Управление доступом в сеть – развитие архитектуры cisco...
DESCRIPTION
TRANSCRIPT
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Владимир Илибман
Менеджер по продуктам безопасности
Октябрь 2013
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 2
Тема выступления
• Как эволюционируют требования к управлению
доступом в сеть и архитектура безопасности
• Какие сценарии управления доступом могут возникать в типичной организации
На примере одной организации рассмотрим:
Архитектура управления доступом в сеть Trusted Security (TrustSec)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 4
Что же такое TrustSec ?
Можете рассматривать TrustSec как управление доступа в сеть нового поколения “Next-Generation NAC”
TrustSec это системный подход к контролю доступа, который объединяет:
- IEEE 802.1X (Dot1x)
- Технологии профилирования
- Гостевые сервисы
- Метки безопасности (Secure Group )
- Канальное шифрование MACSec (802.1AE)
- Network Admission Control
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 5
Архитектура Cisco TrustSec. Сервисы
“Кто” и “Что”
находится в моей
сети?
“Куда” cмогут
иметь доступ
пользователи/уст
ройства?
Защищены ли
сетевые
коммуникации?
Идентификация и Аутентификация
802.1X, Веб-Аутентификация, MAC-адреса, Профилирование
Авторизация и Контроль доступа
Целостность данных и конфиденциальность
VLAN DACL Security Group
Access
MACSec (802.1AE)
ПОЛИТИКА БЕЗОПАСНОСТИ
Identity
Firewall
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 6
Контроль доступа TrustSec Основные компоненты
Коммутаторы Межсетевые
экраны
Identity Services Engine (ISE)
NAC агент Web-агент или
браузер
AnyConnect или
встроенный в ОС
клиент 802.1x
Клиент
Применение
политик
Идентификация и
управление
сервисами доступа
WiFI Маршрутизаторы
И так начинаем наше знакомство…
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 8
Компания Гудвей-X
Компания Гудвей-X -
Ритейлер,
Банк,
Промышленный холдинг,
Агрохолдинг,
Страховая компания.
Бизнес-кейс
Айк –
IT-менеджер
отвечает за работу сети
Зак –
Менеджер
по информационной
безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 9
В компании Гудвей-X назрела проблема
Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри.
Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли.
Бизнес-кейс
Решение: Система контроля доступа 802.1X
Описание задач для Айка:
1. Необходимо журналировать подключения в сеть
2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 10
Нет видимости (пока)
Жесткий контроль доступа
Весь трафик кроме служебного 802.1x
блокируется !
One Physical Port ->Two Virtual ports
Uncontrolled port (EAPoL only)
Controlled port (everything else)
До аутентификации
?
USER
?
Настройка по-умолчанию с 802.1X
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 11
Пользователь/Устройство известны
Доступ только для MAC-адреса
устройства прошедшего
аутентификацию
После аутентификации
Выглядит также как
и без 802.1X
Пользователь: Маша
“Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS.
Задача решена!” подумал Айк.
?
Authenticated Machine: XP-Mary-45
Настройка по-умолчанию с 802.1X
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 12
Что случилось дальше ?
@ Гудвей-X, ДО появления режима мониторинга…
Я не могу соединиться с сетью.
Она говорит что Аутентификация не
пройдена и я не знаю что делать, через два часа у
меня презентация…
Я протестировал дома конфигурацию,
все выглядит отлично. Завтра я включаю 802.1x в
продакшн…
Включает 802.1X
Звонки в службу поддержки увеличились на 120%
Айк
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 13
Чего не хватало Айку?
Некорректно внедренный 802.1x – это система контроля предотвращения доступа
- Необходим режим мониторинга
- Должен существовать метод анализа удачных и неудачных соединений
Для того чтобы устранить проблемы до перевода системы 802.1x в более сильный режим контроля.
Внедрение 802.1x лучше начинать с:
- Monitoring Mode (Режим мониторинга 802.1x )
И продолжать в режиме
- Enforcement Mode (Принудительный режим 802.1x)
Какие уроки мы извлекли?
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 14
Режим мониторинга
Процесс, не просто режим.
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL Permit All
Traffic always allowed
Pre-AuthC Post-AuthC
• Активирует 802.1X Аутентификацию на коммутаторе
• Но: Даже при ошибке аутентификации разрешает доступ
• Позволяет администратору мониторить неудачные аутентификации и
исправлять, не создавая отказ в обслуживании
• Режим мониторинга позволяет идентифицировать
пользователей/устройства - Задача №1
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 15
Принудительный режим
Если аутентификация верна – Особый доступ!
• До аутентификации обеспечивается доступ к базовым сетевым
сервисам (AD, DNS, портал)
• После успешной аутентификации предоставляется особый доступ,
который привязывается к роли сотрудника
• Назначается ролевое правило доступа (ACL)
• Назначается метка безопасности
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
SWITCHPORT
KRB5 HTTP
TFTP DHCP
EAPoL
Role-Based ACL Permit Some
Pre-AuthC Post-AuthC
SGT
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 16
Отсутствие отчетности со стороны супликанта
- Когда все в порядке – пользователь не в курсе.
- Но когда все перестает работать…
Пользователь видит “Authentication Failed” сообщение и всё.
Отсутствие видимости. Только звонок в службу поддержки
Решение: Сторонние супликанты
- Cisco’s AnyConnect Supplicant
Предоставляет утилиту для репортинга (DART)
Детализированные логи с клиентской стороны
1
6
Чего не хватало Айку? Какие уроки мы извлекли?
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 17
Чего не хватало Айку?
Отсутствие видимости на Radius сервере - ACS 4.x
Какие уроки мы извлекли?
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 18
Чего не хватало Айку?
Решение: ACS VIEW Identity Services Engine (ISE)
Какие уроки мы извлекли
1
8
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 19
Чего не хватало Айку? -
Детализация удачных и неудачных попыток доступа в Cisco ISE
1
9
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 20 2
0
Чего нам не хватало? Детальный вид активных сессий и наложенных политик в Cisco ISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 21
Чего не хватало Айку?
Айк забыл об устройствах без поддержки 802.1x
- Принтеры, IP Телефоны, Камеры, СКУД
Какие уроки мы извлекли?
Решение? Не использовать 802.1х на портах с принтерами
Ну а что если устройство переедет ?
Решение: MAC Authentication Bypass (MAB) – централизованная в Cisco ISE база MAC-адресов, которые мы пускаем в сеть без аутентификации по 802.1x
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 22
Бизнес кейс продолжает изменяться
Требования:
1. Гудвей-X должен быть уверен в том, что только сотрудники Ритейлер-Х получают доступ к сети.
- Решения: Идентификация с помощью 802.1X
2. Устройства без поддержки 802.1x должны иметь доступ к сети.
- Решение: Централизованный MAB
Требуется автоматизировать построение списка MAB устройств!
Айк: -“Таких устройств очень
много. И они обновляются”
Зак: -“А что если MAC-адрес
принтера подставит
злоумышленник на свой ноутбук ?”
Решение есть !!! Профилирование
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 24
Профилирование
Видимость PCs Non-PCs
UPS Phone Printer AP
Идентификация типа устройств и добавление их в список MAB.
Пример: Printer = Bypass Authentication
Построение политики авторизации на основе типа устройства
Пример: Принтер= VLAN для принтеров
Видимость: Видимость того, что включено в Вашу сеть.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 25
Технология профилирования
Профилирование на ISE использует аналоги сигнатуры
Запросы, используемые для сбора данных
Как мы классифицируем устройство?
25
RADIUS
DHCP
DNS
HTTP SNMP Query
NetFlow
DHCPSPAN SNMP Trap
NMAP
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 26
Политики профилирования
Политики профиля используют условия для определения устройства.
Политики основаны на принципе наилучшего совпадения
Is the MAC
Address from
Apple
DHCP:host-
name
CONTAINS iPad
IP:User-Agent
CONTAINS iPad
Profile Library
Назначить
MAC Address к
группе “iPad”
Я вполне
уверен что
устройство -
iPAD
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 27
Сенсор устройств
• Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS
• Автоматическое обнаружение многих устройств (Printers, Cisco devices, телефоны, планшеты) на коммутаторе/WiFi
• Не зависит от топологии
Распределенный сбор данных с централизованным анализом
Device Sensor Distributed Probes
ISE
Поддержка сенсора
• 2960-X, 2960-XR
• 3560/3750
• 3560C/CG
• 3850*
• 4500
• Wireless Controllers
• * roadmap
CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP
Эволюция бизнес-кейса
Зак:
“Гости подключаются в WiFi под одним
паролем. Это небезопасно”
Айк
“Для каждого контрактника в ручную
выделяется порт на коммутаторе”
Нужно упорядочить и автоматизировать процесс гостевого подключения!
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 29
Wireless
APs
LAN
Internet
Требования гостевых пользователей
WLC
Айк хочет унифицировать подключения
гостей и контрактников в сеть
И при этом, чтобы все было безопасно !
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 30
Предоставление: Гостевые аккаунты по средствам спонсорского портала
Уведомление: Аккаунты отсылаются через печать, email, или SMS
Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал
Отчетность: По всем аспектам гостевых учетных записей
Guests
Cisco ISE Компоненты полного жизненного цикла гостя
Аутентификация/Авторизация Посредством веб-портала ISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 31
ISE – Спонсорский портал
Настраиваемые
поля
• Обязательные и
опциональные
• Можно создавать
собственные
атрибутов
Гостевые роли и
профили времени
• Предопределены
администратором
Айк делегировал доступ к порталу спонсорам секретарю
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 32
Разные гостевые роли
Когда требуются разные пользовательские роли
Гость
• Только интернет доступ
• Ограниченное время:
Половина дня / один день
Контрактник
• Доступ в интернет
• Доступ к выделенным
ресурсам
• Длительное время
соединения:
неделя / месяц
Можно использовать разные порталы (даже с разной локализацией)
И создавать отдельно группы Гости/Контрактники с разными правами
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 33
Полный аудит гостевого жизненного цикла
Эволюция бизнес кейса: B.Y.O.D.
“Наш генеральный поехал на
саммит и выиграл iPad.
Он требует чтобы мы разрешили
ему доступ в сеть потому как это
устройство помогает ему в работе”
Айк
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 35
Требования к BYOD
Зак (Безопасность)
•Как ограничить, кто
из сотрудников
имеет право на
BYOD ?
•Как защититься в
случае потери или
увольнения Как
избежать утечки ?
Айк (IT):
•Как поддерживать
увеличенное кол-во
устройств ?
•Кто будет
настраивать ?
•Кто будет
согласовывать с
безопасностью ?
Бизнес:
• Подключите мой
планшет и дайте
доступ к Facebook
бизнес-приложениям
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 36
Что предлагает ISE для управления персональными устройствами
Автоматическая
настройка множества
типов устройств: iOS (post 4.x)
MAC OSX (10.6, 10.7)
Android (2.2 and later)
Windows (XP, Vista,
Win7K, Win8)
Безопасность
на основе
cертификата
привязанного к
Employee-ID &
Device-IDSE
Поддержка всех
сетевых
подключений
Занесение устройств в
“черный” при хищении,
увольнении
Самообслуживание
персональных устройств
для авторизированных
сотрудников
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 37
Подключил в гостевую сеть и ввел доменный логин и пароль
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 38
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 39
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 40
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 41
Для администраторов и безопасности IT гибкие настройки кому и и какие устройства можно подключать
User OS Supplicant
41
Эволюция бизнес кейса: Mobile Device Management
Можем ли мы частично управлять
устройствами сотрудников?
Например обновить удаленно Джаббер
Айк
Можем ли мы проверить наличие
пароля перед тем как включить
планшет в сеть ?
Зак
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
Распространение корпоративного ПО
Инвентаризация
Управление
(Backup, Remote Wipe, etc.)
Контроль использования
сетевых ресурсов Классификация/
Профилирование
Регистрация
Безопасный сетевой доступ (Wireless, Wired, VPN)
Управление сетевым доступом на основе
контекста
Настройка профилей
безопасности устройства
User <-> Device Ownership
Соответствие политике (Jailbreak, Pin Lock, etc.)
Шифрование данных
СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ
(MDM)
Пользователи и IT совместно управляют устройством и доступом
Пользователь управляет устройством IT управляет доступом в сеть
Управление затратами
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
ISE MDM Manager
Регистрация устройств при включении в сеть –
незарегистрированные клиенты направляются на страницу
регистрации MDM
Ограничение доступа - не-соответствующие клиенты будут
иметь ограниченный доступ в сеть, исходя из информации
полученной от систем MDM
Инициация действий через интерфейс ISE – например
устройство украдено-> очистить данные на устройстве
Сбор дополнительной информации про устройство
дополняет функции классификации и профилирования ISE
Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 45
MDM проверка соответствия
Соответствие на основании:
- General Compliant or ! Compliant status
OR
- Вкл. Шифрование диска
- Парольная защита вкл.
- Jailbreak устройства
MDM атрибуты доступны для условий политик
Проверка устройств по базе MDM происходит через определенные промежутки времени.
- Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства.
Micro level
Macro level
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 46
Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)
- Портал мои устройств
- ISE Каталог устройств
• Edit
• Reinstate
• Lost?
• Delete
• Full Wipe
• Corporate Wipe
• PIN Lock
Options
Эволюция бизнес кейса:
Метки безопасности
Можно ли использовать информацию
от ISE для построения политик
безопасности на файерволах ?
Зак
После модернизации сети поменялись IP-
адреса. Можно как строить политику
безопасности без привязки к сетевым
адресам и VLAN?
Айк
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 48
Применение SGT и SGACL
SGACL SG
Security Group Tag
1. Когда пользователь/устройство заходит в сеть ему
назначается метка безопасности (SGT), которая обозначает
его роль
2. Эта метка переносится по всей сети
3. Коммутаторы и межсетевые экраны применяют политику по
меткам Security Group Access List
Гибкие политики независимы от топологии и IP-адресации
Метки основаны на роли пользователя и состоянии/типе устройства
Метки значительно уменьшают кол-во правил и нагрузку на
коммутаторы и МСЭ
Преимущества SGT Public Private
Staff Permit Permit
Guest Permit Deny
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 49
Передача меток по сети
HR
Server #1
10.1.200.50
Finance Server
#1
10.1.200.100
VSG
ASA
10.1.200.254
10.1.204.254 6506
Finance
Finance
Finance
HR
✓
10.1.204.126
Nexus 7000
Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Nexus 7000
Core VDC
For Your Reference
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 50
Identity-Based Firewall следующего поколения
Контроль доступа на основе группы безопасности для ASA
50
Source Tags Destination
Tags
Переходим к реальному кейсу Создаем систему из всех этих технологий
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 52
TrustSec собирает все воедино
TrustSec
Профилирование
BYOD
MDM
NAC
MacSec
SGT
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 53
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
ISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 54
ISE
Что же такое Identity Services Engine?
ISE это больше чем просто RADIUS
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 55
Вопросы?
Канал Cisco Russia & CIS на Youtube
http://www.youtube.com/playlist?list=PL59B700EF3A2A945E
Канал TrustSec на Cisco.com
www.cisco.com/go/trustsec
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public BRKSEC-2022 56
Thank you. Спасибо !!