Безопасное подключение личных устройств сотрудников...
DESCRIPTION
TRANSCRIPT
![Page 1: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/1.jpg)
Sponsored by
Тенденция BYOD: безопасное управление
Виктор ПлатовСистемный инженер-консультант, CCIE
1
![Page 2: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/2.jpg)
Безопасное подключение личных устройств
• Что такое BYOD?– Обзор стратегий внедрения BYOD
• Компоненты BYOD решения Cisco• Интеграция Контроллера БЛВС с ISE
– Использование сильных механизмов безопасности WPA2 и EAP– Профилирование устройств по их атрибутам
• Создание политики безопасности внутри ISE– Настройка правил аутентификации и авторизации
• Подключение BYOD устройств– Загрузка сертификатов и Wi-Fi профайлов на Apple, Android и
Mac/Windows.• BYOD Мониторинг и составление отчетов
2
![Page 3: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/3.jpg)
BYOD
![Page 4: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/4.jpg)
Что такое BYOD (Bring Your Own Drink)?ANY USER ANYWHERE ANY DEVICEANYTIME
![Page 5: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/5.jpg)
Wireless BYOD
Причины• Большинство новых сетевых устройств не имеют проводных интерфейсов• Пользователи будут менять свои устройства чаще, чем в прошлом• Мобильные устройства становятся продолжением нас• Гостевой доступ и его учет становится обязательной потребностью бизнеса
Предположения• Гости должны быть изолированы• Пользователи будут иметь одно устройство с проводным интерфейсом и более 2 устройств
беспроводных• Беспроводная сеть должна быть такой же безопасной и предсказуемой, как проводная сеть• Не должно быть больше неуправляемых устройств!
• Причины и предположения
![Page 6: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/6.jpg)
Спектр стратегий BYOD
Запрет
• BYOD запрещен согласно корпоративной политике.
• Все не корпоративные устройства доступ к сети не получат.
Разрешение
• BYOD используется для предоставления доступа в Интернет мобильным устройствам сотрудников.
• Также возможен безопасный доступ к электронной почте и другим корпоративным сервисам.
Поощрение
• BYOD используется для оптимизации бизнес-процессов и увеличения продуктивности.
• Для безопасности используется идентификация устройств по сертификатам.
6
• Различные требования по внедрению для различных условий
![Page 7: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/7.jpg)
Запрет
Политика:Запретить все
Устройствадолжныбыть авторизованы
Профилированныеустройства
Стратегия развертывания “запрет”
• Данная политика разрешает существование в сети только корпоративных устройств• BYOD не поддерживается согласно корпоративной политике, и сеть запрещает
подключения подобного рода
В сети допускается наличие только корпоративных устройств
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote AccessСетевые компоненты:
Политика:Полный доступ
Per Device Credentials
![Page 8: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/8.jpg)
Политика:Только доступ к Интернет
Устройствадолжныбыть авторизованы
Устройствадолжныбыть зарегистрированы
Стратегия развертывания “Разрешение”
• Данная стратегия разрешает сотрудникам использовать свои устройства только для доступа к Интернет.
• В этом случае используется PEAP MS-Chap для аутентификации пользователей и регистрация устройств (для регулирования числа BYOD устройств).
Использование BYOD устройств только для Интернет доступаРазрешени
е
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote AccessКомпоненты сети:
Политика:Полный доступ
Per User Credentials
Per Device Credentials
![Page 9: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/9.jpg)
Поощрение
Политика:Полный доступ
Устройствадолжныбыть авторизованы
Устройствадолжны бытьнастроены
Стратегия использования «Поощрение»
• Как корпоративные, так и пользовательские устройства имеют полный доступ в сеть с использованием уникальных сертификатов.
• BYOD устройства используются для оптимизации бизнес-процессов.
Использование BYOD совместно с бизнес-приложениями
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote Access
Сетевые компоненты:
Политика:Полный доступ
Per Device Credentials
Per Device Credentials
3rd Party MDM
Optional
![Page 10: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/10.jpg)
Компоненты решения BYOD
![Page 11: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/11.jpg)
Требуемые сетевые компоненты и версии ПО
• Cisco Wireless LAN Controller– версия 7.0.116 или выше (440X, WiSM1, 210X или выше)
профилирование устройств и проверка их состояние поддерживается только в режиме Central Switching.для CoA поддерживаются только 802.1x WLAN-ы.
– версия 7.2.X или выше (5508, WiSM2, 250X или выше)профилирование и проверка состояния возможны в режимах Central иFlexConnect.для СоА могут использоваться 802.1x и Open (L3 Web authentication).
• Cisco Identity Services Engine– Версия 1.1.1 или выше– Advanced лицензия для профилирования
Cisco Wireless LAN и Identity Services Engine
ISE
![Page 12: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/12.jpg)
Атрибуты пользователя или устройства
• Employee VLAN• Gold QoS
Рабочая станция сотрудника
• Employee VLAN• Gold QoS• Restrictive ACL
Персональное устройство сотрудника
ISE • Профилирование устройства• Динамическая политика
Компоненты решения Cisco унифицированного управления политикамиПри использовании ISE, беспроводное решение поддерживает множество пользователей и устройств на одном SSID.
WLC
EmployeeVLAN
ContractorVLAN
• Contractor VLAN• No QoS• Restrictive ACL
Рабочая станция контрактора
• No Access
Персональное устройство контрактора
ТД ACLs
![Page 13: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/13.jpg)
Пользователь Местоположение ВремяТип доступа ПолитикаУстройство
Гость
Контрактор
Сотрудник
ПерсональныйLaptop
Персональноеустройство
Компьютер контрактора
Персональное устройство
Корпоративный компьютер
Персональное устройство
Беспроводной Переговорные комнаты
Captive PortalDMZ Guest Tunnel
Везде Любое
Любое
Любое
EmployeeVLAN
Везде
Везде
Унифицированные политики CiscoПример BYOD / Mobility политики
IF $Identity AND $Device AND $Access AND $Location AND $Time THEN $Permission
Беспроводной
Проводной
Везде
Везде
ЛюбоеПн – Сб
8 am - 6 pm
КонтракторскийVLAN
КонтракторскийACL
Проводной
Беспроводной
VPN
Employee ACL
Гостевой VLAN
Пн – Сб8 am - 6 pm
![Page 14: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/14.jpg)
Этапы применения политик Cisco ISE
Фаза 1 Аутентификация
Фаза 2Идентификация устройства
и назначение политики
EAP
Разрешенное устройство?
Полный доступ
Фаза 3 Применение политики
• SilverQoS• Allow-AllACL• EmployeeVLAN
WLCТолько
Интернет
MAC, DHCP, DNS, HTTPISE
ISE
![Page 15: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/15.jpg)
Пример политики WLAN + проверка состоянияВключая как 802.1x так и Web Authentication
15
802.1XSSID
Аутентификация устройства
Аутентификация устройства
СотрудникСотрудник
КонтракторКонтрактор
Отвечает требованиям
Не отвечает требованиямЗапрет доступа с
BYOD устройстваЗапрет доступа с BYOD устройства
Аутентификация пользователя
Аутентификация пользователя
СотрудникСотрудник
КонтракторКонтрактор
Отвечает требованиям
Не отвечает требованиям
Web аутентификация
SSID
Гость
Запретить доступ сотрудникам
Запретить доступ контракторам
Исправление ошибок Anti-spyware, Anti-
virus и т.д.
![Page 16: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/16.jpg)
Интеграция WLC и ISE для аутентификации и профилирования
![Page 17: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/17.jpg)
Extensible Authentication Protocol (EAP) — диаграмма функционирования
Клиент Аутентификатор
Сервер аутентификации
CAPWAP
Тип EAP определяется
клиентом иRADIUS
сервером
![Page 18: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/18.jpg)
Типы EAPРазличные типы аутентификации используют разные типы учетных данных
Tunneling-BasedEAP-PEAP
EAP-TTLS
EAP-FAST
Inner Methods
EAP-GTC EAP-MSCHAPv2
Tunnel-based – используется туннельный протокол (EAP-PEAP) совместно с внутренним методом EAP, таким как EAP-MSCHAPv2. PEAP требует только серверный сертификат.
Туннель служит защитой для внутреннего метода, который сам по себе может быть уязвим.
Certificate-based – для большей безопасности EAP-TLS обеспечиваетдвухстороннюю аутентификацию клиента и сервера.
Certificate-Based
EAP-TLS
![Page 19: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/19.jpg)
Сравнение методов EAPВыбор между EAP-TLS и PEAP
EAP-TLS PEAP
Быстрый безопасный роуминг (CCKM) Да Да
Локальная (на WLC) аутентификация Да Да
Поддержка OTP (One Time Password) Нет Да
Серверные сертификаты Да Да
Клиентские сертификаты Да Нет
Сложность внедрения* Сложно Не сложно
![Page 20: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/20.jpg)
Критерии выбора EAP методаPEAP и EAP-TLS: cамые популярные типы EAP методов
Тип EAP
Поддержка клиентами
Безопасностьvs. Сложность
Поддержка на стороне сервера аутентификации
Большинство клиентов (Windows, Mac OS X, Apple iOS устройства) поддерживают EAP-TLS, PEAP (MS-CHAPv2).‒ Дополнительные саппликанты добавляют поддержку большего числа EAP методов (Cisco AnyConnect).
Некоторые типы EAP (TLS) могут быть более сложны в развертывании, чем другие, в зависимости от типа устройства.
Cisco ISE Supplicant Provisioning может помочь в разворачивании системы.
![Page 21: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/21.jpg)
Сотрудник(сертификат с истекшим Временем жизни–Обновить сертификат)
Контролируемый доступ сотрудников(ACL)
Гость
Устройства без саппликантов(UPS, POS,..)
ПостороннийПереговорные комнаты
СмартфоныПланшетники
Supplicant SwitchNEAT
Реальные сети не могут использовать только 802.1XКак насчет ‘особых’ случаев в сети?
![Page 22: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/22.jpg)
EAPoL: EAP Request-Identity
Любой пакет
RADIUS Access-Accept
RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]
EAPoL: EAP Request-Identity
EAPoL: EAP Request-Identity
• IEEE 802.1X Тайм-аут• Стартует MAB
Время, через которое устройство шлет пакет после тайм-аута 802.1X
Доступ к сети разрешен
Общее время с момента подключения до получения доступа к сети
Authenticator RADIUS Server00.0a.95.7f.de.06
MAC Authentication Bypass
![Page 23: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/23.jpg)
Web Аутентификация
23
EAPoL: EAP Request-Identity
Любой пакет
RADIUS Access-AcceptOr Access-Reject
RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]
EAPoL: EAP Request-Identity
EAPoL: EAP Request-Identity
• IEEE 802.1X Тайм-аут• Стартует MAB
Время, через которое устройство шлет пакет после тайм-аута 802.1X
Ограниченный доступ в сеть
Authenticator RADIUS Server
Неизвестный MAC адрес
Зависит от метода WebAuth
![Page 24: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/24.jpg)
Cisco Wireless Controller User-Based Policy AAA Override Attributes
24
Доступ к сети• “Airespace-Interface-Name”
• Устанавливает интерфейс, в который попадает пользователь.
Ограничение доступа• “Airespace-ACL-Name”
• Устанавливает ACL, который применяется к трафику клиента.
Качество обслуживания• “Airespace-QOS-Level”
• Устанавливает максимальный уровень QoS, доступный для данного клиента (Bronze, Silver, Gold или Platinum).
• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”• Устанавливает максимальный уровень QoS тега, доступный для использования клиентом.
![Page 25: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/25.jpg)
Change of Authorization (CoA)Динамическое изменение политики соединения
25
До –Профилирование и проверка
состояния
После –Политика применена
• НеизвестенClient Status
• Limited AccessVLAN
• Posture-AssessmentACL
• SilverQoS
• Profiled, WorkstationClient Status
• EmployeeVLAN
• NoneACL
• GoldQoSUser and DeviceSpecific Attributes
User and DeviceSpecific Attributes
ISE ISE
![Page 26: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/26.jpg)
Cisco Wireless LAN Controller ACLsПолноскоростная фильтрация Layer 3-4.
26
• ACLs предоставляют L3-L4 политику и могут применяться как к пользователю, так и к интерфейсу.
• Cisco 2500, 5508 и WiSM2 имеют аппаратные, line-rate ACLs.• На ACL может быть настроено до 64 правил.
Wired LAN
Implicit Deny All в конце
Inbound
Outbound
![Page 27: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/27.jpg)
Атрибуты клиентов, используемые ISE для профилирования устройствКак RADIUS, HTTP, DNS и DHCP (и др.) используются для идентификации клиентов
27
• ISE использует целый набор атрибутов для построение полной картины профайлаустройства.
• Информация собирается с различных сенсоров, которые передают различные атрибуты
– ISE может даже запустить NMAP сканирование по IPадресу клиента, чтобы получить больше деталей.RADIUS
DHCP
DNS Сервер
Поиск в базе данных DNS по IP
адресу клиента дает его
доменное имя.
HTTP UserAgent
Устройство перенаправляется на ISE для перехвата
параметров Web браузера.
ISE
3
4
DHCPSnooping
DHCP атрибуты клиента
перехватываются ТД и пересылаются в виде RADIUS Accounting
сообщений.
2Дает MAC
адрес, который используется для поиска
среди известных OUI
производителей.
1
![Page 28: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/28.jpg)
Пример профилирования устройства- iPadПосле профилирования данная информация сохраняется в ISE для использования в дальнейшем:
Принадлежит ли MACадрес пулу Apple?
Содержит ли имя хоста “iPad”?
User-Agent содержит iPad?
ISE
Apple iPad
![Page 29: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/29.jpg)
Возможности профилирования устройств ISEболее 200 встроенных политик, иерархично определенных по вендорам
смартфоны
Игровые приставки
Рабочие станции
Множество правил для достижения
уровня срабатывания
Минимальный уровень
срабатывания
1
2
![Page 30: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/30.jpg)
Шаги для интеграции контроллера и ISE
30
1. Настройка WLAN для аутентификации 802.1x• настроить RADIUS сервер на контроллере• настроить для WLAN AAA Override, Profiling и RADIUS NAC
2. Настройка профилирования ISE• Включить сенсоры профилирования
3. Настройка уровней доступа• Настроить ACLs для фильтрации трафика и управления
сетевым доступом.
![Page 31: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/31.jpg)
Добавление ISE как сервера аутентификации и аккаунтинга
31
Включите “RFC 3576” для поддержки СоА
Добавить как accounting сервер для получения статистики
1
2
![Page 32: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/32.jpg)
Настройка WLAN для безопасного подключенияВключение аутентификации и шифрования WPA2-Enterprise
WPA2 с шифрованием AES
Можно включить GTK-Randomization для защиты от
атаки “Hole196”.
1
2
![Page 33: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/33.jpg)
Установка уровня QoS для WLANПри использовании WMM, уровень QoS определяется маркировкой пакета.
33
• Если WMM настроен Allowed, уровень Quality of Service выступает верхним пределом для всего SSID.
• Убедитесь, что все аплинки контроллера, медиасерверов и ТД имеют правильные установки команды trust в IOS.
This Acts As An Upper Limit, or Ceiling for the WLAN’s QoS Configuration
1
![Page 34: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/34.jpg)
Настройка WLAN для безопасного подключения, продолжение
Allow AAA Override чтобы
ISE мог изменять
параметры для каждого
пользователя
ВключитеRADIUS NAC,
чтобы ISE мог
использовать СоА.
ВключитеClient Profiling
для того, чтобы
контроллер отсылал DHCP
атрибуты клиента на
ISE.
12
3
![Page 35: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/35.jpg)
Настройка сенсоров профилирования ISE
Профилирование основано на множестве “сенсоров” для получения информации о типе клиента.
В принципе, профилирование может быть достигнуто с помощью span портов, но более эффективно использовать сенсоры, которые отсылают лишь выбранные атрибуты.
Для DHCP профилирования:- Вариант A: использовать v7.2 MR1 для отсылки DHCP атрибутов в сообщениях RADIUS accounting.- Вариант B: использовать Cisco IOS “ip helper” на коммутаторе, к которому подключен WLC.
Для HTTP профилирования:- Использовать Web-Authentication redirect для получения информации о HTTP user agent.
35
![Page 36: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/36.jpg)
Настройка Web-Authentication Redirect ACLДанные ACL используются для HTTP профилирования, проверки состояния и настройки.
36
Подставьте ip адрес сервера ISE, чтобы разрешить трафик только к нему.
2
На этот ACL по имени будет ссылаться ISE для ограничения
доступа пользователю.
1
![Page 37: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/37.jpg)
Создание политики безопасности в ISE
37
![Page 38: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/38.jpg)
ISE
ISE: базы данных пользователей
Cisco ISE может опрашивать широкий спектр хранилищ информации о пользователях, включая Active Directory, PKI, LDAP и RSA SecureID. Также можно
использовать локальную базу данных ISE в случае небольших внедрений.
38
EAPoL
Пользователь/Пароль
user1C#2!ç@_E(
Сертификат
RADIUS
Token
Active Directory,LDAP или PKI
RSA SecureID
Локальная БД
Базы данных
Пользовательская и/или машинная аутентификация
![Page 39: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/39.jpg)
Шаги настройки политик ISE
39
1. Правила аутентификации• Определите, какую БД пользователей использовать.
• Пример – Active Directory, CA Server или внутренняя БД.
2. Правила авторизации• Определите, какие пользователи и на каких устройствах
получат доступ к ресурсам.• Пример – все сотрудники с Windows лэптопами должны иметь
неограниченный доступ.
![Page 40: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/40.jpg)
Правила аутентификацииПример для PEAP и EAP-TLS
40
1
Создание другого профайла, для использования хранилища
сертификатов
2
Обращаться к Active Directory дляPEAP аутентификации
1
![Page 41: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/41.jpg)
Настройка правил авторизацииГибкие условия, соединяющие пользователей и их устройства
41
Policy Authorization - SimpleМогут быть использованы группы устройств (такие как
«рабочая станция» илиiPods)
1Можно задать группы Active
Directory
2
Результатом правила авторизации будет установка политики на сетевом устройстве
3
![Page 42: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/42.jpg)
Правило авторизации “Результаты”Политики доступа, на которые ссылаются авторизационные правила
42
Правила авторизации представляют собой набор условий для выбора авторизационного профайла.
Этот профайл содержит все атрибуты соединения, включая VLAN, ACL и QoS.
Данные атрибуты отправляются на контроллер для их применения. Они могут быть изменены позже путем использования CoA (Change of Authorization).
Простая смена VLAN, путем задания тега
1
Доступные для замены атрибуты
2
![Page 43: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/43.jpg)
Подключение BYOD устройств
43
![Page 44: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/44.jpg)
CA-Server
Подключение устройства Apple iOS
Начальное соединение. Используем
PEAP
ISEWLC
1
Мастер настройки устройства
2
Все последующие соединения будут использовать EAP-
TLS3 ISEWLC
Change of Authorization
CA-Server
![Page 45: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/45.jpg)
CA-Server
Подключение устройства Android
Начальное соединение.
Используем PEAP
ISEWLC
1 Перенаправление на Android Marketplace для
установки утилиты настройки2
Все последующие соединения будут использовать EAP-
TLS4 ISEWLC
Настройка с использованием Cisco Wi-Fi Setup Assistant
3 Change of Authorization
CA-Server
![Page 46: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/46.jpg)
Подключение Windows/Mac OS X устройства
Начальное соединение.
Используем PEAP
ISEWLC
1Перенаправление на
ISE для установки настроечной утилиты
Все последующие соединения будут использовать EAP-
TLS4 ISEWLC
Автоматическая настройка с
использованием Cisco Wi-Fi Setup Assistant 3 Change of
Authorization
2
CA-Server
CA-Server
![Page 47: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/47.jpg)
Шаги процедуры установки сертификатов с использованием SCEPПростой и безопасный способ загрузки сертификатов
47
ISEWLC
CA-Server
1
Получение корневого сертификата сервера CA.
2
Запрос на получение сертификата устройства
????
SCEP Client
SCEP Server
CA-Server
SCEP Server
3
Получение и сохранение нового сертификата для использования в будущем.
CA-ServerSCEP Server
![Page 48: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/48.jpg)
Портал “мои устройства”Пользователь может сам регистрировать и удалять свои устройства
Устройства могут быть удалены
пользователем.
Количество регистрируемых устройств
ограничено администратором
32
При добавлении устройства можно
указать детали
1
![Page 49: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/49.jpg)
1. Настройка взаимодействия с внешним сервером CA• Указать SCEP URL и сертификаты.• Пример – Active Directory, CA Server или внутренняя БД.
2. Создание профиля настройки саппликанта• Задать настройки безопасности и тип EAP, которые используются
оконечными устройствами.
Шаги настройки функции автоматического подключения устройств
49
![Page 50: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/50.jpg)
Настройка SCEP интеграции на ISEISE должен знать SCEP сервер и иметь сертификат, подписанный данной CA
50
Укажите SCEP URL ведущий к Microsoft Windows 2008 Server или
другой CA
1
Запросите сертификат для ISE у CA сервера
2
![Page 51: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/51.jpg)
Настройка сертификатов ISEСертификаты, использующиеся для HTTPS и EAP соединений
51
Используем сертификат, подписанный нашей CA Server для
EAP аутентификации
2
Сертификат Web сервера может быть одинаковым или отличаться от сертификата, используемого
для EAP/RADIUS
1
![Page 52: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/52.jpg)
Создание профиля автоматической настройки саппликанта
52
Создайте ACL для перенаправления трафика на WLC
1
Выберете “Supplicant Provisioning” как функцию портала
2
![Page 53: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/53.jpg)
Авторизационные правила для настройки саппликантаПримерный набор правил для принудительной регистрации PEAP устройств
53
Для всех PEAP устройств отображается портал настройки
саппликанта
2
EAP-TLS пользователи имеют
полный доступ
1
![Page 54: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/54.jpg)
Настройка профиля саппликанта: EAP-TLSПри использовании ISE для автоматической установки сертификатов
54
Используем WPA2 иTLS как тип EAP
2Задайте, кто может
подключать устройства
1
![Page 55: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/55.jpg)
Мониторинг и составление отчетов
55
![Page 56: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/56.jpg)
ISE определяет политику как для проводных, так и беспроводных сетейУнифицированные политики(ISE) и управление(NCS).
NCS
Централизованное хранилище политик для проводных и беспроводных пользователей и их устройств
Централизованный мониторинг проводных и
беспроводных сетей, пользователей и их
устройств
ISE
![Page 57: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/57.jpg)
Отображение типа клиента и его политики с помощью интеграции NCS и ISEИнформация об устройстве пользователя передается в NCS
Тип устройства, полученный от
ISE
Информация о примененной
политике, включая домен Windows
AAA Override параметры,
примененные к клиенту
Общий список для проводных и
беспроводных устройств2
3
1
![Page 58: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/58.jpg)
«Живой» лог ISEПозволяет осуществить мгновенный поиск ошибок профилирования и назначения политик.
58
Аутентификация устройства
Аутентификация пользователей
Профилирование устройства
1
2
3
![Page 59: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/59.jpg)
NCS содержит ссылки на отчеты ISE про профилированию устройств
![Page 60: Безопасное подключение личных устройств сотрудников к корпоративным сетям или феномен BYOD](https://reader031.vdocuments.mx/reader031/viewer/2022020716/549c5109b47959d9318b46fa/html5/thumbnails/60.jpg)
Sponsored by
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!