Новые возможности cisco ise 1.2 для защиты корпоративной...
TRANSCRIPT
![Page 1: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/1.jpg)
Новые возможности Cisco ISE 1.2 для
защиты корпоративной сети и мобильных
устройств.
Практический опыт.
Владимир Илибман
Менеджер по продуктам безопасности
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
![Page 2: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/2.jpg)
Тема презентации
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 2
• Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности
• Какие сценарии управления доступом могут возникать в типичной организации
На примере одной организации рассмотрим:
![Page 3: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/3.jpg)
Что же такое TrustSec ?
Можете рассматривать TrustSec как управление доступа в сеть
нового поколения “Next-Generation NAC”
TrustSec это системный подход к контролю доступа, который
объединяет:
IEEE 802.1X (Dot1x)
Технологии профилирования
Гостевые сервисы
Метки безопасности (Secure Group )
Канальное шифрование MACSec (802.1AE)
Network Admission Control
![Page 4: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/4.jpg)
Архитектура Cisco TrustSec. Сервисы
“Кто” и “Что”
находится в моей
сети?
“Куда” cмогут
иметь доступ
пользователи/уст
ройства? Защищены ли
сетевые
коммуникации?
Идентификация и Аутентификация
802.1X, Веб-Аутентификация, MAC-адреса, Профилирование
Авторизация и Контроль доступа
Целостность данных и конфиденциальность
VLAN DACL Security Group
Access
MACSec (802.1AE)
ПОЛИТИКА БЕЗОПАСНОСТИ
Identity
Firewall
![Page 5: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/5.jpg)
Контроль доступа TrustSec
Основные компоненты
Коммутаторы Межсетевые
экраны
Identity Services Engine (ISE)
NAC агент Web-агент или
браузер
AnyConnect или
встроенный в ОС
клиент 802.1x
Клиент
Применение
политик
Идентификация и
управление
сервисами доступа
WiFI Маршрутизаторы
![Page 6: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/6.jpg)
И так начинаем наше знакомство…
![Page 7: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/7.jpg)
Компания Гудвей-X
Компания Гудвей-X -
Ритейлер,
Банк,
Промышленный холдинг,
Агрохолдинг,
Страховая компания.
Бизнес-кейс
Айк –
IT-менеджер
отвечает за работу сети
Зак –
Менеджер
по информационной
безопасности
![Page 8: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/8.jpg)
В компании Гудвей-X назрела проблема
Внешний аудит показал, что в компании не существует
контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и
поручил Айку внедрить контроли.
Бизнес-кейс
Решение: Система контроля доступа 802.1X
Описание задач для Айка:
1. Необходимо журналировать подключения в сеть
2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
![Page 9: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/9.jpg)
Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
До аутентификации
?
USER
?
Настройка по-умолчанию с 802.1X
![Page 10: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/10.jpg)
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
Выглядит также как
и без 802.1X
Пользователь: Маша
“Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS.
Задача решена!” подумал Айк.
?
Authenticated Machine: XP-Mary-45
Настройка по-умолчанию с 802.1X
![Page 11: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/11.jpg)
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я не могу соединиться с сетью.
Она говорит что Аутентификация не
пройдена и я не знаю что делать, через два часа у
меня презентация…
Я протестировал дома конфигурацию,
все выглядит отлично. Завтра я включаю 802.1x в
продакшн…
Включает 802.1X
Звонки в службу поддержки увеличились на 120%
Айк
![Page 12: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/12.jpg)
Чего не хватало Айку?
Некорректно внедренный 802.1x – это система контроля предотвращения доступа
Необходим режим мониторинга
Должен существовать метод анализа удачных и неудачных соединений
— Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля.
Внедрение 802.1x лучше начинать с:
Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
Enforcement Mode (Принудительный режим 802.1x)
Какие уроки мы извлекли?
![Page 13: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/13.jpg)
Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
Traffic always allowed
Pre-AuthC Post-AuthC
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1
![Page 14: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/14.jpg)
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
Role-Based ACL Permit Some
Pre-AuthC Post-AuthC
SGT
![Page 15: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/15.jpg)
Отсутствие отчетности со стороны сапликанта
Когда все в порядке – пользователь не в курсе.
Но когда все перестает работать…
— Пользователь видит “Authentication Failed” сообщение и всё.
— Отсутствие видимости. Только звонок в службу поддержки
Решение: Сторонние супликанты
Cisco’s AnyConnect Supplicant
— Предоставляет утилиту для репортинга (DART)
— Детализированные логи с клиентской стороны
15
Чего не хватало Айку? Какие уроки мы извлекли?
![Page 16: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/16.jpg)
Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
![Page 17: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/17.jpg)
Чего не хватало Айку?
Решение: ACS VIEW Identity Services Engine (ISE)
Какие уроки мы извлекли
17
![Page 18: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/18.jpg)
Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE
18
![Page 19: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/19.jpg)
19
Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE
![Page 20: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/20.jpg)
Чего не хватало Айку?
Айк забыл об устройствах без поддержки 802.1x
Принтеры, IP Телефоны, Камеры, СКУД
Какие уроки мы извлекли?
Решение? Не использовать 802.1х на портах с принтерами
Ну а что если устройство переедет ?
Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
![Page 21: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/21.jpg)
Бизнес кейс продолжает изменяться
Требования:
1. Гудвей-X должен быть уверен в том, что только сотрудники
Ритейлер-Х получают доступ к сети.
Решения: Идентификация с помощью 802.1X
2. Устройства без поддержки 802.1x должны иметь доступ к
сети.
Решение: Централизованный MAB
Требуется автоматизировать построение списка MAB устройств!
Айк: -“Таких устройств очень много. И они
обновляются”
Зак: -“А что если MAC-адрес принтера
подставит злоумышленник на свой ноутбук ?”
![Page 22: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/22.jpg)
Решение есть !!!
Профилирование
![Page 23: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/23.jpg)
Профилирование
Видимость PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
![Page 24: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/24.jpg)
Технология профилирования
Профилирование на ISE использует аналоги сигнатуры
Запросы, используемые для сбора данных
Как мы классифицируем устройство?
24
RADIUS
DHCP
DNS
HTTP SNMP Query
NetFlow
DHCPSPAN SNMP Trap
NMAP
![Page 25: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/25.jpg)
Политики профилирования
• Политики профиля используют условия для определения устройства.
• Политики основаны на принципе наилучшего совпадения
Is the MAC
Address from
Apple
DHCP:host-
name
CONTAINS iPad
IP:User-Agent
CONTAINS iPad
Profile Library
Назначить
MAC Address к
группе “iPad”
Я вполне
уверен что
устройство iPAD
![Page 26: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/26.jpg)
26
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS
• Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi
• Не зависит от топологии
Device Sensor Distributed Probes
ISE
Поддержка сенсора
• 2960-X, 2960-XR
• 3560/3750
• 3560C/CG
• 3850*
• 4500
• Wireless Controllers
• * roadmap
CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP
Сенсор устройств
Распределенный сбор данных с
централизованным анализом
![Page 27: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/27.jpg)
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним паролем. Это небезопасно”
Айк
“Для каждого контрактника в ручную выделяется порт на
коммутаторе”
Нужно упорядочить и автоматизировать процесс гостевого подключения!
![Page 28: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/28.jpg)
Wireless APs
LAN Internet
Требования гостевых пользователей
WLC
Айк хочет унифицировать подключения
гостей и контрактников в сеть
И при этом, чтобы все было безопасно !
![Page 29: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/29.jpg)
Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал
Отчетность: По всем аспектам гостевых учетных записей
Guests
Cisco ISE
Компоненты полного жизненного цикла гостя
Аутентификация/Авторизация Посредством веб-портала ISE
![Page 30: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/30.jpg)
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
атрибутов Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
![Page 31: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/31.jpg)
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным ресурсам
• Длительное время соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
![Page 32: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/32.jpg)
Полный аудит гостевого жизненного цикла
![Page 33: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/33.jpg)
Эволюция бизнес кейса:
B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему доступ в сеть потому как это
устройство помогает ему в работе”
Айк
![Page 34: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/34.jpg)
Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто из
сотрудников имеет
право на BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
•Как поддерживать
увеличенное кол-во
устройств ?
•Кто будет настраивать ?
•Кто будет согласовывать
с безопасностью ?
Бизнес:
• Подключите мой планшет
и дайте доступ к Facebook
бизнес-приложениям
![Page 35: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/35.jpg)
Что предлагает ISE для управления персональными устройствами
Автоматическая
настройка множества
типов устройств: iOS (post 4.x)
MAC OSX (10.6, 10.7)
Android (2.2 and later)
Windows (XP, Vista,
Win7K, Win8)
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-IDSE
Поддержка всех
сетевых
подключений
Занесение устройств в
“черный” при хищении,
увольнении
Самообслуживание
персональных устройств
для авторизированных
сотрудников
![Page 36: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/36.jpg)
Для сотрудника все просто…
Подключил в гостевую сеть и ввел доменный логин и пароль
![Page 37: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/37.jpg)
… Прошел регистрацию
![Page 38: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/38.jpg)
… получил конфигурацию и сертификаты
![Page 39: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/39.jpg)
Можно управлять “Моими устройствами”
![Page 40: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/40.jpg)
Для администраторов безопасности и IT гибкие настройки кому и и какие устройства можно подключать
User OS Supplicant
![Page 41: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/41.jpg)
Эволюция бизнес кейса:
Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
![Page 42: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/42.jpg)
Распространение корпоративного ПО
Инвентаризация
Управление
(Backup, Remote Wipe, etc.)
Контроль использования
сетевых ресурсов Классификация/ Профилирование
Регистрация
Безопасный сетевой доступ (Wireless, Wired, VPN)
Управление сетевым доступом на основе
контекста
Настройка профилей
безопасности устройства
User <-> Device Ownership Соответствие политике
(Jailbreak, Pin Lock, etc.)
Шифрование данных
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Позиционирование ISE и MDM
Пользователи и IT совместно управляют устройством и доступом
Пользователь управляет устройством IT управляет доступом в сеть
Управление затратами
![Page 43: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/43.jpg)
ISE 1.2 поддерживает интеграцию c MDM ISE MDM
Manager
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
![Page 44: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/44.jpg)
MDM проверка соответствия
Соответствие на основании:
General Compliant or ! Compliant status
— OR
Вкл. Шифрование диска
Парольная защита вкл.
Jailbreak устройства
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит через определенные промежутки времени.
Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
MDM –источник информации для ISE
Micro level
Macro level
![Page 45: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/45.jpg)
Инициация действий через MDM
45
Администратор / пользователь может
инициировать удаленные действия на
устройстве через MDM сервер
(пример: удаленно стереть устройство)
Портал мои устройств
ISE Каталог устройств
• Edit
• Reinstate
• Lost?
• Delete
• Full Wipe
• Corporate Wipe
• PIN Lock
Options
![Page 46: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/46.jpg)
Эволюция бизнес кейса:
Метки безопасности
Можно ли использовать информацию от ISE
для построения политик безопасности на
файерволах ?
Зак
После модернизации сети поменялись IP-адреса. Можно как
строить политику безопасности без привязки к сетевым
адресам и VLAN?
Айк
![Page 47: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/47.jpg)
Применение SGT и SGACL
SGACL SG
Security Group Tag
1. Когда пользователь/устройство заходит в сеть ему назначается
метка безопасности (SGT), которая обозначает его роль
2. Эта метка переносится по всей сети
3. Коммутаторы и межсетевые экраны применяют политику по
меткам Security Group Access List
Гибкие политики независимы от топологии и IP-адресации
Метки основаны на роли пользователя и состоянии/типе устройства
Метки уменьшают кол-во правил и нагрузку на коммутаторы и МСЭ
Преимущества:
SGT Public Private
Staff Permit Permit
Guest Permit Deny
![Page 48: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/48.jpg)
Передача меток по сети
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254 6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000
Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
For Your Reference
![Page 49: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/49.jpg)
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA
49
Source Tags Destination
Tags
![Page 50: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/50.jpg)
Identity-Firewall на коммутаторах
50
![Page 51: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/51.jpg)
Переходим к реальному кейсу
Создаем систему из всех этих технологий
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 51
![Page 52: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/52.jpg)
TrustSec собирает все воедино
TrustSec
Профилирование
BYOD
MDM
NAC
MacSec
SGT
![Page 53: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/53.jpg)
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
![Page 54: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/54.jpg)
Что же такое Identity Services Engine?
ISE это больше - чем просто RADIUS
ISE
![Page 55: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/55.jpg)
Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cisco.com
www.cisco.com/go/trustsec
![Page 56: Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных устройств. Практический опыт](https://reader031.vdocuments.site/reader031/viewer/2022012405/5575c571d8b42a312a8b4d51/html5/thumbnails/56.jpg)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Contacts:
Name
Phone