Контроль доступа пользователей к ЛВС
TRANSCRIPT
Контроль доступа пользователей к ЛВС Архитектура безопасности Cisco TrustSec
Алексей Спирин, [email protected]
Системный архитектор, CISCO SYSTEMS
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
ПРОГРАММА
Причины появления
Состав и принцип работы
Миграция
Внедрение
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
“Архитектура, технологии, устройства,
системно решающие задачу
безопасного доступа к сети”
Требования Политики Безопасности
•Защищать ресурсы
Как можно ближе к ресурсам
Как можно точнее «открывать» доступ
Контролировать среду передачи
•Контролировать угрозы (пользователей!)
Как можно ближе к месту их возникновения
Кто подключился?
Где подключился?
Когда был подключен?
Куда предоставлялся доступ?
Что за устройство?
•Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 4
История вопроса
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
802.1x – 2000-е
• неготовность клиентского ПО
• пакетный фильтр
NAC infrastructure
• красиво! проприетарно! не
работало!
NAC appliance
• изменение топологии сети
• масштабируемость
• пакетный фильтр
Статические списки доступа (ACL)
• Рост подсетей, серверов, сервисов,
приложение, протоколов, портов
• мобильные пользователи (LAN-1, LAN-
2, wireless, VPN, ноутбук, iPad)
• Работа с IP-адресами, не с
пользователями!
Попытки реализации требований
- Нет привязки к пользователю, только IP!
- Пакетные фильтры
- Большие трудозатраты на поддержание
актуальности ACL
- Несовместимость компонентов
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 6
История вопроса Попытки реализации требований
Работа TrustSec
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (VLAN, ACL,
SGT, MacSec)
3. Трафик с метками SGT
4. МЭ - фильтрация трафика на основе меток
групп
0. Категорирование пользователей и ресурсов
Сервер Б Сервер A
Пользователь А Пользователь Б
200
ISE
Канальное шифрование
300
20 30
access-list DCin permit tcp ...
SGT 30 any SGT 300 eq sql
Составные части Cisco TrustSec
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 8
• Пользователи и оконечные устройства
- Компьютеры, мобильные устройства, гостевой доступ, удаленный
доступ
• Сетевое оборудование
- Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС
• Сервер политик Cisco ISE
• Единая политика доступа
Матрица доступа в ISE
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 9
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Portal_ACL Portal_ACL
Безопасный доступ с Сisco TrustSec
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 10
• Единая политика независимо от способа доступа
• Тэгирование на уровне доступа(SGT) / фильтрация
в ЦОД (SGACL)
• Аутентификация пользователей 802.1x, WebAuth,
MAB
• Аутентификация сетевых устройств (NDAC)
• Шифрование «провода». 802.1AE
• Шифрование со скоростью интерфейса
Контроль доступа на основе групп
Сеть Доверия
Конфиденциальность и целостность
Аутентификация сетевых устройств
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 11
ISE Seed Device
EAP-FAST over RADIUS
Authorization
(PAC, Env Data, Policy) ISE
1/2
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 12
Аутентификация сетевых устройств 2/2
ISE
Seed Device
Seed Device
Authenticator
Supplicant
802.1X NDAC
Non-Seed Device
Supplicant
802.1X NDAC
Non-Seed Device
Authenticator Supplicant
802.1X NDAC
ISE
Защита от MitM-аттак
Шифрование по стандарту AES-GCM (AES-128)
Шифрование/Дешифрование на каждом устройстве
Проверка целостности
Конфиденциальность и целостность
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 13
DST
802.1AE Header
802.1Q
CMD
ETYPE
ICV
CRC
MISEec EtherType
TCI/AN
SL
Packet Number
SCI (optional)
Encrypted
Authenticated
0x88e5
SRC PAYLOAD
Version
Length
CMD EtherType
SGT Opt Type
SGT Value
Other CMD Options
Конфиденциальность и целостность
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 14
«Чистый» трафик 01101001010001001 01101001010001001
ASIC
Дешифрование Шифрование
SGT eXchange Protocol (SXP)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 15
• SXP нужен для передачи IP-SGT таблицы между «старыми» и «новыми» устройствами
• SXP-таблица передается через TCP:64999
• SXP – протокол миграции на CTS-устройства
• Позволяет внедрять CTS без необходимости менять железо во всей сети
• Модель использования – классификация на доступе, применение политик на CTS-устройстве
• Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500, Wireless LAN Controller, ISRG2 и ASR1K
• Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000, ASA 9.0
SGT eXchange Protocol (SXP)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 16
SXP-capable only
SG-ACL/SGT
SG-ACL
Production Svr (SGT=4)
Dev Server (SGT=10)
Developer
SGT = 100
SXP
SGT = Developer (100)
SXP
SG-FW
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 17
TrustSec в КСПД (План)
Nexus 7000 Data Center
Catalyst
ISE
Nexus 5500
Catalyst 6500
SGACL
MACSec
SGT L2 Frame
WLC
Филиал
Finance
Sales
Admin
GET-VPN
ASR 1000 ISR G2
IPSec-VPN
DM-VPN
Flex-VPN
План по функциям
• Поддержка фреймов SGT на ISR G2 (кроме ISR800)
• На ASR 1000 доступно сейчас
• Поддержка тегов между ISR G2 и ASR на DMVPN, IPSec, FlexVPN
• Для GETVPN доступно сейчас
Внедрение
Режим мониторинга
оценка готовности хостов к внедрению 802.1x/CTS
интерфейс в режиме открытой аутентификации
логирование информации
Режим малого воздействия
При успешной аутентификации – полный доступ
При неуспешной аутентификации – частичный доступ (ACL)
DHCP+DNS+Internet
Закрытый режим
нет успешной аутентификации – нет трафика
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 18
Режим мониторинга + защита ЦОД
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 19
Catalyst
2960S3K/4K/6K
Пользователи Cat6k Sup2T
Nexus 7k
ISE Monitor Mode
Security Group FW Rule
Security Group ACL
ЛВС
TrustSec SXP
WLC
Применение политики
Внедрение
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 20
• “Красная черта” – изменение поведение пользователя - Двухфакторная аутентификация
- Переназначение VLAN
- Сетевые диски
- Failed auth/No response – реакция сети?
- Добавление машин в домен
• Рекомендации - PEAP
- Проводной доступ - машинная аутентификация
- Беспроводной доступ - пользовательская аутентификация (+ профили)
- Неуправляемые корпоративные устройства – MAB или ACL на VLAN
TrustSec 2.1 Guides
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 21
Cisco TrustSec
• Криптостойкая идентификация
• Фильтрация на основе группы безопасности, метки
• Защита среды передачи
• Подключение в любой точке -> соблюдение политик
• Оценка состояния (антивирус, патчи)
• Реализация матрицы доступа
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 22
Ссылки
- Стартовая страница TrustSec
http://www.cisco.com/go/trustsec
- TrustSec Design Guide (текущая версия 2.1)
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design
Zone_TrustSec.html
- “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и
мобильных устройств”. День 2.
- “Безопасность в центрах обработки данных”. День 3.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 23
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо!
Алексей Спирин, [email protected]
Системный архитектор, CISCO SYSTEMS