Upload
cisco-russia
View
1.330
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
Sponsored by
Тенденция BYOD: безопасное управление
Виктор ПлатовСистемный инженер-консультант, CCIE
1
Безопасное подключение личных устройств
• Что такое BYOD?– Обзор стратегий внедрения BYOD
• Компоненты BYOD решения Cisco• Интеграция Контроллера БЛВС с ISE
– Использование сильных механизмов безопасности WPA2 и EAP– Профилирование устройств по их атрибутам
• Создание политики безопасности внутри ISE– Настройка правил аутентификации и авторизации
• Подключение BYOD устройств– Загрузка сертификатов и Wi-Fi профайлов на Apple, Android и
Mac/Windows.• BYOD Мониторинг и составление отчетов
2
BYOD
Что такое BYOD (Bring Your Own Drink)?ANY USER ANYWHERE ANY DEVICEANYTIME
Wireless BYOD
Причины• Большинство новых сетевых устройств не имеют проводных интерфейсов• Пользователи будут менять свои устройства чаще, чем в прошлом• Мобильные устройства становятся продолжением нас• Гостевой доступ и его учет становится обязательной потребностью бизнеса
Предположения• Гости должны быть изолированы• Пользователи будут иметь одно устройство с проводным интерфейсом и более 2 устройств
беспроводных• Беспроводная сеть должна быть такой же безопасной и предсказуемой, как проводная сеть• Не должно быть больше неуправляемых устройств!
• Причины и предположения
Спектр стратегий BYOD
Запрет
• BYOD запрещен согласно корпоративной политике.
• Все не корпоративные устройства доступ к сети не получат.
Разрешение
• BYOD используется для предоставления доступа в Интернет мобильным устройствам сотрудников.
• Также возможен безопасный доступ к электронной почте и другим корпоративным сервисам.
Поощрение
• BYOD используется для оптимизации бизнес-процессов и увеличения продуктивности.
• Для безопасности используется идентификация устройств по сертификатам.
6
• Различные требования по внедрению для различных условий
Запрет
Политика:Запретить все
Устройствадолжныбыть авторизованы
Профилированныеустройства
Стратегия развертывания “запрет”
• Данная политика разрешает существование в сети только корпоративных устройств• BYOD не поддерживается согласно корпоративной политике, и сеть запрещает
подключения подобного рода
В сети допускается наличие только корпоративных устройств
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote AccessСетевые компоненты:
Политика:Полный доступ
Per Device Credentials
Политика:Только доступ к Интернет
Устройствадолжныбыть авторизованы
Устройствадолжныбыть зарегистрированы
Стратегия развертывания “Разрешение”
• Данная стратегия разрешает сотрудникам использовать свои устройства только для доступа к Интернет.
• В этом случае используется PEAP MS-Chap для аутентификации пользователей и регистрация устройств (для регулирования числа BYOD устройств).
Использование BYOD устройств только для Интернет доступаРазрешени
е
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote AccessКомпоненты сети:
Политика:Полный доступ
Per User Credentials
Per Device Credentials
Поощрение
Политика:Полный доступ
Устройствадолжныбыть авторизованы
Устройствадолжны бытьнастроены
Стратегия использования «Поощрение»
• Как корпоративные, так и пользовательские устройства имеют полный доступ в сеть с использованием уникальных сертификатов.
• BYOD устройства используются для оптимизации бизнес-процессов.
Использование BYOD совместно с бизнес-приложениями
ISE NCS Prime
Desktop/NotebooksTabletsSmart phones
Wireless Wired Remote Access
Сетевые компоненты:
Политика:Полный доступ
Per Device Credentials
Per Device Credentials
3rd Party MDM
Optional
Компоненты решения BYOD
Требуемые сетевые компоненты и версии ПО
• Cisco Wireless LAN Controller– версия 7.0.116 или выше (440X, WiSM1, 210X или выше)
профилирование устройств и проверка их состояние поддерживается только в режиме Central Switching.для CoA поддерживаются только 802.1x WLAN-ы.
– версия 7.2.X или выше (5508, WiSM2, 250X или выше)профилирование и проверка состояния возможны в режимах Central иFlexConnect.для СоА могут использоваться 802.1x и Open (L3 Web authentication).
• Cisco Identity Services Engine– Версия 1.1.1 или выше– Advanced лицензия для профилирования
Cisco Wireless LAN и Identity Services Engine
ISE
Атрибуты пользователя или устройства
• Employee VLAN• Gold QoS
Рабочая станция сотрудника
• Employee VLAN• Gold QoS• Restrictive ACL
Персональное устройство сотрудника
ISE • Профилирование устройства• Динамическая политика
Компоненты решения Cisco унифицированного управления политикамиПри использовании ISE, беспроводное решение поддерживает множество пользователей и устройств на одном SSID.
WLC
EmployeeVLAN
ContractorVLAN
• Contractor VLAN• No QoS• Restrictive ACL
Рабочая станция контрактора
• No Access
Персональное устройство контрактора
ТД ACLs
Пользователь Местоположение ВремяТип доступа ПолитикаУстройство
Гость
Контрактор
Сотрудник
ПерсональныйLaptop
Персональноеустройство
Компьютер контрактора
Персональное устройство
Корпоративный компьютер
Персональное устройство
Беспроводной Переговорные комнаты
Captive PortalDMZ Guest Tunnel
Везде Любое
Любое
Любое
EmployeeVLAN
Везде
Везде
Унифицированные политики CiscoПример BYOD / Mobility политики
IF $Identity AND $Device AND $Access AND $Location AND $Time THEN $Permission
Беспроводной
Проводной
Везде
Везде
ЛюбоеПн – Сб
8 am - 6 pm
КонтракторскийVLAN
КонтракторскийACL
Проводной
Беспроводной
VPN
Employee ACL
Гостевой VLAN
Пн – Сб8 am - 6 pm
Этапы применения политик Cisco ISE
Фаза 1 Аутентификация
Фаза 2Идентификация устройства
и назначение политики
EAP
Разрешенное устройство?
Полный доступ
Фаза 3 Применение политики
• SilverQoS• Allow-AllACL• EmployeeVLAN
WLCТолько
Интернет
MAC, DHCP, DNS, HTTPISE
ISE
Пример политики WLAN + проверка состоянияВключая как 802.1x так и Web Authentication
15
802.1XSSID
Аутентификация устройства
Аутентификация устройства
СотрудникСотрудник
КонтракторКонтрактор
Отвечает требованиям
Не отвечает требованиямЗапрет доступа с
BYOD устройстваЗапрет доступа с BYOD устройства
Аутентификация пользователя
Аутентификация пользователя
СотрудникСотрудник
КонтракторКонтрактор
Отвечает требованиям
Не отвечает требованиям
Web аутентификация
SSID
Гость
Запретить доступ сотрудникам
Запретить доступ контракторам
Исправление ошибок Anti-spyware, Anti-
virus и т.д.
Интеграция WLC и ISE для аутентификации и профилирования
Extensible Authentication Protocol (EAP) — диаграмма функционирования
Клиент Аутентификатор
Сервер аутентификации
CAPWAP
Тип EAP определяется
клиентом иRADIUS
сервером
Типы EAPРазличные типы аутентификации используют разные типы учетных данных
Tunneling-BasedEAP-PEAP
EAP-TTLS
EAP-FAST
Inner Methods
EAP-GTC EAP-MSCHAPv2
Tunnel-based – используется туннельный протокол (EAP-PEAP) совместно с внутренним методом EAP, таким как EAP-MSCHAPv2. PEAP требует только серверный сертификат.
Туннель служит защитой для внутреннего метода, который сам по себе может быть уязвим.
Certificate-based – для большей безопасности EAP-TLS обеспечиваетдвухстороннюю аутентификацию клиента и сервера.
Certificate-Based
EAP-TLS
Сравнение методов EAPВыбор между EAP-TLS и PEAP
EAP-TLS PEAP
Быстрый безопасный роуминг (CCKM) Да Да
Локальная (на WLC) аутентификация Да Да
Поддержка OTP (One Time Password) Нет Да
Серверные сертификаты Да Да
Клиентские сертификаты Да Нет
Сложность внедрения* Сложно Не сложно
Критерии выбора EAP методаPEAP и EAP-TLS: cамые популярные типы EAP методов
Тип EAP
Поддержка клиентами
Безопасностьvs. Сложность
Поддержка на стороне сервера аутентификации
Большинство клиентов (Windows, Mac OS X, Apple iOS устройства) поддерживают EAP-TLS, PEAP (MS-CHAPv2).‒ Дополнительные саппликанты добавляют поддержку большего числа EAP методов (Cisco AnyConnect).
Некоторые типы EAP (TLS) могут быть более сложны в развертывании, чем другие, в зависимости от типа устройства.
Cisco ISE Supplicant Provisioning может помочь в разворачивании системы.
Сотрудник(сертификат с истекшим Временем жизни–Обновить сертификат)
Контролируемый доступ сотрудников(ACL)
Гость
Устройства без саппликантов(UPS, POS,..)
ПостороннийПереговорные комнаты
СмартфоныПланшетники
Supplicant SwitchNEAT
Реальные сети не могут использовать только 802.1XКак насчет ‘особых’ случаев в сети?
EAPoL: EAP Request-Identity
Любой пакет
RADIUS Access-Accept
RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]
EAPoL: EAP Request-Identity
EAPoL: EAP Request-Identity
• IEEE 802.1X Тайм-аут• Стартует MAB
Время, через которое устройство шлет пакет после тайм-аута 802.1X
Доступ к сети разрешен
Общее время с момента подключения до получения доступа к сети
Authenticator RADIUS Server00.0a.95.7f.de.06
MAC Authentication Bypass
Web Аутентификация
23
EAPoL: EAP Request-Identity
Любой пакет
RADIUS Access-AcceptOr Access-Reject
RADIUS Access-Request[AVP: 00.0a.95.7f.de.06]
EAPoL: EAP Request-Identity
EAPoL: EAP Request-Identity
• IEEE 802.1X Тайм-аут• Стартует MAB
Время, через которое устройство шлет пакет после тайм-аута 802.1X
Ограниченный доступ в сеть
Authenticator RADIUS Server
Неизвестный MAC адрес
Зависит от метода WebAuth
Cisco Wireless Controller User-Based Policy AAA Override Attributes
24
Доступ к сети• “Airespace-Interface-Name”
• Устанавливает интерфейс, в который попадает пользователь.
Ограничение доступа• “Airespace-ACL-Name”
• Устанавливает ACL, который применяется к трафику клиента.
Качество обслуживания• “Airespace-QOS-Level”
• Устанавливает максимальный уровень QoS, доступный для данного клиента (Bronze, Silver, Gold или Platinum).
• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”• Устанавливает максимальный уровень QoS тега, доступный для использования клиентом.
Change of Authorization (CoA)Динамическое изменение политики соединения
25
До –Профилирование и проверка
состояния
После –Политика применена
• НеизвестенClient Status
• Limited AccessVLAN
• Posture-AssessmentACL
• SilverQoS
• Profiled, WorkstationClient Status
• EmployeeVLAN
• NoneACL
• GoldQoSUser and DeviceSpecific Attributes
User and DeviceSpecific Attributes
ISE ISE
Cisco Wireless LAN Controller ACLsПолноскоростная фильтрация Layer 3-4.
26
• ACLs предоставляют L3-L4 политику и могут применяться как к пользователю, так и к интерфейсу.
• Cisco 2500, 5508 и WiSM2 имеют аппаратные, line-rate ACLs.• На ACL может быть настроено до 64 правил.
Wired LAN
Implicit Deny All в конце
Inbound
Outbound
Атрибуты клиентов, используемые ISE для профилирования устройствКак RADIUS, HTTP, DNS и DHCP (и др.) используются для идентификации клиентов
27
• ISE использует целый набор атрибутов для построение полной картины профайлаустройства.
• Информация собирается с различных сенсоров, которые передают различные атрибуты
– ISE может даже запустить NMAP сканирование по IPадресу клиента, чтобы получить больше деталей.RADIUS
DHCP
DNS Сервер
Поиск в базе данных DNS по IP
адресу клиента дает его
доменное имя.
HTTP UserAgent
Устройство перенаправляется на ISE для перехвата
параметров Web браузера.
ISE
3
4
DHCPSnooping
DHCP атрибуты клиента
перехватываются ТД и пересылаются в виде RADIUS Accounting
сообщений.
2Дает MAC
адрес, который используется для поиска
среди известных OUI
производителей.
1
Пример профилирования устройства- iPadПосле профилирования данная информация сохраняется в ISE для использования в дальнейшем:
Принадлежит ли MACадрес пулу Apple?
Содержит ли имя хоста “iPad”?
User-Agent содержит iPad?
ISE
Apple iPad
Возможности профилирования устройств ISEболее 200 встроенных политик, иерархично определенных по вендорам
смартфоны
Игровые приставки
Рабочие станции
Множество правил для достижения
уровня срабатывания
Минимальный уровень
срабатывания
1
2
Шаги для интеграции контроллера и ISE
30
1. Настройка WLAN для аутентификации 802.1x• настроить RADIUS сервер на контроллере• настроить для WLAN AAA Override, Profiling и RADIUS NAC
2. Настройка профилирования ISE• Включить сенсоры профилирования
3. Настройка уровней доступа• Настроить ACLs для фильтрации трафика и управления
сетевым доступом.
Добавление ISE как сервера аутентификации и аккаунтинга
31
Включите “RFC 3576” для поддержки СоА
Добавить как accounting сервер для получения статистики
1
2
Настройка WLAN для безопасного подключенияВключение аутентификации и шифрования WPA2-Enterprise
WPA2 с шифрованием AES
Можно включить GTK-Randomization для защиты от
атаки “Hole196”.
1
2
Установка уровня QoS для WLANПри использовании WMM, уровень QoS определяется маркировкой пакета.
33
• Если WMM настроен Allowed, уровень Quality of Service выступает верхним пределом для всего SSID.
• Убедитесь, что все аплинки контроллера, медиасерверов и ТД имеют правильные установки команды trust в IOS.
This Acts As An Upper Limit, or Ceiling for the WLAN’s QoS Configuration
1
Настройка WLAN для безопасного подключения, продолжение
Allow AAA Override чтобы
ISE мог изменять
параметры для каждого
пользователя
ВключитеRADIUS NAC,
чтобы ISE мог
использовать СоА.
ВключитеClient Profiling
для того, чтобы
контроллер отсылал DHCP
атрибуты клиента на
ISE.
12
3
Настройка сенсоров профилирования ISE
Профилирование основано на множестве “сенсоров” для получения информации о типе клиента.
В принципе, профилирование может быть достигнуто с помощью span портов, но более эффективно использовать сенсоры, которые отсылают лишь выбранные атрибуты.
Для DHCP профилирования:- Вариант A: использовать v7.2 MR1 для отсылки DHCP атрибутов в сообщениях RADIUS accounting.- Вариант B: использовать Cisco IOS “ip helper” на коммутаторе, к которому подключен WLC.
Для HTTP профилирования:- Использовать Web-Authentication redirect для получения информации о HTTP user agent.
35
Настройка Web-Authentication Redirect ACLДанные ACL используются для HTTP профилирования, проверки состояния и настройки.
36
Подставьте ip адрес сервера ISE, чтобы разрешить трафик только к нему.
2
На этот ACL по имени будет ссылаться ISE для ограничения
доступа пользователю.
1
Создание политики безопасности в ISE
37
ISE
ISE: базы данных пользователей
Cisco ISE может опрашивать широкий спектр хранилищ информации о пользователях, включая Active Directory, PKI, LDAP и RSA SecureID. Также можно
использовать локальную базу данных ISE в случае небольших внедрений.
38
EAPoL
Пользователь/Пароль
user1C#2!ç@_E(
Сертификат
RADIUS
Token
Active Directory,LDAP или PKI
RSA SecureID
Локальная БД
Базы данных
Пользовательская и/или машинная аутентификация
Шаги настройки политик ISE
39
1. Правила аутентификации• Определите, какую БД пользователей использовать.
• Пример – Active Directory, CA Server или внутренняя БД.
2. Правила авторизации• Определите, какие пользователи и на каких устройствах
получат доступ к ресурсам.• Пример – все сотрудники с Windows лэптопами должны иметь
неограниченный доступ.
Правила аутентификацииПример для PEAP и EAP-TLS
40
1
Создание другого профайла, для использования хранилища
сертификатов
2
Обращаться к Active Directory дляPEAP аутентификации
1
Настройка правил авторизацииГибкие условия, соединяющие пользователей и их устройства
41
Policy Authorization - SimpleМогут быть использованы группы устройств (такие как
«рабочая станция» илиiPods)
1Можно задать группы Active
Directory
2
Результатом правила авторизации будет установка политики на сетевом устройстве
3
Правило авторизации “Результаты”Политики доступа, на которые ссылаются авторизационные правила
42
Правила авторизации представляют собой набор условий для выбора авторизационного профайла.
Этот профайл содержит все атрибуты соединения, включая VLAN, ACL и QoS.
Данные атрибуты отправляются на контроллер для их применения. Они могут быть изменены позже путем использования CoA (Change of Authorization).
Простая смена VLAN, путем задания тега
1
Доступные для замены атрибуты
2
Подключение BYOD устройств
43
CA-Server
Подключение устройства Apple iOS
Начальное соединение. Используем
PEAP
ISEWLC
1
Мастер настройки устройства
2
Все последующие соединения будут использовать EAP-
TLS3 ISEWLC
Change of Authorization
CA-Server
CA-Server
Подключение устройства Android
Начальное соединение.
Используем PEAP
ISEWLC
1 Перенаправление на Android Marketplace для
установки утилиты настройки2
Все последующие соединения будут использовать EAP-
TLS4 ISEWLC
Настройка с использованием Cisco Wi-Fi Setup Assistant
3 Change of Authorization
CA-Server
Подключение Windows/Mac OS X устройства
Начальное соединение.
Используем PEAP
ISEWLC
1Перенаправление на
ISE для установки настроечной утилиты
Все последующие соединения будут использовать EAP-
TLS4 ISEWLC
Автоматическая настройка с
использованием Cisco Wi-Fi Setup Assistant 3 Change of
Authorization
2
CA-Server
CA-Server
Шаги процедуры установки сертификатов с использованием SCEPПростой и безопасный способ загрузки сертификатов
47
ISEWLC
CA-Server
1
Получение корневого сертификата сервера CA.
2
Запрос на получение сертификата устройства
????
SCEP Client
SCEP Server
CA-Server
SCEP Server
3
Получение и сохранение нового сертификата для использования в будущем.
CA-ServerSCEP Server
Портал “мои устройства”Пользователь может сам регистрировать и удалять свои устройства
Устройства могут быть удалены
пользователем.
Количество регистрируемых устройств
ограничено администратором
32
При добавлении устройства можно
указать детали
1
1. Настройка взаимодействия с внешним сервером CA• Указать SCEP URL и сертификаты.• Пример – Active Directory, CA Server или внутренняя БД.
2. Создание профиля настройки саппликанта• Задать настройки безопасности и тип EAP, которые используются
оконечными устройствами.
Шаги настройки функции автоматического подключения устройств
49
Настройка SCEP интеграции на ISEISE должен знать SCEP сервер и иметь сертификат, подписанный данной CA
50
Укажите SCEP URL ведущий к Microsoft Windows 2008 Server или
другой CA
1
Запросите сертификат для ISE у CA сервера
2
Настройка сертификатов ISEСертификаты, использующиеся для HTTPS и EAP соединений
51
Используем сертификат, подписанный нашей CA Server для
EAP аутентификации
2
Сертификат Web сервера может быть одинаковым или отличаться от сертификата, используемого
для EAP/RADIUS
1
Создание профиля автоматической настройки саппликанта
52
Создайте ACL для перенаправления трафика на WLC
1
Выберете “Supplicant Provisioning” как функцию портала
2
Авторизационные правила для настройки саппликантаПримерный набор правил для принудительной регистрации PEAP устройств
53
Для всех PEAP устройств отображается портал настройки
саппликанта
2
EAP-TLS пользователи имеют
полный доступ
1
Настройка профиля саппликанта: EAP-TLSПри использовании ISE для автоматической установки сертификатов
54
Используем WPA2 иTLS как тип EAP
2Задайте, кто может
подключать устройства
1
Мониторинг и составление отчетов
55
ISE определяет политику как для проводных, так и беспроводных сетейУнифицированные политики(ISE) и управление(NCS).
NCS
Централизованное хранилище политик для проводных и беспроводных пользователей и их устройств
Централизованный мониторинг проводных и
беспроводных сетей, пользователей и их
устройств
ISE
Отображение типа клиента и его политики с помощью интеграции NCS и ISEИнформация об устройстве пользователя передается в NCS
Тип устройства, полученный от
ISE
Информация о примененной
политике, включая домен Windows
AAA Override параметры,
примененные к клиенту
Общий список для проводных и
беспроводных устройств2
3
1
«Живой» лог ISEПозволяет осуществить мгновенный поиск ошибок профилирования и назначения политик.
58
Аутентификация устройства
Аутентификация пользователей
Профилирование устройства
1
2
3
NCS содержит ссылки на отчеты ISE про профилированию устройств
Sponsored by
Заполняйте анкеты он-лайн и получайте подарки вCisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!