Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распределенной сети

Алексей СпиринСистемный архитектор[email protected]

Архитектура безопасности Cisco TrustSec. Сценарии применения в ЛВС и распределенной сети

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Глоссарий• CTS – Cisco TrustSec• SGT – Security Group Tag, метка безопасности• MACSEC – технология шифрования трафика Ethernet со скоростью провода,

опциональная часть TrustSec• SGACL – ACL, список доступа, пакетный фильтр, который использует метку

безопасности• SGFW – stateful firewall, межсетевой экран, который использует метку

безопасности• CMD – Cisco Meta Data, заголовок Ethernet-кадра, содержащий информацию

о метке безопасности• SXP – SGT eXchange Protocol, протокол передачи информации о

соответствии IP-адреса метке безопасности. Работает через TCP• inline SGT – метод добавления заголовка TrustSec (CMD) в кадр Ethernet

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

ПЛАН ПРЕЗЕНТАЦИИ

• Что такое TrustSec и зачем он нужен

• Основы и принципы работы TrustSec

• Сценарии применения и пилотное внедрение

• Новые вещи в ISE 1.3



“Архитектура, технологии, устройства,

системно решающие задачу

безопасного доступа к сети”

Зачем нужен Trustsec




Voice Data Временныйсотрудник

ГостьКарантин

Access Layer

Aggregation Layer

VLAN Addressing DHCP Scope

Redundancy Routing Static ACL

2 VLAN’а – пока все простоУвеличение политик – больше VLAN’ов, больше проблем

ACL

Увеличение коммутаторов доступаНовые способы подключения (WiFi, RA VPN)Другие зданияФилиалыМобильные пользователи


Новый атрибут трафика – метка безопасности (отражает уровень безопасности, уровень доступа пользователя)

Метка безопасности не зависит от:- места подключения- способа подключения- есть ли в этом VLAN пользователи с другим уровнем доступа

В ACL вместо ссылки на IP-адреса – ссылка на метку безопасности



1. Значительное упрощение работы с ACL (60-90%)*

2. Повышение безопасности информационной системы

3. Первая технология, которая криптостойко привязывает ACL к identity пользователя

4. Контроль доступа к сети

5. Категоризация ресурсов и пользователей

* По результатам текущих внедрений у заказчиков


Как работает TrustSec


1. Запрос на доступ в сеть

2. Разрешение + атрибуты доступа (VLAN, ACL,

SGT, MacSec)

3. Трафик с метками безопасности (SGT)

4. МЭ - фильтрация трафика на основе меток

безопасности

0. Категорирование пользователей и ресурсов

Сервер БСервер A

Пользователь А Пользователь Б

200

ISE

Канальное шифрование

300

20 30

access-list DCout permit tcp ...SGT 30 any SGT 300 eq sql

Этапы работы TrustSec

Классификация (Classification)- статический или динамический процесс назначения SGT пользователю

или серверу

Распространение информации (Propagation)- передача информации о SGT от места классификации до места

применения политики

Применение политик (Enforcement)- ACL на коммутаторе, маршрутизаторе или МЭ с ссылкой на SGT


Классификация


VLAN-SGT

IP-SGT

Port Profile

Port-SGT

Prefix Learning (L3IF-SGT)Subnet-SGT

802.1X

MABWebAuth

Profiling

VLAN-SGT

ISENX-OS/UCS Dir/

Hypervisors

IOS/RoutingRA-VPN

Способы подключения устройств/пользователей– ЛВС– БЛВС– RA VPN

ЦОД

Подключения партнерских

организаций

Способы классификации


Динамическая классификация Статическая классификация• IP Address

• VLANs

• Subnets

• L2 Interface

• L3 Interface

• Virtual Port Profile

• Layer 2 Port Lookup

Классификация пользователей и устройств

Классификация для серверов, статических подключений

802.1X Authentication

MAC Auth Bypass

Web AuthenticationSGT

12

Динамическая классификация


Статическая классификация


IP to SGT mappingcts role-based sgt-map A.B.C.D sgt SGT_Value

VLAN to SGT mapping*cts role-based sgt-map vlan-list VLAN sgt SGT_Value

Subnet to SGT mappingcts role-based sgt-map A.B.C.D/nn sgt SGT_Value

L3 ID to Port Mapping**(config-if-cts-manual)#policy dynamic identity name

L3IF to SGT mapping**cts role-based sgt-map interface name sgt SGT_Value

L2IF to SGT mapping*(config-if-cts-manual)#policy static sgt SGT_Value

Пример IOS CLI

* нужен IP Device Tracking** нужен route prefix snooping

Централизованная cтатическая классификация


Передает соответствия на выбранные устройства по SSH


Распространение информации

Передача информацииSGT



Способ 1. Inline SGT. «Новое» оборудование

Cat3850 Nexus 2248

WLC5508 ASA5585

Enterprise Backbone

Nexus 2248

Cat6500 Sup2T Nexus 7000 Nexus 5500ISE

CRM

ESXi

Соединения с передачей метки в ethernet-кадре

Классифика-ция на доступе

Классификация ЦОДПриме-нение

политики



Способ 1. Inline SGT. «Новое» оборудование

• SGT в заголовке Cisco Meta Data (CMD) Ethernet-кадра

• Оборудование должно поддерживать inline SGT «в железе»

• Не влияет на IP MTU• Влияет на размер кадра: ~40 байт• Рекомендованное L2 MTU: ~1600 bytes• Оборудование «не умеющее в»

TrustSec, сбросит кадр• Опциональное шифрование MACsec

CRC

PAYLOAD

ETHTYPE

CMD

802.1Q

Source MAC

Destination MAC

Ethernet FrameCMD EtherType

Version

Length

SGT Option Type

Cisco Meta Data

SGT Value

Other CMD Option

CRC

PAYLOAD

ETHTYPE

CMD

802.1Q

Source MAC

Destination MAC

MACsec Frame

802.1AE Header

802.1AE Header

AES-

GC

M 1

28bi

tEn

cryp

tion

ETHTYPE:0x88E5

ETHTYPE:0x8909

«Новое» оборудование: Cat6k SUP2T, N7k, Cat3850, ASR1k и т.д.


Необходим для:1) На «старом» и маломощном оборудовании2) Для передачи SGT информации через устройства не поддерживающие

inline SGT


Способ 2. SXP. «Старое» оборудование

SW

SW RT

SW

SXP(Aggregation)SXP

SXP

Speaker Listener

• Две роли – speaker (передает SXP-таблицу), listener (принимает SXP-таблицу)

• TCP:64999• «легкий» протокол (CPU, легко добавить

в ПО)• MD5 аутентификация• IETF Draft

Cat2k, ASA, AireOS, Nexus 1000v и т.д.



Способ 2. SXP. «Старое» оборудование

Передача информацииSGT

Cat2960-S Nexus 2248

WLC5508 ASA5585

Enterprise Backbone

Nexus 2248

Cat6500 Sup720 Nexus 7000 Nexus 5500ISE

CRM

ESXi

Обычные соединения

Классифика-ция на доступе

Классификация ЦОДПриме-нение

политикиSXP SXP

SXP

SXP

Масштабирование SXP


Platform Max SXP Connections Max IP-SGT bindings

Catalyst 6500 Sup2T/ 6800 2000 200,000

Nexus 7000 (M Series linecards) 980 50,000

Catalyst 4500 Sup 7E 1000 256,000

Catalyst 4500-X / 4500 Sup 7LE 1000 64,000

ASA 5585-X SSP60 1000 100,000

ASA 5585-X SSP40 500 50,000

Catalyst 3850/WLC 5760 128 12,000


inline SGT- естественный способ передачи метки безопасности- требует нового оборудованияSXP- «еще один протокол»- необходимо планировать архитектуру SXP- обнаружение петель начиная с 4-й версии SXP- при изменении топологии TrustSec, перенастройка SXP отношений- не забыть разрешить TCP:64999*- нужно продумать резервирование**


SXP или inline SGT? Что использовать?

* ВАЖНО** ОЧЕНЬ ВАЖНО


Метка безопасности как глобальный атрибут трафика- использовать в QoS, PBR, ACI и т.п.


Будущее inline SGT…



Важный нюанс. MACSEC

Mode MACSEC MACSEC PairwiseMaster Key (PMK)

MACSEC PairwiseTransient Key (PTK)

Encryption Cipher Selection

(no-encap, null, GCM,GMAC)

Trust/Propagation Policy for Tags

cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured

cts manual – с шифрованием

Y Static Dynamic Static Static

cts manual –без шифрования

N N/A N/A N/A Static

• CTS Manual рекомендуется• “cts dot1x” выключит порт если AAA-сервер недоступен• Некоторые платформы (ISRG2, ASR1K, N5K) не поддерживают шифрование

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/15-e/sec-usr-cts-15-e-book/cts-critical-auth.html• CTS Critical Authentication Cisco IOS 15.2(2)E / IOS XE Release 3.6E


Применение политики


SGFW – ASA55xx, ASR1k (ZBFW), ISR G2 (ZBFW)SGACL – Cat3650-X и выше, Cat4500E Sup7E, Cat6500 Sup2T, N1000v и выше, WLC5760


ПлатформыКлассификация ЦОДПриме-

нениеполитики

Классификация на доступе

Передача информации

Cat3850 Nexus 2248

Nexus 2248

Nexus 7000 Nexus 5500ISE

CRM

ESXi

ASA5585

SXP

Cat6500 Sup2T



Централизованные политики в ISE

permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 137permit tcp dst eq 138permit tcp des eq 139deny ip

Portal_ACL

Кеширование SGT


Для передачи нетегированноготрафика на устройства без поддержки CTS (LB, IPS)

Коммутатор создает IP-SGT привязку из inline SGT

DC Access Layer

SGACL enabled Device

Physical ServersPhysical ServersSGT Tagged Traffic

Untagged Traffic

SXP

8 SRC:10.65.1.9DST: 10.1.100.52

SGT: 8

IP Address SGT10.65.1.9 8 (Employee)

8


Сценарии использования

С чего начать развертывание?

Пилот (минимальное влияние на текущую работу)

- категоризация пользователей и ресурсов – неполная

- классификация пользователей – 802.1x monitor mode

- классификация серверов – IP-SGT

- распространение – SXP

- применение политики SGACL с дублирующими разрешениями/частичным deny

- удобный сценарий «Доступ пользователей в ЦОД»


Приме-нение

политики


С чего начать развертывание?


Пилотный проект (SXP, SGACL, IP-SGT). ДОСТУП В ЦОД


Cat2960-S Nexus 2248Enterprise Backbone

Nexus 2248


CRM

ESXi

Обычные соединения

Классификация ЦОД

SXP IP-SGT802.1x

monitor mode SGACL(в ISE)

Классификация ЦОД


Приме-нение

политики



Cat3850 Nexus 2248

Nexus 2248


CRM

ESXi

inline SGT IP-SGT(централизованно в ISE)

802.1xmonitor mode SGFW

С чего начать развертывание?Пилотный проект’ (inline SGT, SGFW). ДОСТУП В ЦОД

ASA5585

SXP

Cat6500 Sup2T

Соединения с передачей метки в ethernet-кадре

СЦЕНАРИЙ: Сегментация в ЦОД


- разделение Production/Development серверов

- требования PCI DSS

горизонтальный трафик через SGACL на N7k, N6000, N5600, N5000, N1000v

DC FW DC Switch

DevelopmentServers

Применение политик

SXP

HRDatabase

ISE

классификацияN1k port profile -> N7k, N5k -> N7k

СЦЕНАРИЙ: Сегментация в ЛВС

горизонтальный трафик через SGACL (ISE!) на Cat3560-X, 3750-X, 3850, 4500E (Sup7E), 4500X, Cat6k Sup2T, WLC5760


AireOS

СЦЕНАРИЙ: TrustSec в КСПД


Inline SGT через WAN : ISR G2 IOS 15.4(1)T & ASR1000 15.4(1)S

Ethernet inline SGT ISRG2 & ASR 1000 (кроме ISR800)

Передача SGT в заголовках GET-VPN and IPsec VPN

SXP от ISR до ASR как план «Б»

SGFW на ISR/ASR Zone-based Firewall

Cat2960X

Cat3750-XФилиал Б

SGT черезGET-VPN или

IPsec VPNили SXP

HQ

Inline SGTASR1000 Router

Филиал А

ISRG2

ISRG22900/3900

SXP


Cat4500Cat4500

Cat4500

Cat6500/Sup2T

Cat6500/Sup2T

N7KN7K

N5KN5K

N2248

N2K

ASA RA-VPN

ASR1K

ASA ASA

ASR1K

ISR G2

Cat3750-X

5508 WLC

AP

Cat3850

ISE1.2C800 (CVO)

Campus Access Block

Core Block

Internet Edge Block

DC Block

Branch Block

ISR G2

ISR G2

IPSec GET-VPN

DMVPN в процессеFlexVPN в процесс

SSL-VPN (RAS)

Cat6500/Sup2TCat6500/Sup2T

5760 WLC DMZ Switch

Outside Switch

InternetN1KV

UCSVDI Infra

SGACL

ZBSGFWZBSGFW

SGACL

SGFW

SGACL

ZBSGFW

SGFW

SGACL

Nexus 6000

Cat3850

Web Security Appliance

Cat3560-X Cat3560-X

APSGACL SGACL

AP

Cat3750-X

5508 WLC

SGACL

SGACL

ASA-1kvCSR-1kV

VSG

ASA+IPS+CX

Cat4500

Соединение с inline SGTОбычное соединение

SXPv2

SXPv2

SXPv2

SXPv2


Новые возможности ISE 1.3

ISE 1.3

- Внутренний УЦ (для BYOD внедрений). Возможность интеграции с корпоративной PKI

- Поддержка нескольких лесов AD (без доверительных отношений)- pxGrid – новый способ передавать информацию безопасности- Переработанный интерфейс администратора и пользователей рабочих

процессов гостевого доступа и BYOD- Поддержка Email/SMS для передачи информации гостям + список ОпСоС- Ограничение числа гостевых подключений- Уведомление об истечении срока действия учетной записи по SMS/email- И мн. др.!26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 38

Ссылки и дополнительная информация

CTS Start Pagehttp://www.cisco.com/go/trustsec

CTS System Bulletin v5.0http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00-secure-access.pdf

TrustSec Design Guide (версия 2.1)http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

SXP IETF Drafthttp://tools.ietf.org/html/draft-smith-kandula-sxp-00

Ролики на YouTube – канал “CiscoISE”https://www.youtube.com/user/CiscoISE


http://www.cisco.com/go/trustsec

http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00-secure-access.pdf

http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

http://tools.ietf.org/html/draft-smith-kandula-sxp-00

https://www.youtube.com/user/CiscoISE

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, заполните анкеты. Код 3661Ваше мнение очень важно для нас.

Спасибо

Алексей Спирин[email protected]


Technology

Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распределенной сети