Технология trustsec и управление сетевым доступом · pdf...
Post on 13-Mar-2018
248 Views
Preview:
TRANSCRIPT
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1 STG-Router-Security
Технология TrustSec и управление сетевым доступом
Владимир Илибман Технический консультант
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 2
О чем будем говорить
Технологии управления сетевым доступом
Обзор решения TrustSec Процесс внедрения TrustSec Практические сценарии
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 3
Технологии управления сетевым доступом
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 4
Контроль сетевого доступа. Современные вызовы.
Кто?
Что ?
Где ?
Как ?
Размытие традиционных границ сети. Доступ осуществляется из любой точки
Распространение разных типов сетевых устройств, включая специализированные платформы
Идентификация пользователей и обеспечение гранулированного динамического доступа к ресурсам
Разработка и применение политик доступа, согласованных между собой
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 5
Как осуществлятеся процесс контроля сетевого доступа
Обеспечивают путь для Идентификации того, кто получает доступ в сеть Определения как осуществляется доступ Идентификации местоположения, откуда данный пользователь пытается осуществить доступ Определения политик доступа (авторизация)
Основываясь на этой информации, осуществляется Предоставление доступа в сеть Определение границ доступа Определение уровня предоставляемого сервиса Журналирование использования ресурсов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 6
Обзор решения Cisco для осуществления идентификации и сетевого контроля
NAC Profiler Система AAA Cisco Secure ACS
Catalyst Switch
802.1X
MAB
Directory Server
NAC Guest Server
Web Auth
RADIUS
Гость
Сотрудник
Printer
Гибкие политики на основе RBAC
Система управления всем циклом гостевого доступ с веб-аутентификацией
Гибкие механизмы аутентификации (802.1X, MAB, Web Auth in any order)
Различные методы авторизации(VLAN, Downloadable ACL,
URL Redirect, etc)
Система автоматического профилирования любых подключенных сетевых
устройств (камеры, принтеры …)
Разные варианты внедрения 802.1X (Monitor Mode, Low
Impact Mode, High Security Mode)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 7
Вызовы традиционных подходов для контроля доступа на входе в сеть
• Управление большим числом VLAN и пулами адресов? • Как поступать с обновлением адреса при смене VLAN
(DHCP)? • Как управлять множеством ACL на VLAN-интерфейсах? • Влияние на сетевую топологию?
• Кто будет обновлять ACLs? • Что происходит если меняются IP-адреса ресурсов?
• Имеет ли коммутатор достаточно ресурсов TCAM для обработки списков доступа?
Применение традиционных методов контроля имеет ряд проблем
Требуется детальный дизайн
Не масштабируются так гибко, как хочет бизнес
Внедрение контроля доступа заканчивается редизайном существующей сети
802.1X/MAB/Web Auth
Назначение VLAN
Загрузка ACL
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 8
Эволюция технологий контроля сетевого доступа
Контроль на основе сетевых адресов ACL, VACL, PACL, PBACL и.т.д.
Network Admission Control (NAC) Проверка соответствия конечных устройств требованиям политики безопасности (патчи, обновления… )
Контроль на основе идентификации Гибкие механизмы идентификации:
802.1x, MAB, WebAuth, FlexAuth Разнообразные опции контроля :
dACL, Присвоение VLAN, URL redirect, QoS…
Интеграция профилирования и сервисов гостевого доступа
Cisco TrustSec
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 9
Cisco TrustSec Обзор решения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 10
Cisco TrustSec
TrustSec - зонтичное решение для увеличения безопасности кампусной сети и датацентра, основанное на строгой идентификации пользователей, хостов и сетевых устройств
TrustSec обеспечивает управление доступом вне зависимости от сетевой топологии путем классификации трафика на основе ролей
TrustSec обеспечивает конфиденциальность и целостность данных путем установления доверенных отношений и шифрованием канала между сетевыми устройствами
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 11
Ключевые функции TrustSec Контроль доступа на основе ролей без привязки к сетевой топологии
Масштабируемое тегирование фреймов с помощью Security Group Tag (SGT)
Централизованное управление политиками фильтрация Source Group ACL (SGACL)
Шифрование основанное на стандарте IEEE802.1AE (AES-GCM 128-Bit)
Шифрование на втором уровне OSI на скорости канала
Управление ключами на основе протокола SAP (802.11i), ожидание стандартизации 802.1X-REV
Аутентификация конечных устройств с помощью 802.1X, MAB, Web Auth
Контроль доступа на основе 802.1X создает доверенный домен TrustSec
Только доверенные устройства могут присваивать Security Group TAG
Security Group Based Access Control
Конфиденциальность и целостность
Доверенная сетевая среда
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 12
Контроль доступа на основе меток безопасности
Контроль доступа на основе меток безопасности позволяет
Сохранить текущий логический дизайн на уровне доступа
Изменять/применять политики для соблюдения актуальных бизнес требований
Распределять политики из централизованного сервера управления
SGACL 802.1X/MAB/Web Auth
Финансы (SGT=4)
HR (SGT=10)
Я контрактник Моя группа - HR
Контрактник & HR
SGT = 100
SGT = 100
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 13
Контроль доступа на основе меток безопасности
Уникальной роли присваиваются уникальные метки длиной 16 бит (65K)
Представляют привилегии пользователя, устройства или ресурса
Присвоение меток на входе в домен TrustSec
SGACL SG
SecurityGroup
Tag
Фильтрация (SGACL) на выходе (egress) внутри домена TrustSec
Не требуется знания IP-адресов для фильтрации (IP-адрес привязан к метке SGT)
Политика (ACL) распределяется из централизованного сервера политик (ACS) или настраивается локально на устройстве TrustSec
Политики не зависят от топологии
Гибкие и масштабируемые политики на основе роли пользователя
Централизованное управление политиками для динамического присвоения правил
Исходящая фильтрация уменьшает влияние ресурсы коммутатора (TCAM)
Преимущества
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 14
Формат фрейма второго уровня с меткой SGT
это дополнение L2 802.1AE + TrustSec (=~40bytes)
Присвоение меток происходит до других L2 сервисов (таких как QoS)
Пространство меток SGT управляется на сервере политик (ACS 5.x)
Нет влияния на IP MTU/фрагментацию.
Обычный кадр Ethernet
Cisco Meta Data
Зашифровано Аутентифицировано
Layer 2 SGT фрейм и формат мета данных (Cisco Meta Data)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 15
Традиционный список контроля доступа Пользователи (Source)
S1
• Sources x Destinations x Permissions = ACEs • Source (S1) * Destination (S1~S6) * Permission (4) = 24 ACEs для S1 • Source (S1~S4) * Destination (S1~S6) * Permission (4) = 96 ACEs для S1~4 • Увеличение числа ACEs приводит к потреблению ресурсов в точке применения политики
D1
D2
D3
D4
D5
D6
S2
S3
S4
Сервера (Destination)
permit tcp S1 D1 eq https permit tcp S1 D1 eq smtp permit tcp S1 D1 eq sqlnet deny ip S1 D1
Sales
HR
Finance
Managers
IT Admins
HR Rep
S1 to D1 Access Control
Access Control Entries (ACEs) увеличивается по мере увеличения числа
полномочий
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 16
Как SGACL упрощает контроль доступа
Пользователи
S1
• (число Source SG) * (число Dest SG) * Permissions = число ACEs • SGT 10 * Dest SGTs (3) * Permission (4) = 12 ACEs для MGMT A SGT • SRC SGTs (4) * DST SGTs (3) * Permission (4) = 48 ACEs
D1
D2
D3
D4
D5
D6
S2
S3
S4
Сервера Security Group
(Source)
MGMT A (SGT 10)
HR Rep (SGT 30)
IT Admins (SGT 40)
Security Group (Destination)
Sales SRV (SGT 500)
HR SRV (SGT 600)
Finance SRV (SGT 700)
MGMT B (SGT 20)
SGACL
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 17
Эффективность SGACL в реальных условиях
Пользователи Сервера Security Group (Source)
MGMT A (SGT10)
HR Rep (SGT30)
IT Admins (SGT40)
Security Group (Destination)
Sales SRV (SGT400)
HR SRV (SGT500)
Finance SRV (SGT600)
MGMT B (SGT20)
SGACL 10 сетевых ресурсов
10 сетевых ресурсов
10 сетевых ресурсов
x 100
x 100
x 100
x 100
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 18
Эффективность SGACL в реальных условиях 400 пользователей получают доступ к 30 сетевым ресурсам с 4 типами полномочий для каждого ресурса Традиционный ACL на FW без фильтрации источника
Any (src) * 30 (dst) * 4 permission = 120 ACEs
Традиционный ACL на интерфейсе VLAN – используя фильтрацию по подсетям источника трафика
4 VLANs (src) * 30 (dst) * 4 permission = 480 ACEs
С технологией SGACL 4 SGT (src) * 3 SGT (dst) * 4 permission = 48 ACEs
Фильтрация на порту с помощью Downloadable ACL
1 Group (src) * 30 (dst) * 4 permission = 120 ACEs
400 (src) * 30 (dst) * 4 permission = 48 000 ACEs
Традиционный ACL на FW с фильтрацией по источнику
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 19
Привязка роли к метке SGT и SGACL
SRC\ DST SRVSGT 111 SRVSGT 222 SRVSGT 333
User SGT 10 Permit all Deny all Deny all
User SGT 20 SGACL-B SGACL-C Deny all
User SGT 30 Deny all
#remark destination SQL permit permit tcpsrcdsteq 1433 #remark source SQL permit permit tcpsrceq 1433 # web permit permit tcpsrcdsteq 80 # secure web permit permit tcpsrcdsteq 443 deny all
SGACL D
ACS SGACL Policy
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 20
Политика SGACL на ACS
1
2
3
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 21
Процесс создания SGACL Шаг 1: Распространение политики SGT
ACS5.x
Server C Server B Server A Directory Service
Campus Access
Data Center
TrustSec Enabled Network
User A User C
Шаг 1
AD User Role SGT
User A Contractor 10
User B Finance 20
User C HR 30
ACS распространяет политику SGT
Server Role IP SGT
HTTP Server Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
ACS настраивается для присвоения меток. Все роли конечных устройств должны быть привязаны к меткам
User to Role Mapping
Server to Role Mapping
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 22
Процесс создания SGACL Шаг 2: Назначение SGT
ACS5.x
Server C Server B Server A Directory Service
Campus Access
Data Center
TrustSec Enabled Network
User A User C
111 222 333
Шаг 2
AD User Role SGT
User A Contractor 10
User B Finance 20
User C HR 30
SGTs присваиваются по ролям и привязываются к IP адресам
Server Role IP SGT HTTP Server Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
По результатам авторизации 802.1X / MAB / Web Authentication, SGTs присваиваются авторизационной политикой ACS через протокол RADIUS
Устройства доступа прослушивают ARP и / или DHCP для аутентифицированных MAC адресов, связывая SGT и IP-адреса устройств
Для серверов IP-адреса привязываются к меткам SGT статично на коммутаторе или динамически на ACS
802.1X / MAB / Web Auth
30 10
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 23
Процесс создания SGACL Step 3: Применение политики SGACL
ACS5.x
Server C Server B Server A Directory Service
Campus Access
Data Center
TrustSec Enabled Network
User A User C
111 222 333
Шаг 3 ACS применяет Egress Policy (Матрица SGT) к устройствам с поддержкой TrustSec
Каждое устройство с поддержкой TrustSec загружает политику с сервера ACS
30 10
SRC\ DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
User C (30) Deny all SGACL-D Permit all
SGACL-D
permit tcpsrcdsteq 1433 #remark destination SQL permit permit tcpsrceq 1433 dst #remark source SQL permit permit tcpsrcdsteq 80 # web permit permit tcpsrcdsteq 443 # secure web permit deny all
SGACL SGACL SGACL
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 24
Процесс создания SGACL Шаг 4: Применение политики SGACL
ACS5.x
Server C Server B Server A Directory Service
Campus Access
Data Center
TrustSec Enabled Network
User A User C
111 222 333
Шаг 4 SGACL позволяет осуществлять контроль доступа без привязки к топологии
30 10
SRC\ DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
User C (30) Deny all Permit all SGACL-D
SGACL-D
permit tcpsrcdsteq 1433 #remark destination SQL permit permit tcpsrceq 1433 dst #remark source SQL permit permit tcpsrcdsteq 80 # web permit permit tcpsrcdsteq 443 # secure web permit deny all
Web traffic SQL traffic
SGACL
Пользовательский трафик маркируется на входе в TrustSec домен
SGT сохраняется при перемещении пакета внутри домена
На исходящем порту устройство TrustSec проверяет локальную политику и отбрасывает пакет если это необходимо
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 25
Конфиденциальность и целостность Шифрование на основе 802.1AE
* NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)
802.1AE
TrustSec обеспечивает Layer 2 шифрование между устройствами и целостность фреймов, основываясь на IEEE 802.1AE стандарте (MACSec)
128bit AES-GCM (Galois/Counter Mode) – утвержден NIST *
Шифрование/дешифрование на скорости канала для интерфейсов 10GbE/1GbE
Защита от повторной пересылки пакетов
802.1AE шифрование для защиты полей CMD (таг SGT)
Защита от атак man-in-the-middle (подслушивание, модификация, повторная пересылка) для всего Ethernet-трафика
Стандартизированный формат и алгоритм (AES-GCM) Расширение 802.1X-REV/MKA поддерживает независимые Security
Associations для разных устройств на одном порту (e.g. PC и IP Phone)
Совместимость с сетевыми сервисами (такими как QoS и VLAN) в отличии от шифрования end-to-end
Преимущества
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 26
802.1AE заголовки (MACSec)
MACSec Tag Format
TrustSec Frame Format
Зашифровано Аутентифицировано
0x88e5
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 27
Шифрование Hop-by-Hop с помощью IEEE802.1AE
Модель “Bump-in-the-wire” (шифрование на канале) Пакеты шифруются на выходе Пакеты дешифруются на входе Пакеты обрабатываются устройством в исходном виде
Позволяет сети продолжать выполнять
все текущие инспекции пакетов
128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption
0110100100011000100100100010100100111010101 01101001000110001001001000 01001010001001001000101001001110101
everything in clear 011010010100010010 011010010100010010
ASIC
Decrypt at Ingress
Encrypt at Egress
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 28
TrustSec основывается на ДОВЕРИИ между устройствами “Trust” Любой участник домена TrustSec должен установить доверенные отношения с соседом по сети
Только метки SGT принятые от доверенного соседа принимаются во внимание
SGT от недоверенного устройства помечаются как “Unknown”, специальная метка SGT со значением 0
Процесс аутентификации конечных устройств называется “Endpoint Admission Control” (к примеру присвоение SGT через 802.1X)
Процесс аутентификации сетевых устройств называется “Network Device Admission Control” или сокращенно NDAC
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 29
Взаимодействие устройств в домене Network Device Admission Control (NDAC) обеспечивает строгую взаимную аутентификацию (EAP-FAST) для формирования доверенного домена
NDAC не требует аппаратной поддержки, но может использовать аппаратное хранилище идент. информации.
Security Association Protocol (SAP) используется для автоматического согласования ключей, так как это определено в стандарте 802.11i
IEEE 802.1X-2010 MACsec Key Agreement (MKA) переопределяет управление ключами и заменит SAP
Аутентификация и управление политиками обеспечивается сервером ACS
NDAC
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 30
NDAC аутентификация / SAP
TrustSec Enabled Network Supplicant
Device
ACS 5.0
Role Determination
EAPOL (EAP-FAST)
Authenticator Device
RADIUS
Policy Policy Acquisition
Key Establishment
On-Going Key Refresh SAP
EAP-FAST Tunnel
Device Authentication
EAP-FAST Tunnel Tear Down
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 31
Cisco TrustSec Процесс внедрения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 32
Процесс перехода на TrustSec
Что будет с сетевыми устройствами, которые не поддерживают аппаратно TrustSec?
Каким образом присваивать SGTs в разнах точках распределенной сети ?
Какие практические сценарии покрывает TrustSec
Каким образом связать TrustSec с внедрением сервисов идентификации?
Каким образом мониторить применение TrustSec?
Какие платформы поддерживают TrustSec?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 33
Поддержка существующих платформ с помощью протокола SXP Маркирование SGT требует аппаратной поддержки
(ASIC) Устройства без аппаратной поддержки могут получать атрибуты SGT от ACS для аутентифицированных пользователей или устройства и передавать связку IP-to-SGT к устройствам с поддержкой TrustSec SGACL для маркирования и фильтрации
SGT eXchange Protocol (SXP) используется для обмена записями IP-to-SGT между устройствами с аппаратной поддержкой TrustSec и остальными устройствами
На текущий момент Catalyst 6500, 4500/4900, 3750, 3560 и Nexus 7000 поддерживают SXP
SXP ускоряет поддержку SGACL не требуя аппаратного обновления сети
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 34
Обмен “связок” IP-SGT с помощью SXP
ACS5.x
Server C Server B Server A Directory Service
Data Center
User A User C
111 222 333
Пользователь привязывается к SGT на коммутаторе доступа
Коммутатор связывает IP-адрес устройства и присвоенную метку SGT
Коммутатор использует протокол SXP для отправления таблиц связей на устройство с аппаратной поддержкой TrustSec
Устройство с TrustSec маркирует пакеты основываясь на IP-адресах источника
30 10
CMD Tagged Traffic Untagged Traffic
Non TrustSec capable device
TrustSec capable device
SXP SXP
SXP IP-SGT Binding Table IP Address SGT Interface
10.1.10.1 10 Gig 2/10
10.1.30.4 30 Gig 2/11
CMD Tagged Traffic Untagged Traffic
User A User C
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 35
Назначение SGT – кампусная сеть
• после 802.1X аутентификаци
• после MAC Authentication Bypass
• после Web Authentication Bypass
• Или путем статического связывания IP-to-SGT на коммутаторе
Пользовательские устройства или мобильные устройства
Каждое устройство которое подключается к домену классифицируется с помощью SGT
SGT отправляются к коммутатору в процессе авторизации по протоколу RADIUS :
Полная интеграция с
Cisco IBNS
Точно также как присвоение VLAN или
dACL
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 36
Пример политики назначения SGT
Типовая авторизационная политика 802.1X на Cisco ACS для назначения меток Security Group индивидуальным ролям
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 37
Пример назначение SGT - кампус
Как SGT динамически присваивается к роли
802.1X
Cat6503 HR Admin
ACS5.0
RADIUS
802.1X User Authentication AuthOK!
HRAdmin:SGT(6/0006)Access-Accept with VSA
MAC:0050.56BC.14AE
PortOpen!
DHCP Request / Response
DHCP Snooping / ARP Snooping
10.1.10.100/24
MACAddress Port SGT
0050.56BC.14AE Fa2/12 6/0006
MACAddress Port SGT IPAddress
0050.56BC.14AE Fa2/1 6/0006 10.1.10.100SXP Binding Table
NX7010
Cat6503 SRC: 10.1.10.100 10.1.200.100 SGT(6/0006)
Tagging
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 38
Назначение SGT – ЦОД / серверы Каждый сервер который подключается к домену
TrustSec классифицируется с помощью SGT
SGT обычно присваивается серверам:
В ЦОД большинство компаний выбирают статическое присвоение устройствам меток SGT
Причина использование систем типа vMotion и отсутствие 802.1X на серверах
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 39
Матрица поддержки компонент TrustSec на разных платформах Платформа Доступные
функции OS версия Замечания
Nexus 7000 series Switch SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC
Cisco NX-OS® 4.2.2. Advanced Service Package license is required
Mandatory as enforcement point
Catalyst 6500E Switch (Supervisor 32, 720, 720-VSS)
NDAC (No SAP), SXP, EAC
Cisco IOS® 12.2 (33) SXI3 or later release. IP Base w/ K9 image required
Campus access / distribution switch, DC access switch
Catalyst 49xx switches SXP, EAC Cisco IOS® 12.2 (53) SG or later release. IP Base w/ K9 image required.
Optional as an DC access switch
Catalyst 4500 Switch (Supervisor 6L-E or 6-E)
SXP, EAC Cisco IOS® 12.2 (53) SG or later release. IP Base w/ K9 image required.
Optional as Campus access switch
Catalyst 3750-X, 3560-X SXP, EAC, 802.1AE, 802.1x-REV
IP Base , IP Services IOS with k9 image
Catalyst 3760(E) / 3750(E) Switches
SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Base w/ K9 image required.
Optional as Campus access switch
Catalyst Blade Module 3x00 Switches
SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Base w/ K9 image required.
Optional as DC access switch
Cisco EtherSwitch service module for ISR Routers
SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Basew/ K9 image required.
Optional as Branch access
Cisco Secure ACS Centralized Policy Management for TrustSec / NDAC + EAC Authentication Server
ACS Version 5.1 with TrustSec license required. CSACS1120 appliance or ESX Server 3.5 or 4.0 is supported
Mandatory as main policy server
Справочная информация
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 40
802.1AE (MACSec) и 802.1X-REV (MKA) на уровне доступа
Catalyst 3750x
AAA
MACSec Key Exchange
Secured Session
• На уровне доступа поддержка шифрования MACSec (802.1AE) появилась в 3750x, 3560x
• Аппаратная поддержка MACsec существует в новых сетевых картах Intel
• Программная поддержка MACSec и 802.1X-Rev предполагается в следующей версии сапликанта Cisco (CSSC) и в клиенте AnyConnect
Non-MACSec enabled
Campus Network
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 41
Cisco TrustSec Практические сценарии на сегодня
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 42
ISR w/ EtherSwitch
Сценарий 1: Использование в кампусной сети
Nexus 7010
Cat6500 Cat4500
ACS5.1 SQL Server WEB Server File Server
Cat6500
Directory Service
Cat35750/E
Campus Access
Data Center
SGT Assignment via 802.1X, MAB, Web Auth
SGACL Enforcement
Cat4500
SXP
Branch Access
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-B
User B (20) Deny all SGACL-C
111 222
20 10
TrustSec покрывает кампусную сеть и ЦОД
Поддержка контроля доступа в кампусную сеть
Клиентские SGT присваиваются через 802.1X, MAB или Web-аутентификацию
Серверные SGT присваиваются статически или через IPM
Таблица IP-to-SGT передается между коммутаторами доступа кампуса и коммутаторами ЦОД с поддержкой TrustSec
Сценарий 1
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 43
ISR w/ EtherSwitch or standalone switch
Сценарий 2: Использование в сети филиала
Nexus 7010
Cat6500 Cat4500
ACS5.1 SQL Server WEB Server File Server
Cat6500
Directory Service
Cat35750/E
Campus Access
Data Center
SGT Assignment via 802.1X, MAB, Web Auth
SGACL Enforcement
Cat4500
SXP
Branch Access
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-B
User B (20) Deny all SGACL-C
111 222
20
Поддержка контроля доступа в сеть филиала
Клиентские SGT присваиваются через 802.1X, MAB или Web-аутентификацию
Серверные SGT присваиваются статически или через IPM
Таблица IP-to-SGT передается между коммутаторами доступа филиала и коммутаторами ЦОД с поддержкой TrustSec
Сценарий 2
TrustSec используется в локальной сети филиала
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 44
ISR w/ EtherSwitch or standalone switch
Сценарий 3: Применение внутри ЦОД
Nexus 7010
Cat6500 Cat4500
ACS5.1 SQL Server WEB Server File Server
Cat6500
Directory Service
Cat35750/E
Campus Access
Data Center
SGT Assignment via IPM or statically
SGACL Enforcement
Cat4500
Branch Access
SRC \ DST Server A (111)
Server B (222)
Server C (333)
Server A (111) --- SGACL-A Permit all
Serer B (222) Permit all --- SGACL-B
Server C (333) Deny all Deny all ---
111 222
Маркирование трафика серверов подключенных к Nexus 7000
На серверных коммутаторах доступа без Trustsec статическая привязка IP адресов к SGT или IPM
Сервера подключенные к одному коммутатору доступа могут сегментироваться с помощью технологии Private VLAN
Сценарий 3
TrustSec используется в ЦОД для сегментации трафика
333
SXP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 45
Шифрование каналов между ЦОД с помощью 802.1AE
TrustSec шифрует канал между ЦОД для обеспечения безопасного бэкапирования и отказоустойчивости
Технология 802.1AE может использоваться для шифрования трафика точка-точка при следующих условиях
10Gbps или 1Gbps линки между коммутаторами Nexus 7000s если оба Nexus 7Ks подключены к темной оптике или пассивным повторителям (L2-фреймы не изменяются )
Использование EoMPLS Pseudowire для инкапсуляции кадров 802.1AE между двумя ЦОД
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 46
Пример топологии 802.1AE поверх EoMPLS
N7K-1
N7K-2
N7K-3
N7K-4
ASR-3
ASR-4
ASR-1
ASR-2
EoMPLS Capable Device
EoMPLS Capable Device
EoMPLS Psuedowires vPC vPC
802.1AE Frame
Data Center A Data Center B
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 47
Cisco TrustSec Итого
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 48
ACL
802.1x
Device Posture
Appliance (In-band,
Out-of-band)
802.1X 802.1X-REV
MAC authentication
bypass WebAuth
ПОЛИТИКА
Security Group Tagging
Device Profiling
VLAN
MACSec IP Telephony Integration
Guest Access
Cisco Архитектура Cisco TrustSec
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 49
Выводы TrustSec представляет следующую ступеньку технологий контроля сетевого доступа, обеспечения целостности и конфиденциальности внутри кампусных сетей и ЦОД
Для начала использования TrustSec необходим тщательный анализ используемых платформ
Для кампусных сетей начните внедрение TrustSec с применения идентификационных сервисов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 50
top related