Post on 20-Jul-2020
Cisco ISE
в управлении доступом к сети
Александр Стрельцов
Сетевая Академия ЛАНИТ
astreltsov@academy.ru
12.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.
Управление доступом
Корпоративная сеть не ограничена помещением офиса.
Управление доступом
Необходима технология ориентированная на целостный
подход к защите доступа к сети и, позволяющая:
• Простую интеграцию и обеспечение безопасности всех устройств.
• Точную идентификацию всех пользователей и устройств
подключѐнных к сети.
• Централизованное, зависимое от контекста управление
политикой, позволяющее контролировать доступ любых
пользователей из любого места и с любых устройств.
Безопасный контроль доступа
Cisco ISE – высокопроизводительное и гибкое решение для
контроля доступа с учётом контекста.
Безопасный контроль доступа
Компоненты решения по защите доступа.
Cisco ISE
Cisco ISE реализует гибкие централизованные сервисы управления
доступом к сети.
Cisco ISE
Cisco ISE как политическая платформа Процесс принятия решений.
Способы внедрения Cisco ISE
Персона Описание Символ
Администрирования Интерфейс для настройки
политики, которые автоматически
передаются другим компонентам
Сервиса политики Механизм принятия политических
решений.
Мониторинга Интерфейс для регистрации
событий и составления отчѐтов.
Способы внедрения Cisco ISE
.
Элементы политики в Cisco ISE
Политика – это набор условий и результат.
Условия состоят из:
•Атрибута,
•Оператора,
•Значения.
Два типа политики:
•Простая;
•Опирающаяся на правила.
Cisco ISE аутентификация
Условия аутентификации в Cisco ISE
Разрешѐнные протоколы в Cisco ISE
Разрешѐнные протоколы – это результат выполнения
политики аутентификации.
Настройка или создание правил аутентификации
Авторизация в Cisco ISE
Политика авторизации в Cisco ISE
Профиль авторизации в Cisco ISE
Профиль авторизации состоит из разрешений.
Политика авторизации в Cisco ISE
Политика авторизации состоит из одного или более
правил.
Правило имеет имя, параметры условий контента и ссылку
на профиль авторизации.
Настройка профиля авторизации в Cisco ISE
Профиль авторизации объединяет элементы политики, которые
будут применены к сеансу клиента.
Настройка правил политики авторизации в Cisco
ISE
Правило авторизации с именем Default - последнее в политике
авторизации. Управляет запросами клиентов, которые не
соответствуют ни одному существующему правилу политики.
Cisco TrustSec
Cisco TrustSec включает SGT и MACsec.
Функции SGT можно разбить на три категории:
Классификация назначает SGT пользователю или серверу.
Транспортировка связывает группу безопасности с трафиком
проходящим через сеть.
Применение реализует политику запрета или разрешения по SGT
источника и назначения.
Классификация SGT
Таг – это идентификатор привилегий источника (пользователя,
устройства или объекта).
ISE поддерживает динамическое и статическое тагирование.
SGT транспорт
SGT распространяется в заголовке Cisco Meta Data (CMD) Ethernet
фрейма
Оборудование должно поддерживать inline SGT
Дополнительное шифрование MACsec
Применение политики с помощью SGACL
Определение группы безопасности
Группа безопасности – это набор устройств, которые используют
общую политику защиты.
ISE автоматически назначает 16-битовый SGT.
MACsec
Гостевые сервисы в Cisco ISE
Гостевые сервисы в Cisco ISE охватывают полный жизненный цикл
учѐтных данных гостей.
Гостевые сервисы ISE предоставляют настраиваемые порталы для
гостей и спонсоров.
Гостевые сервисы и WebAuth
Cisco ISE включает гостевые сервисы с помощью функции WebAuth.
Приложения гостевых сервисов в Cisco ISE
Приложение Описание
Портал администратора основной интерфейс для управления. Облегчает
настройку глобальной политики для спонсоров и
гостей.
Портал спонсоров облегчает настройку и поддержку учѐтных записей
гостей.
Портал гостевых
пользователей
облегчает регистрацию гостевых пользователей.
Включает экран для входа, экран с допустимой
политикой использования, экран для изменения
пароля, экран само-регистрации.
Сервис posture в Cisco ISE
Проверяет конечное устройство на соответствие
требованиям политики безопасности организации.
Функциональная область Описание
Предоставление клиента Автоматизирует установку и обновление NAC
агента.
Политика posture Определяет термины соответствия и
несоответствия политике безопасности
организации.
Политика авторизации Определяет разрешения в зависимости от
состояния конечного устройства: unknown;
compliant; noncompliant.
Сервис posture в Cisco ISE
Сервис posture в Cisco ISE
Есть два типа NAC агентов, постоянный агент и Web агент.
Сервис posture в Cisco ISE
Условия posture используются для проверки определѐнных
атрибутов в системе клиента.
Сервис posture в Cisco ISE
Строительные блоки политики Posture
Политика posture определяет технические требования, которые
описывают требования для соответствия.
Политика состоит из правил. Каждое правило имеет уникальное имя
и одно или несколько условий.
Условия могут быт простыми или составными и относятся к
нескольким категориям: файлы, регистры, сервисы, приложения,
сложные регулярные условия, антивирусы и антишпионы.
Настройка условий Posture
Условия Posture используются для проверки состояния ПО на
конечном устройстве клиента.
Настройка исправлений
Исправление необходимо для защиты устройства.
Запускается если система не соответствует требованиям.
Восстановление может быть выполнено вручную или автоматически.
Настройка требований posture
Требования определяют жизненный статус конечного устройства.
Cisco ISE имеет восемь встроенных требований.
Эти требования предоставляют стартовую точку для определения
политики.
Настройка политики авторизации для posture
Состояние может быть установлено в процессе исследования
атрибута PostureStatus.
Атрибут может иметь одно из трех значений: Compliant,
NonCompliant или Unknown.
Сервис профилирования в Cisco ISE
Основная цель сервиса профилирования – это классификация
конечных устройств.
Профиль определяет группу идентичности устройства, которая
является атрибутом, используемым при определении условий в
политике аутентификации и авторизации.
Сервис профилирования в Cisco ISE
Сервис профилирования в Cisco ISE
Сенсор – это метод, используемый для сбора атрибутов конечных
устройств, находящихся в сети. Сенсоры позволяют создавать и
модернизировать профили конечных устройств.
Политика профилирования
Сервис профилирования исследует атрибуты конечных устройств и
назначает устройства в группы идентичности. Логика исследования и
назначения определяется в политике профилирования. Эта политика
использует комбинацию условий для идентификации устройств.
Настройка политики авторизации для
использования профайлера
Сервис профилирования используют для дифференциации доступа
к сети опираясь на профиль устройства.
Cisco ISE заключение
Снижение рисков связанных с безопасностью информации
• В корпоративной сети только доверенные устройства
• Упрощение и централизация политики сетевого доступа
• Внедрение средств автоматизации сетевых политик доступа
Снижение операционных затрат
• Политики привязаны к пользователю, а не к месту и способу доступа
• Повышение наблюдаемости и простоты управления сетевым доступом
• Внедрение качественно новых средств автоматизации и контроля
• Интеграция понятия контекст в широкий набор сетевых решений и решений информационной
• безопасности
Благодарю за внимание!
УЦ «Сетевая Академия ЛАНИТ»
www.academy.ru