2. Содержание
2
Введение Оценка
ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Внедрение
политики
Оценка
и классификация
ресурсов
Моделирование
политик
Резюме
Внедрение Мониторинг
Проектирование
и создание
политики
Адаптивное
управление
сетью
3. Из чего состоит жизненный цикл атаки
3
Исследования
Расширение
поверхности атаки Выполнение
Кража
Нарушение
Подготовка
Первичная
компрометация
Первичная
разведка
Проникновение
(C&C)
5. Цикл OODA (Observation-Orientation-Decision-Action)
Наблюдение-ориентация-принятие решения-действие)
5
Наблюдение
Ориентация
Принятие
решения
Действие
• Изучение обстоятельств
• Четкое руководство
• Внешняя информация
• Анализ взаимодействия со
средой
• Культурные традиции
• Генетический фонд
• Анализ и синтез
• Новая информация
• Предыдущий опыт
Взаимодействие со средой
6. Сегментация: контроль угроз
6
Оценка и классификация ресурсов
Понимание поведения
Проектирование
и моделирование политик
Внедрение политик
Мониторинг политик
Адаптивное управление сетью
9. Сеть как сенсор
9
Анализ сигналов (анализ трафика):
• Получение информации из шаблонов
коммуникаций
10. NetFlow
10
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Время начала Интерфейс IP-адрес
источника
Порт-
источник
IP-адрес
назначения
Порт
назначения
Протокол Пакетов
отправлено
Байтов
отправлено
SGT DGT Флаги TCP
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN
Время начала Интерфейс IP-адрес
источника
Порт-
источник
IP-адрес
назначения
Порт
назначения
Протокол Пакетов
отправлено
Байтов
отправлено
SGT DGT Флаги TCP
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
11. NetFlow = мониторинг
11
Маршрутизатор номер мониторинг потока кеш CYBER-MONITOR
…
IPV4 SOURCE ADDRESS: 192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT: 47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT: Gi0/0/0
FLOW CTS SOURCE GROUP TAG: 100
FLOW CTS DESTINATION GROUP TAG: 1010
IP TOS: 0x00
IP PROTOCOL: 6
ipv4 next hop address: 192.168.20.6
tcp flags: 0x1A
interface output: Gi0/1.20
counter bytes: 1482
counter packets: 23
timestamp first: 12:33:53.358
timestamp last: 12:33:53.370
ip dscp: 0x00
ip ttl min: 127
ip ttl max: 127
application name: nbar secure-http
…
Только одна запись NetFlow Record содержит массу ценной информации
12. Компоненты для мониторинга безопасности
по технологии NetFlow
12
Сеть Cisco
UDP Director
• Средство копирования
UDP-пакетов
• Переадресация в разные
системы сбора данных
NetFlow Сенсор потока StealthWatch
FlowSensor (VE)
• Создание данных NetFlow
• Дополнительные контекстные поля
(например, приложения, URL,
SRT, RTT)
Средство сбора данных потоков
StealthWatch FlowCollector
• Сбор и анализ
• До 2000 источников
• Непрерывно до 240 000 потоков/с
Консоль управления StealthWatch
• Управление и отчетность
• До 25 устойств сбора данных
• До 6 млн потоков/с на систему
Лучшие практические
методики: централизованный
сбор данных
13. Сбор данных NetFlow: «сшивание» потока
13
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Время начала IP-адрес
клиента
Порт
клиента
IP-адрес
сервера
Порт
сервера
Протокол Байты
клиента
Пакеты
клиента
Байты сервера Пакеты сервера SGT клиента SGT сервера Интерфейсы
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1
eth0/2
Записи однонаправленного
потока
Двунаправленный:
• Запись потока в режиме диалога
• Обеспечивает простую визуализацию и анализ
Время начала Интерфейс IP-адрес
источника
Порт-
источник
IP-адрес
назначения
Порт
назначения
Протокол Пакетов
отправлено
Байтов
отправлено
SGT DGT
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100
14. Сбор данных NetFlow: дедупликация
14
Время начала IP-адрес
клиента
Порт
клиента
IP-адрес
сервера
Порт
сервера
Протокол Байты
клиента
Пакеты
клиента
Байты
сервера
Пакеты
сервера
Приложение SGT
клиента
SGT сервера Экспортер, интерфейс, направление,
действие
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in
Sw1, eth1, out
Sw2, eth0, in
Sw2, eth1, out
ASA, eth1, in
ASA, eth0, out, Permitted
ASA eth0, in, Permitted
ASA, eth1, out
Sw3, eth1, in
Sw3, eth0, out
Sw1, eth1, in
Sw1, eth0, out
10.2.2.2
порт 1024 10.1.1.1
порт 80
Sw1
Sw2
Sw3
ASA
15. Плюс учет контекста и ситуационная
осведомленность
15
NAT
События
Известные сервера команд
и управления (C&C)
Идентификатор
пользователя
Приложение
Приложение
и URL-адрес
URL-адрес и имя
пользователя
16. Запись потока в режиме диалога
16
Кто
КтоЧто
Когда
Как
Где
• Сбор данных с высокой возможностью
масштабирования (корпоративного класса)
• Сильное сжатие => длительное хранение
• Сохранение данных в течение
нескольких месяцев
Больше контекста
17. Запись потока в режиме диалога: экспортеры
17
Путь, по которому идет поток в сети
18. Анализ трафика:
18
Определение дополнительных IOC
• Политика и сегментация
• Установление аномального поведения в сети (NBAD)
Лучшее понимание / реагирование на IOC:
• Регистрация коммуникаций между хостами
Обнаружение
• Определение важных для бизнеса приложений и сервисов в сети
20. Традиционная сегментация
Голос Данные PCI ПодрядчикКарантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLANБольше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи,
здания, офисы и другие объекты. Затраты
могут быть чрезвычайно высокими
ACL
21. Стандартные способы уменьшения охвата
и связанные с этим проблемы
Виртуальная локальная сеть (VLAN)
• Изолированный широковещательный
домен (безопасность не обеспечена)
• Необходимы дополнительные средства
обеспечения безопасности (списки IP ACL,
когда трафик уходит из сети VLAN)
• Отсутствие управления в сети VLAN
• Число политик = числу сетей VLAN
• Большие затраты на обслуживание:
изменение политики, изменение сети
приводит к изменению VLAN,
изменению ACL
Список контроля доступа
IP-адресов (ACL)
• Обычный инструмент управления
(коммутаторы и маршрутизаторы)
• Политика на основе адресов в сравнении
с политикой на основе контекста
• Подверженность человеческим ошибкам
(неправильная конфигурация)
• Большие затраты на обслуживание:
новое местоположение означает
использование нового ACL
22. access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой
безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco
TrustSec®
Сегментация на основе бизнес-политик
Политика
сегментации
23. Сегментация сети с помощью TrustSec
• Сегментация на основе RBAC, независимо от топологии
на основе адресов
• Роль на основе AD, атрибутов LDAP, типа устройства,
местоположения, времени, способов доступа и т. д.
• Использование технологии тегирования для
представления логической группы, траффик отправляется
вместе с тегом
• Внедрение политики на основе тегов для коммутаторов,
маршрутизаторов и МСЭ
• Централизованно определяемая политика сегментации,
которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие
возможности:
Коммутаторы
Маршрутизаторы
Межсетевой экран
Коммутатор ЦОД
ПО гипервизора
Имя пользователя: johnd
Группа: управляющие
магазинами
Местонахождение: офис
магазина
Время: рабочие часы
SGT: менеджер
Применение
политики
Ресурс
24. Управление доступом пользователя к ЦОД
с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст-
вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3
WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание
Данные — VLAN
Сотрудник Не соответст-
вует требованиям
Политика (тег группы безопасности
(SGT)) применяется
к пользователям, устройствам
и серверам независимо
от тополологии
или местоположения.
TrustSec упрощает управление
ACL-списками для входящего
и исходящего трафика VLAN Уровень доступа
25. Производственные
серверы
Производственные
серверы
База данных HR
Защищенные ресурсы
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Хранение
РАЗРЕШИТЬЗАПРЕТИТЬ
Сервера разработки
Источник ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬРАЗРЕШИТЬ
ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬЗАПРЕТИТЬ
РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬРАЗРЕШИТЬ
Серверы
разработки
База данных HR
Хранение
Cisco ISE
База данных HR
Сервера разработки
Межсетевой
экран ЦОД
Коммутатор
ЦОД
Применение
политики
Распространение тегов SGT
Классификация
Сегментация
без сетей VLAN
Сегментация ЦОД
25
26. Сегментация комплекса зданий с помощью TrustSec
26
Голос Сотрудник Гость Карантин
Тег сотрудника
Тег поставщика
Тег посетителя
Тег карантина
МСЭ ЦОД
Голос
Здание 3
Данные — VLAN (200)
Ядро комплекса зданий
ЦОД
Основное здание
Данные — VLAN (100)
Сотрудник Карантин
Уровень доступа
Сотрудник
§ Применение
политик основано
на тегах группы
безопасности;
можно управлять
коммуникациями
в той же сети VLAN
27. Функции классификации TrustSec
27
VLAN-SGT
IP-SGT
Профиль
порта
Порт-SGT
Префикс IPv4
Обучение
Префикс IPv6
Обучение
IPv6 Префикс-SGT
IPv4 Подсеть-SGT
802.1X
MAB
Веб-
аутентификация
Профилиро-
вание
SGT
SGT
SGT
Пул адресов-SGT
VLAN-SGT
ЦОД/
виртуализация
Пользователь/устройство/
местоположение
Уровень доступа Cisco
ISE
NX-OS/
оркестрация/
Гипервизоры
IOS/маршрутизация
Комплекс зданий
и VPN-доступ
Оборудование не Cisco
и устаревшее
оборудование
Управление доступом бизнес-партнеров и поставщиков
28. Транспортный механизм SGT
WLC МСЭ
Доступ к комплексу
зданий
Без поддержки
SGT Ядро Ядро ЦОД
Магистральная сеть
предприятия
Доступ в ЦОД
ПО гипервизора
TOR
IP-адрес SGT SRC
10.1.100.98 50 Локальный
Таблица привязки SXP IP-SGT
SXP
SGT=50
ASIC ASIC
Дополнительно зашифровано
Отметка тегами SGT в сети
SGT=50
ASIC
L2 Ethernet-кадр
SRC: 10.1.100.98
IP-адрес SGT
10.1.100.98 50
SXP
10.1.100.98
Отметка тегами в сети (уровень данных):
Если устройство поддерживает SGT в своей
микросхеме ASIC
SXP (уровень управления):
Обмен между устройствами, не имеющими
аппаратного обеспечения с поддержкой SGT
28
29. SXP: Протокол обмена SGT
• Протокол уровня управления, который
передает данные оконечных устройств
IP-SGT в точку применения политики
• IP-трафик передается как обычно — SXP
находится вне потока данных
• В качестве транспортного уровня
используется протокол TCP
• Ускорение применения тегов SGT
• Поддержка одного и нескольких сегментов
SXP (агрегация)
• Две роли: спикер (инициатор) и слушатель
(приемник)
• Защита от зацикливания с версии 4
SW
SW RT
SW
SXP
(Агрегация)SXP
SXP
Спикер Слушатель
29
30. Теги групп безопасности в сети
Метаданные CTS
CMD ETYPE ICV CRC
Версия ДлинаCMD EtherType Тип опции SGT Значение SGT Другие опции CMD
DMAC SMAC Заголовок 802.1AE 802.1Q PAYLOAD
16 бит (64000 SGT)
Поле, зашифрованное MACsec (дополнительно)
ETHTYPE:0x88E5
• и L2 802.1AE + TrustSec
• Кадр всегда помечается тегом на входном порте устройства с поддержкой SGT
• Процесс тегирования предшествует другим сервисам уровня L2, например QoS
• Отсутствует влияние на IP MTU/фрагментацию
• Влияние на MTU кадра L2: ~ 40 байтов (~1600 байтов с 1552 байтами MTU)
• MACsec — опция для соответствующего оборудования
Поле кадра EthernetЗаголовок 802.1AE CMD ICV
(ETHTYPE:0x8909)
Тег группы
безопасности
ETHTYPE:0x88E5
30
31. Сквозная маркировка SGT
Cat3750X Cat6500 Nexus 2248
WLC5508 ASA5585
Магистральная сеть
предприятия
Nexus 2248
Cat6500 Nexus 7000 Nexus 5500
Аутентификация конечного
пользователя
Классифицируется как сотрудник (5)
Поиск FIB
MAC-адрес назначения/порт SGT 20
DST: 10.1.100.52
SGT: 20
ISE
SRC: 10.1.10.220
5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5 DST: 10.1.200.100
SGT: 30
CRM
ESXi
SRCDST CRM (20) ESXi (30)
Сотрудник (5) SGACL-A Запретить
BYOD (7) Запретить Запретить
Классификация точек назначения
CRM: SGT 20
ESXi: SGT 30
Теги L2 SGT
31
32. Сегментация политик SGACL
• Инициализируются новые пользователи/устройства/
серверы, например, роли «производственный сервер»
и «сервер разработки»
• Коммутатор TrustSec запрашивает политики для ресурсов,
которые он защищает
• Политики загружаются и применяются динамически
• Результат: программно-определяемая сегментация
• Управление всеми средствами контроля осуществляется
централизованно
• Политики безопасности отключены от топологии сети
• Никакой специальной конфигурации коммутатора не
требуется
• Единое место для проверки политик по всей сети
• Реализация через два механизма
• Добавление тега назначения SGT в FIB, получение тега
источника SGT из кадра/FIB
• В TCAM заносится только информация о протоколе/
порте
Prod_Servers Dev_Servers
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
SGT=3
SGT=4
SGT=5
Применение
политики
SGACL
Сегментация определяется в ISE
Коммутатор
запрашивает
политики для
ресурсов, которые
он защищает
Коммутаторы
получают только
те политики,
которые им нужны
33. Открытость — драфт информационного
стандарта SXP
33
• Информационный стандарт ‘Source-Group Tag eXchange Protocol’ IETF
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
• Еще лучшее согласование с другими форматами, передающими метаданные, такими как Network
Services Header (NSH)
• Позволяет сопоставлять теги SGT с классом источника и классом назначения (если доступно)
• https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01
36. Сегментация начинается с мониторинга
36
Вы не сможете защитить то, что не видите
Кто находится в сети
и что они намерены делать?
37. Профилирование ISE: обнаружение
пользователей и устройств
37
CDP/LLDP
RADIUS
NetFlow
HTTP
NMAP
Интегрированное профилирование: мониторинг
в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах:
идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную
функцию распознавания
Cisco® ISE дополняет информацию пассивной сети
данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют
обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств
(функция сети)
Активное
сканирование
оконечных
устройств
Вeб-канал данных
об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств
в сети в среднем на 74%
38. Поиск сервисов и приложений
38
Поиск ресурсов на основе транзакционных данных:
• Пример. Протокол (HTTP-сервера, FTP-сервер и т. д.)
Идентификация
серверов
40. Группы хостов: с применением ситуации
40
Виртуальный контейнер
множества
IP-адресов/диапазонов
с аналогичными атрибутами
Лабораторные
серверы
Лучшие практические
методики: внесение всех
известных IP-адресов в одну
или несколько групп хостов
41. Классификация ресурсов с группами хостов
41
• Определяется пользователем
• Модель и процесс/приложение
47. С чего начать проект TrustSec
• Сначала следует определить желаемые цели
• например, обеспечение управляемого доступа к производственным системам,
серверам PCI и т. д.
• Помните — большинство примеров внедрения вы сможете использовать на собственной практике
• Снизив операционные затраты, можно получить максимальный возврат инвестиций (сначала оцените операционные
затраты)
• Определите группы ресурсов, которые затрагивает соответствующая политика
• например, производственные серверы и пользователи, разработчики и серверы разработки
• Выберите механизмы для классификации систем (присвоение тегов SGT ресурсам)
• В зависимости от целей политики выберите, где необходимо применять эту политику, например:
• сегментация ЦОД на производственные и непроизводственные зоны
• контроль доступа пользователей в ЦОД
• Выберите способы передачи тегов SGT в устройства применения политик
47
48. Исходные предпосылки для группы безопасности
• В отличие от традиционной сегментации/управления доступом...
• TrustSec облегчает динамическое добавление присвоенных групп позднее
• Конфигурация не влияет на инфраструктуру
• Контролировать группы очень легко, при этом они будут удовлетворять всем
требованиям политики
• Нет необходимости усложнять группы безопасности, например, добавлять
расширенные группы AD
• Подумайте — всем ли ролям необходимо присваивать теги?
• Помните, что членство в группах может изменяться
48
49. Устройство 3
Приложение 1
Унифицирован-
ные
коммуникации
HVAC Тарификация
Гостевые
устройства
Пользователь1П
риложение2
Интернет
Гости Партнер
Пользователь1П
риложение1
Пользователь2П
риложение1
Пользователь1П
риложение3
Пользователь1П
риложение4
Не
соответствует
АдминистраторАудит
Внешняя среда
Устройства
Пользователи
Устройство2
Приложение1
Устройство 1
Приложение 3
Устройство 2
Приложение 3
Приложение1
Устройство1
Приложение2
Приложение3
Устройство2
Приложение3
Унифицирован-
ные
коммуникации
Безопасность
HVACAD-сервер
Сетевые
сервисы
Доступ BYOD
Устройство1
Приложение3
Устройство1
Приложение1
Приложения/сервисы
Прослеживание взаимосвязей в группе
безопасности: все группы
49
51. Определение объектов, которым необходимо
присваивать теги SGT
51
Доступ в ЦОД
WLC МСЭ
Магистральная сеть
предприятия
SRC: 10.1.100.98
ПО гипервизора
Доступ
к комплексу зданий
Распределение Ядро Ядро ЦОД EOR
Конечный пользователь,
оконечное устройство
классифицируются с помощью
тегов SGT
SVI-интерфейс
сопоставляется с SGT
Физический сервер
сопоставляется с SGT
VLAN сопоставляется
с SGT
Устройство BYOD
классифицируется
с помощью SGT
Виртуальная машина
сопоставляется с SGT
52. Внедрение классификации
• Для облегчения процедуры классификации можно использовать несколько вариантов
миграции
• Если нет авторизации по пользователям
• Сопоставление VLAN, подсети, интерфейса уровня L3 — это уже простая, первоначальная
классификация
• Авторизация по пользователю и SXP затем могут «переписать» статическую классификацию
• Большинству систем изначально может быть присвоен статус «Тег SGT неизвестен»
• Сфокусируйте внимание на явной классификации, что необходимо для выполнения политики
• Чем проще классификация, тем быстрее ее внедрить
(за несколько дней, а не недель)
52
53. Устройство 3
Приложение 1
Унифицирован-
ные
коммуникации
HVAC Тарификация
Гостевые
устройства
Пользователь1П
риложение2
Интернет
Гости Партнер
Пользователь1П
риложение1
Пользователь2П
риложение1
Пользователь1П
риложение3
Пользователь1П
риложение4
Не
соответствует
АдминистраторАудит
Внешняя
среда
Устройства
Пользователи
Устройство2
Приложение1
Устройство 1
Приложение 3
Устройство 2
Приложение 3
Приложение1
Устройство1
Приложение2
Приложение3
Устройство2
Приложение3
Унифицирован-
ные
коммуникации
Безопасность
HVACAD-сервер
Сетевые
сервисы
Доступ BYOD
Устройство1
Приложение3
Устройство1
Приложение1
Приложения/
сервисы
Прослеживание взаимосвязей в группе
безопасности: все группы
53
56. Стандартный подход к внедрению
56
Комплекс зданий
Catalyst® коммутаторы/WLC
(3K/4K/6K)
Пользователи,
оконечные
устройства
Monitor mode
SRC DST Сервер PCI (2000)
Произв. сервер
(1000)
Сервер разработки
(1010)
Сотрудники (100) Разрешить все Разрешить все Разрешить все
PCI пользователь
(105)
Разрешить все Разрешить все Разрешить все
Неизвестно = 0 Разрешить все Разрешить все Разрешить все
authentication port-control auto
authentication open
dot1x pae authenticator
Сервер PCI
Производственный сервер
Сервер разработки
AUTH=OK
SGT= PCI пользователь (105)
N7K
1. Пользователи подключаются к сети, monitor mode
разрешает трафик независимо от аутентификации
2. Аутентификация может выполняться пассивно, что приводит к присвоению SGT
3. Прошедший классификацию трафик идет через сеть, позволяя контролировать и проверять, что:
- ресурсы были правильно классифицированы;
- потоки трафика, которые поступают на ресурсы, соответствуют ожиданиям/прогнозам
57. Конфигурирование присвоения тегов в сети
57
interface TenGigabitEthernet1/5
cts manual
policy static sgt 2 trusted
C6K2T-CORE-1#sho cts interface brief
Global Dot1x feature is Enabled
Interface GigabitEthernet1/1:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 2:device_sgt
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
Cache Info:
Expiration : N/A
Cache applied to link : NONE
L3 IPM: disabled.
Always “shut” and “no shut” interfaces after any
cts manual or cts dot1x change
Обычно для присвоения тегов в сети
используется конфигурация ‘cts manual’
‘cts dot1x’ зависит от доступности сервера
AAA (аутентификация, авторизация и учет),
если не установлена новая функция
«критической аутентификации»
и соответствующим образом не настроены
таймеры
58. Содержание
58
Введение
Оценка ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Оценка
и классификация
ресурсов
Моделирование
политик
Проектирование и
создание
политики
59. SGT и Flexible NetFlow (FNF)
59
flow record cts-v4
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match flow direction
match flow cts source group-tag
match flow cts destination group-tag
collect counter bytes
collect counter packets
flow exporter EXP1
destination 10.2.44.15
source GigabitEthernet3/1
flow monitor cts-mon
record cts-v4
exporter EXP1
Interface vlan 10
ip flow monitor cts-mon input
ip flow monitor cts-mon output
Interface vlan 20
ip flow monitor cts-mon input
ip flow monitor cts-mon output
Interface vlan 30
ip flow monitor cts-mon input
ip flow monitor cts-mon output
Interface vlan 40
ip flow monitor cts-mon input
ip flow monitor cts-mon output
cts role-based ip flow mon cts-mon dropped
*Необязательно — потоки будут создаваться только
для отброшенных пакетов ACL-списков на основе
ролей для Cat6K/Sup2T
61. SGT в полях NetFlow
61
Теги групп безопасности:
• извлекаются из пакета
Теги групп назначения:
• извлекаются на основе
IP-адреса места назначения
Тег SGT коммутатора:
• Только Catalyst 4k: значение
применяется к пакету
на выходе
Таблица SGT
• Только Catalyst 6k: экспорт в
таблицы данных шаблона NetFlow
с сопоставлением тегов группы
безопасности с именами группы
безопасности
Запись отброшенных пакетов
SGACL
• Только Catalyst 6k: создание
записи потока на основе
отброшенных пакетов SGACL
62. Список устройств SGT-NetFlow
62
Устройство Первая
версия
SGT DGT SGT
с коммутатора
Таблица
SGT
Запись
отброшенных
пакетов SGACL
Catalyst 6500 (Sup3Т) IOS 15.1(1)SY1 Да
(соответствует)
Да
(соответствует)
Нет Да Да
(выделенный
монитор)
ISR, ASR, CRS IOS XE 3.13S Да Да Нет Нет Нет
Catalyst 3850, 3650 IOS XE 3.7.1E Да
(соответствует)
Да
(соответствует)
Нет Нет Нет
Catalyst 4500
(Sup 7-E, 7L-E, 8-E)
IOS XE 3.7.1E Да (сбор) Да
(сбор)
Да Нет Нет
ASA 9.1.3 Нет Нет Нет Нет Запись NSEL
StealthWatch
FlowSensor
6.8 Да Нет Нет Нет Нет
63. Принимаемые во внимание
факторы: 3850
63
!
flow monitor cts-cyber-monitor-in
exporter StealthWatch-FC
cache timeout active 60
record cts-cyber-3k-in
!
!
flow monitor cts-cyber-monitor-out
exporter StealthWatch-FC
cache timeout active 60
record cts-cyber-3k-out
!
interface GigabitEthernet1/0/1
ip flow monitor cts-cyber-monitor-in input
ip flow monitor cts-cyber-monitor-out output
!
vlan configuration 100
ip flow monitor cts-cyber-monitor-in input
ip flow monitor cts-cyber-monitor-out output
!
Входящий трафик:
• Источники SGT:
• извлекается из заголовка пакета
• Источники DGT:
• извлекается на основе IP-адреса места назначения
• необходимо выполнить политику SGACL
• только магистральная линия (транк)
Исходящий трафик:
• Источники SGT:
• заголовок входящего пакета
• SGT, конфигурируемый портом
• сопоставление IP и SGT
• Источники DGT:
• извлекается на основе IP-адреса места назначения
• необходимо применение политики SGACL
• только магистральная линия (транк)
64. Принимаемые во внимание факторы: 3850
64
!
flow record cts-cyber-3k-in
match datalink mac source address input
match datalink mac destination address input
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
match flow cts source group-tag
match flow cts destination group-tag
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
!
!
flow record cts-cyber-3k-out
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match flow direction
match flow cts source group-tag
match flow cts destination group-tag
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
!
65. Принимаемые во внимание факторы:
4500 Sup 7-E, 7L-E, 8-E
65
SGT:
• заголовок пакета
• максимум 12 000 разных IP-адресов
источников
DGT:
• извлекается на основе IP-адреса
места назначения
Тег SGT с коммутатора:
• тег SGT присваивается пакету с коммутатора
• Наследование политики
• SGT в пакете
• Поиск SGT в исходном IP-адресе
• Поиск порта SGT
• SGT в пакете при выходе
!
flow record cts-cyber-4k
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
collect flow cts source group-tag
collect flow cts destination group-tag
collect flow cts switch derived-sgt
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
66. Принимаемые во внимание
факторы: 6500 Sup 2T
66
!
flow record cts-cyber-6k
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match flow cts source group-tag
match flow cts destination group-tag
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
Таблица данных TrustSec:
• Экспорт значений сопоставления
SGT-SGN в шаблон NetFlow
Отброс пакетов SGACL:
• при отбросе пакетов создается
запись потока
• требуется выделенный режим Flow
Monitor
SGT:
• заголовок пакета
• поиск IP-SGT
DGT
• извлекается на основе IP-адреса места
назначения
http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/appc_cat6k.html
67. Принимаемые во внимание факторы:
6500 Sup2T
67
!
flow exporter ise
destination 10.1.100.3
source TenGigabitEthernet2/1
transport udp 9993
option cts-sgt-table timeout 10
!
flow monitor FNF_SGACL_DROP
exporter ise
record cts-record-ipv4
!
cts role-based ip flow monitor FNF_SGACL_DROP dropped
!
flow exporter CYBER_EXPORTER
destination 10.1.100.230
source TenGigabitEthernet2/1
transport udp 2055
option cts-sgt-table timeout 10
!
flow monitor CYBER_MONITOR
exporter CYBER_EXPORTER
cache timeout active 60
record cts-cyber-6k
!
Конфигурация отброса
пакетов SGACL:
Экспорт и мониторинг:
68. Принимаемые во внимание
факторы: ISR, ASR, CRS
68
!
flow record cts-cyber-ipv4
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
match flow cts source group-tag
match flow cts destination group-tag
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 ttl minimum
collect ipv4 ttl maximum
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect application name
!
SGT:
• заголовок пакета
• поиск IP-SGT
DGT
• поиск IP-адреса места
назначения
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/sec-usr-cts-xe-3s-book/cts-fnf.pdf
69. Моделирование политики в StealthWatch
Заданное пользователем
событие инициируется
при соответствующих
условиях трафика
Включить трафик в обоих направлениях:
успешно или неуспешно
SGT DGT
Имя и описание правила
70. Моделирование политики в StealthWatch
70
Создание правил на основе потока
для всех предложенных элементов
политики
В случае наступления заданного условия поступает
сигнал о нарушении политики. Моделирование
предлагаемого сброса пакетов.
73. Содержание
73
Введение
Оценка ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Внедрение
политики
Оценка
и классификация
ресурсов
Моделирование
политик
Внедрение
Проектирование и
создание
политики
74. Внедрение политик
74
Внедрение политик на выходе
§ ACL-списки для групп безопасности
Комплекс зданий
Сеть
Catalyst® коммутаторы/WLC
(3K/4K/6K)
Пользователи,
оконечные устройства
Режим монитора
Сервер PCI
Производственный
сервер
Сервер разработки
N7K
SRC DST Сервер PCI (2000) Произв. сервер (1000)
Сервер разработки
(1010)
Сотрудники (100) Запретить все Запретить все Разрешить все
PCI пользователь (105) Разрешить все Разрешить все Разрешить все
Неизвестно = 0 Запретить все Запретить все Разрешить все
Политики можно внедрять постепенно на основе группы
безопасности для места назначения
Первоначально используйте политики SGACL с возможностью регистрации информации о запретах
в журнал (если журнал не нужен, его можно удалить позже)
Политика по умолчанию должна быть «разрешено», также во время внедрения необходимо
разрешить трафик со статусом «Тег SGT не известен»
78. Применение политик SGACL (в виде матрицы)
78
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 22
permit tcp dst eq 3389
permit tcp dst eq 135
permit tcp dst eq 136
permit tcp dst eq 137
permit tcp dst eq 138
permit tcp des eq 139
deny ip
Portal_ACL
79. Загрузка политик SGACL
79
• Готовятся новые серверы, например, роли
«производственный сервер» и «сервер разработки»
• Коммутатор ЦОД запрашивает политики для ресурсов,
которые он защищает
• Политики загружаются и применяются динамически
• Это значит, что:
• Управление всеми средствами контроля
осуществляется централизованно
• Политики безопасности не связаны с сетью
• Никакой специальной конфигурации
коммутатора не требуется
• Политики внедряются на скорости передачи
• Единое место для проверки политик
по всей сети
Prod_Servers Dev_Servers
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
SGT=3
SGT=4
SGT=5
SGACL
Применение
политики SGACL
Коммутатор
запрашивает
политики для
ресурсов, которые
он защищает Коммутаторы
получают только
те политики,
которые им нужны
80. Внедрение политик в коммутаторах
• Настроив политики SGT/SGACL в ISE, можно начать применять их
на сетевых устройствах
• Устройства должны быть определены в ISE и настроены на связь с ISE
(для краткости в этих слайдах мы это пропускаем)
• Если коммутаторы используют теги SGT, они будут загружать политики
для устройств, которые они защищают
Switch(config)#cts role-based enforcement
Switch(config)#cts role-based enforcement vlan-list 40
Применение политик SGACL глобально и для сети VLAN
Switch(config)#cts role-based sgt-map 10.1.40.10 sgt 5
Switch(config)#cts role-based sgt-map 10.1.40.20 sgt 6
Switch(config)#cts role-based sgt-map 10.1.40.30 sgt 7
Пример: определение сопоставления IP с SGT для серверов на коммутаторе
81. Применение политик на межсетевых экранах:
ASA SG-FW
81
Также можно продолжать использовать
сетевой объект (хост, диапазон,
сеть (подсеть) или FQDN)
И (ИЛИ) SGT
Коммутаторы сообщают устройству
ASA о членстве в группе безопасности
Определения групп
безопасности с ISE
Запуск сервисов FirePower
с помощью политик SGT
82. Содержание
82
Введение
Оценка ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Внедрение
политики
Оценка
и классификация
ресурсов
Моделирование
политик
Внедрение Мониторинг
Проектирование
и создание политики
83. Мониторинг выполнения политик
83
• TrustSec сокращает число операций безопасности,
но действует по-другому
– Необходимо понимание операций
– Динамические функции безопасности проверяются по-другому,
но проще и более точно
• Необходимо контролировать некоторые новые функции
– Информация SNMP о соединении SXP и запись в системные журналы
– Возможно учет информации о принадлежности к группе
85. Проверка выполнения политик SGACL
85
Use show cts role-based counter to show traffic drop by SGACL
TS2-6K-DIST#show cts role-based counters
Role-based IPv4 counters
From To SW-Denied HW-Denied SW-Permitted HW_Permitted
* * 0 0 48002 369314
3 5 53499 53471 0 0
4 5 0 0 0 3777
3 6 0 0 0 53350
4 6 3773 3773 0 0
3 7 0 0 0 0
4 7 0 0 0 0
От * к * означает правило по умолчанию
команда «show» отображает статистику выполнения политики RBACL. Для пакетов,
коммутируемых программно и аппаратно, отображаются разные счетчики. Пользователь может
указать SGT источника, используя пункт «from (от)», а SGT места назначения — пункт «to (к)».
В основном политика SGACL исполняется на аппаратном уровне. Счетчик ПО используется,
только если пакет необходимо отправить для программной коммутации (например, TCAM уже
заполнена, или необходима запись в журнал)
86. Мониторинг политик SGACL
86
• C6K2T-CORE-1#sho cts role-based permissions
• IPv4 Role-based permissions from group 8:EMPLOYEE_FULL to group 8:EMPLOYEE_FULL:
• Malware_Prevention-11
• C6K2T-CORE-1#sho ip access-list
• Role-based IP access list Deny IP-00 (downloaded)
• 10 deny ip
• Role-based IP access list Malware_Prevention-11 (downloaded)
• 10 deny icmp log-input (51 matches)
• 20 deny udp dst range 1 100 log-input
• 30 deny tcp dst range 1 100 log-input
• 40 deny udp dst eq domain log-input
• *May 24 04:50:06.090: %SEC-6-IPACCESSLOGDP: list Malware_Prevention-11 denied icmp
10.10.18.101 (GigabitEthernet1/1 ) -> 10.10.11.100 (8/0), 119 packets
87. Мониторинг сегментации в StealthWatch
Заданное пользователем
событие инициируется
при соответствующих
условиях трафика
Инициируется для трафика в обоих
направлениях: успешно или неуспешно
SGT DGT
Имя и описание правила
88. Мониторинг сегментации с помощью
StealthWatch
88
Панель предупреждений, где отображены
все предупреждения для политики
89. Мониторинг сегментации с помощью
StealthWatch
89
Карта зон PCI
Определение политики
коммуникаций между
зонами
Мониторинг нарушений
92. Адаптивное управление сетью: карантин
• Расширение возможностей мониторинга и управления оконечными
устройствами
• Возможность изменения состояния авторизации
• Через административные действия
• Без изменения общей политики авторизации
• Инициируется с узла администратора
• Поддерживается в проводных и беспроводных средах
• Управление оконечными устройствами в три действия:
• Помещение в карантин
• Удаление из карантина
• Закрытие портов проводного доступа
• Управление оконечными устройствами на основе IP- или MAC-адресов
92
93. Поток трафика в карантине
93
PSN
MnT
PAN
1. Оконечное устройство
подключено
2. StealthWatch выпускает инструкции
по карантину для PAN
3. PAN выпускает инструкции
по карантину для MnT
4. MnT посылает команду
PSN инициировать CoA
5. Оконечное устройство
отключается через CoA
7. Запрос RADIUS
6. Оконечное устройство
снова подключается
и проходит аутентификацию
8. Проверка карантина
9. Применяется
профиль
карантина
96. Конфигурирование сервисов защиты оконечных
устройств
1. Активация EPS
2. Создание профиля авторизации для карантина
3. Обновление политики авторизации
• Использование правила авторизации для исключений
• Условия статуса карантина
• Профиль авторизации для карантина
4. Управление оконечными устройствами
• Ручное помещение в карантин или удаление из карантина
• На основе IP- или MAC-адреса
96
98. Политика на выходе: Suspicous_Investigate
98
Создание политики
для выходного трафика
подозрительной группы
безопасности
99. SGACL
99
Создание значимого названия SGACL
для подозрительных хостов:
• Ограничение приложений и сервисов
• Блокирование доступа к важным бизнес-процессам
• Предотвращение доступа к интеллектуальной
собственности
100. Маршрутизация на основе политики SGT
route-map native_demo permit 10
match security-group source tag Employee
match security-group destination tag Critical_Asset
set interface Tunnel1
!
route-map native_demo permit 20
match security-group source tag Suspicious
match security-group destination tag Critical_Asset
set interface Tunnel2
!
route-map native_demo permit 30
match security-group source tag Guest
set vrf Guest
100
VRF-гость
VRF-NW
Сеть А
Пользователь АПользователь В Пользователь-гость
Подозрительные
действия
ГостьСотрудник
Доступно
Июль, 2015 г.
102. Содержание
102
Введение
Оценка ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Внедрение
политики
Оценка
и классификация
ресурсов
Моделирование
политик
Резюме
Внедрение Мониторинг
Проектирование
и создание политики
Адаптивное
управление сетью
103. Основные выводы
103
NetFlow и Lancope StealthWatch обеспечивают
мониторинг и анализ
TrustSec используется для динамической
(микро)сегментации сети
Сеть — это основной ресурс для защиты от угроз и их контроля
104. Продолжим тут?
• Демонстрация решений
• Круглые столы
• Персональные встречи с инженером
• Семинары по связанным темам
104
105. Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/