Сеть как сенсор и как регулятор

Михаил Кадер, инженер

[email protected]

[email protected]

Сеть как сенсор и как регулятор

Содержание

2

Введение Оценка ситуации

Кратко о технологиях TrustSec и NetFlow

Сегментирование сети

Внедрение политики

Оценка и классификация

ресурсов Моделирование

политик

Резюме

Внедрение Мониторинг

Проектирование и создание политики

Адаптивное управление сетью

Из чего состоит жизненный цикл атаки

3

Исследования

Расширение поверхности атаки Выполнение

Кража

Нарушение

Подготовка

Первичная компрометация

Первичная разведка

Проникновение (C&C)

Использование сети Определение и управление политиками, поведением и контроль угроз

4

Сеть как сенсор

Сеть как регулятор

Цикл OODA (Observation-Orientation-Decision-Action) Наблюдение-ориентация-принятие решения-действие)

5

Наблюдение

Ориентация

Принятие решения

Действие

•  Изучение обстоятельств •  Четкое руководство •  Внешняя информация •  Анализ взаимодействия со

средой

•  Культурные традиции •  Генетический фонд •  Анализ и синтез •  Новая информация •  Предыдущий опыт

Взаимодействие со средой

Сегментация: контроль угроз

6

Оценка и классификация ресурсов

Понимание поведения

Проектирование и моделирование политик

Внедрение политик

Мониторинг политик


Сегментация: контроль угроз

7

Сотрудники

Разработка

Производство

Сегментация: •  Определение релевантных и критически

важных для бизнеса зон

Микросегментация: •  Определение политики сегментации по зонам •  Пример: политика взаимодействия между

пользователями

Интеллектуальная сегментация

8

Идентификация

Классификация/восстановление

Идентификация

Политика

Данные транзакций

Lancope StealthWatch

Cisco ISE

Аналитика и политика

Сенсоры и регуляторы сети

Пользователи, ресурсы и устройства

Карантин/захват

Реклассификация/ восстановление

Маршрутизаторы NGFW

Коммутаторы

NetFlow &

TrustSec

Политика: •  Определение и классификация

ресурсов •  Создание политик •  Внедрение политик •  Адаптивное управление сетью

Аналитика: •  Идентификация ресурсов и действий •  Моделирование политик •  Мониторинг политик и действий •  Интеллектуальная реклассификация

Сеть как сенсор

9

Анализ сигналов (анализ трафика): •  Получение информации из шаблонов коммуникаций

NetFlow

10

10.2.2.2 порт 1024 10.1.1.1

порт 80

eth0

/1

eth0

/2

Время начала Интерфейс IP-адрес источника

Порт-источник

IP-адрес назначения

Порт назначения

Протокол Пакетов отправлено

Байтов отправлено

SGT DGT Флаги TCP

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN







SGT DGT Флаги TCP

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH

NetFlow = мониторинг

11

Маршрутизатор номер мониторинг потока кеш CYBER-MONITOR … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 FLOW CTS SOURCE GROUP TAG: 100 FLOW CTS DESTINATION GROUP TAG: 1010 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http …

Только одна запись NetFlow Record содержит массу ценной информации

Компоненты для мониторинга безопасности по технологии NetFlow

12

Сеть Cisco

UDP Director •  Средство копирования

UDP-пакетов •  Переадресация в разные

системы сбора данных

NetFlow Сенсор потока StealthWatch FlowSensor (VE) •  Создание данных NetFlow •  Дополнительные контекстные поля

(например, приложения, URL, SRT, RTT)

Средство сбора данных потоков StealthWatch FlowCollector •  Сбор и анализ •  До 2000 источников •  Непрерывно до 240 000 потоков/с

Консоль управления StealthWatch •  Управление и отчетность •  До 25 устойств сбора данных •  До 6 млн потоков/с на систему

Лучшие практические методики: централизованный сбор данных

Сбор данных NetFlow: «сшивание» потока

13

10.2.2.2 порт 1024 10.1.1.1

порт 80

eth0

/1

eth0

/2

Время начала IP-адрес клиента

Порт клиента

IP-адрес сервера

Порт сервера

Протокол Байты клиента

Пакеты клиента

Байты сервера Пакеты сервера SGT клиента SGT сервера Интерфейсы

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1 eth0/2

Записи однонаправленного потока

Двунаправленный: •  Запись потока в режиме диалога •  Обеспечивает простую визуализацию и анализ







SGT DGT

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010

10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100

Сбор данных NetFlow: дедупликация

14

Время начала IP-адрес клиента

Порт клиента

IP-адрес сервера

Порт сервера

Протокол Байты клиента

Пакеты клиента

Байты сервера

Пакеты сервера

Приложение SGT клиента

SGT сервера Экспортер, интерфейс, направление, действие

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in Sw1, eth1, out Sw2, eth0, in Sw2, eth1, out ASA, eth1, in ASA, eth0, out, Permitted ASA eth0, in, Permitted ASA, eth1, out Sw3, eth1, in Sw3, eth0, out Sw1, eth1, in Sw1, eth0, out

10.2.2.2 порт 1024 10.1.1.1

порт 80 Sw1

Sw2

Sw3

ASA

Плюс учет контекста и ситуационная осведомленность

15

NAT События

Известные сервера команд и управления (C&C)

Идентификатор пользователя

Приложение

Приложение и URL-адрес

URL-адрес и имя пользователя

Запись потока в режиме диалога

16

Кто Кто Что

Когда

Как

Где

•  Сбор данных с высокой возможностью масштабирования (корпоративного класса)

•  Сильное сжатие => длительное хранение •  Сохранение данных в течение

нескольких месяцев

Больше контекста

Запись потока в режиме диалога: экспортеры

17

Путь, по которому идет поток в сети

Анализ трафика:

18

Определение дополнительных IOC •  Политика и сегментация •  Установление аномального поведения в сети (NBAD)

Лучшее понимание / реагирование на IOC: •  Регистрация коммуникаций между хостами

Обнаружение •  Определение важных для бизнеса приложений и сервисов в сети

Сеть как регулятор

19

Традиционная сегментация

Голос Данные PCI Подрядчик Карантин

Уровень доступа

Уровень агрегации

VLAN Адресация DHCP-охват

Резервирование Маршрутизация Статический ACL

Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN

Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими

ACL

Стандартные способы уменьшения охвата и связанные с этим проблемы Виртуальная локальная сеть (VLAN)

•  Изолированный широковещательный домен (безопасность не обеспечена)

•  Необходимы дополнительные средства обеспечения безопасности (списки IP ACL, когда трафик уходит из сети VLAN)

•  Отсутствие управления в сети VLAN

•  Число политик = числу сетей VLAN

•  Большие затраты на обслуживание: изменение политики, изменение сети приводит к изменению VLAN, изменению ACL

Список контроля доступа IP-адресов (ACL)

•  Обычный инструмент управления (коммутаторы и маршрутизаторы)

•  Политика на основе адресов в сравнении с политикой на основе контекста

•  Подверженность человеческим ошибкам (неправильная конфигурация)

•  Большие затраты на обслуживание: новое местоположение означает использование нового ACL

access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Гибкое и масштабируемое применение политик

Коммутатор Маршрутизатор Межсетевой экран ЦОД

Коммутатор ЦОД

Автоматизация управления системой безопасности

Повышение эффективности

Упрощенное управление доступом

Технология Cisco TrustSec® Сегментация на основе бизнес-политик

Политика сегментации

Сегментация сети с помощью TrustSec

•  Сегментация на основе RBAC, независимо от топологии на основе адресов

•  Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.

•  Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом

•  Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ

•  Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети

Сегментация TrustSec обеспечивает следующие возможности:

Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора

Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы

SGT: менеджер

Применение политики

Ресурс

Управление доступом пользователя к ЦОД с помощью TrustSec

Голос Сотрудник Поставщики Гость Не соответст- вует требованиям

Тег сотрудника

Тег поставщика

Тег посетителя

Несоответствующий тег

МСЭ ЦОД

Голос

Здание 3 WLAN — Данные — VLAN

Ядро комплекса зданий

ЦОД

Основное здание Данные — VLAN

Сотрудник Не соответст- вует требованиям

Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа

Производственные серверы

Производственные серверы База данных HR

Защищенные ресурсы

РАЗРЕШИТЬ ЗАПРЕТИТЬ

Хранение

РАЗРЕШИТЬ ЗАПРЕТИТЬ

Сервера разработки Источник

ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ

ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ ЗАПРЕТИТЬ

РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ

Серверы разработки

База данных HR

Хранение

Cisco ISE

База данных HR

Сервера разработки Межсетевой

экран ЦОД Коммутатор

ЦОД


Распространение тегов SGT

Классификация

Сегментация без сетей VLAN

Сегментация ЦОД

25

Сегментация комплекса зданий с помощью TrustSec

26

Голос Сотрудник Гость Карантин

Тег сотрудника

Тег поставщика

Тег посетителя

Тег карантина

МСЭ ЦОД

Голос

Здание 3 Данные — VLAN (200)

Ядро комплекса зданий

ЦОД

Основное здание Данные — VLAN (100)

Сотрудник Карантин

Уровень доступа

Сотрудник

§  Применение политик основано на тегах группы безопасности; можно управлять коммуникациями в той же сети VLAN

Функции классификации TrustSec

27

VLAN-SGT

IP-SGT

Профиль порта

Порт-SGT

Префикс IPv4 Обучение

Префикс IPv6 Обучение

IPv6 Префикс-SGT

IPv4 Подсеть-SGT

802.1X

MAB

Веб- аутентификация

Профилиро-вание

SGT

SGT

SGT

Пул адресов-SGT

VLAN-SGT

ЦОД/ виртуализация

Пользователь/устройство/ местоположение

Уровень доступа Cisco

ISE

NX-OS/ оркестрация/ Гипервизоры

IOS/маршрутизация

Комплекс зданий и VPN-доступ

Оборудование не Cisco и устаревшее оборудование

Управление доступом бизнес-партнеров и поставщиков

Транспортный механизм SGT

WLC МСЭ

Доступ к комплексу зданий

Без поддержки SGT Ядро Ядро ЦОД

Магистральная сеть предприятия

Доступ в ЦОД

ПО гипервизора

TOR

IP-адрес SGT SRC

10.1.100.98 50 Локальный

Таблица привязки SXP IP-SGT

SXP

SGT=50

ASIC ASIC Дополнительно зашифровано

Отметка тегами SGT в сети

SGT=50

ASIC

L2 Ethernet-кадр SRC: 10.1.100.98

IP-адрес SGT

10.1.100.98 50 SXP

10.1.100.98

Отметка тегами в сети (уровень данных): Если устройство поддерживает SGT в своей микросхеме ASIC

SXP (уровень управления): Обмен между устройствами, не имеющими аппаратного обеспечения с поддержкой SGT

28

SXP: Протокол обмена SGT

•  Протокол уровня управления, который передает данные оконечных устройств IP-SGT в точку применения политики

•  IP-трафик передается как обычно — SXP находится вне потока данных

•  В качестве транспортного уровня используется протокол TCP

•  Ускорение применения тегов SGT

•  Поддержка одного и нескольких сегментов SXP (агрегация)

•  Две роли: спикер (инициатор) и слушатель (приемник)

•  Защита от зацикливания с версии 4

SW

SW RT

SW

SXP (Агрегация) SXP

SXP

Спикер Слушатель

29

Теги групп безопасности в сети

Метаданные CTS

CMD

ETYPE

ICV

CRC

Версия

Длина

CMD EtherType

Тип опции SGT

Значение SGT

Другие опции CMD

DMAC SMAC

Заголовок 802.1AE

802.1Q

PAYLOAD

16 бит (64000 SGT)

Поле, зашифрованное MACsec (дополнительно) ETHTYPE:0x88E5

•  и L2 802.1AE + TrustSec

•  Кадр всегда помечается тегом на входном порте устройства с поддержкой SGT

•  Процесс тегирования предшествует другим сервисам уровня L2, например QoS

•  Отсутствует влияние на IP MTU/фрагментацию

•  Влияние на MTU кадра L2: ~ 40 байтов (~1600 байтов с 1552 байтами MTU)

•  MACsec — опция для соответствующего оборудования

Поле кадра Ethernet

Заголовок 802.1AE CMD

ICV

(ETHTYPE:0x8909)

Тег группы безопасности

ETHTYPE:0x88E5

30

Сквозная маркировка SGT

Cat3750X Cat6500 Nexus 2248

WLC5508 ASA5585


Nexus 2248

Cat6500 Nexus 7000 Nexus 5500

Аутентификация конечного пользователя Классифицируется как сотрудник (5)

Поиск FIB MAC-адрес назначения/порт SGT 20

DST: 10.1.100.52 SGT: 20

ISE

SRC: 10.1.10.220

5SRC:10.1.10.220 DST: 10.1.100.52

SGT: 5 DST: 10.1.200.100 SGT: 30

CRM

ESXi

SRC\DST CRM (20) ESXi (30)

Сотрудник (5) SGACL-A Запретить

BYOD (7) Запретить Запретить

Классификация точек назначения CRM: SGT 20 ESXi: SGT 30

Теги L2 SGT

31

Сегментация политик SGACL •  Инициализируются новые пользователи/устройства/ серверы, например, роли «производственный сервер» и «сервер разработки»

•  Коммутатор TrustSec запрашивает политики для ресурсов, которые он защищает

•  Политики загружаются и применяются динамически

•  Результат: программно-определяемая сегментация

•  Управление всеми средствами контроля осуществляется централизованно

•  Политики безопасности отключены от топологии сети •  Никакой специальной конфигурации коммутатора не

требуется •  Единое место для проверки политик по всей сети

•  Реализация через два механизма •  Добавление тега назначения SGT в FIB, получение тега источника SGT из кадра/FIB

•  В TCAM заносится только информация о протоколе/порте

Prod_Servers Dev_Servers

Dev_Server (SGT=10)

Prod_Server (SGT=7)

SG

T=3

SG

T=4

SG

T=5


SGACL

Сегментация определяется в ISE

Коммутатор запрашивает политики для

ресурсов, которые он защищает

Коммутаторы получают только те политики,

которые им нужны

Открытость — драфт информационного стандарта SXP

33

•  Информационный стандарт ‘Source-Group Tag eXchange Protocol’ IETF https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

•  Еще лучшее согласование с другими форматами, передающими метаданные, такими как Network Services Header (NSH) •  Позволяет сопоставлять теги SGT с классом источника и классом назначения (если доступно)

•  https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01

Соответствие требованиям PCI

34

http://www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns1051/trustsec_pci_validation.pdf


35

Введение Оценка ситуации Кратко о технологиях

TrustSec и NetFlow



ресурсов

Сегментация начинается с мониторинга

36

Вы не сможете защитить то, что не видите

Кто находится в сети

и что они намерены делать?

Профилирование ISE: обнаружение пользователей и устройств

37

CDP/LLDP

RADIUS

NetFlow

HTT

P

NM

AP

Интегрированное профилирование: мониторинг в масштабе

Активное сканирование: большая точность

Веб-канал данных об устройствах: идентификация в масштабе

Сетевая инфраструктура обеспечивает локальную функцию распознавания

Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах

Производители и партнеры постоянно предоставляют обновления для новых устройств

Сенсор устройств Cisco

Сенсор устройств (функция сети)

Активное сканирование оконечных устройств

Вeб-канал данных об устройствах*

Cisco ISE

Сокращение числа неизвестных устройств в сети в среднем на 74%

Поиск сервисов и приложений

38

Поиск ресурсов на основе транзакционных данных: •  Пример. Протокол (HTTP-сервера, FTP-сервер и т. д.)

Идентификация серверов

Поиск ресурсов

39

Поиск хостов, взаимодействующих друг с другом по сети •  Оценка на основе транзакционных данных

Группы хостов: с применением ситуации

40

Виртуальный контейнер множества

IP-адресов/диапазонов с аналогичными атрибутами

Лабораторные серверы

Лучшие практические методики: внесение всех известных IP-адресов в одну или несколько групп хостов

Классификация ресурсов с группами хостов

41

•  Определяется пользователем •  Модель и процесс/приложение


42

Перечень всех хостов, взаимодействующих с HTTP-серверами


43

Полный перечень всех хостов, взаимодействующих с HTTP-серверами: кто, что, где, когда и как?

Классификация приложений

44

Классификация важных для бизнеса приложений

Моделирование важных для бизнеса процессов

45

Карта зон PCI Общий профиль системы

Взаимодействие между системами


46


TrustSec и NetFlow



ресурсов


С чего начать проект TrustSec

•  Сначала следует определить желаемые цели •  например, обеспечение управляемого доступа к производственным системам, серверам PCI и т. д.

•  Помните — большинство примеров внедрения вы сможете использовать на собственной практике

•  Снизив операционные затраты, можно получить максимальный возврат инвестиций (сначала оцените операционные затраты)

•  Определите группы ресурсов, которые затрагивает соответствующая политика •  например, производственные серверы и пользователи, разработчики и серверы разработки

•  Выберите механизмы для классификации систем (присвоение тегов SGT ресурсам)

•  В зависимости от целей политики выберите, где необходимо применять эту политику, например: •  сегментация ЦОД на производственные и непроизводственные зоны •  контроль доступа пользователей в ЦОД

•  Выберите способы передачи тегов SGT в устройства применения политик

47

Исходные предпосылки для группы безопасности

•  В отличие от традиционной сегментации/управления доступом... •  TrustSec облегчает динамическое добавление присвоенных групп позднее •  Конфигурация не влияет на инфраструктуру

•  Контролировать группы очень легко, при этом они будут удовлетворять всем требованиям политики

•  Нет необходимости усложнять группы безопасности, например, добавлять расширенные группы AD

•  Подумайте — всем ли ролям необходимо присваивать теги?

•  Помните, что членство в группах может изменяться

48

Устройство 3 Приложение 1

Унифицирован-ные

коммуникации HVAC Тарификация

Гостевые устройства

Пользователь1Приложение2

Интернет Гости Партнер





Не соответствует

Администратор Аудит

Внешняя среда

Устройства

Пользователи

Устройство2 Приложение1



Приложение1





коммуникации

Безопасность

HVAC AD-сервер Сетевые сервисы

Доступ BYOD Устройство1 Приложение3


Приложения/сервисы

Прослеживание взаимосвязей в группе безопасности: все группы

49

Возможности классификации

50

VLAN-SGT

IP-SGT

Порт Профиль

Порт-SGT

Префикс Обучение (L3IF-SGT) Подсеть-SGT

802.1X

MAB

Веб- аутенти-фикация

Профилиро-вание

VLAN-SGT

ISE NX-OS/ UCS Dir/

Гипервизоры

IOS/ маршрутизация RA-VPN

§  Присвоение тегов SGT пользователям/ устройствам –  Проводная сеть –  Беспроводная сеть –  Удаленный доступ VPN

§  Присвоение серверу ЦОД

§  Подключения для бизнес-партнеров и третьих сторон

SGT

SGT

SGT

SGT

SGT

Определение объектов, которым необходимо присваивать теги SGT

51

Доступ в ЦОД

WLC МСЭ


SRC: 10.1.100.98

ПО гипервизора

Доступ к комплексу зданий

Распределение Ядро Ядро ЦОД EOR

Конечный пользователь, оконечное устройство классифицируются с помощью тегов SGT

SVI-интерфейс сопоставляется с SGT

Физический сервер сопоставляется с SGT

VLAN сопоставляется с SGT

Устройство BYOD классифицируется с помощью SGT

Виртуальная машина сопоставляется с SGT

Внедрение классификации

•  Для облегчения процедуры классификации можно использовать несколько вариантов миграции

•  Если нет авторизации по пользователям •  Сопоставление VLAN, подсети, интерфейса уровня L3 — это уже простая, первоначальная классификация

•  Авторизация по пользователю и SXP затем могут «переписать» статическую классификацию

•  Большинству систем изначально может быть присвоен статус «Тег SGT неизвестен» •  Сфокусируйте внимание на явной классификации, что необходимо для выполнения политики

•  Чем проще классификация, тем быстрее ее внедрить (за несколько дней, а не недель)

52



коммуникации HVAC Тарификация

Гостевые устройства


Интернет Гости Партнер





Не соответствует

Администратор Аудит

Внешняя среда











коммуникации

Безопасность

HVAC AD-сервер Сетевые сервисы

Доступ BYOD Устройство1 Приложение3



Прослеживание взаимосвязей в группе безопасности: все группы

53

Администратор


Тарификация






Приложение1 Приложение2


AD-сервер Сетевые сервисы



Группа безопасности: сопоставление одного приложения

54

Пример матрицы политики SGT

✓ ❏ ❏ ✗ ❏ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ❏ ✗ ✗

❏ ✓ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏

❏ ❏ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓

✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗

❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗

✗ ❏ ✗ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏

✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✓ ✗ ✓ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

❏ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

❏ ❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

❏ ❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗

✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗

✗ ❏ ✓ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ❏

Partner'VDI'Control'Domain

Internet'DMZ

Destinatio

n'Group

Data$Ce

nter$Co

ntrol$D

omain

AD'Servers

Network'Services

Unified'Communications

HVAC

App1

App2

App3

Security'Applications

HVAC

BYOD

'Access

Security'A

pplication

s

Partn

erVD

I'Con

trol'

Domain

Interne

t'DMZ

App1

App3

Unifie

d'Co

mmun

icatio

ns

Corporate$Control$Domain

Security

Quarantin

e'

Devic

e1Ap

p1

Devic

e2Ap

p1

Devic

e1Ap

p2

User1A

pp1

User1A

pp2

User1A

pp3

Unified'Communications

App2

Device2App1

Device1App2

HVAC

Device1App1

User1App1

User1App2

User1App3

HVAC

Corporate$S

ite$Co

ntrol$D

omain

AD'Se

rvers

Netw

ork'S

ervic

es

Unifie

d'Co

mmun

icatio

ns

Source'Group

Data$Center$Control$Domain

BYOD'Access

Quarantine

Security

Стандартный подход к внедрению

56

Комплекс зданий

Catalyst® коммутаторы/WLC

(3K/4K/6K) Пользователи, оконечные устройства

Monitor mode SRC \ DST Сервер PCI (2000) Произв. сервер

(1000) Сервер разработки

(1010)

Сотрудники (100) Разрешить все Разрешить все Разрешить все

PCI пользователь (105) Разрешить все Разрешить все Разрешить все

Неизвестно = 0 Разрешить все Разрешить все Разрешить все

authentication port-control auto authentication open dot1x pae authenticator

Сервер PCI

Производственный сервер

Сервер разработки

AUTH=OK SGT= PCI пользователь (105)

N7K

1.  Пользователи подключаются к сети, monitor mode разрешает трафик независимо от аутентификации

2.  Аутентификация может выполняться пассивно, что приводит к присвоению SGT 3.  Прошедший классификацию трафик идет через сеть, позволяя контролировать и проверять, что:

- ресурсы были правильно классифицированы; - потоки трафика, которые поступают на ресурсы, соответствуют ожиданиям/прогнозам

Конфигурирование присвоения тегов в сети

57

interface TenGigabitEthernet1/5 cts manual policy static sgt 2 trusted

C6K2T-CORE-1#sho cts interface brief Global Dot1x feature is Enabled Interface GigabitEthernet1/1: CTS is enabled, mode: MANUAL IFC state: OPEN Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: SUCCEEDED Peer SGT: 2:device_sgt Peer SGT assignment: Trusted SAP Status: NOT APPLICABLE Propagate SGT: Enabled Cache Info: Expiration : N/A Cache applied to link : NONE L3 IPM: disabled.

Always “shut” and “no shut” interfaces after any cts manual or cts dot1x change

Обычно для присвоения тегов в сети используется конфигурация ‘cts manual’ ‘cts dot1x’ зависит от доступности сервера AAA (аутентификация, авторизация и учет), если не установлена новая функция «критической аутентификации» и соответствующим образом не настроены таймеры


58


TrustSec и NetFlow




политик Проектирование и

создание политики

SGT и Flexible NetFlow (FNF)

59

flow record cts-v4 match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match flow direction match flow cts source group-tag match flow cts destination group-tag collect counter bytes collect counter packets flow exporter EXP1 destination 10.2.44.15 source GigabitEthernet3/1 flow monitor cts-mon record cts-v4 exporter EXP1

Interface vlan 10 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 20 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 30 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 40 ip flow monitor cts-mon input ip flow monitor cts-mon output

cts role-based ip flow mon cts-mon dropped

*Необязательно — потоки будут создаваться только для отброшенных пакетов ACL-списков на основе ролей для Cat6K/Sup2T

Пример мониторинга SGT/FNF Flow Cache

60

SJC01#show flow mon cts-mon cache Cache type: Normal Cache size: 4096 Current entries: 1438 High Watermark: 1632 Flows added: 33831 Flows aged: 32393 - Active timeout ( 1800 secs) 0 - Inactive timeout ( 15 secs) 32393 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SOURCE ADDRESS: 192.168.30.209 IPV4 DESTINATION ADDRESS: 192.168.200.156 TRNS SOURCE PORT: 60952 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 30 FLOW CTS DESTINATION GROUP TAG: 200 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1 IPV4 SOURCE ADDRESS: 192.168.20.140 IPV4 DESTINATION ADDRESS: 192.168.200.104 TRNS SOURCE PORT: 8233 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 20 FLOW CTS DESTINATION GROUP TAG: 200 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1

SGT в полях NetFlow

61

Теги групп безопасности: •  извлекаются из пакета Теги групп назначения: •  извлекаются на основе

IP-адреса места назначения Тег SGT коммутатора: •  Только Catalyst 4k: значение

применяется к пакету на выходе

Таблица SGT •  Только Catalyst 6k: экспорт в

таблицы данных шаблона NetFlow с сопоставлением тегов группы безопасности с именами группы безопасности

Запись отброшенных пакетов SGACL •  Только Catalyst 6k: создание

записи потока на основе отброшенных пакетов SGACL

Список устройств SGT-NetFlow

62

Устройство Первая версия

SGT DGT SGT с коммутатора

Таблица SGT

Запись отброшенных пакетов SGACL

Catalyst 6500 (Sup3Т) IOS 15.1(1)SY1 Да (соответствует)

Да (соответствует)

Нет Да Да (выделенный монитор)

ISR, ASR, CRS IOS XE 3.13S Да Да Нет Нет Нет

Catalyst 3850, 3650 IOS XE 3.7.1E Да (соответствует)

Да (соответствует)

Нет Нет Нет

Catalyst 4500 (Sup 7-E, 7L-E, 8-E)

IOS XE 3.7.1E Да (сбор) Да (сбор)

Да Нет Нет

ASA 9.1.3 Нет Нет Нет Нет Запись NSEL

StealthWatch FlowSensor

6.8 Да Нет Нет Нет Нет

Принимаемые во внимание факторы: 3850

63

! flow monitor cts-cyber-monitor-in exporter StealthWatch-FC cache timeout active 60 record cts-cyber-3k-in ! ! flow monitor cts-cyber-monitor-out exporter StealthWatch-FC cache timeout active 60 record cts-cyber-3k-out ! interface GigabitEthernet1/0/1 ip flow monitor cts-cyber-monitor-in input ip flow monitor cts-cyber-monitor-out output ! vlan configuration 100 ip flow monitor cts-cyber-monitor-in input ip flow monitor cts-cyber-monitor-out output !

Входящий трафик: •  Источники SGT:

•  извлекается из заголовка пакета •  Источники DGT:

•  извлекается на основе IP-адреса места назначения •  необходимо выполнить политику SGACL •  только магистральная линия (транк)

Исходящий трафик: •  Источники SGT:

•  заголовок входящего пакета •  SGT, конфигурируемый портом •  сопоставление IP и SGT

•  Источники DGT: •  извлекается на основе IP-адреса места назначения •  необходимо применение политики SGACL •  только магистральная линия (транк)

Принимаемые во внимание факторы: 3850

64

! flow record cts-cyber-3k-in match datalink mac source address input match datalink mac destination address input match ipv4 tos match ipv4 ttl match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input match flow direction match flow cts source group-tag match flow cts destination group-tag collect counter bytes long collect counter packets long collect timestamp absolute first collect timestamp absolute last !

! flow record cts-cyber-3k-out match ipv4 tos match ipv4 ttl match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match flow direction match flow cts source group-tag match flow cts destination group-tag collect counter bytes long collect counter packets long collect timestamp absolute first collect timestamp absolute last !

Принимаемые во внимание факторы: 4500 Sup 7-E, 7L-E, 8-E

65

SGT: •  заголовок пакета •  максимум 12 000 разных IP-адресов

источников

DGT: •  извлекается на основе IP-адреса

места назначения

Тег SGT с коммутатора: •  тег SGT присваивается пакету с коммутатора

•  Наследование политики •  SGT в пакете •  Поиск SGT в исходном IP-адресе •  Поиск порта SGT

•  SGT в пакете при выходе

! flow record cts-cyber-4k match ipv4 tos match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input match flow direction collect flow cts source group-tag collect flow cts destination group-tag collect flow cts switch derived-sgt collect transport tcp flags collect interface output collect counter bytes collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last !

Принимаемые во внимание факторы: 6500 Sup 2T

66

! flow record cts-cyber-6k match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match flow cts source group-tag match flow cts destination group-tag collect transport tcp flags collect interface output collect counter bytes collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last !

Таблица данных TrustSec: •  Экспорт значений сопоставления

SGT-SGN в шаблон NetFlow

Отброс пакетов SGACL: •  при отбросе пакетов создается

запись потока •  требуется выделенный режим Flow

Monitor

SGT: •  заголовок пакета •  поиск IP-SGT DGT •  извлекается на основе IP-адреса места

назначения

http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/appc_cat6k.html

Принимаемые во внимание факторы: 6500 Sup2T

67

! flow exporter ise destination 10.1.100.3 source TenGigabitEthernet2/1 transport udp 9993 option cts-sgt-table timeout 10 ! flow monitor FNF_SGACL_DROP exporter ise record cts-record-ipv4 ! cts role-based ip flow monitor FNF_SGACL_DROP dropped

! flow exporter CYBER_EXPORTER destination 10.1.100.230 source TenGigabitEthernet2/1 transport udp 2055 option cts-sgt-table timeout 10 ! flow monitor CYBER_MONITOR exporter CYBER_EXPORTER cache timeout active 60 record cts-cyber-6k !

Конфигурация отброса пакетов SGACL:

Экспорт и мониторинг:

Принимаемые во внимание факторы: ISR, ASR, CRS

68

! flow record cts-cyber-ipv4 match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input match flow direction match flow cts source group-tag match flow cts destination group-tag collect routing next-hop address ipv4 collect ipv4 dscp collect ipv4 ttl minimum collect ipv4 ttl maximum collect transport tcp flags collect interface output collect counter bytes collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last collect application name !

SGT: •  заголовок пакета •  поиск IP-SGT DGT •  поиск IP-адреса места

назначения

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/sec-usr-cts-xe-3s-book/cts-fnf.pdf

Моделирование политики в StealthWatch

Заданное пользователем событие инициируется при соответствующих условиях трафика

Включить трафик в обоих направлениях: успешно или неуспешно

SGT DGT

Имя и описание правила

Моделирование политики в StealthWatch

70

Создание правил на основе потока для всех предложенных элементов

политики

В случае наступления заданного условия поступает сигнал о нарушении политики. Моделирование

предлагаемого сброса пакетов.

Моделирование политики: появление предупреждения

71

Панель предупреждений, где отображены все предупреждения для политики

Подробные данные о предупреждении «Сотрудник — производственные сервера»

Смоделированная политика: подробные данные потока

72

Кто

Кто

Что

Когда

Как

Где

DGT Допустима ли такая коммуникация?

Настройка

Да

Ответ

Нет SGT


73


TrustSec и NetFlow





политик

Внедрение


Внедрение политик

74

Внедрение политик на выходе

§  ACL-списки для групп безопасности

Комплекс зданий Сеть

Catalyst® коммутаторы/WLC (3K/4K/6K)

Пользователи, оконечные устройства

Режим монитора

Сервер PCI

Производственный сервер

Сервер разработки N7K

SRC \ DST Сервер PCI (2000) Произв. сервер (1000) Сервер разработки (1010)

Сотрудники (100) Запретить все Запретить все Разрешить все

PCI пользователь (105) Разрешить все Разрешить все Разрешить все

Неизвестно = 0 Запретить все Запретить все Разрешить все

Политики можно внедрять постепенно на основе группы безопасности для места назначения

Первоначально используйте политики SGACL с возможностью регистрации информации о запретах в журнал (если журнал не нужен, его можно удалить позже)

Политика по умолчанию должна быть «разрешено», также во время внедрения необходимо разрешить трафик со статусом «Тег SGT не известен»

Cat3750X Cat6500

Внедрение политики: ACL-списки для групп безопасности (SGACL)

75

Nexus 2248

WLC5508

Магистральная сеть

предприятия

Nexus 2248

Cat6500 Nexus 7000 Nexus 5500

Fay authenticated Классифицируется как маркетинг (5) Поиск FIB

MAC-адрес назначения/порт SGT 20

DST: 10.1.100.52 SGT: 20

SRC: 10.1.10.220

5SRC:10.1.10.220 DST: 10.1.100.52

SGT: 5 DST: 10.1.200.100 SGT: 30

Web_Dir

CRM

SRC\DST Web_Dir (20) CRM (30)

Marketing (5) SGACL-A SGACL-B

BYOD (7) Deny Deny

Классификация точек назначения Web_Dir: SGT 20 CRM: SGT 30

Централизованное управление политиками SGACL в ISE

76

Применение политик SGACL ISE (в виде дерева)

77

Применение политик SGACL (в виде матрицы)

78

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

Portal_ACL

Загрузка политик SGACL

79

•  Готовятся новые серверы, например, роли «производственный сервер» и «сервер разработки»

•  Коммутатор ЦОД запрашивает политики для ресурсов, которые он защищает

•  Политики загружаются и применяются динамически

•  Это значит, что: •  Управление всеми средствами контроля осуществляется централизованно

•  Политики безопасности не связаны с сетью •  Никакой специальной конфигурации коммутатора не требуется

•  Политики внедряются на скорости передачи •  Единое место для проверки политик по всей сети

Prod_Servers Dev_Servers

Dev_Server (SGT=10)

Prod_Server (SGT=7)

SG

T=3

SG

T=4

SG

T=5

SGACL Применение

политики SGACL

Коммутатор запрашивает политики для

ресурсов, которые он защищает Коммутаторы

получают только те политики,

которые им нужны

Внедрение политик в коммутаторах

•  Настроив политики SGT/SGACL в ISE, можно начать применять их на сетевых устройствах

•  Устройства должны быть определены в ISE и настроены на связь с ISE (для краткости в этих слайдах мы это пропускаем)

•  Если коммутаторы используют теги SGT, они будут загружать политики для устройств, которые они защищают

Switch(config)#cts role-based enforcement Switch(config)#cts role-based enforcement vlan-list 40

Применение политик SGACL глобально и для сети VLAN

Switch(config)#cts role-based sgt-map 10.1.40.10 sgt 5 Switch(config)#cts role-based sgt-map 10.1.40.20 sgt 6 Switch(config)#cts role-based sgt-map 10.1.40.30 sgt 7

Пример: определение сопоставления IP с SGT для серверов на коммутаторе

Применение политик на межсетевых экранах: ASA SG-FW

81

Также можно продолжать использовать сетевой объект (хост, диапазон,

сеть (подсеть) или FQDN) И (ИЛИ) SGT

Коммутаторы сообщают устройству ASA о членстве в группе безопасности

Определения групп безопасности с ISE

Запуск сервисов FirePower с помощью политик SGT


82


TrustSec и NetFlow




ресурсов

Моделирование политик



Мониторинг выполнения политик

83

•  TrustSec сокращает число операций безопасности, но действует по-другому –  Необходимо понимание операций –  Динамические функции безопасности проверяются по-другому, но проще и более точно

•  Необходимо контролировать некоторые новые функции –  Информация SNMP о соединении SXP и запись в системные журналы –  Возможно учет информации о принадлежности к группе

Мониторинг выполнения политик

84

•  Системные журналы SGACL, события NetFlow и создание журналов ASA — все полезно

Проверка выполнения политик SGACL

85

Use show cts role-based counter to show traffic drop by SGACL TS2-6K-DIST#show cts role-based counters Role-based IPv4 counters From To SW-Denied HW-Denied SW-Permitted HW_Permitted * * 0 0 48002 369314 3 5 53499 53471 0 0 4 5 0 0 0 3777 3 6 0 0 0 53350 4 6 3773 3773 0 0 3 7 0 0 0 0 4 7 0 0 0 0

От * к * означает правило по умолчанию

команда «show» отображает статистику выполнения политики RBACL. Для пакетов, коммутируемых программно и аппаратно, отображаются разные счетчики. Пользователь может указать SGT источника, используя пункт «from (от)», а SGT места назначения — пункт «to (к)». В основном политика SGACL исполняется на аппаратном уровне. Счетчик ПО используется, только если пакет необходимо отправить для программной коммутации (например, TCAM уже заполнена, или необходима запись в журнал)

Мониторинг политик SGACL

86

•  C6K2T-CORE-1#sho cts role-based permissions

•  IPv4 Role-based permissions from group 8:EMPLOYEE_FULL to group 8:EMPLOYEE_FULL:

•  Malware_Prevention-11

•  C6K2T-CORE-1#sho ip access-list

•  Role-based IP access list Deny IP-00 (downloaded)

•  10 deny ip

•  Role-based IP access list Malware_Prevention-11 (downloaded)

•  10 deny icmp log-input (51 matches)

•  20 deny udp dst range 1 100 log-input

•  30 deny tcp dst range 1 100 log-input

•  40 deny udp dst eq domain log-input

•  *May 24 04:50:06.090: %SEC-6-IPACCESSLOGDP: list Malware_Prevention-11 denied icmp 10.10.18.101 (GigabitEthernet1/1 ) -> 10.10.11.100 (8/0), 119 packets

Мониторинг сегментации в StealthWatch

Заданное пользователем событие инициируется при соответствующих условиях трафика

Инициируется для трафика в обоих направлениях: успешно или неуспешно

SGT DGT

Имя и описание правила

Мониторинг сегментации с помощью StealthWatch

88

Панель предупреждений, где отображены все предупреждения для политики

Мониторинг сегментации с помощью StealthWatch

89

Карта зон PCI

Определение политики коммуникаций между

зонами

Мониторинг нарушений

Категории предупреждений

90

Каждая категория имеет баллы


91

Введение Оценка ситуации

Кратко о технологиях TrustSec и NetFlow




ресурсов





Адаптивное управление сетью: карантин

•  Расширение возможностей мониторинга и управления оконечными устройствами

•  Возможность изменения состояния авторизации •  Через административные действия •  Без изменения общей политики авторизации •  Инициируется с узла администратора •  Поддерживается в проводных и беспроводных средах

•  Управление оконечными устройствами в три действия: •  Помещение в карантин •  Удаление из карантина •  Закрытие портов проводного доступа

•  Управление оконечными устройствами на основе IP- или MAC-адресов

92

Поток трафика в карантине

93

PSN

MnT

PAN

1. Оконечное устройство подключено

2. StealthWatch выпускает инструкции по карантину для PAN

3. PAN выпускает инструкции по карантину для MnT

4. MnT посылает команду PSN инициировать CoA

5. Оконечное устройство отключается через CoA

7. Запрос RADIUS

6. Оконечное устройство снова подключается и проходит аутентификацию

8. Проверка карантина

9. Применяется профиль карантина

Карантин из StealthWatch

94

Карантин: онлайн журнал ISE

95

Проверка статуса EPS Присвоение группы безопасности

Конфигурирование сервисов защиты оконечных устройств 1.  Активация EPS

2.  Создание профиля авторизации для карантина

3.  Обновление политики авторизации •  Использование правила авторизации для исключений •  Условия статуса карантина •  Профиль авторизации для карантина

4.  Управление оконечными устройствами •  Ручное помещение в карантин или удаление из карантина •  На основе IP- или MAC-адреса

96

Политика авторизации исключений

97

Присвоить тег SGT Suspicous_Investigate и разрешить доступ

Статус EPS во время сеанса

Рекомендации

Политика на выходе: Suspicous_Investigate

98

Создание политики для выходного трафика подозрительной группы безопасности

SGACL

99

Создание значимого названия SGACL для подозрительных хостов: •  Ограничение приложений и сервисов •  Блокирование доступа к важным бизнес-процессам •  Предотвращение доступа к интеллектуальной

собственности

Маршрутизация на основе политики SGT

route-map native_demo permit 10 match security-group source tag Employee match security-group destination tag Critical_Asset set interface Tunnel1 !

route-map native_demo permit 20 match security-group source tag Suspicious match security-group destination tag Critical_Asset set interface Tunnel2 ! route-map native_demo permit 30

match security-group source tag Guest set vrf Guest

100

VRF-гость

VRF-NW

Сеть А

Пользователь А Пользователь В Пользователь-гость

Подозрительные действия

Гость Сотрудник

Доступно Июль, 2015 г.

Перенаправление на сервисы FirePOWER

101

Создание политики для перенаправления подозрительного трафика на сервисы FirePOWER


102


TrustSec и NetFlow




ресурсов


Резюме




Основные выводы

103

NetFlow и Lancope StealthWatch обеспечивают мониторинг и анализ

TrustSec используется для динамической (микро)сегментации сети

Сеть — это основной ресурс для защиты от угроз и их контроля

Продолжим тут?

•  Демонстрация решений

•  Круглые столы

•  Персональные встречи с инженером

•  Семинары по связанным темам

104

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu

Михаил Кадер, [email protected] [email protected]

© 2015 Cisco and/or its affiliates. All rights reserved.

Technology

Сеть как сенсор и как регулятор