать…
— Пользователь видит “Authentication Failed”
сообщение и всё.
— Отсутствие видимости. Только звонок в
службу поддержки
Решение: Сторонние сапликанты
Cisco’s AnyConnect Supplicant
— Предоставляет утилиту для отчетов (DART)
— Детализированные журналы с клиентской
стороны
16
Чего не хватало Айку?
Какие уроки мы извлекли?
17. Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
18. Чего не хватало Айку?
Решение: Identity Services Engine (ISE)
Какие уроки мы извлекли
18
19. Чего не хватало Айку? -
Детализация удачных и неудачных попыток доступа в Cisco ISE
19
20. Чего не хватало Айку?
Детальный вид активных сессий и наложенных политик в Cisco ISE
21. Чего не хватало Айку?
Неаутентифицируемые устройства
Вот о каких устройствах мы забыли
У них нет поддержки 802.1x
— Либо он на них не настроен
— Принтеры, IP Телефоны, Камеры, СКУД
Как же с этим быть?
Решение? Не использовать 802.1х на портах с принтерами
Решение: MAC Authentication Bypass (MAB)
Какие уроки мы извлекли?
--------------------------------------------------------------------------------------
-
22. MAC Authentication Bypass (MAB)
Список MAC адресов, которым разрешено “пропускать”
аутентификацию
Это замена Dot1X?
Ни за что!
Это скорее всего “Исключения из правил”
В идеале: Все устройства аутентифицированы.
Список может быть локальным (на коммутаторах) или
централизованным на Radius-сервере ( Cisco ISE)
Можете подумать о преимуществах централизованной модели?
Что же это?
23. Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на свой ноутбук ?”
Требуется автоматизировать
построение списка устройств!
Эволюция бизнес-кейса
24. Решение есть - Профилирование
PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
25. Технология профилирования
Профилирование на ISE использует анализ поведения и сигнатуры
Запросы, используемые для сбора данных
Как мы классифицируем устройство?
25
RADIUS
DHCP
DNS
HTTP SNMP Query
NetFlow
DHCPSPANSNMP Trap
NMAP
26. Детектирование и классификация устройств
26
ISE Policy Server
VPN
Cisco Prime
ISE пассивно и активно собирает данные служебных протоколов об устройствах
CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS
HTTP/DHCP/RADIUS
SNMP
DNS
NMAP/SNMP
NMAP
DHCP/NetFlow
27. Примеры профилей
• Политики профиля используют условия для определения устройства.
• Политики основаны на принципе наилучшего совпадения
Is the MAC
Address from
Apple
DHCP:host-
name
CONTAINS iPad
IP:User-Agent
CONTAINS iPad
Profile Library
Назначить
MAC Address к
группе “iPad”
Я вполне
уверен что
устройство iPAD
28. Сенсор устройств
Распределенный сбор данных с централизованным анализом
28
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k
только)
• Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones)
• Не зависит от топологии
Поддержка сенсоров
• 3560/3750 (excludes LAN Base)
• 3560C/CG (excludes LAN Base)
• 4500 (excludes LAN Base)
• 2960-XR
• 2960-X (in roadmap)
• Wireless Controllers (DHCP, HTTP)
Check Release Notes!
Распределенный сенсор
ISE
CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP
Уникальность
сети
29. ISE 1.2
Сервис обновление профилей Feed Service
Пополняем библиотеку профилей из разных источников:
• Cisco
• Вендора
• Партнёры
30. Нужно понять насколько
устройства соответствуют
политике безопасности
Эволюция бизнес-кейса
Мы имеем идентификацию и профилирование устройства…
Можно ли получить еще информации о состоянии ?
31. Бизнес кейс продолжает эволюцию
Требования:
1. Сотрудники Гудвей-X должны использовать корпоративные рабочие
станции.
2. Все корпоративные станции должны иметь обновленный и
работающий Trend Micro Anti-Virus.
3. Все контрактники должны иметь установленный любой антивирус.
Решение: Давайте выясним
32. Оценка состояния
Состояние (Posture) = статус соответствия политике безопасности
компании.
Пропатчена ли Windows ОС до необходимого уровня?
Установлен ли Антивирус? А базы обновлены?
Анти шпионское ПО установлено? Обновлены ли его базы?
Теперь мы можем расширить Идентификацию пользователя включив
его статус (Posture).
Удовлетворяет ли станция политике безопасности?
*выход Q2 CY14
Posture
AnyConnect 3.2*
Агенты для
проверки
статуса:
АплетыNAC Agent
33. • Microsoft Updates
• Service Packs
• Hotfixes
• OS/Версия браузера
ISE – Проверка состояния
• Antivirus
Установка / Сигнатуры
• Antispyware
Установка / Сигнатуры
• Файловые данные
Files
• Сервисы
• Приложения/
Процессы
• Ключи реестра
34. Проверка состояния
Исправление (Remediation)
Действие по исправлению недостающих или просроченных
компонент состояния.
Может вызывать действия:
— Системы корпоративного патчинга системы (ex: BigFix, Altiris…)
— Windows Software Update Service (WSUS)
— Anti-Virus product Update Services (LiveUpdate.exe, etc.)
А что если пользователь не пройдет проверку?
Карантин
• Помещение в отдельную подсеть с ограниченными правами
(например, только выход в Интернет)
35. RADIUS Change of Authorization (CoA)
Quarantine
VLAN CORP
VLAN
1 Клиент провалил проверку состояния и
был помещен в карантинный VLAN
2 Клиент исправляет недочеты и
отчитывается как: Posture=Compliant
3 ISE использует RADIUS CoA
для реаутентификации
4 Клиент реаутентифицирован и
помещен в CORP VLAN
Динамический
контроль сессии с
сервера политик
Реаутентификация сессии
Завершение сессии
Завершение сессии со сбросом
порта
Отключение хостового порта
Запрос к сессии
на активные сервисы
на полноту идентификации
специфичные запросы
Активация сервиса
Деактивация сервиса
Запрос к сессии
36. Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк:
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!
38. Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
или SMS
Управление: Привилегии
спонсора, гостевые аккаунты и
политики, гостевой портал
Отчетность: По всем аспектам
гостевых учетных записей
Guests
Cisco ISE
Компоненты полного жизненного цикла гостя
Аутентификация/Авторизация
Посредством веб-портала ISE
39. ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные атрибутов
Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
40. Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
42. Полный аудит сетевой активности гостей
42
ISE Policy Server
VPN Журналирование на межсетевом
экране активности и отправка
информации на ISE для корреляции.
Guest IP accessed http://www.google.com
Guest IP accessed http://facebook.com
Guest IP triggered network AV alert
Guest IP triggered Infected endpoint event
Guest IP …
43. Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует, чтобы мы разрешили
ему доступ в сеть, потому как это
устройство помогает ему в работе”
44. Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто из
сотрудников имеет
право на BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
•Как поддерживать
увеличившиеся кол-во
устройств ?
•Кто будет настраивать ?
•Кто будет согласовывать
с безопасностью ?
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям
45. Что предлагает ISE для управления
персональными устройствами
Автоматическая настройка
множества типов устройств:
̶ iOS (post 4.x)
̶ MAC OSX (10.6, 10.7)
̶ Android (2.2 and later)
̶ Windows (XP, Vista, Win7K, Win8)
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-ID
Поддержка всех типов
подключений
Занесение
устройств в
“черный” при
хищении,
увольнении
Самообслуживание
персональных устройств
для авторизированных
сотрудников
48. Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
49. Распространение
корпоративного ПО
Инвентаризация
Управление
(Backup, Remote
Wipe, etc.)
Контроль
использования
сетевых ресурсовКлассификация/
Профилирование
Регистрация
Безопасный сетевой доступ
(Wireless, Wired, VPN)
Управление сетевым
доступом на основе
контекста
Настройка
профилей
безопасности
устройства
User <-> Device
Ownership Соответствие политике
(Jailbreak, Pin Lock, etc.)
Шифрование
данных
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE)
УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Позиционирование ISE и MDM
Пользователи и IT совместно
управляют устройством и доступом
Пользователь управляет устройством
IT управляет доступом в сеть
Управление затратами
50. ISE 1.2 поддерживает интеграцию c MDM ISEMDM
Manager
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM
Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
51. MDM проверка соответствия
Соответствие на основании:
General Compliant or ! Compliant status
— OR
Вкл. Шифрование диска
Парольная защита вкл.
Jailbreak устройства
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит
через определенные промежутки времени.
Если со временем устройство перестоит быть
соответствующим политике, ISE завершает
сессию устройства.
MDM –источник информации для ISE
Micro level
Macro level
52. Инициация действий через MDM
52
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM сервер
(пример: удаленно стереть устройство)
Портал мои устройств
ISE Каталог устройств
• Edit
• Reinstate
• Lost?
• Delete
• Full Wipe
• Corporate Wipe
• PIN Lock
Options
53. Добавим мощи в Dot1X
Айк: -“При изменение IP-серверов нужно менять
ACL”
Зак: -“Для создания моей политики моей мечты
нужно 800 000 строчек ACL ?”
Какие технологии есть ?
VLAN, ACL или ….
Механизмы авторизации
54. Сложности внедрения авторизации
При использовании политик по VLAN, IP-адресам
54
• Могу ли я создавать и управлять новыми VLAN либо адресным
IP пространством?
• Что мне делать с DHCP при смене VLAN у пользователя?
• Как управлять ACL на VLAN интерфейсе?
• Кто будет управлять ACL?
• А что если destination адреса изменятся?
• Хватит ли у коммутатора памяти для обработки всех правил?
Традиционные средства авторизации оставляют вопросы к размышлению:
Не так гибок к изменениям, требуемых бизнесом
Проекты контроля доступа заканчиваются редизайном всей сети
802.1X/MAB/Web Auth
ACL
Download
VLAN
Assignment
55. Secure Group Access
Понятие включает и описывает термины:
Secure Group TAG (SGT’s)
Secure Group ACL’s (SGACL’s)
Когда пользователь заходит в сеть ему назначается метка (TAG)
(SGT), которая обозначает его роль
Эта метка переносится по всей сети
Сетевые устройства и устройства безопасности применяют SGACL’s
основываясь на матрице доступа:
Контроль доступа - независимый от топологии и IP-адресации
SGT Public Private
Staff Permit Permit
Guest Permit Deny
56. Контроль доступа на основе группы безопасности
SGA позволяет пользователям:
Сохранить исходный логический дизайн на уровне доступа и исходую IP-
адресацию
Изменять / применять политики в соответствии с требованиями сегодняшнего
дня
Устанавливать политику централизованно на сервере управления
Egress
Enforcement
SGACL
SGT=100
I am an employee
My group is HR
HR SGT = 100
HR (SGT=100)
Ingress Enforcement
Finance (SGT=4)
802.1X/MAB/Web Auth
56
57. DC Access
WLC FW
Inline SGT Tagging
CMD Field
ASIC ASIC
Optionally Encrypted
SXP
SRC: 10.1.100.98
IP Address SGT SRC
10.1.100.98 50 Local
Hypervisor SW
SXP IP-SGT Binding Table
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
(No CMD)
Теггирование Ethernet-фреймов (data plane):
Если устройства поддерживают SGT в железе
SXP (control plane): Обмен информации о метках
между cетевыми устройствами в отдельном протоколе
IP Address SGT
10.1.100.98 50
Campus Access Distribution Core DC Core EOR
SXP
Enterprise
Backbone
Распространение меток по сети
57
58. Распространение меток и политик безопасности
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254
6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000
Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
60. Контроль доступа на основе группы
безопасности для фаерволов ( Cisco ASA)
60
Source Tags
Destination
Tags
61. Сценарий 1:
Управление доступом пользователей в ЦОД
Users/
Devices
Switch Router DC FW DC Switch
Development
Servers
Enforcement
SGT Propagation
Production
Servers
ISE Directory
Classification
Employee
(Managed asset)
Employee
(Registered BYOD)
Production
Servers
Internet
Access
Source
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Logical
View
Policy
View
Employee
(Unknown BYOD)
Development
Servers
ENG VDI System
62. Сценарий 2:
Сегментация кампусной и филиальной сети
Switch Router DC FW DC Switch
Development
Servers
Enforcement
Production
Servers
ISE DirectoryClassification
LoB1 Production
Users
LoB1 Developers
Protected Assets
Guests Internet Access
LoB1 Production
Users
Malware
Blocking
DENY PERMITDENY
PERMIT
Collab Apps
LoB1 Developers
Source
PERMIT
Collab Apps
DENY PERMITDENY
Malware
Blocking
DENY DENY DENY PERMIT
Malware
Blocking
DENY PERMITDENYDENYDENY
LoB = Line of Business
Policy
View
Logical
View
Malware Blocking ACL
Deny tcp dst eq 445 log
Deny tcp dst range 137 139 log
Permit all
LoB2 Employees
LoB2 Employees
Guest
63. Сценарий 3:
Сегментация центра обработки данных
Users/
Devices
Switch Router DC FW DC Switch
Development
Servers
Enforcement
SGT Propagation
HR
Database
ISE
Classificatio
n
Production
Servers
Production
Servers
HR
Database
Protected Assets
PERMIT DENY
Storage
PERMITDENY
Development
Servers
Source
DENY DENY PERMITPERMIT
DENY PERMIT PERMITDENY
PERMIT PERMIT PERMITPERMIT
Logical
View
Policy
View Development
Servers
HR
Database
Storage
64. Эволюция бизнес кейса:
Как еще я могу использовать ISE ?
Можно ли использовать информацию от ISE в
системе SIEM, которую мы внедряем ?
Айк
68. Устройства ISE
Cisco Secure Network Servers
На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x
SNS-3415-K9 and SNS-3495-K9
New
ISE 1.2
69. Узлы и роли ISE
Роли – одна или
несколько:
• Администрирование
(Admin)
• Мониторинг (MnT)
• Сервис политик
(PSN)
Единый ISE узел
(устройство или VM)
ИЛИ
ISE
Inline
Posture
ISE
Policy
ServiceMonitoring
Admin
Отдельный узел в
режиме Inline для
оценки состояния
(только
устройство)
71. Campus
A
Branch A Branch B
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
Admin (P)
MnT (P)
PSN
HA Inline
Posture Nodes
• Все сервисы запущены на обеих нодах
• Одна нода основной админ резервный M&T
• Вторая нода основная мониторинг, вторичный
админ
• Максимум устройств зависит от платформы:
• 33x5 = Max 2k endpoints
• 3415 = Max 5k endpoints
• 3495 = Max 10k endpoints
AD/LDAP
(External ID/
Attribute Store)
Базовая централизованное внедрение ISE
Максимальное количество end-point до 10,000
72
IPN
IPN
Admin (S)
MnT (S)
PSN
PSN
72. Data
Center A
DC B
Branch A Branch B
AP
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
802.1X
Switch
802.1X
Admin (P)
MnT (P)
Policy Services
Cluster
HA Inline
Posture Nodes
• Выделенные ноды управления
• Pri. Admin / Sec MNT
• Pri MNT / Sec Admin
• Выделенные сервера политик
• До 5 PSNs
• Не более 10000 устройств поддерживается
• 3355/3415 as Admin/MnT = Max 5k endpts
• 3395/3495 as Admin/MnT = Max 10k endpts
Distributed
Policy Services
AD/LDAP
(External ID/
Attribute Store)
AD/LDAP
(External ID/
Attribute Store)
Базовое распределенное внедрение
Максимум end-point= 10,000 / Максимум 5 ISE PSNs
73
PSN PSN
PSNPSN
IPN
IPN
Admin (S)
MnT (S)
73. Data
Center A
DC B
Branch A
Branch B
AP
APAP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
802.1X
Switch
802.1X
Admin (P)
Admin (S)
Monitor (P)
Monitor (S)
Policy Services Cluster
HA Inline
Posture Nodes
• Выделенные узлы управления
• Pri. Admin
• Sec. Admin
• Pri MNT
• Sec Admin
• Выделенные сервера политик
• До 40 PSNs
• Up to 100k endpoints using 3395 Admin and MnT
• Up to 250k endpoints using 3495 Admin and MnT
Distributed
Policy Services
AD/LDAP
(External ID/
Attribute Store)
AD/LDAP
(External ID/
Attribute Store)
Полностью распределенное внедрение
Максимум end-point= 250,000 / Максимум 40 ISE PSNs
74
MnTPAN
PAN MnT
PSN PSN PSN PSN
PSNPSN
IPN
IPN
PSN
74. Поэтапная стратегия внедрения ISE
• Сфера внедрения: Лаба > Пилот > Промышленное внедрение
• Режимы внедрения : Monitor > Authentication > Enforcement
• Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc.
Вовлекайте всех заинтересованных лиц с первого дня проекта
Visibility ISE Installation NAD Configuration Profiling Monitor
Classification
Agentless
MAB/Profiling
Unmanaged
WebAuth Managed 802.1X Posture Desktop OSs
Enforcement Assessment Segmentation
Production Availability Performance Operations
75. Архитектура управления доступом TrustSec
www.cisco.com/go/trustsec
SXP
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Catalyst® Switch
Cisco
ISE
WiFI
пользователь
Кампусная
сеть
Проводной
пользователь
Cat 6K
Применение политик
MACsec
Profiler
Posture
Guest Services
RADIUS
Применение политик
Применение политик
Cisco®
Wireless
Controller
Site-to-Site
VPN user WAN
ISR G2 с встроенным
коммутатором
ASR1K
SXP
AnyConnect
Named ACLs
dVLAN
dACLs / Named ACLs
dVLAN
SGACLs
Текущая версия TrustSec 4.0 !!
81. Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cisco.com
www.cisco.com/go/trustsec