Углубленное изучение Security Group Tags: Детальный обзор
Дмитрий Казаков
Системный инженер CCIE #29472, CISSP
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Housekeeping
• We value your feedback- don't forget to complete your online session evaluations after each session & the Overall Conference Evaluation
• Visit the World of Solutions and Meet the Engineer
• Visit the Cisco Store to purchase your recommended readings
• Please switch off your mobile phones
• After the event don’t forget to visit Cisco Live Virtual: www.ciscolivevirtual.com
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Abstract • As a follow up to BRKSEC-3690 - Deploying Security Group Tags (SGT), this
session examines the lower level design, configuration, monitoring and troubleshooting of SGTs and SGACLs applied to use cases like user segmentation, device policy controls and malware/advanced persistent threats (APTs). Security Group technology will be discussed as applied to LAN, WLAN, WAN and Data Center networks. This session will include security policy management, SGT propagation strategies, and platform specific considerations that should be considered when addressing these use cases.. This session is aimed at Network/Network Security Specialists and Architects involved in designing and building advanced security solutions scenarios using Cisco network and security appliance deployment models. Attendees should be familiar with Cisco routing, switching, wireless and security appliances at a conceptual level and a detail knowledge of one of those disciplines. Suggested prior sessions include sessions on the Identity Services Engine, BRKSEC-2203, and network authentication (802.1X on wired and WLAN)
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Программа • Security Group Tag (SGT) Обзор
– Высокоуровневый обзор – Обзор технологии
• Обзор вариантов использования и дизайна – Разработаем политику TrustSec – Контроль беспроводного доступа – Контроль доступа в сегментах общего проживания – Контроль доступа Партнера/Вендора/Контрактника – Улучшенный дизайн с VRF для Университета – Контроль доступа в сфере здравоохранения – Контроль доступа в много-подсистемных сетях – Контроль доступа в ритейловых сетях – Контроль доступа и сегментация ЦОД – Оркестрация системы контроля доступа для облачных и локальных решений
• Итоги
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
“Положение” – Традиционная модель Ролевого доступа
7
Оператор
Управление сетью
Физическая сеть
“Куб сложности”
Оператор
устанавливает
статус
Можно
изменить
положение
Чем меньше
человеческого
вмешательства –
тем меньше
сложность
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
“Положение” – Желаемое конечное положение
Оператор
Управление сетью
Физическая сеть
“Куб сложности”
Оператор
устанавливает
положение
Изменение
положения
может
уменьшить
сложность
Можно
изменить
положение
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Традиционная сегментация
Голос Данные PCI Контрактник Карантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP Scope
Отказоустойчивость Маршрутизация Статические ACL
Простая сегментация двумя VLAN Больше политик с увеличением VLAN
Дизайн должен повторяться для этажей, зданий, офисов и других объектов. Затраты могут быть экстремально высоки
ACL
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Typical Scope Reduction Methods and Challenge
Virtual LAN (VLAN) • Isolate broadcast domain (no security)
• Additional security controls required (IP ACLs when traffic leaves VLAN)
• No control within VLAN
• # of Policy = # of VLAN
• High maintenance (Policy change, Network change result in VLAN change, ACL change)
IP Address Access Control List (ACL) • Common control tool (switches and
routers)
• Address based policy vs. Context based policy
• Prone to human error (misconfiguration)
• High maintenance – new destination means a new ACL everywherw
SGT Review
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Flexible and Scalable Policy Enforcement
Switch Router DC FW DC Switch
Security Control Automation
Improved Efficiency
Simplified Access Management
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Introducing Cisco TrustSec®
Traditional Security Policy Policy-Defined Segmentation based on business policy
Segmentation Policy
SGT Review
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Сетевая сегментация с TrustSec
– Сегментация основанная на RBAC (ролевом контроле доступа), независимая от адресно-ориентированной топологии
– Роль основанная на AD, LDAP атрибутах, типе устройства, местоположении, времени, методах доступа, и тд…
– Использовать технологию тегирования для описания логических групп, трафик отсылается вместе с тегом
– Политика фильтрации основанная на метке применяется на коммутаторах, маршрутизаторах и фаерволах
– Централизованно задавайте политику сегментации, которая может применяться в любой части сети
TrustSec сегментация предоставляет
Switches Routers Firewall
DC Switch Hypervisor SW
Username: johnd Group: Store Managers Location: Store Office Time: Business Hour
SGT: Менеджер
Применение
Ресурс
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа пользователя в ЦОД с TrustSec
Голос Сотрудник Поставщик Гость Нарушитель
Тег сотрудника
Тег поставщика
Тег гостя
Тег нарушителя
Фаервол ЦОД
Голос
Здание 3 VLAN данных WiFi
Ядро кампуса
ЦОД
Основное здание VLAN данных
Сотрудник Нарушитель
Независимо от топологии или месторасположения, политика (Security Group Tag) остается с пользователями, устройствами и серверами
Уровень доступа
SGT Обзор
TrustSec упрощает управление ACL для трафика внутри/вне VLAN
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Высокий OPEX поддержания сложности ИБ политик
14
Adding destination Object
Adding source Object
ACL for 3 source objects & 3 destination objects
permit NY to SRV1 for HTTPS deny NY to SAP2 for SQL deny NY to SCM2 for SSH permit SF to SRV1 for HTTPS deny SF to SAP1 for SQL deny SF to SCM2 for SSH permit LA to SRV1 for HTTPS deny LA to SAP1 for SQL deny LA to SAP for SSH
Permit SJC to SRV1 for HTTPS deny SJC to SAP1 for SQL deny SJC to SCM2 for SSH
permit NY to VDI for RDP deny SF to VDI for RDP deny LA to VDI for RDP deny SJC to VDI for RDP
Global Bank выделяет 24 глобальных ресурсных подразделения для управления правилами МСЭ
Сложная Задача и Высокий OPEX продолжается
Традиционные ACL/FW правила Источник Точка
назначения
NY SF LA
DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2)
NY 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24 ….
SJC DC-RTP (VDI)
Продуктивные сервера
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Уменьшенный OPEX в управлении политиками
Source SGT: Employee (10)
BYOD (200)
Destination SGT: Production_Servers (50)
VDI (201) Permit Employee to Production_Servers eq HTTPS Permit Employee to Production_Servers eq SQL Permit Employee to Production_Servers eq SSH Permit Employee to VDI eq RDP Deny BYOD to Production_Servers Deny BYOD to VDI eq RDP
Политика остается вместе с Пользователями / серверами независимо от местонахождения или топологии
Упрощенный аудит (Low Opex Cost) Упрощение операций по поддержке (Оптимизация ресурсов)
(пример. Банк теперь использует только 6 глобальных подразделений) Четкий ROI через OPEX
Security Group фильтрация
NY SF LA
DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2)
SJC DC-RTP (VDI) Employee
Продуктивные сервера
VDI сервера BYOD
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Процесс динамической классификации для 802.1X
Layer 2
Супликант Коммутатор / WLC ISE Layer 3
EAP Transaction
Authorisation
DHCP
EAPoL Transaction RADIUS Transaction
Аутентификация
Авторизован SGT 0 Оценка политикой
DHCP Lease: 10.1.10.100/24
ARP Probe IP Device Tracking
Authorised MAC: 00:00:00:AB:CD:EF SGT = 5
Привязка: 00:00:00:AB:CD:EF = 10.1.10.100/24
1
2
3
SRC: 10.1.10.1 = SGT 5
00:00:00:AB:CD:EF
cisco-av-pair=cts:security-group-tag=0005-01
3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:SGA_Device INTERNAL 10.1.10.100 5:Employee LOCAL
16
SGT обзор
• IP Device Tracking необходим! • Любой RADIUS сервер может
назначить SGT. • NADs могут быть на загрзку
политик TrustSec только с ISE
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
BYOD Example
Wireless LAN Controller AP
Personal asset
Company asset
Employee
ID &
P
rofil
ing
Dat
a
ISE (Identity Services Engine)
DCHP HTTP
RADIUS SNMP
NetFlow DNS OUI
NMAP
Device Type: Apple iPAD User: Mary Group: Employee Corporate Asset: No
Classification Result:
Personal Asset SGT
ISE Profiling Along with authentication, various data is sent to ISE for device profiling
DC Resource Access
Restricted Internet Only
Distributed Enforcement
based on Security Group
Security Group Policy
Classify Propagate Enforce
SGT
SGT Review
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
TrustSec for PCI Compliance
PCI Audit Partner
http://www.cisco.com/c/dam/en/us/solutions/collateral/borderless-networks/TrustSec/trustsec_pci_validation.pdf
SGT Review
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
TrustSec функции классификации
VLAN-SGT
IP-SGT
Port Profile
Port-SGT
IPv4 Prefix Learning
IPv6 Prefix Learning
IPv6 Prefix-SGT
IPv4 Subnet-SGT
802.1X
MAB
Web Auth
Profiling
SGT
SGT
SGT
Addr.Pool-SGT
VLAN-SGT
ЦОД/ Виртуализация
Пользователь/Устройство/Местоположение
Cisco уровень доступа
ISE NX-OS/
Оркестрация/ Гипервизоры
IOS/Routing
Кампус и VPN доступ не-Cisco и старое
оборудование Контроль доступа поставщиков и бизнес партнеров
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT механизм транспорта
WLC МСЭ
Уровень доступа НЕ-CISCO устройство Ядро DC Ядро
Магистраль Enterprise
DC уровень доступа
Коммутатор Гипервизора
Top-of-Rack
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Таблица привязки
SXP
SGT=50
ASIC ASIC Опциональное шифрование
Inline SGT тегирование
SGT=50
ASIC
L2 Ethernet фрейм SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50 SXP
10.1.100.98
Inline Тегирование(подсистема данных): Если устройство поддерживает SGT в ASIC
SXP (контрольная подсистема): Связь между устройствами, которые не имеют поддержки SGT аппаратно
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SXP Версии • Версия 1, Первоначальная версия SXP, поддерживает распространение привязок
IPv4. (N7K, N5K, N1KV – на Июнь 2013) • Версия 2, Включена поддержка распространения привязок IPv6 и согласование версии. (Старые версии IOS на коммутаторах, маршрутизаторах – До марта 2013, WLC)
• Версия 3, Добавлена поддержка привязки Подсеть/SGT ее распространение и др.
(6K только). При режиме speaker устанавливает связь с listener меньшей версии, передаваемая подсеть будет расширена (network expansion) (по факту переданы привязки индивидуальных хостов подсети)
• Версия 4, Обнаружение петель и предотвращение их образования, функциональное согласование, механизм keep-alive. (Новые коммутаторы и роутеры – После марта 2013)
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT протокол обмена • Протокол уровня подсистемы контроля, который переносит привязки IP-SGT оконечных узлов к точкам применения политик
• IP трафик идет как обычно – SXP идет вне диапазона потока данных (control plane)
• Использует TCP как транспортный уровень
• Ускоряет внедрение SGT
• Поддержка одно-пролетного (single-hop) SXP много-пролетного (multi-hop) SXP (агрегация)
• Две роли: Speaker (инициатор) и Listener (приемник)
• Предотвращение петель с версии 4
Коммутатор
Коммутатор Роутер
Коммутатор
SXP (Агрегация) SXP
SXP
Speaker Listener
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Открыт для применения - SXP Informational Draft • SXP теперь опубликован как Informational Draft в IETF, по запросу клиентов – открывая возможность реализаций для партнеров
• Draft называется ‘Source-Group Tag eXchange Protocol’ поскольку предоставляет возможности использования не только в сфере ИБ.
• Описывает SXP v4 функциональность с обратной совместимостью с SXP v2
• Включает Cisco Meta Data (CMD) формат для включения SGT меток в Ethernet фреймы (детали далее) – https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
• Дальнейшее описание метаданных, несущих такие форматы как Network Services Header (NSH) – Позволяет Source Group Tag ставиться в соответствие с Source Class – Позволяет Source Group Tag ставиться в соответствие с Destination Class если потребуется
• https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Inline Security Group Tagging
CTS Мета данные
CMD
ETYPE
ICV
CRC
Version
Length
CMD EtherType
SGT Opt Type
SGT Value
Other CMD Options
DMAC SMAC
802.1AE Header
802.1Q
PAYLOAD
16 бит (64K SGTs)
Шифрованные поля MACsec (опция) ETHTYPE:0x88E5
• заголовки являются L2 802.1AE + TrustSec доп. полями
• Фрейм всегда тегируется на входящем порту SGT-поддерживающего устройства
• Тегирование происходит до других L2 процессов, таких как QOS
• Не влияет на IP MTU/Фрагментацию
• Влияние на L2 MTU: ~ 40 байт (~1600 байт с 1552 байт MTU)
• MACsec является опцией при наличии поддерживаемого оборудования
Ethernet Frame field 802.1AE Header
CMD
ICV
(ETHTYPE:0x8909)
SecurityGroup
Tag
ETHTYPE:0x88E5
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT аутентификация и авторизация транка Mode MACSEC MACSEC Pairwise
Master Key (PMK) MACSEC Pairwise
Transient Key (PTK) Encryption Cipher
Selection (no-encap, null, GCM,
GMAC)
Trust/Propagation Policy for Tags
cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured
cts manual – with encryption
Y Static Dynamic Static Static
cts manual – no encryption
N N/A N/A N/A Static
• CTS Manual настоятельно рекомендованная конфигурация для распространения SGT • “cts dot1x” отключает линк при отключении AAA. Жесткая связка статуса линка со статусом AAA сервера
• CTS “Critical Authentication” недавно представлена в 3K/4K/6K • Некоторые платформы (ISRG2, ASR1K, N5K, ASA, N1KV, и тд.) поддерживают только cts
manual/без шифрования
SGT Обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 7000 Data Center
Коммутатор Catalyst
ISE
Internet
Профилирование Оценка состояния Гостевой сервер
SGT Транспорт через L3 сети
Nexus 5000/2000
Catalyst 6500
SGACL
SGT переносится inband в ethernet фрейме
WLC
Enterprise LAN
HR
Финансисты
SXP
Администратор Коммутатор Catalyst
Коммутатор Catalyst
Ent. MPLS
DMVPN
• Множество опций транспорта SGT через не CTS L3 сети
• DMVPN для VPN сетей через Интернет
• GETVPN для безопасных частных MPLS сетей
• Over The Top (OTP) для частных Enterprise сетей (1HCY15)
• LISP инкапсуляция подсистемы данных по средством EIGRP подсистемы контроля
GETVPN
BYOD
Enterprise Сеть
OTP
SGT обзор
SGT переносится inband через OTP
SGT переносится inband через DMVPN
SGT переносится inband через GETVPN
IP/SGT переносится внутри SXP out of band
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Непрерывное SGT тегирование
Cat3750X Cat6500 Nexus 2248
WLC5508 ASA5585
Enterprise Магистраль
Nexus 2248
Cat6500 Nexus 7000 Nexus 5500
Пользователь аутентифицирован Классифицирован как Employee (5)
FIB Lookup Destination MAC/Port SGT 20
DST: 10.1.100.52 SGT: 20
ISE
SRC: 10.1.10.220
5SRC:10.1.10.220 DST: 10.1.100.52
SGT: 5 DST: 10.1.200.100 SGT: 30
CRM
ESXi
SRC\DST CRM (20) ESXi (30)
Employee (5) SGACL-A Deny
BYOD (7) Deny Deny
Классификация пункта назначения CRM: SGT 20 ESXi: SGT 30
L2 SGT тегирование
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGACL Масштабируемая сегментация • Ввод в сеть новых Пользователей/Устройств/Серверов, например продуктивный и тестовый сервер
• Коммутаторы TrustSec требуют наличия политики для защищаемых устройств
• Политики загружаются и применяются автоматически • Результат: Программно-управляемая сегментация
• Все управление происходит централизованно • Политики безопасности отвязаны от сетевой топологии • Не нужны специфические настройки безопасности коммутатора
• Единое место для аудита политик всей сети • Масштабируется двумя механизмами
• Помещаем SGT пункта назначания в FIB, берем SGT источника из фрейма/FIB
• В ТСАМ помещаем только информацию о протоколе/порте
Prod_Servers Dev_Servers
Тестовый сервер
(SGT=10)
Продуктивный сервер (SGT=7)
SG
T=3
SG
T=4
SG
T=5
SGACL Применение
Сегментация задается в ISE
Коммутаторы запрашивают политики для защищаемых ими объектов
Коммутаторы загружают только
необходимые политики
SGT обзор
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
TrustSec Поддержка платформ Тегирование Распространение Применение политик
Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7E) Catalyst 4500E (8E) Catalyst 6500E (Sup720/2T), 6880X
Catalyst 3850, 3650 WLC 5760
Wireless LAN Controller 2500/5500/WiSM2 Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E), 4500X Catalyst 4500E (Sup 8E) Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T) / 6880X WLC 2500, 5500, WiSM2 WLC 5760 Nexus 1000v Nexus 5500/22xx FEX Nexus 5600/6000/22xx FEX Nexus 7000/22xx FEX ISRG2, CGR2000 ASR1000, CSR1000V, ISR 4400 ASA5500(X), ASAv
SXP
SXP
IE2000/3000, CGS2000
ASA5500X, ASAv (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN
GETVPN
• All ISRG2 Inline SGT (except C800): Today
Catalyst 3560-X Catalyst 3750-X
Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X
Catalyst 3850, 3650 WLC 5760
Nexus 7000
Nexus 5600 Nexus 5500
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500/5500X Firewall ASAv Firewall SGFW
SGFW
SGFW ASR 1000 Router, ISR 4400, CSR1000V
SXP
SGT
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
Nexus 6000
SXP SGT
SXP SGT
SXP SGT
Nexus 6000 Nexus 5600
DMVPN
DMVPN
SXP SGT
SGT
SGT
Дизайн
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Как начать использовать TrustSec • Найти подходящий сценарий использования, который имеет ясные цели и реалистичные критерии успеха, а также демонстрирует защиту инвестиций. – Смоделируйте потенциальные отношения между логическими группами и высокоуровневые правила работы между группами
– Разработайте детальные правила доступа (отдельные ACL) между этими группами
• Примените детальные SGACL к данному примеру в режиме мониторинга для обнаружения отклонений от политики безопасности – Firewall ACE анализ логов (если доступно) – SGACL ACE логи и syslog – Логирование совпадений в ACE Unknown/SGT или SGT/Unknown – По умолчанию разрешать и логировать всё, что избежало специфично разрешающих правил – Применять SGACL в режиме мониторинга если возможно (Cat6K)
• Собрать статистику и проанализировать информацию собранную выше для перехода от мониторинга к фильтрующим политикам
• Финализировать политики и разработать полную матрицу доступа TrustSec.
Дизайн
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Device 3 App1
Unified Comm. HVAC Billing
Guest Devices
User1App2
Internet Guests Partner
User1App1
User2App1 User1App3 User1App4
Non Compliant
Admin Audit
External
Devices
Users
Device2 App1
Device 1 App3
Device 2 App3
App1
Device1 App2
App3
Device2 App3
Unified Comm.
Security
HVAC AD Server Network Services
BYOD Access
Device1 App3
Device1 App1
Apps/Services
Security Group Relationship Mapping – All Groups TrustSec Policy
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Non Compliant
Unified Comm. HVAC
Guest Devices
App3
Device2 App3
Unified Comm.
Security
HVAC
BYOD Access
Device1 App3
Device 2 App3
User1App2
User1App3 User1App4
Audit Admin
Internet Guests Partner
Device 3 App1 Billing
User1App1
User2App2
External
Devices
Users
Device2 App1
App1 App2
Device1 App2
AD Server Network Services
Device1 App1
Apps/Services
Security Group – Application Mappings TrustSec Policy
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Admin
Device 3 App1 Billing
User1App1 User2App2
Devices
Users
Device2 App1
App1 App2
Device1 App2
AD Server Network Services
Device1 App1
Apps/Services
Security Group – Single Application Mappings TrustSec Policy
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SG
T P
olic
y Пример
матрицы
✓ ❏ ❏ ✗ ❏ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ❏ ✗ ✗
❏ ✓ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏
❏ ❏ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓
✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗
❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗
✗ ❏ ✗ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏
✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✓ ✗ ✓ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
❏ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
❏ ❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
❏ ❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗
✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗
✗ ❏ ✓ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ❏
Partner'VDI'Control'Domain
Internet'DMZ
Destinatio
n'Group
Data$Ce
nter$Co
ntrol$D
omain
AD'Servers
Network'Services
Unified'Communications
HVAC
App1
App2
App3
Security'Applications
HVAC
BYOD
'Access
Security'A
pplication
s
Partn
erVD
I'Con
trol'
Domain
Interne
t'DMZ
App1
App3
Unifie
d'Co
mmun
icatio
ns
Corporate$Control$Domain
Security
Quarantin
e'
Devic
e1Ap
p1
Devic
e2Ap
p1
Devic
e1Ap
p2
User1A
pp1
User1A
pp2
User1A
pp3
Unified'Communications
App2
Device2App1
Device1App2
HVAC
Device1App1
User1App1
User1App2
User1App3
HVAC
Corporate$S
ite$Co
ntrol$D
omain
AD'Se
rvers
Netw
ork'S
ervic
es
Unifie
d'Co
mmun
icatio
ns
Source'Group
Data$Center$Control$Domain
BYOD'Access
Quarantine
Security
TrustSec Политика
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа в WiFi • Проблемы стоящие перед бизнесом
– BYOD устройства требуют ограниченного доступа в корпоративную сеть и к прокси – Разделение продуктивных сегментов от тестовых в корпоративной сети через WiFi – Разделение устройств соответствующих корпоративной политике от не соответствующих в БЛВС – Централизованное принудительное туннелированние, приводящее к падению производительности приложений – Масштабирование децентрализованного контроля доступа
• WLC не масштабируются в соответствии с запросами на ACL – ACL должны превышать 64 линии >1,500 • Высокий CAPEX при покупке и доставке на удаленные точки МСЭ и коммутаторов • Высокий OPEX при эксплуатации распределенных сетей
• Обзор решения – Использование SXP для распространения привязок IP/SGT всех вышеуказанных классов пользователей к коммутаторам для применения SGACL
– Использовать Subnet/SGT и IP/SGT привязки для распространения к SGACL коммутаторам через SXP, ISE 1.3 push, или CLI
– Вышестоящие SGACL коммутаторы берут SGT/DGT привязки из SXP, ISE 1.3, или CLI. – Пример – Уменьшенное количество IOS ACE с примерно 1500 линий до одной ACE
• permit tcp dst eq 443
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Производитель
CAPWAP Tunnel
Интернет Прокси 192.168.31.1/32 = SGT100
Cat6500 VSS Система
ЦОД
Удаленный офис
Точки доступа
ISE
VSS
Sup2T WiSM2
Sup2T WiSM2
WiSM2 WiSM2
SXP SXP
Кампус А 10.x.x.0/24 = SGT 30
192.168.32.0/24 = SGT 20
10.z.z.0/24 = SGT 50
Карантин Мобильное устройтво Не прошедшее оценку состояния
Корпоративное устройство Прошло оценку состояния
SGT 4: Разработка SGT 6: Полный доступ
CAPWAP Tunnel
Cat6500 VSS Система
Точки доступа
VSS
Sup2T WiSM2
Sup2T WiSM2
WiSM2 WiSM2
SXP SXP
Устройства разработчиков
SGT 5: Продуктив
CAPWAP Tunnel
Cat6500 VSS Система
Точки доступа
VSS
Sup2T WiSM2
Sup2T WiSM2
WiSM2 WiSM2
SXP SXP
BYOD Asset
SGT 6: Полный доступ
SXP
IP Address SGT
192.168.31.1./32 Internet Proxies - 100
192.268.32.0/24 Data Center - 20
10.x.x.0/24 Campus D - 30
10.z.z.0/24 Branch Office - 50
SGT 3: BYOD SGT 8: Ограниченный доступ
IP Address SGT
192.168.31.1./32 Интернет прокси - 100
192.168.32.0/24 ЦОД - 20
10.x.x.0/24 Кампус A - 30
10.z.z.0/24 Удаленный офис - 50
IP Address SGT
10.2.1.100 BYOD - 3
10.2.10.200 Полный доступ - 6
IP Address SGT
10.23.1.100 Ограниченный доступ - 8
10.23.10.200 Полный доступ - 6
IP Address SGT
192.168.31.1./32 Интернет прокси - 100
192.168.32.0/24 ЦОД - 20
10.x.x.0/24 Кампус A - 30
10.z.z.0/24 Удаленный офис - 50
10.23.1.100 Ограниченный доступ - 8
10.23.10.200 Полный доступ - 6
IP Address SGT
192.168.31.1./32 Интернет прокси - 100
192.168.32.0/24 ЦОД - 20
10.x.x.0/24 Кампус A - 30
10.z.z.0/24 Удаленный офис - 50
10.2.1.100 BYOD - 3
10.2.10.200 Полный доступ - 6
Контроль БЛВС
SRC:10.2.1.100 DST: 10.x.x.100
SGT: BYOD (6)
DGT: ЦОД (20)
SGT DGT SGACL
BYOD Data Center deny ip
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Switch Design Consideration
• Platform Hardware capabilities - Two types of SGT/SGACL switch hardware
• Port/VLAN - SGT/SGACL tagging/enforcement • IP/SGT – tagging/enforcement
• Hardware capabilities impact – SXP Design – SGT/SGACL enforcement scaling
• Use Cases drive whether the hardware is impactful to the design
• General rule of thumb “Tag when you can , SXP when you have to”
WLAN Access Control
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Аппаратная обработка SGT/SGACL сегодня • Два типа устройств по аппаратной обработке • Основанные на Port/VLAN привязке
– Cat 3K-X – N5500
• Основанные на IP/SGT привязке – Cat 6K/Sup2T – N7K – M серии и F серии – Cat 4K/Sup7E/Sup8E – Cat 3850/5760 – ASR1K
• Каждый аппаратный тип имеет различные ограничения по масштабированию – Есть ограничения на количество связок SGT/DGT также как и на количество записей
(ACE) в TCAM – Все устройства стараются использовать общие записи ACE когда это возможно с разными связками SGT/DGT
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT и DGT использование в Cat 3K-X
DGT/SGT
SGACL
Входящий маршрут (SGT Derivation)
Классификация L2 таблица (только) Из пакета Статическая
настройка
SGT
Исходящий маршрут (DGT получение и SGACL)
(Port,vlan) DGT Каждый (Порт/VLAN) Может иметь одну DGT ассоциированную с ним.
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT и DGT использование в Cat6K/Sup2T
DGT/SGT
SGACL
Входящий маршрут (SGT Derivation)
L3/FIB таблица Из пакета Статическая конфигурация
на порту
SGT
Исходящий маршрут (DGT получение и SGACL)
IP prefix DGT
L3/FIB таблица, каждый префикс имеет ассоциированный DGT
Все имеющиеся источники присвоения SGT(DGT), такие как SXP, VLAN-SGT, Subnet/Host SGT, будут оценены TrustSec алгоритмом в софте по списку приоритета выигравший результат занесется в L3/FIB таблицу
DGT
Контроль приоритета источников
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Возможности аппаратных реализаций § Port/VLAN реализация
§ Ограниченное применение SXP из-за привязки SGT к mac/порту
§ Хорош для роли speakers/relays но не для SGT/DGT обучения из SXP
§ Ограниченное количество SGT на порт (одна или на vlan/port)
§ Не подходит для этого сценария контроля доступа WiFi
§ IP/SGT реализация – Работает двусторонний SXP – Позволяет принимать multi-hop SXP сессии приходящие в коммутатор и выбирать лучший источник в FIB для связки IP/SGT
– Тегирование/Применение политик для входящих пакетов основываясь на поиске в FIB связки IP/SGT
– Масштабирование зависит от платформы. Сотни групп с могут использовать общие параметры фильтрации (ACEs)
– Как показано отлично подходит для текущего примера и других
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Возможности аппаратных реализаций • Catalyst 3K-X может принимать IP/SGT через SXP для L2 связанного трафика. – L2 связность дает создать ассоциацию mac/port/vlan для тегирования или исходящей фильтрации
– Catalyst 3K-X может иметь L2 связанные хосты (небольшие WLC) соединенные транком с Cat3K-X • Поскольку Catalyst 3K-X может иметь только 1 связку SGT/VLAN на порт. Это означает что все пользователи внутри VLAN должны иметь одинаковый SGT. Назначьте VLAN политику в ISE или используйте “VLAN/SGT” на коммутаторе.
• Cat 3K-X может иметь максимум 8 SGT/VLAN ассоциаций на транк – Cat 3K-X НЕ МОГУТ принимать IP/SGT (SXP) через L3 (SXP multi-hop)
• Cat 3K-X не может найти нужную связку mac/port/vlan из-за L2 поиска SGT. • При передаче через L3, связка mac/port/vlan будет присвоена следующему L3 хопу, а не указанной связке IP/SGT полученной через SXP
• N5K ограничен поскольку не имеет возможности искать SGT через SXP. – В N5K SXP нет функции listener – даже для L2 связных хостов – N5K не может быть listener для N1KV
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройка SXP на WLC Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Конфигурация SXP на IOS
3750 cts sxp enable cts sxp connection peer 10.1.44.1 source 10.1.11.44 password default mode local ! SXP Peering to Cat6K 6K cts sxp enable cts sxp default password cisco123 ! cts sxp connection peer 10.1.11.44 source 10.1.44.1 password default mode local listener hold-time 0 0 ! ^^ Peering to Cat3K cts sxp connection peer 10.1.44.44 source 10.1.44.1 password default mode local listener hold-time 0 0 ! ^^ SXP Peering to WLC
C3750#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ====================================================================== 10.10.11.1 2:device_sgt INTERNAL 10.10.11.100 6:Full_Access LOCAL C6K2T-CORE-1#show cts sxp connections brief SXP : Enabled Highest Version Supported: 4 Default Password : Set Default Source IP: Not Set Connection retry open period: 120 secs Reconcile period: 120 secs Retry open timer is not running ----------------------------------------------------------------------------- Peer_IP Source_IP Conn Status Duration ----------------------------------------------------------------------------- 10.1.11.44 10.1.44.1 On 11:28:14:59 (dd:hr:mm:sec) 10.1.44.44 10.1.44.1 On 22:56:04:33 (dd:hr:mm:sec) Total num of SXP Connections = 2 C6K2T-CORE-1#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ====================================================================== 10.1.40.10 2000:PCI_Servers CLI 10.1.44.1 2:Device_sgt INTERNAL --- snip --- 10.0.200.203 3:BYOD SXP 10.10.11.100 6:Full_Access SXP
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Включение SGT/SGACL на IOS • Далее следует высокоуровневый обзор настройки SGT/SGACL на Cat6K
Sup2T при использовании ISE1.x ① Настройте ISE 1.x на работу с устройством, где будет выполняться 802.1x аутентификация (bootstrap,
сертификат, AD интеграция, базовая аутентификация и правила авторизации)
② Настройте Device SGT (Policy > Policy Elements > Results > TrustSec > Security Group)
Все устройства должны иметь доступ к Device_SGT по политике (ARP ведь должен работать J)
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT Конфигурация в ISE ③ Внутри меню Policy > TrustSec > Network Device Authorization, назначьте Device SGT созданный на шаге (2) как
параметр по умолчанию
④ Опционально внутри меню Admin > System > Settings > Protocols > EAP-FAST > EAP-FAST Settings, измените A-ID описание на что-либо имеющее осознанное значение, для того чтобы через CLI понимать от какого ISE Вы получаете PAC (Protected Access Credentials) файл на коммутатор.
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройка Cat6K Sup2T как NAD устройство ⑤ В разделе меню Admin > Network Resources > Network Devices, создайте AAA
клиентскую запись для Cat6500 Sup2T
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройка параметров SGT устройства Контроль БЛВС
⑥ Настройте секретный ключ Radius. Также в разделе Advanced TrustSec Settings, отметьте Use Device ID for TrustSec, далее введите пароль устройства password. Этот ID и Пароль Должны быть точно такими же как Вы указываете на NAD в CLI
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Дополнительный шаг для настройки Private Server List
⑦ Дополните “seed” устройство (Ближайшее устройство к ISE) with list of multiple servers it can fall back to in case first PDP becomes unavailable. You can set such list under Admin > Network Resources > TrustSec AAA Servers. This data is available via CTS Environment Data (show cts environment-data)
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настроим коммутатор IOS для работы SGT • Следующую настройку требуется провести из CLI NAD устройства для включения NDAC
(для аутентификации устройства в ISE и получения политик включая SGACL от ISE)
Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#aaa new-model
Switch(config)#radius-server host <ISE_PDP_IP> pac key <RADIUS_SHARED_SECRET>
Switch(config)#aaa authentication dot1x default group radius Switch(config)#aaa authorization network <AUTHZ_List_Name> group radius
Switch(config)#cts authorization list <AUTHZ_List_Name>
① Включаем AAA
② Указываем RADIUS server вместе с PAC паролем
③ Указываем список авторизации для загрузки политики SGA
④ Используем группу AAA по умолчанию для 802.1X и “заданный список авторизации” для авторизации
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настроим коммутатор IOS для работы SGT(cont.)
Switch(config)#radius-server vsa send authentication
Switch#cts credential id <DEVICE_ID> password <DEVICE_PASSWORD>
Switch(config)#dot1x system-auth-control
⑤ Настроим RADIUS сервер на использование VSA в процессе запроса аутентификации
⑥ Включаем 802.1X на системном уровне
⑦ Укажем учетные данные устройства (EAP-FAST I-ID), которые должны совпадать с настройкой AAA клиента в настройках ISE
Заметка: Помните что учетные данные устройства настраиваются в IOS в режиме Enable, не в режиме Config. Тем не менее в коммутаторах с NX-OS данную настройку выполняют через Config режим.
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Проверка получения PAC
TS2-6K-DIST#show cts pacs AID: 04FB30FE056125FE90A340C732ED9530 PAC-Info: PAC-type = Cisco TrustSec AID: 04FB30FE056125FE90A340C732ED9530 I-ID: C6K2T-CORE-1 A-ID-Info: CL Identity Services Engine 1.3 Credential Lifetime: 00:54:33 UTC Dec 21 2015 PAC-Opaque: 000200B0000300010004001004FB30FE056125FE90A340C732ED95300006009400030100980BC43B8BDAB7ECC3B12C04D2D3CA6E000000134E7A69FD00093A80AD1F972E0C67757D29DBF9E8452EDC3E0A46858429C8E4714315533061DAD4FB2F31346FE4408579D4F55B3813ADA9876F04ACC1656DE2F476ED3CBC96A0DB937403AC3B0CAB64EEC15A1BD6E351A005A8DE6E6F894DEE619F4EFFF031BC7E7BD9C8B230885093FF789BAECB152E3617986D3E0B Refresh timer is set for 12w0d
Используйте show cts pac для проверки получения PAC. Ключевым моментом является совпадение A-ID, с тем что указан в environmental data с IP адресом. Также проверьте чтобы I-ID совпадал с тем, который Вы указали в настройке Device-ID и что A-ID-Info совпадает с настроенным на ISE (EAP-FAST настройка)
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Проверка – Environment Data C6K-CORE-1#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-00 Server List Info: Installed list: CTSServerList1-0004, 3 server(s): *Server: 10.1.100.3, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.4, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.6, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0001-30 : 2-98 : 80 -> Device_SGT unicast-unknown-98 : 80 -> Unknown Any : 80 -> ANY Transport type = CTS_TRANSPORT_IP_UDP Environment Data Lifetime = 86400 secs Last update time = 20:56:48 UTC Mon Sep 26 2011 Env-data expires in 0:23:59:59 (dd:hr:mm:sec) Env-data refreshes in 0:23:59:59 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Подготовка ISE к применению SGACL • Для назначения SGACL политик автоматически на Sup2T, ISE должен быть настроен на SGT/SGACL а ассоциировать с ними политики В пункте меню Policy > TrustSec > Egress Policy, создайте соответствие для политики
1 2
Выбрать разрешение
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Подготовка ISE к применению SGACL На том же экране добавьте Security Group ACL Mapping. Создайте дополнительные Security Group ACL при необходимости
Известное ограничение: Cat6K Sup2T поддерживает несколько SGACLs внутри политики. Nexus 7K поддерживает только один SGACL, поэтому лучшая практика это использовать один SGACL и добавлять явный DENY или PERMIT внутри SGACL и не выставлять правило Final Catch Rule
Создайте новый SGACL если потребуется
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ISE Отображение политики • 3 различных вида отображения – Деревья по источнику/пункту назначения и Матрица
Source View
Filter Applied
Только SGT/DGT с SGACL показаны по умолчанию в деревьях source/destination
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Матричный вид политики SGACL Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Активировать применение SGACL на коммутаторе IOS
• После проведения SGT/SGACL настройки на ISE, Вы можете включить применение SGACL на IOS коммутаторе
Switch(config)#cts role-based sgt-map 192.168.31.1 sgt 100 Switch(config)#cts role-based sgt-map 192.168.32.0/24 sgt 20 Switch(config)#cts role-based sgt-map 10.x.x.0 sgt 30
Указание статических привязок IP к SGT для серверов
Switch(config)#cts role-based enforcement Switch(config)#cts role-based enforcement vlan-list 40
Включение применения SGACL глобально и для VLAN
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Загрузка политики на IOS коммутатор • После включения применения SGACL, нужно чтобы политики были загружены в IOS, на точку исходящего(egress) применения политики
Switch#cts refresh environment-data Environment data download in progress
Обновите Environment Data используя комаду cts refresh environment-data
Switch#cts refresh policy Policy refresh in progress
Обновите политики командой cts refresh policy
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Загрузка политик в IOS коммутатор C6K-CORE-1#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 2-00 Server List Info: Installed list: CTSServerList1-0004, 3 server(s): *Server: 10.1.100.3, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.4, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs *Server: 10.1.100.6, port 1812, A-ID 04FB30FE056125FE90A340C732ED9530 Status = ALIVE auto-test = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0001-22 : 7-98 : 80 -> Network_Admin_User 6-98 : 80 -> Full_Access 5-98 : 80 -> Production 4-98 : 80 -> Dev 3-98 : 80 -> BYOD 2-98 : 80 -> Device_SGT unicast-unknown-98 : 80 -> Unknown Any : 80 -> ANY Transport type = CTS_TRANSPORT_IP_UDP Environment Data Lifetime = 86400 secs Last update time = 22:50:57 UTC Mon Sep 26 2011 Env-data expires in 0:23:59:49 (dd:hr:mm:sec) Env-data refreshes in 0:23:59:49 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running
Сверим данные Environment Data
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Downloading Policy on IOS Switch Verify SGACL Content C6K-CORE-1#show cts rbacl CTS RBACL Policy ================ name = Deny IP-00 IP protocol version = IPV4, IPV6 refcnt = 6 flag = 0xC1000000 stale = FALSE RBACL ACEs: deny ip name = ALLOW_HTTP-10 IP protocol version = IPV4 refcnt = 2 flag = 0x41000000 stale = FALSE RBACL ACEs: permit tcp dst eq 80 deny ip name = Permit IP-00 IP protocol version = IPV4, IPV6 refcnt = 6 flag = 0xC1000000 stale = FALSE RBACL ACEs: permit ip name = ALLOW_HTTP_SQL-10 IP protocol version = IPV4 refcnt = 2 flag = 0x41000000 stale = FALSE RBACL ACEs: permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 1433 deny ip
• show cts rbacl is only available when cts role-based enforcement is enabled
• Different from NX-OS syntax, which is show cts role-based access-list
• <ACL_NAME>-XX: XX stands for generation ID, and this should match one on ISE. Gen-ID is only incremented when ACL content is updated. No Gen-ID changes upon name change.
WLAN Access Control
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Загрузка SGACL политики на IOS коммутатор Проверим содержимое SGACL
C6K-CORE-1#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 3 to group 5: Deny IP-00 IPv4 Role-based permissions from group 4 to group 5: ALLOW_HTTP_HTTPS-20 IPv4 Role-based permissions from group 3 to group 20: Deny IP-00 IPv4 Role-based permissions from group 4 to group 6: Deny IP-00 IPv4 Role-based permissions from group 3 to group 7: Deny IP-00 IPv4 Role-based permissions from group 4 to group 7: Permit IP-00
SGACL Загружаемая политика должна повторять настройку в ISE
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Проверим SGACL отфильтрованные пакеты Используйте show cts role-based counter для отображения отфильтрованного с помощью SGACL трафика C6K-CORE-1#show cts role-based counters Role-based IPv4 counters From To SW-Denied HW-Denied SW-Permitted HW_Permitted * * 0 0 48002 369314 3 20 53499 53471 0 0 4 5 0 0 0 3777 3 6 0 0 0 53350 4 6 3773 3773 0 0 3 7 0 0 0 0 4 7 0 0 0 0
От * к * означает правило по-умолчанию
show команда отображает содержимое статистики по применению RBACL. Отдельные счетчики отображены для аппаратно и программно коммутируемых пакетах. Пользователь может указать SGT источника используя параметр “from” и SGT точки назначения используя параметр “to”. Большая часть SGACL применяется аппаратно. Только в случае если пакет должен быть обработан программно (прим. TCAM заполнен, отметка о логировании) , SW счетчик увеличивается
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Cisco TrustSec Домен
SGT SGT SGT SGT SGT
SGACL обновление политик
Identity Service Engine
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-A
User B (20) Deny all SGACL-B
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-C
User B (20) Deny all SGACL-B
cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit tcp dst eq 80
deny ip
SGACL Enforcement cts role-based permissions from 10 to 222
permit tcp dst eq 443 deny ip
Применение SGACL
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Cisco TrustSec Домен
SGT SGT SGT SGT SGT
SGACL обновление политик
Identity Service Engine
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-A
User B (20) Deny all SGACL-B
SRC \ DST Server A (111) Server B (222)
User A (10) Permit all SGACL-C
User B (20) Deny all SGACL-B
cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit tcp dst eq 80
deny ip
SGACL Enforcement cts role-based permissions from 10 to 222
permit tcp dst eq 443 deny ip
Применение SGACL
CO
A
COA
aaa server radius dynamic-author client 10.1.100.3 server-key cisco123
COA Config on IOS Switch
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGACL мониторинг – Best effort syslog C6K2T-CORE-1#sho cts role-based permissions
IPv4 Role-based permissions from group 8:EMPLOYEE_FULL to group 8:EMPLOYEE_FULL:
Malware_Prevention-11
C6K2T-CORE-1#sho ip access-list
Role-based IP access list Deny IP-00 (downloaded)
10 deny ip
Role-based IP access list Malware_Prevention-11 (downloaded)
10 deny icmp log-input (51 matches)
20 deny udp dst range 1 100 log-input
30 deny tcp dst range 1 100 log-input
40 deny udp dst eq domain log-input
*May 24 04:50:06.090: %SEC-6-IPACCESSLOGDP: list Malware_Prevention-11 denied icmp 10.10.18.101 (GigabitEthernet1/1 ) -> 10.10.11.100 (8/0), 119 packets
Контроль БЛВС
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа и изоляция в среде общего проживания • Проблемы бизнеса/Задача
– Группы людей проживающие в одной физической локации должны иметь общий уровень доступа, но ограниченный доступ между группами в рамках данной локации. Группы основаны на делении - “Комната/апартаменты”
– Текущая система регистрации, назначения VLAN, управления ACL в основном ручная и дорогая в эксплуатации.
• Обзор решения – Регистрация через ISE портал на основании принадлежности к комнате/апартаментам – Устройствам и пользователям будет назначена метка SGT, соответствующая их комнате/апартаментам и SGACL будет разрешать трафик SGT_Room1 <-> SGT_Room1 • SGACL не фильтрует L2 broadcast/multicast, поэтому mDNS изоляция должна предоставляться через WLC • Если же WLC не может предоставить изоляцию mDNS, тогда нужно назначать VLAN вместе с SGACL – такой подход также дает масштабируемый подход к контролю доступа (SGACL между VLANs)
– На Airespace WLC включена P2P блокировка для применения функций фильтрации на вышестоящем Cat 6500. SXP дает данные о IP/SGT для комнат/апартаментов с SGT
– На 5760 SGACL фильтрует трафик запад-восток в случае если общее число комнат не превышает 255. 5760/3650/3850 может обработать не более 255 Destination Group Tags
Общая среда
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Применение политик в среде общего проживания
Permit
Deny WLAN
Controller
cts sxp connection peer 10.1.36.2 source 10.99.1.4 password default mode local listener hold-time 0 0 ! interface Vlan2 ip local-proxy-arp ip route-cache same-interface ! cts role-based enforcement cts role-based enforcement vlan-list 2
6500
ISE
Vlan 2
SRC \ DST Room1 (10) Room2 (20) Room3 (30) Room4 (40)
Room1 (10) Permit Deny Deny Deny
Room2 (20) Deny Permit Deny Deny
Room3 (30) Deny Deny Permit Deny
Room4 (40) Deny Deny Deny Permit
SXP
Общая среда
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Применение политик в среде общего проживания
Permit
Унифицированный доступ
3650/3850/5760
SRC \ DST Room1 (10) Room2 (20) Room3 (30) Room4 (40)
Room1 (10) Permit Deny Deny Deny
Room2 (20) Deny Permit Deny Deny
Room3 (30) Deny Deny Permit Deny
Room4 (40) Deny Deny Deny Permit
ISE
Deny
Общая среда
Лимит DGT на платформах 5760/3850 ограничивает их возможные применения в схемах общего проживания
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа для Партнера/Вендора/Контрактника
• Проблема бизнеса/Задача – Партнеры/Вендоры/Контрактники требуют доступа к системам разнесенным географически
– Распределенная система удаленного доступа (RAS) VPN плохо масштабировалась и не имела целостной политики безопасности
– При использовании RAS VPN требовался второй уровень контроля доступа при доступе в систему. Крайне желательно избавиться от вторичной аутентификации
– Партнеры/Вендоры/Контрактники могут иметь крайне разный уровень доступа в зависимости от системы управления
• Обзор решения – Централизованный головной RAS VPN будет обновлен для поддержки SXP – RAS VPN будет отдавать соответствия IP/SGT на рефлектор, который будет отдавать сведения на все системы контроля и фильтрации внутри сети (МСЭ или коммутатор в зависимости от требований и масштаба)
Партнер/Вендор/Контрактник
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
• ISRG2 – 15.2(2)T • ASR1K - IOS XE 3.4
• Cat6K(SUP 2T) - IOS 12.2(50)SY1
• Unidirectional only
• No loop detection
• Branch to DC enforcement only . . .
WAN
Data Center
SXP
Speaker-1
Listener-2
SXP
Listener-1
Speaker-300
N7K
6K w/720
ASR1K ASR1K
SXP
SXP
NDAC/SAP 802.1AE Encryption
6K w/ SUP 2T
SXP
SXP Design Discussion
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
IP Address SGT
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
- Figure for Illustrations purposes only - Don’t interpret as recommended topology
Partner/Vendor/Contractor
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа для Партнера/Вендора/Контрактника
SGT-поддерживающий коммутатор или МСЭ
SXP Аггрегация
Listener
Удаленный доступ VPN
SGT-поддерживающий коммутатор или МСЭ
Listener
Контрольная комната Общие рабочие места
Производственные мощности
ISE IP Address SGT
10.1.254.1 Partner1– 10
10.1.254.10 Vendor1 – 20
10.2.254.20 Contractor - 30
IP Address SGT
10.1.254.1 Partner1– 10
10.1.254.10 Vendor1 – 20
10.2.254.20 Contractor - 30
IP Address SGT
10.1.254.1 Partner1– 10
10.1.254.10 Vendor1 – 20
10.2.254.20 Contractor - 30
IP Address SGT
10.1.254.1 Partner1– 10
10.1.254.10 Vendor1 – 20
10.2.254.20 Contractor - 30
Partner Application
Speaker/Listener
Speaker
Партнер/Вендор/Контрактник
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
RAS VPN – идеи по реализации • ASA поддерживает SGT классификацию для RAS VPN – Можно смешивать разные классы клиентов в одной подсети/DHCP пуле
• “Большинство” концентраторов могут привязывать пользователей/группы к специфичным DHCP пулам или VLAN.
• ASA и сторонние VPN концентраторы поддерживаются через привязку Subnet/SGT или L3IF на внешнем маршрутизаторе
Ядро
ISE
External Cloud
RAS VPN Динамическая классификация
ASA ЦОД PCI_Web
LOB1_Web
SXP
Сторонний VPN концентратор
Статическая классификация
Партнер/Вендор/Контрактник
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA RAS VPN конфигурация: • RAS VPN будет назначать тег оконечному пользователю основываясь на авторизационной политике ISE по результату логина пользователя в свою группу.
• Далее Мы отдаем тег на SXP рефлектор, который раздает эту привязку всем МСЭ/коммутаторам в компании.
• Применяющие для фильтрации политику ASA/коммутаторы будут использовать SGT через IP/SGT поиск.
aaa-server cts-mlist protocol radius dynamic-authorization aaa-server cts-mlist (inside) host 10.1.100.3 timeout 5 key TrustSec authentication-port 1812 accounting-port 1813 radius-common-pw TrustSec cts server-group cts-mlist cts sxp enable cts sxp default password TrustSec cts sxp default source-ip 10.1.100.20 cts sxp connection peer 10.3.99.2 source 10.1.100.20 password default mode local speaker
group-policy GroupPolicy_cts-local internal group-policy GroupPolicy_cts-local attributes wins-server none dns-server value 10.1.100.100 vpn-tunnel-protocol ssl-client default-domain value cts.local tunnel-group cts-local general-attributes address-pool test authentication-server-group cts-mlist accounting-server-group cts-mlist default-group-policy GroupPolicy_cts-local tunnel-group cts-local webvpn-attributes group-alias cts-local enable
Партнер/Вендор/Контрактник
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Университет – Улучшенная сегментация VRF • Проблема бизнеса/Задача
– Университетская политика требует более глубокой классификации студентов, факультетов, администрации и приглашенных научных работников
– Настроена и работает сегментация с помощью VRF с централизованным перекрестным межсетевым экранированием
– Углубление классификации путем добавления новых VRF будет очень затратно с точки зрения и дизайна и эксплуатации
– Есть желание сохранить OPEX низким и одновременно иметь большую глубину классификации и централизованное межсетевое экранирование
• Обзор решения – Уровень доступа на WLC/3750/4500, которые не умеют SGACL – Центральные МСЭ имеют функциональность SXP listener и получают SXP c уровня доступа – Коммутаторы Nexus в ЦОД передают роли приложений (DGT) на центральные МСЭ
• Центральные перекрестные МСЭ применяют более детальную политику фильтрации по средством SGFW
Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Университет – Улучшенная сегментация VRF Перекрестные МСЭ
Speaker
SXP поддерживающий Коммутатор Speaker
Записи студентов
Университетские сервисы
ISE IP Address SGT
10.1.10.1 Student - 10
10.1.10.10 Faculty - 20
10.2.10.4 Research - 30
IP Address SGT
10.1.254.1 Student– 10
10.1.254.10 Faculty – 20
10.2.254.4 Student_Research - 40
IP Address SGT
10.1.10.1 Student - 10
10.1.10.10 Faculty - 20
10.2.10.4 Research - 30
10.1.10.10 MedDevUser - 20
10.1.254.1 Student– 10
10.1.254.10 Faculty – 20
10.2.254.4 Student_Research - 40
10.100.1.100 Univ_Services - 100
10.100.1.200 Student_Records - 200
10.100.1.240 Joint Research- 300
10.200.1.240 Joint_Research - 300
Удаленный сайт Совместные разработки
SXP поддерживающий WLC
Listener и IP/SGT База на контекст
SXP Агрегация Все SXP внутри Глобального VRF поскольку
Уровень доступа не может привязать IP/SGT в VRF
Speaker
Speaker
IP Address SGT
10.100.1.100 Univ_Services - 100
10.100.1.200 Student_Records - 200
10.100.1.240 Joint Research- 300
Совместные разработки
IP Address SGT
10.200.1.240 Joint_Research - 300
Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
IPv6 и Security Group Tags – Текущий статус • ISE can manage IP agnostic SGACL policy today for switches
– IPv4 only SGACL – IPv6 only SGACL – IPv4 and IPv6 SGACL
• CSM can manage IPv4/IPv6 FW rules on ASA
• IPv6 Device Discovery – WLC - still being planned – 3750X, 3650, 3850, 5760, 4500 – IPv6 device discovery supported by IPv6 First Hop Security (SISF)
• Will export in IPv6/SGT in SXPv4, but will not tag on ethernet • This will allow an upstream enforcement device to filtering on IPv6/SGT
• SGT enforcement capable devices – ASA for SGFW – Sup2T for SGACL
Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA настройка SXP Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA мониторинг SXP Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA/ISE – Загрузка данных Environmental Университет - VRF
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа в здравоохранении – мед. оборудование • Проблема бизнеса/Задачи
– Изоляция медицинского оборудования используемого для работы с пациентами – Только авторизованные пользователи, устройств и сервера должны иметь доступ к мед. оборудованию.
• Обзор решения – Уровень доступа построен на 3650/3850 – Распределение/Ядро не поддерживают SGT – Уровень доступа умеет строить двусторонний SXP и фильтровать по IP/SGT – 3650/3850 имеют ограниченные ресурсы по IP/SGT (12K) и не могут хранить всех пользователей сети • Решаем эту проблему используя SGT только для пользователей мед. оборудования и серверов открывая доступ только для них
• Все пользователи и устройства в сети, которые не имеют назначенной SGT не занимают записи IP/SGT в SXP. Это означает, что только явно известные пользователи и устройства получают связку IP/SGT
• Данное допущение оставляет количество привязок IP/SGT сильно ниже 12к для рассматриваемого примера
– Это позволяет политике выглядеть как Known_SGT <-> Known_SGT = Permit и все Unknown_SGT <-> Known_SGT = Deny (Иногда упоминается как модель Белого списка)
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
• Двусторонний SXP с обнаружением петель
• Позволяет ASR1K быть агрегатором/рефлектором IP/SGT ассоциация для удаленных площадок
• Обратите внимание на масштабирование SXP на удаленных площадках, поскольку им придет полная реплика таблицы
• Aggregator/Reflector может располагаться на маршруте трафика
• ISRG2 – 15.3(2)T
• ASR1K- IOS XE 3.9
• ISR44xx – IOS XE at model introduction
• Cat6K(SUP 2T) – 15.1(1)SY
• 3650/3850/4500 – IOS XE 3.6
. . .
WAN
ЦОД
SXPv4
Филиал Speaker/Listener-1
Головной Speaker/Listener-2
Головной Speaker/Listener-1
Филиал Speaker/Listener-300
N7K
6K
ASR1K ASR1K
SXPv4
SXPv4 обзор дизайна
6K
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
IP Address SGT
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
IP Address SGT
10.1.10.1 Contractor - 10
10.1.10.4 Employee - 30
10.1.254.1 Contractor - 10
10.1.254.4 Employee - 30
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SXP масштабирование в WAN
§ Из прошлого слайда – SXP имеет модель полной репликации, поэтому каждый удаленный роутер выучит всю таблицу SXP.
§ http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/asr1000/sec-usr-cts-xe-3s-asr-1000-book/cts-bi-sxp.html
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Больше информации по масштабированию SXP Платформа Максимум SXP
Соединений Максимум IP-SGT связок
Catalyst 6500 Sup2T/ 6800 2000*** 200,000
Nexus 7000 980 50,000*
Catalyst 4500 Sup 7E 1000*** 256,000
Catalyst 4500-X / 4500 Sup 7LE 1000*** 64,000
ASA 5585-X SSP60 1000 100,000**
ASA 5585-X SSP40 500 50,000**
Catalyst 3850/WLC 5760 128*** 12,000****
* M series line cards - 200K expected in NX-OS 7.0 ** Guideline – scaling higher is supported
*** - remember to halve for bidirectional **** - 4000 reserved for Subnet/SGT
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 7000 IP/SGT Масштабирование по линейным картам
• http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/verified_scalability/b_Cisco_Nexus_7000_Series_NX-OS_Verified_Scalability_Guide.html
Функция Параметр Проверенный лимит (Cisco NX-OS 6.2)
Проверенный лимит (Cisco NX-OS 6.1)
Проверенный лимит (Cisco NX-OS 6.0)
Проверенный лимит (Cisco NX-OS 5.2)
Cisco TrustSec Number of IP-SGT
mappings for M1/M2 I/O module
50,000 Not tested Not tested Not tested
Number of IP-SGT mappings for F2/F2e I/O
module 32,000 Not tested Not tested Not tested
Number of IP-SGT mappings for F3 I/O
module 64,000 Not tested Not tested Not tested
Number of SXP connections 980 Not tested Not tested Not tested
Number of IP-SGT mappings learned using
SXP 50,000 Not tested Not tested Not tested
Number of SGT Groups 3,000 SGT/DGT Not tested Not tested Not tested
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа – медицинское оборудование
SGT-поддерживающий коммутатор или МСЭ
SXP агрегация Out of Band to Traffic
Listener
Speaker/Listener
SXP поддерживающий коммутатор
SGT-поддерживающий коммутатор или МСЭ
Listener Medical Dispenser
Server
Электронные Медицинские записи
ISE
IP Address SGT
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
10.2.10.4
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.2.254.4
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
Удаленный сайт
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
IP Address SGT
10.1.254.1 Medical_Device – 10
10.1.254.10 MedDevUser – 20
10.1.10.1 Medical_Device - 10
10.1.10.10 MedDevUser - 20
Медицинские приложения
SXP Enabled WLC
Speaker/Listener
Здравоохранение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа в много-подсистемных сетях • Бизнес кейс
– Многие лаборатории сталкивались с инцидентами безопасности при использовании общей магистральной сети в организации
– Нормативные требования со стороны правительства и финансовых институтов требуют сегментации сети
– Ограничить транзитные сети подразделений на ядре; – Иметь изолированные и безопасные сетевые домены
• Решение – Использовать изоляцию на магистрали при помощи DMVPN – Использовать ISE в подразделениях для классификации каждого отдельного подразделения – Использовать МСЭ на периметрах подразделений для фильтрации трафика – ASA получает SXP с коммутаторов подразделений – ASA отсылает теги на DMVPN маршрутизатор и DMVPN переносит теги к МСЭ других подразделений • Позволяет нам получить источник и точку назначения в правилах фильтрации • Позволяет подразделениям не апгрейдить всё свое оборудование и все равно выигрывать в функционале
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ЦОД
“Blue” BU Сторонний поставщик
“Blue” Division
DMVPN Overlay
“Yellow”Division
Общие приложения
Yellow BU Apps
Controlling Inter-BU traffic with SGT Классификация по бизнес-структурам
Мултиподсистемы
Listener
IP Address SGT
10.1.10.10 Blue_User - 10
10.1.10.20 Blue_Supplier - 20
Listener
“Green” Division
Listener
Blue ISE Yellow ISE
Green ISE
Blue BU Apps Green BU Apps
IP Address SGT
10.100.10.10 YellowUser - 30
10.100.10.20 Yellow_Quarantine - 40
5 SRC:10.100.10.10 DST: 10.1.10.20
SGT: 5
SRC:10.100.10.10 DST: 10.1.10.20
5 SRC:10.100.10.10 DST: 10.1.10.20
SGT on frame: 30 DGT from SXP: 20
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настроим интерфейсы для SGT тегирования
interface TenGigabitEthernet1/5 mtu 9216* cts manual policy static sgt 2 trusted • *Увеличьте MTU для учета превышения фрейма за счет шифрования и/или SGT overhead’а
• port-channel поддержка - cts настраивается на физическом интерфейсе и потом добавляется на port channel
C6K2T-CORE-1#sho cts interface brief Global Dot1x feature is Enabled Interface GigabitEthernet1/1: CTS is enabled, mode: MANUAL IFC state: OPEN Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: SUCCEEDED Peer SGT: 2:device_sgt Peer SGT assignment: Trusted SAP Status: NOT APPLICABLE Propagate SGT: Enabled Cache Info: Expiration : N/A Cache applied to link : NONE L3 IPM: disabled.
Всегда выполняйте “shut” и “no shut” на интерфейсе для любого изменения cts manual или cts dot1x
CTS Manual no encryption
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
3750-X – настрока SGT тегирования interface GigabitEthernet1/0/14 no switchport ip address 10.10.20.2 255.255.255.0 cts manual policy static sgt 2 trusted no cts role-based enforcement ! radius-server host 10.1.100.3 pac key cisco123 radius-server vsa send accounting radius-server vsa send authentication ! C3750X#sho auth session int g 1/0/1 Interface: GigabitEthernet1/0/1 MAC Address: 0014.5e42.9c69 IP Address: 10.10.15.100 User-Name: CTS\Administrator Status: Authz Success Domain: DATA Security Policy: Should Secure Security Status: Unsecure Oper host mode: single-host Oper control dir: both Authorized By: Authentication Server Vlan Policy: N/A SGT: 0008-0 Session timeout: N/A Idle timeout: N/A Common Session ID: 0A0A0B01000002682408110A Acct Session ID: 0x0000043F Handle: 0x80000269 Runnable methods list: Method State dot1x Authc Success mab Not run
aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa authorization network cts-mlist group radius aaa accounting dot1x default start-stop group radius ! aaa server radius dynamic-author client 10.1.100.3 server-key cisco123 ! aaa session-id common ip device tracking ! cts authorization list cts-mlist cts role-based enforcement cts role-based enforcement vlan-list 20 ! dot1x system-auth-control interface GigabitEthernet1/0/1 switchport access vlan 20 switchport mode access ip access-group DefaultIn in authentication event fail action next-method authentication open authentication port-control auto mab dot1x pae authenticator spanning-tree portfast
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGT DMVPN Inline тегирование, настройка ipsec-1900b# cts role-based sgt-map 9.9.9.1 sgt 5000 cts role-based sgt-map 11.11.11.1 sgt 65533 ! crypto ikev2 proposal p1 encryption 3des integrity md5 group 2 ! crypto ikev2 policy policy1 proposal p1 ! crypto ikev2 keyring key peer v4 address 0.0.0.0 0.0.0.0 pre-shared-key cisco ! crypto ikev2 profile prof3 match identity remote address 0.0.0.0 authentication local pre-share authentication remote pre-share keyring key ! cts sgt inline ! crypto ipsec transform-set trans esp-3des esp-sha-hmac ! (……………….continued in next slide)
Включаем TrustSec на DMVPN. Эта команда работает только для GRE и tunnel interface
CTS infra CLI используется для настройки IP->SGT привязки
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ipsec-1900b# show dmvpn Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket T1 - Route Installed, T2 - Nexthop-override C - CTS Capable # Ent --> Number of NHRP entries with same NBMA peer NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting UpDn Time --> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel0, IPv4 NHRP Details Type:Spoke, NHRP Peers:1, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 1.1.1.99 10.1.1.99 UP 00:00:01 SC ipsec-1900b# show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding, W=Waiting Tunnel0: 10.1.1.99 RE NBMA Address: 1.1.1.99 priority = 0 cluster = 0 req-sent 44 req-failed 0 repl-recv 43 (00:01:37 ago) TrustSec Enabled
Показывает возможности соседа и стадии согласования TrustSec
SGT DMVPN – Show команды
93
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Откуда мне знать что я тегирую? SGT и Flexible NetFlow (FNF)
flow record cts-v4 match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match flow direction match flow cts source group-tag match flow cts destination group-tag collect counter bytes collect counter packets flow exporter EXP1 destination 10.2.44.15 source GigabitEthernet3/1 flow monitor cts-mon record cts-v4 exporter EXP1
Interface vlan 10 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 20 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 30 ip flow monitor cts-mon input ip flow monitor cts-mon output Interface vlan 40 ip flow monitor cts-mon input ip flow monitor cts-mon output cts role-based ip flow mon cts-mon dropped
*Optional – will create flows for only Role-based ACL drops Cat6K/Sup2T
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Мониторинг SGT/FNF Flow Cache ASR1K-1#show flow mon cts-mon cache Cache type: Normal Cache size: 4096 Current entries: 1438 High Watermark: 1632 Flows added: 33831 Flows aged: 32393 - Active timeout ( 1800 secs) 0 - Inactive timeout ( 15 secs) 32393 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SOURCE ADDRESS: 192.168.30.209 IPV4 DESTINATION ADDRESS: 192.168.200.156 TRNS SOURCE PORT: 60952 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 30 FLOW CTS DESTINATION GROUP TAG: 0 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1 IPV4 SOURCE ADDRESS: 192.168.20.140 IPV4 DESTINATION ADDRESS: 192.168.200.104 TRNS SOURCE PORT: 8233 TRNS DESTINATION PORT: 80 FLOW DIRECTION: Output FLOW CTS SOURCE GROUP TAG: 20 FLOW CTS DESTINATION GROUP TAG: 0 IP PROTOCOL: 6 counter bytes: 56 counter packets: 1
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Monitoring SGT Traffic with Netflow
http://www.plixer.com/blog/netflow/cisco-TrustSec-netflow-support/
Plixer collector displays SGT information
Multi-Division
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Live Action – Netflow с поддержкой SGT Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Lancope Custom Events
Generate a security event when a flow condition based
on the SGT value is seen
Multi-Division
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Lancope Flow Query
Используйте SGT значение для поиска (и классификации)
сетевого трафика
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Lancope Flow Query Configured
Find all traffic tagged with SGT 8
Multi-Division
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Lancope Conversational Flow Record Кто Кто Что
Когда
Как
Где
Security Group
Мултиподсистемы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Conversational Flow Record: Zoom in on Details
Security Group
Multi-Division
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа в Ритейле • Проблемы бизнеса/Задачи
– Нормативные требования правительства и финансовых регуляторов требуют большей сегментации сети – PCI это наиболее явное требование для филиалов
– Имеются AD агенты для пользователей в основном кампусе, однако распространение мобильности требует лучшей классификации мобильных пользователей
– Филиальная сеть уже хорошо суммаризована и ввод новых VLAN/подсетей потребует значительных затрат OPEX/CAPEX на редизайн
– OPEX на поддержание ACL в филиалах должен быть снижен
• Обзор решения – Обновленная сеть –SGACL и поддержка тегов в будущем – DMVPN для транспорта из магазина в ЦОД и от магазина в магазин – Комбинация SXP и inline тегирования SGT внутри магазина в зависимости от поддержки инфраструктурой
– Связь от магазина в ЦОД будет использовать SGT, в то время как кампус будет использовать AD Agent и ASA
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
DMVPN
Контроль доступа в Ритейле – Традиционная структура VLAN
mPOS POS Associate
Локальные Сервера
Manager PC
Критичные приложения
PCI приложения
ISE
Не-критичные приложения
Локальные Сервера
POS Manager PC
PCI Зона PCI Зона
Магазин N Магазин 1
SGToEthernet
SGToDMVPN
SXP
mPOS Associate
VLAN1 VLAN2 VLAN3 VLAN4 VLAN1 VLAN2 VLAN3 VLAN4
4 VLANs x 1000 sites = 4000 new VLANs/subnets
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
DMVPN
Контроль доступа в Ритейле - DMVPN
mPOS POS Associate
Локальные Сервера
Manager PC
Критичные приложения
PCI приложения
ISE
Не-критичные приложения
Локальные Сервера
POS Manager PC
PCI Зона PCI Зона
Магазин N Магазин 1
SGToEthernet
SGToDMVPN
SXP
mPOS Associate
Нет новых VLAN поскольку классификация не привязана к сетевой топологии
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGFW ISR/ASR особенности дизайна
Кампусная сеть
ЦОД
SXP
IP Address SGT
10.1.10.1 Point of Sale (10)
SGFW
SGACL
• Особенности дизайна • Целостная классификация/применение политики между ISR/ASR SGFW и коммутаторами. • В целом SGACL и политика SGFW должны быть синхронизированы через административный
интерфейс пользователя • SGT позволяет производить более динамичную классификацию в филиалах и периметре ЦОД
• SGT используются только как источник source в ISR IOS классических платформах • SGT может быть source и destination в ASR/ISR44xx IOS-XE платформах
• Серьезные требования к логированию будут выполнены на SGFW – URL логирование, и тд. • Поддержка Active/Active ZBFW позволяет обрабатывать ассиметричные сессии
• active/active предполагает наличие общей L3 подсети на интерфейсах роутеров для создания групп отказоусточивости
Применяем на ASR
Применяем на коммутаторе
ISE для SGACL политик
SXP
SGT PCI_Svr SGFW
Применяем на ISR
PCI
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ISR G2 SGFW Пример настройки ! class-map type inspect match-any partner-services match protocol http match protocol icmp match protocol ssh class-map type inspect match-any pci-sgts match security-group source tag 2001 match security-group source tag 2002 match security-group source tag 2003 class-map type inspect match-all pci-class match class-map pci-services match class-map pci-sgts class-map type inspect match-any guest-services match protocol http class-map type inspect match-any guest-sgts match security-group source tag 5555 class-map type inspect match-all guest-class match class-map guest-services match class-map guest-sgts class-map type inspect match-any emp-services match protocol http match protocol ftp match protocol icmp match protocol ssh class-map type inspect match-any emp-sgts match security-group source tag 8 match security-group source tag 1002 match security-group source tag 1003 class-map type inspect match-all emp-class match class-map emp-services match class-map emp-sgts
match-all фильтр указывающий на сервисы, разрешенные для PCI
match-all фильтр для указания сервисов, разрешенных гостям
match-all фильтр для указания сервисов, разрешенных сотрудникам
ISR – Can only match on SGT, not DGT ASR/ISR44xx – Can match on SGT and DGT
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
! policy-map type inspect branch-policy class type inspect emp-class inspect class type inspect pci-class inspect class type inspect guest-class inspect class class-default drop ! zone security lan zone security pci zone-pair security lan-pci source lan destination pci service-policy type inspect branch-policy ! interface GigabitEthernet0/1 description Connection to Branch1 3750X ip address 172.16.11.1 255.255.255.0 zone-member security lan cts manual policy static sgt 2 trusted ! ! interface GigabitEthernet0/2 description ***connection to pci*** ip address 172.16.0.1 255.255.255.252 zone-member security pci cts manual no propagate sgt !
Отдельные классы фильтров задаются внутри policy maps для каждой группы sgt
ISR G2 SGFW Настройка
109
На платформах IOS-XE (ASR1K, 44xx) “cts manual” требуется на интерфейсе для
работы функционала SGFW независимо от inline tagging.
** не забудьте “no propagate sgt **
Ритейл
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа и сегментация в ЦОД • Проблемы бизнеса/Задачи
– Новые риски и нормативные требования требуют от бизнеса применения систем контроля доступа пользователей в ЦОДы и внутри ЦОД
– Пользователям должны быть доступны базовые сервисы и соответствующие их роли бизнес приложения
– Приложения должны быть разделены в зависимости от бизнес-профиля, также должны они сегментироваться и внутри самого бизнес-профиля.
– Большая потребность в приложениях для Партнеров/Контрактников/Аутсорсеров и других сервисах.
• Обзор решения – Доступ пользователей в ЦОД обрабатывается с помощью SXP от проводной/беспроводной/
VPN и выделенных партнерских VPN сетей – Направления бизнеса (LOB) и PCI
• Взаимодействие между LOB обрабатывается на МСЭ (между LOB) • Взаимодействие внутри LOB обрабатывается на N1KV/N7K/N5K (внутри LOB)
– Политики партнеров/контрактников/аутсорсеров применяются автоматически
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ЦОД детали • Масштабирование SXP на ASA и N7K не достаточно, таким образом надо переходить от ассоциаций IP/SGT к SGToEthernet. SGToEthernet до ASA и N7K для общих сервисов.
• ASA не может делать кеширование SGT, она может только получать SGToEthernet на интерфейсе outside interface для определения Source Group Tag.
• ASA может определять Destination Group Tag путем получения их ассициаций через SXP от коммутаторов ЦОД
• ASA может опционально передавать SGT на коммутаторы ЦОД – SGFW и SGACL должны быть синхронизированы – Если ASA говорит “Employee разрешен доступ к LOB1 Web Приложению” тогда и SGACL должен разрешать такой же доступ и наоборот
• N7K будет применять фильтрацию доступа к часто используемым общим сервисам (AD, DNS, DHCP) – VPC поддерживает IP/SGT полученные через IP/SGT CLI или SXP
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ЦОД оконечный статус Speakers & Listeners
SXP Speakers
IP Address SGT
10.1.10.1 PCI Users
10.1.10.10 LOB2 Users
IP Address SGT
10.1.254.1 PCI Users
10.1.254.10 LOB2 Users
IP Address SGT
10.1.10.1 PCI Users
10.1.10.10 LOB2 Users
10.1.254.1 PCI Users
10.1.254.10 LOB2 Users
IP Address SGT
10.1.10.1 PCI Users
10.1.10.10 LOB2 Users
10.1.254.1 PCI Users
10.1.254.10 LOB2 Users
Все привязки получены на периметре ЦОД Пиринг только с агрегаторами
ЦОД
SXP
SGToEthernet
PCI_RAS Users
LOB2_Business Partner
PCI Users
LOB2 Users
PCI_Web
PCI_App
LOB2_DB
Employee_Web
DHCP
PCI_DB
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Layer 3 интерфейс в метку SGT – L3IF • Мониторинг маршрутов на интерфейсе Layer 3 с ассоциацией получаемых маршрутов в метку SGT
• Может применяться к любому Layer 3 интерфейсу не зависимо от принадлежности к физическому интерфейсу: – Routed port, SVI (VLAN interface), Layer 3 subinterface of a Layer2 port , Tunnel interface – Дает возможность экспорта префиксов в SXP
• ISR/ASR1K/Cat6K
Бизнес партнеры
DC Access
Hypervisor SW
EOR
ASR1K#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 17.1.1.0/24 8 L3IF 43.1.1.0/24 9 L3IF 49.1.1.0/24 9 L3IF
Обновление маршрута 17.1.1.0/24
Совместные предприятия
Обновления маршрутов 43.1.1.0/24 49.1.1.0/24
SGT 8
SGT 9
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Layer 3 Интерфейс в SGT – Port/SGT связка • Связывание метки вида PORT/SGT с интерфейсом не приводит к обучению маршрутной информацией из обновлений с привязкой SGT
• Весь трафик приходящий в интерфейс тегируется меткой на интерфейсе
• Префиксы выученные по данному интерфейсу не попадут в SXP
Бизнес партнеры
DC Access
Hypervisor SW
EOR
Обновление маршрута 17.1.1.0/24
Совместные предприятия
Обновления маршрутов 43.1.1.0/24 49.1.1.0/24
SGT 8 Локальный интерфейс – 14.1.1.1
ASR1K#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 14.1.1.1/24 2 INTERNAL 14.1.1.0/24 8 L3IF
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Маршрутизатор бизнес-партнера – Опции классификации порта • Для нашей топологии мы используем SXP от маршрутизатора в ЦОД. Мы будем использовать правую конфигурацию
interface GigabitEthernet0/0/0 ip address 10.1.47.2 255.255.255.0 cts manual policy static sgt 2 trusted interface GigabitEthernet0/0/2 ip address 8.8.8.1 255.255.255.0 cts manual policy static sgt 50 no propagate-sgt cdp enable ASR1K-2#sho cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ============================================ 8.8.8.0/24 50 L3IF 8.8.8.1 2 INTERNAL
interface GigabitEthernet0/0/2 ip address 8.8.8.1 255.255.255.0 cts role-based sgt-map sgt 50 ASR1K-2#sho cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ============================================ 8.8.8.0/24 50 L3IF 8.8.8.1 2 INTERNAL 10.1.3.0/24 50 L3IF 10.1.47.2 2 INTERNAL 10.254.100.0/24 50 L3IF
Port/SGT – Транспорт только тегов Изучение префиксов – SXP подсеть/SGT
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASR1K-1#sho run | incl sxp cts sxp enable cts sxp default source-ip 10.99.1.10 cts sxp default password cisco123 cts sxp connection peer 10.99.10.12 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.10.13 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.188.1 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.200.10 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.1.36.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.3.99.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.99.200.21 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.0.1.2 source 10.99.1.10 password default mode local listener cts sxp connection peer 10.10.1.30 source 10.99.1.10 password default mode local listener ! ASR1K-1#sho run int g 0/0/0 ! interface GigabitEthernet0/0/0 ip address 10.1.46.2 255.255.255.0 shutdown negotiation auto cts manual policy static sgt 2 trusted cdp enable !
Настроим SXP как обычно. Прилетающие IP пакеты будут иметь ассоциацию SGT и
будут тегироваться на выход через интерфейс Gig 0/0/0.
Настройка ASR1K– SXP в Inline SGT
Стандартная настройка тегирования для Gig 0/0/0 соединяемого с N7K
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Non SGT capable Service Layers in the DC
• How do I handle 3rd party services sitting in front of the DC – IPS – SLB – Firewall
• Two options – Build SXP from access layer to DC (but scaling on N7K is an issue) – Use Native Tagging transport to DC services layer and use SGT
Caching
Data Center
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Сервисы SGT кэширования
ЦОД уровень доступа
Security Group Firewalling Автоматизация правил МСЭ используя функции SGFW
SGACL поддерживающее устр-во
SG Firewall поддерживающее устр-во
Физические сервера
SGT кэширование на C6500/N7K Кэширует IP-SGT связки из подсистемы данных Отсылает IP-SGT связки на ASA в SXP
Физические сервера SGT Тегированный трафик
Не тегированный трафик
SXP
Очередность сервисов Возможны сторонние балансировщики нагрузки (SLB), Системы предотвращения вторжений (IPS), и тд.
8 SRC:10.65.1.9 DST: 10.1.100.52
SGT: 8
IP Address SGT
10.65.1.9 LOB1_User - 8
8
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
IP Address SGT
10.65.1.9 LOB1_User - 8 ЦОД
DMVPN Overlay
Controlling Inter-BU traffic with SGT BU-level classifications SGT кэширование
IP Address SGT
10.65.1.9 LOB1_User - 8
10.1.10.20 LOB2_User - 5
ISE
LOB1_App LOB2_App
IP Address SGT
10.100.10.10 LOB2_User - 5
5 SRC:10.100.10.10 DST: 10.1.10.20 SGT on frame: 5
SRC:10.100.10.10 DST: 10.1.10.20
ASR1K/ISR44xx - IOSXE 3.15 ~ April 2015 ISRG2 - IOS 15.5(2)T ~ April 2015
IPS
IPS IPS 5 SRC:10.100.10.10 DST: 10.1.10.20
SGT on frame: 30
SRC:10.100.10.10 DST: 10.1.10.20
5 SRC:10.100.10.10 DST: 10.1.10.20
SGT on frame: 30
IP Address SGT
10.100.10.10 LOB2_User - 5
SRC:10.100.10.10 DST: 10.1.10.20
5 SRC:10.100.10.10 DST: 10.1.10.20
SGT on frame: 30
Дизайн
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Пример настройки политики ASA ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA Настройка нативного тегирования: • Настройка нативного тегирования нужна только с внешнего интерфейса OUTSIDE – Правила МСЭ пишутся для разрешения трафика из Outside в Inside (SGT->DGT). Для того чтобы МСЭ знал DGT мы все еще должны использовать SXP.
ASA5515X-A(config)# int g0/0 ASA5515X-A(config-if)# nameif outside ASA5515X-A(config-if)# cts manual ASA5515X-A(config-if)# policy static sgt 2 trusted ASA5515X-A(config-if)# ip address 10.3.99.2 255.255.255.0 ! SXP configuration doesn’t change for this use case cts sxp enable cts sxp default password ***** cts sxp default source-ip 10.3.99.2 cts sxp connection peer 10.99.10.10 password default mode local listener cts sxp connection peer 10.1.100.20 source 10.3.99.2 password default mode local listener cts sxp connection peer 10.99.10.11 password default mode local listener cts sxp connection peer 10.3.100.2 source 10.3.100.1 password default mode local listener cts sxp connection peer 10.1.200.50 password none mode local listener
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Аппаратная обработка, SGT/SGACL - напоминание • Две группы аппаратных решений для SGACL • Основанная на Port/VLAN
– Catalyst 3K-X – Nexus 5500
• Основанная на IP/SGT – Nexus 7000 – M серия и F серия – Nexus 6000/5600 – Cat 6K/Sup2T – Cat 4K/Sup7E/Sup8E – Cat 3850/5760 – ASR1K
• Каждый аппаратный тип имеет свои ограничения по масштабированию – Есть лимиты на количество SGT/DGT, также как и на количество линий ACL (ACE) в TCAM – Все платформы по возможности используют общие записи ACE для SGT/DGT
• Каждый тип платформы имеет разные возможности по мониторингу и логированию – Счетчики – ACE логи – Netflow с параметрами SGT/DGT
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 5500 обработка SGT и DGT
DGT/SGT
SGACL
Входящий маршрут (SGT Derivation)
Таблица VLAN
Из пакета Статическая настройка (port/sgt)
SGT
Исходящий маршрут (DGT derivation and SGACL)
Port DGT
У каждого порта есть одна DGT (Которая также используется как SGT для входящих потоков) ассоциированная с ним.
Входящее тегирование производится только если CTS применяется на VLAN
FIB Egress Table
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
N7K обработка SGT и DGT на картах M серии
DGT/SGT
SGACL
Входящий маршрут (SGT Derivation)
L3/FIB таблица Из пакета Статическая
конфигурация с порта
SGT
Исходящий маршрут (DGT derivation and SGACL)
IP prefix DGT
L3/FIB таблица, каждый префикс имеет свою DGT
Доступен выбор источников назначения метки SGT(DGT), такие как: SXP, VLAN-SGT, будут оцениваться программным алгоритмом TrustSec по списку приоритета, выигравший будет помещен в L3/FIB таблицу
DGT
Контроль приоритета по источникам
FIB Egress Table
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
N7K обработка SGT и DGT на картах F серии
DGT/SGT
SGACL
Входящий маршрут (SGT Derivation)
IP/SGT CAM таблица Из пакета Статическая
конфигурация с порта
SGT
Исходящий маршрут (DGT derivation and SGACL)
IP prefix DGT В таблице IP/SGT CAM каждый префикс имеет ассоциированный DGT
Доступен выбор источников назначения метки SGT(DGT), такие как: SXP, VLAN-SGT, будут оцениваться программным алгоритмом TrustSec по списку приоритета, выигравший будет помещен в L3/FIB таблицу
DGT
Контроль приоритета по источникам
FIB Egress Table
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Implications of Hardware Forwarding Capabilities: • Port/VLAN Based Hardware
• Limited SXP applicability due to the SGT derivation on mac/port
• Limited number of SGTs per port (one per vlan/port)
• IP/SGT Based Hardware • Allows for bidirectional SXP - “However”, NXOS SXP code is v1 so it can’t support it in
software until the it is upgraded to SXPv4 (roadmap item) • Allows for multi-hop SXP coming into the switch due to FIB lookup for IP/SGT • Tagging/Enforcement for incoming packet due to FIB lookup for IP/SGT • Scale varies per platform. Think hundreds of groups with simple reused permissions (ACEs)
• N5K limited since it can’t find SGT via SXP. • No N5K SXP listener - even for L2 adjacent hosts • N5K can’t be a listener for an N1KV
• N6K/N5600 ASIC is capable for SXP listener, but not supported in current code
• N1KV is software forwarding, “but” it is reliant on NXOS platform independent code from the N7K so it can only be a speaker in current code
Data Center
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 5500 TrustSec Возможности
WEB-ACL: permit tcp dst eq 443 permit tcp dst eq 80 deny ip
• Отсутствие SXP listener – только SXP speaker
• Нельзя включать “cts role-based enforcement” на любом VLAN имеющем SVI
• Port/SGT только– портовые профили в текущем коде не поддерживаются
• 128 SGACL TCAM записей имеется на блок из 8 портов
4 записи по умолчанию – эффективно можно использовать 124
• Сумма записей SGACL на блок из 8 портов не может содержать в сумме более 124 разрешений (3 + 9 в примере)
• SGACL могут быть использованы множественно
• 2000+ SGT,DGT комбинаций на N5500 использующими 124 строк разрешений
• Fabric Path поддерживается – рекомендованная версия 6.0(2)N2(6)
HR-DB-ACL: permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22
permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 5600/6000 TrustSec Capabilities - • Current Shipping Code is similar to N5500 platform
• 128 ACEs for configuration • NO SXP Listener • Only SXP Speaker • Port/SGT definition only
• Logs are like Nexus 7000 Platform • The ASIC is an L3 ASIC which allows us to permit future IP/SGT capabilities
Data Center
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 7000 TrustSec функции • SGT/SGACL поддержка на M серии карт, F1, F2, F2E начиная с 6.2(6a) • SGT/SGACL поддержка на F3 начиная с 6.2(10) • N7K производит применение политик IP/SGT программируя ASIC. Это дает
возможность реализации интересных дизайнов. • В случае когда N7K накладывает политику внутри-VLAN (внутри той же самой
VLAN) • N7K ДОЛЖЕН иметь SVI в этом VLAN • Если N7K является только L2, тогда создайте SVI без указания IP, нужно это для
прослушивания ARP/DHCP с целью обнаружения IP • Это позволяет IP/SGT быть правильно запрограммированным для фильтрации внутри-
VLAN
• VPC и Fabric Path поддержка 6.2(10) только с IP/SGT
LOB1 PCI_DB
N7K-DST1# sho run int vlan 3207
interface Vlan3207
no shutdown
LOB2
L2 Only N7K
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
VLAN разделение уровня риска по VLAN/Зоны безопасности
VLAN 100 Risk Level 1
ISE
• Часто VLAN является синонимом Уровня риска/Зоны безопасности
• Во многих случаях входящий/исходящий ACL используют для контроля трафика между VLAN
• VLAN/SGT может использоваться на Nexus 7000 для эффективного снижения использования TCAM
• Конверсия ACL показала уменьшение использования TCAM на 60-88%
• Применение на уровне распределения дает возможность использования любой платформы, полагая что трафик внутри VLAN разрешен
• Потоки в другие зоны безопасности/Уровни риска все еще идут через МСЭ
• Нет поддержки VPC или Fabric Path до софта версии 7.х
Campus Network
PCI_Web PCI_App
LOB_App LOB_App
VLAN 200 Risk Level 1
N7K-DST1(config)# vlan 100
N7K-DST1(config-vlan)# cts role-based sgt 100
N7K-DST1# sho cts role-based sgt-map
IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION
10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured
10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
NX-OS SGT с большим масштабированием
• Большое количество SGT/DGT и SGACLs на N7K/N6K/N5K требует нового метода обработки SGACL.
• Большие политики также могут не поместиться в один RADIUS пакет, нижеуказанные релизы включают функцию RADIUS SGACL фрагментации для передачи SGACL в нескольких пакетах. – N7K – 6.2(6) – N6K – 7.0 – N5K – 6.0(2)N2(6)
• N7K требует включения batch programming команды для масштабирования SGACL
N7K-DST1(config-vlan)# cts role-based policy batched-programming enable
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройте на ISE коммутатор Nexus
N55KAa# show cts environment-data CTS Environment Data ============================== Current State : TS_ENV_DNLD_ST_ENV_DOWNLOAD_DONE Last Status : CTS_ENV_SUCCESS Local Device SGT : 0x0002 Transport Type : CTS_ENV_TRANSPORT_DIRECT Data loaded from cache : FALSE Env Data Lifetime : 86400 seconds after last update Last Update Time : Thu May 23 17:22:18 2013 Server List : CTSServerList1 AID:a6f054a3856a15221714bba63e968867 IP: 10.39.1.120 Port:1812
Administration->Network Resources->Network Devices->+Add
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройка Nexus 7K: (Bootstrap) N7K-DST1(config)# feature cts N7K-DST1(config)# feature dot1x N7K-DST1(config)# cts device-id N7K-DST1 password TrustSec N7K-DST1(config)# radius-server 10.39.1.120 key TrustSec pac N7K-DST1(config)# aaa group server ISE N7K-DST1(config)# server 10.39.1.120 N7K-DST1(config)# aaa authentication dot1x default group ISE N7K-DST1(config)# aaa authorization cts default group ISE N7K-DST1(config)# aaa accounting dot1x default group ISE
Шаг 1: Настроим связь между Nexus и ISE
Шаг 2: Проверим что PAC загружен
Шаг 3: Включим применение ролевых политик и счетчиков N7K-DST1(config)# cts role-based counters enable N7K-DST1(config)# cts role-based enforcement
N7K-DST1# show cts pacs PAC Info : ============================== PAC Type : TrustSec AID : a6f054a3856a15221714bba63e968867 I-ID : N7K-DST1 AID Info : ise Credential Lifetime : Sun Aug 3 16:56:29 2014 PAC Opaque : 000200a80003000100040010a6f054a3856a15221714bba63e9688670006008c000301005f22d715cffe37591f629bae3bcc3c9e000000135364181a00093a80bf65b034bb89456288e2863a540d797ab17d1593b354e4aa3b74835df48ed45fad79c744083420c96ceef74ea3e51490566967d9c8dcfb191d2e8448a4de98b5578f83b526fb4d586ecc2510eefe1d90dee1746998fb1b77291aac4848ac2d4d5d3694e9d0e5fadbdaae5a7f
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настройка Nexus 5K/6K: (Bootstrap) N55KA(config)# feature cts N55KA(config)# feature dot1x N55KA(config)# cts device-id N55KA password TrustSec N55KA(config)# radius-server 10.39.1.120 key TrustSec pac N55KA(config)# aaa group server ISE N55KA(config)# server 10.39.1.120 N55KA(config)# use-vrf management N55KA(config)# aaa authentication dot1x default group ISE N55KA(config)# aaa authorization cts default group ISE N55KA(config)# aaa accounting dot1x default group ISE
Шаг 1: Настроим связь между Nexus и ISE
Шаг 2: Проверим что PAC загружен
Шаг 3: Включим применение ролевых политик и счетчиков N55KA(config)# cts role-based counters enable N55KA(config)# vlan 118 N55KA(config)# cts role-based enforcement
N55KA# show cts pacs PAC Info : ============================== PAC Type : TrustSec AID : a6f054a3856a15221714bba63e968867 I-ID : N55KA AID Info : ise Credential Lifetime : Fri Jul 11 04:25:45 2014 PAC Opaque : 000200b00003000100040010a6f054a3856a15221714bba63e96886700060094000301000c629fc10ec7608000296933 d0b283e1000000135348689a00093a809914bbf46a3d8d8c81eab9e4819bde120047a2f28ca7181760c9b65015c3a851f5a9c99b6541d40b8d991114 9d045c1f7262b3a72e3b99b661733f92f71dcad42673a67549a5608611af2b1c0b18438a514178e98c7ed72f088d7b8db9cdbfba76b11c209f401ba8 c522f5fe5900e264a8ab02fd
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Нативное тегирование на Nexus Up/Downstream:
N7K-DST1(config)# int e1/30 N7K-DST1(config)# cts manual N7K-DST1(config-if-cts-manual)# policy static sgt 0x0002 trusted N7K-DST1(config-if)# shutdown N7K-DST1(config-if)# no shutdown
• Мы должны настроить физические порты на доверие соседним устройствам для отсылки тегированного трафика
• При включении TrustSec на коммутаторе по умолчанию дропаются все пакеты с нативным тегированием.
• Поведение очень похоже на QOS, где мы верим DSCP на транковых портах • ЛУЧШАЯ ПРАКТИКА: На всех платформах лучшей практикой будет включать и выключать порт после применения команд cts manual
• Это будет гарантировать то, что контрольная подсистема перепрограммирует порт PHY/ASIC
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Настроим матрицу политик SGACL на ISE ЦОД
Напомним: NXOS может обработать только один SGACL в клетке
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 7000 CTS Настройка интерфейса feature cts feature dot1x cts device-id N7K-DST1 password 7 wnyxlszh123 cts role-based counters enable cts role-based sgt-map 10.39.1.30 17 ……. cts role-based sgt-map 10.87.109.72 3 cts role-based enforcement vlan 87 cts role-based enforcement vlan 118 cts role-based enforcement interface Ethernet1/25 description N5K connection cts manual policy static sgt 0x0002 trusted switchport switchport mode trunk switchport trunk allowed vlan 90,118-120,124 spanning-tree port type normal channel-group 10 mode active no shutdown
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Проверяем настройки • Проверяем environmental data
• Защищает ли N7K хосты. • Проверим загруженные SGACL и их счетчики
N5K-DST1# show cts role-based access-list rbacl:Deny IP deny ip rbacl:Permit IP permit ip rbacl:PCI_Web_Server N7K-DST1# show cts role-based counters RBACL policy counters enabled Counters last cleared: 04/16/2014 at 06:28:11 PM sgt:unknown dgt:19 [41677] rbacl:Deny IP deny ip [41677] sgt:unknown dgt:24 [13269] rbacl:Deny IP deny ip [13269] sgt:4 dgt:3 [0] rbacl:Deny IP deny ip [0] sgt:6 dgt:12 [0] rbacl:Deny IP deny ip [0] sgt:7 dgt:3 [53769] rbacl:Deny IP deny ip [53769]
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 5500 Сегментация серверов, настройка: начальная настройка
N55KA(config)# cts role-based counters enable à Вклчаем счетчики SGACL
N55KA(config)# vlan 118
N55KA(config-vlan)# cts role-based enforcement à Включаем применение ролевых политик VLAN 118 – Нельзя создавать L3 интерфейс на VLAN!
N55KA(config-vlan)# int e 1/1
N55KA(config-vlan)# switchport trunk
N55KA(config-vlan)# switchport trunk native vlan 2
N55KA(config-vlan)# cts manual à Заходим в CTS manual mode на конкретный порт
N55KA(config-if-cts-manual)# policy static sgt 0x2 trusted à Назначаем SGT и Доверие для Транка к N7K-DST1
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 5500 Сегментация серверов, настройка: N55KA(config-vlan)# int e102/1/1
N55KA(config-vlan)# switchport
N55KA(config-vlan)# switchport access vlan 118
N55KA(config-vlan)# cts manual à Заходим в CTS manual mode на конкретный порт
N55KA(config-if-cts-manual)# policy static sgt 0x111 à Назначаем SGT на FEX порт e102/1/1 под номером SGT 111
N55KA(config-if-cts-manual)# no propagate-sgt à “Не отсылать SGT в сторону сервера”
Это плохо кончится. J
N55KA(config-if-cts-manual)# no shut
N55KA(config-vlan)# int e102/1/2
N55KA(config-vlan)# switchport
N55KA(config-vlan)# switchport access vlan 118
N55KA(config-vlan)# cts manual à Заходим в CTS manual mode на конкретный порт
N55KA(config-if-cts-manual)# policy static sgt 0x222 à Назначаем SGT на FEX порт e102/1/2 под номером SGT 222
N55KA(config-if-cts-manual)# no propagate-sgt à “Не отсылать SGT в сторону сервера”
Это плохо кончится. J
N55KA(config-if-cts-manual)# no shut
N55KA(config)# cts sxp enable à Включаем протокол SXP для связи с соседями
N55KA(config)# cts sxp connection peer 10.49.1.2 source 10.49.1.10 password none mode listener à Пиринг с ASA-A
N55KA(config)# cts sxp connection peer 10.49.1.3 source 10.49.1.10 password none mode listener à Пиринг с ASA-B
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Configure Nexus to Statically assign Tags:
N7K-DST1(config)# cts role-based sgt-map 10.39.1.223 17
• Static IP-SGT - There is an option to manage this in ISE via IP/SGT or DNS/SGT mappings
• Static SGT on Physical Port facing the server
N7K-DST1(config)# int e1/30 N7K-DST1(config-if)# cts manual N7K-DST1(config-if-cts-manual)# policy static sgt 0X3 N7K-DST1(config-if-cts-manual)# no propogate-sgt
N7K-DST1(config)# port-profile type ethernet PCI-DB N7K-DST1(config)# cts manual N7K-DST1(config)# policy static sgt 0x17 N7K-DST1(config)# no propogate-sgt à “Don’t send the SGT to the server”
This would be bad. J N7K-DST1(config)# switchport N7K-DST1(config)# switchport access vlan 100
• Port-Profile: NOTE: Port-Profile on N7K will only work on NON-FEX ports.
• VLAN to SGT
N7K-DST1(config)# (config)# vlan 100 N7K-DST1(config-vlan)# cts role-based sgt 17
Data Center
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
SGACL на Nexus 1000v: Пример использования
VM VM VM VM
Nexus 1000V VEM
Server
VM VM VM VM
Nexus 1000V VEM
Server
Гипервизор Гипервизор
Finance Application
TOR filters traffic based on SG-ACLs
Nexus 1000V VSM
ISE
PAC
Finance Application
SGT = LOB2 App
SGT = “AD SGT = “PCI_DB”
SGT = “LOB1 App”
SXP
SXP приходит от VSM, а не от VEM
TOR фильтрует трафик
основываясь на SG-ACLs
N1KV: Назначает SGT основываясь на
статичном Портовом профиле VEM фильтрует
трафик основываясь на SG-ACLs
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 1000v - Проверка CTS-N1K(config)# show cts sxp connection
PEER_IP_ADDR VRF PEER_SXP_MODE SELF_SXP_MODE CONNECTION STATE
10.39.1.2 management listener speaker connected
10.39.1.3 management listener speaker connected
CTS-N1K(config)# show cts role-based sgt-map
Interface SGT IP ADDRESS VRF Learnt
-------------- ------ ---------------- ---------- ---------
Vethernet1 14 10.39.1.92 - Device Tracking
Vethernet2 16
Vethernet3 16 10.39.1.94 - Device Tracking
CTS-N1K(config)#
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 1000v – SGACL настройка CTS-N1K(config)# feature cts
CTS-N1K(config)# cts device-id cts-n1k password 0 TrustSec
CTS-N1K(config)# radius-server host 10.39.1.120 key 0 TrustSec pac authentication accounting
CTS-N1K(config)# aaa group server radius cts-ise
CTS-N1K(config)# server 10.39.1.120
CTS-N1K(config)# use-vrf management
CTS-N1K(config)# source-interface mgmt0
CTS-N1K(config)# aaa authentication cts default group cts-ise
CTS-N1K(config)# aaa authorization cts default group cts-ise
CTS-N1K(config)# cts role-based counters
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 1000V – Настройка портового профиля Создадим профиль на АПЛИНК: CTS-N1K(config)# port-profile type ethernet uplink-vem CTS-N1K(config-port-prof)# switchport mode trunk CTS-N1K(config-port-prof)# switchport trunk allowed vlan 1-4000 CTS-N1K(config-port-prof)# cts manual CTS-N1K(config-port-prof)# policy static sgt 0x2 trusted ->Set tag to device SGT (2) and trust CTS-N1K(config-port-prof)# propagate-sgt ->Propogate the SGT to neighbor CTS-N1K(config-port-prof)# no shutdown CTS-N1K(config-port-prof)# state enabled CTS-N1K(config-port-prof)# vmware port-group
Создадим профиль на PCI-Server: CTS-N1K(config)# port-profile type vethernet PCI_Servers CTS-N1K(config-port-prof)# switchport mode access CTS-N1K(config-port-prof)# switchport access vlan 200 CTS-N1K(config-port-prof)# cts manual CTS-N1K(config-port-prof)# policy static sgt 0x7d0 ->Set the Tag to PCI-Servers
Hex 0x7d0 = 1000 Decimal CTS-N1K(config-port-prof)# role-based enforcement ->Enable Role-based enforcement CTS-N1K(config-port-prof)# no shutdown CTS-N1K(config-port-prof)# state enabled CTS-N1K(config-port-prof)# vmware port-group
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 1000v – SGACL Проверка CTS-N1K# show cts role-based counters
RBACL policy counters enabled
Counters last cleared: 05/02/2014 at 04:41:47 AM
Counters last updated on 05/08/2014 at 06:30:03 PM:
rbacl:Permit IP
permit ip [129105]
rbacl:deny_log
deny icmp log [522997]
rbacl:permit_log
permit ip log [119029]
sampg-n1kv-vsm-1# show cts role-based access-list
rbacl:Permit IP
permit ip
rbacl:deny_log
deny icmp log
rbacl:permit_log
permit ip log
CTS-N1K#
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Логирование с Nexus 7000 N7K-DST1# show cts role-based policy sgt:8 dgt:6 rbacl:PERMIT_MAIL deny icmp log permit tcp dst eq 110 permit tcp dst eq 143 permit tcp dst eq 25 permit tcp dst eq 465 permit tcp dst eq 585 permit tcp dst eq 993 permit tcp dst eq 995 deny all log N7K-DST1(config)# log level acllog 6 ß Рекомендованный уровень лога N7K-DST1(config)# log level cts 5 N7K-DST1(config)# log ip access-list include sgt N7K-DST1# show logging ip access-list cache detail SGT Source IP Destination IP S-Port D-Port Interface Protocol Hits ------------------------------------------------------------------------------------------------ 8 10.10.11.100 10.1.100.84 0 0 Ethernet2/15 (1)ICMP 8 ------------------------------------------------------------------------------------------------
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
N55KA# show cts role-based policy sgt:8 dgt:6 rbacl:PERMIT_MAIL deny icmp log permit tcp dst eq 110 permit tcp dst eq 143 permit tcp dst eq 25 permit tcp dst eq 465 permit tcp dst eq 585 permit tcp dst eq 993 permit tcp dst eq 995 deny all log N55KA(config)# log level acllog 6 ß Log levels to make this work N55KA (config)# log level cts 7 N55KA# show logging logfile duration 0:30:00 2013 Jun 6 12:27:06 pghlab-55ka last message repeated 6 times 2013 Jun 6 12:27:06 pghlab-55ka %CTS-6-CTS_RBACL_STAT_LOG: CTS ACE deny ip log, Threshold exceeded: Hit count in 10s period = 11
2013 Jun 6 12:27:16 pghlab-55ka %CTS-6-CTS_RBACL_STAT_LOG: CTS ACE deny ip log, Threshold exceeded: Hit count in 10s period = 10
2013 Jun 6 12:27:56 pghlab-55ka last message repeated 4 times
Логирование с Nexus 5500
Threshold exceeded is a message about not overwhelming the CPU with log messages on the box.
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
N5500 – Мониторинги SGACL дропов N55KA# show platform fwm info lif eth100/1/45 | grep goodEth100/1/45 pd: rx frames: good 2755 drop 3; tx frames: good 2689 drop 106
N55KA# sho cts role-based counters
RBACL policy counters enabledCounters last cleared: 11/16/2011 at 05:55:24 PMrbacl:ALLOW_SQLpermit tcp dst eq 1433 [0] permit icmp [0] deny ip [0]rbacl:Deny IP deny ip [6730]rbacl:Deny_ICMP_Log deny icmp log [106]rbacl:Permit IP permit ip [85730]rbacl:test_deny deny icmp log [0]
Посмотрим на исходящий интерфейс в N5K, защищающий сервер. Он должен показывать drop пакетов. Это коррелируется с счетчиками SGACL защищающего сервер
ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Nexus 1000V – Отображение в Syslog ACE логов
Действие – Permit/Deny SGT DGT 5 Tuple
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
ASA, логирование на МСЭ • Логирование в МСЭ покажет SGT/DGT внутри лога, если они ему известны
ЦОД
• Firewall logging will show the IP/SGT as added and removed
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Оркестрация настроек безопасности для приложений • Проблема бизнеса/Предыстория
– Разработчики покупали виртуальные машины в облаке, поскольку местное IT слишком долго разворачивало виртуальные машины локально
– Это привело к бесконтрольной утечке данных в облако – Это привело к проблемам с перекрестным соединением работников к серверам разработки и продуктивным серверам и повреждением данных
– “Удаление” Приложений/Серверов никогда не происходит. В результате мы получаем подвисшие (забытые) правила безопасности • “Что делает это правило? Не знаю, но лучше его не удалять”
– Развертывание ресурсов за минуты, а не за дни – “Fast IT”
• Обзор решения – Предоставить решение по автоматизации для локальных и облачных систем с жестким контролем доступа
– Изменить систему развертывания автоматически для отображения вновь добавленных систем облачного развертывания
– Предоставить наилучший маршрут путем пиринга и туннелирования к облачным провайдерам – Предоставить контроль доступа в виде наиболее приемлемом для разработчиков, пользователей, и нагрузочных мощностей
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Контроль доступа для приложений Ticket – new App for
business
Ticket – New Server IP
Ticket – New VLAN if New
App
Ticket – Hand off IP to security to add to
security policy
Firewall Manager push during maintenance
window
Finance App
HR App
On Prem
Employee
Dev App
New Production App
Public Cloud
Ticket – new App for business
Developer
Developer spins up new App in Cloud ✗ Policy Violation
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Разработчики и контроль продуктивной среды приложений Ticket – new App for
business
Automation Provisions App IP provisioned to CSR via
REST API or device CLI script
Finance App
HR App
On Prem
Employee
Dev App
New Production App
Public Cloud
Developer
Developer spins up new App in Cloud
SXP Distributes IP/SGT to border
protection
IT Best Path to Cloud providers via border protection path VPN Tunnel Overlay or Direct Peering depending on cloud provider
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
REST API – Cloud Services Router 1000V Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
REST API – CSR1000V Data Center Orchestration
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
UCS Director задача на развертывания сервера с SGT • Предполагает знание работы с UCSD и редактирования workflow.
• Создадим workflow для – Задаст IP address для
VM/Bare-metal сервера – Залогинится на коммутаторы ЦОД
– Добавит IP-SGT связку основанную на Сервисном каталоге (пример: LOB1, LOB2, PCI)
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
UCS Director задача на развертывания сервера с SGT
• Добавим этот workflow в каждый сервисный каталог в котором мы хотим разворачивать SGT при заказе vm/bare metal сервера
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
IP Address SGT
10.200.1.100 Employee_Web – 100
10.1.254.10 PCI_Web – 200
10.2.254.4 Dev_App – 300
Пример сценария ресурсов разработки/продуктива
SGT Поддерживающий коммутатор или МСЭ
SXP Агрегация w/REST API
Listener and Speaker
Listener
Speaker
SXP поддерживающий коммутатор
PCI _Web
Employee Web
ISE
IP Address SGT
10.1.10.1 Employee– 10
10.1.10.10 Dev - 20
10.2.10.4 Admin - 30
IP Address SGT
10.1.254.1 Employee – 10
10.1.254.10 Dev – 20
10.2.254.4 Admin– 30
IP Addressd SGT
10.1.10.1 Employee– 10
10.1.10.10 Dev - 20
10.2.10.4 Admin - 30
10.1.254.1 Employee – 10
10.1.254.10 Dev - 20
10.2.254.4 Admin – 30
10.200.1.100 Employee_Web – 100
10.1.254.10 PCI_Web – 200
10.2.254.4 Dev_App – 300
Облако
IP Address SGT
10.1.10.1 Employee– 10
10.1.10.10 Dev - 20
10.2.10.4 Admin - 30
10.1.254.1 Employee – 10
10.1.254.10 Dev - 20
10.2.254.4 Admin - 30
10.200.1.100 Employee_Web – 100
10.1.254.10 PCI_Web – 200
10.2.254.4 Dev_App – 300
IP Address SGT
10.1.10.1 Employee – 10
10.1.10.10 Dev - 20
10.2.10.4 Admin - 30
10.1.254.1 Employee– 10
10.1.254.10 Dev - 20
10.2.254.4 Admin - 30
10.200.1.100 Employee_Web – 100
10.1.254.10 PCI_Web – 200
10.2.254.4 Dev_App – 300
Dev_App
Оркестрация ЦОД
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Итоги
• TrustSec строится на основании динамической классификации (802.1X), статической классификации (IP/SGT) и оркестрации (REST, UCS Director)
• TrustSec предоставляет масштабируемую модель контроля доступа с привязкой к идентификации и роли
• TrustSec дает возможность экономии операционных расходов путем отвязки политик безопасности от сетевой топологии
• TrustSec имеет широкую программную и аппаратную поддержку, а также сценарии миграции и гибкого развертывания
• TrustSec уже сегодня развернут в сетях заказчиков
• TrustSec можно развернуть и в Вашей сети уже сегодня
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Ссылки • Статья на русском языке - Управление доступом в архитектуре Cisco TrustSec. -
http://gblogs.cisco.com/ru/dkazakov_cisco_trustsec/
• Secure Access, TrustSec, and ISE on Cisco.com – http://www.cisco.com/go/TrustSec – http://www.cisco.com/go/ise – http://www.cisco.com/go/isepartner
• TrustSec and ISE Deployment Guides: – http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/
landing_DesignZone_TrustSec.html
• YouTube: Fundamentals of TrustSec: – http://www.youtube.com/ciscocin#p/c/0/MJJ93N-3Iew
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Рекомендованные книги
Aaron Woland Jamey Heary
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
TrustSec Related Sessions at CiscoLive Milan 2015 • TECSEC-2222 – Practical Securing Networks with Cisco TrustSec – Kevin Regan, Yuval Schrory,
Darrin Miller
• TECSEC-2670 – Data Center Security – Steinthor Bjarnason, Yves Louis, Andrew Ossipov, Fabien Gandola
• BRKSEC-2203 – Deploying Security Group Tags – Kevin Regan
• BRKSEC-1449 – Threat Defense for Enterprise Networks with Unified Access – Vaibhav Katkade
• PSOSEC-2003 – How ISE helps manage access, reach, and threat in an increasing uncontrolled environment – Kevin Skahill
• BRKSEC-3691 – Advanced ISE Services, Tips and Tricks – Aaron Woland
• BRKSEC-3502 – Advanced Enterprise Campus Design: Instant Access – Divya Rao
• BRKDCT-3578 – Building an End to End Policy Based Network: Multi-Tenant Networks using ACI Group Policy Model – Brenden Buresh
• CCSSEC-2500 – TrustSec – A Network Security Journey – Manfred Brabec, Thomas Vavra
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Call to Action
• Visit the World of Solutions for – Cisco Campus – Walk in Labs – Technical Solution Clinics
• Meet the Engineer
• Lunch time Table Topics
• DevNet zone related labs and sessions
• Recommended Reading: for reading material and further resources for this session, please visit www.pearson-books.com/CLMilan2015
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Complete Your Online Session Evaluation
• Please complete your online session evaluations after each session. Complete 4 session evaluations & the Overall Conference Evaluation (available from Thursday) to receive your Cisco Live T-shirt.
• All surveys can be completed via the Cisco Live Mobile App or the Communication Stations
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-3690 Cisco Public
Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.
Top Related