Transcript Безопасность сетевого доступа. Архитектура Cisco TrustSec.
Slide 1
Безопасность сетевого доступа.
Архитектура Cisco TrustSec.
Андрей Гиль
ООО «Мобильный сервис»
[email protected]
Slide 2
Зачем нужен TrustSec?
• Обеспечивает контроль доступа в
масштабах всей сети
• Добавляет гибкость и масштабируемость
безопасности сети
• Повышает уровень защищенности и
контроля сети
Slide 3
Идентификация
•
•
•
•
NAC нового поколения
Кто/Что/Откуда/Когда и Как
TrustSec – система идентификации
TrustSec – системный подход к единому
управлению на основе политик и ролей
Slide 4
TrustSec = Идентификация
Slide 5
TrustSec – что это?
•
•
•
•
•
•
•
IEEE 802.1X (Dot1x)
Технологии профилирования
Гостевой сервис
Secure Group Access (SGA)
MACSec (802.1AE)
Identity Services Engine (ISE)
Access Control Server (ACS)
Slide 6
TrustSec – как это?
Нет необходимости модернизировать существующую сеть
Slide 7
802.1X
• Только сотрудники имеющие уникальный
идентификатор могут получить доступ к
информационной инфраструктуре
• Любой доступ контролируется и
отслеживается
Slide 8
Без 802.1X
• Нет видимости
• Нет контроля доступа
?
USER
?
Slide 9
Сеть под охраной
• Весь трафик кроме EAPoL блокируется
• Строгий контроль доступа
?
USER
?
Slide 10
Сеть под охраной
После аутентификации:
• Пользователь или устройство
идентифицированны
• Доступ контролируется
Slide 11
Сеть под наблюдением
Режим Monitor Mode:
• Включает аутентификацию 802.1Х на коммутаторе
• Даже в случае неудачной аутентификации
обеспечивает доступ
• Позволяет администратору избежать создания
Denial of Service атаки
• Cisco ISE детально отображает все попытки
доступа в сеть
Slide 12
Что упускает 802.1X?
• Не-аутентифицируемые устройства
– Устройства не поддерживающие язык EAP
– Принтеры, ip телефоны, камеры, считыватели
• Как поступить с такими устройствами?
– Не включать 802.1X на портах?
– Что делать если они перемещаются?
• Решение – MAC Authentication Bypass (MAB)
Slide 13
MAB это заплатка
• В идеале все устройства должны пройти
аутентификацию
• MAB ни в коем случае не замена 802.1X
• Список MAC адресов может быть
локальным или централизованным с
помощью сервера Cisco ISE
Slide 14
Гостевой доступ
• Проблемы с гостями:
– Гости не имеют сконфигурированных
супликантов
– Не авторизованы для доступа
• Решение проблемы:
– Dot1x таймауты
– WEB аутентификация с помощью Cisco ISE
Slide 15
Жизненный цикл гостевого доступа
Slide 16
Профилирование
• Задача: требуется автоматический процесс
построения списка MAB.
• Решение: Профилирование устройств
– Прозрачность в сети
– Построение политик на основе роли
пользователя и типе устройства
Slide 17
Управление безопасностью
конечных устройств
• Задача:
– Сотрудники банка должны использовать только
проверенные устройства
– Все устройства должны быть оснащенны антивирусом
Anti-Virus, который должен быть запущен и иметь
последние обновления
– На всех гостевых устройствах должен быть запущен
антивирус
• Решение:
– Проверка состояния с помощью Cisco ISE
Slide 18
Сердце TrustSec
Сервер политик спроектированный для TrustSec
• Центральные политики
ACS
• AAA сервисы
NAC
Profiler
• Проверка состояния
• Гостевой доступ
NAC
Guest
NAC
Manager
NAC
Server
• Профилирование
Identity
Services
Engine
• Мониторинг
• Поиск неисправностей
• Отчетность
Slide 19
Следующий шаг!
Secure Group Access
• Уникальная метка 16 bit присваивается каждой роли
• Представляет привилегии пользователя, устройства
или субъекта
• Тегирование на входе в домен TrustSec
• Фильтрация по меткам (SGACL) на выходе из
домена
• Правила без IP- адресов
• Политика распределяется от центрального сервера
политик Cisco ISE на локальные устройства TrustSec
Slide 20
Приемущества TrustSec:
Slide 21
Платформа единой политики:
сценарии использования
Slide 22
Безопасность сетевого доступа.
Архитектура Cisco TrustSec.
Андрей Гиль
+375 44 771 20 75
[email protected]
Безопасность сетевого доступа.
Архитектура Cisco TrustSec.
Андрей Гиль
ООО «Мобильный сервис»
[email protected]
Slide 2
Зачем нужен TrustSec?
• Обеспечивает контроль доступа в
масштабах всей сети
• Добавляет гибкость и масштабируемость
безопасности сети
• Повышает уровень защищенности и
контроля сети
Slide 3
Идентификация
•
•
•
•
NAC нового поколения
Кто/Что/Откуда/Когда и Как
TrustSec – система идентификации
TrustSec – системный подход к единому
управлению на основе политик и ролей
Slide 4
TrustSec = Идентификация
Slide 5
TrustSec – что это?
•
•
•
•
•
•
•
IEEE 802.1X (Dot1x)
Технологии профилирования
Гостевой сервис
Secure Group Access (SGA)
MACSec (802.1AE)
Identity Services Engine (ISE)
Access Control Server (ACS)
Slide 6
TrustSec – как это?
Нет необходимости модернизировать существующую сеть
Slide 7
802.1X
• Только сотрудники имеющие уникальный
идентификатор могут получить доступ к
информационной инфраструктуре
• Любой доступ контролируется и
отслеживается
Slide 8
Без 802.1X
• Нет видимости
• Нет контроля доступа
?
USER
?
Slide 9
Сеть под охраной
• Весь трафик кроме EAPoL блокируется
• Строгий контроль доступа
?
USER
?
Slide 10
Сеть под охраной
После аутентификации:
• Пользователь или устройство
идентифицированны
• Доступ контролируется
Slide 11
Сеть под наблюдением
Режим Monitor Mode:
• Включает аутентификацию 802.1Х на коммутаторе
• Даже в случае неудачной аутентификации
обеспечивает доступ
• Позволяет администратору избежать создания
Denial of Service атаки
• Cisco ISE детально отображает все попытки
доступа в сеть
Slide 12
Что упускает 802.1X?
• Не-аутентифицируемые устройства
– Устройства не поддерживающие язык EAP
– Принтеры, ip телефоны, камеры, считыватели
• Как поступить с такими устройствами?
– Не включать 802.1X на портах?
– Что делать если они перемещаются?
• Решение – MAC Authentication Bypass (MAB)
Slide 13
MAB это заплатка
• В идеале все устройства должны пройти
аутентификацию
• MAB ни в коем случае не замена 802.1X
• Список MAC адресов может быть
локальным или централизованным с
помощью сервера Cisco ISE
Slide 14
Гостевой доступ
• Проблемы с гостями:
– Гости не имеют сконфигурированных
супликантов
– Не авторизованы для доступа
• Решение проблемы:
– Dot1x таймауты
– WEB аутентификация с помощью Cisco ISE
Slide 15
Жизненный цикл гостевого доступа
Slide 16
Профилирование
• Задача: требуется автоматический процесс
построения списка MAB.
• Решение: Профилирование устройств
– Прозрачность в сети
– Построение политик на основе роли
пользователя и типе устройства
Slide 17
Управление безопасностью
конечных устройств
• Задача:
– Сотрудники банка должны использовать только
проверенные устройства
– Все устройства должны быть оснащенны антивирусом
Anti-Virus, который должен быть запущен и иметь
последние обновления
– На всех гостевых устройствах должен быть запущен
антивирус
• Решение:
– Проверка состояния с помощью Cisco ISE
Slide 18
Сердце TrustSec
Сервер политик спроектированный для TrustSec
• Центральные политики
ACS
• AAA сервисы
NAC
Profiler
• Проверка состояния
• Гостевой доступ
NAC
Guest
NAC
Manager
NAC
Server
• Профилирование
Identity
Services
Engine
• Мониторинг
• Поиск неисправностей
• Отчетность
Slide 19
Следующий шаг!
Secure Group Access
• Уникальная метка 16 bit присваивается каждой роли
• Представляет привилегии пользователя, устройства
или субъекта
• Тегирование на входе в домен TrustSec
• Фильтрация по меткам (SGACL) на выходе из
домена
• Правила без IP- адресов
• Политика распределяется от центрального сервера
политик Cisco ISE на локальные устройства TrustSec
Slide 20
Приемущества TrustSec:
Slide 21
Платформа единой политики:
сценарии использования
Slide 22
Безопасность сетевого доступа.
Архитектура Cisco TrustSec.
Андрей Гиль
+375 44 771 20 75
[email protected]