Управление доступом в сеть – развитие архитектуры Cisco

Управление доступом в сеть –
развитие архитектуры Cisco TrustSec
Владимир Илибман
Менеджер по продуктам безопасности
Октябрь 2013
Тема выступления
На примере одной организации рассмотрим:
• Как эволюционируют требования к управлению
доступом в сеть и архитектура безопасности
• Какие сценарии управления доступом могут возникать в
типичной организации
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
2
Архитектура
управления доступом в сеть
Trusted Security (TrustSec)
Что же такое TrustSec ?
 Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NAC”
 TrustSec это системный подход к контролю доступа, который
объединяет:
- IEEE 802.1X (Dot1x)
- Технологии профилирования
- Гостевые сервисы
- Метки безопасности (Secure Group )
- Канальное шифрование MACSec (802.1AE)
- Network Admission Control
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
4
Архитектура Cisco TrustSec. Сервисы
ПОЛИТИКА БЕЗОПАСНОСТИ
Идентификация и Аутентификация
“Кто” и “Что”
находится в моей
сети?
802.1X, Веб-Аутентификация, MAC-адреса, Профилирование
Авторизация и Контроль доступа
VLAN
DACL
Security Group
Access
Identity
Firewall
Целостность данных и конфиденциальность
“Куда” cмогут
иметь доступ
пользователи/уст
ройства?
Защищены ли
сетевые
коммуникации?
MACSec (802.1AE)
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
5
Контроль доступа TrustSec
Основные компоненты
Идентификация и
управление
сервисами доступа
Применение
политик
Клиент
BRKSEC-2022
Identity Services Engine (ISE)
Коммутаторы
WiFI
AnyConnect или
встроенный в ОС
клиент 802.1x
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
Маршрутизаторы
NAC агент
Межсетевые
экраны
Web-агент или
браузер
6
И так начинаем наше знакомство…
Компания Гудвей-X
Бизнес-кейс
Компания Гудвей-X -
 Ритейлер,
 Банк,
 Промышленный холдинг,
 Агрохолдинг,
 Страховая компания.
Зак –
Менеджер
по информационной
безопасности
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Айк –
IT-менеджер
отвечает за работу сети
Cisco Public
8
В компании Гудвей-X назрела проблема
Бизнес-кейс
Внешний аудит показал, что в компании не
существует контролей для ограничения
доступа в сеть изнутри.
Зак взялся разработать Политику доступа в
сеть и поручил Айку внедрить контроли.
Описание задач для Айка:
1. Необходимо журналировать подключения в
сеть
2. Компания хочет быть уверена, что сотрудники
получают доступ в сеть только с
авторизированных устройств.
Решение: Система контроля доступа 802.1X
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
9
Настройка по-умолчанию с 802.1X
До аутентификации
 Нет видимости (пока)
 Жесткий контроль доступа
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
?
?
USER
Весь трафик кроме служебного 802.1x
блокируется !
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
10
Настройка по-умолчанию с 802.1X
После аутентификации
 Пользователь/Устройство известны
 Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
Выглядит
также как
и без
802.1X
?
“Клиент для 802.1x есть в
Windows XP/7 и у меня
завалялся Cisco ACS.
Задача решена!”
подумал Айк.
Пользователь: Маша
Authenticated Machine: XP-Mary-45
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
11
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я протестировал
дома конфигурацию,
все выглядит
отлично. Завтра я
включаю 802.1x в
продакшн…
Айк
Включает 802.1X
Я не могу
соединиться с сетью.
Она говорит что
Аутентификация не
пройдена и я не
знаю что делать,
через два часа у
меня презентация…
Звонки в службу поддержки увеличились на 120%
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12
Чего не хватало Айку?
Какие уроки мы извлекли?
 Некорректно внедренный 802.1x – это система контроля
предотвращения доступа
- Необходим режим мониторинга
- Должен существовать метод анализа удачных и
неудачных соединений
Для того чтобы устранить проблемы до перевода
системы 802.1x в более сильный режим контроля.
 Внедрение 802.1x лучше начинать с:
- Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
- Enforcement Mode (Принудительный режим 802.1x)
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
13
Режим мониторинга
Процесс, не просто режим.
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании 
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1
Pre-AuthC
Post-AuthC
SWITCHPORT
P
DH C
TFTP
5
KRB
E AP
SWITCHPORT
oL
D HC
P
HT T
P
TFTP
5
KRB
Permit All
EA P
P
HT T
oL
Permit All
Traffic always allowed
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
Pre-AuthC
Post-AuthC
SWITCHPORT
P
DHC
P
DHC
TFTP
P
HTT
5
KRB
E APo
SWITCHPORT
L
BRKSEC-2022
TFTP
Permit
Some
© 2011 Cisco and/or its affiliates. All rights reserved.
E AP o
SGT
P
HTT
5
KRB
L
Cisco Public
Role-Based ACL
15
Чего не хватало Айку?
Какие уроки мы извлекли?
 Отсутствие отчетности со стороны
супликанта
- Когда все в порядке – пользователь не в
курсе.
- Но когда все перестает работать…
Пользователь видит “Authentication Failed”
сообщение и всё.
Отсутствие видимости. Только звонок в
службу поддержки
 Решение: Сторонние супликанты
- Cisco’s AnyConnect Supplicant
Предоставляет утилиту для репортинга
(DART)
Детализированные логи с клиентской
стороны
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
16
1
Чего не хватало Айку?
Какие уроки мы извлекли?
 Отсутствие видимости на Radius сервере - ACS 4.x
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
17
Чего не хватало Айку?
Какие уроки мы извлекли
 Решение: ACS VIEW  Identity Services Engine (ISE)
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
18
1
Чего не хватало Айку? Детализация удачных и неудачных попыток доступа в Cisco ISE
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
19
1
Чего нам не хватало?
Детальный вид активных сессий и наложенных политик в Cisco ISE
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
20
2
Чего не хватало Айку?
Какие уроки мы извлекли?
 Айк забыл об устройствах без поддержки 802.1x
- Принтеры, IP Телефоны, Камеры, СКУД
 Решение? Не использовать 802.1х на
портах с принтерами
 Ну а что если устройство переедет ?
 Решение: MAC Authentication Bypass (MAB) – централизованная
в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без
аутентификации по 802.1x
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
21
Бизнес кейс продолжает изменяться
 Требования:
1.
Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х получают доступ к сети.
- Решения: Идентификация с помощью 802.1X
2.
Устройства без поддержки 802.1x должны иметь доступ к
сети.
- Решение: Централизованный MAB
Айк: -“Таких устройств очень
много. И они обновляются”
Зак: -“А что если MAC-адрес
принтера подставит
злоумышленник на свой ноутбук ?”
Требуется автоматизировать
построение списка MAB устройств!
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
22
Решение есть !!!
Профилирование
Профилирование
Видимость
PCs
Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
24
Как мы классифицируем устройство?
Технология профилирования
 Профилирование на ISE использует аналоги сигнатуры
 Запросы, используемые для сбора данных
HTTP
SNMP Query
SNMP Trap
DHCPSPAN
DHCP
RADIUS
DNS
BRKSEC-2022
NMAP
NetFlow
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
25
25
Политики профилирования
Is the MAC
Address from
Apple
DHCP:hostname
CONTAINS iPad
Profile Library
Я вполне
уверен что
устройство iPAD
IP:User-Agent
CONTAINS iPad
Назначить
MAC Address к
группе “iPad”
Политики профиля используют условия для определения устройства.
Политики основаны на принципе наилучшего совпадения
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
26
Распределенный сбор данных с
централизованным анализом
Сенсор устройств
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или
mDNS
• Автоматическое обнаружение многих устройств (Printers, Cisco devices,
телефоны, планшеты) на коммутаторе/WiFi
• Не зависит от топологии
•
•
•
•
•
•
ISE
Поддержка сенсора
2960-X, 2960-XR
3560/3750
3560C/CG
3850*
4500
Wireless Controllers
• * roadmap
CDP/LLDP/DHCP
CDP/LLDP/DHCP
CDP/LLDP/DHCP
DHCP
DHCP
Device Sensor Distributed Probes
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
27
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним
паролем. Это небезопасно”
Айк
“Для каждого контрактника в ручную
выделяется порт на коммутаторе”
Нужно упорядочить и
автоматизировать процесс
гостевого подключения!
Требования гостевых пользователей
WLC
Wireless
APs
Internet
LAN
Айк хочет унифицировать подключения
гостей и контрактников в сеть
И при этом, чтобы все было безопасно !
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
29
Cisco ISE
Компоненты полного жизненного цикла гостя
Предоставление: Гостевые
аккаунты по средствам
спонсорского портала
Уведомление: Аккаунты
отсылаются через печать, email,
или SMS
Управление: Привилегии
спонсора, гостевые аккаунты и
политики, гостевой портал
Аутентификация/Авторизация
Посредством веб-портала ISE
Guests
Отчетность: По всем аспектам
гостевых учетных записей
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
30
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
атрибутов
Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
31
Разные гостевые роли
Когда требуются разные пользовательские роли
Контрактник
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
• Доступ в интернет
• Доступ к выделенным
ресурсам
• Длительное время
соединения:
неделя / месяц
 Можно использовать разные порталы (даже с разной локализацией)
 И создавать отдельно группы Гости/Контрактники с разными правами
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
32
Полный аудит гостевого жизненного цикла
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
33
Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему доступ в сеть потому как это
устройство помогает ему в работе”
Айк
Требования к BYOD
Бизнес:
• Подключите мой
планшет и дайте
доступ к Facebook
бизнес-приложениям
Зак (Безопасность)
•Как ограничить, кто
из сотрудников
имеет право на
BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
• Как поддерживать
увеличенное кол-во
устройств ?
• Кто будет
настраивать ?
• Кто будет
согласовывать с
безопасностью ?
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
35
Что предлагает ISE для управления
персональными устройствами
Автоматическая
настройка множества
типов устройств:
Занесение устройств в
“черный” при хищении,
увольнении
̶ iOS (post 4.x)
̶ MAC OSX (10.6, 10.7)
̶ Android (2.2 and later)
̶ Windows (XP, Vista,
Win7K, Win8)
Поддержка всех
сетевых
подключений
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-IDSE
Presentation_ID
Самообслуживание
персональных устройств
для авторизированных
сотрудников
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
36
Подключил в гостевую сеть и ввел доменный логин и пароль
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
37
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
38
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
39
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
40
Для администраторов и безопасности IT
гибкие настройки кому и и какие устройства можно
подключать
OS
Presentation_ID
User
© 2011 Cisco and/or its affiliates. All rights reserved.
Supplicant
Cisco Public
41
41
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE)
Контроль
использования
сетевых ресурсов
Классификация/
Профилирование User <-> Device
Ownership
Безопасный сетевой доступ
(Wireless, Wired, VPN)
Управление сетевым
доступом на основе
контекста
Регистрация
Настройка
профилей
безопасности
устройства
Пользователь управляет устройством
IT управляет доступом в сеть
© 2012 Cisco and/or its affiliates. All rights reserved.
Распространение
корпоративного ПО
Управление
(Backup, Remote
Wipe, etc.)
Соответствие политике
(Jailbreak, Pin Lock, etc.)
Шифрование
данных
Инвентаризация
Управление затратами
Пользователи и IT совместно
управляют устройством и доступом
Cisco Confidential
43
MDM
Manager
ISE
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM
Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Экопартнеры
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
© 2012 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
44
MDM проверка соответствия
 Соответствие на основании:
-
General Compliant or ! Compliant status
OR
-
Вкл. Шифрование диска
-
Парольная защита вкл.
-
Jailbreak устройства
Macro level
Micro level
 MDM атрибуты доступны для условий
политик
 Проверка устройств по базе MDM
происходит через определенные
промежутки времени.
-
Presentation_ID
Если со временем устройство перестоит
быть соответствующим политике, ISE
завершает сессию устройства.
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
45
 Администратор / пользователь
может инициировать удаленные
действия на устройстве через
MDM сервер (пример: удаленно
стереть устройство)
-
Портал мои устройств
-
ISE Каталог устройств
Options
•
•
•
•
•
•
•
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
Edit
Reinstate
Lost?
Delete
Full Wipe
Corporate Wipe
PIN Lock
46
Эволюция бизнес кейса:
Метки безопасности
После модернизации сети поменялись IPадреса. Можно как строить политику
безопасности без привязки к сетевым
адресам и VLAN?
Айк
Можно ли использовать информацию
от ISE для построения политик
безопасности на файерволах ?
Зак
Применение SGT и SGACL
Security
Group
Tag
SGACL
SG
1. Когда пользователь/устройство заходит в сеть ему
назначается метка безопасности (SGT), которая обозначает
его роль
2. Эта метка переносится по всей сети
3. Коммутаторы и межсетевые экраны применяют политику по
меткам Security Group Access List
SGT
Public
Private
Преимущества
Staff
Permit
Permit
Guest
Permit
Deny
 Гибкие политики независимы от топологии и IP-адресации
 Метки основаны на роли пользователя и состоянии/типе устройства
 Метки значительно уменьшают кол-во правил и нагрузку на
коммутаторы и МСЭ
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
48
Передача меток по сети
For Your
Reference
SXP IP Address 10.1.204.126 = SGT 5
ISE
RADIUS (Access Request)
EAPOL (dot1x)
10.1.204.126
RADIUS (Access Accept, SGT = 5)
6506
10.1.204.254
SG ACL Matrix
IP Address to SGT Mapping
HR
Server #1
10.1.200.50
Nexus 7000
Core VDC
10.1.200.254
Nexus 7000
Agg VDC
ASA
Finance
✓
VSG
Finance
Finance Server
#1
10.1.200.100
HR
Finance
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
49
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA
Destination
Tags
Source Tags
Presentation_ID
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
50
50
Переходим к реальному кейсу
Создаем систему из всех этих технологий
TrustSec собирает все воедино
TrustSec
BYOD
SGT
NAC
Профилирование
BRKSEC-2022
MDM
MacSec
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
52
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
53
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
54
Вопросы?
Канал Cisco Russia & CIS на Youtube
Канал TrustSec на Cisco.com
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
www.cisco.com/go/trustsec
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
55
Спасибо !!
Thank you.
BRKSEC-2022
© 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
56