Cisco ISE в управлении доступом к сети

62
Александр Стрельцов Инструктор, Сетевая Академия ЛАНИТ [email protected] Декабрь 22, 2015 Cisco Support Community Expert Series Webcast Cisco ISE в управлении доступом к сети

Transcript of Cisco ISE в управлении доступом к сети

Page 1: Cisco ISE в управлении доступом к сети

Александр Стрельцов Инструктор, Сетевая Академия ЛАНИТ [email protected]

Декабрь 22, 2015

Cisco Support Community

Expert Series Webcast

Cisco ISE в управлении доступом к сети

Page 2: Cisco ISE в управлении доступом к сети

Вебинар на русском языке

Январь 19, 2015

В рамках вебинара мы рассмотрим новый стандарт

передачи данных в беспроводных сетях – 802.11ac.

Вначале мы вспомним о наиболее важных деталях

стандарта 802.11n. Далее мы обсудим различия 802.11ac и

802.11n, предыдущего стандарта. Рассмотрим детали

реализации некоторых новых возможностей стандарта,

таких, как MU-MIMO (многопользовательский режим

MIMO). Поговорим о вызовах индустрии, которые

привносит 802.11ac.

Различия стандартов 802.11n и 802.11ac

Ирина

Ильина-Сидорова

Page 3: Cisco ISE в управлении доступом к сети

Как стать активным участником? Легко!

• Создавайте документы, пишите блоги, загружайте

видео, отвечайте на вопросы пользователей.

• Вклад оценивается на основе таблицы лидеров

• Также оценивается количество документов, блогов

и видео, созданных пользователем.

• Вклад оценивается только по русскоязычному

сообществу, не включая рейтинг, набранный в

глобальном Cisco Support Community.

Премия "Самый активный участник Сообщества Поддержки Cisco"

Page 4: Cisco ISE в управлении доступом к сети

Оцени контент

Ваши оценки контента дают возможность авторам получать баллы.

Хотите чтобы поиск был удобным и простым? Помогите нам распознать качественный контент в Сообществе. Оценивайте документы, видео и блоги.

Пожалуйста, не забывайте оценивать ответы пользователей, которые щедро делятся своим опытом и временем.

https://supportforums.cisco.com/ru/community/4926/pomoshch-help

Page 5: Cisco ISE в управлении доступом к сети

22 декабря – 31 декабря 2015

Сессия «Спросить Эксперта» с Александром Стрельцовым

Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке: https://supportforums.cisco.com/community/russian/expert-corner Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке https://supportforums.cisco.com/community/russian/expert-corner/webcast

Александр

Стрельцов

Page 6: Cisco ISE в управлении доступом к сети

Конкурс “Cisco ISE в управлении доступом к сети”

22 декабря в 13:00 мск

Мы предлагаем Вам принять участие в конкурсе после проведения вебкаста, который так и будет называться

«Cisco ISE в управлении доступом к сети»

• Первые три победителя получат фирменный куб Cisco-TAC

• Ответы присылайте на [email protected]

• Задание конкурса будет размещено сегодня после проведения

вебкаста (13-00мск)

Page 7: Cisco ISE в управлении доступом к сети

Скачать презентацию Вы можете по ссылке:

https://supportforums.cisco.com/ru/document/12732196

Спасибо, что присоединились к нам сегодня!

Page 8: Cisco ISE в управлении доступом к сети

Присылайте Ваши вопросы! Используйте панель Q&A, чтобы задать вопрос.

Александр ответит на некоторые ваши вопросы

после презентации в режиме он-лайн

Сегодняшняя

презентация включает

опросы аудитории

Пожалуйста, примите

участие в опросах!

Page 9: Cisco ISE в управлении доступом к сети

Александр Стрельцов

Инструктор, Сетевая Академия ЛАНИТ [email protected] Декабрь 22, 2015

Cisco Support Community Expert Series Webcast

Cisco ISE в управлении доступом к сети

Page 10: Cisco ISE в управлении доступом к сети

Содержание

• Cisco ISE в управлении доступом к сети

• Способы внедрения Cisco ISE

• Элементы политики

• Сервисы аутентификации и авторизации, поддерживаемые Cisco ISE

• Заключение

Page 11: Cisco ISE в управлении доступом к сети

Управление доступом

Необходима технология ориентированная на целостный подход к защите доступа к сети и, позволяющая:

• Простую интеграцию и обеспечение безопасности всех устройств

• Точную идентификацию всех пользователей и устройств подключённых к сети

• Централизованное, зависимое от контекста управление политикой, позволяющее контролировать доступ любых пользователей из любого места и с любых устройств

Page 12: Cisco ISE в управлении доступом к сети

Безопасный контроль доступа

Cisco ISE – высокопроизводительное и гибкое решение для

контроля доступа с учётом контекста

Page 13: Cisco ISE в управлении доступом к сети

Безопасный контроль доступа

Компоненты решения по защите доступа

Page 14: Cisco ISE в управлении доступом к сети

Вопрос 1

Какие два компонента относятся к решению по защите доступа, разработанному компанией Cisco?

1. Фильтрация пакетов

2. Сервис posture

3. TLS шифрование

4. SGA

Page 15: Cisco ISE в управлении доступом к сети

Cisco ISE

• Cisco ISE реализует гибкие централизованные сервисы управления доступом к сети

Page 16: Cisco ISE в управлении доступом к сети

Cisco ISE

Page 17: Cisco ISE в управлении доступом к сети

Cisco ISE как политическая платформа Процесс принятия решений

Page 18: Cisco ISE в управлении доступом к сети

Способы внедрения Cisco ISE

Персона Описание Символ

Администрирования Интерфейс для настройки политики, которые

автоматически передаются другим

компонентам

Сервиса политики Механизм принятия политических решений.

Мониторинга Интерфейс для регистрации событий и

составления отчётов.

Page 19: Cisco ISE в управлении доступом к сети

Способы внедрения Cisco ISE

• .

Page 20: Cisco ISE в управлении доступом к сети

Элементы политики в Cisco ISE

Политика – это набор условий и результат

Условия состоят из:

• Атрибута

• Оператора

• Значения

Два типа политики:

• Простая

• Опирающаяся на правила

Page 21: Cisco ISE в управлении доступом к сети

Cisco ISE аутентификация

Page 22: Cisco ISE в управлении доступом к сети

Условия аутентификации в Cisco ISE

Page 23: Cisco ISE в управлении доступом к сети

Разрешённые протоколы в Cisco ISE

• Разрешённые протоколы – это результат выполнения политики аутентификации

Page 24: Cisco ISE в управлении доступом к сети

Настройка или создание правил аутентификации

Page 25: Cisco ISE в управлении доступом к сети

Авторизация в Cisco ISE

Page 26: Cisco ISE в управлении доступом к сети

Политика авторизации в Cisco ISE

Page 27: Cisco ISE в управлении доступом к сети

Профиль авторизации в Cisco ISE

• Профиль авторизации состоит из разрешений

Page 28: Cisco ISE в управлении доступом к сети

Политика авторизации в Cisco ISE

• Политика авторизации состоит из одного или более правил

• Правило имеет имя, параметры условий контента и ссылку на профиль авторизации

Page 29: Cisco ISE в управлении доступом к сети

Настройка профиля авторизации в Cisco ISE • Профиль авторизации объединяет элементы политики, которые

будут применены к сеансу клиента

Page 30: Cisco ISE в управлении доступом к сети

Настройка правил политики авторизации в Cisco ISE • Правило авторизации с именем Default - последнее в политике

авторизации. Управляет запросами клиентов, которые не соответствуют ни одному существующему правилу политики

Page 31: Cisco ISE в управлении доступом к сети

Какие два элемента политики используются в авторизации?

1. Разрешения

2. Разрешенные протоколы

3. dACL

4. Профиль авторизации

Вопрос 2

Page 32: Cisco ISE в управлении доступом к сети

Cisco TrustSec

Cisco TrustSec включает SGT и MACsec

Функции SGT можно разбить на три категории:

• Классификация назначает SGT пользователю или серверу

• Транспортировка связывает группу безопасности с трафиком проходящим через сеть

• Применение реализует политику запрета или разрешения по SGT источника и назначения.

Page 33: Cisco ISE в управлении доступом к сети

Классификация SGT

Таг – это идентификатор привилегий источника (пользователя, устройства или объекта)

ISE поддерживает динамическое и статическое тагирование

Page 34: Cisco ISE в управлении доступом к сети

SGT транспорт • SGT распространяется в заголовке Cisco Meta Data (CMD)

Ethernet фрейма

• Оборудование должно поддерживать inline SGT

• Дополнительное шифрование MACsec

Page 35: Cisco ISE в управлении доступом к сети

MACsec

Page 36: Cisco ISE в управлении доступом к сети

Применение политики с помощью SGACL

Page 37: Cisco ISE в управлении доступом к сети

Определение группы безопасности • Группа безопасности – это набор устройств, которые используют

общую политику защиты

• ISE автоматически назначает 16-битовый SGT

Page 38: Cisco ISE в управлении доступом к сети

Гостевые сервисы в Cisco ISE

• Гостевые сервисы в Cisco ISE охватывают полный жизненный цикл учётных данных гостей

• Гостевые сервисы ISE предоставляют настраиваемые порталы для гостей и спонсоров

Page 39: Cisco ISE в управлении доступом к сети

Гостевые сервисы и WebAuth

• Cisco ISE включает гостевые сервисы с помощью функции WebAuth

Page 40: Cisco ISE в управлении доступом к сети

Приложения гостевых сервисов в Cisco ISE

Приложение Описание

Портал администратора основной интерфейс для управления. Облегчает настройку

глобальной политики для спонсоров и гостей.

Портал спонсоров облегчает настройку и поддержку учётных записей гостей.

Портал гостевых пользователей облегчает регистрацию гостевых пользователей. Включает экран

для входа, экран с допустимой политикой использования, экран

для изменения пароля, экран само-регистрации.

Page 41: Cisco ISE в управлении доступом к сети

Сервис posture в Cisco ISE

• Проверяет конечное устройство на соответствие требованиям политики безопасности организации

Функциональная область Описание

Предоставление клиента Автоматизирует установку и обновление NAC агента.

Политика posture Определяет термины соответствия и несоответствия

политике безопасности организации.

Политика авторизации Определяет разрешения в зависимости от состояния

конечного устройства: unknown; compliant; noncompliant.

Page 42: Cisco ISE в управлении доступом к сети

Сервис posture в Cisco ISE

Page 43: Cisco ISE в управлении доступом к сети

Сервис posture в Cisco ISE

• Есть два типа NAC агентов, постоянный агент и Web агент

Page 44: Cisco ISE в управлении доступом к сети

Сервис posture в Cisco ISE

• Условия posture используются для проверки определённых атрибутов в системе клиента

• Обычные условия включают:

Проверку windows updates

Проверку антивирусов

Проверку наличия пароля для screen sever

Проверку ключей регистра

Page 45: Cisco ISE в управлении доступом к сети

Сервис posture в Cisco ISE Строительные блоки политики Posture

• Политика posture определяет технические требования, которые описывают требования в терминах соответствия

• Политика состоит из правил. Каждое правило имеет уникальное имя и одно или несколько условий

• Условия могут быт простыми или составными и относятся к нескольким категориям: файлы, регистры, сервисы, приложения, сложные регулярные условия, антивирусы и антишпионы

Page 46: Cisco ISE в управлении доступом к сети

Настройка условий Posture • Условия Posture используются для проверки состояния ПО на

конечном устройстве клиента

Page 47: Cisco ISE в управлении доступом к сети

Настройка исправлений

• Исправление необходимо для защиты устройства

• Запускается если система не соответствует требованиям

• Восстановление может быть выполнено вручную или автоматически

Page 48: Cisco ISE в управлении доступом к сети

Настройка требований posture • Требования определяют жизненный статус конечного устройства

• Cisco ISE имеет восемь встроенных требований

• Эти требования предоставляют стартовую точку для определения политики

Page 49: Cisco ISE в управлении доступом к сети

Настройка политики авторизации для posture • Состояние может быть установлено в процессе исследования

атрибута PostureStatus

• Атрибут может иметь одно из трех значений: Compliant, NonCompliant или Unknown

Page 50: Cisco ISE в управлении доступом к сети

Сервис профилирования в Cisco ISE

• Основная цель сервиса профилирования – это классификация конечных устройств

• Профиль определяет группу идентичности устройства, которая является атрибутом, используемым при определении условий в политике аутентификации и авторизации

Page 51: Cisco ISE в управлении доступом к сети

Сервис профилирования в Cisco ISE

Page 52: Cisco ISE в управлении доступом к сети

Сервис профилирования в Cisco ISE

• Сенсор – это метод, используемый для сбора атрибутов конечных устройств, находящихся в сети. Сенсоры позволяют создавать и модернизировать профили конечных устройств

Page 53: Cisco ISE в управлении доступом к сети

Политика профилирования • Сервис профилирования исследует атрибуты конечных устройств и

назначает устройства в группы идентичности. Логика исследования и назначения определяется в политике профилирования. Эта политика использует комбинацию условий для идентификации устройств

Page 54: Cisco ISE в управлении доступом к сети

Настройка политики авторизации для использования профайлера

• Сервис профилирования используют для дифференциации доступа к сети опираясь на профиль устройства

Page 55: Cisco ISE в управлении доступом к сети

Заключение

• Cisco ISE снижает риски связанных с безопасностью информации:

В корпоративной сети только доверенные устройства

Упрощение и централизация политики сетевого доступа

Внедрение средств автоматизации сетевых политик доступа

• Снижение операционных затрат:

Политики привязаны к пользователю, а не к месту и способу доступа

Повышение наблюдаемости и простоты управления сетевым доступом

Внедрение качественно новых средств автоматизации и контроля

Интеграция понятия контекст в широкий набор сетевых решений и решений информационной безопасности

Page 56: Cisco ISE в управлении доступом к сети

Вопрос 3

Используете ли вы технологии, рассмотренные в презентации?

1. Да

2. Нет, но планируем

3. Нет, и в ближайшее время внедрение не планируем

Page 57: Cisco ISE в управлении доступом к сети

Отправьте свой вопрос сейчас! Используйте панель Q&A, чтобы задать вопрос.

Эксперты ответят на Ваши вопросы.

Page 58: Cisco ISE в управлении доступом к сети

Приглашаем Вас активно участвовать в Сообществе и социальных сетях

Vkontakte http://vk.com/cisco

Facebook http://www.facebook.com/CiscoSupportCommunity

Twitter https://twitter.com/CiscoRussia

You Tube http://www.youtube.com/user/CiscoRussiaMedia

Google+ https://plus.google.com/106603907471961036146

LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798428

Instgram https://instagram.com/ciscoru

Подписаться на рассылку [email protected]

Page 59: Cisco ISE в управлении доступом к сети

Мы также предоставляем Вашему вниманию Сообщества на других языках!

Если Вы говорите на Испанском, Португальском или Японском, мы приглашаем Вас принять участие в Сообществах:

Русское http://russiansupportforum.cisco.com

Испанское https://supportforums.cisco.com/community/spanish

Португальское https://supportforums.cisco.com/community/portuguese

Японское https://supportforums.cisco.com/community/csc-japan

Китайское http://www.csc-china.com.cn

Если Вы говорите на Испанском,

Португальском или Японском, мы

приглашаем Вас принять участие и вести

общение на Вашем родном языке

Page 60: Cisco ISE в управлении доступом к сети

Технические семинары в клубе Cisco Expo Learning Club

http://ciscoclub.ru/events

Page 61: Cisco ISE в управлении доступом к сети

Пожалуйста, участвуйте в опросе

Спасибо за Ваше внимание!

Page 62: Cisco ISE в управлении доступом к сети