Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE

© 2011 Cisco and/or its affiliates. All rights reserved. 1© 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo2012

Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEВладимир ИлибманИнженер-консультант

© 2011 Cisco and/or its affiliates. All rights reserved. 2

Управление доступом в сеть для интеллектуальных устройств1. Архитектура Cisco для управлением сетевым доступом2. Как и зачем идентифицировать тип сетевого устройства3. Как в сети отличить корпоративные и персональные

устройства 4. Хотим управлять мобильными устройствами

сотрудников - системы Mobile Device Management5. Дизайны внедрения Cisco ISE– рекомендации и лучшие

практики6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS


РОСТ НЕ-ПОЛЬЗОВАТЕЛЬСКИХ

УСТРОЙСТВ

РОСТ ПЕРСОНАЛЬНЫХ

УСТРОЙСТВБЫСТРЫЙ РОСТ

ЧИСЛА УСТРОЙСТВ

БЫСТРЫЙ РОСТБЫСТРЫЙ РОСТЧИСЛА УСТРОЙСТВЧИСЛА УСТРОЙСТВ

К 2015 году 15 миллиардов устройств будут подключаться к сети

На каждого пользователя приходится 3–4 устройства

40 % сотрудников приносят свои собственные устройства на работу


Принтеры

Факсы/МФУ

IP телефоны

IP камеры

Беспроводные APs

Управляемые UPS

Хабы

Платежные терминалы и кассы

Медицинское оборудоваие

Сигнализация

Станции видеоконференций

Турникеты

Системы жизнеобеспечения

Торговые машины

. . . и многое другое

Кофеварки


Набор для подключения к сети Интернет новый мир к@фе Модель IMPRESSA F90 первая совместимая с

Интернет бытовая кофемашина для приготовления экспрессо

С помощью набора Internet Connectivity© Вы можете связать свою машину с персональным компьютером и сетью Интернет.

Запрограммируйте на компьютере ваши любимые рецепты и загрузите их в кофе-машину.


КудаКуда должны иметь должны иметь доступ доступ пользователи и устройствапользователи и устройства? ?

““КтоКто” и “” и “ЧтоЧто” находится в моей сети? ” находится в моей сети?

Как Как управлятьуправлять доступомдоступом??


Управляем доступом в сеть на основе политик“Кто” и “Что”находится в моей сети?

Куда могут иметь доступ пользователи/устройства?

Как управлятьдоступом?Центр обработки

данныхИнтранет Интернет Зоны безопасности

Инфраструктура с контролем идентификации

и учетом контекста

IP-устройства

Удаленный пользователь, подключенный

по VPN

Пользователь беспроводной

сети / гостьСотрудник

Клиент виртуальной

машины

ИспользованиеИспользование существующейсуществующей инфраструктурыинфраструктурыИспользованиеИспользование существующейсуществующей инфраструктурыинфраструктуры

Эффективноеи

централизованное

управление

Контрольдоступа на

основе политики

Прозрачная идентификация


Управление доступом на основе

политик

РеализацияРеализацияполитикполитик

ИдентификацияИдентификацияпользователя и пользователя и

устройстваустройства

Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN

Catalyst 2900, 3560, 3700, 4500, 6500, Nexus 7000, инфраструктура беспроводной сети и маршрутизации

Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE) Identity Services Engine (ISE)

Агент NAC Web-агент

AnyConnect или встроенный в ОС клиентКлиент 802.1x

Бесплатные клиенты


Безопасность основанная на идентификации и контексте

КОГДАЧТОГДЕ

КАККТО

Идентификацияв контексте

АтрибутыАутентификации,Авторизации,Учета (AAA) Cisco ISE

Политика безопасности

Пользователи и Устройства

Реализация политики(VLAN, ACL, SGT)

RadiusSNMPDHCPNetFlow…

Radius

AD/LDAPСетевые устройства доступаВнешний каталог

Сетевые устройства доступа


Сервисы

Технологии реализации

политик

Протоколы и стандарты

Гостевойдоступ и BYOD

MABWebAuth

Политика

Security Group ACLVLAN

Оценка состояния

(NAC)Профилирование

устройств

ИдентификацияАутентификация

Авторизация

Radius802.1X-REV

ACL

MacSec(802.1AE)

Security GroupTagging и SXP


ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ802.1X

NAC агентWebAuth

Маша Петрова Федор Калязин

Шлюз камеры видеонаблюдения

Вася Пупкин Личный iPad

Сотрудник, служба маркетингаСлужебный десктоп

ГостьБеспроводная сетьMacBook Air

Автономный ресурсКонсультантЦентральный офис, отдел стратегийСлужебный нетбук

Собственность гостяБеспроводный центральный офис

Сотрудник, Контрактник или Гость ?Роль в организации ?Дополнительные атрибуты из внешнего каталога ?

ИДЕНТИФИКАЦИЯ УСТРОЙСТВА

MAC802.1x

Профилирован

Тип и класс устройства ?Корпоративное или персональное ?Соответствие политике ?

“Интеграция сервисов идентификации и контроля доступа. Решение Cisco ISE” :http://www.ciscoexpo.ru/expo2011/downloads/materials/секurity/voilibma_ISE_expo.pdf



PCs Non-PCsUPS Phone Printer AP

1. Идентификация может проводиться• Статически (вручную)• Динамически (профилирование)

2. Результаты идентификации (Identity Group) используются в Политике Авторизации Cisco ISE


• Одно устройствДобавляем вручную• Множество устройств

LDAP импорт

•

Импорт файлов


Профилирование обеспечивает возможность автоматической классификации устройства:

• Обнаружение и классификация основаны на цифровых отпечатках устройств

• Дополнительные преимущества профилированияНаблюдаемость: Взгляд на то, что находится в вашей сети

• Профилирование основано на эвристикеВыбирается “наилучшее” предположение

• Профилирование дополняет идентификацию по MAC-адресам или 802.1x

RADIUS

DHCP

DNS

HTTP

SNMP Query NetFlow

DHCPSPAN

SNMP TrapNMAPNMAP


Политика использует комбинацию условий для идентификации

MAC адрес из OUI Apple

DHCP:host-nameСОДЕРЖИТ iPad

IP:User-AgentСОДЕРЖИТ iPad

Библиотека профилей

ID Group “iPad”

Присвоить MAC Адрес к

ID Group “iPad”

Я считаю, что это

скорее всего iPad

Я считаю, что это устройство

скорее всего iPad


Сенсор(Probe)

Основные атрибуты

Механизм профилирования

RADIUS Calling-Station-IDFramed-IP-Address

Считывает MAC Address -> OUI = для идентификации вендораустройства. Дает информацию для работы других сканеров

SNMP MAC Address/OUICDP/LLDP, ARP

SNMP Trap и Query. Считывает информацию о MAC Address/OUICDP/LLDP, ARP таблицах с сетевых устройств

DHCP DHCP атрибуты Считывает Vendor ID уникальный для разных ОС и некоторых аппаратных платформ. Требуется SPAN или DHCP Helper

DNS FQDN Определяет тип на основании FQDN имени устройства с помощью обратного DNS запроса

HTTP User-Agent Определяет тип устройства на основании User-Agent браузера. Требуется SPAN или редирект на ISE

NetFlow Source/DestIP/Ports/Protocol

Анализирует Source/Dest IP/Ports/Protocol. Детектирует специализированные устройства с характерным трафиком и выявляет аномальный трафик устройств

NMAP Operating SystemCommon portsEndpoint SNMP data

Анализирует открытые порты и SNMP-ответы устройств. Детектирует ОС, сетевые принтеры и устройства которые слушают стандартные UDP/TCP ports.


Активное сканирование устройств с помощью Network Mapper (NMAP) Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру :

Внимание: сканирование больших сетей может занимать много времени и создавать нагрузку на ISE

• детектировать новые устройства с помощью сканирования сети

• классифицировать конечные устройства, основываясь на детектировании операционной системе и анализе открытых портов


• Распределенное сканирование по протоколам CDP/LLDP, DHCP и mDNS(только Catalyst 4k)

• Автоматическое обнаружение распространённых устройств (принтеры, устройства Cisco, телефоны…)

• Централизованный сбор данных в ISE с минимальной нагрузкой на сеть

• Независимость от топологии

IOS сенсор:Распределенный сканер

ISEISE

CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP

Поддержка Device Sensor• 3560/3750 с 15.0(1)SE1• 3560C/CG running 15.0(2) SE• 4500 running 15.1(1)SG• 4500 running IOS-XE 3.3.0SG• Wireless Controllers с 7.2.110.0 (только DHCP)



Сервис обновлений профилей устройств:

• Cisco, вендоры устройств и партнеры будут предоставлять обновления профилей новых устройств и обновленную базу OUI

• ISE автоматически получает пакеты обновлений через CCO

Web-лента данных об устройствах

ISE

Планируется вПланируется вISEISE 1.21.2


Что= ? Кто= Сотрудник

Права доступа= Авторизация• Employee_PC Set VLAN = 20 (Полный доступ)• Employee_iPAD Set VLAN = 30 (Только Интернет)



Где находится BYOD ?

Управляемые устройства

Неуправляемые устройства

Управляемые пользователи

“Неуправляемые”пользователи

Гости

BYODBYOD


Среда требует жесткого контроля

Только устройства компании

Запрет

Базовый сервис и удобный

доступ

Выход в Интернет для неуправляемых

устройств

Разрешение

Разные права доступа +

автоматизация

Автоматизация конфигурации,

сертификаты, VPN

Поощрение

Корпоративный контроль персон.

устройств

Compliance – MDM, шифрование, PIN

Lock…

Контроль


Я знаю тебя, но докажи что ты используешь корпоративное устройство

• Идентификация пользователя…• Логин/пароль (802.1X или WebAuth)• Пользовательский сертификат (802.1X)

• “Идентичность” устройства … • MAC адрес?• Машинный сертификат (802.1X)

• Как я могу связать это в единой политике?

ПользовательПользователь УстройствоУстройство+ = Политика

доступа

Корпоративное устройство ?

00:11:22:AA:BB:CC

ID

Насколько достоверна информация?

Корпоративный пользователь

Привет, я Маша, мой пароль

*******

ID

ТОЛЬКО КОРПОРАТИВНЫЕ

УСТРОЙСТВА


Машинный сертификат является достаточно надежным методом идентификации, но секретный ключ и сертификат технически возможно продублировать

Можно дополнительно проверять:

• MAC-адрес соответствует адресу в сертификате

• MAC-адрес находится в корпоративном списке устройств WhiteList

• Тип устройства соответствует корпоративному (профилирование в ISE)

• В реестре и файловой системе устройства находятся корпоративные метки (NAC функционал ISE)


• Сценарий реальной используется у большого корпоративного заказчика Cisco

• Заказчик решил модифицировать DHCP User Class-ID на всех членах домена

• Обеспечивается уникальная возможность спрофилировать устройства как корпоративный ресурс

C:\>ipconfig /setclassid "Local Area Connection" CorpXYZ

Windows XP IP ConfigurationDHCP ClassId successfully modified for adapter"Local Area Connection"

http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx


2


Machine Access Restrictions (MAR)• MAR - проверка Radius-сервером предыдущих машинных аутентификаций с таким же

Calling-Station-ID (MAC-адресом) во время аутентификации пользователя.

• Устройство должно быть аутентифицировано перед входом пользователяПотенциальные проблемы при выходе из hibernation/standby, при переключении из проводной в беспроводную сеть (ведет к смене MAC-адреса)Возможен спуфинг – подстановка во время пользовательской аутентификации MAC-адрес аутентифицированного устройства

Rule Name Conditions PermissionsMachineAuth if Domain Computers then MachineAuth

Employee if Employee & WasMachineAuthenticated = true then Employee

Calling-Station-ID 00:11:22:33:44:55 – Passed

MAR Cache


• Позволяет коррелировать машинную и пользовательскую аутентификации

• Выполняет обе аутентификации как часть ЕДИНОГО EAP процесса

• Позволяет легче использовать результат проверки в политике ISE

ISE ISE 11..11..11

Поддержка EAP-Chaining есть в протоколе EAP-FASTv2: • AnyConnect 3.1• Identity Services Engine 1.1.1

Cisco в составе рабочей группы IETF в процессе стандартизации следующей версии протокола EAP -Tunneled EAP (TEAP), который также поддерживает EAP-Chaining.


Для управления доступом персональных устройств

Автоматическая конфигурация Автоматическая конфигурация сапликантасапликанта 802.1802.1x x на на поддерживаемых платформахподдерживаемых платформах

Портал регистрации устройствПортал регистрации устройств

Дифференциация сервисов на основе сертификатов. Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатовЗащита от копирования сертификатов

Автоматизация выдачи сертификатов с Автоматизация выдачи сертификатов с дополнительными атрибутамидополнительными атрибутами

Ведение “черного” списка устройств и переинициализация устройств

РАЗРЕШАЕМ ПЕРСОНАЛЬНЫЕ



Автоматизация настройки и управление сетевым доступом персональных устройств NCS Prime

WLAN Controller

Wired Network Devices

Cisco Catalyst Switches

Проводной доступ Беспроводный доступ

ISE

Удаленный доступ

Cisco ASA

CSM / ASDM

AD/LDAP(External ID/ Attribute Store)

www.cisco.com/go/byod - BYOD Smart Solution Design Guide

РАЗРЕШАЕМ ПЕРСОНАЛЬНЫЕ



КОНТРОЛИРУЕМ ПЕРСОНАЛЬНЫЕ



Экосистема MDM

Wired or Wireless

Cisco CatalystSwitches

Window or OS X Computers

Cisco WLAN Controller

ISEMDM Manager

Smartphones including iOS or Android Devices

Wireless

AD/LDAP

User X User Y

?

ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ

• Экосистема делает возможным выбор решения заказчиком

Функционал: • API для интеграции с MDM• Использование в политике ISE

информации от MDM о мобильном устройстве

• Инициация действий с уcтройствомчерез интерфейс ISE

* Запланировано на начало 2013 года

Планируется вПланируется вISEISE 1.21.2


• ISE через MDM API, может проверять:Общее соответствие устройства политике ( Compliant или не-Compliant ), а также:• Наличие шифрования диска• Наличие Pin lock• Наличие джейлбрейка• Модель и серийник в “белом” списке….

• После подключения в сеть ISE делает периодический опрос MDM о соответствии устройств политике:

• Если результат проверки негативный – устройство принудительно отключается от сети (через Radius Change-of-Authorization)

ISEMDM Manager


• Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере

• Производится через:• Портал “Мои устройства”• Endpoints Directory в ISE

• Редактировать• Переинициал.• Потерян?• Удалить• Полная очистка• Корпор. очистка• PIN Lock

Опции

ISEMDM Manager



Примечание. Расширенная лицензия не включает базовую

Платформы устройстваCisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |

Базоваялицензия ISE

Авторизованы ли мои оконечные устройства?

• Аутентификация / авторизация

• Гостевой доступ• Политики шифрования

MacSec

• Все базовые сервисы• Все расширенные

сервисы• Только для беспроводных

устройств

Лицензия ISE длябеспроводного доступа

Бессрочная лицензия по количеству end-point

Расширеннаялицензия ISE

• Профилирование устройств• Оценка состояния узла• Доступ для групп

безопасности• Новый BYOD функционалЛицензия на срок 3 / 5 лет по

количеству end-point

Соответствуют ли мои устройства нормативным требованиям? Базовая + Расширенная

Лицензия на срок 3 / 5 лет по количеству end-point

VM Устройство для ESXi 4.x и 5.x


Роли могут совмещаться в одном устройстве

Узел сервиса политик -Policy Service Node (PSN)Применяет политику AAARADIUS сервер & профилирование & оценка состояния

Inline Posture Node (IPN)Применяют политику для сетевых устройств, которые не поддерживают CoA (VPN-концентраторы, third-party WiFi)

Узел управления -Policy Administration Node (PAN)Интерфейс для конфигурации политик и управления ISEИзменение базы данных ISE

Узел мониторинга Monitoring & Troubleshooting Node (MnT)

Сбор отчетов и логов с узлов ISEПолучатель для syslog от сетевых устройств (NAD)


Клиентскиеустройства РесурсыСетевые устройства

Узел управления

(PAN)

Внешние данные

(AD/LDAP)Узел сервиса

политик (PSN)Просмотр/ Настройка Политик

Запрос атрибутов

Запрос на доступ

Доступ к ресурсам

Журналирование

Radius SNMP

NetFlow

Узел мониторинга

(MnT)

Просмотр журналов/ отчетов

Журналирование

Журналирование(Syslog,Radius)


• Максимальное число клиентских устройств– 2000

• Отказоустойчивость для 2000 клиентских устройства

ISE NodeISE Node

Основной узел управленияОсновной узел управления

мониторингаРезервный узел мониторинга

управленияРезервный узел управления

мониториргаОсновной узел мониторирга

PSN

MnT

PAN

PSN

MnT

PAN


PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40

≤ 2,000 Admin + Monitor + PSN на одном устройстве

Admin + Monitoring на одном устройстве:

2x ISE 3355или

2x ISE-VM

Выделенные узлы Управления :2x ISE-3395

или2x ISE-VM

Выделенные узлы мониторинга:2x ISE-3395

или2x ISE-VM

≤ 5,000 -

≤ 10,000 -

Admin + Monitoring на одном устройстве:

2x ISE-3395или

2x ISE-VM

≤ 100,000 - -

Максимальное количество поддерживаемых пользовательских устройств и Узлов Политик (PSN) зависит от модели внедрения Узлов Управления и Мониторинга


Формфактор Платформа Устройство МаксимумEndpoints

Событийпрофайлера

Событий оценки состояния

Физический

Small ISE 3315 / 1121 3000 500/сек 70/сек

Medium ISE 3355 6000 500/сек 70/сек

Large ISE 3395 10,000 1200/сек 110/сек

Виртуальный S/M/L VM 10,000 * Переменная Переменная

* Аппаратная платформа для ISE VM должна обеспечивать аппаратные ресурсы выше или на уровне соответствующего физического устройства ISEКрайне рекомендуется использовать жесткие диски с RPM 10K или выше

• Узел сервиса политик – масштабирование и производительность

Кол-во аутентификаций в секунду

EAP-TLS 335 internal, 124 LDAP

MSCHAPv2 1316 internal, 277 AD

PEAP-MSCHAPv2 181

FAST-MSCHAPv2 192

Гостевой (web auth) 17


Data Center A

DC B

ФилиалA

ФилиалБ

AP

APAP

WLC 802.1X

AP

ASA VPN

Switch802.1X

Switch802.1X

Switch802.1X

WLC 802.1X

Switch802.1X

Admin (P)Admin (S)

Monitor (P)Monitor (S)

HA Inline Posture Nodes

Кластер Узлов сервисов политик



MnTPANPAN MnT

PSN PSN PSN PSNPSNPSN

IPNIPN Скоростной канал с небольшой задержкой

•Отказоустойчивая, распределенная архитектура внедрения между ЦОД (P=Primary / S=Secondary)

•Централизованные кластеры узлов PSN для проводного/беспроводного доступа в филиалах

•Требуется скоростной канал с небольшой задержкой для синхронизации обновлений баз данных.

•Не рекомендуется использовать удаленное профилирование по SPAN, NetFlow и NMAP


ACS

Identity Services Engine

NAC Guest NAC Profiler NAC Manager NAC Server

• ISE является развитием отдельных продуктов семейства NAC и ACS• Преимуществом ISE является тесная интеграция функционала различных до этого

момента продуктов • Во многих случаях ISE является предпочтительным выбором для новой инсталляции• Миграция с ACS/NAC на ISE нужно рассматривать с учетом реально используемого

функционала существующих продуктов


ACS

Зачем переходить:Необходимость интеграции оценки состояния, профилирования и гостевого доступаИсключения: Сценарий использования ACS для управления доступом сетевых администраторов и TACACS+Что делать с существующими устройствами:Новые устройства ACS 1121 могут быть обновлены до Cisco ISE 1.x. Заказчики со старыми устройствами 1120/1113 могут приобрести новые устройства ISE или ISE VM по специальной цене (и могут по прежнему эксплуатировать старые устройства с ACS)Защита инвестиций:Для владельцев ACS доступны специальные базовые лицензии ISE для миграцииКак переходить:Существует инструмент для автоматизации миграции данных и конфигурации c ACS 5.1/5.2 на ISE *

*http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html


Зачем переходить:Необходимость внедрения 802.1x контроля и расширенных функций авторизации и профилированияИсключения для NAC Appliance: Когда нет возможности внедрить 802.1x/Radius CoA по всей сети. Необходимо полноценное inline решениеИсключения для NAC Guest Server: Используется API для интеграции с внешними системами*Что делать с существующими устройствами:Новые устройства NAC 3315/3355/3395 могут быть обновлены до Cisco ISE 1.x. Заказчики со старыми устройствами 33x0/3140 могут приобрести новые устройства для ISE или ISE VM по специальной цене Защита инвестиций:Для владельцев NAC Appliance и NAC Profiler доступны специальные расширенные лицензии ISE для миграции.Для NAC Guest доступны специальные базовые лицензии ISE для миграции

NAC Server

*Guest API появится в последующих версиях ISE

NAC Guest

NAC Profiler

NAC Manager


www.cisco.com/go/trustsec www.cisco.com/go/byod www.cisco.com/go/sba

Безопасное включаем и управляем

персональными устройствами

Идентификация устройств

Строим политики с учетом того “ЧТО”включается в сеть”

«BYOD – принесисвое собственное

устройство»Cisco ISE

Управляем доступом в сеть на основе

политикбезопасности


SXP

Nexus® 7K, 5K and 2KSwitch

Data Center

Cisco®

Catalyst® Switch

Cisco ISE

Wireless user

Campus NetworkCampus Network

Wired user Cat 6K

Egress Enforcement

MACsec

ProfilerPostureGuest ServicesRADIUS

Ingress Enforcement

Ingress Enforcement

Cisco®

Wireless Controller

Site-to-SiteVPN user WANWAN

ISR G2 with integrated switch

ASR1K

SXP

AnyConnect

Named ACLsdVLAN

dACLs / Named ACLsdVLAN

SGACLs

Спасибо!Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Technology

Управление сетевым доступом для корпоративных и персональных устройств с помощью Cisco ISE