Алексей СпиринСистемный архитектор[email protected]
Архитектура безопасности Cisco TrustSec. Сценарии применения в ЛВС и распределенной сети
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Глоссарий• CTS – Cisco TrustSec• SGT – Security Group Tag, метка безопасности• MACSEC – технология шифрования трафика Ethernet со скоростью провода,
опциональная часть TrustSec• SGACL – ACL, список доступа, пакетный фильтр, который использует метку
безопасности• SGFW – stateful firewall, межсетевой экран, который использует метку
безопасности• CMD – Cisco Meta Data, заголовок Ethernet-кадра, содержащий информацию
о метке безопасности• SXP – SGT eXchange Protocol, протокол передачи информации о
соответствии IP-адреса метке безопасности. Работает через TCP• inline SGT – метод добавления заголовка TrustSec (CMD) в кадр Ethernet
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
ПЛАН ПРЕЗЕНТАЦИИ
• Что такое TrustSec и зачем он нужен
• Основы и принципы работы TrustSec
• Сценарии применения и пилотное внедрение
• Новые вещи в ISE 1.3
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
“Архитектура, технологии, устройства,
системно решающие задачу
безопасного доступа к сети”
Зачем нужен Trustsec
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6
Voice Data Временныйсотрудник
ГостьКарантин
Access Layer
Aggregation Layer
VLAN Addressing DHCP Scope
Redundancy Routing Static ACL
2 VLAN’а – пока все простоУвеличение политик – больше VLAN’ов, больше проблем
ACL
Увеличение коммутаторов доступаНовые способы подключения (WiFi, RA VPN)Другие зданияФилиалыМобильные пользователи
Зачем нужен Trustsec
Новый атрибут трафика – метка безопасности (отражает уровень безопасности, уровень доступа пользователя)
Метка безопасности не зависит от:- места подключения- способа подключения- есть ли в этом VLAN пользователи с другим уровнем доступа
В ACL вместо ссылки на IP-адреса – ссылка на метку безопасности
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 7
Зачем нужен Trustsec
1. Значительное упрощение работы с ACL (60-90%)*
2. Повышение безопасности информационной системы
3. Первая технология, которая криптостойко привязывает ACL к identity пользователя
4. Контроль доступа к сети
5. Категоризация ресурсов и пользователей
* По результатам текущих внедрений у заказчиков
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
Как работает TrustSec
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (VLAN, ACL,
SGT, MacSec)
3. Трафик с метками безопасности (SGT)
4. МЭ - фильтрация трафика на основе меток
безопасности
0. Категорирование пользователей и ресурсов
Сервер БСервер A
Пользователь А Пользователь Б
200
ISE
Канальное шифрование
300
20 30
access-list DCout permit tcp ...SGT 30 any SGT 300 eq sql
Этапы работы TrustSec
Классификация (Classification)- статический или динамический процесс назначения SGT пользователю
или серверу
Распространение информации (Propagation)- передача информации о SGT от места классификации до места
применения политики
Применение политик (Enforcement)- ACL на коммутаторе, маршрутизаторе или МЭ с ссылкой на SGT
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10
Классификация
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 11
VLAN-SGT
IP-SGT
Port Profile
Port-SGT
Prefix Learning (L3IF-SGT)Subnet-SGT
802.1X
MABWebAuth
Profiling
VLAN-SGT
ISENX-OS/UCS Dir/
Hypervisors
IOS/RoutingRA-VPN
Способы подключения устройств/пользователей– ЛВС– БЛВС– RA VPN
ЦОД
Подключения партнерских
организаций
Способы классификации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12
Динамическая классификация Статическая классификация• IP Address
• VLANs
• Subnets
• L2 Interface
• L3 Interface
• Virtual Port Profile
• Layer 2 Port Lookup
Классификация пользователей и устройств
Классификация для серверов, статических подключений
802.1X Authentication
MAC Auth Bypass
Web AuthenticationSGT
12
Статическая классификация
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14
IP to SGT mappingcts role-based sgt-map A.B.C.D sgt SGT_Value
VLAN to SGT mapping*cts role-based sgt-map vlan-list VLAN sgt SGT_Value
Subnet to SGT mappingcts role-based sgt-map A.B.C.D/nn sgt SGT_Value
L3 ID to Port Mapping**(config-if-cts-manual)#policy dynamic identity name
L3IF to SGT mapping**cts role-based sgt-map interface name sgt SGT_Value
L2IF to SGT mapping*(config-if-cts-manual)#policy static sgt SGT_Value
Пример IOS CLI
* нужен IP Device Tracking** нужен route prefix snooping
Централизованная cтатическая классификация
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15
Передает соответствия на выбранные устройства по SSH
Передача информацииSGT
Распространение информации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Способ 1. Inline SGT. «Новое» оборудование
Cat3850 Nexus 2248
WLC5508 ASA5585
Enterprise Backbone
Nexus 2248
Cat6500 Sup2T Nexus 7000 Nexus 5500ISE
CRM
ESXi
Соединения с передачей метки в ethernet-кадре
Классифика-ция на доступе
Классификация ЦОДПриме-нение
политики
Распространение информации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 18
Способ 1. Inline SGT. «Новое» оборудование
• SGT в заголовке Cisco Meta Data (CMD) Ethernet-кадра
• Оборудование должно поддерживать inline SGT «в железе»
• Не влияет на IP MTU• Влияет на размер кадра: ~40 байт• Рекомендованное L2 MTU: ~1600 bytes• Оборудование «не умеющее в»
TrustSec, сбросит кадр• Опциональное шифрование MACsec
CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
Ethernet FrameCMD EtherType
Version
Length
SGT Option Type
Cisco Meta Data
SGT Value
Other CMD Option
CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
MACsec Frame
802.1AE Header
802.1AE Header
AES-
GC
M 1
28bi
tEn
cryp
tion
ETHTYPE:0x88E5
ETHTYPE:0x8909
«Новое» оборудование: Cat6k SUP2T, N7k, Cat3850, ASR1k и т.д.
Распространение информации
Необходим для:1) На «старом» и маломощном оборудовании2) Для передачи SGT информации через устройства не поддерживающие
inline SGT
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 19
Способ 2. SXP. «Старое» оборудование
SW
SW RT
SW
SXP(Aggregation)SXP
SXP
Speaker Listener
• Две роли – speaker (передает SXP-таблицу), listener (принимает SXP-таблицу)
• TCP:64999• «легкий» протокол (CPU, легко добавить
в ПО)• MD5 аутентификация• IETF Draft
Cat2k, ASA, AireOS, Nexus 1000v и т.д.
Распространение информации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 20
Способ 2. SXP. «Старое» оборудование
Передача информацииSGT
Cat2960-S Nexus 2248
WLC5508 ASA5585
Enterprise Backbone
Nexus 2248
Cat6500 Sup720 Nexus 7000 Nexus 5500ISE
CRM
ESXi
Обычные соединения
Классифика-ция на доступе
Классификация ЦОДПриме-нение
политикиSXP SXP
SXP
SXP
Масштабирование SXP
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 21
Platform Max SXP Connections Max IP-SGT bindings
Catalyst 6500 Sup2T/ 6800 2000 200,000
Nexus 7000 (M Series linecards) 980 50,000
Catalyst 4500 Sup 7E 1000 256,000
Catalyst 4500-X / 4500 Sup 7LE 1000 64,000
ASA 5585-X SSP60 1000 100,000
ASA 5585-X SSP40 500 50,000
Catalyst 3850/WLC 5760 128 12,000
Распространение информации
inline SGT- естественный способ передачи метки безопасности- требует нового оборудованияSXP- «еще один протокол»- необходимо планировать архитектуру SXP- обнаружение петель начиная с 4-й версии SXP- при изменении топологии TrustSec, перенастройка SXP отношений- не забыть разрешить TCP:64999*- нужно продумать резервирование**
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 22
SXP или inline SGT? Что использовать?
* ВАЖНО** ОЧЕНЬ ВАЖНО
Распространение информации
Метка безопасности как глобальный атрибут трафика- использовать в QoS, PBR, ACI и т.п.
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 23
Будущее inline SGT…
Распространение информации
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 24
Важный нюанс. MACSEC
Mode MACSEC MACSEC PairwiseMaster Key (PMK)
MACSEC PairwiseTransient Key (PTK)
Encryption Cipher Selection
(no-encap, null, GCM,GMAC)
Trust/Propagation Policy for Tags
cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured
cts manual – с шифрованием
Y Static Dynamic Static Static
cts manual –без шифрования
N N/A N/A N/A Static
• CTS Manual рекомендуется• “cts dot1x” выключит порт если AAA-сервер недоступен• Некоторые платформы (ISRG2, ASR1K, N5K) не поддерживают шифрование
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/15-e/sec-usr-cts-15-e-book/cts-critical-auth.html• CTS Critical Authentication Cisco IOS 15.2(2)E / IOS XE Release 3.6E
Применение политики
SGFW – ASA55xx, ASR1k (ZBFW), ISR G2 (ZBFW)SGACL – Cat3650-X и выше, Cat4500E Sup7E, Cat6500 Sup2T, N1000v и выше, WLC5760
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 26
ПлатформыКлассификация ЦОДПриме-
нениеполитики
Классификация на доступе
Передача информации
Cat3850 Nexus 2248
Nexus 2248
Nexus 7000 Nexus 5500ISE
CRM
ESXi
ASA5585
SXP
Cat6500 Sup2T
Применение политики
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 27
Централизованные политики в ISE
permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 137permit tcp dst eq 138permit tcp des eq 139deny ip
Portal_ACL
Кеширование SGT
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 28
Для передачи нетегированноготрафика на устройства без поддержки CTS (LB, IPS)
Коммутатор создает IP-SGT привязку из inline SGT
DC Access Layer
SGACL enabled Device
Physical ServersPhysical ServersSGT Tagged Traffic
Untagged Traffic
SXP
8 SRC:10.65.1.9DST: 10.1.100.52
SGT: 8
IP Address SGT10.65.1.9 8 (Employee)
8
С чего начать развертывание?
Пилот (минимальное влияние на текущую работу)
- категоризация пользователей и ресурсов – неполная
- классификация пользователей – 802.1x monitor mode
- классификация серверов – IP-SGT
- распространение – SXP
- применение политики SGACL с дублирующими разрешениями/частичным deny
- удобный сценарий «Доступ пользователей в ЦОД»
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 30
Приме-нение
политики
Классификация на доступе
С чего начать развертывание?
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 31
Пилотный проект (SXP, SGACL, IP-SGT). ДОСТУП В ЦОД
Передача информации
Cat2960-S Nexus 2248Enterprise Backbone
Nexus 2248
Nexus 7000 Nexus 5500ISE
CRM
ESXi
Обычные соединения
Классификация ЦОД
SXP IP-SGT802.1x
monitor mode SGACL(в ISE)
Классификация ЦОД
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 32
Приме-нение
политики
Классификация на доступе
Передача информации
Cat3850 Nexus 2248
Nexus 2248
Nexus 7000 Nexus 5500ISE
CRM
ESXi
inline SGT IP-SGT(централизованно в ISE)
802.1xmonitor mode SGFW
С чего начать развертывание?Пилотный проект’ (inline SGT, SGFW). ДОСТУП В ЦОД
ASA5585
SXP
Cat6500 Sup2T
Соединения с передачей метки в ethernet-кадре
СЦЕНАРИЙ: Сегментация в ЦОД
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 33
- разделение Production/Development серверов
- требования PCI DSS
горизонтальный трафик через SGACL на N7k, N6000, N5600, N5000, N1000v
DC FW DC Switch
DevelopmentServers
Применение политик
SXP
HRDatabase
ISE
классификацияN1k port profile -> N7k, N5k -> N7k
СЦЕНАРИЙ: Сегментация в ЛВС
горизонтальный трафик через SGACL (ISE!) на Cat3560-X, 3750-X, 3850, 4500E (Sup7E), 4500X, Cat6k Sup2T, WLC5760
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 34
AireOS
СЦЕНАРИЙ: TrustSec в КСПД
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 35
Inline SGT через WAN : ISR G2 IOS 15.4(1)T & ASR1000 15.4(1)S
Ethernet inline SGT ISRG2 & ASR 1000 (кроме ISR800)
Передача SGT в заголовках GET-VPN and IPsec VPN
SXP от ISR до ASR как план «Б»
SGFW на ISR/ASR Zone-based Firewall
Cat2960X
Cat3750-XФилиал Б
SGT черезGET-VPN или
IPsec VPNили SXP
HQ
Inline SGTASR1000 Router
Филиал А
ISRG2
ISRG22900/3900
SXP
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 36
Cat4500Cat4500
Cat4500
Cat6500/Sup2T
Cat6500/Sup2T
N7KN7K
N5KN5K
N2248
N2K
ASA RA-VPN
ASR1K
ASA ASA
ASR1K
ISR G2
Cat3750-X
5508 WLC
AP
Cat3850
ISE1.2C800 (CVO)
Campus Access Block
Core Block
Internet Edge Block
DC Block
Branch Block
ISR G2
ISR G2
IPSec GET-VPN
DMVPN в процессеFlexVPN в процесс
SSL-VPN (RAS)
Cat6500/Sup2TCat6500/Sup2T
5760 WLC DMZ Switch
Outside Switch
InternetN1KV
UCSVDI Infra
SGACL
ZBSGFWZBSGFW
SGACL
SGFW
SGACL
ZBSGFW
SGFW
SGACL
Nexus 6000
Cat3850
Web Security Appliance
Cat3560-X Cat3560-X
APSGACL SGACL
AP
Cat3750-X
5508 WLC
SGACL
SGACL
ASA-1kvCSR-1kV
VSG
ASA+IPS+CX
Cat4500
Соединение с inline SGTОбычное соединение
SXPv2
SXPv2
SXPv2
SXPv2
ISE 1.3
- Внутренний УЦ (для BYOD внедрений). Возможность интеграции с корпоративной PKI
- Поддержка нескольких лесов AD (без доверительных отношений)- pxGrid – новый способ передавать информацию безопасности- Переработанный интерфейс администратора и пользователей рабочих
процессов гостевого доступа и BYOD- Поддержка Email/SMS для передачи информации гостям + список ОпСоС- Ограничение числа гостевых подключений- Уведомление об истечении срока действия учетной записи по SMS/email- И мн. др.!26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 38
Ссылки и дополнительная информация
CTS Start Pagehttp://www.cisco.com/go/trustsec
CTS System Bulletin v5.0http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00-secure-access.pdf
TrustSec Design Guide (версия 2.1)http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
SXP IETF Drafthttp://tools.ietf.org/html/draft-smith-kandula-sxp-00
Ролики на YouTube – канал “CiscoISE”https://www.youtube.com/user/CiscoISE
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 39
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, заполните анкеты. Код 3661Ваше мнение очень важно для нас.
Спасибо
Алексей Спирин[email protected]
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.