Углубленное изучение Security Group Tags: Детальный обзор

Углубленное изучение Security Group Tags: Детальный обзор

Дмитрий Казаков

Системный инженер CCIE #29472, CISSP

© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public

Housekeeping

•  We value your feedback- don't forget to complete your online session evaluations after each session & the Overall Conference Evaluation

•  Visit the World of Solutions and Meet the Engineer

•  Visit the Cisco Store to purchase your recommended readings

•  Please switch off your mobile phones

•  After the event don’t forget to visit Cisco Live Virtual: www.ciscolivevirtual.com


Abstract •  As a follow up to BRKSEC-3690 - Deploying Security Group Tags (SGT), this

session examines the lower level design, configuration, monitoring and troubleshooting of SGTs and SGACLs applied to use cases like user segmentation, device policy controls and malware/advanced persistent threats (APTs). Security Group technology will be discussed as applied to LAN, WLAN, WAN and Data Center networks. This session will include security policy management, SGT propagation strategies, and platform specific considerations that should be considered when addressing these use cases.. This session is aimed at Network/Network Security Specialists and Architects involved in designing and building advanced security solutions scenarios using Cisco network and security appliance deployment models. Attendees should be familiar with Cisco routing, switching, wireless and security appliances at a conceptual level and a detail knowledge of one of those disciplines. Suggested prior sessions include sessions on the Identity Services Engine, BRKSEC-2203, and network authentication (802.1X on wired and WLAN)


Программа •  Security Group Tag (SGT) Обзор

–  Высокоуровневый обзор –  Обзор технологии

•  Обзор вариантов использования и дизайна –  Разработаем политику TrustSec –  Контроль беспроводного доступа –  Контроль доступа в сегментах общего проживания –  Контроль доступа Партнера/Вендора/Контрактника –  Улучшенный дизайн с VRF для Университета –  Контроль доступа в сфере здравоохранения –  Контроль доступа в много-подсистемных сетях –  Контроль доступа в ритейловых сетях –  Контроль доступа и сегментация ЦОД –  Оркестрация системы контроля доступа для облачных и локальных решений

•  Итоги

Security Group Tag (SGT) Обзор


“Положение” – Традиционная модель Ролевого доступа

7

Оператор

Управление сетью

Физическая сеть

“Куб сложности”

Оператор

устанавливает

статус

Можно

изменить

положение

Чем меньше

человеческого

вмешательства –

тем меньше

сложность

SGT Обзор


“Положение” – Желаемое конечное положение

Оператор

Управление сетью

Физическая сеть

“Куб сложности”

Оператор

устанавливает

положение

Изменение

положения

может

уменьшить

сложность

Можно

изменить

положение

SGT Обзор


Традиционная сегментация

Голос Данные PCI Контрактник Карантин

Уровень доступа

Уровень агрегации

VLAN Адресация DHCP Scope

Отказоустойчивость Маршрутизация Статические ACL

Простая сегментация двумя VLAN Больше политик с увеличением VLAN

Дизайн должен повторяться для этажей, зданий, офисов и других объектов. Затраты могут быть экстремально высоки

ACL

SGT Обзор


Typical Scope Reduction Methods and Challenge

Virtual LAN (VLAN) •  Isolate broadcast domain (no security)

•  Additional security controls required (IP ACLs when traffic leaves VLAN)

•  No control within VLAN

•  # of Policy = # of VLAN

•  High maintenance (Policy change, Network change result in VLAN change, ACL change)

IP Address Access Control List (ACL) •  Common control tool (switches and

routers)

•  Address based policy vs. Context based policy

•  Prone to human error (misconfiguration)

•  High maintenance – new destination means a new ACL everywherw

SGT Review


Flexible and Scalable Policy Enforcement

Switch Router DC FW DC Switch

Security Control Automation

Improved Efficiency

Simplified Access Management

access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Introducing Cisco TrustSec®

Traditional Security Policy Policy-Defined Segmentation based on business policy

Segmentation Policy

SGT Review


Сетевая сегментация с TrustSec

–  Сегментация основанная на RBAC (ролевом контроле доступа), независимая от адресно-ориентированной топологии

–  Роль основанная на AD, LDAP атрибутах, типе устройства, местоположении, времени, методах доступа, и тд…

–  Использовать технологию тегирования для описания логических групп, трафик отсылается вместе с тегом

–  Политика фильтрации основанная на метке применяется на коммутаторах, маршрутизаторах и фаерволах

–  Централизованно задавайте политику сегментации, которая может применяться в любой части сети

TrustSec сегментация предоставляет

Switches Routers Firewall

DC Switch Hypervisor SW

Username: johnd Group: Store Managers Location: Store Office Time: Business Hour

SGT: Менеджер

Применение

Ресурс

SGT обзор


Контроль доступа пользователя в ЦОД с TrustSec

Голос Сотрудник Поставщик Гость Нарушитель

Тег сотрудника

Тег поставщика

Тег гостя

Тег нарушителя

Фаервол ЦОД

Голос

Здание 3 VLAN данных WiFi

Ядро кампуса

ЦОД

Основное здание VLAN данных

Сотрудник Нарушитель

Независимо от топологии или месторасположения, политика (Security Group Tag) остается с пользователями, устройствами и серверами

Уровень доступа

SGT Обзор

TrustSec упрощает управление ACL для трафика внутри/вне VLAN


Высокий OPEX поддержания сложности ИБ политик

14

Adding destination Object

Adding source Object

ACL for 3 source objects & 3 destination objects

permit NY to SRV1 for HTTPS deny NY to SAP2 for SQL deny NY to SCM2 for SSH permit SF to SRV1 for HTTPS deny SF to SAP1 for SQL deny SF to SCM2 for SSH permit LA to SRV1 for HTTPS deny LA to SAP1 for SQL deny LA to SAP for SSH

Permit SJC to SRV1 for HTTPS deny SJC to SAP1 for SQL deny SJC to SCM2 for SSH

permit NY to VDI for RDP deny SF to VDI for RDP deny LA to VDI for RDP deny SJC to VDI for RDP

Global Bank выделяет 24 глобальных ресурсных подразделения для управления правилами МСЭ

Сложная Задача и Высокий OPEX продолжается

Традиционные ACL/FW правила Источник Точка

назначения

NY SF LA

DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2)

NY 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24 ….

SJC DC-RTP (VDI)

Продуктивные сервера

SGT Обзор


Уменьшенный OPEX в управлении политиками

Source SGT: Employee (10)

BYOD (200)

Destination SGT: Production_Servers (50)

VDI (201) Permit Employee to Production_Servers eq HTTPS Permit Employee to Production_Servers eq SQL Permit Employee to Production_Servers eq SSH Permit Employee to VDI eq RDP Deny BYOD to Production_Servers Deny BYOD to VDI eq RDP

Политика остается вместе с Пользователями / серверами независимо от местонахождения или топологии

Упрощенный аудит (Low Opex Cost) Упрощение операций по поддержке (Оптимизация ресурсов)

(пример. Банк теперь использует только 6 глобальных подразделений) Четкий ROI через OPEX

Security Group фильтрация

NY SF LA

DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2)

SJC DC-RTP (VDI) Employee

Продуктивные сервера

VDI сервера BYOD

SGT Обзор


Процесс динамической классификации для 802.1X

Layer 2

Супликант Коммутатор / WLC ISE Layer 3

EAP Transaction

Authorisation

DHCP

EAPoL Transaction RADIUS Transaction

Аутентификация

Авторизован SGT 0 Оценка политикой

DHCP Lease: 10.1.10.100/24

ARP Probe IP Device Tracking

Authorised MAC: 00:00:00:AB:CD:EF SGT = 5

Привязка: 00:00:00:AB:CD:EF = 10.1.10.100/24

1

2

3

SRC: 10.1.10.1 = SGT 5

00:00:00:AB:CD:EF

cisco-av-pair=cts:security-group-tag=0005-01

3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:SGA_Device INTERNAL 10.1.10.100 5:Employee LOCAL

16

SGT обзор

•  IP Device Tracking необходим! •  Любой RADIUS сервер может

назначить SGT. •  NADs могут быть на загрзку

политик TrustSec только с ISE


BYOD Example

Wireless LAN Controller AP

Personal asset

Company asset

Employee

ID &

P

rofil

ing

Dat

a

ISE (Identity Services Engine)

DCHP HTTP

RADIUS SNMP

NetFlow DNS OUI

NMAP

Device Type: Apple iPAD User: Mary Group: Employee Corporate Asset: No

Classification Result:

Personal Asset SGT

ISE Profiling Along with authentication, various data is sent to ISE for device profiling

DC Resource Access

Restricted Internet Only

Distributed Enforcement

based on Security Group

Security Group Policy

Classify Propagate Enforce

SGT

SGT Review


TrustSec for PCI Compliance

PCI Audit Partner

http://www.cisco.com/c/dam/en/us/solutions/collateral/borderless-networks/TrustSec/trustsec_pci_validation.pdf

SGT Review


TrustSec функции классификации

VLAN-SGT

IP-SGT

Port Profile

Port-SGT

IPv4 Prefix Learning

IPv6 Prefix Learning

IPv6 Prefix-SGT

IPv4 Subnet-SGT

802.1X

MAB

Web Auth

Profiling

SGT

SGT

SGT

Addr.Pool-SGT

VLAN-SGT

ЦОД/ Виртуализация

Пользователь/Устройство/Местоположение

Cisco уровень доступа

ISE NX-OS/

Оркестрация/ Гипервизоры

IOS/Routing

Кампус и VPN доступ не-Cisco и старое

оборудование Контроль доступа поставщиков и бизнес партнеров

SGT Обзор


SGT механизм транспорта

WLC МСЭ

Уровень доступа НЕ-CISCO устройство Ядро DC Ядро

Магистраль Enterprise

DC уровень доступа

Коммутатор Гипервизора

Top-of-Rack

IP Address SGT SRC

10.1.100.98 50 Local

SXP IP-SGT Таблица привязки

SXP

SGT=50

ASIC ASIC Опциональное шифрование

Inline SGT тегирование

SGT=50

ASIC

L2 Ethernet фрейм SRC: 10.1.100.98

IP Address SGT

10.1.100.98 50 SXP

10.1.100.98

Inline Тегирование(подсистема данных): Если устройство поддерживает SGT в ASIC

SXP (контрольная подсистема): Связь между устройствами, которые не имеют поддержки SGT аппаратно

SGT обзор


SXP Версии •  Версия 1, Первоначальная версия SXP, поддерживает распространение привязок

IPv4. (N7K, N5K, N1KV – на Июнь 2013) •  Версия 2, Включена поддержка распространения привязок IPv6 и согласование версии. (Старые версии IOS на коммутаторах, маршрутизаторах – До марта 2013, WLC)

•  Версия 3, Добавлена поддержка привязки Подсеть/SGT ее распространение и др.

(6K только). При режиме speaker устанавливает связь с listener меньшей версии, передаваемая подсеть будет расширена (network expansion) (по факту переданы привязки индивидуальных хостов подсети)

•  Версия 4, Обнаружение петель и предотвращение их образования, функциональное согласование, механизм keep-alive. (Новые коммутаторы и роутеры – После марта 2013)

SGT Обзор


SGT протокол обмена •  Протокол уровня подсистемы контроля, который переносит привязки IP-SGT оконечных узлов к точкам применения политик

•  IP трафик идет как обычно – SXP идет вне диапазона потока данных (control plane)

•  Использует TCP как транспортный уровень

•  Ускоряет внедрение SGT

•  Поддержка одно-пролетного (single-hop) SXP много-пролетного (multi-hop) SXP (агрегация)

•  Две роли: Speaker (инициатор) и Listener (приемник)

•  Предотвращение петель с версии 4

Коммутатор

Коммутатор Роутер

Коммутатор

SXP (Агрегация) SXP

SXP

Speaker Listener

SGT обзор


Открыт для применения - SXP Informational Draft •  SXP теперь опубликован как Informational Draft в IETF, по запросу клиентов – открывая возможность реализаций для партнеров

•  Draft называется ‘Source-Group Tag eXchange Protocol’ поскольку предоставляет возможности использования не только в сфере ИБ.

•  Описывает SXP v4 функциональность с обратной совместимостью с SXP v2

•  Включает Cisco Meta Data (CMD) формат для включения SGT меток в Ethernet фреймы (детали далее) –  https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

•  Дальнейшее описание метаданных, несущих такие форматы как Network Services Header (NSH) –  Позволяет Source Group Tag ставиться в соответствие с Source Class –  Позволяет Source Group Tag ставиться в соответствие с Destination Class если потребуется

•  https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01

SGT обзор


Inline Security Group Tagging

CTS Мета данные

CMD

ETYPE

ICV

CRC

Version

Length

CMD EtherType

SGT Opt Type

SGT Value

Other CMD Options

DMAC SMAC

802.1AE Header

802.1Q

PAYLOAD

16 бит (64K SGTs)

Шифрованные поля MACsec (опция) ETHTYPE:0x88E5

•  заголовки являются L2 802.1AE + TrustSec доп. полями

•  Фрейм всегда тегируется на входящем порту SGT-поддерживающего устройства

•  Тегирование происходит до других L2 процессов, таких как QOS

•  Не влияет на IP MTU/Фрагментацию

•  Влияние на L2 MTU: ~ 40 байт (~1600 байт с 1552 байт MTU)

•  MACsec является опцией при наличии поддерживаемого оборудования

Ethernet Frame field 802.1AE Header

CMD

ICV

(ETHTYPE:0x8909)

SecurityGroup

Tag

ETHTYPE:0x88E5

SGT обзор


SGT аутентификация и авторизация транка Mode MACSEC MACSEC Pairwise

Master Key (PMK) MACSEC Pairwise

Transient Key (PTK) Encryption Cipher

Selection (no-encap, null, GCM,

GMAC)

Trust/Propagation Policy for Tags

cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured

cts manual – with encryption

Y Static Dynamic Static Static

cts manual – no encryption

N N/A N/A N/A Static

•  CTS Manual настоятельно рекомендованная конфигурация для распространения SGT •  “cts dot1x” отключает линк при отключении AAA. Жесткая связка статуса линка со статусом AAA сервера

•  CTS “Critical Authentication” недавно представлена в 3K/4K/6K •  Некоторые платформы (ISRG2, ASR1K, N5K, ASA, N1KV, и тд.) поддерживают только cts

manual/без шифрования

SGT Обзор


Nexus 7000 Data Center

Коммутатор Catalyst

ISE

Internet

Профилирование Оценка состояния Гостевой сервер

SGT Транспорт через L3 сети

Nexus 5000/2000

Catalyst 6500

SGACL

SGT переносится inband в ethernet фрейме

WLC

Enterprise LAN

HR

Финансисты

SXP

Администратор Коммутатор Catalyst

Коммутатор Catalyst

Ent. MPLS

DMVPN

•  Множество опций транспорта SGT через не CTS L3 сети

•  DMVPN для VPN сетей через Интернет

•  GETVPN для безопасных частных MPLS сетей

•  Over The Top (OTP) для частных Enterprise сетей (1HCY15)

•  LISP инкапсуляция подсистемы данных по средством EIGRP подсистемы контроля

GETVPN

BYOD

Enterprise Сеть

OTP

SGT обзор

SGT переносится inband через OTP

SGT переносится inband через DMVPN

SGT переносится inband через GETVPN

IP/SGT переносится внутри SXP out of band


Непрерывное SGT тегирование

Cat3750X Cat6500 Nexus 2248

WLC5508 ASA5585

Enterprise Магистраль

Nexus 2248

Cat6500 Nexus 7000 Nexus 5500

Пользователь аутентифицирован Классифицирован как Employee (5)

FIB Lookup Destination MAC/Port SGT 20

DST: 10.1.100.52 SGT: 20

ISE

SRC: 10.1.10.220

5SRC:10.1.10.220 DST: 10.1.100.52

SGT: 5 DST: 10.1.200.100 SGT: 30

CRM

ESXi

SRC\DST CRM (20) ESXi (30)

Employee (5) SGACL-A Deny

BYOD (7) Deny Deny

Классификация пункта назначения CRM: SGT 20 ESXi: SGT 30

L2 SGT тегирование

SGT обзор


SGACL Масштабируемая сегментация •  Ввод в сеть новых Пользователей/Устройств/Серверов, например продуктивный и тестовый сервер

•  Коммутаторы TrustSec требуют наличия политики для защищаемых устройств

•  Политики загружаются и применяются автоматически •  Результат: Программно-управляемая сегментация

•  Все управление происходит централизованно •  Политики безопасности отвязаны от сетевой топологии •  Не нужны специфические настройки безопасности коммутатора

•  Единое место для аудита политик всей сети •  Масштабируется двумя механизмами

•  Помещаем SGT пункта назначания в FIB, берем SGT источника из фрейма/FIB

•  В ТСАМ помещаем только информацию о протоколе/порте

Prod_Servers Dev_Servers

Тестовый сервер

(SGT=10)

Продуктивный сервер (SGT=7)

SG

T=3

SG

T=4

SG

T=5

SGACL Применение

Сегментация задается в ISE

Коммутаторы запрашивают политики для защищаемых ими объектов

Коммутаторы загружают только

необходимые политики

SGT обзор

Обзор вариантов использования и дизайна


TrustSec Поддержка платформ Тегирование Распространение Применение политик

Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X

Catalyst 4500E (Sup6E/7E) Catalyst 4500E (8E) Catalyst 6500E (Sup720/2T), 6880X

Catalyst 3850, 3650 WLC 5760

Wireless LAN Controller 2500/5500/WiSM2 Nexus 7000

Nexus 5500

Nexus 1000v (Port Profile)

ISR G2 Router, CGR2000

Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E), 4500X Catalyst 4500E (Sup 8E) Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T) / 6880X WLC 2500, 5500, WiSM2 WLC 5760 Nexus 1000v Nexus 5500/22xx FEX Nexus 5600/6000/22xx FEX Nexus 7000/22xx FEX ISRG2, CGR2000 ASR1000, CSR1000V, ISR 4400 ASA5500(X), ASAv

SXP

SXP

IE2000/3000, CGS2000

ASA5500X, ASAv (VPN RAS)

SXP SGT

SXP

SXP SGT

SXP

SXP SGT

SXP

SXP

SXP SGT

SXP SGT

SXP SGT

SXP

GETVPN

GETVPN

•  All ISRG2 Inline SGT (except C800): Today

Catalyst 3560-X Catalyst 3750-X

Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X

Catalyst 3850, 3650 WLC 5760

Nexus 7000

Nexus 5600 Nexus 5500

Nexus 1000v

ISR G2 Router, CGR2000

ASA 5500/5500X Firewall ASAv Firewall SGFW

SGFW

SGFW ASR 1000 Router, ISR 4400, CSR1000V

SXP

SGT

SGACL

SGACL

SGACL

SGACL

SGACL

SGACL

Nexus 6000

SXP SGT

SXP SGT

SXP SGT

Nexus 6000 Nexus 5600

DMVPN

DMVPN

SXP SGT

SGT

SGT

Дизайн


Как начать использовать TrustSec •  Найти подходящий сценарий использования, который имеет ясные цели и реалистичные критерии успеха, а также демонстрирует защиту инвестиций. –  Смоделируйте потенциальные отношения между логическими группами и высокоуровневые правила работы между группами

–  Разработайте детальные правила доступа (отдельные ACL) между этими группами

•  Примените детальные SGACL к данному примеру в режиме мониторинга для обнаружения отклонений от политики безопасности –  Firewall ACE анализ логов (если доступно) –  SGACL ACE логи и syslog –  Логирование совпадений в ACE Unknown/SGT или SGT/Unknown –  По умолчанию разрешать и логировать всё, что избежало специфично разрешающих правил –  Применять SGACL в режиме мониторинга если возможно (Cat6K)

•  Собрать статистику и проанализировать информацию собранную выше для перехода от мониторинга к фильтрующим политикам

•  Финализировать политики и разработать полную матрицу доступа TrustSec.

Дизайн


Device 3 App1

Unified Comm. HVAC Billing

Guest Devices

User1App2

Internet Guests Partner

User1App1

User2App1 User1App3 User1App4

Non Compliant

Admin Audit

External

Devices

Users

Device2 App1

Device 1 App3

Device 2 App3

App1

Device1 App2

App3

Device2 App3

Unified Comm.

Security

HVAC AD Server Network Services

BYOD Access

Device1 App3

Device1 App1

Apps/Services

Security Group Relationship Mapping – All Groups TrustSec Policy


Non Compliant

Unified Comm. HVAC

Guest Devices

App3

Device2 App3

Unified Comm.

Security

HVAC

BYOD Access

Device1 App3

Device 2 App3

User1App2

User1App3 User1App4

Audit Admin

Internet Guests Partner

Device 3 App1 Billing

User1App1

User2App2

External

Devices

Users

Device2 App1

App1 App2

Device1 App2

AD Server Network Services

Device1 App1

Apps/Services

Security Group – Application Mappings TrustSec Policy


Admin

Device 3 App1 Billing

User1App1 User2App2

Devices

Users

Device2 App1

App1 App2

Device1 App2

AD Server Network Services

Device1 App1

Apps/Services

Security Group – Single Application Mappings TrustSec Policy


SG

T P

olic

y Пример

матрицы

✓ ❏ ❏ ✗ ❏ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ❏ ✗ ✗

❏ ✓ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏

❏ ❏ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓

✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗

❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗

✗ ❏ ✗ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏

✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✓ ✗ ✓ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

❏ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

❏ ❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

❏ ❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏

✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗

✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ✗

❏ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗

✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗

✗ ❏ ✓ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ❏

Partner'VDI'Control'Domain

Internet'DMZ

Destinatio

n'Group

Data$Ce

nter$Co

ntrol$D

omain

AD'Servers

Network'Services

Unified'Communications

HVAC

App1

App2

App3

Security'Applications

HVAC

BYOD

'Access

Security'A

pplication

s

Partn

erVD

I'Con

trol'

Domain

Interne

t'DMZ

App1

App3

Unifie

d'Co

mmun

icatio

ns

Corporate$Control$Domain

Security

Quarantin

e'

Devic

e1Ap

p1

Devic

e2Ap

p1

Devic

e1Ap

p2

User1A

pp1

User1A

pp2

User1A

pp3

Unified'Communications

App2

Device2App1

Device1App2

HVAC

Device1App1

User1App1

User1App2

User1App3

HVAC

Corporate$S

ite$Co

ntrol$D

omain

AD'Se

rvers

Netw

ork'S

ervic

es

Unifie

d'Co

mmun

icatio

ns

Source'Group

Data$Center$Control$Domain

BYOD'Access

Quarantine

Security

TrustSec Политика


Контроль доступа в WiFi •  Проблемы стоящие перед бизнесом

–  BYOD устройства требуют ограниченного доступа в корпоративную сеть и к прокси –  Разделение продуктивных сегментов от тестовых в корпоративной сети через WiFi –  Разделение устройств соответствующих корпоративной политике от не соответствующих в БЛВС –  Централизованное принудительное туннелированние, приводящее к падению производительности приложений –  Масштабирование децентрализованного контроля доступа

•  WLC не масштабируются в соответствии с запросами на ACL – ACL должны превышать 64 линии >1,500 •  Высокий CAPEX при покупке и доставке на удаленные точки МСЭ и коммутаторов •  Высокий OPEX при эксплуатации распределенных сетей

•  Обзор решения –  Использование SXP для распространения привязок IP/SGT всех вышеуказанных классов пользователей к коммутаторам для применения SGACL

–  Использовать Subnet/SGT и IP/SGT привязки для распространения к SGACL коммутаторам через SXP, ISE 1.3 push, или CLI

–  Вышестоящие SGACL коммутаторы берут SGT/DGT привязки из SXP, ISE 1.3, или CLI. –  Пример – Уменьшенное количество IOS ACE с примерно 1500 линий до одной ACE

•  permit tcp dst eq 443

Контроль БЛВС


Производитель

CAPWAP Tunnel

Интернет Прокси 192.168.31.1/32 = SGT100

Cat6500 VSS Система

ЦОД

Удаленный офис

Точки доступа

ISE

VSS

Sup2T WiSM2

Sup2T WiSM2

WiSM2 WiSM2

SXP SXP

Кампус А 10.x.x.0/24 = SGT 30

192.168.32.0/24 = SGT 20

10.z.z.0/24 = SGT 50

Карантин Мобильное устройтво Не прошедшее оценку состояния

Корпоративное устройство Прошло оценку состояния

SGT 4: Разработка SGT 6: Полный доступ

CAPWAP Tunnel



VSS

Sup2T WiSM2

Sup2T WiSM2

WiSM2 WiSM2

SXP SXP

Устройства разработчиков

SGT 5: Продуктив

CAPWAP Tunnel



VSS

Sup2T WiSM2

Sup2T WiSM2

WiSM2 WiSM2

SXP SXP

BYOD Asset

SGT 6: Полный доступ

SXP

IP Address SGT

192.168.31.1./32 Internet Proxies - 100

192.268.32.0/24 Data Center - 20

10.x.x.0/24 Campus D - 30

10.z.z.0/24 Branch Office - 50

SGT 3: BYOD SGT 8: Ограниченный доступ

IP Address SGT

192.168.31.1./32 Интернет прокси - 100

192.168.32.0/24 ЦОД - 20

10.x.x.0/24 Кампус A - 30

10.z.z.0/24 Удаленный офис - 50

IP Address SGT

10.2.1.100 BYOD - 3

10.2.10.200 Полный доступ - 6

IP Address SGT

10.23.1.100 Ограниченный доступ - 8


IP Address SGT

192.168.31.1./32 Интернет прокси - 100

192.168.32.0/24 ЦОД - 20

10.x.x.0/24 Кампус A - 30


10.23.1.100 Ограниченный доступ - 8


IP Address SGT

192.168.31.1./32 Интернет прокси - 100

192.168.32.0/24 ЦОД - 20

10.x.x.0/24 Кампус A - 30


10.2.1.100 BYOD - 3



SRC:10.2.1.100 DST: 10.x.x.100

SGT: BYOD (6)

DGT: ЦОД (20)

SGT DGT SGACL

BYOD Data Center deny ip


Switch Design Consideration

• Platform Hardware capabilities - Two types of SGT/SGACL switch hardware

•  Port/VLAN - SGT/SGACL tagging/enforcement •  IP/SGT – tagging/enforcement

• Hardware capabilities impact – SXP Design – SGT/SGACL enforcement scaling

• Use Cases drive whether the hardware is impactful to the design

• General rule of thumb “Tag when you can , SXP when you have to”

WLAN Access Control


Аппаратная обработка SGT/SGACL сегодня •  Два типа устройств по аппаратной обработке •  Основанные на Port/VLAN привязке

–  Cat 3K-X –  N5500

•  Основанные на IP/SGT привязке –  Cat 6K/Sup2T –  N7K – M серии и F серии –  Cat 4K/Sup7E/Sup8E –  Cat 3850/5760 –  ASR1K

•  Каждый аппаратный тип имеет различные ограничения по масштабированию –  Есть ограничения на количество связок SGT/DGT также как и на количество записей

(ACE) в TCAM –  Все устройства стараются использовать общие записи ACE когда это возможно с разными связками SGT/DGT



SGT и DGT использование в Cat 3K-X

DGT/SGT

SGACL

Входящий маршрут (SGT Derivation)

Классификация L2 таблица (только) Из пакета Статическая

настройка

SGT

Исходящий маршрут (DGT получение и SGACL)

(Port,vlan) DGT Каждый (Порт/VLAN) Может иметь одну DGT ассоциированную с ним.



SGT и DGT использование в Cat6K/Sup2T

DGT/SGT

SGACL


L3/FIB таблица Из пакета Статическая конфигурация

на порту

SGT

Исходящий маршрут (DGT получение и SGACL)

IP prefix DGT

L3/FIB таблица, каждый префикс имеет ассоциированный DGT

Все имеющиеся источники присвоения SGT(DGT), такие как SXP, VLAN-SGT, Subnet/Host SGT, будут оценены TrustSec алгоритмом в софте по списку приоритета выигравший результат занесется в L3/FIB таблицу

DGT

Контроль приоритета источников



Возможности аппаратных реализаций §  Port/VLAN реализация

§  Ограниченное применение SXP из-за привязки SGT к mac/порту

§  Хорош для роли speakers/relays но не для SGT/DGT обучения из SXP

§  Ограниченное количество SGT на порт (одна или на vlan/port)

§  Не подходит для этого сценария контроля доступа WiFi

§  IP/SGT реализация –  Работает двусторонний SXP –  Позволяет принимать multi-hop SXP сессии приходящие в коммутатор и выбирать лучший источник в FIB для связки IP/SGT

–  Тегирование/Применение политик для входящих пакетов основываясь на поиске в FIB связки IP/SGT

–  Масштабирование зависит от платформы. Сотни групп с могут использовать общие параметры фильтрации (ACEs)

–  Как показано отлично подходит для текущего примера и других



Возможности аппаратных реализаций •  Catalyst 3K-X может принимать IP/SGT через SXP для L2 связанного трафика. –  L2 связность дает создать ассоциацию mac/port/vlan для тегирования или исходящей фильтрации

–  Catalyst 3K-X может иметь L2 связанные хосты (небольшие WLC) соединенные транком с Cat3K-X •  Поскольку Catalyst 3K-X может иметь только 1 связку SGT/VLAN на порт. Это означает что все пользователи внутри VLAN должны иметь одинаковый SGT. Назначьте VLAN политику в ISE или используйте “VLAN/SGT” на коммутаторе.

•  Cat 3K-X может иметь максимум 8 SGT/VLAN ассоциаций на транк –  Cat 3K-X НЕ МОГУТ принимать IP/SGT (SXP) через L3 (SXP multi-hop)

•  Cat 3K-X не может найти нужную связку mac/port/vlan из-за L2 поиска SGT. •  При передаче через L3, связка mac/port/vlan будет присвоена следующему L3 хопу, а не указанной связке IP/SGT полученной через SXP

•  N5K ограничен поскольку не имеет возможности искать SGT через SXP. –  В N5K SXP нет функции listener – даже для L2 связных хостов –  N5K не может быть listener для N1KV



Настройка SXP на WLC Контроль БЛВС


Конфигурация SXP на IOS

3750 cts sxp enable cts sxp connection peer 10.1.44.1 source 10.1.11.44 password default mode local ! SXP Peering to Cat6K 6K cts sxp enable cts sxp default password cisco123 ! cts sxp connection peer 10.1.11.44 source 10.1.44.1 password default mode local listener hold-time 0 0 ! ^^ Peering to Cat3K cts sxp connection peer 10.1.44.44 source 10.1.44.1 password default mode local listener hold-time 0 0 ! ^^ SXP Peering to WLC

C3750#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ====================================================================== 10.10.11.1 2:device_sgt INTERNAL 10.10.11.100 6:Full_Access LOCAL C6K2T-CORE-1#show cts sxp connections brief SXP : Enabled Highest Version Supported: 4 Default Password : Set Default Source IP: Not Set Connection retry open period: 120 secs Reconcile period: 120 secs Retry open timer is not running ----------------------------------------------------------------------------- Peer_IP Source_IP Conn Status Duration ----------------------------------------------------------------------------- 10.1.11.44 10.1.44.1 On 11:28:14:59 (dd:hr:mm:sec) 10.1.44.44 10.1.44.1 On 22:56:04:33 (dd:hr:mm:sec) Total num of SXP Connections = 2 C6K2T-CORE-1#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ====================================================================== 10.1.40.10 2000:PCI_Servers CLI 10.1.44.1 2:Device_sgt INTERNAL --- snip --- 10.0.200.203 3:BYOD SXP 10.10.11.100 6:Full_Access SXP



Включение SGT/SGACL на IOS •  Далее следует высокоуровневый обзор настройки SGT/SGACL на Cat6K

Sup2T при использовании ISE1.x ①  Настройте ISE 1.x на работу с устройством, где будет выполняться 802.1x аутентификация (bootstrap,

сертификат, AD интеграция, базовая аутентификация и правила авторизации)

②  Настройте Device SGT (Policy > Policy Elements > Results > TrustSec > Security Group)

Все устройства должны иметь доступ к Device_SGT по политике (ARP ведь должен работать J)



SGT Конфигурация в ISE ③  Внутри меню Policy > TrustSec > Network Device Authorization, назначьте Device SGT созданный на шаге (2) как

параметр по умолчанию

④  Опционально внутри меню Admin > System > Settings > Protocols > EAP-FAST > EAP-FAST Settings, измените A-ID описание на что-либо имеющее осознанное значение, для того чтобы через CLI понимать от какого ISE Вы получаете PAC (Protected Access Credentials) файл на коммутатор.



Настройка Cat6K Sup2T как NAD устройство ⑤  В разделе меню Admin > Network Resources > Network Devices, создайте AAA

клиентскую запись для Cat6500 Sup2T



Настройка параметров SGT устройства Контроль БЛВС

⑥  Настройте секретный ключ Radius. Также в разделе Advanced TrustSec Settings, отметьте Use Device ID for TrustSec, далее введите пароль устройства password. Этот ID и Пароль Должны быть точно такими же как Вы указываете на NAD в CLI


Дополнительный шаг для настройки Private Server List

⑦  Дополните “seed” устройство (Ближайшее устройство к ISE) with list of multiple servers it can fall back to in case first PDP becomes unavailable. You can set such list under Admin > Network Resources > TrustSec AAA Servers. This data is available via CTS Environment Data (show cts environment-data)



Настроим коммутатор IOS для работы SGT •  Следующую настройку требуется провести из CLI NAD устройства для включения NDAC

(для аутентификации устройства в ISE и получения политик включая SGACL от ISE)

Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#aaa new-model

Switch(config)#radius-server host <ISE_PDP_IP> pac key <RADIUS_SHARED_SECRET>

Switch(config)#aaa authentication dot1x default group radius Switch(config)#aaa authorization network <AUTHZ_List_Name> group radius

Switch(config)#cts authorization list <AUTHZ_List_Name>

①  Включаем AAA

②  Указываем RADIUS server вместе с PAC паролем

③  Указываем список авторизации для загрузки политики SGA

④  Используем группу AAA по умолчанию для 802.1X и “заданный список авторизации” для авторизации



Настроим коммутатор IOS для работы SGT(cont.)

Switch(config)#radius-server vsa send authentication

Switch#cts credential id <DEVICE_ID> password <DEVICE_PASSWORD>

Switch(config)#dot1x system-auth-control

⑤  Настроим RADIUS сервер на использование VSA в процессе запроса аутентификации

⑥  Включаем 802.1X на системном уровне

⑦  Укажем учетные данные устройства (EAP-FAST I-ID), которые должны совпадать с настройкой AAA клиента в настройках ISE

Заметка: Помните что учетные данные устройства настраиваются в IOS в режиме Enable, не в режиме Config. Тем не менее в коммутаторах с NX-OS данную настройку выполняют через Config режим.



Проверка получения PAC

TS2-6K-DIST#show cts pacs AID: 04FB30FE056125FE90A340C732ED9530 PAC-Info: PAC-type = Cisco TrustSec AID: 04FB30FE056125FE90A340C732ED9530 I-ID: C6K2T-CORE-1 A-ID-Info: CL Identity Services Engine 1.3 Credential Lifetime: 00:54:33 UTC Dec 21 2015 PAC-Opaque: 000200B0000300010004001004FB30FE056125FE90A340C732ED95300006009400030100980BC43B8BDAB7ECC3B12C04D2D3CA6E000000134E7A69FD00093A80AD1F972E0C67757D29DBF9E8452EDC3E0A46858429C8E4714315533061DAD4FB2F31346FE4408579D4F55B3813ADA9876F04ACC1656DE2F476ED3CBC96A0DB937403AC3B0CAB64EEC15A1BD6E351A005A8DE6E6F894DEE619F4EFFF031BC7E7BD9C8B230885093FF789BAECB152E3617986D3E0B Refresh timer is set for 12w0d

Используйте show cts pac для проверки получения PAC. Ключевым моментом является совпадение A-ID, с тем что указан в environmental data с IP адресом. Также проверьте чтобы I-ID совпадал с тем, который Вы указали в настройке Device-ID и что A-ID-Info совпадает с настроенным на ISE (EAP-FAST настройка)



Проверка – Environment Data C6K-CORE-1#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-00 Server List Info: Installed list: CTSServerList1-0004, 3 server(s): *Server: 10.1.100.3, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.4, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.6, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0001-30 : 2-98 : 80 -> Device_SGT unicast-unknown-98 : 80 -> Unknown Any : 80 -> ANY Transport type = CTS_TRANSPORT_IP_UDP Environment Data Lifetime = 86400 secs Last update time = 20:56:48 UTC Mon Sep 26 2011 Env-data expires in 0:23:59:59 (dd:hr:mm:sec) Env-data refreshes in 0:23:59:59 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running



Подготовка ISE к применению SGACL •  Для назначения SGACL политик автоматически на Sup2T, ISE должен быть настроен на SGT/SGACL а ассоциировать с ними политики В пункте меню Policy > TrustSec > Egress Policy, создайте соответствие для политики

1 2

Выбрать разрешение



Подготовка ISE к применению SGACL На том же экране добавьте Security Group ACL Mapping. Создайте дополнительные Security Group ACL при необходимости

Известное ограничение: Cat6K Sup2T поддерживает несколько SGACLs внутри политики. Nexus 7K поддерживает только один SGACL, поэтому лучшая практика это использовать один SGACL и добавлять явный DENY или PERMIT внутри SGACL и не выставлять правило Final Catch Rule

Создайте новый SGACL если потребуется



ISE Отображение политики •  3 различных вида отображения – Деревья по источнику/пункту назначения и Матрица

Source View

Filter Applied

Только SGT/DGT с SGACL показаны по умолчанию в деревьях source/destination



Матричный вид политики SGACL Контроль БЛВС


Активировать применение SGACL на коммутаторе IOS

•  После проведения SGT/SGACL настройки на ISE, Вы можете включить применение SGACL на IOS коммутаторе

Switch(config)#cts role-based sgt-map 192.168.31.1 sgt 100 Switch(config)#cts role-based sgt-map 192.168.32.0/24 sgt 20 Switch(config)#cts role-based sgt-map 10.x.x.0 sgt 30

Указание статических привязок IP к SGT для серверов

Switch(config)#cts role-based enforcement Switch(config)#cts role-based enforcement vlan-list 40

Включение применения SGACL глобально и для VLAN



Загрузка политики на IOS коммутатор •  После включения применения SGACL, нужно чтобы политики были загружены в IOS, на точку исходящего(egress) применения политики

Switch#cts refresh environment-data Environment data download in progress

Обновите Environment Data используя комаду cts refresh environment-data

Switch#cts refresh policy Policy refresh in progress

Обновите политики командой cts refresh policy



Загрузка политик в IOS коммутатор C6K-CORE-1#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-00 Server List Info: Installed list: CTSServerList1-0004, 3 server(s): *Server: 10.1.100.3, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.4, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.6, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0001-22 : 7-98 : 80 -> Network_Admin_User 6-98 : 80 -> Full_Access 5-98 : 80 -> Production 4-98 : 80 -> Dev 3-98 : 80 -> BYOD 2-98 : 80 -> Device_SGT unicast-unknown-98 : 80 -> Unknown Any : 80 -> ANY Transport type = CTS_TRANSPORT_IP_UDP Environment Data Lifetime = 86400 secs Last update time = 22:50:57 UTC Mon Sep 26 2011 Env-data expires in 0:23:59:49 (dd:hr:mm:sec) Env-data refreshes in 0:23:59:49 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running

Сверим данные Environment Data



Downloading Policy on IOS Switch Verify SGACL Content C6K-CORE-1#show cts rbacl CTS RBACL Policy ================ name = Deny IP-00 IP protocol version = IPV4, IPV6 refcnt = 6 flag = 0xC1000000 stale = FALSE RBACL ACEs: deny ip name = ALLOW_HTTP-10 IP protocol version = IPV4 refcnt = 2 flag = 0x41000000 stale = FALSE RBACL ACEs: permit tcp dst eq 80 deny ip name = Permit IP-00 IP protocol version = IPV4, IPV6 refcnt = 6 flag = 0xC1000000 stale = FALSE RBACL ACEs: permit ip name = ALLOW_HTTP_SQL-10 IP protocol version = IPV4 refcnt = 2 flag = 0x41000000 stale = FALSE RBACL ACEs: permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 1433 deny ip

•  show cts rbacl is only available when cts role-based enforcement is enabled

•  Different from NX-OS syntax, which is show cts role-based access-list

•  <ACL_NAME>-XX: XX stands for generation ID, and this should match one on ISE. Gen-ID is only incremented when ACL content is updated. No Gen-ID changes upon name change.

WLAN Access Control


Загрузка SGACL политики на IOS коммутатор Проверим содержимое SGACL

C6K-CORE-1#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 3 to group 5: Deny IP-00 IPv4 Role-based permissions from group 4 to group 5: ALLOW_HTTP_HTTPS-20 IPv4 Role-based permissions from group 3 to group 20: Deny IP-00 IPv4 Role-based permissions from group 4 to group 6: Deny IP-00 IPv4 Role-based permissions from group 3 to group 7: Deny IP-00 IPv4 Role-based permissions from group 4 to group 7: Permit IP-00

SGACL Загружаемая политика должна повторять настройку в ISE



Проверим SGACL отфильтрованные пакеты Используйте show cts role-based counter для отображения отфильтрованного с помощью SGACL трафика C6K-CORE-1#show cts role-based counters Role-based IPv4 counters From To SW-Denied HW-Denied SW-Permitted HW_Permitted * * 0 0 48002 369314 3 20 53499 53471 0 0 4 5 0 0 0 3777 3 6 0 0 0 53350 4 6 3773 3773 0 0 3 7 0 0 0 0 4 7 0 0 0 0

От * к * означает правило по-умолчанию

show команда отображает содержимое статистики по применению RBACL. Отдельные счетчики отображены для аппаратно и программно коммутируемых пакетах. Пользователь может указать SGT источника используя параметр “from” и SGT точки назначения используя параметр “to”. Большая часть SGACL применяется аппаратно. Только в случае если пакет должен быть обработан программно (прим. TCAM заполнен, отметка о логировании) , SW счетчик увеличивается



Cisco TrustSec Домен

SGT SGT SGT SGT SGT

SGACL обновление политик

Identity Service Engine

SRC \ DST Server A (111) Server B (222)

User A (10) Permit all SGACL-A

User B (20) Deny all SGACL-B


User A (10) Permit all SGACL-C


cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit tcp dst eq 80

deny ip

SGACL Enforcement cts role-based permissions from 10 to 222

permit tcp dst eq 443 deny ip

Применение SGACL



Cisco TrustSec Домен

SGT SGT SGT SGT SGT

SGACL обновление политик

Identity Service Engine


User A (10) Permit all SGACL-A



User A (10) Permit all SGACL-C


cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit tcp dst eq 80

deny ip

SGACL Enforcement cts role-based permissions from 10 to 222

permit tcp dst eq 443 deny ip

Применение SGACL

CO

A

COA

aaa server radius dynamic-author client 10.1.100.3 server-key cisco123

COA Config on IOS Switch



SGACL мониторинг – Best effort syslog C6K2T-CORE-1#sho cts role-based permissions

IPv4 Role-based permissions from group 8:EMPLOYEE_FULL to group 8:EMPLOYEE_FULL:

Malware_Prevention-11

C6K2T-CORE-1#sho ip access-list

Role-based IP access list Deny IP-00 (downloaded)

10 deny ip

Role-based IP access list Malware_Prevention-11 (downloaded)

10 deny icmp log-input (51 matches)

20 deny udp dst range 1 100 log-input

30 deny tcp dst range 1 100 log-input

40 deny udp dst eq domain log-input

*May 24 04:50:06.090: %SEC-6-IPACCESSLOGDP: list Malware_Prevention-11 denied icmp 10.10.18.101 (GigabitEthernet1/1 ) -> 10.10.11.100 (8/0), 119 packets



Контроль доступа и изоляция в среде общего проживания •  Проблемы бизнеса/Задача

–  Группы людей проживающие в одной физической локации должны иметь общий уровень доступа, но ограниченный доступ между группами в рамках данной локации. Группы основаны на делении - “Комната/апартаменты”

–  Текущая система регистрации, назначения VLAN, управления ACL в основном ручная и дорогая в эксплуатации.

•  Обзор решения –  Регистрация через ISE портал на основании принадлежности к комнате/апартаментам –  Устройствам и пользователям будет назначена метка SGT, соответствующая их комнате/апартаментам и SGACL будет разрешать трафик SGT_Room1 <-> SGT_Room1 •  SGACL не фильтрует L2 broadcast/multicast, поэтому mDNS изоляция должна предоставляться через WLC •  Если же WLC не может предоставить изоляцию mDNS, тогда нужно назначать VLAN вместе с SGACL – такой подход также дает масштабируемый подход к контролю доступа (SGACL между VLANs)

–  На Airespace WLC включена P2P блокировка для применения функций фильтрации на вышестоящем Cat 6500. SXP дает данные о IP/SGT для комнат/апартаментов с SGT

–  На 5760 SGACL фильтрует трафик запад-восток в случае если общее число комнат не превышает 255. 5760/3650/3850 может обработать не более 255 Destination Group Tags

Общая среда


Применение политик в среде общего проживания

Permit

Deny WLAN

Controller

cts sxp connection peer 10.1.36.2 source 10.99.1.4 password default mode local listener hold-time 0 0 ! interface Vlan2 ip local-proxy-arp ip route-cache same-interface ! cts role-based enforcement cts role-based enforcement vlan-list 2

6500

ISE

Vlan 2

SRC \ DST Room1 (10) Room2 (20) Room3 (30) Room4 (40)

Room1 (10) Permit Deny Deny Deny

Room2 (20) Deny Permit Deny Deny

Room3 (30) Deny Deny Permit Deny

Room4 (40) Deny Deny Deny Permit

SXP



Применение политик в среде общего проживания

Permit

Унифицированный доступ

3650/3850/5760

SRC \ DST Room1 (10) Room2 (20) Room3 (30) Room4 (40)

Room1 (10) Permit Deny Deny Deny

Room2 (20) Deny Permit Deny Deny

Room3 (30) Deny Deny Permit Deny

Room4 (40) Deny Deny Deny Permit

ISE

Deny


Лимит DGT на платформах 5760/3850 ограничивает их возможные применения в схемах общего проживания


Контроль доступа для Партнера/Вендора/Контрактника

•  Проблема бизнеса/Задача –  Партнеры/Вендоры/Контрактники требуют доступа к системам разнесенным географически

–  Распределенная система удаленного доступа (RAS) VPN плохо масштабировалась и не имела целостной политики безопасности

–  При использовании RAS VPN требовался второй уровень контроля доступа при доступе в систему. Крайне желательно избавиться от вторичной аутентификации

–  Партнеры/Вендоры/Контрактники могут иметь крайне разный уровень доступа в зависимости от системы управления

•  Обзор решения –  Централизованный головной RAS VPN будет обновлен для поддержки SXP –  RAS VPN будет отдавать соответствия IP/SGT на рефлектор, который будет отдавать сведения на все системы контроля и фильтрации внутри сети (МСЭ или коммутатор в зависимости от требований и масштаба)

Партнер/Вендор/Контрактник


•  ISRG2 – 15.2(2)T •  ASR1K - IOS XE 3.4

•  Cat6K(SUP 2T) - IOS 12.2(50)SY1

•  Unidirectional only

•  No loop detection

•  Branch to DC enforcement only . . .

WAN

Data Center

SXP

Speaker-1

Listener-2

SXP

Listener-1

Speaker-300

N7K

6K w/720

ASR1K ASR1K

SXP

SXP

NDAC/SAP 802.1AE Encryption

6K w/ SUP 2T

SXP

SXP Design Discussion

IP Address SGT

10.1.10.1 Contractor - 10

10.1.10.4 Employee - 30

IP Address SGT

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30

IP Address SGT


10.1.10.4 Employee - 30

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30

- Figure for Illustrations purposes only - Don’t interpret as recommended topology

Partner/Vendor/Contractor


Контроль доступа для Партнера/Вендора/Контрактника

SGT-поддерживающий коммутатор или МСЭ

SXP Аггрегация

Listener

Удаленный доступ VPN


Listener

Контрольная комната Общие рабочие места

Производственные мощности

ISE IP Address SGT

10.1.254.1 Partner1– 10

10.1.254.10 Vendor1 – 20

10.2.254.20 Contractor - 30

IP Address SGT

10.1.254.1 Partner1– 10

10.1.254.10 Vendor1 – 20

10.2.254.20 Contractor - 30

IP Address SGT

10.1.254.1 Partner1– 10

10.1.254.10 Vendor1 – 20

10.2.254.20 Contractor - 30

IP Address SGT

10.1.254.1 Partner1– 10

10.1.254.10 Vendor1 – 20

10.2.254.20 Contractor - 30

Partner Application

Speaker/Listener

Speaker



RAS VPN – идеи по реализации •  ASA поддерживает SGT классификацию для RAS VPN – Можно смешивать разные классы клиентов в одной подсети/DHCP пуле

•  “Большинство” концентраторов могут привязывать пользователей/группы к специфичным DHCP пулам или VLAN.

•  ASA и сторонние VPN концентраторы поддерживаются через привязку Subnet/SGT или L3IF на внешнем маршрутизаторе

Ядро

ISE

External Cloud

RAS VPN Динамическая классификация

ASA ЦОД PCI_Web

LOB1_Web

SXP

Сторонний VPN концентратор

Статическая классификация



ASA RAS VPN конфигурация: •  RAS VPN будет назначать тег оконечному пользователю основываясь на авторизационной политике ISE по результату логина пользователя в свою группу.

•  Далее Мы отдаем тег на SXP рефлектор, который раздает эту привязку всем МСЭ/коммутаторам в компании.

•  Применяющие для фильтрации политику ASA/коммутаторы будут использовать SGT через IP/SGT поиск.

aaa-server cts-mlist protocol radius dynamic-authorization aaa-server cts-mlist (inside) host 10.1.100.3 timeout 5 key TrustSec authentication-port 1812 accounting-port 1813 radius-common-pw TrustSec cts server-group cts-mlist cts sxp enable cts sxp default password TrustSec cts sxp default source-ip 10.1.100.20 cts sxp connection peer 10.3.99.2 source 10.1.100.20 password default mode local speaker

group-policy GroupPolicy_cts-local internal group-policy GroupPolicy_cts-local attributes wins-server none dns-server value 10.1.100.100 vpn-tunnel-protocol ssl-client default-domain value cts.local tunnel-group cts-local general-attributes address-pool test authentication-server-group cts-mlist accounting-server-group cts-mlist default-group-policy GroupPolicy_cts-local tunnel-group cts-local webvpn-attributes group-alias cts-local enable



Университет – Улучшенная сегментация VRF •  Проблема бизнеса/Задача

–  Университетская политика требует более глубокой классификации студентов, факультетов, администрации и приглашенных научных работников

–  Настроена и работает сегментация с помощью VRF с централизованным перекрестным межсетевым экранированием

–  Углубление классификации путем добавления новых VRF будет очень затратно с точки зрения и дизайна и эксплуатации

–  Есть желание сохранить OPEX низким и одновременно иметь большую глубину классификации и централизованное межсетевое экранирование

•  Обзор решения –  Уровень доступа на WLC/3750/4500, которые не умеют SGACL –  Центральные МСЭ имеют функциональность SXP listener и получают SXP c уровня доступа –  Коммутаторы Nexus в ЦОД передают роли приложений (DGT) на центральные МСЭ

•  Центральные перекрестные МСЭ применяют более детальную политику фильтрации по средством SGFW

Университет - VRF


Университет – Улучшенная сегментация VRF Перекрестные МСЭ

Speaker

SXP поддерживающий Коммутатор Speaker

Записи студентов

Университетские сервисы

ISE IP Address SGT

10.1.10.1 Student - 10

10.1.10.10 Faculty - 20

10.2.10.4 Research - 30

IP Address SGT

10.1.254.1 Student– 10

10.1.254.10 Faculty – 20

10.2.254.4 Student_Research - 40

IP Address SGT

10.1.10.1 Student - 10

10.1.10.10 Faculty - 20

10.2.10.4 Research - 30

10.1.10.10 MedDevUser - 20

10.1.254.1 Student– 10

10.1.254.10 Faculty – 20

10.2.254.4 Student_Research - 40

10.100.1.100 Univ_Services - 100

10.100.1.200 Student_Records - 200

10.100.1.240 Joint Research- 300

10.200.1.240 Joint_Research - 300

Удаленный сайт Совместные разработки

SXP поддерживающий WLC

Listener и IP/SGT База на контекст

SXP Агрегация Все SXP внутри Глобального VRF поскольку

Уровень доступа не может привязать IP/SGT в VRF

Speaker

Speaker

IP Address SGT

10.100.1.100 Univ_Services - 100

10.100.1.200 Student_Records - 200

10.100.1.240 Joint Research- 300

Совместные разработки

IP Address SGT

10.200.1.240 Joint_Research - 300



IPv6 и Security Group Tags – Текущий статус •  ISE can manage IP agnostic SGACL policy today for switches

–  IPv4 only SGACL –  IPv6 only SGACL –  IPv4 and IPv6 SGACL

•  CSM can manage IPv4/IPv6 FW rules on ASA

•  IPv6 Device Discovery –  WLC - still being planned –  3750X, 3650, 3850, 5760, 4500 –  IPv6 device discovery supported by IPv6 First Hop Security (SISF)

•  Will export in IPv6/SGT in SXPv4, but will not tag on ethernet •  This will allow an upstream enforcement device to filtering on IPv6/SGT

•  SGT enforcement capable devices –  ASA for SGFW –  Sup2T for SGACL



ASA настройка SXP Университет - VRF


ASA мониторинг SXP Университет - VRF


ASA/ISE – Загрузка данных Environmental Университет - VRF


Контроль доступа в здравоохранении – мед. оборудование •  Проблема бизнеса/Задачи

–  Изоляция медицинского оборудования используемого для работы с пациентами –  Только авторизованные пользователи, устройств и сервера должны иметь доступ к мед. оборудованию.

•  Обзор решения –  Уровень доступа построен на 3650/3850 – Распределение/Ядро не поддерживают SGT –  Уровень доступа умеет строить двусторонний SXP и фильтровать по IP/SGT –  3650/3850 имеют ограниченные ресурсы по IP/SGT (12K) и не могут хранить всех пользователей сети •  Решаем эту проблему используя SGT только для пользователей мед. оборудования и серверов открывая доступ только для них

•  Все пользователи и устройства в сети, которые не имеют назначенной SGT не занимают записи IP/SGT в SXP. Это означает, что только явно известные пользователи и устройства получают связку IP/SGT

•  Данное допущение оставляет количество привязок IP/SGT сильно ниже 12к для рассматриваемого примера

–  Это позволяет политике выглядеть как Known_SGT <-> Known_SGT = Permit и все Unknown_SGT <-> Known_SGT = Deny (Иногда упоминается как модель Белого списка)

Здравоохранение


•  Двусторонний SXP с обнаружением петель

•  Позволяет ASR1K быть агрегатором/рефлектором IP/SGT ассоциация для удаленных площадок

•  Обратите внимание на масштабирование SXP на удаленных площадках, поскольку им придет полная реплика таблицы

•  Aggregator/Reflector может располагаться на маршруте трафика

•  ISRG2 – 15.3(2)T

•  ASR1K- IOS XE 3.9

•  ISR44xx – IOS XE at model introduction

•  Cat6K(SUP 2T) – 15.1(1)SY

•  3650/3850/4500 – IOS XE 3.6

. . .

WAN

ЦОД

SXPv4

Филиал Speaker/Listener-1

Головной Speaker/Listener-2

Головной Speaker/Listener-1

Филиал Speaker/Listener-300

N7K

6K

ASR1K ASR1K

SXPv4

SXPv4 обзор дизайна

6K

IP Address SGT


10.1.10.4 Employee - 30

IP Address SGT


10.1.10.4 Employee - 30

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30

IP Address SGT


10.1.10.4 Employee - 30

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30

IP Address SGT

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30

IP Address SGT


10.1.10.4 Employee - 30

10.1.254.1 Contractor - 10

10.1.254.4 Employee - 30



SXP масштабирование в WAN

§  Из прошлого слайда – SXP имеет модель полной репликации, поэтому каждый удаленный роутер выучит всю таблицу SXP.

§  http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/asr1000/sec-usr-cts-xe-3s-asr-1000-book/cts-bi-sxp.html



Больше информации по масштабированию SXP Платформа Максимум SXP

Соединений Максимум IP-SGT связок

Catalyst 6500 Sup2T/ 6800 2000*** 200,000

Nexus 7000 980 50,000*

Catalyst 4500 Sup 7E 1000*** 256,000

Catalyst 4500-X / 4500 Sup 7LE 1000*** 64,000

ASA 5585-X SSP60 1000 100,000**

ASA 5585-X SSP40 500 50,000**

Catalyst 3850/WLC 5760 128*** 12,000****

* M series line cards - 200K expected in NX-OS 7.0 ** Guideline – scaling higher is supported

*** - remember to halve for bidirectional **** - 4000 reserved for Subnet/SGT



Nexus 7000 IP/SGT Масштабирование по линейным картам

•  http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/verified_scalability/b_Cisco_Nexus_7000_Series_NX-OS_Verified_Scalability_Guide.html

Функция Параметр Проверенный лимит (Cisco NX-OS 6.2)

Проверенный лимит (Cisco NX-OS 6.1)



Cisco TrustSec Number of IP-SGT

mappings for M1/M2 I/O module

50,000 Not tested Not tested Not tested

Number of IP-SGT mappings for F2/F2e I/O

module 32,000 Not tested Not tested Not tested

Number of IP-SGT mappings for F3 I/O

module 64,000 Not tested Not tested Not tested

Number of SXP connections 980 Not tested Not tested Not tested

Number of IP-SGT mappings learned using

SXP 50,000 Not tested Not tested Not tested

Number of SGT Groups 3,000 SGT/DGT Not tested Not tested Not tested



Контроль доступа – медицинское оборудование


SXP агрегация Out of Band to Traffic

Listener

Speaker/Listener

SXP поддерживающий коммутатор


Listener Medical Dispenser

Server

Электронные Медицинские записи

ISE

IP Address SGT

10.1.10.1 Medical_Device - 10

10.1.10.10 MedDevUser - 20

10.2.10.4

IP Address SGT

10.1.254.1 Medical_Device – 10

10.1.254.10 MedDevUser – 20

10.2.254.4

IP Address SGT


10.1.254.10 MedDevUser – 20


10.1.10.10 MedDevUser - 20

Удаленный сайт

IP Address SGT


10.1.254.10 MedDevUser – 20


10.1.10.10 MedDevUser - 20

IP Address SGT


10.1.254.10 MedDevUser – 20


10.1.10.10 MedDevUser - 20

IP Address SGT


10.1.254.10 MedDevUser – 20


10.1.10.10 MedDevUser - 20

IP Address SGT


10.1.254.10 MedDevUser – 20


10.1.10.10 MedDevUser - 20

Медицинские приложения

SXP Enabled WLC

Speaker/Listener



Контроль доступа в много-подсистемных сетях •  Бизнес кейс

–  Многие лаборатории сталкивались с инцидентами безопасности при использовании общей магистральной сети в организации

–  Нормативные требования со стороны правительства и финансовых институтов требуют сегментации сети

–  Ограничить транзитные сети подразделений на ядре; –  Иметь изолированные и безопасные сетевые домены

•  Решение –  Использовать изоляцию на магистрали при помощи DMVPN –  Использовать ISE в подразделениях для классификации каждого отдельного подразделения –  Использовать МСЭ на периметрах подразделений для фильтрации трафика –  ASA получает SXP с коммутаторов подразделений –  ASA отсылает теги на DMVPN маршрутизатор и DMVPN переносит теги к МСЭ других подразделений •  Позволяет нам получить источник и точку назначения в правилах фильтрации •  Позволяет подразделениям не апгрейдить всё свое оборудование и все равно выигрывать в функционале

Мултиподсистемы


ЦОД

“Blue” BU Сторонний поставщик

“Blue” Division

DMVPN Overlay

“Yellow”Division

Общие приложения

Yellow BU Apps

Controlling Inter-BU traffic with SGT Классификация по бизнес-структурам


Listener

IP Address SGT

10.1.10.10 Blue_User - 10

10.1.10.20 Blue_Supplier - 20

Listener

“Green” Division

Listener

Blue ISE Yellow ISE

Green ISE

Blue BU Apps Green BU Apps

IP Address SGT

10.100.10.10 YellowUser - 30

10.100.10.20 Yellow_Quarantine - 40

5 SRC:10.100.10.10 DST: 10.1.10.20

SGT: 5

SRC:10.100.10.10 DST: 10.1.10.20

5 SRC:10.100.10.10 DST: 10.1.10.20

SGT on frame: 30 DGT from SXP: 20



Настроим интерфейсы для SGT тегирования

interface TenGigabitEthernet1/5 mtu 9216* cts manual policy static sgt 2 trusted •  *Увеличьте MTU для учета превышения фрейма за счет шифрования и/или SGT overhead’а

•  port-channel поддержка - cts настраивается на физическом интерфейсе и потом добавляется на port channel

C6K2T-CORE-1#sho cts interface brief Global Dot1x feature is Enabled Interface GigabitEthernet1/1: CTS is enabled, mode: MANUAL IFC state: OPEN Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: SUCCEEDED Peer SGT: 2:device_sgt Peer SGT assignment: Trusted SAP Status: NOT APPLICABLE Propagate SGT: Enabled Cache Info: Expiration : N/A Cache applied to link : NONE L3 IPM: disabled.

Всегда выполняйте “shut” и “no shut” на интерфейсе для любого изменения cts manual или cts dot1x

CTS Manual no encryption



3750-X – настрока SGT тегирования interface GigabitEthernet1/0/14 no switchport ip address 10.10.20.2 255.255.255.0 cts manual policy static sgt 2 trusted no cts role-based enforcement ! radius-server host 10.1.100.3 pac key cisco123 radius-server vsa send accounting radius-server vsa send authentication ! C3750X#sho auth session int g 1/0/1 Interface: GigabitEthernet1/0/1 MAC Address: 0014.5e42.9c69 IP Address: 10.10.15.100 User-Name: CTS\Administrator Status: Authz Success Domain: DATA Security Policy: Should Secure Security Status: Unsecure Oper host mode: single-host Oper control dir: both Authorized By: Authentication Server Vlan Policy: N/A SGT: 0008-0 Session timeout: N/A Idle timeout: N/A Common Session ID: 0A0A0B01000002682408110A Acct Session ID: 0x0000043F Handle: 0x80000269 Runnable methods list: Method State dot1x Authc Success mab Not run

aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa authorization network cts-mlist group radius aaa accounting dot1x default start-stop group radius ! aaa server radius dynamic-author client 10.1.100.3 server-key cisco123 ! aaa session-id common ip device tracking ! cts authorization list cts-mlist cts role-based enforcement cts role-based enforcement vlan-list 20 ! dot1x system-auth-control interface GigabitEthernet1/0/1 switchport access vlan 20 switchport mode access ip access-group DefaultIn in authentication event fail action next-method authentication open authentication port-control auto mab dot1x pae authenticator spanning-tree portfast



SGT DMVPN Inline тегирование, настройка ipsec-1900b# cts role-based sgt-map 9.9.9.1 sgt 5000 cts role-based sgt-map 11.11.11.1 sgt 65533 ! crypto ikev2 proposal p1 encryption 3des integrity md5 group 2 ! crypto ikev2 policy policy1 proposal p1 ! crypto ikev2 keyring key peer v4 address 0.0.0.0 0.0.0.0 pre-shared-key cisco ! crypto ikev2 profile prof3 match identity remote address 0.0.0.0 authentication local pre-share authentication remote pre-share keyring key ! cts sgt inline ! crypto ipsec transform-set trans esp-3des esp-sha-hmac ! (……………….continued in next slide)

Включаем TrustSec на DMVPN. Эта команда работает только для GRE и tunnel interface

CTS infra CLI используется для настройки IP->SGT привязки



ipsec-1900b# show dmvpn Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket T1 - Route Installed, T2 - Nexthop-override C - CTS Capable # Ent --> Number of NHRP entries with same NBMA peer NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting UpDn Time --> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel0, IPv4 NHRP Details Type:Spoke, NHRP Peers:1, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 1.1.1.99 10.1.1.99 UP 00:00:01 SC ipsec-1900b# show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding, W=Waiting Tunnel0: 10.1.1.99 RE NBMA Address: 1.1.1.99 priority = 0 cluster = 0 req-sent 44 req-failed 0 repl-recv 43 (00:01:37 ago) TrustSec Enabled

Показывает возможности соседа и стадии согласования TrustSec

SGT DMVPN – Show команды

93



Откуда мне знать что я тегирую? SGT и Flexible NetFlow (FNF)

flow record cts-v4 match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match flow direction match flow cts source group-tag match flow cts destination group-tag collect counter bytes collect counter packets flow exporter EXP1 destination 10.2.44.15 source GigabitEthernet3/1 flow monitor cts-mon record cts-v4 exporter EXP1

Interface vlan 10 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 20 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 30 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 40 ip flow monitor cts-mon input ip flow monitor cts-mon output cts role-based ip flow mon cts-mon dropped

*Optional – will create flows for only Role-based ACL drops Cat6K/Sup2T



Мониторинг SGT/FNF Flow Cache ASR1K-1#show flow mon cts-mon cache Cache type: Normal Cache size: 4096 Current entries: 1438 High Watermark: 1632 Flows added: 33831 Flows aged: 32393 - Active timeout ( 1800 secs) 0 - Inactive timeout ( 15 secs) 32393 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SOURCE ADDRESS: 192.168.30.209 IPV4 DESTINATION ADDRESS: 192.168.200.156 TRNS SOURCE PORT: 60952 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 30 FLOW CTS DESTINATION GROUP TAG: 0 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1 IPV4 SOURCE ADDRESS: 192.168.20.140 IPV4 DESTINATION ADDRESS: 192.168.200.104 TRNS SOURCE PORT: 8233 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 20 FLOW CTS DESTINATION GROUP TAG: 0 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1



Monitoring SGT Traffic with Netflow

http://www.plixer.com/blog/netflow/cisco-TrustSec-netflow-support/

Plixer collector displays SGT information

Multi-Division


Live Action – Netflow с поддержкой SGT Мултиподсистемы


Lancope Custom Events

Generate a security event when a flow condition based

on the SGT value is seen

Multi-Division


Lancope Flow Query

Используйте SGT значение для поиска (и классификации)

сетевого трафика



Lancope Flow Query Configured

Find all traffic tagged with SGT 8

Multi-Division


Lancope Conversational Flow Record Кто Кто Что

Когда

Как

Где

Security Group



Conversational Flow Record: Zoom in on Details

Security Group

Multi-Division


Контроль доступа в Ритейле •  Проблемы бизнеса/Задачи

–  Нормативные требования правительства и финансовых регуляторов требуют большей сегментации сети – PCI это наиболее явное требование для филиалов

–  Имеются AD агенты для пользователей в основном кампусе, однако распространение мобильности требует лучшей классификации мобильных пользователей

–  Филиальная сеть уже хорошо суммаризована и ввод новых VLAN/подсетей потребует значительных затрат OPEX/CAPEX на редизайн

–  OPEX на поддержание ACL в филиалах должен быть снижен

•  Обзор решения –  Обновленная сеть –SGACL и поддержка тегов в будущем –  DMVPN для транспорта из магазина в ЦОД и от магазина в магазин –  Комбинация SXP и inline тегирования SGT внутри магазина в зависимости от поддержки инфраструктурой

–  Связь от магазина в ЦОД будет использовать SGT, в то время как кампус будет использовать AD Agent и ASA

Ритейл


DMVPN

Контроль доступа в Ритейле – Традиционная структура VLAN

mPOS POS Associate

Локальные Сервера

Manager PC

Критичные приложения

PCI приложения

ISE

Не-критичные приложения


POS Manager PC

PCI Зона PCI Зона

Магазин N Магазин 1

SGToEthernet

SGToDMVPN

SXP

mPOS Associate

VLAN1 VLAN2 VLAN3 VLAN4 VLAN1 VLAN2 VLAN3 VLAN4

4 VLANs x 1000 sites = 4000 new VLANs/subnets

Ритейл


DMVPN

Контроль доступа в Ритейле - DMVPN

mPOS POS Associate


Manager PC

Критичные приложения

PCI приложения

ISE

Не-критичные приложения


POS Manager PC

PCI Зона PCI Зона

Магазин N Магазин 1

SGToEthernet

SGToDMVPN

SXP

mPOS Associate

Нет новых VLAN поскольку классификация не привязана к сетевой топологии

Ритейл


SGFW ISR/ASR особенности дизайна

Кампусная сеть

ЦОД

SXP

IP Address SGT

10.1.10.1 Point of Sale (10)

SGFW

SGACL

•  Особенности дизайна •  Целостная классификация/применение политики между ISR/ASR SGFW и коммутаторами. •  В целом SGACL и политика SGFW должны быть синхронизированы через административный

интерфейс пользователя •  SGT позволяет производить более динамичную классификацию в филиалах и периметре ЦОД

•  SGT используются только как источник source в ISR IOS классических платформах •  SGT может быть source и destination в ASR/ISR44xx IOS-XE платформах

•  Серьезные требования к логированию будут выполнены на SGFW – URL логирование, и тд. •  Поддержка Active/Active ZBFW позволяет обрабатывать ассиметричные сессии

•  active/active предполагает наличие общей L3 подсети на интерфейсах роутеров для создания групп отказоусточивости

Применяем на ASR

Применяем на коммутаторе

ISE для SGACL политик

SXP

SGT PCI_Svr SGFW

Применяем на ISR

PCI

Ритейл


ISR G2 SGFW Пример настройки ! class-map type inspect match-any partner-services match protocol http match protocol icmp match protocol ssh class-map type inspect match-any pci-sgts match security-group source tag 2001 match security-group source tag 2002 match security-group source tag 2003 class-map type inspect match-all pci-class match class-map pci-services match class-map pci-sgts class-map type inspect match-any guest-services match protocol http class-map type inspect match-any guest-sgts match security-group source tag 5555 class-map type inspect match-all guest-class match class-map guest-services match class-map guest-sgts class-map type inspect match-any emp-services match protocol http match protocol ftp match protocol icmp match protocol ssh class-map type inspect match-any emp-sgts match security-group source tag 8 match security-group source tag 1002 match security-group source tag 1003 class-map type inspect match-all emp-class match class-map emp-services match class-map emp-sgts

match-all фильтр указывающий на сервисы, разрешенные для PCI

match-all фильтр для указания сервисов, разрешенных гостям

match-all фильтр для указания сервисов, разрешенных сотрудникам

ISR – Can only match on SGT, not DGT ASR/ISR44xx – Can match on SGT and DGT

Ритейл


! policy-map type inspect branch-policy class type inspect emp-class inspect class type inspect pci-class inspect class type inspect guest-class inspect class class-default drop ! zone security lan zone security pci zone-pair security lan-pci source lan destination pci service-policy type inspect branch-policy ! interface GigabitEthernet0/1 description Connection to Branch1 3750X ip address 172.16.11.1 255.255.255.0 zone-member security lan cts manual policy static sgt 2 trusted ! ! interface GigabitEthernet0/2 description ***connection to pci*** ip address 172.16.0.1 255.255.255.252 zone-member security pci cts manual no propagate sgt !

Отдельные классы фильтров задаются внутри policy maps для каждой группы sgt

ISR G2 SGFW Настройка

109

На платформах IOS-XE (ASR1K, 44xx) “cts manual” требуется на интерфейсе для

работы функционала SGFW независимо от inline tagging.

** не забудьте “no propagate sgt **

Ритейл


Контроль доступа и сегментация в ЦОД •  Проблемы бизнеса/Задачи

–  Новые риски и нормативные требования требуют от бизнеса применения систем контроля доступа пользователей в ЦОДы и внутри ЦОД

–  Пользователям должны быть доступны базовые сервисы и соответствующие их роли бизнес приложения

–  Приложения должны быть разделены в зависимости от бизнес-профиля, также должны они сегментироваться и внутри самого бизнес-профиля.

–  Большая потребность в приложениях для Партнеров/Контрактников/Аутсорсеров и других сервисах.

•  Обзор решения –  Доступ пользователей в ЦОД обрабатывается с помощью SXP от проводной/беспроводной/

VPN и выделенных партнерских VPN сетей –  Направления бизнеса (LOB) и PCI

•  Взаимодействие между LOB обрабатывается на МСЭ (между LOB) •  Взаимодействие внутри LOB обрабатывается на N1KV/N7K/N5K (внутри LOB)

–  Политики партнеров/контрактников/аутсорсеров применяются автоматически

ЦОД


ЦОД детали •  Масштабирование SXP на ASA и N7K не достаточно, таким образом надо переходить от ассоциаций IP/SGT к SGToEthernet. SGToEthernet до ASA и N7K для общих сервисов.

•  ASA не может делать кеширование SGT, она может только получать SGToEthernet на интерфейсе outside interface для определения Source Group Tag.

•  ASA может определять Destination Group Tag путем получения их ассициаций через SXP от коммутаторов ЦОД

•  ASA может опционально передавать SGT на коммутаторы ЦОД – SGFW и SGACL должны быть синхронизированы –  Если ASA говорит “Employee разрешен доступ к LOB1 Web Приложению” тогда и SGACL должен разрешать такой же доступ и наоборот

•  N7K будет применять фильтрацию доступа к часто используемым общим сервисам (AD, DNS, DHCP) –  VPC поддерживает IP/SGT полученные через IP/SGT CLI или SXP

ЦОД


ЦОД оконечный статус Speakers & Listeners

SXP Speakers

IP Address SGT

10.1.10.1 PCI Users

10.1.10.10 LOB2 Users

IP Address SGT

10.1.254.1 PCI Users

10.1.254.10 LOB2 Users

IP Address SGT

10.1.10.1 PCI Users

10.1.10.10 LOB2 Users


10.1.254.10 LOB2 Users

IP Address SGT

10.1.10.1 PCI Users

10.1.10.10 LOB2 Users


10.1.254.10 LOB2 Users

Все привязки получены на периметре ЦОД Пиринг только с агрегаторами

ЦОД

SXP

SGToEthernet

PCI_RAS Users

LOB2_Business Partner

PCI Users

LOB2 Users

PCI_Web

PCI_App

LOB2_DB

Employee_Web

DHCP

PCI_DB


Layer 3 интерфейс в метку SGT – L3IF •  Мониторинг маршрутов на интерфейсе Layer 3 с ассоциацией получаемых маршрутов в метку SGT

•  Может применяться к любому Layer 3 интерфейсу не зависимо от принадлежности к физическому интерфейсу: –  Routed port, SVI (VLAN interface), Layer 3 subinterface of a Layer2 port , Tunnel interface –  Дает возможность экспорта префиксов в SXP

•  ISR/ASR1K/Cat6K

Бизнес партнеры

DC Access

Hypervisor SW

EOR

ASR1K#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 17.1.1.0/24 8 L3IF 43.1.1.0/24 9 L3IF 49.1.1.0/24 9 L3IF

Обновление маршрута 17.1.1.0/24

Совместные предприятия

Обновления маршрутов 43.1.1.0/24 49.1.1.0/24

SGT 8

SGT 9

ЦОД


Layer 3 Интерфейс в SGT – Port/SGT связка •  Связывание метки вида PORT/SGT с интерфейсом не приводит к обучению маршрутной информацией из обновлений с привязкой SGT

•  Весь трафик приходящий в интерфейс тегируется меткой на интерфейсе

•  Префиксы выученные по данному интерфейсу не попадут в SXP

Бизнес партнеры

DC Access

Hypervisor SW

EOR

Обновление маршрута 17.1.1.0/24

Совместные предприятия

Обновления маршрутов 43.1.1.0/24 49.1.1.0/24

SGT 8 Локальный интерфейс – 14.1.1.1

ASR1K#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 14.1.1.1/24 2 INTERNAL 14.1.1.0/24 8 L3IF

ЦОД


Маршрутизатор бизнес-партнера – Опции классификации порта •  Для нашей топологии мы используем SXP от маршрутизатора в ЦОД. Мы будем использовать правую конфигурацию

interface GigabitEthernet0/0/0 ip address 10.1.47.2 255.255.255.0 cts manual policy static sgt 2 trusted interface GigabitEthernet0/0/2 ip address 8.8.8.1 255.255.255.0 cts manual policy static sgt 50 no propagate-sgt cdp enable ASR1K-2#sho cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ============================================ 8.8.8.0/24 50 L3IF 8.8.8.1 2 INTERNAL

interface GigabitEthernet0/0/2 ip address 8.8.8.1 255.255.255.0 cts role-based sgt-map sgt 50 ASR1K-2#sho cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ============================================ 8.8.8.0/24 50 L3IF 8.8.8.1 2 INTERNAL 10.1.3.0/24 50 L3IF 10.1.47.2 2 INTERNAL 10.254.100.0/24 50 L3IF

Port/SGT – Транспорт только тегов Изучение префиксов – SXP подсеть/SGT

ЦОД


ASR1K-1#sho run | incl sxp cts sxp enable cts sxp default source-ip 10.99.1.10 cts sxp default password cisco123 cts sxp connection peer 10.99.10.12 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.10.13 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.188.1 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.200.10 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.1.36.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.3.99.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.200.21 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.0.1.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.10.1.30 source 10.99.1.10 password default mode local listener ! ASR1K-1#sho run int g 0/0/0 ! interface GigabitEthernet0/0/0 ip address 10.1.46.2 255.255.255.0 shutdown negotiation auto cts manual policy static sgt 2 trusted cdp enable !

Настроим SXP как обычно. Прилетающие IP пакеты будут иметь ассоциацию SGT и

будут тегироваться на выход через интерфейс Gig 0/0/0.

Настройка ASR1K– SXP в Inline SGT

Стандартная настройка тегирования для Gig 0/0/0 соединяемого с N7K

ЦОД


Non SGT capable Service Layers in the DC

•  How do I handle 3rd party services sitting in front of the DC – IPS – SLB – Firewall

•  Two options – Build SXP from access layer to DC (but scaling on N7K is an issue) – Use Native Tagging transport to DC services layer and use SGT

Caching

Data Center


Сервисы SGT кэширования

ЦОД уровень доступа

Security Group Firewalling Автоматизация правил МСЭ используя функции SGFW

SGACL поддерживающее устр-во

SG Firewall поддерживающее устр-во

Физические сервера

SGT кэширование на C6500/N7K Кэширует IP-SGT связки из подсистемы данных Отсылает IP-SGT связки на ASA в SXP

Физические сервера SGT Тегированный трафик

Не тегированный трафик

SXP

Очередность сервисов Возможны сторонние балансировщики нагрузки (SLB), Системы предотвращения вторжений (IPS), и тд.

8 SRC:10.65.1.9 DST: 10.1.100.52

SGT: 8

IP Address SGT

10.65.1.9 LOB1_User - 8

8

ЦОД


IP Address SGT

10.65.1.9 LOB1_User - 8 ЦОД

DMVPN Overlay

Controlling Inter-BU traffic with SGT BU-level classifications SGT кэширование

IP Address SGT

10.65.1.9 LOB1_User - 8

10.1.10.20 LOB2_User - 5

ISE

LOB1_App LOB2_App

IP Address SGT

10.100.10.10 LOB2_User - 5

5 SRC:10.100.10.10 DST: 10.1.10.20 SGT on frame: 5

SRC:10.100.10.10 DST: 10.1.10.20

ASR1K/ISR44xx - IOSXE 3.15 ~ April 2015 ISRG2 - IOS 15.5(2)T ~ April 2015

IPS

IPS IPS 5 SRC:10.100.10.10 DST: 10.1.10.20

SGT on frame: 30

SRC:10.100.10.10 DST: 10.1.10.20

5 SRC:10.100.10.10 DST: 10.1.10.20

SGT on frame: 30

IP Address SGT

10.100.10.10 LOB2_User - 5

SRC:10.100.10.10 DST: 10.1.10.20

5 SRC:10.100.10.10 DST: 10.1.10.20

SGT on frame: 30

Дизайн


Пример настройки политики ASA ЦОД


ASA Настройка нативного тегирования: •  Настройка нативного тегирования нужна только с внешнего интерфейса OUTSIDE – Правила МСЭ пишутся для разрешения трафика из Outside в Inside (SGT->DGT). Для того чтобы МСЭ знал DGT мы все еще должны использовать SXP.

ASA5515X-A(config)# int g0/0 ASA5515X-A(config-if)# nameif outside ASA5515X-A(config-if)# cts manual ASA5515X-A(config-if)# policy static sgt 2 trusted ASA5515X-A(config-if)# ip address 10.3.99.2 255.255.255.0 ! SXP configuration doesn’t change for this use case cts sxp enable cts sxp default password ***** cts sxp default source-ip 10.3.99.2 cts sxp connection peer 10.99.10.10 password default mode local listener cts sxp connection peer 10.1.100.20 source 10.3.99.2 password default mode local listener cts sxp connection peer 10.99.10.11 password default mode local listener cts sxp connection peer 10.3.100.2 source 10.3.100.1 password default mode local listener cts sxp connection peer 10.1.200.50 password none mode local listener

ЦОД


Аппаратная обработка, SGT/SGACL - напоминание •  Две группы аппаратных решений для SGACL •  Основанная на Port/VLAN

–  Catalyst 3K-X –  Nexus 5500

•  Основанная на IP/SGT –  Nexus 7000 – M серия и F серия –  Nexus 6000/5600 –  Cat 6K/Sup2T –  Cat 4K/Sup7E/Sup8E –  Cat 3850/5760 –  ASR1K

•  Каждый аппаратный тип имеет свои ограничения по масштабированию –  Есть лимиты на количество SGT/DGT, также как и на количество линий ACL (ACE) в TCAM –  Все платформы по возможности используют общие записи ACE для SGT/DGT

•  Каждый тип платформы имеет разные возможности по мониторингу и логированию –  Счетчики –  ACE логи –  Netflow с параметрами SGT/DGT

ЦОД


Nexus 5500 обработка SGT и DGT

DGT/SGT

SGACL


Таблица VLAN

Из пакета Статическая настройка (port/sgt)

SGT

Исходящий маршрут (DGT derivation and SGACL)

Port DGT

У каждого порта есть одна DGT (Которая также используется как SGT для входящих потоков) ассоциированная с ним.

Входящее тегирование производится только если CTS применяется на VLAN

FIB Egress Table

ЦОД


N7K обработка SGT и DGT на картах M серии

DGT/SGT

SGACL


L3/FIB таблица Из пакета Статическая

конфигурация с порта

SGT


IP prefix DGT

L3/FIB таблица, каждый префикс имеет свою DGT

Доступен выбор источников назначения метки SGT(DGT), такие как: SXP, VLAN-SGT, будут оцениваться программным алгоритмом TrustSec по списку приоритета, выигравший будет помещен в L3/FIB таблицу

DGT

Контроль приоритета по источникам

FIB Egress Table

ЦОД


N7K обработка SGT и DGT на картах F серии

DGT/SGT

SGACL


IP/SGT CAM таблица Из пакета Статическая

конфигурация с порта

SGT


IP prefix DGT В таблице IP/SGT CAM каждый префикс имеет ассоциированный DGT

Доступен выбор источников назначения метки SGT(DGT), такие как: SXP, VLAN-SGT, будут оцениваться программным алгоритмом TrustSec по списку приоритета, выигравший будет помещен в L3/FIB таблицу

DGT

Контроль приоритета по источникам

FIB Egress Table

ЦОД


Implications of Hardware Forwarding Capabilities: •  Port/VLAN Based Hardware

•  Limited SXP applicability due to the SGT derivation on mac/port

•  Limited number of SGTs per port (one per vlan/port)

•  IP/SGT Based Hardware •  Allows for bidirectional SXP - “However”, NXOS SXP code is v1 so it can’t support it in

software until the it is upgraded to SXPv4 (roadmap item) •  Allows for multi-hop SXP coming into the switch due to FIB lookup for IP/SGT •  Tagging/Enforcement for incoming packet due to FIB lookup for IP/SGT •  Scale varies per platform. Think hundreds of groups with simple reused permissions (ACEs)

•  N5K limited since it can’t find SGT via SXP. •  No N5K SXP listener - even for L2 adjacent hosts •  N5K can’t be a listener for an N1KV

•  N6K/N5600 ASIC is capable for SXP listener, but not supported in current code

•  N1KV is software forwarding, “but” it is reliant on NXOS platform independent code from the N7K so it can only be a speaker in current code

Data Center


Nexus 5500 TrustSec Возможности

WEB-ACL: permit tcp dst eq 443 permit tcp dst eq 80 deny ip

•  Отсутствие SXP listener – только SXP speaker

•  Нельзя включать “cts role-based enforcement” на любом VLAN имеющем SVI

•  Port/SGT только– портовые профили в текущем коде не поддерживаются

•  128 SGACL TCAM записей имеется на блок из 8 портов

4 записи по умолчанию – эффективно можно использовать 124

•  Сумма записей SGACL на блок из 8 портов не может содержать в сумме более 124 разрешений (3 + 9 в примере)

•  SGACL могут быть использованы множественно

•  2000+ SGT,DGT комбинаций на N5500 использующими 124 строк разрешений

•  Fabric Path поддерживается – рекомендованная версия 6.0(2)N2(6)

HR-DB-ACL: permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22

permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip

ЦОД


Nexus 5600/6000 TrustSec Capabilities - •  Current Shipping Code is similar to N5500 platform

•  128 ACEs for configuration •  NO SXP Listener •  Only SXP Speaker •  Port/SGT definition only

•  Logs are like Nexus 7000 Platform •  The ASIC is an L3 ASIC which allows us to permit future IP/SGT capabilities

Data Center


Nexus 7000 TrustSec функции •  SGT/SGACL поддержка на M серии карт, F1, F2, F2E начиная с 6.2(6a) •  SGT/SGACL поддержка на F3 начиная с 6.2(10) •  N7K производит применение политик IP/SGT программируя ASIC. Это дает

возможность реализации интересных дизайнов. •  В случае когда N7K накладывает политику внутри-VLAN (внутри той же самой

VLAN) •  N7K ДОЛЖЕН иметь SVI в этом VLAN •  Если N7K является только L2, тогда создайте SVI без указания IP, нужно это для

прослушивания ARP/DHCP с целью обнаружения IP •  Это позволяет IP/SGT быть правильно запрограммированным для фильтрации внутри-

VLAN

•  VPC и Fabric Path поддержка 6.2(10) только с IP/SGT

LOB1 PCI_DB

N7K-DST1# sho run int vlan 3207

interface Vlan3207

no shutdown

LOB2

L2 Only N7K

ЦОД


VLAN разделение уровня риска по VLAN/Зоны безопасности

VLAN 100 Risk Level 1

ISE

•  Часто VLAN является синонимом Уровня риска/Зоны безопасности

•  Во многих случаях входящий/исходящий ACL используют для контроля трафика между VLAN

•  VLAN/SGT может использоваться на Nexus 7000 для эффективного снижения использования TCAM

•  Конверсия ACL показала уменьшение использования TCAM на 60-88%

•  Применение на уровне распределения дает возможность использования любой платформы, полагая что трафик внутри VLAN разрешен

•  Потоки в другие зоны безопасности/Уровни риска все еще идут через МСЭ

•  Нет поддержки VPC или Fabric Path до софта версии 7.х

Campus Network

PCI_Web PCI_App

LOB_App LOB_App

VLAN 200 Risk Level 1

N7K-DST1(config)# vlan 100

N7K-DST1(config-vlan)# cts role-based sgt 100

N7K-DST1# sho cts role-based sgt-map

IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION

10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration

10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration

10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured

10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured

ЦОД


NX-OS SGT с большим масштабированием

•  Большое количество SGT/DGT и SGACLs на N7K/N6K/N5K требует нового метода обработки SGACL.

•  Большие политики также могут не поместиться в один RADIUS пакет, нижеуказанные релизы включают функцию RADIUS SGACL фрагментации для передачи SGACL в нескольких пакетах. –  N7K – 6.2(6) –  N6K – 7.0 –  N5K – 6.0(2)N2(6)

•  N7K требует включения batch programming команды для масштабирования SGACL

N7K-DST1(config-vlan)# cts role-based policy batched-programming enable

ЦОД


Настройте на ISE коммутатор Nexus

N55KAa# show cts environment-data CTS Environment Data ============================== Current State : TS_ENV_DNLD_ST_ENV_DOWNLOAD_DONE Last Status : CTS_ENV_SUCCESS Local Device SGT : 0x0002 Transport Type : CTS_ENV_TRANSPORT_DIRECT Data loaded from cache : FALSE Env Data Lifetime : 86400 seconds after last update Last Update Time : Thu May 23 17:22:18 2013 Server List : CTSServerList1 AID:a6f054a3856a15221714bba63e968867 IP: 10.39.1.120 Port:1812

Administration->Network Resources->Network Devices->+Add

ЦОД


Настройка Nexus 7K: (Bootstrap) N7K-DST1(config)# feature cts N7K-DST1(config)# feature dot1x N7K-DST1(config)# cts device-id N7K-DST1 password TrustSec N7K-DST1(config)# radius-server 10.39.1.120 key TrustSec pac N7K-DST1(config)# aaa group server ISE N7K-DST1(config)# server 10.39.1.120 N7K-DST1(config)# aaa authentication dot1x default group ISE N7K-DST1(config)# aaa authorization cts default group ISE N7K-DST1(config)# aaa accounting dot1x default group ISE

Шаг 1: Настроим связь между Nexus и ISE

Шаг 2: Проверим что PAC загружен

Шаг 3: Включим применение ролевых политик и счетчиков N7K-DST1(config)# cts role-based counters enable N7K-DST1(config)# cts role-based enforcement

N7K-DST1# show cts pacs PAC Info : ============================== PAC Type : TrustSec AID : a6f054a3856a15221714bba63e968867 I-ID : N7K-DST1 AID Info : ise Credential Lifetime : Sun Aug 3 16:56:29 2014 PAC Opaque : 000200a80003000100040010a6f054a3856a15221714bba63e9688670006008c000301005f22d715cffe37591f629bae3bcc3c9e000000135364181a00093a80bf65b034bb89456288e2863a540d797ab17d1593b354e4aa3b74835df48ed45fad79c744083420c96ceef74ea3e51490566967d9c8dcfb191d2e8448a4de98b5578f83b526fb4d586ecc2510eefe1d90dee1746998fb1b77291aac4848ac2d4d5d3694e9d0e5fadbdaae5a7f

ЦОД


Настройка Nexus 5K/6K: (Bootstrap) N55KA(config)# feature cts N55KA(config)# feature dot1x N55KA(config)# cts device-id N55KA password TrustSec N55KA(config)# radius-server 10.39.1.120 key TrustSec pac N55KA(config)# aaa group server ISE N55KA(config)# server 10.39.1.120 N55KA(config)# use-vrf management N55KA(config)# aaa authentication dot1x default group ISE N55KA(config)# aaa authorization cts default group ISE N55KA(config)# aaa accounting dot1x default group ISE

Шаг 1: Настроим связь между Nexus и ISE

Шаг 2: Проверим что PAC загружен

Шаг 3: Включим применение ролевых политик и счетчиков N55KA(config)# cts role-based counters enable N55KA(config)# vlan 118 N55KA(config)# cts role-based enforcement

N55KA# show cts pacs PAC Info : ============================== PAC Type : TrustSec AID : a6f054a3856a15221714bba63e968867 I-ID : N55KA AID Info : ise Credential Lifetime : Fri Jul 11 04:25:45 2014 PAC Opaque : 000200b00003000100040010a6f054a3856a15221714bba63e96886700060094000301000c629fc10ec7608000296933 d0b283e1000000135348689a00093a809914bbf46a3d8d8c81eab9e4819bde120047a2f28ca7181760c9b65015c3a851f5a9c99b6541d40b8d991114 9d045c1f7262b3a72e3b99b661733f92f71dcad42673a67549a5608611af2b1c0b18438a514178e98c7ed72f088d7b8db9cdbfba76b11c209f401ba8 c522f5fe5900e264a8ab02fd

ЦОД


Нативное тегирование на Nexus Up/Downstream:

N7K-DST1(config)# int e1/30 N7K-DST1(config)# cts manual N7K-DST1(config-if-cts-manual)# policy static sgt 0x0002 trusted N7K-DST1(config-if)# shutdown N7K-DST1(config-if)# no shutdown

•  Мы должны настроить физические порты на доверие соседним устройствам для отсылки тегированного трафика

•  При включении TrustSec на коммутаторе по умолчанию дропаются все пакеты с нативным тегированием.

•  Поведение очень похоже на QOS, где мы верим DSCP на транковых портах •  ЛУЧШАЯ ПРАКТИКА: На всех платформах лучшей практикой будет включать и выключать порт после применения команд cts manual

•  Это будет гарантировать то, что контрольная подсистема перепрограммирует порт PHY/ASIC

ЦОД


Настроим матрицу политик SGACL на ISE ЦОД

Напомним: NXOS может обработать только один SGACL в клетке


Nexus 7000 CTS Настройка интерфейса feature cts feature dot1x cts device-id N7K-DST1 password 7 wnyxlszh123 cts role-based counters enable cts role-based sgt-map 10.39.1.30 17 ……. cts role-based sgt-map 10.87.109.72 3 cts role-based enforcement vlan 87 cts role-based enforcement vlan 118 cts role-based enforcement interface Ethernet1/25 description N5K connection cts manual policy static sgt 0x0002 trusted switchport switchport mode trunk switchport trunk allowed vlan 90,118-120,124 spanning-tree port type normal channel-group 10 mode active no shutdown

ЦОД


Проверяем настройки •  Проверяем environmental data

•  Защищает ли N7K хосты. •  Проверим загруженные SGACL и их счетчики

N5K-DST1# show cts role-based access-list rbacl:Deny IP deny ip rbacl:Permit IP permit ip rbacl:PCI_Web_Server N7K-DST1# show cts role-based counters RBACL policy counters enabled Counters last cleared: 04/16/2014 at 06:28:11 PM sgt:unknown dgt:19 [41677] rbacl:Deny IP deny ip [41677] sgt:unknown dgt:24 [13269] rbacl:Deny IP deny ip [13269] sgt:4 dgt:3 [0] rbacl:Deny IP deny ip [0] sgt:6 dgt:12 [0] rbacl:Deny IP deny ip [0] sgt:7 dgt:3 [53769] rbacl:Deny IP deny ip [53769]

ЦОД


Nexus 5500 Сегментация серверов, настройка: начальная настройка

N55KA(config)# cts role-based counters enable à Вклчаем счетчики SGACL

N55KA(config)# vlan 118

N55KA(config-vlan)# cts role-based enforcement à Включаем применение ролевых политик VLAN 118 – Нельзя создавать L3 интерфейс на VLAN!

N55KA(config-vlan)# int e 1/1

N55KA(config-vlan)# switchport trunk

N55KA(config-vlan)# switchport trunk native vlan 2

N55KA(config-vlan)# cts manual à Заходим в CTS manual mode на конкретный порт

N55KA(config-if-cts-manual)# policy static sgt 0x2 trusted à Назначаем SGT и Доверие для Транка к N7K-DST1

ЦОД


Nexus 5500 Сегментация серверов, настройка: N55KA(config-vlan)# int e102/1/1

N55KA(config-vlan)# switchport

N55KA(config-vlan)# switchport access vlan 118


N55KA(config-if-cts-manual)# policy static sgt 0x111 à Назначаем SGT на FEX порт e102/1/1 под номером SGT 111

N55KA(config-if-cts-manual)# no propagate-sgt à “Не отсылать SGT в сторону сервера”

Это плохо кончится. J

N55KA(config-if-cts-manual)# no shut

N55KA(config-vlan)# int e102/1/2

N55KA(config-vlan)# switchport

N55KA(config-vlan)# switchport access vlan 118


N55KA(config-if-cts-manual)# policy static sgt 0x222 à Назначаем SGT на FEX порт e102/1/2 под номером SGT 222

N55KA(config-if-cts-manual)# no propagate-sgt à “Не отсылать SGT в сторону сервера”

Это плохо кончится. J

N55KA(config-if-cts-manual)# no shut

N55KA(config)# cts sxp enable à Включаем протокол SXP для связи с соседями

N55KA(config)# cts sxp connection peer 10.49.1.2 source 10.49.1.10 password none mode listener à Пиринг с ASA-A

N55KA(config)# cts sxp connection peer 10.49.1.3 source 10.49.1.10 password none mode listener à Пиринг с ASA-B

ЦОД


Configure Nexus to Statically assign Tags:

N7K-DST1(config)# cts role-based sgt-map 10.39.1.223 17

•  Static IP-SGT - There is an option to manage this in ISE via IP/SGT or DNS/SGT mappings

•  Static SGT on Physical Port facing the server

N7K-DST1(config)# int e1/30 N7K-DST1(config-if)# cts manual N7K-DST1(config-if-cts-manual)# policy static sgt 0X3 N7K-DST1(config-if-cts-manual)# no propogate-sgt

N7K-DST1(config)# port-profile type ethernet PCI-DB N7K-DST1(config)# cts manual N7K-DST1(config)# policy static sgt 0x17 N7K-DST1(config)# no propogate-sgt à “Don’t send the SGT to the server”

This would be bad. J N7K-DST1(config)# switchport N7K-DST1(config)# switchport access vlan 100

•  Port-Profile: NOTE: Port-Profile on N7K will only work on NON-FEX ports.

•  VLAN to SGT

N7K-DST1(config)# (config)# vlan 100 N7K-DST1(config-vlan)# cts role-based sgt 17

Data Center


SGACL на Nexus 1000v: Пример использования

VM VM VM VM

Nexus 1000V VEM

Server

VM VM VM VM

Nexus 1000V VEM

Server

Гипервизор Гипервизор

Finance Application

TOR filters traffic based on SG-ACLs

Nexus 1000V VSM

ISE

PAC

Finance Application

SGT = LOB2 App

SGT = “AD SGT = “PCI_DB”

SGT = “LOB1 App”

SXP

SXP приходит от VSM, а не от VEM

TOR фильтрует трафик

основываясь на SG-ACLs

N1KV: Назначает SGT основываясь на

статичном Портовом профиле VEM фильтрует

трафик основываясь на SG-ACLs

ЦОД


Nexus 1000v - Проверка CTS-N1K(config)# show cts sxp connection

PEER_IP_ADDR VRF PEER_SXP_MODE SELF_SXP_MODE CONNECTION STATE

10.39.1.2 management listener speaker connected

10.39.1.3 management listener speaker connected

CTS-N1K(config)# show cts role-based sgt-map

Interface SGT IP ADDRESS VRF Learnt

-------------- ------ ---------------- ---------- ---------

Vethernet1 14 10.39.1.92 - Device Tracking

Vethernet2 16

Vethernet3 16 10.39.1.94 - Device Tracking

CTS-N1K(config)#

ЦОД


Nexus 1000v – SGACL настройка CTS-N1K(config)# feature cts

CTS-N1K(config)# cts device-id cts-n1k password 0 TrustSec

CTS-N1K(config)# radius-server host 10.39.1.120 key 0 TrustSec pac authentication accounting

CTS-N1K(config)# aaa group server radius cts-ise

CTS-N1K(config)# server 10.39.1.120

CTS-N1K(config)# use-vrf management

CTS-N1K(config)# source-interface mgmt0

CTS-N1K(config)# aaa authentication cts default group cts-ise

CTS-N1K(config)# aaa authorization cts default group cts-ise

CTS-N1K(config)# cts role-based counters

ЦОД


Nexus 1000V – Настройка портового профиля Создадим профиль на АПЛИНК: CTS-N1K(config)# port-profile type ethernet uplink-vem CTS-N1K(config-port-prof)# switchport mode trunk CTS-N1K(config-port-prof)# switchport trunk allowed vlan 1-4000 CTS-N1K(config-port-prof)# cts manual CTS-N1K(config-port-prof)# policy static sgt 0x2 trusted ->Set tag to device SGT (2) and trust CTS-N1K(config-port-prof)# propagate-sgt ->Propogate the SGT to neighbor CTS-N1K(config-port-prof)# no shutdown CTS-N1K(config-port-prof)# state enabled CTS-N1K(config-port-prof)# vmware port-group

Создадим профиль на PCI-Server: CTS-N1K(config)# port-profile type vethernet PCI_Servers CTS-N1K(config-port-prof)# switchport mode access CTS-N1K(config-port-prof)# switchport access vlan 200 CTS-N1K(config-port-prof)# cts manual CTS-N1K(config-port-prof)# policy static sgt 0x7d0 ->Set the Tag to PCI-Servers

Hex 0x7d0 = 1000 Decimal CTS-N1K(config-port-prof)# role-based enforcement ->Enable Role-based enforcement CTS-N1K(config-port-prof)# no shutdown CTS-N1K(config-port-prof)# state enabled CTS-N1K(config-port-prof)# vmware port-group

ЦОД


Nexus 1000v – SGACL Проверка CTS-N1K# show cts role-based counters

RBACL policy counters enabled

Counters last cleared: 05/02/2014 at 04:41:47 AM

Counters last updated on 05/08/2014 at 06:30:03 PM:

rbacl:Permit IP

permit ip [129105]

rbacl:deny_log

deny icmp log [522997]

rbacl:permit_log

permit ip log [119029]

sampg-n1kv-vsm-1# show cts role-based access-list

rbacl:Permit IP

permit ip

rbacl:deny_log

deny icmp log

rbacl:permit_log

permit ip log

CTS-N1K#

ЦОД


Логирование с Nexus 7000 N7K-DST1# show cts role-based policy sgt:8 dgt:6 rbacl:PERMIT_MAIL deny icmp log permit tcp dst eq 110 permit tcp dst eq 143 permit tcp dst eq 25 permit tcp dst eq 465 permit tcp dst eq 585 permit tcp dst eq 993 permit tcp dst eq 995 deny all log N7K-DST1(config)# log level acllog 6 ß Рекомендованный уровень лога N7K-DST1(config)# log level cts 5 N7K-DST1(config)# log ip access-list include sgt N7K-DST1# show logging ip access-list cache detail SGT Source IP Destination IP S-Port D-Port Interface Protocol Hits ------------------------------------------------------------------------------------------------ 8 10.10.11.100 10.1.100.84 0 0 Ethernet2/15 (1)ICMP 8 ------------------------------------------------------------------------------------------------

ЦОД


N55KA# show cts role-based policy sgt:8 dgt:6 rbacl:PERMIT_MAIL deny icmp log permit tcp dst eq 110 permit tcp dst eq 143 permit tcp dst eq 25 permit tcp dst eq 465 permit tcp dst eq 585 permit tcp dst eq 993 permit tcp dst eq 995 deny all log N55KA(config)# log level acllog 6 ß Log levels to make this work N55KA (config)# log level cts 7 N55KA# show logging logfile duration 0:30:00 2013 Jun 6 12:27:06 pghlab-55ka last message repeated 6 times 2013 Jun 6 12:27:06 pghlab-55ka %CTS-6-CTS_RBACL_STAT_LOG: CTS ACE deny ip log, Threshold exceeded: Hit count in 10s period = 11

2013 Jun 6 12:27:16 pghlab-55ka %CTS-6-CTS_RBACL_STAT_LOG: CTS ACE deny ip log, Threshold exceeded: Hit count in 10s period = 10

2013 Jun 6 12:27:56 pghlab-55ka last message repeated 4 times

Логирование с Nexus 5500

Threshold exceeded is a message about not overwhelming the CPU with log messages on the box.

ЦОД


N5500 – Мониторинги SGACL дропов N55KA# show platform fwm info lif eth100/1/45 | grep goodEth100/1/45 pd: rx frames: good 2755 drop 3; tx frames: good 2689 drop 106

N55KA# sho cts role-based counters

RBACL policy counters enabledCounters last cleared: 11/16/2011 at 05:55:24 PMrbacl:ALLOW_SQLpermit tcp dst eq 1433 [0] permit icmp [0] deny ip [0]rbacl:Deny IP deny ip [6730]rbacl:Deny_ICMP_Log deny icmp log [106]rbacl:Permit IP permit ip [85730]rbacl:test_deny deny icmp log [0]

Посмотрим на исходящий интерфейс в N5K, защищающий сервер. Он должен показывать drop пакетов. Это коррелируется с счетчиками SGACL защищающего сервер

ЦОД


Nexus 1000V – Отображение в Syslog ACE логов

Действие – Permit/Deny SGT DGT 5 Tuple


ASA, логирование на МСЭ •  Логирование в МСЭ покажет SGT/DGT внутри лога, если они ему известны

ЦОД

•  Firewall logging will show the IP/SGT as added and removed


Оркестрация настроек безопасности для приложений •  Проблема бизнеса/Предыстория

–  Разработчики покупали виртуальные машины в облаке, поскольку местное IT слишком долго разворачивало виртуальные машины локально

–  Это привело к бесконтрольной утечке данных в облако –  Это привело к проблемам с перекрестным соединением работников к серверам разработки и продуктивным серверам и повреждением данных

–  “Удаление” Приложений/Серверов никогда не происходит. В результате мы получаем подвисшие (забытые) правила безопасности •  “Что делает это правило? Не знаю, но лучше его не удалять”

–  Развертывание ресурсов за минуты, а не за дни – “Fast IT”

•  Обзор решения –  Предоставить решение по автоматизации для локальных и облачных систем с жестким контролем доступа

–  Изменить систему развертывания автоматически для отображения вновь добавленных систем облачного развертывания

–  Предоставить наилучший маршрут путем пиринга и туннелирования к облачным провайдерам –  Предоставить контроль доступа в виде наиболее приемлемом для разработчиков, пользователей, и нагрузочных мощностей

Оркестрация ЦОД


Контроль доступа для приложений Ticket – new App for

business

Ticket – New Server IP

Ticket – New VLAN if New

App

Ticket – Hand off IP to security to add to

security policy

Firewall Manager push during maintenance

window

Finance App

HR App

On Prem

Employee

Dev App

New Production App

Public Cloud

Ticket – new App for business

Developer

Developer spins up new App in Cloud ✗ Policy Violation



Разработчики и контроль продуктивной среды приложений Ticket – new App for

business

Automation Provisions App IP provisioned to CSR via

REST API or device CLI script

Finance App

HR App

On Prem

Employee

Dev App

New Production App

Public Cloud

Developer

Developer spins up new App in Cloud

SXP Distributes IP/SGT to border

protection

IT Best Path to Cloud providers via border protection path VPN Tunnel Overlay or Direct Peering depending on cloud provider



REST API – Cloud Services Router 1000V Оркестрация ЦОД


REST API – CSR1000V Data Center Orchestration


UCS Director задача на развертывания сервера с SGT •  Предполагает знание работы с UCSD и редактирования workflow.

•  Создадим workflow для –  Задаст IP address для

VM/Bare-metal сервера –  Залогинится на коммутаторы ЦОД

–  Добавит IP-SGT связку основанную на Сервисном каталоге (пример: LOB1, LOB2, PCI)



UCS Director задача на развертывания сервера с SGT

•  Добавим этот workflow в каждый сервисный каталог в котором мы хотим разворачивать SGT при заказе vm/bare metal сервера



IP Address SGT

10.200.1.100 Employee_Web – 100

10.1.254.10 PCI_Web – 200

10.2.254.4 Dev_App – 300

Пример сценария ресурсов разработки/продуктива

SGT Поддерживающий коммутатор или МСЭ

SXP Агрегация w/REST API

Listener and Speaker

Listener

Speaker

SXP поддерживающий коммутатор

PCI _Web

Employee Web

ISE

IP Address SGT

10.1.10.1 Employee– 10

10.1.10.10 Dev - 20

10.2.10.4 Admin - 30

IP Address SGT

10.1.254.1 Employee – 10

10.1.254.10 Dev – 20

10.2.254.4 Admin– 30

IP Addressd SGT

10.1.10.1 Employee– 10

10.1.10.10 Dev - 20

10.2.10.4 Admin - 30

10.1.254.1 Employee – 10

10.1.254.10 Dev - 20

10.2.254.4 Admin – 30

10.200.1.100 Employee_Web – 100

10.1.254.10 PCI_Web – 200

10.2.254.4 Dev_App – 300

Облако

IP Address SGT

10.1.10.1 Employee– 10

10.1.10.10 Dev - 20

10.2.10.4 Admin - 30

10.1.254.1 Employee – 10

10.1.254.10 Dev - 20

10.2.254.4 Admin - 30

10.200.1.100 Employee_Web – 100

10.1.254.10 PCI_Web – 200

10.2.254.4 Dev_App – 300

IP Address SGT

10.1.10.1 Employee – 10

10.1.10.10 Dev - 20

10.2.10.4 Admin - 30

10.1.254.1 Employee– 10

10.1.254.10 Dev - 20

10.2.254.4 Admin - 30

10.200.1.100 Employee_Web – 100

10.1.254.10 PCI_Web – 200

10.2.254.4 Dev_App – 300

Dev_App



Итоги

•  TrustSec строится на основании динамической классификации (802.1X), статической классификации (IP/SGT) и оркестрации (REST, UCS Director)

•  TrustSec предоставляет масштабируемую модель контроля доступа с привязкой к идентификации и роли

•  TrustSec дает возможность экономии операционных расходов путем отвязки политик безопасности от сетевой топологии

•  TrustSec имеет широкую программную и аппаратную поддержку, а также сценарии миграции и гибкого развертывания

•  TrustSec уже сегодня развернут в сетях заказчиков

•  TrustSec можно развернуть и в Вашей сети уже сегодня


Ссылки •  Статья на русском языке - Управление доступом в архитектуре Cisco TrustSec. -

http://gblogs.cisco.com/ru/dkazakov_cisco_trustsec/

•  Secure Access, TrustSec, and ISE on Cisco.com –  http://www.cisco.com/go/TrustSec –  http://www.cisco.com/go/ise –  http://www.cisco.com/go/isepartner

•  TrustSec and ISE Deployment Guides: –  http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/

landing_DesignZone_TrustSec.html

•  YouTube: Fundamentals of TrustSec: –  http://www.youtube.com/ciscocin#p/c/0/MJJ93N-3Iew


Рекомендованные книги

Aaron Woland Jamey Heary


TrustSec Related Sessions at CiscoLive Milan 2015 •  TECSEC-2222 – Practical Securing Networks with Cisco TrustSec – Kevin Regan, Yuval Schrory,

Darrin Miller

•  TECSEC-2670 – Data Center Security – Steinthor Bjarnason, Yves Louis, Andrew Ossipov, Fabien Gandola

•  BRKSEC-2203 – Deploying Security Group Tags – Kevin Regan

•  BRKSEC-1449 – Threat Defense for Enterprise Networks with Unified Access – Vaibhav Katkade

•  PSOSEC-2003 – How ISE helps manage access, reach, and threat in an increasing uncontrolled environment – Kevin Skahill

•  BRKSEC-3691 – Advanced ISE Services, Tips and Tricks – Aaron Woland

•  BRKSEC-3502 – Advanced Enterprise Campus Design: Instant Access – Divya Rao

•  BRKDCT-3578 – Building an End to End Policy Based Network: Multi-Tenant Networks using ACI Group Policy Model – Brenden Buresh

•  CCSSEC-2500 – TrustSec – A Network Security Journey – Manfred Brabec, Thomas Vavra


Call to Action

•  Visit the World of Solutions for –  Cisco Campus –  Walk in Labs –  Technical Solution Clinics

•  Meet the Engineer

•  Lunch time Table Topics

•  DevNet zone related labs and sessions

•  Recommended Reading: for reading material and further resources for this session, please visit www.pearson-books.com/CLMilan2015


Complete Your Online Session Evaluation

•  Please complete your online session evaluations after each session. Complete 4 session evaluations & the Overall Conference Evaluation (available from Thursday) to receive your Cisco Live T-shirt.

•  All surveys can be completed via the Cisco Live Mobile App or the Communication Stations

Вопросы ?


Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.

Углубленное изучение Security Group Tags: Детальный обзор

Technology

Transcript of Углубленное изучение Security Group Tags: Детальный обзор