Сценарии использования

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.

Сценарии использования

Руслан Иванов

системный инженер-консультант [email protected]

© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2

BYOD («принеси свое собственное устройство») Повышение производительности, низкая стоимость, дополнительная

защита

Единообразная общесетевая политика управления Управление разграничением доступа

Управление безопасным доступом – подключение устройств

Прозрачность устройств (профилирование), оценка состояния, управление

с учетом контекста, аутентификация, авторизация, учет (AAA)

Проблема: Определение типов устройств, подключенных к сети

Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,

Проблема: Обеспечение согласованных топологически

независимых политик при обмене данными E2E

Cisco TrustSec и управление политиками

ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ

УСЛУГИ ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ

ВЫСШЕЕ

ОБРАЗОВАНИЕ СРЕДНЕЕ

ОБРАЗОВАНИЕ

Проблема: Поддержка BYOD без увеличения затрат на сопровождение ИТ

Автоматическая регистрация устройств, загрузка приложений, оценка состояния

устройств на портале без участия пользователя


Сервисы аутентификации

Сервисы авторизации

Управление жизненным циклом

гостя

Сервисы профилирования и

BYOD

Сервисы оценки состояния

TrustSec SGA

Мне нужно разрешать подключение к сети

только определенных пользователей и

устройств

Мне нужно, чтобы пользователи и устройства

пользовались соответствующими сетевыми

сервисами

Мне нужно разрешить гостям доступ в сеть

и управлять режимом их работы

Мне нужно разрешать и блокировать

использование

iPad в моей сети (BYOD)

Мне нужно, чтобы в моей сети

были неинфицированные устройства

Мне необходим масштабируемый способ

реализации политики доступа в сети

Единая

сеть

Единая

политика

Единое

управление


ISE Управление доступом к

устройствам

MDM Управление безопасностью

мобильных устройств

• Профилирование устройств

• Реализация BYOD

• Управление доступом к


• Совместимость устройств

• Управление мобильными

приложениями

• Обеспечение

безопасности хранящихся

данных

Новый способ

В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но

при этом сеть распознает их!

Практические решения на сегодняшний день

MDM: Диспетчер мобильных устройств

ISE и MDM Обеспечение совместимости мобильных

устройств

• Принудительная адаптация к MDM

персональных устройств,

используемых для работы

• Регистрируемый, но ограниченный

доступ персональных устройств, не

находящихся под управлением MDM

• Изоляция несовместимых устройств

на основе политики MDM

В ближайшем будущем Будущие практические

решения (~ 2 квартал 2013)

Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. 5

• Регистрация устройств MDM посредством ISE

o Незарегистрированные клиенты перенаправляются на страницу регистрации MDM

• Ограниченный доступ

o Клиентам, не соответствующим требованиям, предоставляется ограниченный доступ с учетом состояния оценки MDM

• Агент MDM

o Соответствие требованиям

o Оценка установленных приложений

устройств c

• Работа устройства из ISE

• Очистка данных на клиенте в случае кражи устройства

Интерфейс

управления

ISE

Интерфейс

управления MDM

Проверка

регистрации

устройства

Информация

о состоянии

устройства Устройство,

пытающееся

получить доступ

к сети

Платформа

MDM

Установка приложений на

устройство (AnyConnect и

Jabber)


• Пользователь подключается по защищенному идентификатору SSID

• PEAP: Имя пользователя/ Пароль

• Перенаправляется на портал регистрации

• Пользователь регистрирует устройство

Загружает сертификат

Загружает настройки запрашиваемого устройства

• Пользователь повторно подключается при помощи EAP-TLS

Защищенный BYOD

Персональные

ресурсы

Создат

ь

Точка доступа

ISE

Контроллер беспроводной локальной сети

AD/LDAP


• Пользователь подключается к открытому идентификатору SSID

• Перенаправляется на портал WebAuth

• Пользователь вводит учетные данные сотрудника или гостя

• Гость подписывает правила пользования сетью (AUP) и получает гостевой доступ

• Сотрудник регистрирует устройство

Загружает сертификат

Загружает настройки запрашиваемого устройства

• Сотрудник повторно подключается при помощи EAP-TLS

Создат

ь

Защищенный BYOD

Открытый BYOD

Персональные

ресурсы

Точка доступа

ISE

Контроллер беспроводной локальной сети

AD/LDAP


Access-Accept

Известное

устройство Нет

MyDevices

Регистрация устройства в ISE

Да

нет

ISE Portal

Регистрация устройства в MDM Да

Зарегистрировано

в MDM

http://findicons.com/files/icons/808/on_stage/128/symbol_check.png


Пример формирования отчета ISE с MDM

Причина неисправности

Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен



Тип оконечного


Число

сессий

Число

клиентов

Длительность

сессии

(часы)

Трафик

(Мбайт)

%

сессий

%

клиентов

% от

длительности

сессии

% от

трафика

Неизвестное

устройство

Устройство HP

Устройство Cisco

Клиенты по типам оконечных устройств

Устройство HP = 2

Устройство Cisco = 2

Неизвестное устройство = 27


SXP

Nexus® 7K, 5K and 2K

Data Center

Cisco®

Catalyst® Switch

Cisco

ISE

Wireless

user

Campus

Network Wired

user Cat 6K

Egress Enforcement

MACsec

Profiler Posture

Guest Services RADIUS

Ingress Enforcement

Ingress Enforcement

Cisco®

Wireless

Controller

Site-to-Site

VPN user WAN

ISR G2 with integrated switch

ASR1K

SXP

AnyConnect

Named ACLs

dVLAN

dACLs / Named ACLs dVLAN

SGACLs


Любое устройство

Зарегистрированное устройство Корпора-тивное


Роль пользователя

и устройства Общий веб-

сервер

Новостной

портал

сотрудника

Портал

администратора

Приложение

"Карта

рабочего

времени

сотрудника"

Сервер

кредитных

карт

Незарегистрированное


Сотрудник

Руководство

Сканеры кредитных

карт


Любое устройство

Зарегистрированное устройство Корпора-тивное


Роль

пользователя

и устройства

Определение политики Общий веб-

сервер

Новостной

портал


Портал

менеджера

Приложение

"Карта рабочего

времени

сотрудника"

Сервер

кредитных

карт

Незарегистрир

ованное


Открытый SSID

Сотрудник

Корпоративный SSID

Сертификат члена группы

"Сотрудники" соответствует

оконечному устройству



Член группы "Сотрудники и

менеджеры"

Сертификат соответствует

оконечному устройству

Сканеры

кредитных карт

Credit_Card SSID

Член группы "Credit_Scanners"

Профилируется как "iphone"



Зарегистрированный

сотрудником

SSID:

Корпоративный

беспроводной доступ

Группа AD:

"Руководство"


Требуется

сертификат

Профилируется

как iPhone

Группа AD:

"Сканеры кредитных карт"

SSID:

cc-secure-wifi


Архитектура ACL

Трудность технического

сопровождения

сотен и тысяч правил

Архитектура VLAN

Проблемы

масштабирования

Высокая зависимость от

топологии

802.1X


Роль пользователя и


Маркер доступа

Незарегистрированное


(Unregist_Dev_SGT)

Сотрудник

(Employee_SGT)


(Management_SGT)

Сканеры кредитных карт

(CC_Scanner_SGT)

Политика SGA TAG

Credit_Card SSID

Член группы "Credit_Scanners"

Профилируется как "iphone"

Открытый SSID


Член группы "Сотрудники"

Сертификат соответствует оконечному

устройству


Член группы "Сотрудники и менеджеры"

Сертификат соответствует оконечному

устройству

Cisco ISE

Сотрудник

Менеджер

Финансы

кто что где когда как


Метка


Метка менеджера

Метка сканера



Метка менеджера Метка сканера




Управление доступом на основе групп безопасности

• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя

• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)

• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или

Nexus)

Менеджер

Зарегистрированное


SGT = 100

Менеджер

SGT = 100

SGACL

SRC\DST Карта учета

времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени

(SGT=4)

Сканер


(SGT=10)


Инновации

Cisco

Протокол доступа для групп безопасности

• Для передачи через ядро, не поддерживающее SGT

Менеджер

Зарегистрированное


Менеджер

SGT = 100

SGACL

SRC\DST Карта учета времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени

(SGT=4)

Сканер


(SGT=10) 10.1.100.3

SXP

IP-адрес SGT

10.1.100.3 100


Catalyst 3K Catalyst 4K

Catalyst 6K

Nexus 7K

Cat 3K (SXP)

Cat 4K (SXP)

Cat 6K Sup720 (SXP)

N7K (SXP/SGT)

N7K

(SGACL)

WLC 7.2 Nexus 1Kv

Catalyst 2K-S Nexus 55xx

ASR1K (SXP/SGT)

ISR G2 (SXP)

WLC 7.2 (SXP)

Cat 2K-S (SXP)

N1Kv (SXP) ASA (SXP)

N55xx (SGT) Cat 3K-X (SXP/SGT)

Cat6K

(SGACL)

Cat3K-X

(SGACL) ASA (SGFW)

- CY12 2H

ASR1K/ISRG2

(SGFW)

/N55xx

Cat 6K Sup2T (SXP/SGT)

Инновации

Cisco

Назначение SGT

пользователям и


Передача SGT по

сети

(Inline/SXP)

Применение

политики на основе

SGT

(SGACL/SGFW)


a

Инновации

Cisco

Функции аутентификации

Коммутатор Cisco Catalyst

Сетевое


IP-телефоны Авторизованные

пользователи

Гости Планшеты

802.1X MAB Веб-

аутентификация

Отличительные особенности

идентификации

Режим монитора

• Беспрепятственный доступ

• Без влияния на производительность

• Прозрачность

Гибкая последовательность аутентификации

• Предоставление единой конфигурации для большинства примеров использования

• Гибкие политики и механизмы отката

Полнофункциональный и

надежный стандарт 802.1X

Поддержка IP-телефонии для сред виртуальных настольных систем

• Режим одиночного узла

• Режим нескольких узлов

• Режим многократной аутентификации

• Мультидоменная аутентификация

Аутентификация важных данных и голосовых данных

• Непрерывность бизнеса в случае сбоя


Инновации

Cisco

CDP

LLDP

DHCP

MAC

Поддерживаемые платформы:

IOS 15.0(1)SE1 для Cat 3K

IOS 15.1(1)SG для Cat 4K

WLC 7.2 MR1 - DHCP только данные

ISE 1.1.1

Политика для

принтера

[поместить в VLAN X]

Политика для

личного iPad

[ограниченный доступ]

CDP

LLDP

DHCP

MAC

Принтер Личный iPad ISE

CDP

LLDP

DHCP

MAC

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей

Точка

доступа

Сценарий развертывания с использованием сенсоров устройств Cisco

СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная

классификация устройств с

использованием

инфраструктуры

Решение

ПОЛИТИКА


Тип проверки Предоставляемая информация

RADIUS (Calling-Station-ID) MAC-адрес (OUI)

Пример: 0A:1B:2C = vendor X

DHCP (host-name)

(dhcp-class-identifier)

Имя узла (по умолчанию может включать тип устройства)

Пример: jsmith-iPad

Класс или тип устройства

Примеры: BlackBerry, беспроводной IP-телефон Cisco

DNS

(обратный просмотр IP)

Доменное имя (по умолчанию имя узла может включать тип устройства)

Пример: jsmith-ipad.company.com

HTTP

(User-Agent)

Сведения об определенном типе мобильного устройства

Примеры: iPad, iPhone, iPod, Android, Win7

Сканирование NMAP

(SNMPPortsAndOS-scan )

Срабатывание оконечного устройства сканирование ОС

Пример: OS= Apple iOS

Сообщение или запрос SNMP-trap

(MAC Notification/CDP/LLDP collection)

MAC-адрес или данные об интерфейсе, данные сессии и системный запрос

Примеры: 0A:1B:2C/ARP table

Netflow (перехват потоков)

Перехват потоков для определения подходящего оконечного устройства

пятикратный трафик

Примеры: SRC/DST IP/Port/Protocol

Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS,

NetFlow, NMAP и HTTP)


• Catalyst 6K Supervisor 2T

Layer 3 SGT

VLAN to SGT mapping

Subnet to SGT Mapping

MACsec

MACsec over EoMPLS

Native Security Group Tagging

Advanced Identity features

• Catalyst 4K Supervisor 7E

Advanced Identity Features

MACSEC (switch-to-switch and switch-client)

Device Sensor

• Catalyst 3K-X

Advanced Identity features

Native Security Group Tagging

Device Sensor

MACSEC (switch-to-switch and switch-client)

• Cisco WLC 7.2 (WLC 7500/5500/2500)

SXP support

RADIUS CoA on Open SSIDs

BYOD support

Device Sensor (DHCP)

FlexConnect enhancements

Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 30


Пользователь Специальный Местоположение Тип устройства Время Оценка

состояния Метод доступа


BYOD

Управление

доступом

Целостное

решение

• Самостоятельное подключение пользователей

• Партнерство с поставщиками MDM

• Контекст: кто/ что/ как/ где

• Прозрачность: профилирование

• SGA: Независимость от топологии, язык бизнеса

• Реализация: Функции маршрутизатора, коммутатора и контроллера

• Оконечное устройство: Оценка состояния, VPN

• Хранение информации: AD, LDAP, DHCP, MDM


Поддержка

мобильных и не

мобильных

устройств

Интуитивно

понятное

управление для

конечных

пользователей

• Самостоятельная регистрация

для автоматической адаптации

• Сертификация и выделение

ресурсов запрашиваемому

клиенту

• Обнаружение устройств

• Поддержка Windows,

MAC OS X, iOS, Android

• Портал устройств пользователя –

регистрация, "черный" список, управление

• Портал для приглашения гостей

Снижение

нагрузки на

ИТ-персонал


Реализация различных политик для корпоративных и личных устройств

ИДЕНТИФИКАЦИЯ ПРОФИЛИРОВАНИЕ

VLAN 10

VLAN 20

Контроллер

беспроводной

локальной

сети

DHCP

RADIUS

SNMP

NETFLOW

HTTP

DNS

ISE

Унифицированн

ое управление

доступом

Один SSID

Аутентификация

пользователей

IEEE 802.1x EAP

Центр.

офис

2:38pm

Профилирование для

идентификации

устройств

Предоставляется

полный или

частичный доступ

Индиви-

дуальное


Оборудование

компании

Оценка состояния

устройств

Решения в

рамках

политики

4

5

6

Реализация

политик в сети

Корпоратив-

ные

ресурсы

Только

Интернет

1

2

3

Пример BYOD Идентификация

и политика

Унифицированная

инфраструктура


• Информация о ISE: http://www.cisco.com/go/ise

• Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec

• Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

• Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview

Design Guide

Design Guide

BYOD

BYOD

Technology

Сценарии использования