Upload
others
View
17
Download
0
Embed Size (px)
Citation preview
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco TrustSec 2.0Михаил КадерЗаслуженный системный инженер
2© 2011 Cisco and/or its affiliates. All rights reserved.
Инфраструктура
Сервисы для оконечных устройств/пользователей
Мобиль-ность
Стильработы
Видео
Средства управления и политики сети
без границ
Коммутация
Беспров.
сети
WAAS
Маршру-
тизация
Безопас-
ность
Мобильность: Motion
Экология:EnergyWise
Видео и голос: медиасеть
Производит.приложений
Безопасность:TrustSec
Распределенные
сотрудникиСотрудники, постоянно
находящиеся на связи
Потребительские
ИТ-устройства
Различные режимы
совместной работы
TrustSec обеспечивает мониторинг и управление сетевыми устройствами
и пользователями сети
Защищенная, надежная, прозрачная совместная работа
Сервисы сети без границ
3© 2011 Cisco and/or its affiliates. All rights reserved.
Традиционный периметр размывается. Доступ может выполняться из любой точки мира
Вопросы безопасности
Где?
Обеспечение выполнения политик для пользовательских и сетевых устройств
Что?
Кто? Идентификация пользователей и предоставление дифференцированного доступа в динамичной среде без границ.
Формирование, мониторинг и обеспечение выполнения глобальных политик доступа
Как?
© 2011 Cisco and/or its affiliates. All rights reserved. 4
• Контроль доступа к информации, приложениям, записям
• Контроль входящих и исходящих потоков данных
• Обеспечение конфиденциальности для групп и отдельных пользователей
• Сегментация определенных классов пользователей
• Контроль доступа к устройствам, серверам и платформам управления на уровнях пользователей и устройств
• Инвентаризация и управление IP-устройствами, последующее управление их поведением в соответствии с политиками
• Обеспечение выполнения политики доступаза точкой подключения
• Мониторинг, регистрация действий и аудит действий пользователей и устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 5
Сеть WLAN Удаленныйдоступ
Провод-ная сеть
Виртуаль-ные среды
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Место-положение
Контекст идентификации
Сотрудник Состо-яние
802.1X, web-аутентификация, аутентификация по MAC-адресу
(MAB), профилирование
Авторизация и обеспечение
Контрактор Тип доступаГость
Целостность и конфиденциальность данных
Аддитивный режим
(режим устройства)Инфраструктурный
(интегрированный) режимили
VLAN, DACL, доступ на основе групп безопасности,
МСЭ с поддержкой идентификации
Полный доступОграниченный
доступ
Гостевой доступ/
доступ в Интернет
MACSec (802.1AE)
VLAN ACL
Время сутокТип устройства
© 2011 Cisco and/or its affiliates. All rights reserved. 7
NAC Manager NAC Server
NAC Profiler
NAC Guest Server NAC Agent
Управление жизненнымциклом гостевого
доступа
NAC CollectorАвтономное устройство
или лицензируемый модуль NAC Server
Идентификацияи контроль доступа
Access Control Server (ACS)
ISEПрофилирование устройств и сбор средств +
мониторинг
Идентификацияи контроль доступа +
оценка состояния
8© 2011 Cisco and/or its affiliates. All rights reserved.
Управление доступом
на основе групп
безопасности
Мониторинг
и устранение неполадок
Расширяемые политики
Права доступа
Связывание информационных точек политик
SGT Общие Частные
Персо-
налОК ОК
Гости ОК Запрет
Консолидация данных, переход по иерархии
Сохранение существующей архитектуры
Оптимизация точки размещения сервисов
M&T
Комплексное решение HA-пара
NAC Server
Упрощение развертыванияи администрирования
Консолидированные
сервисы, пакеты ПО
ACS
NAC Profiler
NAC Manager
NAC Guest
ISE
Каталог сеансов
Устройство (IP/MAC)
Местополо-жение
ИД польз.
Гибкое
развертывание
Консольадминистрирования
Распределенные PDP
Отслеживание активных пользователей и устройств
9© 2011 Cisco and/or its affiliates. All rights reserved.
Представляем Identity Services Engine 1.0
Identity Services Engine
Местопо-ложение
Сотруд-ники
Состо-яние
Тип доступаУстройстваГости Время суток
Новые сценарии
идентификации
Усовершенствования
платформы SAGУсовершенствования
MACSec
Оценка состояния
конечных устройств с
помощью интегрированных
средств профилирования
802.1X для проводных/
беспроводных сетей
Новые платформы для
расширения функционала
и добавления меток
Проверка сценария VDI
Шифрование каналов
"коммутатор-коммутатор"
© 2011 Cisco and/or its affiliates. All rights reserved. 10
Расширенные средства идентификации
в проводной сети
Серверы приложений
ЦОД
Сеть
комплекса
зданий
ЦОД
Пользователь
в проводной
сети филиала
Cisco
ISE
Пользо-
ватель в
филиале
WAN
До TrustSec 2.0:
Сценарии для проводной сети-
Аутентификация и профилирование
•Identity 4.1 (802.1X и т. п.)
• Мониторинг, эффективность,
режимы безопасности
• NEAT
• Перемещение/замена MAC
• CoA
•Профилирование – NAC Profiler
•Макросы Auto Smartports
С TrustSec 2.0
Сценарий для проводной сети –
•Интеграция сервисов (ISE):
• Профилирование
• Гостевой доступ
• (НОВИНКА!!) Оценка состояния с
помощью средств 802.1X
• Усовершенствования в области
аутентификации:
• Назначение VLAN при
множественной аутентификации
• Открытая голосовая VLAN
•AnyConnect 3.0
© 2011 Cisco and/or its affiliates. All rights reserved. 11
Согласованные политики для пользователей беспроводной сети
Серверыприложений
Сеть
комплекса
зданийПользователь
проводной сетиКоммутатор
доступаКорпоративныепользователи ЦОД
Пользователь
проводной сети
филиала
802.1X
Cisco
ISE
До TrustSec 2.0:
Сценарий для беспроводной сети -
Аутентификация, профилирование и
оценка состояния с помощью
различных элементов
•Аутентификация 802.1X
•Оценка состояния – NAC Posture
•Гостевой доступ – NAC Guest
С TrustSec 2.0
Сценарий для беспроводной сети–
•Унификация сервисов с помощью ISE
•Профилирование (после аутентификации, без MAB)
•Оценка состояния
• До Wireless 7.0 MR1 – PEP в транзитном
режиме (без COA или перенаправления URL)
• После Wireless 7.0 MR1 – WLC
•Гостевой доступ (локальная web-аутентификация)
© 2011 Cisco and/or its affiliates. All rights reserved. 12
Дата выпуска:
июль 2011 г.
Cisco ASR 1000
• Возможность распространения
сведений об идентификации на
уровне агрегации WAN для
сценариев доступа
партнера/контрактора или
VPN "сеть-сеть"
• Функции – SXP, SGT
SGACL802.1X/MAB/web-аут.
Finance (SGT=4)
HR (SGT=10)
Я контрактор.
Группа: HR.
Контрактор
и HR
SGT = 100
WAN
Уровень агрегации или ЦОД
Cisco Catalyst 6K (SUP-2T)
• Расширение возможности по
обеспечению выполнения
политики безопасности на базе
поддержки идентификации
TrustSec на Nexus 7K и Cat 6K
(SUP2T). Реализация SGACL на
Nexus 7K и Catalyst 6K (SUP-2T)
• Функция – SGACL
ASR
ISR
SXP
© 2011 Cisco and/or its affiliates. All rights reserved. 13
Комоненты решения VDI
• Назначение ролей SGT– любой коммутатор Catalyst с поддержкой различных режимов
аутентификации (Multi-Auth)
• Коммутатор обеспечения выполнения SGACL – Catalyst 6K или Nexus 7K
• Два варианта:
1. Пользователь сопоставляется “известной” VM путем статического задания
o Саппликант – аутентификация машины с помощью встроенного саппликанта на
сервере
2. Пользователь сопоставляется “любой” VM
o Anyconnect (с RDP) – перехват учетных данных пользователя (для RDP) для 802.1X
SGACL
Finance (SGT=4)
HR (SGT=10)
Я контрактор.
Группа: HR.
ЦОД
Клиентcкий ПК с
клиентом RDC
RDP RDP
Назначение
роли SGT
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Шифрование MACSec
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1XAnyConnect
3.0
Администратор
(Finance)
Администратор
(Finance)=
Необходимо шифрование
Аутентификация
прошла успешно!
ISE 1.0
MACSec в действии
Cat3750X
Поддерживается уже сейчас:
• Шифрование MACSec в ЦОД между коммутаторами
Nexus 7000
• Шифрование канала от AnyConnect до Catalyst 3KX (MKA)
TrustSec 2.0 привносит:
• Шифрование каналов между коммутаторами: Catalyst 3K-X,
6500 или Nexus 7000
• Для шифрования используется SAP, а не MKA
&^*RTW#(*J^*&*sd#J$%UJ&(
Catalyst 6500 или Nexus 7000
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Шифрование каналов между коммутаторами для обеспечения целостности данной во всей сети
Cisco Catalyst 6K (SUP-2T)
• Шифрование канала
между коммутаторами
• Модуль SUP 2T (июль
2011 г.)
Cisco Catalyst 3KX
• Шифрование канала
между коммутаторами
• 1 Гбит/с –
существующие порты
• 10 Гбит/с – новый
сервисные модули 3KX
(июль 2011 г.)
Cisco Catalyst 4K
• Шифрование канала
между коммутаторами
• 4500: восходящие каналы
Sup7-E и линейные карты
47xx (2 пол. 2011 календ.
года)
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1X
Саппликант
с
MACSec
Гость
Устройства с поддержкой MACSec
(новые средства шифрования
каналов между коммутаторами)
&^*RTW#(*J^*&*sd#J$%UJWD&(
Незашифрованные данные
Канал MACSec
Шифрование Расшифрование
Пользователь,
прошедший
процедуру
аутентификации
© 2011 Cisco and/or its affiliates. All rights reserved. 16
Развертывание системы контроль доступа без
перепроектирования сети и без управления IP-адресами
механизм авторизации следующего поколения (группы безопасности)
Масштабируемый контроль доступа, не зависящий от
топологииl
Контроль доступа, зависящий от топологии
Включение пользователя в “группу безопасности”
Рабочиесерверы
Контрактор Серверыразработки
VLAN 1Сотрудник
Уникальная 16-битная
(65K) метка –
уникальная роль
GO
Сегментация – VLAN, ACL, VRF
Метки групп безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 17
Шифрование MACSec (элемент TrustSec) обеспечивает
соответствие нормативным требованиям
DD D D D D D D D
VV V V V V V V V
DD D D D D D D D
VV V V V V V V V
шифрование следующего поколения на уровне 2 (MACSec)
Зашифрованное взаимодействие
Данные и видео передаются по сети без шифрования
Злоумышленник
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Бизнес-задача Решение с помощью TrustSec 2.0
Необходимо упростить развертывание
системы контроодля доступа в
соответствии с ролевой моделью
Встроенный диспетчер политик и клиент:
• Identity Services Engine с встроенными средствами
профилирования, поддержки гостевого доступа и
оценки состояния
• Anyconnect 3.0 с поддержкой 802.1X/CSSC,
MACSec, RDP и много другого
Необходимо убедиться, что оконечные
устройства не станут источником
уязвимостей
• 802.1X с оценкой состояния
• Упрощение беспроводной доступа с обеспечением
оценки состояния на WLC
Необходимо идентифицировать
беспроводные устройства
(например, iPADы)
Средство профилирования (Profiler) с поддержкой
WLAN. Поддержка авторизации на основе 802.1X
(отсутствие MAB, гостевой доступ)
Меня волнуют вопросы
конфиденциальности данных в локальной
сети
Средства MACSec для шифрования каналов между
коммутаторами (Cat 3K и Cat 6K), предв. версия для
Cat 4K
Требуется масштабируемая среда контроля
доступа (ролевая модель) для сети,
поддерживающая существующие
платформы ЦОД
Поддержка SGT/SGACL на SUP 2T для Cat 6K
Требуется внедрить масштабируемое
решение для контроля доступа (ролевая
модель) внутри сети с возможностью
распространения на среды
партнеров/подрядчиков
Платформы ASR серии 1000 с поддержкой TrustSec
(SXP/SGT) на уровне агрегации WAN
Требуется обеспечить работу
существующей масштабируемой системы
контроля доступа в виртуальной среде
Сценарий SGA протестирован в среде VDI
Interop, май
2011 г.
Live Las
Vegas, июль
2011 г.
© 2011 Cisco and/or its affiliates. All rights reserved. 20
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Все зарегистрированные узлы ISE
Все источникиатрибутов
Статистика, отказы
Показатели ошибок и распределений
Числовые метрики
Распределение устройств
Распределение профилей
Обзор тревог
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Фильтр
Цветовое выделение строк
с ошибками
Профиль
Соответствие
© 2011 Cisco and/or its affiliates. All rights reserved. 23
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Узлы Типы: Admin, Policy, Monitor, Inline
Admin: Основной (Primary) / вторичный (Secondary)
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Более 90 встроенных профилей для устройств Cisco и других производителей!
Иерархические группы профилей!
Создание собственных профилей
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Правила по умолчанию для большинства типовых сценариев
доступа к сети
Протоколы по умолчанию
Вставка / копирование/ удаление правил
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Порядок использования систем идентификации
© 2011 Cisco and/or its affiliates. All rights reserved. 28
Выбор порядка использования систем
идентификации
Вариантыаутентификации
© 2011 Cisco and/or its affiliates. All rights reserved. 29
Первое соответствие -или- соответствие нескольким критериям
Включение/выключение/мониторинг
Добавление/удаление/копирование
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Именованные простые или составные условия
© 2011 Cisco and/or its affiliates. All rights reserved. 31
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Категории отчетов
Просмотр каталогов сеансов
Выбор и настройка
© 2011 Cisco and/or its affiliates. All rights reserved. 33
34© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Identity Services Engine (ISE) 1.0
> Более 90 профилей, готовых к использованию!
Полностью новое решение!
• Несколько сенсоров – гибкое профилирование
• Полномасштабный мониторинг и отслеживание действий
• Полномасштабное решение(проводная + беспроводная сеть)
• Встроенные средства аутентификации/авторизации
• Другие сервисы (гостевой доступ, оценка состояния, регистрация устройств)
• Гибкость развертывания
Пол
ьзо
вате
ль
Ме
сто
пол
о-
же
ни
е
Вр
ем
я
Устр
ой
ств
о
Атр
ибут
X
ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 35
• Обнаружение и профилирование(классификация) всех оконечных устройств с помощью сетевых механизмов
• Мониторинг идентификации для новых/измененных атрибутов идентификации оконечных устройств, что гарантирует повторное профилирование
• Ведение базы данных всех оконечных устройств сети
• Профилирование на основании данных
•Netflow
•CDP
•DHCP и DNS
•MAC
•SNMP
•RADIUS
© 2011 Cisco and/or its affiliates. All rights reserved. 36
Портал спонсора NGS 2.0x ISE 1.0
Портал гостевого доступа
Уведомление гостя
Формирование отчетов
Поддержка биллинга
Примечание:
Гостевой доступ к беспроводной сети – только локальная web-аутентификация, нет оценки состояния.
Гостевой доступ к проводной сети– локальная и централизованная web-аутентификация. Оценка
состояния только при централизованной web-аутентификации.
Сервер гостевого
доступа• Самостоятельная регистрация
• Доступ предоставляется
спонсором
• Регистрация устройств
Портал спонсора• Настраиваемый портал
• Создание одной/нескольких учетных
записей
• Спонсор задает группу/систему
идентификации
• Ограничения профилей по времени
• Уведомление пользователя
о параметрах учетной записи
(email, распечатка, SMS)
Портал гостевого
доступа• Смена пароля
• Смена пароля при первом входе
• Загрузка клиента для оценки
состояния
• Самообслуживание
• Регистрация устройств
Поддерживается
Не поддержи-
вается
© 2011 Cisco and/or its affiliates. All rights reserved. 37
1. При запуске браузера гость перенаправляется на портал гостевого доступа ISE.
ISE Guest Server
2. Гость вводит учетные данные, предоставленные спонсором
3. Учетная запись проверяется в точке принятия решений ISE(данные сравниваются с данными, хранящимися в системе идентификации при гостевом доступе)
Система идент.
при гостевом
доступе
URL-REDIRECT
© 2011 Cisco and/or its affiliates. All rights reserved. 38
© 2011 Cisco and/or its affiliates. All rights reserved. 39
© 2011 Cisco and/or its affiliates. All rights reserved. 40
© 2011 Cisco and/or its affiliates. All rights reserved. 41
© 2011 Cisco and/or its affiliates. All rights reserved. 42
• Проводная сеть – оценка состояния только при централизованной web-аутентификации
• Беспроводная сеть:
• До выпуска ПО Wireless 7.0 MR1 – PEP в режиме транзитной передачи (без COA или URL redirect)
• После выпуска ПО Wireless 7.0 MR1 – с использованием WLC
NAC Server
Auth
Функциональные возможности NAC ISE 1.0
Клиент NAC agent NAC Agent
Аутентификация Kerberos 802.1X
Оценка состояния Opswat Opswat
Исправление состояния SNMP RADIUS
Варианты сегментации VLAN VLAN, DACL, SXP/SGT
NAC Manager
VLAN для коррекции
Полный доступ к сети
Auth
ISE
Оценка состояния
с использованием NAC
Оценка состояния
с использованием ISE
© 2011 Cisco and/or its affiliates. All rights reserved. 43
Policy > Policy Elements > Conditions > Posture • Файл
• Реестр
• Антивирус/антишпионское ПО
• Сервис
• Составные условия (предварительно настроенные)
• Составные условия (антивирус/антишпионское ПО)
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Унифицированный интерфейс доступа для SSL-VPN, IPSec и 802.1X (для проводной и беспроводной сети)
Поддержка MACSec / MKA (802.1X-REV) для шифрования данных в ПО(производительность ограничена ЦП оконечного устройства)
Оборудование с поддержкой MACSec(сетевой адаптер) повышает производительность AnyConnect 3.0
Для TrustSec:
• 802.1X – головным устройством является коммутатор, ASA не требуется.
Вопросы лицензирования анализируются в настоящее время (STBU)
• Аппаратное шифрование – требуется AnyConnect и оборудование, поддерживающее
MACSec: (Intel 82576 (Gigabit Ethernet), Intel 82599 (10 Gigabit Ethernet), набор
микросхем Intel ICH10 - Q45 Express (1GbE на материнской плате) (настольные ПК с
таким адаптером поставляются Dell, Lenovo, Fujitsu и HP.)
• Программное шифрование – требуется AnyConnect, создается нагрузка на ЦП ПК
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Режим "Should-Secure"• Key Management = MKA
• Encryption = MACSec
• Port Authentication Exception
Policy = Prior to
Authentication Initiation
12
3
4
© 2011 Cisco and/or its affiliates. All rights reserved. 46
4646
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1XAC3.0
Администратор
(Finance)
Обычный
саппликант
на ноутбуке
Администратор
(Finance)Переход в незащищенную VLAN
LAN
LAN
Администратор
(Finance)=Требуется шифрование
Процедура аутентификации
пройдена успешно!
Шифрование MACSec
Администратор
(Finance)=
Требуется шифрование
Процедура аутентификации
пройдена успешно!
Без саппликанта
MACSec Все данные передаются в открытом виде, их можно читать
802.1X
Использование AnyConnect 3.0
Использование обычного саппликанта
Cat3750
X
Cat3750
X
© 2011 Cisco and/or its affiliates. All rights reserved. 47
Шифрование 802.1AE Шифрование 802.1AEШифрование 802.1AE
NDAC
Предотвращение подключения к сети оконечных и сетевых устройств
злоумышленников
Средства контроля доступа к сети (NDAC) обеспечивают надежную взаимную
аутентификацию устройств перед подключением к структуре коммутации
Конфиденциальность и целостность данных в проводной Ethernet-сети в масштабах всей корпоративной инфраструктуры
Предотвращение прослушивания трафика, модификации данных и добавления данных
Решение, основанное на стандартах Сильное шифрование (128-битный AES-GCM), одобрено NIST, на скорости передачи
данных в среде 10 Гбит/с Основано на стандартах IEEE, включая протокол согласования ключей MACSec Key
Agreement (MKA)
Гибкость развертывания Посегментное шифровани обеспечивает возможность применения существующих
технологий анализа пакетов (IPS, МСЭ, кэширование, оптимизация/ускорение работы приложений в WAN, мониторинг сети)
Работа в смешанных средах (IP-телефоны, настольные компьютеры)
802.1AE
802.1X-
2010
Шифро-вание
Исходя-щийтрафик
Расшиф-рование
входящийтрафик
Расшиф-рование
Шифро-вание
В системе обрабатываются пакетыв расшифрованном виде
© 2011 Cisco and/or its affiliates. All rights reserved. 48
&^*RTW#(*J^*&*sd#J$%UJ&(
• Шифрование “на уровне WLAN / VPN” (128-битн. AES GCM) в проводной сети
• Утвержденные NIST * алгоритмы шифрования (IEEE802.1AE) и управления ключами (IEEE802.1X-2010/MKA)
• Поддержка работоспособности средств аудита трафика (сервисов безопасности)
802.1X
Саппликант
с MACSec
Гостевой
пользователь
Устройства
с поддержкой
MACSec
&^*RTW#(*J^*&*sd#J$%UJWD&(
Данные в незашифрованном виде
Канал MACSec
Шифро-
вание
Расшифро-
вание
Пользователь,
прошедший
процедуру
аутентификации
* National Institute of Standards and Technology Special Publication 800-38D
Примечание: в настоящее время Cat3750-X поддерживает
MACSec только для нисходящих каналов
Защита канала передачи данных с помощью MACSec
© 2011 Cisco and/or its affiliates. All rights reserved. 49
Media Access Control (MAC) Security
• Соответствует стандарту IEEE 802.1AE
• Позволяет создать среду аутентификации на базе IEEE 802.1X
• Распространяет ключи шифрования с помощью протокола согласования ключей (MKA) (IEEE 802.1X-Rev-2010)
Защита взаимодействия доверенных компонентов по локальной сети
Сильное шифрование в каждом сегменте (независимо от других сегментов)
Поэтапное развертывание учтено при проектировании
• Сначала защищаются самые уязвимые устройства
• Минимальное воздействие на сеть
© 2011 Cisco and/or its affiliates. All rights reserved. 50
• Распростра-
нение мастер-
ключей
• Контроль
доступа
• Обмен
ключами
• Шифрование
• Обмен
ключами
• Шифрование
Устройство
аутентификации
Сервер
аутентификации
Саппликант
AnyConnect Catalyst 3560-X / 3750-X
Зашифр. канал 802.1AE Канал L3
Саппликант. Клиент, функционирующий на оконечном устройстве и отправляющий учетные данные для
аутентификации. Должен поддерживать согласование ключей MACSec и шифрование пакетов. Шифрование может
выполняться программно и аппаратно (если шифрование поддерживается сетевым адаптером)
Устройство аутентификации. Коммутатор, который транслирует учетные данные (поступившие от саппликанта) на
сервер аутентификации и обеспечивает выполнение политики доступа к сети. Должен поддерживать согласование
ключей MACSec и шифрование пакетов. Требуется оборудование, поддерживающее MACSec на скорости передачи
данных.
Сервер аутентификации. RADIUS-сервер, проверяющий учетные данные (поступившие от саппликанта) и
определяющий права доступа, предоставляемые саппликанту. Распространяет ключевой материал мастер-ключей
на саппликант и коммутатор. Может определять политику MACSec, применяемую для конкретного оконечного
устройства.
© 2011 Cisco and/or its affiliates. All rights reserved. 51
Сокра-
щение
Термин Определение
MKA MACSec Key Agreement
Протокол согласования
ключей MACSec
Протокол MKA, определенный в стандарте IEEE 802.1X-
2010, является протоколом согласования ключей,
который поддерживает обнаружение соседей,
поддерживающих MACSec, и согласование MACSec-
ключей.
SAP Security Association Protocol
Протокол SAP
Протокол согласования ключей, схожий с MKA (стандарт
находится на этапе рассмотрения).
MSK Master Session Key
Основной сеансовый ключ
Создает в процессе взаимодействия EAP, саппликант и
сервер аутентификации используют MSK для генерации
CAK.
CAK Connectivity Association Key
Ключ подключения
Генерируется на основе MSK. Ключ CAK – долгосрочный
мастер-ключ, который используется для генерации всех
остальных MACSec-ключей. Саппликант вычисляет CAK
на основе EAP. Сервер аутентификации передает ключ
CAK на коммутатор в последнем RADIUS-сообщении в
конце процесса аутентификации IEEE 802.1X.
SAK Secure Association Key
Ключ защиты подключения
Генерируется на основе CAK. Ключ SAK представляет
собой ключ шифрования, который используется
саппликантом и коммутатором для шифрования
определенного сеанса. Коммутатор вычисляет SAK на
основании CAK и посылает его саппликанту в
защищенном виде. Саппликант использует CAK для
расшифровки ключа SAK, полученного от коммутатора.
© 2011 Cisco and/or its affiliates. All rights reserved. 52
EAPoL: EAP Request-Identity
EAPoL: EAP-Response: AliceRADIUS Access-Request
[AVP: EAP-Response: Alice]
EAP Success
RADIUS Access-Accept
[AVP: EAP Success]
[AVP: EAP Key Name]
[AVP: CAK]
RADIUS Access-Challenge
[AVP: EAP-Request: PEAP]
Аутентификация
и распростра-
нение мастер-
ключей
Согласование
сеансовых
ключей
Устройство
аутентификации
Сервер
аутентификацииСаппликант
1
2
Сеанс
защищен3
EAPoL-MKA: Key Server
EAPoL-MKA: MACSec Capable
EAPoL-MKA: Key Name, SAK
EAPoL-MKA: SAK Installed
Зашифр. данные
Зашифр. данные
AES-GCM-128
IEE
E 8
02.1
X
MK
AM
AC
Sec
© 2011 Cisco and/or its affiliates. All rights reserved. 53
• Позволяет сети использовать все существующие средства анализа сетевого трафика
• Модель "врезки в кабель"
-Пакеты зашифровываются на исходящем интерфейсе
-Пакеты расшифровываются на входящеминтерфейсе
-Устройство обрабатывает пакеты в открытом виде
Шифрование (128-битн. AES GCM) Шифрование (128-битн. AES GCM) 128bit AES GCM Encryption
011010010001100010010010001010010011101010
1
0110100100011000100100100001001010001001001000101001001110101
Открытые данные01101001010001001
0
01101001010001001
0
ASIC
Расшифрование
на входящем
Шифрование
на исходящем
© 2011 Cisco and/or its affiliates. All rights reserved. 54
MACSecMACSec
Расшиф-рование
Шифро-вание
Шифро-вание
AnyConnect
Расшиф-рование
Шифро-вание
“Нисходящий” “Восходящий”
Посегментное шифрование поддерживает интеллектуальные сетевые механизмы
• “Нисходящий” MACSec защищает трафик между коммутатором доступа и конечным пользователем.
• “Восходящий” MACSec (между коммутаторами) защищает трафик между сетевыми устройствами (коммутаторами уровней доступа и распределения)
Поддержка шифрования восходящего канала будет скоро представлена на рынке
• Восходящие и нисходящие сеансы MACSec не зависят друг от друга.
• Весь трафик зашифрован на канальном уровне.
• Каждый коммутатор может анализировать весь трафик (в открытом виде).
• Коммутатор может применять любые политики (QoS, анализ пакетов, NetFlow, ...) при этом уровень защищенности не снижается.
© 2011 Cisco and/or its affiliates. All rights reserved. 55
• Must-Not-Secure: передается и принимается только незашифрованный трафик. Кадры MKA игнорируются.
• Should-Secure: при успешном завершении работы MKA передается и принимается только зашифрованный трафик. При ошибке или тайм-ауте MKA допускается передача/прием незашифрованного трафика.
• Must-Secure: при успешном завершении работы MKA передается и принимается только зашифрованный трафик. При ошибке или тайм-ауте MKA трафик не передается и не принимается.
Три варианта политик для коммутатора и саппликанта
Несоответствие политик коммутатора и саппликанта может стать причиной неполадок
• “should-secure” – настройка коммутатора по умолчанию
• ACS позволяет назначить исключения из политик с помощью RADIUS-атрибута Cisco-av-pair=subscriber:linksec-policy
• AnyConnect 3.0 поддерживает “should-secure” с помощью конфигурации "Port Authentication Exception Policy" (“Prior to Authentication Initiation”)
Рекомендация: повсеместное использование “should-secure”
© 2011 Cisco and/or its affiliates. All rights reserved. 56
Политика
саппликанта
Политика
коммутатора
Подключение
Не MACSec-Capable
или Must-Not-Secure
Не MACSec-Capable
или Must-Not-Secure
Незащищенное
Should-Secure Не MACSec-Capable
или Must-Not-Secure
Незащищенное
Must-Secure Не MACSec-Capable
или Must-Not-Secure
Заблокировано
Не MACSec-Capable
или Must-Not-Secure
Should-Secure Незащищенное
Should-Secure Should-Secure Защищенное
Must-Secure Should-Secure Защищенное
Не MACSec-Capable
или Must-Not-Secure
Must-Secure Заблокировано, если не
настроена рнезервная
политика MACSec
Should-Secure Must-Secure Защищенное
Must-Secure Must-Secure Защищенное
© 2011 Cisco and/or its affiliates. All rights reserved. 57
• Поддержка нескольких оконечных устройств на одном порту коммутатора определяется оборудованием!
Режим Host-Mode MACSec Примечания
Single-host Д Данные зашифрованы. Телефоны Cisco, выполняющие обход по
CDP, могут принимать/отправлять незашифрованный трафик.
Multi-domain auth
(MDA)
Д Возможно независимое шифрование данных и голоса (по
отдельности и вместе).
Multi-auth Н При выборе режима “should-secure” оконечные устройства смогут
передавать незашифрованный трафик. При выборе режиме
“must-secure” процедура аутентификации завершится ошибкой.
Multi-host Д После аутентификации первого устройства будут поддерживаться
несколько MAC-адресов, при этом будет разрешен только один
зашифрованный сеанс. Режим предназначен только для
шифрования каналов между коммутаторами.
3750-X / 3560-X
4500 / 6500Host-Mode MACSec Notes
TBD TBD TBD
© 2011 Cisco and/or its affiliates. All rights reserved. 58
Преимущества Ограничения
Конфиденциальность
Сильное шифрование на уровне 2 для
защиты данных.
Поддержка на оконечных устройствах
Не все оконечные устройства
поддерживают MACSec
Целостность
Средства проверки целостности
обеспечивают защиту данных при
передаче
Поддержка на уровне сети
Для шифрования на скорости передачи
данных нередко требуется
модернизация оборудования
коммутатора доступа
Гибкость
Возможность избирательного включения с
помощью централизованной политики
Интеграция технологий
MACSec может повлиять на настройку
других технологий на уровне доступа
(например, IP-телефон)
Интеллектуальные сетевые механизмы
Посегментное шифрование обеспечивает
возможность анализа, мониторинга,
пометки и пересылки трафика в
соответствии с политиками.
© 2011 Cisco and/or its affiliates. All rights reserved. 59
• Традиционные способы авторизации доступа заставляют задумываться:
Перед развертывание требуется подробно проработать инфраструктуру…
Недостаточная гибкость для современного стиля ведения бизнеса
Проект по внедрению контроля доступа может привести к перепроектированию всей сети
• Могу ли я создавать новые сети VLAN или диапазоны IP-
адресов и управлять ими?
• Как обрабатывать DHCP-обновления в новой подсети?
• Как управлять списками ACL на интерфейсе VLAN?
• Работают ли протоколы PXE или WOL в среде VLAN?
• Что будет с суммаризацией маршрутов?
• Кто будет управлять списками ACL?
• Что будет при изменении IP-адресов получателей?
• Хватит ли объема TCAM коммутатора для обработки всех
запросов?
802.1X/MAB/Web Auth
Назначение
VLAN
Загрузка
ACL
© 2011 Cisco and/or its affiliates. All rights reserved. 60
Уникальная 16-битная (65K) метка сопоставлена уникальной роли
Соответствует правам отправителя: пользователя, устройства или
сущности
Ставится на входящем интерфейсе домена TrustSec
SGACLSG
Security Group
Tag
Фильтрация (SGACL) на исходящем интерфейсе домена
TrustSec
IP-адрес не требуется для ACE (IP-адрес связан с SGT)
Политика (ACL) поступает с центрального сервера
политик (ACS) или настраивается локально на устройстве
TrustSec
Независимость политики от топологии
Гибкость и масштабируемость политики (на основании ролей)
Централизованное управление политиками для динамического управления
Фильтрация на исходящем интерфейсе: снижение воздействия
на объем TCAM
Преимущества
© 2011 Cisco and/or its affiliates. All rights reserved. 61
Пользователь
(отправитель)
S1
• (число отправителей) * (число получателей) * число разрешений = число ACE
• Отправитель (S1) * получатели (S1~S6) * разрешения (4) = 24 ACE для S1
• Отправители (S1~S4) * получатели (S1~S6) * разрешения (4) = 96 ACE для S1~4
D1
D2
D3
D4
D5
D6
S2
S3
S4
Серверы
(получатель)
permit tcp S1 D1 eq https
permit tcp S1 D1 eq 8081
permit tcp S1 D1 eq 445
deny ip S1 D1
Sales
HR
Finance
Managers
IT Admins
HR Rep
Контроль доступа S1 - D1
Число элементов ACE растет
по мере увеличения числа
элементарных разрешений
© 2011 Cisco and/or its affiliates. All rights reserved. 62
Пользователь
S1
• (число SG отпр.) * (число SG получ.) * число разрешений = число ACE
• SGT10 * SGT получ. (3) * разрешения (4) = 12 ACE для SGT MGMT A
• SGT отпр. (4) * SGT получ. (3) * разрешения (4) = 48 ACE
D1
D2
D3
D4
D5
D6
S2
S3
S4
Серверы
Группа
безопасности
(отправитель)
MGMT A
(SGT 10)
HR Rep
(SGT 30)
IT Admins
(SGT 40)
Группа
безопасности
(получатель)
Sales SRV
(SGT 500)
HR SRV
(SGT 600)
Finance SRV
(SGT 700)
MGMT B
(SGT 20)
SGACL
© 2011 Cisco and/or its affiliates. All rights reserved. 63
• Предположим, что используется существующая технология МСЭ,отправитель не указывается (source = Any)
• 400 пользователей, 30 сетевых ресурсов, 4 разрешения на каждый
Традиционный ACL на МСЭ
Any (отпр.) * 30 (получ.) * 4 разр. = 120 ACE
Традиционный ACL на интерфейсе VLAN маршрутизатора или МСЭ,
где можно использовать подсети для указания группы отправителя
4 VLAN (отпр.) * 30 (получ.) * 4 разр. = 480 ACE
SGACL
4 SGT (отпр.) * 3 SGT (получ.) * 4 разр. = 48 ACE
Для каждого IP отправителя на порт при загружаемом ACL
1 группа (отпр.) * 30 (получ.) * 4 разр. = 120 ACE
© 2011 Cisco and/or its affiliates. All rights reserved. 64
• при аутентификации 802.1X
• при MAB
• при web-аутентификации
• или задаваться статически: IP-SGT
Мобильные устройства/устройства в сети комплекса зданий
• путем задания соответствия IP-SGT вручную на устройстве
TrustSec
• путем сопоставления IP-порт
ЦОД/серверы
Каждое устройство, подключаемое к домену TrustSec, классифицируется с
помощью SGT
SGT может посылаться на коммутатор с использованием RADIUS:
Полная интеграция с решениями Cisco
для идентификации
Каждый сервер, связанный с доменом TrustSec, классифицируется с
помощью SGT
SGT обычно назначаются серверам:
Как и при назначении
VLAN или dACL, SGT
назначается в процессе
авторизации
© 2011 Cisco and/or its affiliates. All rights reserved. 65
Создание политики SGT
Врач (SGT x)
Финансы (SGT x)
Все
(SGT x)
Врач
(SGT x)
Финансы
(SGT x)
Сервисы
(SGT x)
SGT
получателя
SGT
отправителя
Web WebНет
доступа
Web
Файлы/SMB
Web
SSH
RDP
Файлы/SMB
Web
SSH
RDP
Файлы/SMB
Полный
доступ
SSH
RDP
Файлы/SMB
Все (SGT x)
Web
SSH
RDP
Файлы/SMB
Web
SSH
RDP
Файлы/SMB
Полный
доступ
SSH
RDP
Файлы/SMB
© 2011 Cisco and/or its affiliates. All rights reserved. 66
Политика SGACL на ACS / ISE
1
2
3
67© 2011 Cisco and/or its affiliates. All rights reserved.
Пример политики авторизации 802.1Xдля назначения SGT
Имя правила
Условие
Профиль
авторизации
SGT
© 2011 Cisco and/or its affiliates. All rights reserved. 68
Поддержка компонентов SGT/SGACL
Платформы Функции Версия ОС Примечания
Коммутатор Nexus серии
7000
SGACL, 802.1AE +
SAP, NDAC, SXP,
IPM, EAC
Требуется лицензия Cisco NX-OS®5.0.2a.
Advanced Service Package
Устройство
реализации,
уровень распред.
ЦОД
Коммутатор Catalyst 6500E
(Supervisor 32, 720, 720-
VSS)
NDAC (No SAP),
SXP, EAC
Cisco IOS® 12.2 (33) SXI3 или более
поздняя версия. Образ IP Base K9
Коммутатор доступа
(комплекс
зданий/ЦОД)
Коммутаторы Catalyst 49xx SXP, EAC Cisco IOS® 12.2 (50) SG7 или более поздняя
версия.
Коммутатор доступа
(ЦОД)
Коммутатор Catalyst 4500
(Supervisor 6L-E or 6-E)
SXP, EAC Cisco IOS® 12.2 (53) SG7 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Коммутаторы Catalyst
3560-X / 3750-X
SXP, EAC Cisco IOS® 12.2 (53) SE2 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Коммутаторы Catalyst
3560(E) / 3750(E)
SXP, EAC Cisco IOS® 12.2 (53) SE1 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Блейд-модули для
коммутаторов Catalyst 3x00
SXP, EAC Cisco IOS® 12.2 (53) SE1 или более поздняя
версия.
Коммутатор доступа
(ЦОД)
Сервисный модуль Cisco
EtherSwitch для ISR
SXP, EAC Cisco IOS® 12.2 (53) SE1 или более поздняя
версия. Образ IP Base K9.
Коммутатор доступа
(филиал)
Cisco Secure ACS Централизованное
управление
политиками TrustSec
ACS версии 5.1 с лицензией TrustSec™.
Поддерживается устройство CSACS1120
или ESX Server 3.5/4.0
Сервер политик
EAC: контроль доступа оконечных устройств (назначение SGT)
© 2011 Cisco and/or its affiliates. All rights reserved. 69
Использование SGACLШаг 1. Определение политики
ACS5.x
Сервер CСервер BСервер A Служба
каталогов
Уровень доступа
(компл. зданий)
ЦОД
Сеть с поддержкой
TrustSec
Польз. A Польз. CШаг 1
AD User Role SG
T
User A Contractor 10
User B Finance 20
User C HR 30
ACS/ISE заполняет политику SGT
Server Role IP SG
T
HTTP
Server
Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
На ACS настраивается политика, все оконечные
устройства сопоставляются SGT в соответствии
с политикой
© 2011 Cisco and/or its affiliates. All rights reserved. 70
Использование SGACLШаг 2. Назначение SGT
ACS5.x
Сервер CСервер BСервер A Служба
каталогов
Уровень доступа
(компл. зданий)
ЦОД
Сеть с поддержкой
TrustSec
Польз. A Польз. C
111222333
Шаг 2
AD User Role SG
T
User A Contractor 10
User B Finance 20
User C HR 30
SGT назначаются роли и
привязываются к IP-адресу
Server Role IP SG
T
HTTP
Server
Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
При использовании 802.1X / MAB / web-аутентификации
SGT назначаются в политике авторизации по RADIUS
Устройства доступа анализируют ARP- и/или DHCP-
запросы, выделяют MAC-адрес при аутентификации и
привязывают назначенную SGT к IP-адресу
Для серверов IP-адреса статически сопоставлены SGT
на коммутаторе доступа или динамически получаются
от ACS/ISE с помощью IPM
User A Contractor 10
User C HR 30
802.1X / MAB / Web-аут.
3010
© 2011 Cisco and/or its affiliates. All rights reserved. 74
• Назначение SGT (оконечное устройство)
802.1X
MAB
Web-аутентификация
• Назначение SGT (ЦОД)
Статически: IP-SGT
Сопоставление порта SGT
• Функционирование SGACL
Обеспечение выполнения на исходящем интерфейсе ЦОД
Реализация для групп серверов (ЦОД)
• Контроль доступа устройств к сети
• Пересылка таблицы IP-SGT по SXP
• L2-шифрование (802.1AE )
Сеть и оконечные устройства
Nexus 7010
Nexus
7010
Cat6500 Cat4500
802.1AE
802.1AE
ACS5.1SQL-серверWEB-серверФайловый
сервер
SXP/NDAC
SXPNDAC
Cat6500Cat4500
SXP
NDAC
PVLAN
Служба
каталогов
Cat35750/E
NDAC
SXP SXP
Mirage on ISR
Уровень доступа (компл. зданий)
Уровень доступа (филиал)
ЦОД
SXP
Назначение SGT
(802.1X, MAB, Web-аут.)
Реализация SGACL
© 2011 Cisco and/or its affiliates. All rights reserved. 75
ISR с EtherSwitch
Nexus 7010
Cat6500 Cat4500
ACS5.1SQL-серверWEB-серверФайловый
сервер
Cat6500
Служба
каталогов
Cat35750/E
Уровень доступа
(компл. зданий)
ЦОД
Назначение SGT
802.1X, MAB, Web-аут.
Реализация SGACL
Cat4500
SXP
Уровень доступа (филиал)
SRC \ DSTServer A
(111)
Server B
(222)
User A (10) Permit all SGACL-B
User B (20) Deny all SGACL-C111 222
2010
TrustSec обеспечивает защиту сетей
комплексов зданий и сетей ЦОД
Поддержка уровня доступа сетей
комплексов зданий и сетей ЦОД
SGT отправителя назначается
с использованием 802.1X, MAB или
Web-аутентификации
SGT сервера назначается с
использованием IPM или статического
сопоставления
Таблица соответствия IP-SGT
передается между коммутатором
уровня доступа комплекса зданий и
устройством ЦОД с поддержкой
TrustSec
Сценарий 1
© 2011 Cisco and/or its affiliates. All rights reserved. 76
ISR с EtherSwitch
или автономный
коммутатор
Nexus 7010
Cat6500 Cat4500
ACS5.1SQL-серверWEB-серверФайловый
сервер
Cat6500
Служба
каталогов
Cat35750/E
Уровень доступа
(компл. зданий)
ЦОД
Назначение SGT
802.1X, MAB, Web-аут.
Реализация SGACL
Cat4500
SXP
Уровень доступа (филиал)
SRC \ DSTServer A
(111)
Server B
(222)
User A (10) Permit all SGACL-B
User B (20) Deny all SGACL-C111 222
20
Поддержка уровня доступа филиала
SGT отправителя назначается с
использованием 802.1X, MAB или
Web-аутентификацией
SGT сервера назначается с
использованием IPM или статического
сопоставления
Таблица соответствия IP-SGT
передается между коммутатором
уровня доступа сети филиала и
устройством ЦОД с поддержкой
TrustSec
Сценарий 2
Развертывание TrustSec в локальной
сети филиала и в сети ЦОД
© 2011 Cisco and/or its affiliates. All rights reserved. 77
ISR с EtherSwitch
или автономный
коммутатор
Nexus 7010
Cat6500 Cat4500
ACS5.1SQL-серверWEB-серверФайловый
сервер
Cat6500
Служба
каталогов
Cat35750/E
Уровень доступа
(компл. зданий)
ЦОД
Назначение SGT с
использованием IPM
или статически
Реализация SGACL
Cat4500
Уровень доступа (филиал)
SRC \ DSTServer A
(111)
Server B
(222)
Server C
(333)
Server A
(111)--- SGACL-A Permit all
Serer B
(222)Permit all --- SGACL-B
Server C
(333)Deny all Deny all --- 111 222
Сопоставление IP-адресов серверов и
SGT на Nexus 7000 вручную или с
помощью IPM (Identity Port Mapping на
ACS для централизации управления
SGT)
Сегментация для сервера,
подключенного к тому же коммутатору
доступа, может быть реализована с
помощью Private VLAN на коммутатор
уровня распределения
Сценарий 3
Развертывание TrustSec в ЦОД для
сегментации трафика серверов
333
SXP
© 2011 Cisco and/or its affiliates. All rights reserved. 78
• Динамическая реализация политик между серверами в рамках одной изолированной VLAN(Private VLAN)
• Динамическая реализация политик между серверами в рамках различных VLAN
Nexus 7000
222
Public-SVR
333
App-SVR
SGT/DGT App-SVR (222) Public-SVR (333)
App-SVR (222) Permit Deny
Public-SVR (333) Deny Permit
Транк
802.1q
Вторичная VLAN
(изоляция)200
Основная VLAN10P
P Порт в режиме
Promiscuous
SVI(VLAN 10)Варианты
реализацииSGACL
Cat4K, 6K
© 2011 Cisco and/or its affiliates. All rights reserved. 79
Средства контроля доступа устройств к сети (NDAC)
обеспечивают надежную взаимную аутентификацию (EAP-
FAST) для создания доверенного домена
Учитываются только SGT от доверенного узла
После аутентификации выполняется согласование ключей и
криптоалгоритмов для автоматического шифрования с
помощью протокола SAP (механизм, регламентируемый
802.11i)
Протокол SAP будет заменен 802.1X-REV
Доверенное устройство получает сведения о доверительных
отношениях и политиках с сервера ACS Server
Предотвращение подключения устройств злоумышленника,
формирование доверенной сетевой структуры
коммутации для обеспечения целостности SGT
Автоматизация согласования ключей и криптоалгоритмов для
надежной защиты данных (802.1AE )
Преимущества
NDAC
© 2011 Cisco and/or its affiliates. All rights reserved. 80
Аутентификация Seed-устройств
ACS5.x
NDAC проверяет результаты идентификации
устройства перед тем, как включить
устройство в список доверенных!
Первое устройство, проходящее аутентификацию на
ACS, называется Seed-устройством TrustSec
Seed-устройство выполняет функции устройства
аутентификации для саппликантов подключенных к
нему устройств
Процесс определения ролей определяет роли
устройства аутентификации и саппликанта
Для NDAC используется EAP-FAST/MSCHAPv2
Учетные данные (включая PAC) хранятся
в хранилище ключей устройства
ACS5.xSeed-
устройство
EAP-FAST over
RADIUS
Авторизация
(PAC, Env Data,
политика)
© 2011 Cisco and/or its affiliates. All rights reserved. 81
ACS5.x
При подключении устройства к соседнему
круг доверия домена TrustSec расширяется
Если устройство не подключено к ACS напрямую,
устройство считается не-Seed-устройством
Первое из соседних устройств, подключившееся
к серверу ACS, получает роль устройства
аутентификации
В случае ничьей в качестве устройства
аутентификации выбирается устройство с
меньшим MAC-адресом
Seed-
устройство
ACS5.xSeed-устройство
Устр. аут.
Supplicant
802.1X NDAC
Не-Seed -устройство
Саппликант
802.1X NDAC
Не-Seed -устройство
Устр. аут.Саппликант
802.1X NDAC
Аутентификация не-Seed-устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 82
• Протокол Security Association Protocol (SAP) используется для автоматического согласования ключей и криптоалгоритмов
• Согласование начинается после успешной аутентификации/ авторизации для NDAC
• Взаимодействие по протоколу идет только между саппликантом и устройством аутентификации (без участия ACS)
• После взаимодействия по протоколу SAP сеансовые ключи саппликанта и устройства аутентификации совпадают
• Сеансовый ключ используется для шифрования трафика
• Сеансовый ключ вычисляется на основе ключа PMK(полученного устройствами от ACS в процессе аутентификации) и случайных чисел (обмен регламентируется SAP)
• Периодически выполняется обновление сеансового ключа
© 2011 Cisco and/or its affiliates. All rights reserved. 83
Сетьс поддержкой
TrustSecСаппликант
ACS 5.0
Определениероли
EAPOL (EAP-FAST)
Устр.аутент.
RADIUS
ПолитикаПолучение политики
Согласованиеключей
Постоянное обновление ключей
SAP
Туннель EAP-FAST
Аутентификация устройства
Разрыв туннеля EAP-FAST
© 2011 Cisco and/or its affiliates. All rights reserved. 84
SXP: поддержка платформ
• Для реализации меток SGT требуется аппаратная (ASIC) поддержка
• Протокол SGT eXchange Protocol (SXP) используется для обмена таблицами сопоставления IP-SGT между устройствами с поддержкой TrustSec, а также устройствами, не поддерживающими TrustSec
• Устройства без аппаратной поддержки TrustSec могут получать атрибуты SGT от ACS для пользователей или устройств, прошежших аутентификацию, а затем пересылать таблицы сопоставления IP-SGT на устройства с поддержкой ролевой модели контроля доступа TrustSec для добавления меток и реализации списков контроля доступа
• В основе лежит TCP с MD5
• SXP поддерживает односегментный режим работы или многосегментный режим работы
• В настоящее время SXP поддерживается на платформах Catalyst 6500,4500/4900 и Nexus 7000
• SXP ускоряет развертывание SGACL, не требуя дорогостоящей модернизации оборудования для поддержки TrustSec
© 2011 Cisco and/or its affiliates. All rights reserved. 8585
Cisco TrustSec обеспечивает управление доступом в соответствии с политикой,а также позволяет создать сеть, учитывающую результаты идентификации и предоставляющую сервисы обеспечения целостности и конфиденциальности данных