Безопасное подключение личных устройств сотрудников...

Sponsored by

Тенденция BYOD: безопасное управление

Виктор ПлатовСистемный инженер-консультант, CCIE

1

Безопасное подключение личных устройств

• Что такое BYOD?– Обзор стратегий внедрения BYOD

• Компоненты BYOD решения Cisco• Интеграция Контроллера БЛВС с ISE

– Использование сильных механизмов безопасности WPA2 и EAP– Профилирование устройств по их атрибутам

• Создание политики безопасности внутри ISE– Настройка правил аутентификации и авторизации

• Подключение BYOD устройств– Загрузка сертификатов и Wi-Fi профайлов на Apple, Android и

Mac/Windows.• BYOD Мониторинг и составление отчетов

2

BYOD

Что такое BYOD (Bring Your Own Drink)?ANY USER ANYWHERE ANY DEVICEANYTIME

Wireless BYOD

Причины• Большинство новых сетевых устройств не имеют проводных интерфейсов• Пользователи будут менять свои устройства чаще, чем в прошлом• Мобильные устройства становятся продолжением нас• Гостевой доступ и его учет становится обязательной потребностью бизнеса

Предположения• Гости должны быть изолированы• Пользователи будут иметь одно устройство с проводным интерфейсом и более 2 устройств

беспроводных• Беспроводная сеть должна быть такой же безопасной и предсказуемой, как проводная сеть• Не должно быть больше неуправляемых устройств!

• Причины и предположения

Спектр стратегий BYOD

Запрет

• BYOD запрещен согласно корпоративной политике.

• Все не корпоративные устройства доступ к сети не получат.

Разрешение

• BYOD используется для предоставления доступа в Интернет мобильным устройствам сотрудников.

• Также возможен безопасный доступ к электронной почте и другим корпоративным сервисам.

Поощрение

• BYOD используется для оптимизации бизнес-процессов и увеличения продуктивности.

• Для безопасности используется идентификация устройств по сертификатам.

6

• Различные требования по внедрению для различных условий

Запрет

Политика:Запретить все

Устройствадолжныбыть авторизованы

Профилированныеустройства

Стратегия развертывания “запрет”

• Данная политика разрешает существование в сети только корпоративных устройств• BYOD не поддерживается согласно корпоративной политике, и сеть запрещает

подключения подобного рода

В сети допускается наличие только корпоративных устройств

ISE NCS Prime

Desktop/NotebooksTabletsSmart phones

Wireless Wired Remote AccessСетевые компоненты:

Политика:Полный доступ

Per Device Credentials

Политика:Только доступ к Интернет

Устройствадолжныбыть авторизованы

Устройствадолжныбыть зарегистрированы

Стратегия развертывания “Разрешение”

• Данная стратегия разрешает сотрудникам использовать свои устройства только для доступа к Интернет.

• В этом случае используется PEAP MS-Chap для аутентификации пользователей и регистрация устройств (для регулирования числа BYOD устройств).

Использование BYOD устройств только для Интернет доступаРазрешени

е

ISE NCS Prime

Desktop/NotebooksTabletsSmart phones

Wireless Wired Remote AccessКомпоненты сети:

Политика:Полный доступ

Per User Credentials

Per Device Credentials

Поощрение

Политика:Полный доступ

Устройствадолжныбыть авторизованы

Устройствадолжны бытьнастроены

Стратегия использования «Поощрение»

• Как корпоративные, так и пользовательские устройства имеют полный доступ в сеть с использованием уникальных сертификатов.

• BYOD устройства используются для оптимизации бизнес-процессов.

Использование BYOD совместно с бизнес-приложениями

ISE NCS Prime

Desktop/NotebooksTabletsSmart phones

Wireless Wired Remote Access

Сетевые компоненты:

Политика:Полный доступ

Per Device Credentials

Per Device Credentials

3rd Party MDM

Optional

Компоненты решения BYOD

Требуемые сетевые компоненты и версии ПО

• Cisco Wireless LAN Controller– версия 7.0.116 или выше (440X, WiSM1, 210X или выше)

профилирование устройств и проверка их состояние поддерживается только в режиме Central Switching.для CoA поддерживаются только 802.1x WLAN-ы.

– версия 7.2.X или выше (5508, WiSM2, 250X или выше)профилирование и проверка состояния возможны в режимах Central иFlexConnect.для СоА могут использоваться 802.1x и Open (L3 Web authentication).

• Cisco Identity Services Engine– Версия 1.1.1 или выше– Advanced лицензия для профилирования

Cisco Wireless LAN и Identity Services Engine

ISE

Атрибуты пользователя или устройства

• Employee VLAN• Gold QoS

Рабочая станция сотрудника

• Employee VLAN• Gold QoS• Restrictive ACL

Персональное устройство сотрудника

ISE • Профилирование устройства• Динамическая политика

Компоненты решения Cisco унифицированного управления политикамиПри использовании ISE, беспроводное решение поддерживает множество пользователей и устройств на одном SSID.

WLC

EmployeeVLAN

ContractorVLAN

• Contractor VLAN• No QoS• Restrictive ACL

Рабочая станция контрактора

• No Access

Персональное устройство контрактора

ТД ACLs

Пользователь Местоположение ВремяТип доступа ПолитикаУстройство

Гость

Контрактор

Сотрудник

ПерсональныйLaptop

Персональноеустройство

Компьютер контрактора

Персональное устройство

Корпоративный компьютер

Персональное устройство

Беспроводной Переговорные комнаты

Captive PortalDMZ Guest Tunnel

Везде Любое

Любое

Любое

EmployeeVLAN

Везде

Везде

Унифицированные политики CiscoПример BYOD / Mobility политики

IF $Identity AND $Device AND $Access AND $Location AND $Time THEN $Permission

Беспроводной

Проводной

Везде

Везде

ЛюбоеПн – Сб

8 am - 6 pm

КонтракторскийVLAN

КонтракторскийACL

Проводной

Беспроводной

VPN

Employee ACL

Гостевой VLAN

Пн – Сб8 am - 6 pm

Этапы применения политик Cisco ISE

Фаза 1 Аутентификация

Фаза 2Идентификация устройства

и назначение политики

EAP

Разрешенное устройство?

Полный доступ

Фаза 3 Применение политики

• SilverQoS• Allow-AllACL• EmployeeVLAN

WLCТолько

Интернет

MAC, DHCP, DNS, HTTPISE

ISE

Пример политики WLAN + проверка состоянияВключая как 802.1x так и Web Authentication

15

802.1XSSID

Аутентификация устройства

Аутентификация устройства

СотрудникСотрудник

КонтракторКонтрактор

Отвечает требованиям

Не отвечает требованиямЗапрет доступа с

BYOD устройстваЗапрет доступа с BYOD устройства

Аутентификация пользователя

Аутентификация пользователя

СотрудникСотрудник

КонтракторКонтрактор

Отвечает требованиям

Не отвечает требованиям

Web аутентификация

SSID

Гость

Запретить доступ сотрудникам

Запретить доступ контракторам

Исправление ошибок Anti-spyware, Anti-

virus и т.д.

Интеграция WLC и ISE для аутентификации и профилирования

Extensible Authentication Protocol (EAP) — диаграмма функционирования

Клиент Аутентификатор

Сервер аутентификации

CAPWAP

Тип EAP определяется

клиентом иRADIUS

сервером

Типы EAPРазличные типы аутентификации используют разные типы учетных данных

Tunneling-BasedEAP-PEAP

EAP-TTLS

EAP-FAST

Inner Methods

EAP-GTC EAP-MSCHAPv2

Tunnel-based – используется туннельный протокол (EAP-PEAP) совместно с внутренним методом EAP, таким как EAP-MSCHAPv2. PEAP требует только серверный сертификат.

Туннель служит защитой для внутреннего метода, который сам по себе может быть уязвим.

Certificate-based – для большей безопасности EAP-TLS обеспечиваетдвухстороннюю аутентификацию клиента и сервера.

Certificate-Based

EAP-TLS

Сравнение методов EAPВыбор между EAP-TLS и PEAP

EAP-TLS PEAP

Быстрый безопасный роуминг (CCKM) Да Да

Локальная (на WLC) аутентификация Да Да

Поддержка OTP (One Time Password) Нет Да

Серверные сертификаты Да Да

Клиентские сертификаты Да Нет

Сложность внедрения* Сложно Не сложно

Критерии выбора EAP методаPEAP и EAP-TLS: cамые популярные типы EAP методов

Тип EAP

Поддержка клиентами

Безопасностьvs. Сложность

Поддержка на стороне сервера аутентификации

Большинство клиентов (Windows, Mac OS X, Apple iOS устройства) поддерживают EAP-TLS, PEAP (MS-CHAPv2).‒ Дополнительные саппликанты добавляют поддержку большего числа EAP методов (Cisco AnyConnect).

Некоторые типы EAP (TLS) могут быть более сложны в развертывании, чем другие, в зависимости от типа устройства.

Cisco ISE Supplicant Provisioning может помочь в разворачивании системы.

Сотрудник(сертификат с истекшим Временем жизни–Обновить сертификат)

Контролируемый доступ сотрудников(ACL)

Гость

Устройства без саппликантов(UPS, POS,..)

ПостороннийПереговорные комнаты

СмартфоныПланшетники

Supplicant SwitchNEAT

Реальные сети не могут использовать только 802.1XКак насчет ‘особых’ случаев в сети?

EAPoL: EAP Request-Identity

Любой пакет

RADIUS Access-Accept

RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]

EAPoL: EAP Request-Identity

EAPoL: EAP Request-Identity

• IEEE 802.1X Тайм-аут• Стартует MAB

Время, через которое устройство шлет пакет после тайм-аута 802.1X

Доступ к сети разрешен

Общее время с момента подключения до получения доступа к сети

Authenticator RADIUS Server00.0a.95.7f.de.06

MAC Authentication Bypass

Web Аутентификация

23

EAPoL: EAP Request-Identity

Любой пакет

RADIUS Access-AcceptOr Access-Reject

RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]

EAPoL: EAP Request-Identity

EAPoL: EAP Request-Identity

• IEEE 802.1X Тайм-аут• Стартует MAB

Время, через которое устройство шлет пакет после тайм-аута 802.1X

Ограниченный доступ в сеть

Authenticator RADIUS Server

Неизвестный MAC адрес

Зависит от метода WebAuth

Cisco Wireless Controller User-Based Policy AAA Override Attributes

24

Доступ к сети• “Airespace-Interface-Name”

• Устанавливает интерфейс, в который попадает пользователь.

Ограничение доступа• “Airespace-ACL-Name”

• Устанавливает ACL, который применяется к трафику клиента.

Качество обслуживания• “Airespace-QOS-Level”

• Устанавливает максимальный уровень QoS, доступный для данного клиента (Bronze, Silver, Gold или Platinum).

• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”• Устанавливает максимальный уровень QoS тега, доступный для использования клиентом.

Change of Authorization (CoA)Динамическое изменение политики соединения

25

До –Профилирование и проверка

состояния

После –Политика применена

• НеизвестенClient Status

• Limited AccessVLAN

• Posture-AssessmentACL

• SilverQoS

• Profiled, WorkstationClient Status

• EmployeeVLAN

• NoneACL

• GoldQoSUser and DeviceSpecific Attributes

User and DeviceSpecific Attributes

ISE ISE

Cisco Wireless LAN Controller ACLsПолноскоростная фильтрация Layer 3-4.

26

• ACLs предоставляют L3-L4 политику и могут применяться как к пользователю, так и к интерфейсу.

• Cisco 2500, 5508 и WiSM2 имеют аппаратные, line-rate ACLs.• На ACL может быть настроено до 64 правил.

Wired LAN

Implicit Deny All в конце

Inbound

Outbound

Атрибуты клиентов, используемые ISE для профилирования устройствКак RADIUS, HTTP, DNS и DHCP (и др.) используются для идентификации клиентов

27

• ISE использует целый набор атрибутов для построение полной картины профайлаустройства.

• Информация собирается с различных сенсоров, которые передают различные атрибуты

– ISE может даже запустить NMAP сканирование по IPадресу клиента, чтобы получить больше деталей.RADIUS

DHCP

DNS Сервер

Поиск в базе данных DNS по IP

адресу клиента дает его

доменное имя.

HTTP UserAgent

Устройство перенаправляется на ISE для перехвата

параметров Web браузера.

ISE

3

4

DHCPSnooping

DHCP атрибуты клиента

перехватываются ТД и пересылаются в виде RADIUS Accounting

сообщений.

2Дает MAC

адрес, который используется для поиска

среди известных OUI

производителей.

1

Пример профилирования устройства- iPadПосле профилирования данная информация сохраняется в ISE для использования в дальнейшем:

Принадлежит ли MACадрес пулу Apple?

Содержит ли имя хоста “iPad”?

User-Agent содержит iPad?

ISE

Apple iPad

Возможности профилирования устройств ISEболее 200 встроенных политик, иерархично определенных по вендорам

смартфоны

Игровые приставки

Рабочие станции

Множество правил для достижения

уровня срабатывания

Минимальный уровень

срабатывания

1

2

Шаги для интеграции контроллера и ISE

30

1. Настройка WLAN для аутентификации 802.1x• настроить RADIUS сервер на контроллере• настроить для WLAN AAA Override, Profiling и RADIUS NAC

2. Настройка профилирования ISE• Включить сенсоры профилирования

3. Настройка уровней доступа• Настроить ACLs для фильтрации трафика и управления

сетевым доступом.

Добавление ISE как сервера аутентификации и аккаунтинга

31

Включите “RFC 3576” для поддержки СоА

Добавить как accounting сервер для получения статистики

1

2

Настройка WLAN для безопасного подключенияВключение аутентификации и шифрования WPA2-Enterprise

WPA2 с шифрованием AES

Можно включить GTK-Randomization для защиты от

атаки “Hole196”.

1

2

Установка уровня QoS для WLANПри использовании WMM, уровень QoS определяется маркировкой пакета.

33

• Если WMM настроен Allowed, уровень Quality of Service выступает верхним пределом для всего SSID.

• Убедитесь, что все аплинки контроллера, медиасерверов и ТД имеют правильные установки команды trust в IOS.

This Acts As An Upper Limit, or Ceiling for the WLAN’s QoS Configuration

1

Настройка WLAN для безопасного подключения, продолжение

Allow AAA Override чтобы

ISE мог изменять

параметры для каждого

пользователя

ВключитеRADIUS NAC,

чтобы ISE мог

использовать СоА.

ВключитеClient Profiling

для того, чтобы

контроллер отсылал DHCP

атрибуты клиента на

ISE.

12

3

Настройка сенсоров профилирования ISE

Профилирование основано на множестве “сенсоров” для получения информации о типе клиента.

В принципе, профилирование может быть достигнуто с помощью span портов, но более эффективно использовать сенсоры, которые отсылают лишь выбранные атрибуты.

Для DHCP профилирования:- Вариант A: использовать v7.2 MR1 для отсылки DHCP атрибутов в сообщениях RADIUS accounting.- Вариант B: использовать Cisco IOS “ip helper” на коммутаторе, к которому подключен WLC.

Для HTTP профилирования:- Использовать Web-Authentication redirect для получения информации о HTTP user agent.

35

Настройка Web-Authentication Redirect ACLДанные ACL используются для HTTP профилирования, проверки состояния и настройки.

36

Подставьте ip адрес сервера ISE, чтобы разрешить трафик только к нему.

2

На этот ACL по имени будет ссылаться ISE для ограничения

доступа пользователю.

1

Создание политики безопасности в ISE

37

ISE

ISE: базы данных пользователей

Cisco ISE может опрашивать широкий спектр хранилищ информации о пользователях, включая Active Directory, PKI, LDAP и RSA SecureID. Также можно

использовать локальную базу данных ISE в случае небольших внедрений.

38

EAPoL

Пользователь/Пароль

user1C#2!ç@_E(

Сертификат

RADIUS

Token

Active Directory,LDAP или PKI

RSA SecureID

Локальная БД

Базы данных

Пользовательская и/или машинная аутентификация

Шаги настройки политик ISE

39

1. Правила аутентификации• Определите, какую БД пользователей использовать.

• Пример – Active Directory, CA Server или внутренняя БД.

2. Правила авторизации• Определите, какие пользователи и на каких устройствах

получат доступ к ресурсам.• Пример – все сотрудники с Windows лэптопами должны иметь

неограниченный доступ.

Правила аутентификацииПример для PEAP и EAP-TLS

40

1

Создание другого профайла, для использования хранилища

сертификатов

2

Обращаться к Active Directory дляPEAP аутентификации

1

Настройка правил авторизацииГибкие условия, соединяющие пользователей и их устройства

41

Policy Authorization - SimpleМогут быть использованы группы устройств (такие как

«рабочая станция» илиiPods)

1Можно задать группы Active

Directory

2

Результатом правила авторизации будет установка политики на сетевом устройстве

3

Правило авторизации “Результаты”Политики доступа, на которые ссылаются авторизационные правила

42

Правила авторизации представляют собой набор условий для выбора авторизационного профайла.

Этот профайл содержит все атрибуты соединения, включая VLAN, ACL и QoS.

Данные атрибуты отправляются на контроллер для их применения. Они могут быть изменены позже путем использования CoA (Change of Authorization).

Простая смена VLAN, путем задания тега

1

Доступные для замены атрибуты

2

Подключение BYOD устройств

43

CA-Server

Подключение устройства Apple iOS

Начальное соединение. Используем

PEAP

ISEWLC

1

Мастер настройки устройства

2

Все последующие соединения будут использовать EAP-

TLS3 ISEWLC

Change of Authorization

CA-Server

CA-Server

Подключение устройства Android

Начальное соединение.

Используем PEAP

ISEWLC

1 Перенаправление на Android Marketplace для

установки утилиты настройки2

Все последующие соединения будут использовать EAP-

TLS4 ISEWLC

Настройка с использованием Cisco Wi-Fi Setup Assistant

3 Change of Authorization

CA-Server

Подключение Windows/Mac OS X устройства

Начальное соединение.

Используем PEAP

ISEWLC

1Перенаправление на

ISE для установки настроечной утилиты

Все последующие соединения будут использовать EAP-

TLS4 ISEWLC

Автоматическая настройка с

использованием Cisco Wi-Fi Setup Assistant 3 Change of

Authorization

2

CA-Server

CA-Server

Шаги процедуры установки сертификатов с использованием SCEPПростой и безопасный способ загрузки сертификатов

47

ISEWLC

CA-Server

1

Получение корневого сертификата сервера CA.

2

Запрос на получение сертификата устройства

????

SCEP Client

SCEP Server

CA-Server

SCEP Server

3

Получение и сохранение нового сертификата для использования в будущем.

CA-ServerSCEP Server

Портал “мои устройства”Пользователь может сам регистрировать и удалять свои устройства

Устройства могут быть удалены

пользователем.

Количество регистрируемых устройств

ограничено администратором

32

При добавлении устройства можно

указать детали

1

1. Настройка взаимодействия с внешним сервером CA• Указать SCEP URL и сертификаты.• Пример – Active Directory, CA Server или внутренняя БД.

2. Создание профиля настройки саппликанта• Задать настройки безопасности и тип EAP, которые используются

оконечными устройствами.

Шаги настройки функции автоматического подключения устройств

49

Настройка SCEP интеграции на ISEISE должен знать SCEP сервер и иметь сертификат, подписанный данной CA

50

Укажите SCEP URL ведущий к Microsoft Windows 2008 Server или

другой CA

1

Запросите сертификат для ISE у CA сервера

2

Настройка сертификатов ISEСертификаты, использующиеся для HTTPS и EAP соединений

51

Используем сертификат, подписанный нашей CA Server для

EAP аутентификации

2

Сертификат Web сервера может быть одинаковым или отличаться от сертификата, используемого

для EAP/RADIUS

1

Создание профиля автоматической настройки саппликанта

52

Создайте ACL для перенаправления трафика на WLC

1

Выберете “Supplicant Provisioning” как функцию портала

2

Авторизационные правила для настройки саппликантаПримерный набор правил для принудительной регистрации PEAP устройств

53

Для всех PEAP устройств отображается портал настройки

саппликанта

2

EAP-TLS пользователи имеют

полный доступ

1

Настройка профиля саппликанта: EAP-TLSПри использовании ISE для автоматической установки сертификатов

54

Используем WPA2 иTLS как тип EAP

2Задайте, кто может

подключать устройства

1

Мониторинг и составление отчетов

55

ISE определяет политику как для проводных, так и беспроводных сетейУнифицированные политики(ISE) и управление(NCS).

NCS

Централизованное хранилище политик для проводных и беспроводных пользователей и их устройств

Централизованный мониторинг проводных и

беспроводных сетей, пользователей и их

устройств

ISE

Отображение типа клиента и его политики с помощью интеграции NCS и ISEИнформация об устройстве пользователя передается в NCS

Тип устройства, полученный от

ISE

Информация о примененной

политике, включая домен Windows

AAA Override параметры,

примененные к клиенту

Общий список для проводных и

беспроводных устройств2

3

1

«Живой» лог ISEПозволяет осуществить мгновенный поиск ошибок профилирования и назначения политик.

58

Аутентификация устройства

Аутентификация пользователей

Профилирование устройства

1

2

3

NCS содержит ссылки на отчеты ISE про профилированию устройств

Sponsored by

Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!