Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1

Интеграция сервисовидентификации и контролядоступа. Решение Cisco Identity Services Engine (ISE)

Илья Озарнов

Геннадий Симонов

Январь 2012

Программа

• Identity Services Engine. Обзор

• Управление доступом с учетом

контекста:– Кто: Аутентификация

– Что: Профилирование, оценка состояния,

изменение авторизации (CoA)

– Применение политик доступа

– Управление гостевым доступом

• Эксплуатация

• Дизайн и внедрение

• Направления развития

Identity Services Engine

Обзор

Эволюция сетевого доступаЭпоха сетей без границ

Кампусная

сеть

Внутренние

ресурсы

Филиал

Интернет

Сотрудники

(Продавцы)

Сотрудники

(Продавцы)

VPN

Сотрудники

(Финансы)

Контрактники

ГостиIP камера

Телеработа

VPN

VPN

Мобильные

сотрудники

Сотрудники с

WiFI-

устройствами

Системы

безопасности

Принтеры

(Бухгалтерия)

Принтеры

(Sales)

Распространение мобильных устройств

Время

• 7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет

выходить на рынок в ближайшие пять лет.*

• К 2015 году будет 7.400 млрд 802.11n устройств на

рынке*

• 1.2 миллиарда смартфонов выйдет на рынок в

течение следующих пяти лет, около 40% всех

поставок телефонов .*

• К 2012 году более 50% мобильных устройств будет

поставляться без проводных портов .***

Источники: *ABI Research, **IDC, *** Morgan Stanley Market Trends 2010

Big

Задачи управления доступом

КТО

ПОДКЛЮЧИЛСЯ ?

ЧТО

ЗА УСТРОЙСТВО ?

КАК

ПОДКЛЮЧИЛСЯ?

ГДЕ

ПОДКЛЮЧИЛСЯ ?

КУДА

разрешатся доступ

Контроль доступа: традиционный подход

Клиент

Управление

политиками и

сервисами

безопасности

Применение политик

NAC Manager NAC GuestNAC ProfilerACS

WiFI МаршрутизаторыКоммутаторыМежсетевые

экраны

NAC агент Web-агент или

браузерAnyConnect или

встроенный в ОС

NAC

Appliance

Контроль доступа TrustSec

Основные компоненты

КоммутаторыМежсетевые

экраны

Identity Services Engine (ISE)

NAC агент Web-агент или

браузерAnyConnect или

встроенный в ОС

Клиент

Применение политик

Управление

политиками и

сервисами

безопасности

WiFI Маршрутизаторы

ISE. Гибкая безопасность на основе политик

Я хочу разрешить

гостевой доступ

Мне нужно разрешить /

запретить iPADы в моей

сети (BYOD)

Я хочу разрешить доступ

к своей сети

только авторизованным

пользователям

Как я могу установить

политики, основанной на

личности сотрудника, а не

IP-адресах?

Мне нужно, чтобы мои

конечные устройства не

несли угрозу

Мне необходимо

защищать

конфиденциальные

коммуникации

Управление

жизненным циклом

гостевого доступа

Сервисы

профилирования

Сервисы оценки

состояния

Идентификация и

авторизация

Технология MACSec

Cisco ISE

Управление доступом

на основе групп

безопасности

Кто? Идентификация и аутентификация

―- А какие у вас докУменты? Усы, лапы

и хвост — вот мои документы!‖

— Каникулы в Простоквашино

• Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ)

Основной способ аутентификациии: Веб-аутентификация

Учитывать:

• Портал для веб-аутентификации

• Создание и хранилище гостевых учетных записей

Доступ на основе контекстаКТО= Идентификация пользователя

• Известные/ ―управляемые‖ пользователи (постоянный доступ)

– Основной способ аутентификациии: 802.1X или NAC-агент– Учитывать:

• Хранилище для идентификации

• Типы 802.1x EAP и выбор клиента/сапликанта

Сотрудники и

контрактники

Гости, Сотрудники

с “чужого” компьютера

Политика доступа в ISE , зависит от того

“КТО” получает доступ. Пример

ЧТО=iPAD КТО?

Права доступа= Авторизация• Employee_iPAD Set VLAN = 30 (Корп. доступ)• Contractor_iPAD Set VLAN = 40 (Только Интернет)

Что ?Профилирование,

Оценка состояния устройств,

“Что за люди ? А это не люди.

А, ну прекрасно.”

— Секретная миссия.

Device Posture

Device Profile

Device Identity

Доступ на основе контекстаЧТО= Идентификация устройств, Классификация,

Состояние

• Идентификация устройства

• Методы:

– 802.1X машинная аутентификация

– ―Аутентификация‖ основанная на адресе

• Классификация типа устройства

(профилирование)

• ПК, ноутбуки, смартфоны, не-пользовательские

сетевые устройства

• Методы:

– Статически: Присвоить типы адресам устройств

– Динамически: Профилирование(оценка сетью)

• Оценка состояния

• AV установлен/запущен? OS патчи? Наличие

вредоносного ПО?

00:11:22:AA:BB:CC

172.16.3.254

Примеры не-пользовательских сетевых

устройств

Принтеры

Факсы/МФУ

IP телефоны

IP камеры

Беспроводные

точки доступа

Управляемые UPS

Хабы

Платежные

терминалы и кассы

Медицинское оборудоваие

Сигнализация

Станции видеоконференцийи

Турникеты

Системы жизнеобеспечения

RMON Probes

Торговые машины

. . . и много другое

ISE – Статическая классификация MAC-

записей

• Одно устройство

– Статически

добавляем

• Множество устройств

LDAP Import

File Import

Сервисы динамического профилирования

Профилирование обеспечивает возможность обнаружить и

классифицировать устройства

• Обнаружение и классификация основаны на цифровых

отпечатках устройств

• Дополнительные преимущества профилирования

• Наблюдаемость: Взгляд на то, что находится в вашей сети

• Профилирование основано на эвристике

• Выбирается ―наилучшее‖ предположение

DHCP

RADIUS SNMP

Profiling Attribute Sources

NETFLOWHTTP

DNS

“Карп, ты на руки то его посмотри...

Из него водила как из Промокашки

скрипач...”

– Место встречи изменить нельзя

ISE – условия профайла

ISE – библиотека профайлов

ISE – сбор атрибутов устройств

Device Attributes

More attributes

And more attributes

Политика доступа в ISE , зависит от того

“ЧТО” получает доступ. Пример

What? Who=Employee

Permissions = Authorizations• Employee_PC Set VLAN = 30 (Полный доступ)• Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)

Оценка состояния

• Состояние (Posture) = состояние соответствия устройства

политике безопасности компании.

– Установлены ли на системе последние Windows-патчи?

– Антивирус инсталлированный? Обновлен?

– Есть ли актуальная защита от антишпионского ПО?

• Сейчас мы можем расширить идентификацию

пользователя/системы за счет анализа оценки состояния.

• Что может проверяться?

– AV/AS, Реестр, Файлы, Приложения/ Процессы,

обновления Windows, WSUS и прочее.

• Если не соответствует– Автоматическое приведение к

безопасному статусу, предупреждение, карантин

• Поддерживается NAC Agent (постоянный) и временный Web

Agent

“Ваше курение может пагубно

отразиться на моем здоровье!

...”

– Малыш и Карлсон

Задача:

• Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ?

• Как мы повторно авторизируем порт после веб-аутентификации пользователя?

Проблема:

•По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом.

Решение:

• CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом).

•CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.

Изменение авторизации (CoA)“… Если друг оказался вдруг

И не друг, и не враг, а – так..”

– Вертикаль. В. Высоцкий

Собираем все вместе

Определение политики авторизации ISE

Тип устройства

Местоположение

ПользовательОценка Время Метод доступа

Прочие атрибуты

Применение политик.

КУДА

разрешатся доступ

“-Куда?

-Туда.

-Зачем?

-Затем”

– Улицы разбитых фонарей

Применение политик ISE Сегментация сети

Метод

сегментаци

и

Точка

применен

ия

Преимущества Недостатки

VLANS Вход • Не требует управления ACL на

порту коммутатора

• Предпочтельный способ изоляция

трафика на всем пути

• Обычно требует изменения IP-

адресов

• Требует распространения

общих сетей VLAN по всей сети

доступа.

• VLANs требуют разворачивания

дополнительных механизмов

применения политик

dACLs Вход • Не требуется изменения IP

• Не требуется распространения

общих VLANs в сети доступа и их

управление

• Обеспечивает контроль доступа

прямо на порту коммутатора, а не

на отдельном устройстве

• Ограничение ресурсов

коммутатора по количеству

записей в ACL.

Secure

Group

Access

Выход • Упрощает управление ACL

• Уменьшает размер политики

• Разделяет политику и IP-

адресацию.

• Пока нет универсальной

поддержки SGA на всех Cisco-

платформах

.

Дизайн и внедрение

Платформы ISE

Hardwar

e

Small Medium Large VM

Model 1121/3315Based on the IBM System

x3250 M2

3355Based on the IBM System

x3550 M2

3395Based on the IBM System

x3550 M2

VMware Server v2.0

(Demos)

VMware ESX v4.0 / v4.1

VMware ESXi v4.0 / v4.1

CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor

RAM 4GB 4GB 4GB 4GB (max)

Disk 2 x 250-GB SATA

(500GB available)

2 x 300-GB 2.5‖ SATA

(600GB available)

4 x 300-GB 2.5‖ SAS I

(600GB available)

Admin: >= 60GB

Policy Service: >= 60GB

Monitoring: >= 200GB

RAID No Yes: RAID 0 Yes: RAID 1 -

Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet

Power Single 650W 650W Redundant 650W Redundant -

Node

Roles

All Roles All Roles All Roles No Inline Posture Node

3315eth2 eth3

eth0 eth1

3355

3395eth2 eth3 eth0

eth1

Роли ISE

Административный узел (Admin Node)– Интерфейс для конфигурации политик

Узел мониторинга (Monitor Node))– Интерфейс для сбора событий и мониторинга

Узел сервиса политик (Policy Service Node)– ―Движок‖, который общается с устройствами доступа и

принимает решения по доступу на основе политик

“Эта роль ругательная, я её прошу

ко мне не применять!”

-Иван Васильевич меняет профессию

Узлы и роли ISE

Роли – одна или

несколько:

•Администрирование

•Мониторинг

•Сервис политик

Единый ISE узел

(устройство или VM)

ИЛИ

ISE

ISE

Inline Posture

PolicyService

MonitoringAdmin

Отдельный узел в

режиме Inline для

оценки состояния

(только

устройство)

Архитектура ISE

Устройства РесурсыПрименение

политики

АдминВнешние

данные

Сервис

политикПросмотр/

Настройка

Политик

Запрос

атрибутов

Запрос на

доступДоступ к

ресурсам

Журналирование

Запрос/ ответ

контекста

доступа

Мониторинг

Просмотр

журналов/ отчетов

Журналирование

Журналирование

Отказоустойчивость узла управления и

синхронизация

• Изменения, внесенные в первичном узле администрирования,

автоматически синхронизируются с Вторичный узлом

администрирования и всеми узлами сервисами политик.

Policy Service

Node

Policy Service

Node

Policy Service

Node

Admin Node (Primary)

Admin Node (Secondary)

Monitoring

Node (Primary)

Monitoring

Node (Secondary)

Policy Sync

Policy Sync

Logging

Администратор

Отказоустойчивость узла управления и

синхронизация• В случае выхода из строя Основного Административного узла

пользователь-администратор может подключиться к Вторичному

Административному узлу; все изменения на вторичном узле будут

автоматически синронизироваться на сервера Сервиса Политик

• Вторичный Административный Узел должен быть вручную переведен в

Первичный режим.

Policy Service

Node

Policy Service

Node

Policy Service

Node

Admin

Node (Primary)

Admin Node(Secondary -> Primary)

Monitoring (Primary)

Monitoring(Secondary)

Policy Sync

Logging

Admin

User

X

Мониторинг – Распределенный сбор

журналов• ISE поддерживает распределенный сбора журналов по всем узлам для

оптимизации сбора, агрегации, и централизованные корреляцию и

хранение событий.

• Local Collector Agent работает на каждом узле ISE и собирает свои

события локально. В дополнение Local Agent на узле с Сервисом Политик

собирает журналы связанных сетевых устройств.

NADs Policy Services

(Collector

Agent)

Monitoring

(Collector)Netflow

SNMP

Syslog

External Log

Servers

Масштабирование узлов Сервиса Политик и

отказоустойчивость• Сетевые устройства доступа (NADs ) могут быть настроены на

отказоустойчивые RADIUS сервера (узлы Сервиса Политик).

• Узлы сервиса политик могут быть настроены в кластер или ―группу узлов‖ позади балансировщика. NADs шлет запросы на виртуальный IP кластера

Switch

Administration Node

(Primary)

Switch

Policy Services

Node Group

Load Balancers

Network

Access

Devices

Administration Node

(Secondary)

Policy

Replication

AAA connection

МасштабируемостьРазворачиваем все сервисы на едином устройстве

• Максимальное число устройств (endpoints)

для 33x5 серверов – 2000 устройств

• Отказоустойчивая конфигурация – два узла

Admin

PolicyService

Monitoring

ISE

Admin

PolicyService

Monitoring

ISE

Масштабируемость

Распределенное внедрение

Выделенные узлы для Сервиса Политик

Платформа Максимальное

число

устройств

События

профайлера

Оценка

состояния

ISE-3315-K9 3,000 500 per/sec 70 per/sec

ISE-3355-K9 6,000 500 per/sec 70 per/sec

ISE-3395-K9 10,000 1,200 per/sec 110 per/sec

Масштабируеомость

Распределенное внедрение

• 2 x Admin+Mon

• Максимально 5 серверов

Сервиса Политик

• Максимально 50k конечных

устройств (3395)

• Рекомендованная

отказоустойчивость узлов

Сервисов Политик N+1

Admin + Monitoring размещены на единой паре

серверов

AdminMon

AdminMon

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

Масштабируеомость

Распределенное внедрение

• 2 x Admin+2 x Mon

• Максимально 40 серверов

Сервиса Политик

• Максимально 100k конечных

устройств

• Рекомендованная

отказоустойчивость узлов

Сервисов Политик N+1

Admin + Monitoring размещены на выделенных

парах серверов

AdminMon

AdminMon

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

AdminMon

AdminMon

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

PolicySvcs

Руководство по виртуализации ISE

Спецификация для запуска ISE в VM– смотрите

спецификацию платформ для ISE

Спецификация хоста должна быть аналогичной или

лучше, чем спецификация устройства ISE для заданного

числа конечных устройств (endpoints)

Если спецификация хоста эквивалентна спецификации

устройства ISE, рекомендовано запускать единственную

VM на хосте

ISE VMs обязаны размещаться на поддерживаемых ESX

системах

Поддерживаемые устройства доступа (NADs)Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA

Access Switches

Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔Catalyst 2960 / 2960S

ISR EtherSwitch ES2

IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔

Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3560-E

ISR EtherSwitch ES3

IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔

Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔Data Center Switches

Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔Wireless

WLAN Controller

WLC2100, 4400, 5500

7.0.114.4 (RADIUS CoA)

*Named ACLs only on WLC

- ✔ ✔ ✔ ✔ ✔

WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔

Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS .

Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для

расширенных функций

Режим работы ISE Inline Posture

• Узел ISE предоставляет возможность применение политик на пути

трафика (inline posture) для сетевых устройств, которые не поддерживают

Radius CoA.

• Основные сценарии внедрения – это VPN-шлюзы и контроллеры

беспроводной сети без поддержки CoA.

• Узлы ISE располагаются на пути трафика между сетевым устройством

доступа и защищаемым ресурсом (подобно NAC Inband Appliance)

• Узлы в режиме Inline поддерживают:

– Функции RADIUS Proxy и CoA

– Применение политик с помощью dACLs

– Режимы Bridged или Routed

– L2 или L3 удаленность к сетевому устройству

– Отказоустойчивость Active/Standby

Замечание: Узел Inline Posture Node это только прокси для RADIUS.

Поэтому сетевое устройство должно использовать протокол RADIUS для

аутентификации с ISE .

Пакеты и лицензирование в ISE

Wireless Upgrade License (ATP)Расширяем политику на проводные и & VPN устройства

Лицензия для беспроводного Политики для беспроводных устройств

Лицензия на 5 лет

Платформы

• Аутентификация / Авторизация

• Гостевой доступ

• Политики для MACSec

• Профилирование устройств

• Оценка состояния

• Доступ по группам безопасности

Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance

Базовая лицензия (ATP)Политики для всех видов устройств

Постоянная лицензия

Расширенная лицензия (ATP)Политики для всех видов устройств

Лицензия на 3/5 лет

ISE

Cisco IOS получает

встроенный набор сенсоров

(SNMP/LLDP, HTTP, DHCP, eи)

Активное сканирование

устройствISE дополняет пассивную сетевую

телеметрию активным сканированием

устройств

Сетевая инфраструктура обеспечивает

встроенный функционал сенсора для

классификации устройств.

Дополнительное ―ухо‖ для ISE

Версия ISE 1.1 включают поддержку

интернационализации и русский

интерфейс для гостевого портала и

агентов

Сценарии на ISE

Сценарии Раньше

Перспектива

1 год

Перспектива

2 года

Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE

Контроль беспроводного

доступаCisco ACS Cisco ISE Cisco ISE

Контроль доступа с SNMPCisco NAC

applianceCisco NAC Cisco ISE

Гостевой доступCisco NAC

GuestCisco ISE Cisco ISE

Оценка состояния (NAC) Cisco NAC Cisco ISECisco ISE

Профилирование устройствCisco NAC

ProfilerCisco ISE Cisco ISE

Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE

Контроль администраторов Cisco ACS Cisco ACS Cisco ISE

“Все будет Айс!”

ISE – ключевые отличия

Упрощение больших политик безопасности

SGT Public Private

Staff

Guest

Permit

Deny

Permit

Permit

LOCATIONUSER IDACCESS RIGHTS DEVICE (& IP/MAC)

Доступ в сеть на основании контекста

Интегрированные оценка состояния и профилирование

Упрощенный ролевой доступ

Поддержка устройств и ПО ВСЕХ популярных вендоров

Тесная интеграция ISE вСеть

Управление гостевым доступом

Масштабирование

Масштабируемые архитектура и лицензирование

“Память памятью, а повторить

никогда не мешает.”

- Семнадцать мгновений весны

Ресурсы