Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE)

Владимир Илибман voilibma@cisco.com

Программа •  Identity Services Engine и TrustSec. •  Управление доступом с учетом контекста: –  Кто: Аутентификация –  Что: Профилирование, оценка состояния, изменение авторизации (CoA)

–  Применение политик доступа –  Управление гостевым доступом

•  Эксплуатация •  Дизайн и внедрение •  Направления развития

Identity Services Engine Вступление

Эволюция сетевого доступа Эпоха сетей без границ

Кампусная сеть

Внутренние ресурсы

Филиал

Интернет

Сотрудники (Продавцы)

Сотрудники (Продавцы)

VPN

Сотрудники (Финансы)

Контрактники Гости IP камера

Телеработа

VPN

VPN

Мобильные сотрудники

Сотрудники с WiFI-

устройствами

Системы безопасности

Принтеры (Бухгалтерия)

Принтеры(Sales)

Распространение мобильных устройств

Время

•  7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет выходить на рынок в ближайшие пять лет.*

•  К 2015 году будет 7.400 млрд 802.11n устройств на рынке*

•  1.2 миллиарда смартфонов выйдет на рынок в течение следующих пяти лет, около 40% всех поставок телефонов .*

•  К 2012 году более 50% мобильных устройств будет поставляться без проводных портов .***

§ Источники: *ABI Research, **IDC, *** Morgan Stanley Market Trends 2010

Big

Задачи управления доступом

КТО ПОДКЛЮЧИЛСЯ ?

ЧТО ЗА УСТРОЙСТВО ?

КАК ПОДКЛЮЧИЛСЯ? ГДЕ

ПОДКЛЮЧИЛСЯ ?

КУДА разрешатся доступ

Управление Сервисы Безопасность

КОРПОРАТИВНАЯ СЕТЬ

Cisco Infrastructure

Динамический контекст

Политики доступа

Идентификация

Контроль

доступа

Контроль

доступа

Архитектура TrustSec. Контроль доступа на уровне сети Клиентские устройства

ЦОД и приложения

Архитектура Cisco TrustSec. Сервисы

Контекст: “Кто” и Что находится в моей сети?

Куда cмогут иметь доступ пользователи/устройства?

Защищены ли сетевые коммуникации?

Идентификация и Аутентификация

802.1X, Web Authentication, MAC-адреса, Профилирование

Авторизация и Контроль доступа

Целостность данных и конфиденциальность

VLAN DACL Security Group Access

MACSec (802.1AE)

ПОЛИТИКА БЕЗОПАСНОСТИ

Identity Firewall

Контроль доступа: традиционный подход

Клиент

Управление политиками и сервисами безопасности

Применение политик

NAC Manager NAC Guest NAC Profiler ACS

WiFI Маршрутизаторы Коммутаторы

Межсетевые экраны

NAC агент Web-агент или браузер

AnyConnect или встроенный в ОС

NAC Appliance

Контроль доступа TrustSec Основные компоненты

Коммутаторы Межсетевые экраны

Identity Services Engine (ISE)

The i

NAC агент Web-агент или браузер

AnyConnect или встроенный в ОС

Клиент

Применение политик

Управление политиками и сервисами безопасности

WiFI Маршрутизаторы

ISE: платформа централизованного управления политиками и сервисами

Централизованная идентификация пользователей и устройств в сети

Автоматизация предоставления сервиса сетевого доступа для сотрудников, гостей и устройств

Применение согласованных политик доступа

на основе идентификации

Эффективность IT

Безопасность инфраструктуры и compliance

Cisco ISE

ISE. Гибкая безопасность на основе политик

Я хочу разрешить Я хочу разрешить

Мне нужно разрешить / Мне нужно разрешить / запретить iPADы в моей

Я хочу разрешить доступ к своей сети

только авторизованным

Как я могу установить Как я могу установить политики, основанной на личности сотрудника, а не

Мне нужно, чтобы мои Мне нужно, чтобы мои конечные устройства не

Мне необходимо защищать

конфиденциальные коммуникации

Управление жизненным циклом гостевого доступа

Сервисы профилирования

Сервисы оценки состояния

Идентификация и авторизация

Технология MACSec

Cisco    ISE  

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Управление доступом на основе групп безопасности

Что такое политика на основе контекста?Что такое политика на основе контекста?

•  Доступ на основе контекста

Кто? Кто?

Что? Что? Идентификация устройств Классификация устройств

Где? Где? Местоположение

Когда? Когда? Дата Время

Как? Как? Проводное подключ. Беспроводка

Другие условия? • AD, LDAP атрибуты • Имеет ли сотрудник бейдж в

Кто? Идентификация и аутентификация

“- А какие у вас докУменты? Усы, лапы и хвост — вот мои документы!”

— Каникулы в Простоквашино

редкий доступ)

Основной способ аутентификациии: Основной способ аутентификациии: Веб-аутентификация Веб-аутентификация Учитывать: Учитывать:

•  Портал для веб-аутентификации •  Портал для веб-аутентификации

•  Создание и хранилище гостевых учетных записей •  Создание и хранилище гостевых учетных записей

КТО= Идентификация пользователя КТО= Идентификация пользователя

–  Основной способ аутентификациии: –  Основной способ аутентификациии: 802.1X или NAC-агент 802.1X или NAC-агент –  Учитывать:

•  Хранилище для идентификации •  Типы 802.1x EAP и выбор клиента/сапликанта

Сотрудники и контрактники

Гости, Сотрудники с “чужого” компьютера

Identity Services Engine (ISE) Хранилище идентификации/ Источники атрибутов

Хранилище OS / Версия ISE Internal Endpoints, Internal Users

RADIUS RFC 2865-compliant RADIUS сервера

Active Directory Microsoft Windows Active Directory 2000 Microsoft Windows Active Directory 2003, 32-bit only Microsoft Windows Active Directory 2003 R2, 32-bit only Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit

LDAP Сервера SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 or later

Token Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts

802.1X агенты (сапликанты)

•  Встроенный в Windows Win7— EAP-TLS, PEAP

•  Встроенный в Windows XP—EAP-TLS, PEAP, MD5

•  Встроенный в Windows Mobile 7 •  Open1x клиент для Linux •  Встроенный в принтеры для некоторых

производителей (например HP) •  Встроенный в Apple OS X — EAP-TTLS,

TLS, FAST, PEAP, LEAP, MD5 •  Встроенный в Apple iOS •  Встроенный в Android •  Встроенный в Cisco IP Phone — EAP-

MD5, FAST, TLS •  Встроенный в IP-камеры, устройства

СКУД для некоторых вендоров (например Cisco)

•  Встроенный в Windows Win7•  Универсальные сапликанты (например — EAP-TLS, Cisco AnyConnect)

Windows HP Jet Direct

Solaris

7921

Apple

IP Phones

WLAN APs

Pocket PC

“Огласите весь список, пожалуйста.” – "Операция "Ы"

Агенты

AnyConnect 3.0 § Унифицированный интерфейс доступа

§ 802.1X for LAN / WLAN § VPN (SSL-VPN и IPSec) § Mobile User Security (WSA /

ScanSafe) § Поддержка MACSec / MKA (802.1X-

REV) для программного шифрования данных; Производительность зависит от CPU

§ Сетевые карты с аппаратной поддержкой MACSec имеют увеличенную производительность с AC 3.0

В будущем единый унифицированный агент

NAC агент § Оценка состояния -“здоровья”

§ Постоянный агент

§  Временный агент

TrustSec Шифрование MACSec

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1X AnyConnect 3.0

Finance Admin

Finance Admin =

Must Encrypt

Authentication Successful!

ISE 1.0

MACSec in Action

Cat3750X

Уже сейчас поддерживается: • Шифрование MACSec в DC между Nexus 7000 • Шифрование пользовательских интерфейсов от AnyConnect к Catalyst 3KX (MKA)

TrustSec 2.0 добавляет: • Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus 7000 • Шифрование использует SAP, а не MKA для генерации ключей

&^*RTW#(*J^*&*sd#J$%UJ&(

Catalyst 6500 or Nexus 7000

Обеспечение сквозного шифрования из конца в конец Обеспечение сквозного шифрования из конца в конец

Cisco Catalyst 6K (SUP-2T)

• Шифрование между коммутаторами

• SUP 2T модуль

Cisco Catalyst 3KX

•  1G – на существующих портах

•  10G – требуется новый сервис-модуль 3KX

Cisco Catalyst 4K

• Шифрование между коммутаторами • 4500E : Sup7-E аплинки и 47xx линейные карты (FCS 2H CY11)

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1X

Supplicant with

MACSec

Guest User

MACSec Capable Devices (New Switch-to-Switch Encryption)

&^*RTW#(*J^*&*sd#J$%UJWD&(

Data sent in clear

MACSec Link

Encrypt Decrypt Authenticated User

• Неизвестные / “неуправляемые” пользователи (временный или редкий доступ)

Основной способ аутентификациии: Веб-аутентификация Учитывать:

•  Портал для веб-аутентификации

•  Создание и хранилище гостевых учетных записей

Доступ на основе контекста КТО= Идентификация пользователя •  Известные/ “управляемые” пользователи (постоянный доступ)

–  Основной способ аутентификациии: 802.1X или NAC-агент –  Учитывать:

•  Хранилище для идентификации •  Типы 802.1x EAP и выбор клиента/сапликанта

Сотрудники и контрактники

Гости, Сотрудники с “чужого” компьютера

Веб-аутентификация

•  Нужно что-то что будет перехватывать запросы браузеров пользователей и перенаправлять на портал для веб-аутентификации Устройства доступа – коммутаторы Cisco – контроллеры беспроводной сети

Устройства безопасности

ISE обеспечивает: • Централизованный и настраиваемый веб-портал для аутентфикации • Аутентификация для гостей и сотрудников • Настройка парольных политик • Уведомление о параметрах учетной записи •  печать, электронная почта, SMS

ISE – Веб-аутентификация

Политика доступа в ISE , зависит от того “КТО” получает доступ. Пример

ЧТО=iPAD КТО?

Права доступа= Авторизация •  Employee_iPAD Set VLAN = 30 (Корп. доступ) •  Contractor_iPAD Set VLAN = 40 (Только Интернет)

Что ? Профилирование, Оценка состояния устройств,

“Что за люди ? А это не люди. А, ну прекрасно.”

— Секретная миссия.

Device Posture

Device Profile

Device Identity

Доступ на основе контекста ЧТО= Идентификация устройств, Классификация, & Состояние

•  Идентификация устройства •  Методы:

–  802.1X машинная аутентификация –  “Аутентификация” основанная на адресе

•  Классификация типа устройства (профилирование)

•  PC, лептопы, мобильники, не-пользовательские сетевые

устройства? •  Методы:

–  Статически: Присвоить типы адресам устройств –  Динамически: Профилирование(оценка сетью)

•  Оценка состояния •  AV инсталлированый /запущенный? OS патчи? Инфицирование?

00:11:22:AA:BB:CC

172.16.3.254

Примеры не-пользовательских сетевых устройств

Принтеры

Факсы/МФУ

IP телефоны

IP камеры

Беспроводные APs

Управляемые UPS

Хабы

Платежные терминалы и кассы

Медицинское оборудоваие

Сигнализация

Станции видеоконференцийи

Турникеты

Системы жизнеобеспечения

RMON Probes

Торговые машины

. . . и много другое

ISE – Статическая классификация MAC-записей

•  Одно устройство –  Статически добавляем

•  Множество устройств

LDAP Import

File Import

Сервисы динамического профилирования

Профилирование обеспечивает возможность обнаружить и классифицировать устройства • Обнаружение и классификация основаны на цифровых отпечатках устройств

• Дополнительные преимущества профилирования •  Наблюдаемость: Взгляд на то, что находится в вашей сети

• Профилирование основано на эвристике •  Выбирается “наилучшее” предположение

DHCP RADIUS SNMP

Profiling Attribute Sources NETFLOW HTTP

DNS

“Карп, ты на руки то его посмотри... Из него водила как из Промокашки скрипач...” – Место встречи изменить нельзя

ISE – условия профайла

ISE – библиотека профайлов

ISE – сбор атрибутов устройств

Device Attributes More attributes

And more attributes

Политика доступа в ISE , зависит от того “ЧТО” получает доступ. Пример

What? Who=Employee

Permissions = Authorizations •  Employee_PC Set VLAN = 30 (Полный доступ) •  Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)

Оценка состояния

•  Состояние (Posture) = состояние соответствия устройства политике безопасности компании. –  Установлены ли на системе последние Windows-патчи? –  Антивирус инсталлированный? Обновлен? –  Есть ли актуальная защита от антишпионского ПО?

•  Сейчас мы можем расширить идентификацию пользователя/системы за счет анализа оценки состояния.

•  Что может проверяться? –  AV/AS, Реестр, Файлы, Приложения/ Процессы, обновления Windows, WSUS и прочее.

•  Если не соответствует– Автоматическое приведение к безопасному статусу, предупреждение, карантин

•  Поддерживается NAC Agent (постоянный) и временный Web Agent

“Ваше курение может пагубно отразиться на моем здоровье! ...” – Малыш и Карлсон

ISE – политики состояния

Коммутатор Беспроводка VPN

Сотрудники Контрактники /Гости

Политика для сотрудников: • Установленные патчи Microsoft • McAfee AV инсталированный, запущенный с актуальными базами • Корпоративный ноутбук • Запущено корпоративное приложение

Политика для контрактников: • Установлен любой AV с актуальной базой

Гостевая политика: Принять соглашение, оценки состояния нет, только Интернет)

ISE – доступные проверки оценки состояния

• Обновления Microsoft Updates –  Service Packs –  Hotfixes –  OS/Browser versions

•  Антивирус и Антишпионское ПО

Инсталляция/Сигнатуры

•  Данные файлов

Files

• Сервисы

• Приложения/ Процессы

• Ключи реестра

Конечный пользователь нажимает ссылку для установки агента. Тип и версия Агента определяются политикой ISE.

ISE – установка агентов

NAC Agent (постоянный)

Веб-агент (временный)

Задача: •  Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ?

•  Как мы повторно авторизируем порт после веб-аутентификации пользователя?

Проблема: • По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом. Решение: •  CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом). • CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.

Изменение авторизации (CoA) “… Если друг оказался вдруг

И не друг, и не враг, а – так..” – Вертикаль. В. Высоцкий

Собираем все вместе Определение политики авторизации ISE

Тип устройства

Местоположение

Пользователь Оценка Время Метод доступа Прочие атрибуты

Применение политик. КУДА разрешатся доступ

“-Куда? -Туда. -Зачем? -Затем” – Улицы разбитых фонарей

Применение политик ISE Сегментация сети

Метод сегментаци

и

Точка применен

ия

Преимущества Недостатки

VLANS Вход •  Не требует управления ACL на порту коммутатора

•  Предпочтельный способ изоляция трафика на всем пути

•  Обычно требует изменения IP-адресов

•  Требует распространения общих сетей VLAN по всей сети доступа.

•  VLANs требуют разворачивания дополнительных механизмов применения политик

dACLs Вход •  Не требуется изменения IP •  Не требуется распространения общих VLANs в сети доступа и их управление

•  Обеспечивает контроль доступа прямо на порту коммутатора, а не на отдельном устройстве

•  Ограничение ресурсов коммутатора по количеству записей в ACL.

Secure Group Access

Выход •  Упрощает управление ACL •  Уменьшает размер политики •  Разделяет политику и IP-адресацию.

•  Пока нет универсальной поддержки SGA на всех Cisco-платформах

.

Применение политик ISE VLANs и dACLs

VLANs • Политика авторизации ISE устанавливает VLAN. Инфраструктура обеспечивает применение

• Типичные примеры VLAN : •  Карантин/ВостановлениеVLAN •  Гостевой VLAN • VLAN сотрудников.

• Обычно требует замены IP -> потенциальные проблемы с другими активностями устройства

dACLs • Политика авторизации ISE загружает dACL или именнованный

ACL на сетевое устройство. • ACL source (any) автоматически конвертируется в адрес хоста • Не требуется изменение IP-адреса, поэтому менее болезненно сказывается на функционировании устройства.

802.1X/MAB/Web Auth

VLAN присвоение

Загрузка ACL

Применение политик ISE Пример для сотрудника в беспроводной сети

•  Авторизация для устройств сотрудников устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS

Применение политик ISE Пример для гостей в беспроводной сети

•  Авторизация для гостей устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS

Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности

Security Group Based Access Control •  ISE связывает метки (SGT) по результатам идентификации пользователей •  Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе •  Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на выходе

•  Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для гранулированного доступа

802.1X/MAB/Web Auth

Finance (SGT=4)

HR (SGT=10)

I’m a contractor My group is HR

SGT = 100

Contactor & HR SGT = 100

SGACL

46

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

Применение SGT и SGACL §  Уникальная метка 16 bit (65K) присваивается каждой роли

§  Представляет привилегии пользователя, устройства или субъекта

§  Тегирование на входе в домен TrustSec

SGACL SG

Security Group

Tag

§  Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)

§  Правила без IP-адресов (IP адрес привязан к метке)

§  Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройстве TrustSec

§  Обеспечивает политики независимые от топологии

§  Гибкие и масштабируемые политики основанные на роли пользователя

§  Централизованное управление политиками для динамического внедрения правил

§  Исходящая фильтрация ведет к уменьшению нагрузки на TCAM

Преимущества

47

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

Сценарий: сеть медицинского учреждения

Пользователи Сервера Security Group

(Источник) Security Group (Назначение)

Doctor (SGT 7)

Staff (SGT 11)

Guest (SGT 15)

IT Admin (SGT 5)

SGACL

Medical DB (SGT 10)

Internal Portal (SGT 9)

Public Portal (SGT 8)

IT Portal (SGT 4)

100 x

5 x

145 x

150 x

x 15

x 5

x 5

x 5

48

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

Эффективность SGACL в реальных условиях 400 пользователей получают доступ к 30 сетевым ресурсам с 4 типами полномочий для каждого ресурса Традиционный ACL на FW без фильтрации источника

Any (src) * 30 (dst) * 4 permission = 120 ACEs

Традиционный ACL на интерфейсе VLAN – используя фильтрацию по подсетям источника трафика

4 VLANs (src) * 30 (dst) * 4 permission = 480 ACEs

С технологией SGACL 4 SGT (src) * 4 SGT (dst) * 4 permission = 64 ACEs

Фильтрация на порту с помощью Downloadable ACL

1 Group (src) * 30 (dst) * 4 permission = 120 ACEs

400 (src) * 30 (dst) * 4 permission = 48 000 ACEs

Традиционный ACL на FW с фильтрацией по источнику

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49

SGACL Policy on ACS / ISE

1

2

3

Доступ по меткам SGA. Поток трафика.

HR сервер #1 10.1.200.50

Финансовый сервер#1 10.1.200.100

VSG

ASA

Коммутатор ЦОД

Коммутатор доступа

Финансы

Финансы

Финансы

HR

✓

10.1.204.126

ISE

SXP IP Address 10.1.204.126 = SGT 5

EAPOL (dot1x)

RADIUS (Access Request)

RADIUS (Access Accept, SGT = 5)

SG ACL Matrix IP Address to SGT Mapping

Коммутатор ядра

Окончание первой части…

“… Я требую продолжение банкета.” – Иван Васильевич меняет профессию

Оцени контент Cisco Expo и получи приз!

Призы ждут всех, кто: •  посетил 2 и более дней конференции •  заполнил общую анкету •  заполнил 5 и более сессионных анкет •  заполнил анкеты по 2 и более плановым демо Онлайн-анкеты доступны на сайте www.ceq.com.ua.

Анкеты также можно заполнить, воспользовавшись терминалами в зоне общения на первом этаже.

Спасибо! Просим Вас оценить эту лекцию. Ваше мнение очень важно для вас. Олнайн-анкеты: www.ceq.com.ua

Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE) ЧАСТЬ 2

Владимир Илибман voilibma@cisco.com

Управление гостевым доступом

“… Сильвупле, дорогие гости, сильвупле. Жевупри, авеплизир. Господи, прости, от страха все слова повыскакивали..” – Формула Любви

Управление жизненным циклом гостевого доступа

СОЗДАНИЕ

УПРАВЛЕНИЕ

УВЕДОМЛЕНИЕ

ОТЧЕТНОСТЬ

Создание гостевых учетную записей

Управление гостевыми записями

Предоставление “учетки” гостям

Отчет по доступу

Создайте одну гостевую. запись

Создайте множество гостевых записей путем импорта CSV файла

Печать учетной записи

Отправление деталей доступа по почте

Отправление “учетки” по SMS

Просмотр, редактирование или приостановление действия гостевых записей Управление группой гостевых записей

Посмотреть аудиторские отчеты по отдельным записям

Показать отчеты по гостевому доступу

ISE Guest Server

Гостевой доступ – это построенный процесс, а не исключение из правил

Гостевой доступ по приглашению

1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер ISE Guest Server

2. Гости вводят логин и пароль, созданный приглашающей стороной (“спонсором”)

3. Проверяется наличие учетной записи на наличие в ISE Guest User Identity Store

GUEST Identity Store

PDP

PDP

URL-REDIRECT

ISE Guest – самостоятельная регистрация гостей

1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются на ISE Guest Portal после запуска браузера.

ISE Guest Server

2. Гости заполняют обязательные поля для аутентификации

3. В ISE Guest Identity Store создаются гостевые учетные записи

GUEST Identity Store

PDP

PDP

URL-REDIRECT

ISE Guest – самостоятельная регистрация гостей

4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/пароля

ISE Guest Server

5. К гостю применяется авторизационная политика для Интернет-доступа

6. Учетная запись мониторится на соответствие временным ограничениям.

GUEST Identity Store

PDP

PDP

Internet

Проверка и мониторинг гостевого доступа

•  Monitor > Authentications окно покажет все аутентификации, включая гостевые

•  Также можно мониторить создание/удаление/изменение гостевых записей

Настройка гостевого портала ISE В настройках гостевого портала можно определить, что разрешается делать гостям

•  изменить пароль •  изменить пароль при первой логине

•  загрузить клиента для оценки состояния

•  делать саморегистрацию •  делать регистрацию своих устройств

Гостевой доступ– Портал приглашающей стороны

•  Настраиваемый веб-портал для приглашающей стороны (“спонсоров” )

•  Аутентификация спонсоров с помощью корпоративных учетных записей

– Локальная база ISE – Active Directory – LDAP – RADIUS – Kerberos

Эксплуатация

“…. Человека по одежке встречают” -Народная мудрость

Пользовательский интерефейс ISE : Панель управления

Зарегистрированные ISE ноды

Information Store

Классификация конечных устройств

Оценка соответствия

Метрики

Итоги аутентфиикации

Ошибки аутентфикации

Статистика уведомлений

Мониторинг аутентификаций в ISE

Живой журнал аутентификаций отображает все auth-события в единой таблице с возможностью сортировки, фильтрации и настраиваемыми колонками и пр.

“Живые” аутентфикации! Фильтрация

Цветовая маркировка событий

Ручное или автоматическое обновление данных

Детализация

Essential session info: •  Failure reason •  Username and ID Store •  MAC and IP Address •  Switch name/address/port •  Matching ISE rules •  Protocols used

Детали аутентиф. Пример

•  RADIUS attributes sent Critical session details: •  Matching ID stores,

policies, and rules

Step-by-step sequence of

session events

Отчетность в ISE

Пример отчета – состояние серверов ISE

Инструменты для поиска неисправностей в ISE

Аудит конфигурации сетевых устройств

Правильно ли настроен мой коммутатор для поддержки AAA и других сервисов ISE, включая оценку, профилирование и

логгирование?

Правильно ли настроены порты коммутатора для поддержки

802.1X, MAB, и Веб-аутентификации?

Уведомления администратора (alarms) в ISE •  Предопределенные и пользовательские настройки •  Настраиваемое расписание уведомлений – в любое время или в интервале

•  Визуальное извещение на всех страницах ISE UI с быстрой детализацеий

•  Внешняя отсылка уведомлений через Syslog или email.

Дизайн и внедрение

Платформы ISE Hardware Small Medium Large VM Model 1121/3315

Based on the IBM System x3250 M2

3355 Based on the IBM System x3550 M2

3395 Based on the IBM System x3550 M2

VMware Server v2.0 (Demos) VMware ESX v4.0 / v4.1 VMware ESXi v4.0 / v4.1

CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor

RAM 4GB 4GB 4GB 4GB (max)

Disk 2 x 250-GB SATA (500GB available)

2 x 300-GB 2.5” SATA (600GB available)

4 x 300-GB 2.5” SAS I (600GB available)

Admin: >= 60GB Policy Service: >= 60GB Monitoring: >= 200GB

RAID No Yes: RAID 0 Yes: RAID 1 -

Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet

Power Single 650W 650W Redundant 650W Redundant -

Node Roles

All Roles All Roles All Roles No Inline Posture Node

3315 eth2 eth3

eth0 eth1

3355 3395

eth2 eth3 eth0

eth1

Роли ISE

Административный узел (Admin Node) –  Интерфейс для конфигурации политик Узел мониторинга (Monitor Node)) –  Интерфейс для сбора событий и мониторинга Узел сервиса политик (Policy Service Node) –  “Движок”, который общается с устройствами доступа и принимает решения по доступу на основе политик

“Эта роль ругательная, я её прошу ко мне не применять!” -Иван Васильевич меняет профессию

Узлы и роли ISE

Роли – одна или несколько: • Администрирование • Мониторинг • Сервис политик

Единый ISE узел (устройство или VM)

ИЛИ

ISE

ISE

Inline Posture

Policy Service

Monitoring Admin

Отдельный узел в режиме Inline для оценки состояния

(только устройство)

Архитектура ISE

Устройства Ресурсы Применение политики

Админ Внешние данные

Сервис политик Просмотр/

Настройка Политик

Запрос атрибутов

Запрос на доступ

Доступ к ресурсам

Журналирование

Запрос/ ответ контекста доступа

Мониторинг

Просмотр журналов/ отчетов

Журналирование

Журналирование

Отказоустойчивость узла управления и синхронизация •  Изменения, внесенные в первичном узле администрирования, автоматически синхронизируются с Вторичный узлом администрирования и всеми узлами сервисами политик.

Policy Service Node

Policy Service Node

Policy Service Node

Admin Node (Primary)

Admin Node (Secondary)

Monitoring Node

(Primary)

Monitoring Node

(Secondary)

Policy Sync

Policy Sync

Logging Администратор

Отказоустойчивость узла управления и синхронизация

•  В случае выхода из строя Основного Административного узла пользователь-администратор может подключиться к Вторичному Административному узлу; все изменения на вторичном узле будут автоматически синронизироваться на сервера Сервиса Политик

•  Вторичный Административный Узел должен быть вручную переведен в Первичный режим.

Policy Service Node

Policy Service Node

Policy Service Node

Admin Node

(Primary)

Admin Node (Secondary -> Primary)

Monitoring (Primary)

Monitoring (Secondary)

Policy Sync

Logging

Admin User

X

Мониторинг – Распределенный сбор журналов •  ISE поддерживает распределенный сбора журналов по всем узлам для оптимизации сбора, агрегации, и централизованные корреляцию и хранение событий.

•  Local Collector Agent работает на каждом узле ISE и собирает свои события локально. В дополнение Local Agent на узле с Сервисом Политик собирает журналы связанных сетевых устройств.

NADs Policy Services (Collector

Agent)

Monitoring (Collector)

Netflow SNMP Syslog

External Log Servers

Масштабирование узлов Сервиса Политик и отказоустойчивость •  Сетевые устройства доступа (NADs ) могут быть настроены на отказоустойчивые RADIUS сервера (узлы Сервиса Политик).

•  Узлы сервиса политик могут быть настроены в кластер или “группу узлов” позади балансировщика. NADs шлет запросы на виртуальный IP кластера

Switch  

Administration Node (Primary)

Switch  

Policy Services Node Group

Load Balancers

Network Access Devices

Administration Node (Secondary)

Policy Replication

AAA connection

Масштабируемость Разворачиваем все сервисы на едином устройстве

•  Максимальное число устройств (endpoints) для 33x5 серверов – 2000 устройств

•  Отказоустойчивая конфигурация – два узла

Admin

Policy Service

Monitoring

ISE

Admin

Policy Service

Monitoring

ISE

Масштабируемость Распределенное внедрение

Выделенные узлы для Сервиса Политик Платформа Максимальное

число устройств

События профайлера

Оценка состояния

ISE-3315-K9 3,000 500 per/sec 70 per/sec

ISE-3355-K9 6,000 500 per/sec 70 per/sec

ISE-3395-K9 10,000 1,200 per/sec 110 per/sec

Масштабируеомость Распределенное внедрение

•  2 x Admin+Mon •  Максимально 5 серверов Сервиса Политик

•  Максимально 50k конечных устройств (3395)

•  Рекомендованная отказоустойчивость узлов Сервисов Политик N+1

Admin + Monitoring размещены на единой паре серверов

Admin Mon

Admin Mon

Policy Svcs Policy

Svcs Policy Svcs Policy

Svcs Policy Svcs

Масштабируеомость Распределенное внедрение

•  2 x Admin+2 x Mon •  Максимально 40 серверов Сервиса Политик

•  Максимально 100k конечных устройств

•  Рекомендованная отказоустойчивость узлов Сервисов Политик N+1

Admin + Monitoring размещены на выделенных парах серверов

Admin Mon

Admin Mon

Policy Svcs Policy

Svcs Policy Svcs Policy

Svcs Policy Svcs

Admin Mon

Admin Mon

Policy Svcs Policy

Svcs Policy Svcs Policy

Svcs Policy Svcs

Варианты внедрения для распределенных сетей Централизованное внедрение

Географически-распределенное внедрение

ü  Все роли ISE внедрены на едином сайте

ü  Роли ISE распределены между разными сайтами

Оценка распределенного внедрения

Спецификация объема генерируемого служебного трафика

q  Отказоустойчивость WAN влияет на доступность сервисов ISE Ø  Насколько надежны ваши WAN каналы Ø  Насколько критичны удаленные устройства в филиалах Необходимость удаленного внедрения часто диктует требования наличия одного или двух узлов Сервиса Политик на удаленном сайте

Руководство по виртуализации ISE

q  Спецификация для запуска ISE в VM– смотрите спецификацию платформ для ISE q Спецификация хоста должна быть аналогичной или лучше, чем спецификация устройства ISE для заданного числа конечных устройств (endpoints) q  Если спецификация хоста эквивалентна спецификации устройства ISE, рекомендовано запускать единственную VM на хосте

q  ISE VMs обязаны размещаться на поддерживаемых ESX системах

Поддерживаемые устройства доступа (NADs) Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA

Access Switches Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔ Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2960 / 2960S ISR EtherSwitch ES2

IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔

Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔ Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔ Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔ Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3560-E ISR EtherSwitch ES3

IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔

Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Data Center Switches Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Wireless WLAN Controller WLC2100, 4400, 5500

7.0.114.4 (RADIUS CoA) *Named ACLs only on WLC

- ✔ ✔ ✔ ✔ ✔

WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔

Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS . Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для

расширенных функций

Режим работы ISE Inline Posture •  Узел ISE предоставляет возможность применение политик на пути трафика (inline posture) для сетевых устройств, которые не поддерживают Radius CoA.

•  Основные сценарии внедрения – это VPN-шлюзы и контроллеры беспроводной сети без поддержки CoA.

•  Узлы ISE располагаются на пути трафика между сетевым устройством доступа и защищаемым ресурсом (подобно NAC Inband Appliance)

•  Узлы в режиме Inline поддерживают: –  Функции RADIUS Proxy и CoA –  Применение политик с помощью dACLs –  Режимы Bridged или Routed –  L2 или L3 удаленность к сетевому устройству –  Отказоустойчивость Active/Standby

Замечание: Узел Inline Posture Node это только прокси для RADIUS. Поэтому сетевое устройство должно использовать протокол RADIUS для аутентификации с ISE .

Узел ISE в режиме Inline Posture Примеры логических топологий

Доверенная сеть

Доверенная сеть Интернет

AP Third Party Controller ISE Inline

Posture узел

L3 Switch Сервис Политик 1) 802.1X auth для WLC 2) Auth/Posture для узла Inline Posture Node

Сервис Политик 1) RADIUS auth для ASA 2) Auth/Posture ддя узла Inline Posture

ISE Inline Posture узел

L3 Switch ASA

Беспроводной пользователь

VPN пользователь

VPN

Wireless

Проводное подключение

eth1 eth0

eth1 eth0

Подключение WiFi-сетей третьих производителей

Подключение VPN-концентратора

Проводное подключение

Nexus® 7K, 5K and 2K

Switch

Data Center

Cisco®

Catalyst® Switch

Cisco ISE

Wireless user

Site-to-site VPN user

Campus Network

WAN

Wired user

Cisco®

ISR G2 with integrated switch

Cisco®

ASR1K

Cat 6K

SXP

•  802.1X, MAB, Web Auth •  Flex Auth •  Flexible deployment

modes– monitor mode, low impact, high security

•  Profiling – categorization of devices

•  Posture – assurance of compliance to health

•  Guest – guest management

Identity features Policy and Security services

VLANs, ACLS Switches and WAN aggregation router: SGTs (data plane) SXP (control plane)

Ingress Authorization & Enforcement

Alternative Ingress Authorization

or

Egress Enforcement

Campus Aggregation or DC enforcement: SGACL on Cat 6K or Nexus 7K

MACSec

Profiler Posture

Guest Server

MACSec encryption – AC, Cat 3K, Cat4K, Cat6K, N7K

Data Integrity & Confidentiality

TrustSec 2.0 в действии

Пакеты и лицензирование в ISE

Wireless Upgrade License (ATP) Расширяем политику на проводные и & VPN устройства

Лицензия для беспроводного Политики для беспроводных устройств

Лицензия на 5 лет

Платформы

• Аутентификация / Авторизация • Гостевой доступ • Политики для MACSec

• Профилирование устройств • Оценка состояния • Доступ по группам безопасности

Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance

Базовая лицензия (ATP) Политики для всех видов устройств

Постоянная лицензия

Расширенная лицензия (ATP) Политики для всех видов устройств

Лицензия на 3/5 лет

ISE

Cisco IOS получает встроенный

набор сенсоров (SNMP/LLDP,

HTTP, DHCP, eи)

Активное сканирование устройств

ISE дополняет пассивную сетевую телеметрию активным сканированием устройств

Сетевая инфраструктура обеспечивает встроенный функционал сенсора для классификации устройств. Дополнительное “ухо” для ISE

Версия ISE 1.1 включают поддержку интернационализации и русский интерфейс для гостевого портала и агентов

Сценарии на ISE

Сценарии Раньше Перспектива

1 год Перспектива

2 года

Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE

Контроль беспроводного доступа Cisco ACS Cisco ISE Cisco ISE

Контроль доступа с SNMP Cisco NAC appliance Cisco NAC Cisco ISE

Гостевой доступ Cisco NAC Guest Cisco ISE Cisco ISE

Оценка состояния (NAC) Cisco NAC Cisco ISE Cisco ISE

Профилирование устройств Cisco NAC Profiler Cisco ISE Cisco ISE

Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE

Контроль администраторов Cisco ACS Cisco ACS Cisco ISE

“Все будет Айс!”

ISE – ключевые отличия

Упрощение больших политик безопасности

SGT Public Private

Staff

Guest

Permit

Deny

Permit

Permit

LOCATION USER ID ACCESS RIGHTS DEVICE (& IP/MAC)

Доступ в сеть на основании контекста

Интегрированные оценка состояния и профилирование

Упрощенный ролевой доступ

Поддержка устройств и ПО ВСЕХ популярных вендоров

Тесная интеграция ISE в Сеть

Управление гостевым доступом

Масштабирование

Масштабируемые архитектура и лицензирование

“Память памятью, а повторить никогда не мешает.” - Семнадцать мгновений весны

Ресурсы

Спасибо! Просим Вас оценить эту лекцию. Ваше мнение очень важно для нас.