Embed Size (px)
Citation preview
Управление доступом к внутренним
ресурсам для внешних и внутренних
пользователей
Владимир Илибман
Менеджер по продуктам безопасности
CISSP, CCSP
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
О чем пойдет речь
Потребность в управлении доступом
Архитектура безопасного доступа
Контролируем доступ в сеть для ПК
Сетевые устройства
Управляем гостевым доступом
Управляем мобильными устройствами
Метки безопасности
2
Эволюция доступа Эпоха сетей без границ
Кампусная
сеть ЦОД.
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотрудники
(Продавцы)
VPN
Сотрудники
(Финансы)
Контрактники Гости IP камера
Телеработа
VPN
VPN
Мобильные сотрудники
Сотрудники с WiFI-
устройствами
Системы
безопасности
Принтеры
(Бухгалтерия)
POS-
терминалы
Что такое управление доступом ?
Кто вы?
802.1X (или другие методы) аутентифицируют пользователя
1 Защита от посторонних
Куда можно ходить?
Основываясь на аутентификации пользователь помещается в VLAN
2
Разграничение внутреннего
доступа
Какой тип сервиса получаете?
Пользователь получает персональные сервисы (ACL и т.д.)
3 Привязка к IT-
сервисам
Что вы делаете?
Идентификация пользователя и локация используется для логирования и трекинга
4
Видимость
происходящего
Архитектура безопасного доступа Cisco TrustSec
Коммутаторы Межсетевые
экраны
Identity Services Engine (ISE)
AnyConnect или встроенный в
ОС клиент 802.1x
Клиенты
Применение
политик доступа
Идентификация и
управление
политиками доступа
WiFI Маршрутизаторы
ISE – ключевой управляющий элемент архитектуры
Веб-браузер Мобильные
устройства IP-устройства
Как работает управление доступом ?
Identity Services Engine
Сетевая
инфраструктура Клиенты
5. Передача
политики доступа
по протоколу Radius
(ACL,VLAN, SGT)
2. Передача идентификационных
атрибутов по
протоколам:
Radius, 802.1x, MAC, Web…
1. Подключение в сеть
4. Авторизация 3. Идентификация/
Аутентификация
В теории все просто
6. Учет доступа
На практике существует множество сценариев
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7
• Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности
• Какие сценарии управления доступом могут возникать в типичной организации
На примере одной организации рассмотрим:
Обобщенный образ : Гудвей-X
Банк,
Ритейлер,
Промышленный холдинг,
Агрохолдинг,
Страховая компания,
Оператор связи.
Айк –
IT-менеджер
отвечает за работу сети
Зак –
Менеджер
по информационной
безопасности
Компания
Гудвей-X -
В компании Гудвей-X назрела проблема
Внешний аудит показал, что в компании не существует
контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и
поручил Айку внедрить контроли.
Бизнес-кейс
Решение: Система контроля доступа 802.1X
Описание задач для Айка:
1. Необходимо проводить учет подключений в сеть
2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
До аутентификации
?
USER
?
Закрытый режим 802.1X
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
Выглядит также как и без 802.1X
Пользователь: Маша
“Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS.
Задача решена!” подумал Айк.
Authenticated Machine: XP-Mary-45
Закрытый режим 802.1X
Что случилось дальше ?
@ Гудвей-X, ДО появления 802.1x…
Я не могу соединиться с сетью.
Она говорит “Аутентификация не
пройдена” и я не знаю что делать, через два часа у
меня презентация…
Я протестировал дома конфигурацию,
все выглядит отлично. Завтра я включаю 802.1x …
Включает 802.1X
Звонки в поддержку увеличились на 200%
Айк
Чего не хватало Айку?
Некорректно внедренный 802.1x – это
система управления предотвращения доступа
Необходим режим мониторинга
Должен существовать метод анализа удачных и неудачных соединений
Управление доступом лучше внедрять поэтапно
Внедрение 802.1x лучше начинать с:
Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
Low Enforcement Mode (Режим малого воздействия 802.1x)
Какие уроки мы извлекли?
Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
Traffic always allowed
Pre-AuthC Post-AuthC
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1 для Гудвей-X
Режим малого воздейтствия
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, Интернет, внутренний портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
Role-Based ACL Permit Some
Pre-AuthC Post-AuthC
SGT
Отсутствие отчетности со стороны сапликанта
Когда все в порядке – пользователь не в курсе.
Но когда все перестает работать…
— Пользователь видит “Authentication Failed”
сообщение и всё.
— Отсутствие видимости. Только звонок в
службу поддержки
Решение: Сторонние сапликанты
Cisco’s AnyConnect Supplicant
— Предоставляет утилиту для отчетов (DART)
— Детализированные журналы с клиентской
стороны
16
Чего не хватало Айку? Какие уроки мы извлекли?
Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
Чего не хватало Айку?
Решение: Identity Services Engine (ISE)
Какие уроки мы извлекли
18
Чего не хватало Айку? -
Детализация удачных и неудачных попыток доступа в Cisco ISE
19
20
Чего не хватало Айку?
Детальный вид активных сессий и наложенных политик в Cisco ISE
Чего не хватало Айку?
Неаутентифицируемые устройства
Вот о каких устройствах мы забыли
У них нет поддержки 802.1x
— Либо он на них не настроен
— Принтеры, IP Телефоны, Камеры, СКУД
Как же с этим быть?
Решение? Не использовать 802.1х на портах с принтерами
Решение: MAC Authentication Bypass (MAB)
Какие уроки мы извлекли?
--------------------------------------------------------------------------------------
-
MAC Authentication Bypass (MAB)
Список MAC адресов, которым разрешено “пропускать”
аутентификацию
Это замена Dot1X?
Ни за что!
Это скорее всего “Исключения из правил”
В идеале: Все устройства аутентифицированы.
Список может быть локальным (на коммутаторах) или
централизованным на Radius-сервере ( Cisco ISE)
Можете подумать о преимуществах централизованной модели?
Что же это?
Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на свой ноутбук ?”
Требуется автоматизировать построение списка устройств!
Эволюция бизнес-кейса
Решение есть - Профилирование
PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
Технология профилирования
Профилирование на ISE использует анализ поведения и сигнатуры
Запросы, используемые для сбора данных
Как мы классифицируем устройство?
25
RADIUS
DHCP
DNS
HTTP SNMP Query
NetFlow
DHCPSPAN SNMP Trap
NMAP
Детектирование и классификация устройств
26
ISE Policy Server
VPN
Cisco Prime
ISE пассивно и активно собирает данные служебных протоколов об устройствах
CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS
HTTP/DHCP/RADIUS
SNMP
DNS
NMAP/SNMP
NMAP
DHCP/NetFlow
Примеры профилей
• Политики профиля используют условия для определения устройства.
• Политики основаны на принципе наилучшего совпадения
Is the MAC
Address from
Apple
DHCP:host-
name
CONTAINS iPad
IP:User-Agent
CONTAINS iPad
Profile Library
Назначить
MAC Address к
группе “iPad”
Я вполне
уверен что
устройство iPAD
Сенсор устройств
Распределенный сбор данных с централизованным анализом
28
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k только)
• Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones)
• Не зависит от топологии
Поддержка сенсоров
• 3560/3750 (excludes LAN Base)
• 3560C/CG (excludes LAN Base)
• 4500 (excludes LAN Base)
• 2960-XR
• 2960-X (in roadmap)
• Wireless Controllers (DHCP, HTTP)
Check Release Notes!
Распределенный сенсор
ISE
CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP
Уникальность
сети
ISE 1.2
Сервис обновление профилей Feed Service
Пополняем библиотеку профилей из разных источников:
• Cisco
• Вендора
• Партнёры
Нужно понять насколько устройства соответствуют политике безопасности
Эволюция бизнес-кейса
Мы имеем идентификацию и профилирование устройства…
Можно ли получить еще информации о состоянии ?
Бизнес кейс продолжает эволюцию
Требования:
1. Сотрудники Гудвей-X должны использовать корпоративные рабочие
станции.
2. Все корпоративные станции должны иметь обновленный и
работающий Trend Micro Anti-Virus.
3. Все контрактники должны иметь установленный любой антивирус.
Решение: Давайте выясним
Оценка состояния
Состояние (Posture) = статус соответствия политике безопасности
компании.
Пропатчена ли Windows ОС до необходимого уровня?
Установлен ли Антивирус? А базы обновлены?
Анти шпионское ПО установлено? Обновлены ли его базы?
Теперь мы можем расширить Идентификацию пользователя включив
его статус (Posture).
Удовлетворяет ли станция политике безопасности?
*выход Q2 CY14
Posture
AnyConnect 3.2*
Агенты для
проверки
статуса: Аплеты NAC Agent
• Microsoft Updates
• Service Packs
• Hotfixes
• OS/Версия браузера
ISE – Проверка состояния
• Antivirus Установка / Сигнатуры
• Antispyware Установка / Сигнатуры
• Файловые данные
Files
• Сервисы
• Приложения/
Процессы
• Ключи реестра
Проверка состояния
Исправление (Remediation)
Действие по исправлению недостающих или просроченных
компонент состояния.
Может вызывать действия:
— Системы корпоративного патчинга системы (ex: BigFix, Altiris…)
— Windows Software Update Service (WSUS)
— Anti-Virus product Update Services (LiveUpdate.exe, etc.)
А что если пользователь не пройдет проверку?
Карантин • Помещение в отдельную подсеть с ограниченными правами
(например, только выход в Интернет)
RADIUS Change of Authorization (CoA)
Quarantine
VLAN CORP
VLAN
1 Клиент провалил проверку состояния и
был помещен в карантинный VLAN
2 Клиент исправляет недочеты и
отчитывается как: Posture=Compliant
3 ISE использует RADIUS CoA
для реаутентификации
4 Клиент реаутентифицирован и
помещен в CORP VLAN
Динамический контроль сессии с сервера политик Реаутентификация сессии
Завершение сессии
Завершение сессии со сбросом
порта
Отключение хостового порта
Запрос к сессии
на активные сервисы
на полноту идентификации
специфичные запросы
Активация сервиса
Деактивация сервиса
Запрос к сессии
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк:
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и автоматизировать процесс гостевого подключения!
Wireless APs
LAN Internet
Требования гостевых пользователей
WLC
Айк хочет унифицировать подключения
гостей и контрактников в сеть
И при этом, чтобы все было безопасно !
Предоставление: Гостевые аккаунты по средствам спонсорского портала
Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал
Отчетность: По всем аспектам гостевых учетных записей
Guests
Cisco ISE
Компоненты полного жизненного цикла гостя
Аутентификация/Авторизация Посредством веб-портала ISE
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные атрибутов
Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
ISE Template Builder
Инструмент для создания кастомизированных порталов
ISE 1.2
Полный аудит сетевой активности гостей
42
ISE Policy Server
VPN Журналирование на межсетевом экране активности и отправка информации на ISE для корреляции.
Guest IP accessed http://www.google.com
Guest IP accessed http://facebook.com
Guest IP triggered network AV alert
Guest IP triggered Infected endpoint event
Guest IP …
Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует, чтобы мы разрешили
ему доступ в сеть, потому как это
устройство помогает ему в работе”
Айк
Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто из
сотрудников имеет
право на BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
•Как поддерживать
увеличившиеся кол-во
устройств ?
•Кто будет настраивать ?
•Кто будет согласовывать
с безопасностью ?
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям
Что предлагает ISE для управления персональными устройствами
Автоматическая настройка
множества типов устройств: iOS (post 4.x)
MAC OSX (10.6, 10.7)
Android (2.2 and later)
Windows (XP, Vista, Win7K, Win8)
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-ID
Поддержка всех типов
подключений
Занесение
устройств в
“черный” при
хищении,
увольнении
Самообслуживание
персональных устройств
для авторизированных
сотрудников
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT Гибкие настройки - кому и и какие устройства можно подключать
User OS Supplicant
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
Распространение корпоративного ПО
Инвентаризация
Управление
(Backup, Remote Wipe, etc.)
Контроль использования
сетевых ресурсов Классификация/ Профилирование
Регистрация
Безопасный сетевой доступ (Wireless, Wired, VPN)
Управление сетевым доступом на основе
контекста
Настройка профилей
безопасности устройства
User <-> Device Ownership Соответствие политике
(Jailbreak, Pin Lock, etc.)
Шифрование данных
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Позиционирование ISE и MDM
Пользователи и IT совместно управляют устройством и доступом
Пользователь управляет устройством IT управляет доступом в сеть
Управление затратами
ISE 1.2 поддерживает интеграцию c MDM ISE MDM
Manager
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
MDM проверка соответствия
Соответствие на основании:
General Compliant or ! Compliant status
— OR
Вкл. Шифрование диска
Парольная защита вкл.
Jailbreak устройства
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит через определенные промежутки времени.
Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
MDM –источник информации для ISE
Micro level
Macro level
Инициация действий через MDM
52
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM сервер
(пример: удаленно стереть устройство)
Портал мои устройств
ISE Каталог устройств
• Edit
• Reinstate
• Lost?
• Delete
• Full Wipe
• Corporate Wipe
• PIN Lock
Options
Добавим мощи в Dot1X
Айк: -“При изменение IP-серверов нужно менять
ACL”
Зак: -“Для создания моей политики моей мечты
нужно 800 000 строчек ACL ?”
Какие технологии есть ?
VLAN, ACL или ….
Механизмы авторизации
Сложности внедрения авторизации При использовании политик по VLAN, IP-адресам
54
• Могу ли я создавать и управлять новыми VLAN либо адресным
IP пространством?
• Что мне делать с DHCP при смене VLAN у пользователя?
• Как управлять ACL на VLAN интерфейсе?
• Кто будет управлять ACL?
• А что если destination адреса изменятся?
• Хватит ли у коммутатора памяти для обработки всех правил?
Традиционные средства авторизации оставляют вопросы к размышлению:
Не так гибок к изменениям, требуемых бизнесом
Проекты контроля доступа заканчиваются редизайном всей сети
802.1X/MAB/Web Auth
ACL
Download
VLAN
Assignment
Secure Group Access
Понятие включает и описывает термины:
Secure Group TAG (SGT’s)
Secure Group ACL’s (SGACL’s)
Когда пользователь заходит в сеть ему назначается метка (TAG)
(SGT), которая обозначает его роль
Эта метка переносится по всей сети
Сетевые устройства и устройства безопасности применяют SGACL’s
основываясь на матрице доступа:
Контроль доступа - независимый от топологии и IP-адресации
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Контроль доступа на основе группы безопасности
SGA позволяет пользователям:
Сохранить исходный логический дизайн на уровне доступа и исходую IP-
адресацию
Изменять / применять политики в соответствии с требованиями сегодняшнего
дня
Устанавливать политику централизованно на сервере управления
Egress
Enforcement
SGACL
SGT=100
I am an employee
My group is HR HR SGT = 100
HR (SGT=100)
Ingress Enforcement Finance (SGT=4)
802.1X/MAB/Web Auth
56
DC Access
WLC FW
Inline SGT Tagging
CMD Field
ASIC ASIC
Optionally Encrypted
SXP
SRC: 10.1.100.98
IP Address SGT SRC
10.1.100.98 50 Local
Hypervisor SW
SXP IP-SGT Binding Table
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
(No CMD)
Теггирование Ethernet-фреймов (data plane): Если устройства поддерживают SGT в железе
SXP (control plane): Обмен информации о метках между cетевыми устройствами в отдельном протоколе
IP Address SGT
10.1.100.98 50
Campus Access Distribution Core DC Core EOR
SXP
Enterprise
Backbone
Распространение меток по сети
57
Распространение меток и политик безопасности
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254 6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000
Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
SGACL политика ISE для свичей
59
Контроль доступа на основе группы
безопасности для фаерволов ( Cisco ASA)
60
Source Tags Destination
Tags
Сценарий 1:
Управление доступом пользователей в ЦОД
Users/
Devices Switch Router DC FW DC Switch
Development
Servers
Enforcement
SGT Propagation
Production
Servers ISE Directory
Classification
Employee
(Managed asset)
Employee
(Registered BYOD)
Production
Servers
Internet
Access
So
urc
e
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Logical
View
Policy
View
Employee
(Unknown BYOD)
Development
Servers
ENG VDI System
Сценарий 2:
Сегментация кампусной и филиальной сети
Switch Router DC FW DC Switch
Development
Servers
Enforcement
Production
Servers ISE Directory
Classification
LoB1 Production
Users LoB1 Developers
Protected Assets
Guests Internet Access
LoB1 Production
Users
Malware
Blocking DENY PERMIT DENY
PERMIT
Collab Apps
LoB1 Developers
So
urc
e PERMIT
Collab Apps DENY PERMIT DENY
Malware
Blocking
DENY DENY DENY PERMIT Malware
Blocking
DENY PERMIT DENY DENY DENY
LoB = Line of Business
Policy
View
Logical
View
Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all
LoB2 Employees
LoB2 Employees
Guest
Сценарий 3:
Сегментация центра обработки данных
Users/
Devices Switch Router DC FW DC Switch
Development
Servers
Enforcement
SGT Propagation
HR
Database ISE
Classificatio
n
Production
Servers
Production
Servers
HR
Database
Protected Assets
PERMIT DENY
Storage
PERMIT DENY
Development
Servers
So
urc
e
DENY DENY PERMIT PERMIT
DENY PERMIT PERMIT DENY
PERMIT PERMIT PERMIT PERMIT
Logical
View
Policy
View Development
Servers
HR
Database
Storage
Эволюция бизнес кейса:
Как еще я могу использовать ISE ?
Можно ли использовать информацию от ISE в
системе SIEM, которую мы внедряем ?
Айк
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Экосистема Cisco ISE и SIEM/ CTD
• Обогащаем SIEM/ Lancope информацией о пользователях и устройствах
• Обеспечиваем единое окно для реагирования
• Открытый интерфейс для интеграции (PxGrid в ISE 1.3)
Сеть производит карантин для
пользователей и устройств
SIEM ПРИМЕНЯЕТ ДЕЙСТВИЕ
Пользователь, тип устройства,
состояние,
авторизация, местоположение
ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
ISE 1.2
Platform eXchange Grid (pxGrid) Обмен контекстом безопасности между устройствами
67
p
Эволюция бизнес кейса:
Модели и дизайны для
внедрения ISE
Устройства ISE
Cisco Secure Network Servers
На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x
SNS-3415-K9 and SNS-3495-K9
New
ISE 1.2
Узлы и роли ISE
Роли – одна или
несколько:
• Администрирование
(Admin)
• Мониторинг (MnT)
• Сервис политик
(PSN)
Единый ISE узел
(устройство или VM)
ИЛИ
ISE Inline
Posture
ISE Policy
Service Monitoring
Admin
Отдельный узел в
режиме Inline для
оценки состояния
(только
устройство)
Архитектура ISE
Устройства Ресурсы Применение
политики
Админ Внешние
данные
Сервис
политик Просмотр/
Настройка
Политик
Запрос
атрибутов
Запрос на
доступ Доступ к
ресурсам
Журналирование
Запрос/ ответ
контекста
доступа
Мониторинг
Просмотр
журналов/ отчетов
Журналирование
Журналирование
End-Point Сетевые устройства
Campus
A
Branch A Branch B
AP AP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
Admin (P)
MnT (P)
PSN
HA Inline
Posture Nodes
• Все сервисы запущены на обеих нодах
• Одна нода основной админ резервный M&T
• Вторая нода основная мониторинг, вторичный
админ
• Максимум устройств зависит от платформы:
• 33x5 = Max 2k endpoints
• 3415 = Max 5k endpoints
• 3495 = Max 10k endpoints
AD/LDAP
(External ID/
Attribute Store)
Базовая централизованное внедрение ISE
Максимальное количество end-point до 10,000
72
IPN
IPN
Admin (S)
MnT (S)
PSN
PSN
Data
Center A DC B
Branch A Branch B
AP
AP AP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
802.1X
Switch
802.1X
Admin (P)
MnT (P) Policy Services
Cluster
HA Inline
Posture Nodes
• Выделенные ноды управления
• Pri. Admin / Sec MNT
• Pri MNT / Sec Admin
• Выделенные сервера политик
• До 5 PSNs
• Не более 10000 устройств поддерживается
• 3355/3415 as Admin/MnT = Max 5k endpts
• 3395/3495 as Admin/MnT = Max 10k endpts
Distributed
Policy Services
AD/LDAP
(External ID/
Attribute Store)
AD/LDAP
(External ID/
Attribute Store)
Базовое распределенное внедрение
Максимум end-point= 10,000 / Максимум 5 ISE PSNs
73
PSN PSN
PSN PSN
IPN
IPN
Admin (S)
MnT (S)
Data
Center A DC B
Branch A Branch B
AP
AP AP
WLC
802.1X
AP
Non-CoA
ASA VPN
Switch
802.1X
Switch
802.1X
Switch
802.1X
WLC
802.1X
Switch
802.1X
Admin (P)
Admin (S)
Monitor (P)
Monitor (S)
Policy Services Cluster
HA Inline
Posture Nodes
• Выделенные узлы управления
• Pri. Admin
• Sec. Admin
• Pri MNT
• Sec Admin
• Выделенные сервера политик
• До 40 PSNs
• Up to 100k endpoints using 3395 Admin and MnT
• Up to 250k endpoints using 3495 Admin and MnT
Distributed
Policy Services
AD/LDAP
(External ID/
Attribute Store)
AD/LDAP
(External ID/
Attribute Store)
Полностью распределенное внедрение
Максимум end-point= 250,000 / Максимум 40 ISE PSNs
74
MnT PAN PAN MnT
PSN PSN PSN PSN
PSN PSN
IPN
IPN
PSN
Поэтапная стратегия внедрения ISE
• Сфера внедрения: Лаба > Пилот > Промышленное внедрение
• Режимы внедрения : Monitor > Authentication > Enforcement
• Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc.
Вовлекайте всех заинтересованных лиц с первого дня проекта
Visibility ISE Installation NAD Configuration Profiling Monitor
Classification Agentless
MAB/Profiling Unmanaged
WebAuth Managed 802.1X Posture Desktop OSs
Enforcement Assessment Segmentation
Production Availability Performance Operations
Архитектура управления доступом TrustSec
www.cisco.com/go/trustsec
SXP
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Catalyst® Switch
Cisco ISE
WiFI пользователь
Кампусная сеть
Проводной пользователь
Cat 6K
Применение политик
MACsec
Profiler Posture Guest Services RADIUS
Применение политик
Применение политик
Cisco®
Wireless Controller
Site-to-Site VPN user WAN
ISR G2 с встроенным коммутатором
ASR1K
SXP
AnyConnect
Named ACLs dVLAN
dACLs / Named ACLs dVLAN
SGACLs
Текущая версия TrustSec 4.0 !!
TrustSec Design bHow-To Guides
Secure Access Blueprints
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
77
Подведем итоги
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
Что же такое Identity Services Engine?
ISE это больше - чем просто RADIUS
ISE
Building an Identity-Based Network Architecture
Ad-Hoc Couplings Versus Systems Approach
83
VS
Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cisco.com
www.cisco.com/go/trustsec
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Спасибо
Contacts:
Name
Phone +380
E-mail [email protected]
