Управление доступом в сеть – развитие архитектуры Cisco TrustSec Владимир Илибман Менеджер по продуктам безопасности Октябрь 2013 Тема выступления На примере одной организации рассмотрим: • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2 Архитектура управления доступом в сеть Trusted Security (TrustSec) Что же такое TrustSec ? Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC” TrustSec это системный подход к контролю доступа, который объединяет: - IEEE 802.1X (Dot1x) - Технологии профилирования - Гостевые сервисы - Метки безопасности (Secure Group ) - Канальное шифрование MACSec (802.1AE) - Network Admission Control BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация “Кто” и “Что” находится в моей сети? 802.1X, Веб-Аутентификация, MAC-адреса, Профилирование Авторизация и Контроль доступа VLAN DACL Security Group Access Identity Firewall Целостность данных и конфиденциальность “Куда” cмогут иметь доступ пользователи/уст ройства? Защищены ли сетевые коммуникации? MACSec (802.1AE) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 5 Контроль доступа TrustSec Основные компоненты Идентификация и управление сервисами доступа Применение политик Клиент BRKSEC-2022 Identity Services Engine (ISE) Коммутаторы WiFI AnyConnect или встроенный в ОС клиент 802.1x © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Маршрутизаторы NAC агент Межсетевые экраны Web-агент или браузер 6 И так начинаем наше знакомство… Компания Гудвей-X Бизнес-кейс Компания Гудвей-X - Ритейлер, Банк, Промышленный холдинг, Агрохолдинг, Страховая компания. Зак – Менеджер по информационной безопасности BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Айк – IT-менеджер отвечает за работу сети Cisco Public 8 В компании Гудвей-X назрела проблема Бизнес-кейс Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри. Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Описание задач для Айка: 1. Необходимо журналировать подключения в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств. Решение: Система контроля доступа 802.1X BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 9 Настройка по-умолчанию с 802.1X До аутентификации Нет видимости (пока) Жесткий контроль доступа One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) ? ? USER Весь трафик кроме служебного 802.1x блокируется ! BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 10 Настройка по-умолчанию с 802.1X После аутентификации Пользователь/Устройство известны Доступ только для MAC-адреса устройства прошедшего аутентификацию Выглядит также как и без 802.1X ? “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Пользователь: Маша Authenticated Machine: XP-Mary-45 BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11 Что случилось дальше ? @ Гудвей-X, ДО появления режима мониторинга… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x в продакшн… Айк Включает 802.1X Я не могу соединиться с сетью. Она говорит что Аутентификация не пройдена и я не знаю что делать, через два часа у меня презентация… Звонки в службу поддержки увеличились на 120% BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12 Чего не хватало Айку? Какие уроки мы извлекли? Некорректно внедренный 802.1x – это система контроля предотвращения доступа - Необходим режим мониторинга - Должен существовать метод анализа удачных и неудачных соединений Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля. Внедрение 802.1x лучше начинать с: - Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме - Enforcement Mode (Принудительный режим 802.1x) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13 Режим мониторинга Процесс, не просто режим. • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 Pre-AuthC Post-AuthC SWITCHPORT P DH C TFTP 5 KRB E AP SWITCHPORT oL D HC P HT T P TFTP 5 KRB Permit All EA P P HT T oL Permit All Traffic always allowed BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 14 Принудительный режим Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности Pre-AuthC Post-AuthC SWITCHPORT P DHC P DHC TFTP P HTT 5 KRB E APo SWITCHPORT L BRKSEC-2022 TFTP Permit Some © 2011 Cisco and/or its affiliates. All rights reserved. E AP o SGT P HTT 5 KRB L Cisco Public Role-Based ACL 15 Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие отчетности со стороны супликанта - Когда все в порядке – пользователь не в курсе. - Но когда все перестает работать… Пользователь видит “Authentication Failed” сообщение и всё. Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние супликанты - Cisco’s AnyConnect Supplicant Предоставляет утилиту для репортинга (DART) Детализированные логи с клиентской стороны BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16 1 Чего не хватало Айку? Какие уроки мы извлекли? Отсутствие видимости на Radius сервере - ACS 4.x BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 17 Чего не хватало Айку? Какие уроки мы извлекли Решение: ACS VIEW Identity Services Engine (ISE) BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18 1 Чего не хватало Айку? Детализация удачных и неудачных попыток доступа в Cisco ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19 1 Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20 2 Чего не хватало Айку? Какие уроки мы извлекли? Айк забыл об устройствах без поддержки 802.1x - Принтеры, IP Телефоны, Камеры, СКУД Решение? Не использовать 802.1х на портах с принтерами Ну а что если устройство переедет ? Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 21 Бизнес кейс продолжает изменяться Требования: 1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети. - Решения: Идентификация с помощью 802.1X 2. Устройства без поддержки 802.1x должны иметь доступ к сети. - Решение: Централизованный MAB Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка MAB устройств! BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22 Решение есть !!! Профилирование Профилирование Видимость PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть. BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 24 Как мы классифицируем устройство? Технология профилирования Профилирование на ISE использует аналоги сигнатуры Запросы, используемые для сбора данных HTTP SNMP Query SNMP Trap DHCPSPAN DHCP RADIUS DNS BRKSEC-2022 NMAP NetFlow © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 25 25 Политики профилирования Is the MAC Address from Apple DHCP:hostname CONTAINS iPad Profile Library Я вполне уверен что устройство iPAD IP:User-Agent CONTAINS iPad Назначить MAC Address к группе “iPad” Политики профиля используют условия для определения устройства. Политики основаны на принципе наилучшего совпадения BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26 Распределенный сбор данных с централизованным анализом Сенсор устройств • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS • Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi • Не зависит от топологии • • • • • • ISE Поддержка сенсора 2960-X, 2960-XR 3560/3750 3560C/CG 3850* 4500 Wireless Controllers • * roadmap CDP/LLDP/DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP DHCP DHCP Device Sensor Distributed Probes BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 27 Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения! Требования гостевых пользователей WLC Wireless APs Internet LAN Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно ! Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 29 Cisco ISE Компоненты полного жизненного цикла гостя Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Аутентификация/Авторизация Посредством веб-портала ISE Guests Отчетность: По всем аспектам гостевых учетных записей Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 30 ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 31 Разные гостевые роли Когда требуются разные пользовательские роли Контрактник Гость • Только интернет доступ • Ограниченное время: Половина дня / один день • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц Можно использовать разные порталы (даже с разной локализацией) И создавать отдельно группы Гости/Контрактники с разными правами Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 32 Полный аудит гостевого жизненного цикла Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 33 Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует чтобы мы разрешили ему доступ в сеть потому как это устройство помогает ему в работе” Айк Требования к BYOD Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): • Как поддерживать увеличенное кол-во устройств ? • Кто будет настраивать ? • Кто будет согласовывать с безопасностью ? Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 35 Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: Занесение устройств в “черный” при хищении, увольнении ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Поддержка всех сетевых подключений Безопасность на основе cертификата привязанного к Employee-ID & Device-IDSE Presentation_ID Самообслуживание персональных устройств для авторизированных сотрудников © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 36 Подключил в гостевую сеть и ввел доменный логин и пароль Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 37 Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 38 Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 39 Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 40 Для администраторов и безопасности IT гибкие настройки кому и и какие устройства можно подключать OS Presentation_ID User © 2011 Cisco and/or its affiliates. All rights reserved. Supplicant Cisco Public 41 41 Эволюция бизнес кейса: Mobile Device Management Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) Контроль использования сетевых ресурсов Классификация/ Профилирование User <-> Device Ownership Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Регистрация Настройка профилей безопасности устройства Пользователь управляет устройством IT управляет доступом в сеть © 2012 Cisco and/or its affiliates. All rights reserved. Распространение корпоративного ПО Управление (Backup, Remote Wipe, etc.) Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных Инвентаризация Управление затратами Пользователи и IT совместно управляют устройством и доступом Cisco Confidential 43 MDM Manager ISE Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44 MDM проверка соответствия Соответствие на основании: - General Compliant or ! Compliant status OR - Вкл. Шифрование диска - Парольная защита вкл. - Jailbreak устройства Macro level Micro level MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени. - Presentation_ID Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 45 Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство) - Портал мои устройств - ISE Каталог устройств Options • • • • • • • Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Edit Reinstate Lost? Delete Full Wipe Corporate Wipe PIN Lock 46 Эволюция бизнес кейса: Метки безопасности После модернизации сети поменялись IPадреса. Можно как строить политику безопасности без привязки к сетевым адресам и VLAN? Айк Можно ли использовать информацию от ISE для построения политик безопасности на файерволах ? Зак Применение SGT и SGACL Security Group Tag SGACL SG 1. Когда пользователь/устройство заходит в сеть ему назначается метка безопасности (SGT), которая обозначает его роль 2. Эта метка переносится по всей сети 3. Коммутаторы и межсетевые экраны применяют политику по меткам Security Group Access List SGT Public Private Преимущества Staff Permit Permit Guest Permit Deny Гибкие политики независимы от топологии и IP-адресации Метки основаны на роли пользователя и состоянии/типе устройства Метки значительно уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 48 Передача меток по сети For Your Reference SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Server #1 10.1.200.50 Nexus 7000 Core VDC 10.1.200.254 Nexus 7000 Agg VDC ASA Finance ✓ VSG Finance Finance Server #1 10.1.200.100 HR Finance Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 49 Identity-Based Firewall следующего поколения Контроль доступа на основе группы безопасности для ASA Destination Tags Source Tags Presentation_ID © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 50 50 Переходим к реальному кейсу Создаем систему из всех этих технологий TrustSec собирает все воедино TrustSec BYOD SGT NAC Профилирование BRKSEC-2022 MDM MacSec © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 52 Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 53 Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 54 Вопросы? Канал Cisco Russia & CIS на Youtube Канал TrustSec на Cisco.com http://www.youtube.com/playlist?list=PL59B700EF3A2A945E www.cisco.com/go/trustsec BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 55 Спасибо !! Thank you. BRKSEC-2022 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 56