SlideShare a Scribd company logo

Identity Services Engine overview

Nazim Latypayev, profile picture
Nazim Latypayev

Документ описывает интеграцию служб идентификации и контроля доступа с использованием решения Cisco Identity Services Engine (ISE), включая управление доступом на основе контекста. Он охватывает такие аспекты, как аутентификация, профилирование устройств, управление политиками безопасности и гостевым доступом, а также эволюцию сетевого доступа. В документе также изложены детали архитектуры TrustSec и автоматизации процессов безопасности в сети.

1 of 93
Downloaded 39 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE)
Программа • Identity Services Engine и TrustSec. • Управление доступом с учетом контекста: – Кто: Аутентификация – Что: Профилирование, оценка состояния, изменение авторизации (CoA) – Применение политик доступа – Управление гостевым доступом • Эксплуатация • Дизайн и внедрение • Направления развития
Identity Services Engine Вступление
Эволюция сетевого доступа Эпоха сетей без границ Мобильные Сотрудники сотрудники (Продавцы) VPN Принтеры Телеработа (Бухгалтерия) VPN Интернет Сотрудники (Финансы) VPN Системы Сотрудники безопасности (Продавцы) Кампусная Филиал сеть Внутренние Принтеры ресурсы (Sales) IP камера Гости Контрактники Сотрудники с WiFI- устройствами
Big Распространение мобильных устройств • 7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет выходить на рынок в ближайшие пять лет.* • К 2015 году будет 7.400 млрд 802.11n устройств на рынке* • 1.2 миллиарда смартфонов выйдет на рынок в течение следующих пяти лет, около 40% всех поставок телефонов .* • К 2012 году более 50% мобильных устройств будет поставляться без проводных портов .*** Источники: *ABI Research, **IDC, *** Morgan Stanley Market Время Trends 2010
Задачи управления доступом КУДА разрешатся доступ КТО ЧТО ПОДКЛЮЧИЛСЯ ? ЗА УСТРОЙСТВО ? ГДЕ КАК ПОДКЛЮЧИЛСЯ ? ПОДКЛЮЧИЛСЯ?
Архитектура TrustSec. Контроль доступа на уровне сети Клиентские ЦОД и устройства приложения Идентификация Контроль доступа Контроль доступа Cisco Infrastructure Политики доступа Динамический контекст КОРПОРАТИВНАЯ СЕТЬ Управление Сервисы Безопасность
Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация Контекст: ―Кто‖ и Что находится в моей сети? 802.1X, Web Authentication, MAC-адреса, Профилирование Куда cмогут Авторизация и Контроль доступа иметь доступ пользователи/уст VLAN DACL Security Group Identity ройства? Access Firewall Защищены ли сетевые Целостность данных и конфиденциальность коммуникации? MACSec (802.1AE)
Контроль доступа: традиционный подход Управление политиками и сервисами ACS NAC Manager NAC Profiler NAC Guest безопасности Применение политик Межсетевые NAC Коммутаторы WiFI Маршрутизаторы экраны Appliance Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
Контроль доступа TrustSec Основные компоненты Управление политиками и сервисами Identity Services Engine (ISE) безопасности Применение политик Коммутаторы Межсетевые WiFI Маршрутизаторы экраны Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
ISE: платформа централизованного управления политиками и сервисами Централизованная идентификация Безопасность Эффективность пользователей и инфраструктуры IT устройств в сети и compliance Cisco Применение ISE Автоматизация согласованных предоставления сервиса сетевого политик доступа доступа для на основе сотрудников, идентификации гостей и устройств
ISE. Гибкая безопасность на основе политик Я хочу разрешить доступ к своей сети Идентификация и только авторизованным авторизация пользователям Управление Я хочу разрешить жизненным циклом гостевой доступ гостевого доступа Мне нужно разрешить / Сервисы запретить iPADы в моей сети (BYOD) профилирования Мне нужно, чтобы мои Сервисы оценки конечные устройства не Cisco несли угрозу состояния ISE Как я могу установить Управление доступом политики, основанной на личности сотрудника, а не на основе групп IP-адресах? безопасности Мне необходимо защищать конфиденциальные Технология MACSec коммуникации
Что такое политика на основе контекста? • Доступ на основе контекста Кто? Что? Известные пользователи Идентификация устройств Неизвестные Классификация устройств пользователи (Гости, ―Здоровье‖ устройства контрактники) Где? Когда? Местоположение Дата SSID / коммутатор Время Start/Stop Access Как? Другие условия? Проводное подключ. •AD, LDAP атрибуты Беспроводка •Имеет ли сотрудник бейдж в VPN здание
―- А какие у вас докУменты?
 Усы, лапы и хвост — вот мои документы!‖ — Каникулы в Простоквашино Кто? Идентификация и аутентификация
Доступ на основе контекста КТО= Идентификация пользователя • Известные/ ―управляемые‖ пользователи (постоянный доступ) – Основной способ аутентификациии: 802.1X или NAC-агент – Учитывать: • Хранилище для идентификации • Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники • Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: • Портал для веб-аутентификации • Создание и хранилище гостевых учетных записей Гости, Сотрудники с ―чужого‖ компьютера
Identity Services Engine (ISE) Хранилище идентификации/ Источники атрибутов Хранилище OS / Версия ISE Internal Endpoints, Internal Users RADIUS RFC 2865-compliant RADIUS сервера Active Directory Microsoft Windows Active Directory 2000 Microsoft Windows Active Directory 2003, 32-bit only Microsoft Windows Active Directory 2003 R2, 32-bit only Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit LDAP Сервера SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 or later Token Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts
802.1X агенты (сапликанты) ―Огласите весь список, пожалуйста.‖ – "Операция "Ы" • Встроенный в Windows Win7— EAP-TLS, PEAP • Встроенный в Windows XP—EAP-TLS, PEAP, MD5 • Встроенный в Windows Mobile 7 • Open1x клиент для Linux Windows HP Jet Direct • Встроенный в принтеры для некоторых производителей (например HP) • Встроенный в Apple OS X — EAP-TTLS, 7921 TLS, FAST, PEAP, LEAP, MD5 • Встроенный в Apple iOS • Встроенный в Android • Встроенный в Cisco IP Phone — EAP- Solaris Apple MD5, FAST, TLS • Встроенный в IP-камеры, устройства СКУД для некоторых вендоров (например Cisco) WLAN APs • Универсальные сапликанты (например Cisco AnyConnect) IP Phones Pocket PC
Агенты AnyConnect 3.0 NAC агент  Оценка состояния -―здоровья‖  Унифицированный интерфейс доступа  802.1X for LAN / WLAN  Постоянный агент  VPN (SSL-VPN и IPSec)  Mobile User Security (WSA /  Временный агент ScanSafe)  Поддержка MACSec / MKA (802.1X- REV) для программного шифрования данных; Производительность зависит от CPU  Сетевые карты с аппаратной поддержкой MACSec имеют увеличенную производительность с AC 3.0 В будущем единый унифицированный агент
TrustSec Шифрование MACSec Finance Admin = Must Encrypt ISE 1.0 MACSec in Action Authentication Finance Admin Successful! &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&( AnyConnect 802.1X 3.0 Cat3750X Catalyst 6500 or Nexus 7000 Уже сейчас поддерживается: •Шифрование MACSec в DC между Nexus 7000 •Шифрование пользовательских интерфейсов от AnyConnect к Catalyst 3KX (MKA) TrustSec 2.0 добавляет: •Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus 7000 •Шифрование использует SAP, а не MKA для генерации ключей
TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец Guest User Data sent in clear Authenticated Encrypt Decrypt User 802.1X &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&( Supplicant with MACSec MACSec Capable Devices (New Switch-to-Switch Encryption) MACSec Link Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K • 1G – на • Шифрование между •Шифрование между существующих коммутаторами коммутаторами портах • SUP 2T модуль •4500E : Sup7-E • 10G – требуется аплинки и 47xx новый сервис- линейные карты (FCS модуль 3KX 2H CY11)
Доступ на основе контекста КТО= Идентификация пользователя • Известные/ ―управляемые‖ пользователи (постоянный доступ) – Основной способ аутентификациии: 802.1X или NAC-агент – Учитывать: • Хранилище для идентификации • Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники • Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: • Портал для веб-аутентификации • Создание и хранилище гостевых учетных записей Гости, Сотрудники с ―чужого‖ компьютера
Веб-аутентификация • Нужно что-то что будет перехватывать запросы браузеров пользователей и перенаправлять на портал для веб- аутентификации Устройства доступа –коммутаторы Cisco –контроллеры беспроводной сети Устройства безопасности ISE обеспечивает: •Централизованный и настраиваемый веб-портал для аутентфикации •Аутентификация для гостей и сотрудников • Настройка парольных политик • Уведомление о параметрах учетной записи • печать, электронная почта, SMS
ISE – Веб-аутентификация
Политика доступа в ISE , зависит от того “КТО” получает доступ. Пример ЧТО=iPAD КТО? Права доступа= Авторизация • Employee_iPAD Set VLAN = 30 (Корп. доступ) • Contractor_iPAD Set VLAN = 40 (Только Интернет)
―Что за люди ?
 А это не лю А, ну прекрасно.‖ — Секретная миссия. Что ? Профилирование, Оценка состояния устройств,
Доступ на основе контекста ЧТО= Идентификация устройств, Классификация, & Состояние • Идентификация устройства 00:11:22:AA:BB:CC • Методы: – 802.1X машинная аутентификация 172.16.3.254 Device Identity – ―Аутентификация‖ основанная на адресе • Классификация типа устройства (профилирование) • PC, лептопы, мобильники, не-пользовательские сетевые устройства? Device Profile • Методы: – Статически: Присвоить типы адресам устройств – Динамически: Профилирование(оценка сетью) • Оценка состояния • AV инсталлированый /запущенный? OS патчи? Инфицирование? Device Posture
Примеры не-пользовательских сетевых устройств Принтеры IP камеры Сигнализация Беспроводные APs Турникеты Факсы/МФУ Системы Станции Управляемые UPS жизнеобеспечения видеоконференцийи Платежные RMON Probes IP телефоны терминалы и кассы Медицинское Торговые машины Хабы оборудоваие . . . и много другое
ISE – Статическая классификация MAC- записей • Одно устройство – Статически добавляем • Множество устройств LDAP Import File Import
Сервисы динамического профилирования ―Карп, ты на руки то его посмотри... Из него водила как из Промокашки скрипач...‖ – Место встречи изменить нельзя Профилирование обеспечивает возможность обнаружить и классифицировать устройства • Обнаружение и классификация основаны на цифровых отпечатках устройств Profiling Attribute Sources HTTP DHCP NETFLOW DNS RADIUS SNMP • Дополнительные преимущества профилирования • Наблюдаемость: Взгляд на то, что находится в вашей сети • Профилирование основано на эвристике • Выбирается ―наилучшее‖ предположение
ISE – условия профайла
ISE – библиотека профайлов
ISE – сбор атрибутов устройств Device Attributes More attributes And more attributes
Политика доступа в ISE , зависит от того “ЧТО” получает доступ. Пример What? Who=Employee Permissions = Authorizations • Employee_PC Set VLAN = 30 (Полный доступ) • Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)
Оценка состояния ―Ваше курение может пагубно отразиться на моем здоровье! ...‖ – Малыш и Карлсон • Состояние (Posture) = состояние соответствия устройства политике безопасности компании. – Установлены ли на системе последние Windows-патчи? – Антивирус инсталлированный? Обновлен? – Есть ли актуальная защита от антишпионского ПО? • Сейчас мы можем расширить идентификацию пользователя/системы за счет анализа оценки состояния. • Что может проверяться? – AV/AS, Реестр, Файлы, Приложения/ Процессы, обновления Windows, WSUS и прочее. • Если не соответствует– Автоматическое приведение к безопасному статусу, предупреждение, карантин • Поддерживается NAC Agent (постоянный) и временный Web Agent
ISE – политики состояния Политика для сотрудников: Политика для контрактников: •Установленные патчи Microsoft •Установлен любой AV с •McAfee AV инсталированный, актуальной базой запущенный с актуальными базами •Корпоративный ноутбук Гостевая политика: •Запущено корпоративное Принять соглашение, оценки состояния приложение нет, только Интернет) Коммутатор VPN Беспроводка Сотрудники Контрактники /Гости
ISE – доступные проверки оценки состояния • Обновления Microsoft Updates Files – Service Packs – Hotfixes – OS/Browser versions • Антивирус и Антишпионское ПО Инсталляция/Сигнатуры • Данные файлов • Сервисы • Приложения/ Процессы • Ключи реестра
ISE – установка агентов Конечный пользователь нажимает ссылку NAC Agent для установки агента. Тип и версия (постоянный) Агента определяются политикой ISE. Веб-агент (временный)
Изменение авторизации (CoA) ―… Если друг оказался вдруг И не друг, и не враг, а – так..‖ Задача: – Вертикаль. В. Высоцкий • Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ? • Как мы повторно авторизируем порт после веб-аутентификации пользователя? Проблема: •По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом. Решение: • CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом). •CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.
Собираем все вместе Определение политики авторизации ISE Пользователь Тип Местопо Прочие устройства ложение Оценка Время Метод доступа атрибуты
―-Куда? -Туда. -Зачем? -Затем‖ – Улицы разбитых фонарей Применение политик. КУДА разрешатся доступ
Применение политик ISE Сегментация сети Метод Точка Преимущества Недостатки сегментаци применен и ия VLANS Вход • Не требует управления ACL на • Обычно требует изменения IP- порту коммутатора адресов • Предпочтельный способ изоляция • Требует распространения трафика на всем пути общих сетей VLAN по всей сети доступа. • VLANs требуют разворачивания дополнительных механизмов применения политик dACLs Вход • Не требуется изменения IP • Ограничение ресурсов • Не требуется распространения коммутатора по количеству общих VLANs в сети доступа и их записей в ACL. управление • Обеспечивает контроль доступа прямо на порту коммутатора, а не на отдельном устройстве Secure Выход • Упрощает управление ACL • Пока нет универсальной Group • Уменьшает размер политики поддержки SGA на всех Cisco- • Разделяет политику и IP- платформах Access адресацию. .
Применение политик ISE VLANs и dACLs VLANs • Политика авторизации ISE устанавливает VLAN. Инфраструктура обеспечивает применение • Типичные примеры VLAN : • Карантин/ВостановлениеVLAN • Гостевой VLAN • VLAN сотрудников. VLAN • Обычно требует замены IP -> потенциальные проблемы с присвоение другими активностями устройства 802.1X/MAB/Web Auth dACLs • Политика авторизации ISE загружает dACL или именнованный Загрузка ACL на сетевое устройство. ACL • ACL source (any) автоматически конвертируется в адрес хоста • Не требуется изменение IP-адреса, поэтому менее болезненно сказывается на функционировании устройства.
Применение политик ISE Пример для сотрудника в беспроводной сети • Авторизация для устройств сотрудников устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
Применение политик ISE Пример для гостей в беспроводной сети • Авторизация для гостей устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности SGT = 100 I’m a contractor My group is HR Finance (SGT=4) HR (SGT=10) 802.1X/MAB/Web Auth SGACL Contactor & HR SGT = 100 Security Group Based Access Control • ISE связывает метки (SGT) по результатам идентификации пользователей • Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе • Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на выходе • Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для гранулированного доступа
Применение SGT и SGACL  Уникальная метка 16 bit (65K) присваивается каждой роли Security  Представляет привилегии пользователя, устройства или Group Tag субъекта  Тегирование на входе в домен TrustSec  Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)  Правила без IP-адресов (IP адрес привязан к метке) SGACL SG  Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройстве TrustSec Преимущества  Обеспечивает политики независимые от топологии  Гибкие и масштабируемые политики основанные на роли пользователя  Централизованное управление политиками для динамического внедрения правил  Исходящая фильтрация ведет к уменьшению нагрузки на TCAM 46 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Сценарий: сеть медицинского учреждения Security Group Security Group Пользователи (Источник) (Назначение) Сервера SGACL 100 x x 15 Doctor Medical DB (SGT 7) (SGT 10) 5x x5 IT Admin IT Portal (SGT 5) (SGT 4) 145 x x5 Staff Internal Portal (SGT 11) (SGT 9) 150 x x5 Guest Public Portal (SGT 15) (SGT 8) 47 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
SGACL Policy on ACS / ISE 1 3 © 2011 Cisco and/or its affiliates. All rights reserved. 2 Cisco Confidential 48
Доступ по меткам SGA. Поток трафика. SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) Коммутатор доступа SG ACL Matrix IP Address to SGT Mapping HR сервер #1 Коммутатор 10.1.200.50 ядра Коммутатор ЦОД ASA Финансы ✓ Финансы VSG Финансовый сервер#1 Финансы HR 10.1.200.100
―… Я требую продолжение банкета.‖ – Иван Васильевич меняет профессию Окончание первой части…
―… Сильвупле, дорогие гости, сильвупле. Жевупри, авеплизир. Господи, прости, от страха все слова повыскакивали..‖ – Формула Любви Управление гостевым доступом
Управление жизненным циклом гостевого доступа Гостевой доступ – это построенный процесс, а не исключение из правил ISE Guest Server СОЗДАНИЕ УВЕДОМЛЕНИЕ Создание гостевых учетную записей Предоставление ―учетки‖ гостям Создайте одну гостевую. запись Печать учетной записи Создайте множество гостевых Отправление деталей доступа по почте записей путем импорта CSV Отправление ―учетки‖ по SMS файла Управление гостевыми записями Отчет по доступу Просмотр, редактирование или Посмотреть аудиторские отчеты приостановление действия по отдельным записям гостевых записей Управление группой гостевых Показать отчеты по записей гостевому доступу УПРАВЛЕНИЕ ОТЧЕТНОСТЬ
Гостевой доступ по приглашению URL-REDIRECT PDP ISE Guest Server 1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер 3. Проверяется PDP наличие учетной записи на наличие в ISE 2. Гости вводят логин и пароль, GUEST Guest User созданный приглашающей Identity Store Identity Store стороной (―спонсором‖)
ISE Guest – самостоятельная регистрация гостей URL-REDIRECT PDP ISE Guest Server 1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются на ISE Guest Portal после запуска браузера. 3. В ISE Guest PDP Identity Store создаются гостевые учетные записи 2. Гости заполняют обязательные поля для аутентификации GUEST Identity Store
ISE Guest – самостоятельная регистрация гостей PDP ISE Guest Server 4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/пароля 6. Учетная запись PDP Internet мониторится на соответствие 5. К гостю применяется временным авторизационная политика для GUEST Интернет-доступа Identity Store ограничениям.
Проверка и мониторинг гостевого доступа • Monitor > Authentications окно покажет все аутентификации, включая гостевые • Также можно мониторить создание/удаление/изменение гостевых записей
Настройка гостевого портала ISE В настройках гостевого портала можно определить, что разрешается делать гостям • изменить пароль • изменить пароль при первой логине • загрузить клиента для оценки состояния • делать саморегистрацию • делать регистрацию своих устройств
Гостевой доступ– Портал приглашающей стороны • Настраиваемый веб- портал для приглашающей стороны (―спонсоров‖ ) • Аутентификация спонсоров с помощью корпоративных учетных записей –Локальная база ISE –Active Directory –LDAP –RADIUS –Kerberos
Эксплуатация “…. Человека по одежке встречают” -Народная мудрость
Пользовательский интерефейс ISE : Панель управления Метрики Итоги аутентфиикации Зарегистрированные ISE ноды Information Store Оценка Классификация соответствия конечных Ошибки устройств аутентфикации Статистика уведомлений
Мониторинг аутентификаций в ISE Живой журнал аутентификаций отображает все auth-события в единой таблице с возможностью сортировки, фильтрации и настраиваемыми колонками и пр. Ручное или автоматическое обновление данных “Живые” аутентфикации! Фильтрация Цветовая маркировка событий Детализация
Детали аутентиф. Пример Step-by-step sequence of session events • RADIUS attributes sent Critical session details: • Matching ID stores, policies, and rules Essential session info: • Failure reason • Username and ID Store • MAC and IP Address • Switch name/address/port • Matching ISE rules • Protocols used
Отчетность в ISE
Пример отчета – состояние серверов ISE
Инструменты для поиска неисправностей в ISE
Аудит конфигурации сетевых устройств Правильно ли настроены порты коммутатора для поддержки 802.1X, MAB, и Веб- аутентификации? Правильно ли настроен мой коммутатор для поддержки AAA и других сервисов ISE, включая оценку, профилирование и логгирование?
Уведомления администратора (alarms) в ISE • Предопределенные и пользовательские настройки • Настраиваемое расписание уведомлений – в любое время или в интервале • Визуальное извещение на всех страницах ISE UI с быстрой детализацеий • Внешняя отсылка уведомлений через Syslog или email.
Дизайн и внедрение
Платформы ISE Hardwar Small Medium Large VM e Model 1121/3315 3355 3395 VMware Server v2.0 Based on the IBM System Based on the IBM System Based on the IBM System (Demos) x3250 M2 x3550 M2 x3550 M2 VMware ESX v4.0 / v4.1 VMware ESXi v4.0 / v4.1 CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor RAM 4GB 4GB 4GB 4GB (max) Disk 2 x 250-GB SATA 2 x 300-GB 2.5‖ SATA 4 x 300-GB 2.5‖ SAS I Admin: >= 60GB (500GB available) (600GB available) (600GB available) Policy Service: >= 60GB Monitoring: >= 200GB RAID No Yes: RAID 0 Yes: RAID 1 - Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet Power Single 650W 650W Redundant 650W Redundant - Node All Roles All Roles All Roles No Inline Posture Node Roles eth0 eth1 3315 eth2 eth3 3355 eth2 eth3 eth0 3395 eth1
Роли ISE “Эта роль ругательная, я её прошу ко мне не применять!” -Иван Васильевич меняет профессию Административный узел (Admin Node) – Интерфейс для конфигурации политик Узел мониторинга (Monitor Node)) – Интерфейс для сбора событий и мониторинга Узел сервиса политик (Policy Service Node) – ―Движок‖, который общается с устройствами доступа и принимает решения по доступу на основе политик
Узлы и роли ISE Единый ISE узел (устройство или VM) ISE Роли – одна или несколько: Admin Monitoring Policy Service •Администрирование •Мониторинг •Сервис политик ИЛИ Отдельный узел в ISE режиме Inline для оценки состояния Inline (только Posture устройство)
Архитектура ISE Мониторинг Журналирование Журналирование Просмотр журналов/ отчетов Сервис Внешние Админ Просмотр/ политик Запрос данные Настройка атрибутов Политик Запрос/ ответ Журналирование контекста доступа Применение Устройства Ресурсы Запрос на политики Доступ к доступ ресурсам
Отказоустойчивость узла управления и синхронизация • Изменения, внесенные в первичном узле администрирования, автоматически синхронизируются с Вторичный узлом администрирования и всеми узлами сервисами политик. Admin Node Policy Service (Secondary) Node Policy Sync Policy Service Admin Node Node (Primary) Policy Sync Policy Service Администратор Node Logging Monitoring Monitoring Node Node (Primary) (Secondary)
Отказоустойчивость узла управления и синхронизация • В случае выхода из строя Основного Административного узла пользователь-администратор может подключиться к Вторичному Административному узлу; все изменения на вторичном узле будут автоматически синронизироваться на сервера Сервиса Политик • Вторичный Административный Узел должен быть вручную переведен в Первичный режим. Admin Node Policy Service (Secondary -> Primary) Node Policy Sync Policy Service X Admin Node Node (Primary) Policy Service Admin Node User Logging Monitoring Monitoring (Primary) (Secondary)
Мониторинг – Распределенный сбор журналов • ISE поддерживает распределенный сбора журналов по всем узлам для оптимизации сбора, агрегации, и централизованные корреляцию и хранение событий. • Local Collector Agent работает на каждом узле ISE и собирает свои события локально. В дополнение Local Agent на узле с Сервисом Политик собирает журналы связанных сетевых устройств. NADs Netflow Policy Services Monitoring External Log SNMP (Collector (Collector) Servers Syslog Agent)
Масштабирование узлов Сервиса Политик и отказоустойчивость • Сетевые устройства доступа (NADs ) могут быть настроены на отказоустойчивые RADIUS сервера (узлы Сервиса Политик). • Узлы сервиса политик могут быть настроены в кластер или ―группу узлов‖ позади балансировщика. NADs шлет запросы на виртуальный IP кластера Administration Node Administration Node (Primary) (Secondary) Policy Services Policy Node Group Replication AAA connection Switch Switch Load Balancers Network Access Devices
Масштабируемость Разворачиваем все сервисы на едином устройстве • Максимальное число устройств (endpoints) для 33x5 серверов – 2000 устройств • Отказоустойчивая конфигурация – два узла ISE ISE Admin Admin Monitoring Monitoring Policy Service Policy Service
Масштабируемость Распределенное внедрение Выделенные узлы для Сервиса Политик Платформа Максимальное События Оценка число профайлера состояния устройств ISE-3315-K9 3,000 500 per/sec 70 per/sec ISE-3355-K9 6,000 500 per/sec 70 per/sec ISE-3395-K9 10,000 1,200 per/sec 110 per/sec
Масштабируеомость Распределенное внедрение Admin + Monitoring размещены на единой паре серверов Admin Admin • 2 x Admin+Mon Mon Mon • Максимально 5 серверов Сервиса Политик • Максимально 50k конечных Policy Svcs устройств (3395) Policy • Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Сервисов Политик N+1
Масштабируеомость Распределенное внедрение Admin + Monitoring размещены на выделенных парах серверов Admin Mon • 2 x Admin+2 x Mon Admin • Максимально 40 серверов Admin Mon Mon Admin Mon Сервиса Политик • Максимально 100k конечных Policy Svcs устройств Policy • Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Policy Svcs Сервисов Политик N+1
Варианты внедрения для распределенных сетей Централизованное Географически- внедрение распределенное внедрение  Все роли ISE внедрены на  Роли ISE распределены между едином сайте разными сайтами
Оценка распределенного внедрения Спецификация объема генерируемого служебного трафика  ОтказоустойчивостьWAN влияет на доступность сервисов ISE  Насколько надежны ваши WAN каналы  Насколько критичны удаленные устройства в филиалах Необходимость удаленного внедрения часто диктует требования наличия одного или двух узлов Сервиса Политик на удаленном сайте
Руководство по виртуализации ISE  Спецификация для запуска ISE в VM– смотрите спецификацию платформ для ISE Спецификация хоста должна быть аналогичной или лучше, чем спецификация устройства ISE для заданного числа конечных устройств (endpoints)  Если спецификация хоста эквивалентна спецификации устройства ISE, рекомендовано запускать единственную VM на хосте  ISE VMs обязаны размещаться на поддерживаемых ESX системах
Поддерживаемые устройства доступа (NADs) Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA Access Switches Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔ Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES2 Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔ Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔ Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔ Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3560-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES3 Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Data Center Switches Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Wireless WLAN Controller 7.0.114.4 (RADIUS CoA) - ✔ ✔ ✔ ✔ ✔ WLC2100, 4400, 5500 *Named ACLs only on WLC WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS . Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для расширенных функций
Режим работы ISE Inline Posture • Узел ISE предоставляет возможность применение политик на пути трафика (inline posture) для сетевых устройств, которые не поддерживают Radius CoA. • Основные сценарии внедрения – это VPN-шлюзы и контроллеры беспроводной сети без поддержки CoA. • Узлы ISE располагаются на пути трафика между сетевым устройством доступа и защищаемым ресурсом (подобно NAC Inband Appliance) • Узлы в режиме Inline поддерживают: – Функции RADIUS Proxy и CoA – Применение политик с помощью dACLs – Режимы Bridged или Routed – L2 или L3 удаленность к сетевому устройству – Отказоустойчивость Active/Standby Замечание: Узел Inline Posture Node это только прокси для RADIUS. Поэтому сетевое устройство должно использовать протокол RADIUS для аутентификации с ISE .
Узел ISE в режиме Inline Posture Примеры логических топологий Подключение VPN-концентратора eth1 eth0 Доверенная Интернет сеть VPN ASA L3 Switch ISE Inline Сервис Политик пользователь Posture 1)RADIUS auth для ASA VPN Проводное узел 2)Auth/Posture ддя узла подключение Inline Posture Подключение WiFi-сетей третьих производителей eth1 eth0 Доверенная сеть Беспроводной AP Third Party ISE Inline L3 Switch Сервис Политик пользователь Controller Posture 1)802.1X auth для WLC 2)Auth/Posture для узла Wireless Проводное узел Inline Posture Node подключение
TrustSec 2.0 в действии Identity features Policy and Security services • 802.1X, MAB, Web Auth • Profiling – categorization of • Flex Auth devices • Flexible deployment • Posture – assurance of modes– monitor mode, compliance to health low impact, high security • Guest – guest management Guest Server Posture SXP Profiler Wireless user Cisco ISE Campus Network Wired user MACSec Cisco® Cat 6K Nexus® 7K, 5K and 2K Catalyst® Switch Switch Data Center Site-to- Cisco® site VPN WAN ASR1K user Cisco® Egress Enforcement ISR G2 with integrated switch Campus Aggregation or DC enforcement: SGACL on Cat 6K or Nexus 7K Data Integrity & Ingress Authorization Alternative Ingress Confidentiality & Enforcement Authorization or Switches and WAN MACSec encryption VLANs, ACLS – AC, Cat 3K, aggregation router: Cat4K, Cat6K, N7K SGTs (data plane) SXP (control plane)
Пакеты и лицензирование в ISE Wireless Upgrade License (ATP) Расширяем политику на проводные и & VPN устройства Лицензия для беспроводного Политики для беспроводных устройств Лицензия на 5 лет Базовая лицензия (ATP) Расширенная лицензия (ATP) Политики для всех видов устройств Политики для всех видов устройств Постоянная лицензия Лицензия на 3/5 лет • Аутентификация / Авторизация • Профилирование устройств • Гостевой доступ • Оценка состояния • Политики для MACSec • Доступ по группам безопасности Платформы Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance
ISE Активное сканирование устройств ISE дополняет пассивную сетевую телеметрию активным сканированием устройств Cisco IOS Сетевая инфраструктура обеспечивает получает встроенный функционал сенсора для встроенный классификации устройств. набор сенсоров Дополнительное ―ухо‖ для ISE (SNMP/LLDP, HTTP, DHCP, eи) Версия ISE 1.1 включают поддержку интернационализации и русский интерфейс для гостевого портала и агентов
Сценарии на ISE “Все будет Айс!” Перспектива Перспектива Сценарии Раньше 1 год 2 года Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE Контроль беспроводного Cisco ACS Cisco ISE Cisco ISE доступа Cisco NAC Контроль доступа с SNMP appliance Cisco NAC Cisco ISE Cisco NAC Гостевой доступ Guest Cisco ISE Cisco ISE Cisco ISE Оценка состояния (NAC) Cisco NAC Cisco ISE Cisco NAC Профилирование устройств Profiler Cisco ISE Cisco ISE Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE Контроль администраторов Cisco ACS Cisco ACS Cisco ISE
ISE – ключевые отличия “Память памятью, а повторить никогда не мешает.” - Семнадцать мгновений весны Доступ в сеть на основании Интегрированные оценка Управление гостевым контекста состояния и профилирование доступом ACCESS USER ID LOCATION RIGHTS DEVICE (& IP/MAC) Поддержка устройств и ПО ВСЕХ популярных вендоров Тесная интеграция ISE в Упрощенный ролевой доступ Масштабирование Сеть SGT Public Private Staff Permit Permit Guest Permit Deny Упрощение больших политик Масштабируемые архитектура безопасности и лицензирование
Ресурсы
Спасибо! Просим Вас оценить эту лекцию. Ваше мнение очень важно для нас.

More Related Content

PDF
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
PDF
Управление сетевым доступом для корпоративных и персональных устройств с пом...
Cisco Russia
 
PDF
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
PDF
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Cisco Russia
 
PPTX
Cisco TrustSec и Cisco ISE
Cisco Russia
 
PDF
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Cisco Russia
 
PDF
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Cisco Russia
 
PDF
Краткий обзор Cisco TrustSec
Cisco Russia
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств с пом...
Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Cisco Russia
 
Cisco TrustSec и Cisco ISE
Cisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Cisco Russia
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Cisco Russia
 
Краткий обзор Cisco TrustSec
Cisco Russia
 

What's hot (20)

PDF
Алексей Лукацкий (IT-Тренды 2014)
Expolink
 
PDF
Краткий обзор Cisco ISE
Cisco Russia
 
PDF
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Cisco Russia
 
PDF
Обзор новой версии Cisco AnyConnect 4.2
Cisco Russia
 
PDF
Контроль и управление доступом к корпоративным ресурсам предприятия
VERNA
 
PDF
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
PDF
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Cisco Russia
 
PDF
Cisco ISE в управлении доступом к сети
Cisco Russia
 
PDF
TrustSec и Identity Services Engine
Cisco Russia
 
PDF
Cisco Identity Service Engine (ISE)
Cisco Russia
 
PDF
AnyConnect, NVM и AMP
Cisco Russia
 
PPTX
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
 
PDF
Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Russia
 
PPS
Citrix Access Gateway
Софтпром
 
PPS
Citrix Access Gateway
Софтпром
 
PDF
Обзор портфолио технических сервисов Cisco - часть 2
Cisco Russia
 
PDF
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
Cisco Russia
 
PDF
Gemalto - SAM (SafeNet Authentication Manager)
Daria Kovalenko
 
PDF
Рекомендованные Cisco архитектуры для различных вертикалей
Cisco Russia
 
PDF
Обзор стека продуктов Cisco для частных и гибридных облаков
Cisco Russia
 
Алексей Лукацкий (IT-Тренды 2014)
Expolink
 
Краткий обзор Cisco ISE
Cisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Cisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Cisco Russia
 
Контроль и управление доступом к корпоративным ресурсам предприятия
VERNA
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco Russia
 
TrustSec и Identity Services Engine
Cisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Russia
 
AnyConnect, NVM и AMP
Cisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
 
Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Russia
 
Citrix Access Gateway
Софтпром
 
Citrix Access Gateway
Софтпром
 
Обзор портфолио технических сервисов Cisco - часть 2
Cisco Russia
 
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
Cisco Russia
 
Gemalto - SAM (SafeNet Authentication Manager)
Daria Kovalenko
 
Рекомендованные Cisco архитектуры для различных вертикалей
Cisco Russia
 
Обзор стека продуктов Cisco для частных и гибридных облаков
Cisco Russia
 
Ad

Viewers also liked (19)

PPTX
Islamization of knowledge (sociolinguistics)
Muhammad Amzar
 
PPTX
하루15분 정리의 힘
Ji Young Kim
 
PPT
Moodle info for techs
eyedogtor
 
PPTX
കാന്‍സര്‍
Muhammed Salih Kozhinhikkodan
 
PDF
van Duurzaam Denken naar Duurzaam Doen
t_haagmans
 
PPT
novi formulacii na lekovi
Jasmina Minova
 
PDF
What is confirmation
Dolores Vasquez
 
PDF
Venture lab2ºprojectflashmobster
magmax9
 
PDF
Ozel egitim-video
zeynep_zyn40
 
PPT
Sir chris odonnel
gmf2012
 
PPTX
Akd motors
Anuj Kumar Bajpai
 
PDF
Elisha man of miracles arabic رجل المعجزات اليشع
Ibrahimia Church Ftriends
 
PDF
Marilia 2012
mapple2012
 
PDF
Evaluation of as media
jlimbmedia
 
PDF
Agamben a geniusz
sirspeter
 
PPTX
Willow, week two, part one
Pathfinder Guide Dog Programme
 
PPTX
Web 2a
hikolan
 
DOCX
òåñò 9
Baasanjav_57
 
PPTX
всё начинается с любви»
Светлана Коломиец
 
Islamization of knowledge (sociolinguistics)
Muhammad Amzar
 
하루15분 정리의 힘
Ji Young Kim
 
Moodle info for techs
eyedogtor
 
കാന്‍സര്‍
Muhammed Salih Kozhinhikkodan
 
van Duurzaam Denken naar Duurzaam Doen
t_haagmans
 
novi formulacii na lekovi
Jasmina Minova
 
What is confirmation
Dolores Vasquez
 
Venture lab2ºprojectflashmobster
magmax9
 
Ozel egitim-video
zeynep_zyn40
 
Sir chris odonnel
gmf2012
 
Akd motors
Anuj Kumar Bajpai
 
Elisha man of miracles arabic رجل المعجزات اليشع
Ibrahimia Church Ftriends
 
Marilia 2012
mapple2012
 
Evaluation of as media
jlimbmedia
 
Agamben a geniusz
sirspeter
 
Willow, week two, part one
Pathfinder Guide Dog Programme
 
Web 2a
hikolan
 
òåñò 9
Baasanjav_57
 
всё начинается с любви»
Светлана Коломиец
 
Ad

Similar to Identity Services Engine overview (20)

PDF
Управление сетевым доступом для корпоративных и персональных устройств.
Cisco Russia
 
PDF
Практическая реализация BYOD.
Cisco Russia
 
PPTX
Cisco ASA CX - новый прикладной МСЭ
Cisco Russia
 
PPTX
Краткое введение в Cisco SecureX
Cisco Russia
 
PPTX
Концепция BYOD для руководителей
Cisco Russia
 
PPTX
Почему утекает конфиденциальная информация в госорганах?
Aleksey Lukatskiy
 
PPTX
Why secrets leak
Positive Hack Days
 
PPTX
Data Centers Security
Aleksey Lukatskiy
 
PDF
Как архитектурные подходы Cisco влияют на бизнес
Cisco Russia
 
PDF
Решения Cisco в области ИБ для центров обработки данных
Cisco Russia
 
PDF
Сценарии использования
Cisco Russia
 
PDF
Специализированные продукты компании Cisco по обнаружению и блокированию ата...
Cisco Russia
 
PDF
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
 
PPTX
Решения Cisco в области информационной безопасности
Cisco Russia
 
PDF
Виртуализация рабочих мест с использованием технологий Cisco
MUK
 
PPTX
Защита центров обработки данных
Cisco Russia
 
PDF
Data Centric Security Strategy
Aleksey Lukatskiy
 
PDF
Архитектура сети без границ
Cisco Russia
 
PDF
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
Cisco Russia
 
PDF
Обзор продуктов в области информационной безопасности.
Cisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств.
Cisco Russia
 
Практическая реализация BYOD.
Cisco Russia
 
Cisco ASA CX - новый прикладной МСЭ
Cisco Russia
 
Краткое введение в Cisco SecureX
Cisco Russia
 
Концепция BYOD для руководителей
Cisco Russia
 
Почему утекает конфиденциальная информация в госорганах?
Aleksey Lukatskiy
 
Why secrets leak
Positive Hack Days
 
Data Centers Security
Aleksey Lukatskiy
 
Как архитектурные подходы Cisco влияют на бизнес
Cisco Russia
 
Решения Cisco в области ИБ для центров обработки данных
Cisco Russia
 
Сценарии использования
Cisco Russia
 
Специализированные продукты компании Cisco по обнаружению и блокированию ата...
Cisco Russia
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
 
Решения Cisco в области информационной безопасности
Cisco Russia
 
Виртуализация рабочих мест с использованием технологий Cisco
MUK
 
Защита центров обработки данных
Cisco Russia
 
Data Centric Security Strategy
Aleksey Lukatskiy
 
Архитектура сети без границ
Cisco Russia
 
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
Cisco Russia
 
Обзор продуктов в области информационной безопасности.
Cisco Russia
 

Identity Services Engine overview

  • 1. Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE)
  • 2. Программа • Identity Services Engine и TrustSec. • Управление доступом с учетом контекста: – Кто: Аутентификация – Что: Профилирование, оценка состояния, изменение авторизации (CoA) – Применение политик доступа – Управление гостевым доступом • Эксплуатация • Дизайн и внедрение • Направления развития
  • 4. Эволюция сетевого доступа Эпоха сетей без границ Мобильные Сотрудники сотрудники (Продавцы) VPN Принтеры Телеработа (Бухгалтерия) VPN Интернет Сотрудники (Финансы) VPN Системы Сотрудники безопасности (Продавцы) Кампусная Филиал сеть Внутренние Принтеры ресурсы (Sales) IP камера Гости Контрактники Сотрудники с WiFI- устройствами
  • 5. Big Распространение мобильных устройств • 7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет выходить на рынок в ближайшие пять лет.* • К 2015 году будет 7.400 млрд 802.11n устройств на рынке* • 1.2 миллиарда смартфонов выйдет на рынок в течение следующих пяти лет, около 40% всех поставок телефонов .* • К 2012 году более 50% мобильных устройств будет поставляться без проводных портов .*** Источники: *ABI Research, **IDC, *** Morgan Stanley Market Время Trends 2010
  • 6. Задачи управления доступом КУДА разрешатся доступ КТО ЧТО ПОДКЛЮЧИЛСЯ ? ЗА УСТРОЙСТВО ? ГДЕ КАК ПОДКЛЮЧИЛСЯ ? ПОДКЛЮЧИЛСЯ?
  • 7. Архитектура TrustSec. Контроль доступа на уровне сети Клиентские ЦОД и устройства приложения Идентификация Контроль доступа Контроль доступа Cisco Infrastructure Политики доступа Динамический контекст КОРПОРАТИВНАЯ СЕТЬ Управление Сервисы Безопасность
  • 8. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация Контекст: ―Кто‖ и Что находится в моей сети? 802.1X, Web Authentication, MAC-адреса, Профилирование Куда cмогут Авторизация и Контроль доступа иметь доступ пользователи/уст VLAN DACL Security Group Identity ройства? Access Firewall Защищены ли сетевые Целостность данных и конфиденциальность коммуникации? MACSec (802.1AE)
  • 9. Контроль доступа: традиционный подход Управление политиками и сервисами ACS NAC Manager NAC Profiler NAC Guest безопасности Применение политик Межсетевые NAC Коммутаторы WiFI Маршрутизаторы экраны Appliance Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
  • 10. Контроль доступа TrustSec Основные компоненты Управление политиками и сервисами Identity Services Engine (ISE) безопасности Применение политик Коммутаторы Межсетевые WiFI Маршрутизаторы экраны Клиент AnyConnect или NAC агент Web-агент или встроенный в ОС браузер
  • 11. ISE: платформа централизованного управления политиками и сервисами Централизованная идентификация Безопасность Эффективность пользователей и инфраструктуры IT устройств в сети и compliance Cisco Применение ISE Автоматизация согласованных предоставления сервиса сетевого политик доступа доступа для на основе сотрудников, идентификации гостей и устройств
  • 12. ISE. Гибкая безопасность на основе политик Я хочу разрешить доступ к своей сети Идентификация и только авторизованным авторизация пользователям Управление Я хочу разрешить жизненным циклом гостевой доступ гостевого доступа Мне нужно разрешить / Сервисы запретить iPADы в моей сети (BYOD) профилирования Мне нужно, чтобы мои Сервисы оценки конечные устройства не Cisco несли угрозу состояния ISE Как я могу установить Управление доступом политики, основанной на личности сотрудника, а не на основе групп IP-адресах? безопасности Мне необходимо защищать конфиденциальные Технология MACSec коммуникации
  • 13. Что такое политика на основе контекста? • Доступ на основе контекста Кто? Что? Известные пользователи Идентификация устройств Неизвестные Классификация устройств пользователи (Гости, ―Здоровье‖ устройства контрактники) Где? Когда? Местоположение Дата SSID / коммутатор Время Start/Stop Access Как? Другие условия? Проводное подключ. •AD, LDAP атрибуты Беспроводка •Имеет ли сотрудник бейдж в VPN здание
  • 14. ―- А какие у вас докУменты?
 Усы, лапы и хвост — вот мои документы!‖ — Каникулы в Простоквашино Кто? Идентификация и аутентификация
  • 15. Доступ на основе контекста КТО= Идентификация пользователя • Известные/ ―управляемые‖ пользователи (постоянный доступ) – Основной способ аутентификациии: 802.1X или NAC-агент – Учитывать: • Хранилище для идентификации • Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники • Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: • Портал для веб-аутентификации • Создание и хранилище гостевых учетных записей Гости, Сотрудники с ―чужого‖ компьютера
  • 16. Identity Services Engine (ISE) Хранилище идентификации/ Источники атрибутов Хранилище OS / Версия ISE Internal Endpoints, Internal Users RADIUS RFC 2865-compliant RADIUS сервера Active Directory Microsoft Windows Active Directory 2000 Microsoft Windows Active Directory 2003, 32-bit only Microsoft Windows Active Directory 2003 R2, 32-bit only Microsoft Windows Active Directory 2008, 32-bit and 64-bit Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit LDAP Сервера SunONE LDAP Directory Server, Version 5.2 Linux LDAP Directory Server, Version 4.1 NAC Profiler, Version 2.1.8 or later Token Servers RSA ACE/Server 6.x Series RSA Authentication Manager 7.x Series RADIUS RFC 2865-compliant token servers SafeWord Server prompts
  • 17. 802.1X агенты (сапликанты) ―Огласите весь список, пожалуйста.‖ – "Операция "Ы" • Встроенный в Windows Win7— EAP-TLS, PEAP • Встроенный в Windows XP—EAP-TLS, PEAP, MD5 • Встроенный в Windows Mobile 7 • Open1x клиент для Linux Windows HP Jet Direct • Встроенный в принтеры для некоторых производителей (например HP) • Встроенный в Apple OS X — EAP-TTLS, 7921 TLS, FAST, PEAP, LEAP, MD5 • Встроенный в Apple iOS • Встроенный в Android • Встроенный в Cisco IP Phone — EAP- Solaris Apple MD5, FAST, TLS • Встроенный в IP-камеры, устройства СКУД для некоторых вендоров (например Cisco) WLAN APs • Универсальные сапликанты (например Cisco AnyConnect) IP Phones Pocket PC
  • 18. Агенты AnyConnect 3.0 NAC агент  Оценка состояния -―здоровья‖  Унифицированный интерфейс доступа  802.1X for LAN / WLAN  Постоянный агент  VPN (SSL-VPN и IPSec)  Mobile User Security (WSA /  Временный агент ScanSafe)  Поддержка MACSec / MKA (802.1X- REV) для программного шифрования данных; Производительность зависит от CPU  Сетевые карты с аппаратной поддержкой MACSec имеют увеличенную производительность с AC 3.0 В будущем единый унифицированный агент
  • 19. TrustSec Шифрование MACSec Finance Admin = Must Encrypt ISE 1.0 MACSec in Action Authentication Finance Admin Successful! &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&( AnyConnect 802.1X 3.0 Cat3750X Catalyst 6500 or Nexus 7000 Уже сейчас поддерживается: •Шифрование MACSec в DC между Nexus 7000 •Шифрование пользовательских интерфейсов от AnyConnect к Catalyst 3KX (MKA) TrustSec 2.0 добавляет: •Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus 7000 •Шифрование использует SAP, а не MKA для генерации ключей
  • 20. TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец Guest User Data sent in clear Authenticated Encrypt Decrypt User 802.1X &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&( Supplicant with MACSec MACSec Capable Devices (New Switch-to-Switch Encryption) MACSec Link Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K • 1G – на • Шифрование между •Шифрование между существующих коммутаторами коммутаторами портах • SUP 2T модуль •4500E : Sup7-E • 10G – требуется аплинки и 47xx новый сервис- линейные карты (FCS модуль 3KX 2H CY11)
  • 21. Доступ на основе контекста КТО= Идентификация пользователя • Известные/ ―управляемые‖ пользователи (постоянный доступ) – Основной способ аутентификациии: 802.1X или NAC-агент – Учитывать: • Хранилище для идентификации • Типы 802.1x EAP и выбор клиента/сапликанта Сотрудники и контрактники • Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ) Основной способ аутентификациии: Веб-аутентификация Учитывать: • Портал для веб-аутентификации • Создание и хранилище гостевых учетных записей Гости, Сотрудники с ―чужого‖ компьютера
  • 22. Веб-аутентификация • Нужно что-то что будет перехватывать запросы браузеров пользователей и перенаправлять на портал для веб- аутентификации Устройства доступа –коммутаторы Cisco –контроллеры беспроводной сети Устройства безопасности ISE обеспечивает: •Централизованный и настраиваемый веб-портал для аутентфикации •Аутентификация для гостей и сотрудников • Настройка парольных политик • Уведомление о параметрах учетной записи • печать, электронная почта, SMS
  • 24. Политика доступа в ISE , зависит от того “КТО” получает доступ. Пример ЧТО=iPAD КТО? Права доступа= Авторизация • Employee_iPAD Set VLAN = 30 (Корп. доступ) • Contractor_iPAD Set VLAN = 40 (Только Интернет)
  • 25. ―Что за люди ?
 А это не лю А, ну прекрасно.‖ — Секретная миссия. Что ? Профилирование, Оценка состояния устройств,
  • 26. Доступ на основе контекста ЧТО= Идентификация устройств, Классификация, & Состояние • Идентификация устройства 00:11:22:AA:BB:CC • Методы: – 802.1X машинная аутентификация 172.16.3.254 Device Identity – ―Аутентификация‖ основанная на адресе • Классификация типа устройства (профилирование) • PC, лептопы, мобильники, не-пользовательские сетевые устройства? Device Profile • Методы: – Статически: Присвоить типы адресам устройств – Динамически: Профилирование(оценка сетью) • Оценка состояния • AV инсталлированый /запущенный? OS патчи? Инфицирование? Device Posture
  • 27. Примеры не-пользовательских сетевых устройств Принтеры IP камеры Сигнализация Беспроводные APs Турникеты Факсы/МФУ Системы Станции Управляемые UPS жизнеобеспечения видеоконференцийи Платежные RMON Probes IP телефоны терминалы и кассы Медицинское Торговые машины Хабы оборудоваие . . . и много другое
  • 28. ISE – Статическая классификация MAC- записей • Одно устройство – Статически добавляем • Множество устройств LDAP Import File Import
  • 29. Сервисы динамического профилирования ―Карп, ты на руки то его посмотри... Из него водила как из Промокашки скрипач...‖ – Место встречи изменить нельзя Профилирование обеспечивает возможность обнаружить и классифицировать устройства • Обнаружение и классификация основаны на цифровых отпечатках устройств Profiling Attribute Sources HTTP DHCP NETFLOW DNS RADIUS SNMP • Дополнительные преимущества профилирования • Наблюдаемость: Взгляд на то, что находится в вашей сети • Профилирование основано на эвристике • Выбирается ―наилучшее‖ предположение
  • 30. ISE – условия профайла
  • 31. ISE – библиотека профайлов
  • 32. ISE – сбор атрибутов устройств Device Attributes More attributes And more attributes
  • 33. Политика доступа в ISE , зависит от того “ЧТО” получает доступ. Пример What? Who=Employee Permissions = Authorizations • Employee_PC Set VLAN = 30 (Полный доступ) • Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)
  • 34. Оценка состояния ―Ваше курение может пагубно отразиться на моем здоровье! ...‖ – Малыш и Карлсон • Состояние (Posture) = состояние соответствия устройства политике безопасности компании. – Установлены ли на системе последние Windows-патчи? – Антивирус инсталлированный? Обновлен? – Есть ли актуальная защита от антишпионского ПО? • Сейчас мы можем расширить идентификацию пользователя/системы за счет анализа оценки состояния. • Что может проверяться? – AV/AS, Реестр, Файлы, Приложения/ Процессы, обновления Windows, WSUS и прочее. • Если не соответствует– Автоматическое приведение к безопасному статусу, предупреждение, карантин • Поддерживается NAC Agent (постоянный) и временный Web Agent
  • 35. ISE – политики состояния Политика для сотрудников: Политика для контрактников: •Установленные патчи Microsoft •Установлен любой AV с •McAfee AV инсталированный, актуальной базой запущенный с актуальными базами •Корпоративный ноутбук Гостевая политика: •Запущено корпоративное Принять соглашение, оценки состояния приложение нет, только Интернет) Коммутатор VPN Беспроводка Сотрудники Контрактники /Гости
  • 36. ISE – доступные проверки оценки состояния • Обновления Microsoft Updates Files – Service Packs – Hotfixes – OS/Browser versions • Антивирус и Антишпионское ПО Инсталляция/Сигнатуры • Данные файлов • Сервисы • Приложения/ Процессы • Ключи реестра
  • 37. ISE – установка агентов Конечный пользователь нажимает ссылку NAC Agent для установки агента. Тип и версия (постоянный) Агента определяются политикой ISE. Веб-агент (временный)
  • 38. Изменение авторизации (CoA) ―… Если друг оказался вдруг И не друг, и не враг, а – так..‖ Задача: – Вертикаль. В. Высоцкий • Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ? • Как мы повторно авторизируем порт после веб-аутентификации пользователя? Проблема: •По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом. Решение: • CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом). •CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.
  • 39. Собираем все вместе Определение политики авторизации ISE Пользователь Тип Местопо Прочие устройства ложение Оценка Время Метод доступа атрибуты
  • 40. ―-Куда? -Туда. -Зачем? -Затем‖ – Улицы разбитых фонарей Применение политик. КУДА разрешатся доступ
  • 41. Применение политик ISE Сегментация сети Метод Точка Преимущества Недостатки сегментаци применен и ия VLANS Вход • Не требует управления ACL на • Обычно требует изменения IP- порту коммутатора адресов • Предпочтельный способ изоляция • Требует распространения трафика на всем пути общих сетей VLAN по всей сети доступа. • VLANs требуют разворачивания дополнительных механизмов применения политик dACLs Вход • Не требуется изменения IP • Ограничение ресурсов • Не требуется распространения коммутатора по количеству общих VLANs в сети доступа и их записей в ACL. управление • Обеспечивает контроль доступа прямо на порту коммутатора, а не на отдельном устройстве Secure Выход • Упрощает управление ACL • Пока нет универсальной Group • Уменьшает размер политики поддержки SGA на всех Cisco- • Разделяет политику и IP- платформах Access адресацию. .
  • 42. Применение политик ISE VLANs и dACLs VLANs • Политика авторизации ISE устанавливает VLAN. Инфраструктура обеспечивает применение • Типичные примеры VLAN : • Карантин/ВостановлениеVLAN • Гостевой VLAN • VLAN сотрудников. VLAN • Обычно требует замены IP -> потенциальные проблемы с присвоение другими активностями устройства 802.1X/MAB/Web Auth dACLs • Политика авторизации ISE загружает dACL или именнованный Загрузка ACL на сетевое устройство. ACL • ACL source (any) автоматически конвертируется в адрес хоста • Не требуется изменение IP-адреса, поэтому менее болезненно сказывается на функционировании устройства.
  • 43. Применение политик ISE Пример для сотрудника в беспроводной сети • Авторизация для устройств сотрудников устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
  • 44. Применение политик ISE Пример для гостей в беспроводной сети • Авторизация для гостей устанавливает политику доступа с помощью VLAN, WLC ACL, и QoS
  • 45. Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности SGT = 100 I’m a contractor My group is HR Finance (SGT=4) HR (SGT=10) 802.1X/MAB/Web Auth SGACL Contactor & HR SGT = 100 Security Group Based Access Control • ISE связывает метки (SGT) по результатам идентификации пользователей • Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе • Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на выходе • Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для гранулированного доступа
  • 46. Применение SGT и SGACL  Уникальная метка 16 bit (65K) присваивается каждой роли Security  Представляет привилегии пользователя, устройства или Group Tag субъекта  Тегирование на входе в домен TrustSec  Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)  Правила без IP-адресов (IP адрес привязан к метке) SGACL SG  Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройстве TrustSec Преимущества  Обеспечивает политики независимые от топологии  Гибкие и масштабируемые политики основанные на роли пользователя  Централизованное управление политиками для динамического внедрения правил  Исходящая фильтрация ведет к уменьшению нагрузки на TCAM 46 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  • 47. Сценарий: сеть медицинского учреждения Security Group Security Group Пользователи (Источник) (Назначение) Сервера SGACL 100 x x 15 Doctor Medical DB (SGT 7) (SGT 10) 5x x5 IT Admin IT Portal (SGT 5) (SGT 4) 145 x x5 Staff Internal Portal (SGT 11) (SGT 9) 150 x x5 Guest Public Portal (SGT 15) (SGT 8) 47 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
  • 48. SGACL Policy on ACS / ISE 1 3 © 2011 Cisco and/or its affiliates. All rights reserved. 2 Cisco Confidential 48
  • 49. Доступ по меткам SGA. Поток трафика. SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) Коммутатор доступа SG ACL Matrix IP Address to SGT Mapping HR сервер #1 Коммутатор 10.1.200.50 ядра Коммутатор ЦОД ASA Финансы ✓ Финансы VSG Финансовый сервер#1 Финансы HR 10.1.200.100
  • 50. ―… Я требую продолжение банкета.‖ – Иван Васильевич меняет профессию Окончание первой части…
  • 51. ―… Сильвупле, дорогие гости, сильвупле. Жевупри, авеплизир. Господи, прости, от страха все слова повыскакивали..‖ – Формула Любви Управление гостевым доступом
  • 52. Управление жизненным циклом гостевого доступа Гостевой доступ – это построенный процесс, а не исключение из правил ISE Guest Server СОЗДАНИЕ УВЕДОМЛЕНИЕ Создание гостевых учетную записей Предоставление ―учетки‖ гостям Создайте одну гостевую. запись Печать учетной записи Создайте множество гостевых Отправление деталей доступа по почте записей путем импорта CSV Отправление ―учетки‖ по SMS файла Управление гостевыми записями Отчет по доступу Просмотр, редактирование или Посмотреть аудиторские отчеты приостановление действия по отдельным записям гостевых записей Управление группой гостевых Показать отчеты по записей гостевому доступу УПРАВЛЕНИЕ ОТЧЕТНОСТЬ
  • 53. Гостевой доступ по приглашению URL-REDIRECT PDP ISE Guest Server 1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер 3. Проверяется PDP наличие учетной записи на наличие в ISE 2. Гости вводят логин и пароль, GUEST Guest User созданный приглашающей Identity Store Identity Store стороной (―спонсором‖)
  • 54. ISE Guest – самостоятельная регистрация гостей URL-REDIRECT PDP ISE Guest Server 1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются на ISE Guest Portal после запуска браузера. 3. В ISE Guest PDP Identity Store создаются гостевые учетные записи 2. Гости заполняют обязательные поля для аутентификации GUEST Identity Store
  • 55. ISE Guest – самостоятельная регистрация гостей PDP ISE Guest Server 4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/пароля 6. Учетная запись PDP Internet мониторится на соответствие 5. К гостю применяется временным авторизационная политика для GUEST Интернет-доступа Identity Store ограничениям.
  • 56. Проверка и мониторинг гостевого доступа • Monitor > Authentications окно покажет все аутентификации, включая гостевые • Также можно мониторить создание/удаление/изменение гостевых записей
  • 57. Настройка гостевого портала ISE В настройках гостевого портала можно определить, что разрешается делать гостям • изменить пароль • изменить пароль при первой логине • загрузить клиента для оценки состояния • делать саморегистрацию • делать регистрацию своих устройств
  • 58. Гостевой доступ– Портал приглашающей стороны • Настраиваемый веб- портал для приглашающей стороны (―спонсоров‖ ) • Аутентификация спонсоров с помощью корпоративных учетных записей –Локальная база ISE –Active Directory –LDAP –RADIUS –Kerberos
  • 59. Эксплуатация “…. Человека по одежке встречают” -Народная мудрость
  • 60. Пользовательский интерефейс ISE : Панель управления Метрики Итоги аутентфиикации Зарегистрированные ISE ноды Information Store Оценка Классификация соответствия конечных Ошибки устройств аутентфикации Статистика уведомлений
  • 61. Мониторинг аутентификаций в ISE Живой журнал аутентификаций отображает все auth-события в единой таблице с возможностью сортировки, фильтрации и настраиваемыми колонками и пр. Ручное или автоматическое обновление данных “Живые” аутентфикации! Фильтрация Цветовая маркировка событий Детализация
  • 62. Детали аутентиф. Пример Step-by-step sequence of session events • RADIUS attributes sent Critical session details: • Matching ID stores, policies, and rules Essential session info: • Failure reason • Username and ID Store • MAC and IP Address • Switch name/address/port • Matching ISE rules • Protocols used
  • 64. Пример отчета – состояние серверов ISE
  • 65. Инструменты для поиска неисправностей в ISE
  • 66. Аудит конфигурации сетевых устройств Правильно ли настроены порты коммутатора для поддержки 802.1X, MAB, и Веб- аутентификации? Правильно ли настроен мой коммутатор для поддержки AAA и других сервисов ISE, включая оценку, профилирование и логгирование?
  • 67. Уведомления администратора (alarms) в ISE • Предопределенные и пользовательские настройки • Настраиваемое расписание уведомлений – в любое время или в интервале • Визуальное извещение на всех страницах ISE UI с быстрой детализацеий • Внешняя отсылка уведомлений через Syslog или email.
  • 69. Платформы ISE Hardwar Small Medium Large VM e Model 1121/3315 3355 3395 VMware Server v2.0 Based on the IBM System Based on the IBM System Based on the IBM System (Demos) x3250 M2 x3550 M2 x3550 M2 VMware ESX v4.0 / v4.1 VMware ESXi v4.0 / v4.1 CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor RAM 4GB 4GB 4GB 4GB (max) Disk 2 x 250-GB SATA 2 x 300-GB 2.5‖ SATA 4 x 300-GB 2.5‖ SAS I Admin: >= 60GB (500GB available) (600GB available) (600GB available) Policy Service: >= 60GB Monitoring: >= 200GB RAID No Yes: RAID 0 Yes: RAID 1 - Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet Power Single 650W 650W Redundant 650W Redundant - Node All Roles All Roles All Roles No Inline Posture Node Roles eth0 eth1 3315 eth2 eth3 3355 eth2 eth3 eth0 3395 eth1
  • 70. Роли ISE “Эта роль ругательная, я её прошу ко мне не применять!” -Иван Васильевич меняет профессию Административный узел (Admin Node) – Интерфейс для конфигурации политик Узел мониторинга (Monitor Node)) – Интерфейс для сбора событий и мониторинга Узел сервиса политик (Policy Service Node) – ―Движок‖, который общается с устройствами доступа и принимает решения по доступу на основе политик
  • 71. Узлы и роли ISE Единый ISE узел (устройство или VM) ISE Роли – одна или несколько: Admin Monitoring Policy Service •Администрирование •Мониторинг •Сервис политик ИЛИ Отдельный узел в ISE режиме Inline для оценки состояния Inline (только Posture устройство)
  • 72. Архитектура ISE Мониторинг Журналирование Журналирование Просмотр журналов/ отчетов Сервис Внешние Админ Просмотр/ политик Запрос данные Настройка атрибутов Политик Запрос/ ответ Журналирование контекста доступа Применение Устройства Ресурсы Запрос на политики Доступ к доступ ресурсам
  • 73. Отказоустойчивость узла управления и синхронизация • Изменения, внесенные в первичном узле администрирования, автоматически синхронизируются с Вторичный узлом администрирования и всеми узлами сервисами политик. Admin Node Policy Service (Secondary) Node Policy Sync Policy Service Admin Node Node (Primary) Policy Sync Policy Service Администратор Node Logging Monitoring Monitoring Node Node (Primary) (Secondary)
  • 74. Отказоустойчивость узла управления и синхронизация • В случае выхода из строя Основного Административного узла пользователь-администратор может подключиться к Вторичному Административному узлу; все изменения на вторичном узле будут автоматически синронизироваться на сервера Сервиса Политик • Вторичный Административный Узел должен быть вручную переведен в Первичный режим. Admin Node Policy Service (Secondary -> Primary) Node Policy Sync Policy Service X Admin Node Node (Primary) Policy Service Admin Node User Logging Monitoring Monitoring (Primary) (Secondary)
  • 75. Мониторинг – Распределенный сбор журналов • ISE поддерживает распределенный сбора журналов по всем узлам для оптимизации сбора, агрегации, и централизованные корреляцию и хранение событий. • Local Collector Agent работает на каждом узле ISE и собирает свои события локально. В дополнение Local Agent на узле с Сервисом Политик собирает журналы связанных сетевых устройств. NADs Netflow Policy Services Monitoring External Log SNMP (Collector (Collector) Servers Syslog Agent)
  • 76. Масштабирование узлов Сервиса Политик и отказоустойчивость • Сетевые устройства доступа (NADs ) могут быть настроены на отказоустойчивые RADIUS сервера (узлы Сервиса Политик). • Узлы сервиса политик могут быть настроены в кластер или ―группу узлов‖ позади балансировщика. NADs шлет запросы на виртуальный IP кластера Administration Node Administration Node (Primary) (Secondary) Policy Services Policy Node Group Replication AAA connection Switch Switch Load Balancers Network Access Devices
  • 77. Масштабируемость Разворачиваем все сервисы на едином устройстве • Максимальное число устройств (endpoints) для 33x5 серверов – 2000 устройств • Отказоустойчивая конфигурация – два узла ISE ISE Admin Admin Monitoring Monitoring Policy Service Policy Service
  • 78. Масштабируемость Распределенное внедрение Выделенные узлы для Сервиса Политик Платформа Максимальное События Оценка число профайлера состояния устройств ISE-3315-K9 3,000 500 per/sec 70 per/sec ISE-3355-K9 6,000 500 per/sec 70 per/sec ISE-3395-K9 10,000 1,200 per/sec 110 per/sec
  • 79. Масштабируеомость Распределенное внедрение Admin + Monitoring размещены на единой паре серверов Admin Admin • 2 x Admin+Mon Mon Mon • Максимально 5 серверов Сервиса Политик • Максимально 50k конечных Policy Svcs устройств (3395) Policy • Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Сервисов Политик N+1
  • 80. Масштабируеомость Распределенное внедрение Admin + Monitoring размещены на выделенных парах серверов Admin Mon • 2 x Admin+2 x Mon Admin • Максимально 40 серверов Admin Mon Mon Admin Mon Сервиса Политик • Максимально 100k конечных Policy Svcs устройств Policy • Рекомендованная Svcs Policy Svcs Policy Svcs отказоустойчивость узлов Policy Svcs Policy Svcs Сервисов Политик N+1
  • 81. Варианты внедрения для распределенных сетей Централизованное Географически- внедрение распределенное внедрение  Все роли ISE внедрены на  Роли ISE распределены между едином сайте разными сайтами
  • 82. Оценка распределенного внедрения Спецификация объема генерируемого служебного трафика  ОтказоустойчивостьWAN влияет на доступность сервисов ISE  Насколько надежны ваши WAN каналы  Насколько критичны удаленные устройства в филиалах Необходимость удаленного внедрения часто диктует требования наличия одного или двух узлов Сервиса Политик на удаленном сайте
  • 83. Руководство по виртуализации ISE  Спецификация для запуска ISE в VM– смотрите спецификацию платформ для ISE Спецификация хоста должна быть аналогичной или лучше, чем спецификация устройства ISE для заданного числа конечных устройств (endpoints)  Если спецификация хоста эквивалентна спецификации устройства ISE, рекомендовано запускать единственную VM на хосте  ISE VMs обязаны размещаться на поддерживаемых ESX системах
  • 84. Поддерживаемые устройства доступа (NADs) Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA Access Switches Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔ Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔ Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES2 Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔ Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔ Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔ Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3560-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ ISR EtherSwitch ES3 Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Data Center Switches Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔ Wireless WLAN Controller 7.0.114.4 (RADIUS CoA) - ✔ ✔ ✔ ✔ ✔ WLC2100, 4400, 5500 *Named ACLs only on WLC WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔ Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS . Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для расширенных функций
  • 85. Режим работы ISE Inline Posture • Узел ISE предоставляет возможность применение политик на пути трафика (inline posture) для сетевых устройств, которые не поддерживают Radius CoA. • Основные сценарии внедрения – это VPN-шлюзы и контроллеры беспроводной сети без поддержки CoA. • Узлы ISE располагаются на пути трафика между сетевым устройством доступа и защищаемым ресурсом (подобно NAC Inband Appliance) • Узлы в режиме Inline поддерживают: – Функции RADIUS Proxy и CoA – Применение политик с помощью dACLs – Режимы Bridged или Routed – L2 или L3 удаленность к сетевому устройству – Отказоустойчивость Active/Standby Замечание: Узел Inline Posture Node это только прокси для RADIUS. Поэтому сетевое устройство должно использовать протокол RADIUS для аутентификации с ISE .
  • 86. Узел ISE в режиме Inline Posture Примеры логических топологий Подключение VPN-концентратора eth1 eth0 Доверенная Интернет сеть VPN ASA L3 Switch ISE Inline Сервис Политик пользователь Posture 1)RADIUS auth для ASA VPN Проводное узел 2)Auth/Posture ддя узла подключение Inline Posture Подключение WiFi-сетей третьих производителей eth1 eth0 Доверенная сеть Беспроводной AP Third Party ISE Inline L3 Switch Сервис Политик пользователь Controller Posture 1)802.1X auth для WLC 2)Auth/Posture для узла Wireless Проводное узел Inline Posture Node подключение
  • 87. TrustSec 2.0 в действии Identity features Policy and Security services • 802.1X, MAB, Web Auth • Profiling – categorization of • Flex Auth devices • Flexible deployment • Posture – assurance of modes– monitor mode, compliance to health low impact, high security • Guest – guest management Guest Server Posture SXP Profiler Wireless user Cisco ISE Campus Network Wired user MACSec Cisco® Cat 6K Nexus® 7K, 5K and 2K Catalyst® Switch Switch Data Center Site-to- Cisco® site VPN WAN ASR1K user Cisco® Egress Enforcement ISR G2 with integrated switch Campus Aggregation or DC enforcement: SGACL on Cat 6K or Nexus 7K Data Integrity & Ingress Authorization Alternative Ingress Confidentiality & Enforcement Authorization or Switches and WAN MACSec encryption VLANs, ACLS – AC, Cat 3K, aggregation router: Cat4K, Cat6K, N7K SGTs (data plane) SXP (control plane)
  • 88. Пакеты и лицензирование в ISE Wireless Upgrade License (ATP) Расширяем политику на проводные и & VPN устройства Лицензия для беспроводного Политики для беспроводных устройств Лицензия на 5 лет Базовая лицензия (ATP) Расширенная лицензия (ATP) Политики для всех видов устройств Политики для всех видов устройств Постоянная лицензия Лицензия на 3/5 лет • Аутентификация / Авторизация • Профилирование устройств • Гостевой доступ • Оценка состояния • Политики для MACSec • Доступ по группам безопасности Платформы Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance
  • 89. ISE Активное сканирование устройств ISE дополняет пассивную сетевую телеметрию активным сканированием устройств Cisco IOS Сетевая инфраструктура обеспечивает получает встроенный функционал сенсора для встроенный классификации устройств. набор сенсоров Дополнительное ―ухо‖ для ISE (SNMP/LLDP, HTTP, DHCP, eи) Версия ISE 1.1 включают поддержку интернационализации и русский интерфейс для гостевого портала и агентов
  • 90. Сценарии на ISE “Все будет Айс!” Перспектива Перспектива Сценарии Раньше 1 год 2 года Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE Контроль беспроводного Cisco ACS Cisco ISE Cisco ISE доступа Cisco NAC Контроль доступа с SNMP appliance Cisco NAC Cisco ISE Cisco NAC Гостевой доступ Guest Cisco ISE Cisco ISE Cisco ISE Оценка состояния (NAC) Cisco NAC Cisco ISE Cisco NAC Профилирование устройств Profiler Cisco ISE Cisco ISE Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE Контроль администраторов Cisco ACS Cisco ACS Cisco ISE
  • 91. ISE – ключевые отличия “Память памятью, а повторить никогда не мешает.” - Семнадцать мгновений весны Доступ в сеть на основании Интегрированные оценка Управление гостевым контекста состояния и профилирование доступом ACCESS USER ID LOCATION RIGHTS DEVICE (& IP/MAC) Поддержка устройств и ПО ВСЕХ популярных вендоров Тесная интеграция ISE в Упрощенный ролевой доступ Масштабирование Сеть SGT Public Private Staff Permit Permit Guest Permit Deny Упрощение больших политик Масштабируемые архитектура безопасности и лицензирование
  • 93. Спасибо! Просим Вас оценить эту лекцию. Ваше мнение очень важно для нас.