Embed Size (px)
Citation preview
Новые возможности Cisco ISE 1.2 для
защиты корпоративной сети и мобильных
устройств.
Практический опыт.
Владимир Илибман
Менеджер по продуктам безопасности
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Тема презентации
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
• Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности
• Какие сценарии управления доступом могут возникать в типичной организации
На примере одной организации рассмотрим:
Что же такое TrustSec ?
Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NAC”
TrustSec это системный подход к контролю доступа, который
объединяет:
IEEE 802.1X (Dot1x)
Технологии профилирования
Гостевые сервисы
Метки безопасности (Secure Group )
Канальное шифрование MACSec (802.1AE)
Network Admission Control
Архитектура Cisco TrustSec. Сервисы
“Кто” и “Что”
находится в моей
сети?
“Куда” cмогут
иметь доступ
пользователи/уст
ройства? Защищены ли
сетевые
коммуникации?
Идентификация и Аутентификация
802.1X, Веб-Аутентификация, MAC-адреса, Профилирование
Авторизация и Контроль доступа
Целостность данных и конфиденциальность
VLAN DACL Security Group
Access
MACSec (802.1AE)
ПОЛИТИКА БЕЗОПАСНОСТИ
Identity
Firewall
Контроль доступа TrustSec
Основные компоненты
Коммутаторы Межсетевые
экраны
Identity Services Engine (ISE)
NAC агент Web-агент или
браузер
AnyConnect или
встроенный в ОС
клиент 802.1x
Клиент
Применение
политик
Идентификация и
управление
сервисами доступа
WiFI Маршрутизаторы
И так начинаем наше знакомство…
Компания Гудвей-X
Компания Гудвей-X -
Ритейлер,
Банк,
Промышленный холдинг,
Агрохолдинг,
Страховая компания.
Бизнес-кейс
Айк –
IT-менеджер
отвечает за работу сети
Зак –
Менеджер
по информационной
безопасности
В компании Гудвей-X назрела проблема
Внешний аудит показал, что в компании не существует
контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и
поручил Айку внедрить контроли.
Бизнес-кейс
Решение: Система контроля доступа 802.1X
Описание задач для Айка:
1. Необходимо журналировать подключения в сеть
2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
До аутентификации
?
USER
?
Настройка по-умолчанию с 802.1X
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
Выглядит также как
и без 802.1X
Пользователь: Маша
“Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS.
Задача решена!” подумал Айк.
?
Authenticated Machine: XP-Mary-45
Настройка по-умолчанию с 802.1X
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я не могу соединиться с сетью.
Она говорит что Аутентификация не
пройдена и я не знаю что делать, через два часа у
меня презентация…
Я протестировал дома конфигурацию,
все выглядит отлично. Завтра я включаю 802.1x в
продакшн…
Включает 802.1X
Звонки в службу поддержки увеличились на 120%
Айк
Чего не хватало Айку?
Некорректно внедренный 802.1x – это система контроля предотвращения доступа
Необходим режим мониторинга
Должен существовать метод анализа удачных и неудачных соединений
— Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля.
Внедрение 802.1x лучше начинать с:
Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
Enforcement Mode (Принудительный режим 802.1x)
Какие уроки мы извлекли?
Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
Traffic always allowed
Pre-AuthC Post-AuthC
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
Role-Based ACL Permit Some
Pre-AuthC Post-AuthC
SGT
Отсутствие отчетности со стороны сапликанта
Когда все в порядке – пользователь не в курсе.
Но когда все перестает работать…
— Пользователь видит “Authentication Failed” сообщение и всё.
— Отсутствие видимости. Только звонок в службу поддержки
Решение: Сторонние супликанты
Cisco’s AnyConnect Supplicant
— Предоставляет утилиту для репортинга (DART)
— Детализированные логи с клиентской стороны
15
Чего не хватало Айку? Какие уроки мы извлекли?
Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
Чего не хватало Айку?
Решение: ACS VIEW Identity Services Engine (ISE)
Какие уроки мы извлекли
17
Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE
18
19
Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE
Чего не хватало Айку?
Айк забыл об устройствах без поддержки 802.1x
Принтеры, IP Телефоны, Камеры, СКУД
Какие уроки мы извлекли?
Решение? Не использовать 802.1х на портах с принтерами
Ну а что если устройство переедет ?
Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
Бизнес кейс продолжает изменяться
Требования:
1. Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х получают доступ к сети.
Решения: Идентификация с помощью 802.1X
2. Устройства без поддержки 802.1x должны иметь доступ к
сети.
Решение: Централизованный MAB
Требуется автоматизировать построение списка MAB устройств!
Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на свой ноутбук ?”
Решение есть !!!
Профилирование
Профилирование
Видимость PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
Технология профилирования
Профилирование на ISE использует аналоги сигнатуры
Запросы, используемые для сбора данных
Как мы классифицируем устройство?
24
RADIUS
DHCP
DNS
HTTP SNMP Query
NetFlow
DHCPSPAN SNMP Trap
NMAP
Политики профилирования
• Политики профиля используют условия для определения устройства.
• Политики основаны на принципе наилучшего совпадения
Is the MAC
Address from
Apple
DHCP:host-
name
CONTAINS iPad
IP:User-Agent
CONTAINS iPad
Profile Library
Назначить
MAC Address к
группе “iPad”
Я вполне
уверен что
устройство iPAD
26
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS
• Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi
• Не зависит от топологии
Device Sensor Distributed Probes
ISE
Поддержка сенсора
• 2960-X, 2960-XR
• 3560/3750
• 3560C/CG
• 3850*
• 4500
• Wireless Controllers
• * roadmap
CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP
Сенсор устройств
Распределенный сбор данных с
централизованным анализом
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и автоматизировать процесс гостевого подключения!
Wireless APs
LAN Internet
Требования гостевых пользователей
WLC
Айк хочет унифицировать подключения
гостей и контрактников в сеть
И при этом, чтобы все было безопасно !
Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал
Отчетность: По всем аспектам гостевых учетных записей
Guests
Cisco ISE
Компоненты полного жизненного цикла гостя
Аутентификация/Авторизация Посредством веб-портала ISE
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
атрибутов Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
Полный аудит гостевого жизненного цикла
Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему доступ в сеть потому как это
устройство помогает ему в работе”
Айк
Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто из
сотрудников имеет
право на BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
•Как поддерживать
увеличенное кол-во
устройств ?
•Кто будет настраивать ?
•Кто будет согласовывать
с безопасностью ?
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям
Что предлагает ISE для управления персональными устройствами
Автоматическая
настройка множества
типов устройств: iOS (post 4.x)
MAC OSX (10.6, 10.7)
Android (2.2 and later)
Windows (XP, Vista,
Win7K, Win8)
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-IDSE
Поддержка всех
сетевых
подключений
Занесение устройств в
“черный” при хищении,
увольнении
Самообслуживание
персональных устройств
для авторизированных
сотрудников
Для сотрудника все просто…
Подключил в гостевую сеть и ввел доменный логин и пароль
… Прошел регистрацию
… получил конфигурацию и сертификаты
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT гибкие настройки кому и и какие устройства можно подключать
User OS Supplicant
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
Распространение корпоративного ПО
Инвентаризация
Управление
(Backup, Remote Wipe, etc.)
Контроль использования
сетевых ресурсов Классификация/ Профилирование
Регистрация
Безопасный сетевой доступ (Wireless, Wired, VPN)
Управление сетевым доступом на основе
контекста
Настройка профилей
безопасности устройства
User <-> Device Ownership Соответствие политике
(Jailbreak, Pin Lock, etc.)
Шифрование данных
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Позиционирование ISE и MDM
Пользователи и IT совместно управляют устройством и доступом
Пользователь управляет устройством IT управляет доступом в сеть
Управление затратами
ISE 1.2 поддерживает интеграцию c MDM ISE MDM
Manager
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
MDM проверка соответствия
Соответствие на основании:
General Compliant or ! Compliant status
— OR
Вкл. Шифрование диска
Парольная защита вкл.
Jailbreak устройства
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит через определенные промежутки времени.
Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
MDM –источник информации для ISE
Micro level
Macro level
Инициация действий через MDM
45
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM сервер
(пример: удаленно стереть устройство)
Портал мои устройств
ISE Каталог устройств
• Edit
• Reinstate
• Lost?
• Delete
• Full Wipe
• Corporate Wipe
• PIN Lock
Options
Эволюция бизнес кейса:
Метки безопасности
Можно ли использовать информацию от ISE
для построения политик безопасности на
файерволах ?
Зак
После модернизации сети поменялись IP-адреса. Можно как
строить политику безопасности без привязки к сетевым
адресам и VLAN?
Айк
Применение SGT и SGACL
SGACL SG
Security Group Tag
1. Когда пользователь/устройство заходит в сеть ему назначается
метка безопасности (SGT), которая обозначает его роль
2. Эта метка переносится по всей сети
3. Коммутаторы и межсетевые экраны применяют политику по
меткам Security Group Access List
Гибкие политики независимы от топологии и IP-адресации
Метки основаны на роли пользователя и состоянии/типе устройства
Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
Преимущества:
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Передача меток по сети
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254 6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000
Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
For Your Reference
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA
49
Source Tags Destination
Tags
Identity-Firewall на коммутаторах
50
Переходим к реальному кейсу
Создаем систему из всех этих технологий
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 51
TrustSec собирает все воедино
TrustSec
Профилирование
BYOD
MDM
NAC
MacSec
SGT
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
Что же такое Identity Services Engine?
ISE это больше - чем просто RADIUS
ISE
Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cisco.com
www.cisco.com/go/trustsec
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Contacts:
Name
Phone
