Post on 23-Jan-2017
Александр Стрельцов Инструктор, Сетевая Академия ЛАНИТ astreltsov@academy.ru
Декабрь 22, 2015
Cisco Support Community
Expert Series Webcast
Cisco ISE в управлении доступом к сети
Вебинар на русском языке
Январь 19, 2015
В рамках вебинара мы рассмотрим новый стандарт
передачи данных в беспроводных сетях – 802.11ac.
Вначале мы вспомним о наиболее важных деталях
стандарта 802.11n. Далее мы обсудим различия 802.11ac и
802.11n, предыдущего стандарта. Рассмотрим детали
реализации некоторых новых возможностей стандарта,
таких, как MU-MIMO (многопользовательский режим
MIMO). Поговорим о вызовах индустрии, которые
привносит 802.11ac.
Различия стандартов 802.11n и 802.11ac
Ирина
Ильина-Сидорова
Как стать активным участником? Легко!
• Создавайте документы, пишите блоги, загружайте
видео, отвечайте на вопросы пользователей.
• Вклад оценивается на основе таблицы лидеров
• Также оценивается количество документов, блогов
и видео, созданных пользователем.
• Вклад оценивается только по русскоязычному
сообществу, не включая рейтинг, набранный в
глобальном Cisco Support Community.
Премия "Самый активный участник Сообщества Поддержки Cisco"
Оцени контент
Ваши оценки контента дают возможность авторам получать баллы.
Хотите чтобы поиск был удобным и простым? Помогите нам распознать качественный контент в Сообществе. Оценивайте документы, видео и блоги.
Пожалуйста, не забывайте оценивать ответы пользователей, которые щедро делятся своим опытом и временем.
https://supportforums.cisco.com/ru/community/4926/pomoshch-help
22 декабря – 31 декабря 2015
Сессия «Спросить Эксперта» с Александром Стрельцовым
Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке: https://supportforums.cisco.com/community/russian/expert-corner Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке https://supportforums.cisco.com/community/russian/expert-corner/webcast
Александр
Стрельцов
Конкурс “Cisco ISE в управлении доступом к сети”
22 декабря в 13:00 мск
Мы предлагаем Вам принять участие в конкурсе после проведения вебкаста, который так и будет называться
«Cisco ISE в управлении доступом к сети»
• Первые три победителя получат фирменный куб Cisco-TAC
• Ответы присылайте на csc-russian@external.cisco.com
• Задание конкурса будет размещено сегодня после проведения
вебкаста (13-00мск)
Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/12732196
Спасибо, что присоединились к нам сегодня!
Присылайте Ваши вопросы! Используйте панель Q&A, чтобы задать вопрос.
Александр ответит на некоторые ваши вопросы
после презентации в режиме он-лайн
Сегодняшняя
презентация включает
опросы аудитории
Пожалуйста, примите
участие в опросах!
Александр Стрельцов
Инструктор, Сетевая Академия ЛАНИТ astreltsov@academy.ru Декабрь 22, 2015
Cisco Support Community Expert Series Webcast
Cisco ISE в управлении доступом к сети
Содержание
• Cisco ISE в управлении доступом к сети
• Способы внедрения Cisco ISE
• Элементы политики
• Сервисы аутентификации и авторизации, поддерживаемые Cisco ISE
• Заключение
Управление доступом
Необходима технология ориентированная на целостный подход к защите доступа к сети и, позволяющая:
• Простую интеграцию и обеспечение безопасности всех устройств
• Точную идентификацию всех пользователей и устройств подключённых к сети
• Централизованное, зависимое от контекста управление политикой, позволяющее контролировать доступ любых пользователей из любого места и с любых устройств
Безопасный контроль доступа
Cisco ISE – высокопроизводительное и гибкое решение для
контроля доступа с учётом контекста
Безопасный контроль доступа
Компоненты решения по защите доступа
Вопрос 1
Какие два компонента относятся к решению по защите доступа, разработанному компанией Cisco?
1. Фильтрация пакетов
2. Сервис posture
3. TLS шифрование
4. SGA
Cisco ISE
• Cisco ISE реализует гибкие централизованные сервисы управления доступом к сети
Cisco ISE
Cisco ISE как политическая платформа Процесс принятия решений
Способы внедрения Cisco ISE
Персона Описание Символ
Администрирования Интерфейс для настройки политики, которые
автоматически передаются другим
компонентам
Сервиса политики Механизм принятия политических решений.
Мониторинга Интерфейс для регистрации событий и
составления отчётов.
Способы внедрения Cisco ISE
• .
Элементы политики в Cisco ISE
Политика – это набор условий и результат
Условия состоят из:
• Атрибута
• Оператора
• Значения
Два типа политики:
• Простая
• Опирающаяся на правила
Cisco ISE аутентификация
Условия аутентификации в Cisco ISE
Разрешённые протоколы в Cisco ISE
• Разрешённые протоколы – это результат выполнения политики аутентификации
Настройка или создание правил аутентификации
Авторизация в Cisco ISE
Политика авторизации в Cisco ISE
Профиль авторизации в Cisco ISE
• Профиль авторизации состоит из разрешений
Политика авторизации в Cisco ISE
• Политика авторизации состоит из одного или более правил
• Правило имеет имя, параметры условий контента и ссылку на профиль авторизации
Настройка профиля авторизации в Cisco ISE • Профиль авторизации объединяет элементы политики, которые
будут применены к сеансу клиента
Настройка правил политики авторизации в Cisco ISE • Правило авторизации с именем Default - последнее в политике
авторизации. Управляет запросами клиентов, которые не соответствуют ни одному существующему правилу политики
Какие два элемента политики используются в авторизации?
1. Разрешения
2. Разрешенные протоколы
3. dACL
4. Профиль авторизации
Вопрос 2
Cisco TrustSec
Cisco TrustSec включает SGT и MACsec
Функции SGT можно разбить на три категории:
• Классификация назначает SGT пользователю или серверу
• Транспортировка связывает группу безопасности с трафиком проходящим через сеть
• Применение реализует политику запрета или разрешения по SGT источника и назначения.
Классификация SGT
Таг – это идентификатор привилегий источника (пользователя, устройства или объекта)
ISE поддерживает динамическое и статическое тагирование
SGT транспорт • SGT распространяется в заголовке Cisco Meta Data (CMD)
Ethernet фрейма
• Оборудование должно поддерживать inline SGT
• Дополнительное шифрование MACsec
MACsec
Применение политики с помощью SGACL
Определение группы безопасности • Группа безопасности – это набор устройств, которые используют
общую политику защиты
• ISE автоматически назначает 16-битовый SGT
Гостевые сервисы в Cisco ISE
• Гостевые сервисы в Cisco ISE охватывают полный жизненный цикл учётных данных гостей
• Гостевые сервисы ISE предоставляют настраиваемые порталы для гостей и спонсоров
Гостевые сервисы и WebAuth
• Cisco ISE включает гостевые сервисы с помощью функции WebAuth
Приложения гостевых сервисов в Cisco ISE
Приложение Описание
Портал администратора основной интерфейс для управления. Облегчает настройку
глобальной политики для спонсоров и гостей.
Портал спонсоров облегчает настройку и поддержку учётных записей гостей.
Портал гостевых пользователей облегчает регистрацию гостевых пользователей. Включает экран
для входа, экран с допустимой политикой использования, экран
для изменения пароля, экран само-регистрации.
Сервис posture в Cisco ISE
• Проверяет конечное устройство на соответствие требованиям политики безопасности организации
Функциональная область Описание
Предоставление клиента Автоматизирует установку и обновление NAC агента.
Политика posture Определяет термины соответствия и несоответствия
политике безопасности организации.
Политика авторизации Определяет разрешения в зависимости от состояния
конечного устройства: unknown; compliant; noncompliant.
Сервис posture в Cisco ISE
Сервис posture в Cisco ISE
• Есть два типа NAC агентов, постоянный агент и Web агент
Сервис posture в Cisco ISE
• Условия posture используются для проверки определённых атрибутов в системе клиента
• Обычные условия включают:
Проверку windows updates
Проверку антивирусов
Проверку наличия пароля для screen sever
Проверку ключей регистра
Сервис posture в Cisco ISE Строительные блоки политики Posture
• Политика posture определяет технические требования, которые описывают требования в терминах соответствия
• Политика состоит из правил. Каждое правило имеет уникальное имя и одно или несколько условий
• Условия могут быт простыми или составными и относятся к нескольким категориям: файлы, регистры, сервисы, приложения, сложные регулярные условия, антивирусы и антишпионы
Настройка условий Posture • Условия Posture используются для проверки состояния ПО на
конечном устройстве клиента
Настройка исправлений
• Исправление необходимо для защиты устройства
• Запускается если система не соответствует требованиям
• Восстановление может быть выполнено вручную или автоматически
Настройка требований posture • Требования определяют жизненный статус конечного устройства
• Cisco ISE имеет восемь встроенных требований
• Эти требования предоставляют стартовую точку для определения политики
Настройка политики авторизации для posture • Состояние может быть установлено в процессе исследования
атрибута PostureStatus
• Атрибут может иметь одно из трех значений: Compliant, NonCompliant или Unknown
Сервис профилирования в Cisco ISE
• Основная цель сервиса профилирования – это классификация конечных устройств
• Профиль определяет группу идентичности устройства, которая является атрибутом, используемым при определении условий в политике аутентификации и авторизации
Сервис профилирования в Cisco ISE
Сервис профилирования в Cisco ISE
• Сенсор – это метод, используемый для сбора атрибутов конечных устройств, находящихся в сети. Сенсоры позволяют создавать и модернизировать профили конечных устройств
Политика профилирования • Сервис профилирования исследует атрибуты конечных устройств и
назначает устройства в группы идентичности. Логика исследования и назначения определяется в политике профилирования. Эта политика использует комбинацию условий для идентификации устройств
Настройка политики авторизации для использования профайлера
• Сервис профилирования используют для дифференциации доступа к сети опираясь на профиль устройства
Заключение
• Cisco ISE снижает риски связанных с безопасностью информации:
В корпоративной сети только доверенные устройства
Упрощение и централизация политики сетевого доступа
Внедрение средств автоматизации сетевых политик доступа
• Снижение операционных затрат:
Политики привязаны к пользователю, а не к месту и способу доступа
Повышение наблюдаемости и простоты управления сетевым доступом
Внедрение качественно новых средств автоматизации и контроля
Интеграция понятия контекст в широкий набор сетевых решений и решений информационной безопасности
Вопрос 3
Используете ли вы технологии, рассмотренные в презентации?
1. Да
2. Нет, но планируем
3. Нет, и в ближайшее время внедрение не планируем
Отправьте свой вопрос сейчас! Используйте панель Q&A, чтобы задать вопрос.
Эксперты ответят на Ваши вопросы.
Приглашаем Вас активно участвовать в Сообществе и социальных сетях
Vkontakte http://vk.com/cisco
Facebook http://www.facebook.com/CiscoSupportCommunity
Twitter https://twitter.com/CiscoRussia
You Tube http://www.youtube.com/user/CiscoRussiaMedia
Google+ https://plus.google.com/106603907471961036146
LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798428
Instgram https://instagram.com/ciscoru
Подписаться на рассылку csc-russian@external.cisco.com
Мы также предоставляем Вашему вниманию Сообщества на других языках!
Если Вы говорите на Испанском, Португальском или Японском, мы приглашаем Вас принять участие в Сообществах:
Русское http://russiansupportforum.cisco.com
Испанское https://supportforums.cisco.com/community/spanish
Португальское https://supportforums.cisco.com/community/portuguese
Японское https://supportforums.cisco.com/community/csc-japan
Китайское http://www.csc-china.com.cn
Если Вы говорите на Испанском,
Португальском или Японском, мы
приглашаем Вас принять участие и вести
общение на Вашем родном языке
Технические семинары в клубе Cisco Expo Learning Club
http://ciscoclub.ru/events
Пожалуйста, участвуйте в опросе
Спасибо за Ваше внимание!