Cisco TrustSec 2 · Cisco ISE До TrustSec 2.0: Сценарий для беспроводной сети-Аутентификация, профилирование и оценка

© 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco TrustSec 2.0Михаил КадерЗаслуженный системный инженер

2© 2011 Cisco and/or its affiliates. All rights reserved.

Инфраструктура

Сервисы для оконечных устройств/пользователей

Мобиль-ность

Стильработы

Видео

Средства управления и политики сети

без границ

Коммутация

Беспров.

сети

WAAS

Маршру-

тизация

Безопас-

ность

Мобильность: Motion

Экология:EnergyWise

Видео и голос: медиасеть

Производит.приложений

Безопасность:TrustSec

Распределенные

сотрудникиСотрудники, постоянно

находящиеся на связи

Потребительские

ИТ-устройства

Различные режимы

совместной работы

TrustSec обеспечивает мониторинг и управление сетевыми устройствами

и пользователями сети

Защищенная, надежная, прозрачная совместная работа

Сервисы сети без границ


Традиционный периметр размывается. Доступ может выполняться из любой точки мира

Вопросы безопасности

Где?

Обеспечение выполнения политик для пользовательских и сетевых устройств

Что?

Кто? Идентификация пользователей и предоставление дифференцированного доступа в динамичной среде без границ.

Формирование, мониторинг и обеспечение выполнения глобальных политик доступа

Как?


• Контроль доступа к информации, приложениям, записям

• Контроль входящих и исходящих потоков данных

• Обеспечение конфиденциальности для групп и отдельных пользователей

• Сегментация определенных классов пользователей

• Контроль доступа к устройствам, серверам и платформам управления на уровнях пользователей и устройств

• Инвентаризация и управление IP-устройствами, последующее управление их поведением в соответствии с политиками

• Обеспечение выполнения политики доступаза точкой подключения

• Мониторинг, регистрация действий и аудит действий пользователей и устройств


Сеть WLAN Удаленныйдоступ

Провод-ная сеть

Виртуаль-ные среды


Место-положение

Контекст идентификации

Сотрудник Состо-яние

802.1X, web-аутентификация, аутентификация по MAC-адресу

(MAB), профилирование

Авторизация и обеспечение

Контрактор Тип доступаГость

Целостность и конфиденциальность данных

Аддитивный режим

(режим устройства)Инфраструктурный

(интегрированный) режимили

VLAN, DACL, доступ на основе групп безопасности,

МСЭ с поддержкой идентификации

Полный доступОграниченный

доступ

Гостевой доступ/

доступ в Интернет

MACSec (802.1AE)

VLAN ACL

Время сутокТип устройства


NAC Manager NAC Server

NAC Profiler

NAC Guest Server NAC Agent

Управление жизненнымциклом гостевого

доступа

NAC CollectorАвтономное устройство

или лицензируемый модуль NAC Server

Идентификацияи контроль доступа

Access Control Server (ACS)

ISEПрофилирование устройств и сбор средств +

мониторинг

Идентификацияи контроль доступа +

оценка состояния


Управление доступом

на основе групп

безопасности

Мониторинг

и устранение неполадок

Расширяемые политики

Права доступа

Связывание информационных точек политик

SGT Общие Частные

Персо-

налОК ОК

Гости ОК Запрет

Консолидация данных, переход по иерархии

Сохранение существующей архитектуры

Оптимизация точки размещения сервисов

M&T

Комплексное решение HA-пара

NAC Server

Упрощение развертыванияи администрирования

Консолидированные

сервисы, пакеты ПО

ACS

NAC Profiler

NAC Manager

NAC Guest

ISE

Каталог сеансов

Устройство (IP/MAC)

Местополо-жение

ИД польз.

Гибкое

развертывание

Консольадминистрирования

Распределенные PDP

Отслеживание активных пользователей и устройств


Представляем Identity Services Engine 1.0

Identity Services Engine

Местопо-ложение

Сотруд-ники

Состо-яние

Тип доступаУстройстваГости Время суток

Новые сценарии

идентификации

Усовершенствования

платформы SAGУсовершенствования

MACSec

Оценка состояния

конечных устройств с

помощью интегрированных

средств профилирования

802.1X для проводных/

беспроводных сетей

Новые платформы для

расширения функционала

и добавления меток

Проверка сценария VDI

Шифрование каналов

"коммутатор-коммутатор"


Расширенные средства идентификации

в проводной сети

Серверы приложений

ЦОД

Сеть

комплекса

зданий

ЦОД

Пользователь

в проводной

сети филиала

Cisco

ISE

Пользо-

ватель в

филиале

WAN

До TrustSec 2.0:

Сценарии для проводной сети-

Аутентификация и профилирование

•Identity 4.1 (802.1X и т. п.)

• Мониторинг, эффективность,

режимы безопасности

• NEAT

• Перемещение/замена MAC

• CoA

•Профилирование – NAC Profiler

•Макросы Auto Smartports

С TrustSec 2.0

Сценарий для проводной сети –

•Интеграция сервисов (ISE):

• Профилирование

• Гостевой доступ

• (НОВИНКА!!) Оценка состояния с

помощью средств 802.1X

• Усовершенствования в области

аутентификации:

• Назначение VLAN при

множественной аутентификации

• Открытая голосовая VLAN

•AnyConnect 3.0


Согласованные политики для пользователей беспроводной сети

Серверыприложений

Сеть

комплекса

зданийПользователь

проводной сетиКоммутатор

доступаКорпоративныепользователи ЦОД


проводной сети

филиала

802.1X

Cisco

ISE

До TrustSec 2.0:

Сценарий для беспроводной сети -

Аутентификация, профилирование и

оценка состояния с помощью

различных элементов

•Аутентификация 802.1X

•Оценка состояния – NAC Posture

•Гостевой доступ – NAC Guest

С TrustSec 2.0

Сценарий для беспроводной сети–

•Унификация сервисов с помощью ISE

•Профилирование (после аутентификации, без MAB)

•Оценка состояния

• До Wireless 7.0 MR1 – PEP в транзитном

режиме (без COA или перенаправления URL)

• После Wireless 7.0 MR1 – WLC

•Гостевой доступ (локальная web-аутентификация)


Дата выпуска:

июль 2011 г.

Cisco ASR 1000

• Возможность распространения

сведений об идентификации на

уровне агрегации WAN для

сценариев доступа

партнера/контрактора или

VPN "сеть-сеть"

• Функции – SXP, SGT

SGACL802.1X/MAB/web-аут.

Finance (SGT=4)

HR (SGT=10)

Я контрактор.

Группа: HR.

Контрактор

и HR

SGT = 100

WAN

Уровень агрегации или ЦОД

Cisco Catalyst 6K (SUP-2T)

• Расширение возможности по

обеспечению выполнения

политики безопасности на базе

поддержки идентификации

TrustSec на Nexus 7K и Cat 6K

(SUP2T). Реализация SGACL на

Nexus 7K и Catalyst 6K (SUP-2T)

• Функция – SGACL

ASR

ISR

SXP


Комоненты решения VDI

• Назначение ролей SGT– любой коммутатор Catalyst с поддержкой различных режимов

аутентификации (Multi-Auth)

• Коммутатор обеспечения выполнения SGACL – Catalyst 6K или Nexus 7K

• Два варианта:

1. Пользователь сопоставляется “известной” VM путем статического задания

o Саппликант – аутентификация машины с помощью встроенного саппликанта на

сервере

2. Пользователь сопоставляется “любой” VM

o Anyconnect (с RDP) – перехват учетных данных пользователя (для RDP) для 802.1X

SGACL

Finance (SGT=4)

HR (SGT=10)

Я контрактор.

Группа: HR.

ЦОД

Клиентcкий ПК с

клиентом RDC

RDP RDP

Назначение

роли SGT


Шифрование MACSec

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1XAnyConnect

3.0

Администратор

(Finance)


(Finance)=

Необходимо шифрование

Аутентификация

прошла успешно!

ISE 1.0

MACSec в действии

Cat3750X

Поддерживается уже сейчас:

• Шифрование MACSec в ЦОД между коммутаторами

Nexus 7000

• Шифрование канала от AnyConnect до Catalyst 3KX (MKA)

TrustSec 2.0 привносит:

• Шифрование каналов между коммутаторами: Catalyst 3K-X,

6500 или Nexus 7000

• Для шифрования используется SAP, а не MKA

&^*RTW#(*J^*&*sd#J$%UJ&(

Catalyst 6500 или Nexus 7000


Шифрование каналов между коммутаторами для обеспечения целостности данной во всей сети

Cisco Catalyst 6K (SUP-2T)

• Шифрование канала

между коммутаторами

• Модуль SUP 2T (июль

2011 г.)

Cisco Catalyst 3KX



• 1 Гбит/с –

существующие порты

• 10 Гбит/с – новый

сервисные модули 3KX

(июль 2011 г.)

Cisco Catalyst 4K



• 4500: восходящие каналы

Sup7-E и линейные карты

47xx (2 пол. 2011 календ.

года)

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1X

Саппликант

с

MACSec

Гость

Устройства с поддержкой MACSec

(новые средства шифрования

каналов между коммутаторами)

&^*RTW#(*J^*&*sd#J$%UJWD&(

Незашифрованные данные

Канал MACSec

Шифрование Расшифрование

Пользователь,

прошедший

процедуру

аутентификации


Развертывание системы контроль доступа без

перепроектирования сети и без управления IP-адресами

механизм авторизации следующего поколения (группы безопасности)

Масштабируемый контроль доступа, не зависящий от

топологииl

Контроль доступа, зависящий от топологии

Включение пользователя в “группу безопасности”

Рабочиесерверы

Контрактор Серверыразработки

VLAN 1Сотрудник

Уникальная 16-битная

(65K) метка –

уникальная роль

GO

Сегментация – VLAN, ACL, VRF

Метки групп безопасности


Шифрование MACSec (элемент TrustSec) обеспечивает

соответствие нормативным требованиям

DD D D D D D D D

VV V V V V V V V

DD D D D D D D D

VV V V V V V V V

шифрование следующего поколения на уровне 2 (MACSec)

Зашифрованное взаимодействие

Данные и видео передаются по сети без шифрования

Злоумышленник


Бизнес-задача Решение с помощью TrustSec 2.0

Необходимо упростить развертывание

системы контроодля доступа в

соответствии с ролевой моделью

Встроенный диспетчер политик и клиент:

• Identity Services Engine с встроенными средствами

профилирования, поддержки гостевого доступа и

оценки состояния

• Anyconnect 3.0 с поддержкой 802.1X/CSSC,

MACSec, RDP и много другого

Необходимо убедиться, что оконечные

устройства не станут источником

уязвимостей

• 802.1X с оценкой состояния

• Упрощение беспроводной доступа с обеспечением

оценки состояния на WLC

Необходимо идентифицировать

беспроводные устройства

(например, iPADы)

Средство профилирования (Profiler) с поддержкой

WLAN. Поддержка авторизации на основе 802.1X

(отсутствие MAB, гостевой доступ)

Меня волнуют вопросы

конфиденциальности данных в локальной

сети

Средства MACSec для шифрования каналов между

коммутаторами (Cat 3K и Cat 6K), предв. версия для

Cat 4K

Требуется масштабируемая среда контроля

доступа (ролевая модель) для сети,

поддерживающая существующие

платформы ЦОД

Поддержка SGT/SGACL на SUP 2T для Cat 6K

Требуется внедрить масштабируемое

решение для контроля доступа (ролевая

модель) внутри сети с возможностью

распространения на среды

партнеров/подрядчиков

Платформы ASR серии 1000 с поддержкой TrustSec

(SXP/SGT) на уровне агрегации WAN

Требуется обеспечить работу

существующей масштабируемой системы

контроля доступа в виртуальной среде

Сценарий SGA протестирован в среде VDI

Interop, май

2011 г.

Live Las

Vegas, июль

2011 г.



Все зарегистрированные узлы ISE

Все источникиатрибутов

Статистика, отказы

Показатели ошибок и распределений

Числовые метрики

Распределение устройств

Распределение профилей

Обзор тревог


Фильтр

Цветовое выделение строк

с ошибками

Профиль

Соответствие



Узлы Типы: Admin, Policy, Monitor, Inline

Admin: Основной (Primary) / вторичный (Secondary)


Более 90 встроенных профилей для устройств Cisco и других производителей!

Иерархические группы профилей!

Создание собственных профилей


Правила по умолчанию для большинства типовых сценариев

доступа к сети

Протоколы по умолчанию

Вставка / копирование/ удаление правил


Порядок использования систем идентификации


Выбор порядка использования систем


Вариантыаутентификации


Первое соответствие -или- соответствие нескольким критериям

Включение/выключение/мониторинг

Добавление/удаление/копирование


Именованные простые или составные условия



Категории отчетов

Просмотр каталогов сеансов

Выбор и настройка



Cisco Identity Services Engine (ISE) 1.0

> Более 90 профилей, готовых к использованию!

Полностью новое решение!

• Несколько сенсоров – гибкое профилирование

• Полномасштабный мониторинг и отслеживание действий

• Полномасштабное решение(проводная + беспроводная сеть)

• Встроенные средства аутентификации/авторизации

• Другие сервисы (гостевой доступ, оценка состояния, регистрация устройств)

• Гибкость развертывания

Пол

ьзо

вате

ль

Ме

сто

пол

о-

же

ни

е

Вр

ем

я

Устр

ой

ств

о

Атр

ибут

X

ISE


• Обнаружение и профилирование(классификация) всех оконечных устройств с помощью сетевых механизмов

• Мониторинг идентификации для новых/измененных атрибутов идентификации оконечных устройств, что гарантирует повторное профилирование

• Ведение базы данных всех оконечных устройств сети

• Профилирование на основании данных

•Netflow

•CDP

•DHCP и DNS

•MAC

•SNMP

•RADIUS


Портал спонсора NGS 2.0x ISE 1.0

Портал гостевого доступа

Уведомление гостя

Формирование отчетов

Поддержка биллинга

Примечание:

Гостевой доступ к беспроводной сети – только локальная web-аутентификация, нет оценки состояния.

Гостевой доступ к проводной сети– локальная и централизованная web-аутентификация. Оценка

состояния только при централизованной web-аутентификации.

Сервер гостевого

доступа• Самостоятельная регистрация

• Доступ предоставляется

спонсором

• Регистрация устройств

Портал спонсора• Настраиваемый портал

• Создание одной/нескольких учетных

записей

• Спонсор задает группу/систему


• Ограничения профилей по времени

• Уведомление пользователя

о параметрах учетной записи

(email, распечатка, SMS)

Портал гостевого

доступа• Смена пароля

• Смена пароля при первом входе

• Загрузка клиента для оценки

состояния

• Самообслуживание

• Регистрация устройств

Поддерживается

Не поддержи-

вается


1. При запуске браузера гость перенаправляется на портал гостевого доступа ISE.

ISE Guest Server

2. Гость вводит учетные данные, предоставленные спонсором

3. Учетная запись проверяется в точке принятия решений ISE(данные сравниваются с данными, хранящимися в системе идентификации при гостевом доступе)

Система идент.

при гостевом

доступе

URL-REDIRECT






• Проводная сеть – оценка состояния только при централизованной web-аутентификации

• Беспроводная сеть:

• До выпуска ПО Wireless 7.0 MR1 – PEP в режиме транзитной передачи (без COA или URL redirect)

• После выпуска ПО Wireless 7.0 MR1 – с использованием WLC

NAC Server

Auth

Функциональные возможности NAC ISE 1.0

Клиент NAC agent NAC Agent

Аутентификация Kerberos 802.1X

Оценка состояния Opswat Opswat

Исправление состояния SNMP RADIUS

Варианты сегментации VLAN VLAN, DACL, SXP/SGT

NAC Manager

VLAN для коррекции

Полный доступ к сети

Auth

ISE


с использованием NAC


с использованием ISE


Policy > Policy Elements > Conditions > Posture • Файл

• Реестр

• Антивирус/антишпионское ПО

• Сервис

• Составные условия (предварительно настроенные)

• Составные условия (антивирус/антишпионское ПО)


Унифицированный интерфейс доступа для SSL-VPN, IPSec и 802.1X (для проводной и беспроводной сети)

Поддержка MACSec / MKA (802.1X-REV) для шифрования данных в ПО(производительность ограничена ЦП оконечного устройства)

Оборудование с поддержкой MACSec(сетевой адаптер) повышает производительность AnyConnect 3.0

Для TrustSec:

• 802.1X – головным устройством является коммутатор, ASA не требуется.

Вопросы лицензирования анализируются в настоящее время (STBU)

• Аппаратное шифрование – требуется AnyConnect и оборудование, поддерживающее

MACSec: (Intel 82576 (Gigabit Ethernet), Intel 82599 (10 Gigabit Ethernet), набор

микросхем Intel ICH10 - Q45 Express (1GbE на материнской плате) (настольные ПК с

таким адаптером поставляются Dell, Lenovo, Fujitsu и HP.)

• Программное шифрование – требуется AnyConnect, создается нагрузка на ЦП ПК


Режим "Should-Secure"• Key Management = MKA

• Encryption = MACSec

• Port Authentication Exception

Policy = Prior to

Authentication Initiation

12

3

4


4646

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1XAC3.0


(Finance)

Обычный

саппликант

на ноутбуке


(Finance)Переход в незащищенную VLAN

LAN

LAN


(Finance)=Требуется шифрование

Процедура аутентификации

пройдена успешно!

Шифрование MACSec


(Finance)=

Требуется шифрование

Процедура аутентификации

пройдена успешно!

Без саппликанта

MACSec Все данные передаются в открытом виде, их можно читать

802.1X

Использование AnyConnect 3.0

Использование обычного саппликанта

Cat3750

X

Cat3750

X


Шифрование 802.1AE Шифрование 802.1AEШифрование 802.1AE

NDAC

Предотвращение подключения к сети оконечных и сетевых устройств

злоумышленников

Средства контроля доступа к сети (NDAC) обеспечивают надежную взаимную

аутентификацию устройств перед подключением к структуре коммутации

Конфиденциальность и целостность данных в проводной Ethernet-сети в масштабах всей корпоративной инфраструктуры

Предотвращение прослушивания трафика, модификации данных и добавления данных

Решение, основанное на стандартах Сильное шифрование (128-битный AES-GCM), одобрено NIST, на скорости передачи

данных в среде 10 Гбит/с Основано на стандартах IEEE, включая протокол согласования ключей MACSec Key

Agreement (MKA)

Гибкость развертывания Посегментное шифровани обеспечивает возможность применения существующих

технологий анализа пакетов (IPS, МСЭ, кэширование, оптимизация/ускорение работы приложений в WAN, мониторинг сети)

Работа в смешанных средах (IP-телефоны, настольные компьютеры)

802.1AE

802.1X-

2010

Шифро-вание

Исходя-щийтрафик

Расшиф-рование

входящийтрафик



В системе обрабатываются пакетыв расшифрованном виде


&^*RTW#(*J^*&*sd#J$%UJ&(

• Шифрование “на уровне WLAN / VPN” (128-битн. AES GCM) в проводной сети

• Утвержденные NIST * алгоритмы шифрования (IEEE802.1AE) и управления ключами (IEEE802.1X-2010/MKA)

• Поддержка работоспособности средств аудита трафика (сервисов безопасности)

802.1X


с MACSec

Гостевой

пользователь

Устройства

с поддержкой

MACSec

&^*RTW#(*J^*&*sd#J$%UJWD&(

Данные в незашифрованном виде

Канал MACSec

Шифро-

вание

Расшифро-

вание

Пользователь,

прошедший

процедуру


* National Institute of Standards and Technology Special Publication 800-38D

Примечание: в настоящее время Cat3750-X поддерживает

MACSec только для нисходящих каналов

Защита канала передачи данных с помощью MACSec


Media Access Control (MAC) Security

• Соответствует стандарту IEEE 802.1AE

• Позволяет создать среду аутентификации на базе IEEE 802.1X

• Распространяет ключи шифрования с помощью протокола согласования ключей (MKA) (IEEE 802.1X-Rev-2010)

Защита взаимодействия доверенных компонентов по локальной сети

Сильное шифрование в каждом сегменте (независимо от других сегментов)

Поэтапное развертывание учтено при проектировании

• Сначала защищаются самые уязвимые устройства

• Минимальное воздействие на сеть


• Распростра-

нение мастер-

ключей

• Контроль

доступа

• Обмен

ключами

• Шифрование

• Обмен

ключами

• Шифрование

Устройство


Сервер



AnyConnect Catalyst 3560-X / 3750-X

Зашифр. канал 802.1AE Канал L3

Саппликант. Клиент, функционирующий на оконечном устройстве и отправляющий учетные данные для

аутентификации. Должен поддерживать согласование ключей MACSec и шифрование пакетов. Шифрование может

выполняться программно и аппаратно (если шифрование поддерживается сетевым адаптером)

Устройство аутентификации. Коммутатор, который транслирует учетные данные (поступившие от саппликанта) на

сервер аутентификации и обеспечивает выполнение политики доступа к сети. Должен поддерживать согласование

ключей MACSec и шифрование пакетов. Требуется оборудование, поддерживающее MACSec на скорости передачи

данных.

Сервер аутентификации. RADIUS-сервер, проверяющий учетные данные (поступившие от саппликанта) и

определяющий права доступа, предоставляемые саппликанту. Распространяет ключевой материал мастер-ключей

на саппликант и коммутатор. Может определять политику MACSec, применяемую для конкретного оконечного

устройства.


Сокра-

щение

Термин Определение

MKA MACSec Key Agreement

Протокол согласования

ключей MACSec

Протокол MKA, определенный в стандарте IEEE 802.1X-

2010, является протоколом согласования ключей,

который поддерживает обнаружение соседей,

поддерживающих MACSec, и согласование MACSec-

ключей.

SAP Security Association Protocol

Протокол SAP

Протокол согласования ключей, схожий с MKA (стандарт

находится на этапе рассмотрения).

MSK Master Session Key

Основной сеансовый ключ

Создает в процессе взаимодействия EAP, саппликант и

сервер аутентификации используют MSK для генерации

CAK.

CAK Connectivity Association Key

Ключ подключения

Генерируется на основе MSK. Ключ CAK – долгосрочный

мастер-ключ, который используется для генерации всех

остальных MACSec-ключей. Саппликант вычисляет CAK

на основе EAP. Сервер аутентификации передает ключ

CAK на коммутатор в последнем RADIUS-сообщении в

конце процесса аутентификации IEEE 802.1X.

SAK Secure Association Key

Ключ защиты подключения

Генерируется на основе CAK. Ключ SAK представляет

собой ключ шифрования, который используется

саппликантом и коммутатором для шифрования

определенного сеанса. Коммутатор вычисляет SAK на

основании CAK и посылает его саппликанту в

защищенном виде. Саппликант использует CAK для

расшифровки ключа SAK, полученного от коммутатора.


EAPoL: EAP Request-Identity

EAPoL: EAP-Response: AliceRADIUS Access-Request

[AVP: EAP-Response: Alice]

EAP Success

RADIUS Access-Accept

[AVP: EAP Success]

[AVP: EAP Key Name]

[AVP: CAK]

RADIUS Access-Challenge

[AVP: EAP-Request: PEAP]

Аутентификация

и распростра-

нение мастер-

ключей

Согласование

сеансовых

ключей



Сервер

аутентификацииСаппликант

1

2

Сеанс

защищен3

EAPoL-MKA: Key Server

EAPoL-MKA: MACSec Capable

EAPoL-MKA: Key Name, SAK

EAPoL-MKA: SAK Installed

Зашифр. данные

Зашифр. данные

AES-GCM-128

IEE

E 8

02.1

X

MK

AM

AC

Sec


• Позволяет сети использовать все существующие средства анализа сетевого трафика

• Модель "врезки в кабель"

-Пакеты зашифровываются на исходящем интерфейсе

-Пакеты расшифровываются на входящеминтерфейсе

-Устройство обрабатывает пакеты в открытом виде

Шифрование (128-битн. AES GCM) Шифрование (128-битн. AES GCM) 128bit AES GCM Encryption

011010010001100010010010001010010011101010

1

0110100100011000100100100001001010001001001000101001001110101

Открытые данные01101001010001001

0

01101001010001001

0

ASIC

Расшифрование

на входящем

Шифрование

на исходящем


MACSecMACSec




AnyConnect



“Нисходящий” “Восходящий”

Посегментное шифрование поддерживает интеллектуальные сетевые механизмы

• “Нисходящий” MACSec защищает трафик между коммутатором доступа и конечным пользователем.

• “Восходящий” MACSec (между коммутаторами) защищает трафик между сетевыми устройствами (коммутаторами уровней доступа и распределения)

Поддержка шифрования восходящего канала будет скоро представлена на рынке

• Восходящие и нисходящие сеансы MACSec не зависят друг от друга.

• Весь трафик зашифрован на канальном уровне.

• Каждый коммутатор может анализировать весь трафик (в открытом виде).

• Коммутатор может применять любые политики (QoS, анализ пакетов, NetFlow, ...) при этом уровень защищенности не снижается.


• Must-Not-Secure: передается и принимается только незашифрованный трафик. Кадры MKA игнорируются.

• Should-Secure: при успешном завершении работы MKA передается и принимается только зашифрованный трафик. При ошибке или тайм-ауте MKA допускается передача/прием незашифрованного трафика.

• Must-Secure: при успешном завершении работы MKA передается и принимается только зашифрованный трафик. При ошибке или тайм-ауте MKA трафик не передается и не принимается.

Три варианта политик для коммутатора и саппликанта

Несоответствие политик коммутатора и саппликанта может стать причиной неполадок

• “should-secure” – настройка коммутатора по умолчанию

• ACS позволяет назначить исключения из политик с помощью RADIUS-атрибута Cisco-av-pair=subscriber:linksec-policy

• AnyConnect 3.0 поддерживает “should-secure” с помощью конфигурации "Port Authentication Exception Policy" (“Prior to Authentication Initiation”)

Рекомендация: повсеместное использование “should-secure”


Политика

саппликанта

Политика

коммутатора

Подключение

Не MACSec-Capable

или Must-Not-Secure

Не MACSec-Capable


Незащищенное

Should-Secure Не MACSec-Capable


Незащищенное

Must-Secure Не MACSec-Capable


Заблокировано

Не MACSec-Capable


Should-Secure Незащищенное

Should-Secure Should-Secure Защищенное

Must-Secure Should-Secure Защищенное

Не MACSec-Capable


Must-Secure Заблокировано, если не

настроена рнезервная

политика MACSec

Should-Secure Must-Secure Защищенное

Must-Secure Must-Secure Защищенное


• Поддержка нескольких оконечных устройств на одном порту коммутатора определяется оборудованием!

Режим Host-Mode MACSec Примечания

Single-host Д Данные зашифрованы. Телефоны Cisco, выполняющие обход по

CDP, могут принимать/отправлять незашифрованный трафик.

Multi-domain auth

(MDA)

Д Возможно независимое шифрование данных и голоса (по

отдельности и вместе).

Multi-auth Н При выборе режима “should-secure” оконечные устройства смогут

передавать незашифрованный трафик. При выборе режиме

“must-secure” процедура аутентификации завершится ошибкой.

Multi-host Д После аутентификации первого устройства будут поддерживаться

несколько MAC-адресов, при этом будет разрешен только один

зашифрованный сеанс. Режим предназначен только для

шифрования каналов между коммутаторами.

3750-X / 3560-X

4500 / 6500Host-Mode MACSec Notes

TBD TBD TBD


Преимущества Ограничения

Конфиденциальность

Сильное шифрование на уровне 2 для

защиты данных.

Поддержка на оконечных устройствах

Не все оконечные устройства

поддерживают MACSec

Целостность

Средства проверки целостности

обеспечивают защиту данных при

передаче

Поддержка на уровне сети

Для шифрования на скорости передачи

данных нередко требуется

модернизация оборудования

коммутатора доступа

Гибкость

Возможность избирательного включения с

помощью централизованной политики

Интеграция технологий

MACSec может повлиять на настройку

других технологий на уровне доступа

(например, IP-телефон)

Интеллектуальные сетевые механизмы

Посегментное шифрование обеспечивает

возможность анализа, мониторинга,

пометки и пересылки трафика в

соответствии с политиками.


• Традиционные способы авторизации доступа заставляют задумываться:

Перед развертывание требуется подробно проработать инфраструктуру…

Недостаточная гибкость для современного стиля ведения бизнеса

Проект по внедрению контроля доступа может привести к перепроектированию всей сети

• Могу ли я создавать новые сети VLAN или диапазоны IP-

адресов и управлять ими?

• Как обрабатывать DHCP-обновления в новой подсети?

• Как управлять списками ACL на интерфейсе VLAN?

• Работают ли протоколы PXE или WOL в среде VLAN?

• Что будет с суммаризацией маршрутов?

• Кто будет управлять списками ACL?

• Что будет при изменении IP-адресов получателей?

• Хватит ли объема TCAM коммутатора для обработки всех

запросов?

802.1X/MAB/Web Auth

Назначение

VLAN

Загрузка

ACL


Уникальная 16-битная (65K) метка сопоставлена уникальной роли

Соответствует правам отправителя: пользователя, устройства или

сущности

Ставится на входящем интерфейсе домена TrustSec

SGACLSG

Security Group

Tag

Фильтрация (SGACL) на исходящем интерфейсе домена

TrustSec

IP-адрес не требуется для ACE (IP-адрес связан с SGT)

Политика (ACL) поступает с центрального сервера

политик (ACS) или настраивается локально на устройстве

TrustSec

Независимость политики от топологии

Гибкость и масштабируемость политики (на основании ролей)

Централизованное управление политиками для динамического управления

Фильтрация на исходящем интерфейсе: снижение воздействия

на объем TCAM

Преимущества



(отправитель)

S1

• (число отправителей) * (число получателей) * число разрешений = число ACE

• Отправитель (S1) * получатели (S1~S6) * разрешения (4) = 24 ACE для S1

• Отправители (S1~S4) * получатели (S1~S6) * разрешения (4) = 96 ACE для S1~4

D1

D2

D3

D4

D5

D6

S2

S3

S4

Серверы

(получатель)

permit tcp S1 D1 eq https

permit tcp S1 D1 eq 8081

permit tcp S1 D1 eq 445

deny ip S1 D1

Sales

HR

Finance

Managers

IT Admins

HR Rep

Контроль доступа S1 - D1

Число элементов ACE растет

по мере увеличения числа

элементарных разрешений



S1

• (число SG отпр.) * (число SG получ.) * число разрешений = число ACE

• SGT10 * SGT получ. (3) * разрешения (4) = 12 ACE для SGT MGMT A

• SGT отпр. (4) * SGT получ. (3) * разрешения (4) = 48 ACE

D1

D2

D3

D4

D5

D6

S2

S3

S4

Серверы

Группа


(отправитель)

MGMT A

(SGT 10)

HR Rep

(SGT 30)

IT Admins

(SGT 40)

Группа


(получатель)

Sales SRV

(SGT 500)

HR SRV

(SGT 600)

Finance SRV

(SGT 700)

MGMT B

(SGT 20)

SGACL


• Предположим, что используется существующая технология МСЭ,отправитель не указывается (source = Any)

• 400 пользователей, 30 сетевых ресурсов, 4 разрешения на каждый

Традиционный ACL на МСЭ

Any (отпр.) * 30 (получ.) * 4 разр. = 120 ACE

Традиционный ACL на интерфейсе VLAN маршрутизатора или МСЭ,

где можно использовать подсети для указания группы отправителя

4 VLAN (отпр.) * 30 (получ.) * 4 разр. = 480 ACE

SGACL

4 SGT (отпр.) * 3 SGT (получ.) * 4 разр. = 48 ACE

Для каждого IP отправителя на порт при загружаемом ACL

1 группа (отпр.) * 30 (получ.) * 4 разр. = 120 ACE


• при аутентификации 802.1X

• при MAB

• при web-аутентификации

• или задаваться статически: IP-SGT

Мобильные устройства/устройства в сети комплекса зданий

• путем задания соответствия IP-SGT вручную на устройстве

TrustSec

• путем сопоставления IP-порт

ЦОД/серверы

Каждое устройство, подключаемое к домену TrustSec, классифицируется с

помощью SGT

SGT может посылаться на коммутатор с использованием RADIUS:

Полная интеграция с решениями Cisco

для идентификации

Каждый сервер, связанный с доменом TrustSec, классифицируется с

помощью SGT

SGT обычно назначаются серверам:

Как и при назначении

VLAN или dACL, SGT

назначается в процессе

авторизации


Создание политики SGT

Врач (SGT x)

Финансы (SGT x)

Все

(SGT x)

Врач

(SGT x)

Финансы

(SGT x)

Сервисы

(SGT x)

SGT

получателя

SGT

отправителя

Web WebНет

доступа

Web

Файлы/SMB

Web

SSH

RDP

Файлы/SMB

Web

SSH

RDP

Файлы/SMB

Полный

доступ

SSH

RDP

Файлы/SMB

Все (SGT x)

Web

SSH

RDP

Файлы/SMB

Web

SSH

RDP

Файлы/SMB

Полный

доступ

SSH

RDP

Файлы/SMB


Политика SGACL на ACS / ISE

1

2

3


Пример политики авторизации 802.1Xдля назначения SGT

Имя правила

Условие

Профиль

авторизации

SGT


Поддержка компонентов SGT/SGACL

Платформы Функции Версия ОС Примечания

Коммутатор Nexus серии

7000

SGACL, 802.1AE +

SAP, NDAC, SXP,

IPM, EAC

Требуется лицензия Cisco NX-OS®5.0.2a.

Advanced Service Package


реализации,

уровень распред.

ЦОД

Коммутатор Catalyst 6500E

(Supervisor 32, 720, 720-

VSS)

NDAC (No SAP),

SXP, EAC

Cisco IOS® 12.2 (33) SXI3 или более

поздняя версия. Образ IP Base K9

Коммутатор доступа

(комплекс

зданий/ЦОД)

Коммутаторы Catalyst 49xx SXP, EAC Cisco IOS® 12.2 (50) SG7 или более поздняя

версия.


(ЦОД)

Коммутатор Catalyst 4500

(Supervisor 6L-E or 6-E)

SXP, EAC Cisco IOS® 12.2 (53) SG7 или более поздняя

версия.


(компл. зданий)

Коммутаторы Catalyst

3560-X / 3750-X

SXP, EAC Cisco IOS® 12.2 (53) SE2 или более поздняя

версия.



Коммутаторы Catalyst

3560(E) / 3750(E)


версия.



Блейд-модули для

коммутаторов Catalyst 3x00


версия.


(ЦОД)

Сервисный модуль Cisco

EtherSwitch для ISR


версия. Образ IP Base K9.


(филиал)

Cisco Secure ACS Централизованное

управление

политиками TrustSec

ACS версии 5.1 с лицензией TrustSec™.

Поддерживается устройство CSACS1120

или ESX Server 3.5/4.0

Сервер политик

EAC: контроль доступа оконечных устройств (назначение SGT)


Использование SGACLШаг 1. Определение политики

ACS5.x

Сервер CСервер BСервер A Служба

каталогов

Уровень доступа


ЦОД

Сеть с поддержкой

TrustSec

Польз. A Польз. CШаг 1

AD User Role SG

T

User A Contractor 10

User B Finance 20

User C HR 30

ACS/ISE заполняет политику SGT

Server Role IP SG

T

HTTP

Server

Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

На ACS настраивается политика, все оконечные

устройства сопоставляются SGT в соответствии

с политикой


Использование SGACLШаг 2. Назначение SGT

ACS5.x

Сервер CСервер BСервер A Служба

каталогов



ЦОД

Сеть с поддержкой

TrustSec

Польз. A Польз. C

111222333

Шаг 2

AD User Role SG

T


User B Finance 20

User C HR 30

SGT назначаются роли и

привязываются к IP-адресу

Server Role IP SG

T

HTTP

Server

Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

При использовании 802.1X / MAB / web-аутентификации

SGT назначаются в политике авторизации по RADIUS

Устройства доступа анализируют ARP- и/или DHCP-

запросы, выделяют MAC-адрес при аутентификации и

привязывают назначенную SGT к IP-адресу

Для серверов IP-адреса статически сопоставлены SGT

на коммутаторе доступа или динамически получаются

от ACS/ISE с помощью IPM


User C HR 30

802.1X / MAB / Web-аут.

3010


• Назначение SGT (оконечное устройство)

802.1X

MAB

Web-аутентификация

• Назначение SGT (ЦОД)

Статически: IP-SGT

Сопоставление порта SGT

• Функционирование SGACL

Обеспечение выполнения на исходящем интерфейсе ЦОД

Реализация для групп серверов (ЦОД)

• Контроль доступа устройств к сети

• Пересылка таблицы IP-SGT по SXP

• L2-шифрование (802.1AE )

Сеть и оконечные устройства

Nexus 7010

Nexus

7010

Cat6500 Cat4500

802.1AE

802.1AE

ACS5.1SQL-серверWEB-серверФайловый

сервер

SXP/NDAC

SXPNDAC

Cat6500Cat4500

SXP

NDAC

PVLAN

Служба

каталогов

Cat35750/E

NDAC

SXP SXP

Mirage on ISR

Уровень доступа (компл. зданий)

Уровень доступа (филиал)

ЦОД

SXP

Назначение SGT

(802.1X, MAB, Web-аут.)

Реализация SGACL


ISR с EtherSwitch

Nexus 7010

Cat6500 Cat4500


сервер

Cat6500

Служба

каталогов

Cat35750/E



ЦОД


802.1X, MAB, Web-аут.


Cat4500

SXP


SRC \ DSTServer A

(111)

Server B

(222)

User A (10) Permit all SGACL-B

User B (20) Deny all SGACL-C111 222

2010

TrustSec обеспечивает защиту сетей

комплексов зданий и сетей ЦОД

Поддержка уровня доступа сетей

комплексов зданий и сетей ЦОД

SGT отправителя назначается

с использованием 802.1X, MAB или

Web-аутентификации

SGT сервера назначается с

использованием IPM или статического

сопоставления

Таблица соответствия IP-SGT

передается между коммутатором

уровня доступа комплекса зданий и

устройством ЦОД с поддержкой

TrustSec

Сценарий 1


ISR с EtherSwitch

или автономный

коммутатор

Nexus 7010

Cat6500 Cat4500


сервер

Cat6500

Служба

каталогов

Cat35750/E



ЦОД


802.1X, MAB, Web-аут.


Cat4500

SXP


SRC \ DSTServer A

(111)

Server B

(222)

User A (10) Permit all SGACL-B

User B (20) Deny all SGACL-C111 222

20

Поддержка уровня доступа филиала

SGT отправителя назначается с

использованием 802.1X, MAB или

Web-аутентификацией

SGT сервера назначается с

использованием IPM или статического

сопоставления

Таблица соответствия IP-SGT

передается между коммутатором

уровня доступа сети филиала и

устройством ЦОД с поддержкой

TrustSec

Сценарий 2

Развертывание TrustSec в локальной

сети филиала и в сети ЦОД


ISR с EtherSwitch

или автономный

коммутатор

Nexus 7010

Cat6500 Cat4500


сервер

Cat6500

Служба

каталогов

Cat35750/E



ЦОД

Назначение SGT с

использованием IPM

или статически


Cat4500


SRC \ DSTServer A

(111)

Server B

(222)

Server C

(333)

Server A

(111)--- SGACL-A Permit all

Serer B

(222)Permit all --- SGACL-B

Server C

(333)Deny all Deny all --- 111 222

Сопоставление IP-адресов серверов и

SGT на Nexus 7000 вручную или с

помощью IPM (Identity Port Mapping на

ACS для централизации управления

SGT)

Сегментация для сервера,

подключенного к тому же коммутатору

доступа, может быть реализована с

помощью Private VLAN на коммутатор

уровня распределения

Сценарий 3

Развертывание TrustSec в ЦОД для

сегментации трафика серверов

333

SXP


• Динамическая реализация политик между серверами в рамках одной изолированной VLAN(Private VLAN)

• Динамическая реализация политик между серверами в рамках различных VLAN

Nexus 7000

222

Public-SVR

333

App-SVR

SGT/DGT App-SVR (222) Public-SVR (333)

App-SVR (222) Permit Deny

Public-SVR (333) Deny Permit

Транк

802.1q

Вторичная VLAN

(изоляция)200

Основная VLAN10P

P Порт в режиме

Promiscuous

SVI(VLAN 10)Варианты

реализацииSGACL

Cat4K, 6K


Средства контроля доступа устройств к сети (NDAC)

обеспечивают надежную взаимную аутентификацию (EAP-

FAST) для создания доверенного домена

Учитываются только SGT от доверенного узла

После аутентификации выполняется согласование ключей и

криптоалгоритмов для автоматического шифрования с

помощью протокола SAP (механизм, регламентируемый

802.11i)

Протокол SAP будет заменен 802.1X-REV

Доверенное устройство получает сведения о доверительных

отношениях и политиках с сервера ACS Server

Предотвращение подключения устройств злоумышленника,

формирование доверенной сетевой структуры

коммутации для обеспечения целостности SGT

Автоматизация согласования ключей и криптоалгоритмов для

надежной защиты данных (802.1AE )

Преимущества

NDAC


Аутентификация Seed-устройств

ACS5.x

NDAC проверяет результаты идентификации

устройства перед тем, как включить

устройство в список доверенных!

Первое устройство, проходящее аутентификацию на

ACS, называется Seed-устройством TrustSec

Seed-устройство выполняет функции устройства

аутентификации для саппликантов подключенных к

нему устройств

Процесс определения ролей определяет роли

устройства аутентификации и саппликанта

Для NDAC используется EAP-FAST/MSCHAPv2

Учетные данные (включая PAC) хранятся

в хранилище ключей устройства

ACS5.xSeed-

устройство

EAP-FAST over

RADIUS

Авторизация

(PAC, Env Data,

политика)


ACS5.x

При подключении устройства к соседнему

круг доверия домена TrustSec расширяется

Если устройство не подключено к ACS напрямую,

устройство считается не-Seed-устройством

Первое из соседних устройств, подключившееся

к серверу ACS, получает роль устройства


В случае ничьей в качестве устройства

аутентификации выбирается устройство с

меньшим MAC-адресом

Seed-

устройство

ACS5.xSeed-устройство

Устр. аут.

Supplicant

802.1X NDAC

Не-Seed -устройство


802.1X NDAC

Не-Seed -устройство

Устр. аут.Саппликант

802.1X NDAC

Аутентификация не-Seed-устройств


• Протокол Security Association Protocol (SAP) используется для автоматического согласования ключей и криптоалгоритмов

• Согласование начинается после успешной аутентификации/ авторизации для NDAC

• Взаимодействие по протоколу идет только между саппликантом и устройством аутентификации (без участия ACS)

• После взаимодействия по протоколу SAP сеансовые ключи саппликанта и устройства аутентификации совпадают

• Сеансовый ключ используется для шифрования трафика

• Сеансовый ключ вычисляется на основе ключа PMK(полученного устройствами от ACS в процессе аутентификации) и случайных чисел (обмен регламентируется SAP)

• Периодически выполняется обновление сеансового ключа


Сетьс поддержкой

TrustSecСаппликант

ACS 5.0

Определениероли

EAPOL (EAP-FAST)

Устр.аутент.

RADIUS

ПолитикаПолучение политики

Согласованиеключей

Постоянное обновление ключей

SAP

Туннель EAP-FAST

Аутентификация устройства

Разрыв туннеля EAP-FAST


SXP: поддержка платформ

• Для реализации меток SGT требуется аппаратная (ASIC) поддержка

• Протокол SGT eXchange Protocol (SXP) используется для обмена таблицами сопоставления IP-SGT между устройствами с поддержкой TrustSec, а также устройствами, не поддерживающими TrustSec

• Устройства без аппаратной поддержки TrustSec могут получать атрибуты SGT от ACS для пользователей или устройств, прошежших аутентификацию, а затем пересылать таблицы сопоставления IP-SGT на устройства с поддержкой ролевой модели контроля доступа TrustSec для добавления меток и реализации списков контроля доступа

• В основе лежит TCP с MD5

• SXP поддерживает односегментный режим работы или многосегментный режим работы

• В настоящее время SXP поддерживается на платформах Catalyst 6500,4500/4900 и Nexus 7000

• SXP ускоряет развертывание SGACL, не требуя дорогостоящей модернизации оборудования для поддержки TrustSec


Cisco TrustSec обеспечивает управление доступом в соответствии с политикой,а также позволяет создать сеть, учитывающую результаты идентификации и предоставляющую сервисы обеспечения целостности и конфиденциальности данных

Documents

Cisco TrustSec 2 · Cisco ISE До TrustSec 2.0: Сценарий для беспроводной сети-Аутентификация, профилирование и оценка