Контроль доступа пользователей к ЛВС

Контроль доступа пользователей к ЛВС Архитектура безопасности Cisco TrustSec

Алексей Спирин, alspirin@cisco.com

Системный архитектор, CISCO SYSTEMS

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

ПРОГРАММА

Причины появления

Состав и принцип работы

Миграция

Внедрение

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

“Архитектура, технологии, устройства,

системно решающие задачу

безопасного доступа к сети”

Требования Политики Безопасности

•Защищать ресурсы

Как можно ближе к ресурсам

Как можно точнее «открывать» доступ

Контролировать среду передачи

•Контролировать угрозы (пользователей!)

Как можно ближе к месту их возникновения

Кто подключился?

Где подключился?

Когда был подключен?

Куда предоставлялся доступ?

Что за устройство?

•Матрица доступа ПОЛЬЗОВАТЕЛЬ <-> РЕСУРС

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 4

История вопроса

13.01.2014

© 2013 Cisco and/or its affiliates. All rights reserved.

802.1x – 2000-е

• неготовность клиентского ПО

• пакетный фильтр

NAC infrastructure

• красиво! проприетарно! не

работало!

NAC appliance

• изменение топологии сети

• масштабируемость

• пакетный фильтр

Статические списки доступа (ACL)

• Рост подсетей, серверов, сервисов,

приложение, протоколов, портов

• мобильные пользователи (LAN-1, LAN-

2, wireless, VPN, ноутбук, iPad)

• Работа с IP-адресами, не с

пользователями!

Попытки реализации требований

- Нет привязки к пользователю, только IP!

- Пакетные фильтры

- Большие трудозатраты на поддержание

актуальности ACL

- Несовместимость компонентов

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 6

История вопроса Попытки реализации требований

Работа TrustSec

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7

1. Запрос на доступ в сеть

2. Разрешение + атрибуты доступа (VLAN, ACL,

SGT, MacSec)

3. Трафик с метками SGT

4. МЭ - фильтрация трафика на основе меток

групп

0. Категорирование пользователей и ресурсов

Сервер Б Сервер A

Пользователь А Пользователь Б

200

ISE

Канальное шифрование

300

20 30

access-list DCin permit tcp ...

SGT 30 any SGT 300 eq sql

Составные части Cisco TrustSec

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 8

• Пользователи и оконечные устройства

- Компьютеры, мобильные устройства, гостевой доступ, удаленный

доступ

• Сетевое оборудование

- Коммутаторы, маршрутизаторы, межсетевые экраны, БЛВС

• Сервер политик Cisco ISE

• Единая политика доступа

Матрица доступа в ISE

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 9

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL Portal_ACL

Безопасный доступ с Сisco TrustSec

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 10

• Единая политика независимо от способа доступа

• Тэгирование на уровне доступа(SGT) / фильтрация

в ЦОД (SGACL)

• Аутентификация пользователей 802.1x, WebAuth,

MAB

• Аутентификация сетевых устройств (NDAC)

• Шифрование «провода». 802.1AE

• Шифрование со скоростью интерфейса

Контроль доступа на основе групп

Сеть Доверия

Конфиденциальность и целостность

Аутентификация сетевых устройств

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 11

ISE Seed Device

EAP-FAST over RADIUS

Authorization

(PAC, Env Data, Policy) ISE

1/2

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 12

Аутентификация сетевых устройств 2/2

ISE

Seed Device

Seed Device

Authenticator

Supplicant

802.1X NDAC

Non-Seed Device

Supplicant

802.1X NDAC

Non-Seed Device

Authenticator Supplicant

802.1X NDAC

ISE

Защита от MitM-аттак

Шифрование по стандарту AES-GCM (AES-128)

Шифрование/Дешифрование на каждом устройстве

Проверка целостности

Конфиденциальность и целостность

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 13

DST

802.1AE Header

802.1Q

CMD

ETYPE

ICV

CRC

MISEec EtherType

TCI/AN

SL

Packet Number

SCI (optional)

Encrypted

Authenticated

0x88e5

SRC PAYLOAD

Version

Length

CMD EtherType

SGT Opt Type

SGT Value

Other CMD Options

Конфиденциальность и целостность

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 14

«Чистый» трафик 01101001010001001 01101001010001001

ASIC

Дешифрование Шифрование

SGT eXchange Protocol (SXP)

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 15

• SXP нужен для передачи IP-SGT таблицы между «старыми» и «новыми» устройствами

• SXP-таблица передается через TCP:64999

• SXP – протокол миграции на CTS-устройства

• Позволяет внедрять CTS без необходимости менять железо во всей сети

• Модель использования – классификация на доступе, применение политик на CTS-устройстве

• Поддержка: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500, Wireless LAN Controller, ISRG2 и ASR1K

• Прием SXP-таблицы только на ASR, Catalyst 6500 Sup2T, Nexus 7000, ASA 9.0

SGT eXchange Protocol (SXP)

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 16

SXP-capable only

SG-ACL/SGT

SG-ACL

Production Svr (SGT=4)

Dev Server (SGT=10)

Developer

SGT = 100

SXP

SGT = Developer (100)

SXP

SG-FW

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 17

TrustSec в КСПД (План)

Nexus 7000 Data Center

Catalyst

ISE

Nexus 5500

Catalyst 6500

SGACL

MACSec

SGT L2 Frame

WLC

Филиал

Finance

Sales

Admin

GET-VPN

ASR 1000 ISR G2

IPSec-VPN

DM-VPN

Flex-VPN

План по функциям

• Поддержка фреймов SGT на ISR G2 (кроме ISR800)

• На ASR 1000 доступно сейчас

• Поддержка тегов между ISR G2 и ASR на DMVPN, IPSec, FlexVPN

• Для GETVPN доступно сейчас

Внедрение

Режим мониторинга

оценка готовности хостов к внедрению 802.1x/CTS

интерфейс в режиме открытой аутентификации

логирование информации

Режим малого воздействия

При успешной аутентификации – полный доступ

При неуспешной аутентификации – частичный доступ (ACL)

DHCP+DNS+Internet

Закрытый режим

нет успешной аутентификации – нет трафика

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 18

Режим мониторинга + защита ЦОД

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 19

Catalyst

2960S3K/4K/6K

Пользователи Cat6k Sup2T

Nexus 7k

ISE Monitor Mode

Security Group FW Rule

Security Group ACL

ЛВС

TrustSec SXP

WLC

Применение политики

Внедрение

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 20

• “Красная черта” – изменение поведение пользователя - Двухфакторная аутентификация

- Переназначение VLAN

- Сетевые диски

- Failed auth/No response – реакция сети?

- Добавление машин в домен

• Рекомендации - PEAP

- Проводной доступ - машинная аутентификация

- Беспроводной доступ - пользовательская аутентификация (+ профили)

- Неуправляемые корпоративные устройства – MAB или ACL на VLAN

TrustSec 2.1 Guides

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 21

Cisco TrustSec

• Криптостойкая идентификация

• Фильтрация на основе группы безопасности, метки

• Защита среды передачи

• Подключение в любой точке -> соблюдение политик

• Оценка состояния (антивирус, патчи)

• Реализация матрицы доступа

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 22

Ссылки

- Стартовая страница TrustSec

http://www.cisco.com/go/trustsec

- TrustSec Design Guide (текущая версия 2.1)

http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_Design

Zone_TrustSec.html

- “Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и

мобильных устройств”. День 2.

- “Безопасность в центрах обработки данных”. День 3.

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 23

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Спасибо!

Алексей Спирин, alspirin@cisco.com

Системный архитектор, CISCO SYSTEMS