Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE

© 2011 Cisco and/or its affiliates. All rights reserved. 1 © 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo Learning Club

Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE

Руслан Иванов

Инженер-консультант

[email protected]

© 2011 Cisco and/or its affiliates. All rights reserved. 2

Управление доступом в сеть интеллектуальных устройств

1. Архитектура Cisco для управлением сетевым доступом

2. Как и зачем идентифицировать тип сетевого устройства

3. Как в сети отличить корпоративные и персональные устройства

4. Хотим управлять мобильными устройствами сотрудников - системы Mobile Device Management

5. Дизайны внедрения Cisco ISE– рекомендации и лучшие практики

6. Миграция на Cisco ISE c Cisco NAC и Cisco ACS


РОСТ

M2M

УСТРОЙСТВ

РОСТ

ПЕРСОНАЛЬНЫХ

УСТРОЙСТ

БЫСТРЫЙ РОСТ

ЧИСЛА УСТРОЙСТВ

БЫСТРЫЙ РОСТ

ЧИСЛА УСТРОЙСТВ

К 2015 году 15

миллиардов устройств

будут подключаться к сети

На каждого пользователя

приходится 3–4 устройства

40 % сотрудников приносят

свои собственные устройства

на работу


Принтеры

Факсы/МФУ

IP-телефоны

IP камеры

Беспроводные APs

Управляемые UPS

Неуправляемое

сетевое

оборудование

Платежные

терминалы и кассы

Медицинское оборудоваие

Сигнализация

Системы видеоконференций

Турникеты

Системы жизнеобеспечения

Торговые машины

. . . и многое другое

Кофеварки


Набор для подключения к сети Интернет*

новый мир к@фе

Модель IMPRESSA F90 первая

совместимая с Интернетом бытовая

кофемашина для приготовления эспрессо

благодаря запатентованному комплекту

Internet Connectivity©.

С помощью набора для подключения Вы

можете связать свою машину

сперсональным компьютером и с сетью

Интернет.

Запрограммируйте на компьютере ваши

любимые рецепты и загрузите их в кофе-

машину.


Куда должны иметь доступ пользователи и устройства?

―Кто‖ и ―Что‖ находится в моей сети?

Как управлять доступом?


“Кто” и “Что”

находится в

моей сети?

Куда могут

иметь доступ

пользователи/ус

тройства?

Централизованное

управление Центр обработки

данных Интранет Интернет Зоны безопасности

Инфраструктура

с контролем идентификации

и учетом контекста

IP-устройства

Удаленный пользователь, подключенный

по VPN

Пользователь беспроводной

сети / гость

Сотрудник Клиент

виртуальной машины

Использование существующей

инфраструктуры

Эффективное

управление

Контроль

доступа на

основе

политики

Прозрачная

идентификация


Управление

доступом на основе

политик

Реализация

политик

Идентификация

пользователя и

устройства

Доступ на основе идентификации — это не опция, а свойство сети,

включая проводные, беспроводные сети и VPN

Cisco 2900/3560/3700/4500/6500, Nexus 7000,

инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE)

Агент NAC Web-агент

AnyConnect или встроенный в ОС клиент

Клиент 802.1x

Бесплатные клиенты


Безопасность основанная на идентификации и контексте

КОГДА ЧТО

ГДЕ

КАК КТО

Идентификация

в контексте

Атрибуты

аутентификации,

авторизации,

учета (AAA)

Cisco ISE

Политика

безопасности

Пользователи и устройства

Реализация политики

(VLAN, ACL, SG-ACL)

Radius SNMP DHCP

… Radius

AD/LDAP

Сетевые устройства

Внешний

каталог

Сетевые устройства


ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ

802.1X

NAC АГЕНТ

WebAuth

Маша Петрова Федор Калязин

Шлюз камеры

видеонаблюдения

Вася Пупкин Личный iPad

Сотрудник, служба

маркетинга

Служебный десктоп

Гость

Беспроводная сеть

MacBook Air

Автономный ресурс

Консультант

Центральный офис,

отдел стратегий

Служебный нетбук

Собственность гостя

Беспроводный центральный

офис

Сотрудник, Контрактник или Гость ?

Роль в организации ?

Дополнительные атрибуты из внешнего каталога ?

ИДЕНТИФИКАЦИЯ УСТРОЙСТВА

MAC

802.1x

Профилирован

Тип и класс устройства ?

Корпоративное или персональное ?

Соответствие политике ?

Интеграция сервисов идентификации и контроля

доступа. Решение Cisco ISE.

http://www.ciscoexpo.ru/expo2011/downloads/materials

/секurity/voilibma_ISE_expo.pdf



PCs Non-PCs

UPS Phone Printer AP

1. Идентификация может проводиться

• Статически (вручную)

• Динамически (профилирование)

2. Результаты идентификации (Identity Group) используются в

Политике Авторизации Cisco ISE


• Одно устройствo

Добавляем вручную

• Множество устройств

LDAP импорт

•

Импорт файлов


Профилирование обеспечивает возможность автоматической классификации устройства

• Обнаружение и классификация основаны на цифровых отпечатках устройств

• Дополнительные преимущества профилирования

Контроль: Взгляд на то, что находится в вашей сети

• Профилирование основано на эвристике

Выбирается ―наилучшее‖ предположение

• Профилирование дополняет идентификацию по MAC-адресам или 802.1x

RADIUS

DHCP

DNS

HTTP

SNMP Query NetFlow

DHCPSPAN

SNMP Trap NMAP


Политика использует комбинацию условий для идентификации

MAC адрес из

OUI Apple

DHCP:host-name

СОДЕРЖИТ iPad

IP:User-Agent

СОДЕРЖИТ iPad

Библиотека

профилей

Присвоить

MAC Адрес к

ID Group ―iPad‖

Я считаю, что это

устройство

скорее всего

iPad


Сканер

(Probe)

Собираемые

атрибуты

Механизм профилирования

RADIUS Calling-Station-ID

Framed-IP-Address

Считывает MAC Address -> OUI = для идентификации вендора

устройства.

SNMP MAC Address/OUI

CDP/LLDP

attributes

ARP tables

Считывает информацию о MAC Address/OUI

CDP/LLDP, ARP таблицах с сетевых устройств

DHCP DHCP атрибуы Считывает Vendor ID уникальный для разных ОС и некоторых

аппаратных платформ.

DNS FQDN Определяет тип на основании FQDN имени устройства

HTTP User-Agent Определяет тип устройства на основании User-Agent браузера

NetFlow Source/Dest

IP/Ports/Protocol

Анализирует Source/Dest IP/Ports/Protocol. Позволяет

детектировать специализированные устройства с

характерным трафиком и выявлять аномальный трафик для

специализированных устройств

NMAP Operating System

Common ports

Endpoint SNMP data

Анализирует открытые порты и SNMP-ответы устройств.

Детектирует ОС, сетевые принтеры и устройства которые

слушают стандартные UDP/TCP ports.


Активное сканирование устройств с помощью Network Mapper (NMAP)

Утилита NMAP встроена в ISE 1.1, и позволяет профайлеру

• детектировать новые устройства с помощью сканирования сети

• классифицировать конечные устройства, основываясь на детектировании операционной системе и анализе открытых портов

Внимание: сканирование больших сетей может занимать много времени и создавать нагрузку на ISE


• Распределенное сканирование по протоколам CDP/LLDP, DHCP и DNS (только Catalyst 4k)

• Автоматическое обнаружение распространѐнных устройств (принтеры, устройства Cisco, телефоны…)

• Централизованный сбор данных в ISE с минимальной нагрузкой на сеть

• Независимость от топологии

Device Sensor Distributed Probes

ISE

CDP/LLDP/DHCP DHCP DHCP CDP/LLDP/DHCP CDP/LLDP/DHCP

Поддержка Device Sensor

• 3560/3750 с 15.0(1)SE1

• 3560C/CG running 15.0(2) SE

• 4500 running 15.1(1)SG

• 4500 running IOS-XE 3.3.0SG

• Wireless Controllers с 7.2.110.0 (только

DHCP)



Сервис обновлений профилей

устройств:

• Cisco, производители устройств и

партнеры будут предоставлять

обновления профилей новых

устройств и обновленную базу

OUI

• ISE автоматически получает

пакеты обновлений через CCO

Web-лента данных об устройствах

ISE

Планируется в

ISE 1.2


Что= ? Кто= Сотрудник

Права доступа= Авторизация • Employee_PC Set VLAN = 20 (Полный доступ) • Employee_iPAD Set VLAN = 30 (Только Интернет)



Где находится BYOD ?

Управляемые


Неуправляемые


Управляемые

пользователи

“Неуправляемые”

пользователи

Гости

BYOD


Среда требует

жесткого

контроля

Только


компании.

Запрет

Базовый сервис

и удобный

доступ

Выход в Интернет

для неуправляемых

устройств

Разрешение

Разные права

доступа +

автоматизация

Автоматизация

конфигурации,

сертификаты, VPN

Поощрение

Корпоративный

контроль персон.

устройств

Compliance – MDM,

шифрование, PIN

Lock…

Контроль


Я знаю тебя, но докажи что ты используешь корпоративное устройство

• Идентификация пользователя…

• Логин/пароль (802.1X или WebAuth)

• Пользовательский сертификат (802.1X)

• ―Идентичность‖ устройства …

• MAC адрес?

• Машинный сертификат (802.1X)

• Как я могу связать это в единой политике?

Пользо

ватель Устройство + =

Политика

доступа

Корпоративное

устройство ?

00:11:22:AA:BB:CC

ID

Насколько

достоверна

информация?

Корпоративный

пользователь

Привет, я Маша,

мой пароль

*******

ID

ТОЛЬКО

КОРПОРАТИВНЫЕ

УСТРОЙСТВА


Машинный сертификат является

достаточно надежным методом

идентификации, но секретный ключ и

сертификат технически возможно

продублировать

Поэтому можно дополнительно проверять:

• MAC-адрес соответствует адресу в сертификате

• MAC-адрес находится в корпоративном списке устройств

WhiteList

• Тип устройства соответствует корпоративному

(профилирование в ISE)

• В реестре и файловой системе устройства находятся

корпоративные метки (NAC функционал ISE)


• Сценарий используется у большого корпоративного заказчика Cisco

• Заказчик решил модифицировать One DHCP User Class-ID на всех членах домена

• Обеспечивается уникальная возможность спрофилировать устройства как корпоративный ресурс

C:\>ipconfig /setclassid "Local Area Connection" CorpXYZ

Windows XP IP Configuration

DHCP ClassId successfully modified for adapter"Local Area Connection"

http://technet.microsoft.com/en-us/library/cc783756(WS.10).aspx






2

9


Machine Access Restrictions (MAR)

• MAR предоставляет для Radius-сервера механизм поиска предыдущих машинных аутентификаций с таким же Calling-Station-ID (MAC-адресом).

• Это означает, что устройство должно быть аутентифицировано перед входом пользователя

Потенциальные проблемы при выходе из hibernation/standby, при переключении из проводной в беспроводную сеть (ведет к смене MAC-адреса

Возможен спуфинг – подстановка во время пользовательской аутентификации MAC-адреса аутентифицированного устройства

Rule Name Conditions Permissions

MachineAuth if Domain Computers then MachineAUth

Employee if Employee &

WasMachineAuthenticated = true then Employee

Calling-Station-ID

00:11:22:33:44:55

– Passed

MAR Cache


• Позволяет коррелировать машинную и пользовательскую аутентификации

• Выполняет обе аутентификации в рамках ЕДИНОГО EAP процесса

• Упрощает использование результата проверки в политике ISE

ISE

1.1.1

Поддержка EAP-Chaining есть в протоколе EAP-FASTv2:

• AnyConnect 3.1

• Identity Services Engine 1.1.1

Cisco участвует в составе рабочей группы IETF в процессе стандартизации

следующей версии протокола EAP -Tunneled EAP (TEAP), который также

поддерживает EAP-Chaining.


Для управления доступом персональных устройств

Автоматическая конфигурация сапликанта 802.1x на поддерживаемых платформах

Портал регистрации устройств

Дифференциация сервисов на основе сертификатов. Защита от копирования сертификатов

Автоматизация выдачи сертификатов с дополнительными атрибутами

Ведение ―черного‖ списка устройств и переинициализация устройств

ISE

1.1.1


Автоматизация настройки и управление сетевым доступом персональных

устройств NCS Prime

WLAN Controller

Wired Network Devices

Cisco Catalyst Switches

Проводной доступ Беспроводный доступ

ISE

Удаленный доступ

Cisco ASA

CSM / ASDM

AD/LDAP

(External ID/

Attribute Store)

Персональные


www.cisco.com/go/byod - BYOD Smart Solution Design Guide

http://www.cisco.com/go/byod



Экосистема MDM

Wired or Wireless

Cisco Catalyst Switches

Window or OS X Computers

Cisco WLAN Controller

ISE MDM

Manager

Smartphones including iOS or Android Devices

Wireless

AD/LDAP

User X User Y

?

ИНТЕГРАЦИЯ С ОСНОВНЫМИ MDM ВЕНДОРАМИ

• Экосистема делает возможным

выбор решения заказчиком

Функционал:

• API для интеграции с MDM

• Использование в политике ISE

информации от MDM о мобильном

устройстве

• Инициация действий с уcтройством

через интерфейс ISE

* Запланировано на начало 2013 года

Планируется в

ISE 1.2


• ISE через MDM API, может проверять:

Общее соответствие устройства политике ( Compliant или не-Compliant ) -или-

• Наличие шифрования диска

• Наличие Pin lock

• Наличие джейлбрейка

• Модель и серийник в ―белом‖ списке….

• После подключения в сеть ISE делает периодический опрос MDM о соответствии пользовательских устройств:

• Если результат проверки негативный – устройство принудительно отключается от сети

ISE MDM

Manager


• Предоставляет возможность администратору и пользователю в ISE удаленно инициировать действия с мобильным устройством на MDM сервере

• Производится через:

• Портал ―Мои устройства‖

• Endpoints Directory в ISE

• Редактировать

• Переинициал.

• Потерян?

• Удалить

• Полная очистка

• Корпор. очистка

• PIN Lock

Опции

ISE MDM

Manager



Примечание. Расширенная лицензия не включает базовую

Платформы устройства

Cisco ISE 3315 | Cisco ISE 3355 | Cisco ISE 3395 |

Базовая лицензия ISE

Авторизованы ли мои

оконечные устройства?

• Аутентификация /

авторизация

• Гостевой доступ

• Политики шифрования

MacSec

• Все базовые сервисы

• Все расширенные

сервисы

• Только для беспроводных

устройств

Лицензия ISE для беспроводного

доступа

Бессрочная лицензия по

количеству end-point

Расширенная лицензия ISE

• Профилирование устройств

• Оценка состояния узла

• Доступ для групп

безопасности

• Новый BYOD функционал

Лицензия на срок 3 / 5 лет по


Соответствуют ли мои устройства

нормативным требованиям? Базовая + Расширенная

Лицензия на срок 3 / 5 лет по


VM Устройство

для ESXi 4.x и 5.x


Роли могут совмещаться

в одном устройстве

Узел сервиса политик -Policy Service Node (PSN)

Применяет политику AAA

RADIUS сервер & профилирование & оценка состояния

Узел управления -Policy Administration Node (PAN)

Интерфейс для конфигурации политик и управления ISE

Изменение базы данных ISE

Узел мониторинга Monitoring & Troubleshooting Node (MnT)

Сбор отчетов и логов с узлов ISE

Получатель для syslog от сетевых устройств (NAD)

Inline Posture Node (IPN)

Применяют политику для сетевых устройств, которые не

поддерживают CoA (VPN-концентраторы, third-party WiFi)


Клиентские

устройства Ресурсы Сетевые устройства

Узел

управления

(PAN)

Внешние

данные

(AD/LDAP)

Узел сервиса

политик (PSN) Просмотр/

Настройка

Политик

Запрос

атрибутов

Запрос на

доступ Доступ к

ресурсам

Журналирование

Radius

SNMP

NetFlow

Узел

мониторинга

(MnT)

Просмотр

журналов/ отчетов



(Syslog,Radius)


ISE

Node

• Максимальное число клиентских устройств– 2000

• Отказоустойчивость для 2000 клиентских устройства

ISE

Node

Основной узел


Резервный узел

мониторинга

Резервный узел


Основной узел

мониторирга

PSN

MnT

PAN

PSN

MnT

PAN


PSNs ≤ 2 PSNs ≤ 5 5 < PSNs ≤ 40

≤ 2,000 Admin + Monitor +

PSN на одном

устройстве

Admin +

Monitoring

на одном

устройстве:

2x ISE 3355

или

2x ISE-VM

Выделенные узлы

Управления :

2x ISE-3395

или

2x ISE-VM

Выделенные узлы

мониторинга:

2x ISE-3395

или

2x ISE-VM

≤ 5,000 -

≤ 10,000 -

Admin +

Monitoring

на одном

устройстве:

2x ISE-3395

или

2x ISE-VM

≤ 100,000 - -

Максимальное количество поддерживаемых пользовательских

устройств и Узлов Политик (PSN) зависит от модели внедрения

Узлов Управления и Мониторинга


Формфактор Платфор

ма

Устройство Максимум

Endpoints

Событий

профайлера

Событий

оценки

состояния

Физический

Small ISE 3315 / 1121 3000 500/сек 70/сек

Medium ISE 3355 6000 500/сек 70/сек

Large ISE 3395 10,000 1200/сек 110/сек

Виртуальный S/M/L VM 10,000 * Переменная Переменная

* Аппаратная платформа для ISE

VM должна обеспечивать

аппаратные ресурсы выше или на

уровне соответствующего

физического устройства ISE

Крайне рекомендуется

использовать жесткие диски с

RPM 10K или выше

• Узел сервиса политик – масштабирование и производительность

Кол-во аутентификаций в секунду

EAP-TLS 335 internal, 124 LDAP

MSCHAPv2 1316 internal, 277 AD

PEAP-MSCHAPv2 181

FAST-MSCHAPv2 192

Гостевой (web auth) 17


Data

Center A DC B

Филиал

A

Филиал

Б

AP

AP AP

WLC

802.1X

AP

ASA VPN

Switch

802.1X

Switch

802.1X

Switch

802.1X

WLC

802.1X

Switch

802.1X

Admin (P)

Admin (S)

Monitor (P) Monitor (S)

HA Inline

Posture Nodes

Кластер Узлов сервисов

политик

AD/LDAP

(External ID/

Attribute Store) AD/LDAP

(External ID/

Attribute Store)

MnT PAN

PAN MnT

PSN PSN PSN PSN

PSN PSN

IPN

IPN Скоростной канал с небольшой задержкой

•Отказоустойчивая, распределенная архитектура

внедрения между ЦОД (P=Primary / S=Secondary)

•Распределенный кластер узлов сервисов политик в

резервном ЦОД или большом кампусе

•Централизованные кластеры узлов PSN для

проводного/беспроводного доступа в филиалах

•Требуется скоростной канал с небольшой задержкой

для синхронизации обновлений баз данных.

•Не рекомендуется использовать удаленное

профилирование по SPAN и NetFlow


ACS

Identity Services Engine

NAC Guest NAC Profiler NAC Manager NAC Server

• Существующие заказчики ACS/NAC могут мигрировать на ISE

• Исключения:

• заказчики, которые используют ACS для управления доступом сетевых администраторов и

протокола TACACS+

• заказчики NAC, которые хотят использовать SNMP для управления сетевыми устройствами

• Существует инструмент для автоматизации миграции данных и конфигурации c ACS 5.1/5.2 на ISE *

* http://www.cisco.com/en/US/docs/security/ise/1.1/migration_guide/ise_migration_guide.html

** Инструменты миграции для NAC Appliance будут реализованы в последующих версиях ISE


Предложение по миграции

Существующие заказчики ACS, если требуется оценка состояния, профилирование или гостевые сервисы

Существующие заказчики NAC, которые хотят внедрить контроль портов на основе 802.1X и расширенные функции авторизации (такие как метки SGT)

Существующие заказчики NAC Profiler, которым требуется расширение лицензии

Почему мигрировать на ISE

Migration Steps

NAC 3315/55/95 и ACS 1121 устройства могут быть перепрошиты для поддержки ISE. Старые устройства, NAC 33x0, NAC 3140 и ACS 1120, нет. Заказчики со старыми устройствами могут приобрести новые устройства по специальной цене (и могут по прежнему эксплуатировать старые устройства)

Существующие заказчики ACS и NGS имеют право приобрести лицензии миграции типа ―Base‖ со скидкой от стандартной цены

Существующие заказчики NAC и NAC Profiler имеют право приобрести лицензии миграции типа ―Advanced‖ (3-YR) по нулевой цене, исходя из общего количества лицензий NAC и/или Profiler

Existing support contracts transition to ISE support contract but prorated

Существующие инвестиции защищены


• Cisco Identity

Services Engine

(ISE) с версии 1.1.4

(май 2013)

• Network Admission

Control (NAC)

• Access Control

Server (ACS)

SNS-3415-K9 &

SNS-3495-K9

Cisco Secure Network Servers

Платформа основана на Cisco UCS C220 Server,

специально укомплектованного для следующих сетевых

сервисов:


Platform Cisco Identity Services

Engine Appliance 3315

(Small)

Cisco Identity Services


(Medium)

Cisco Identity Services


(Large)

Processor 1 x QuadCore

Intel Core 2 CPU Q9400

@ 2.66 GHz

(4 total cores)

1 x QuadCore

Intel Xeon CPU E5504

@ 2.00 GHz

(4 total cores)

2 x QuadCore

Intel Xeon CPU E5504

@ 2.00 GHz

(8 total cores)

Memory 4 GB 4 GB 4 GB

Hard disk 2 x 250-GB SATA HDD

(250 GB total disk space)

2 x 300-GB SAS drives


4 x 300-GB SFF SAS drives


RAID No Yes (RAID 0) Yes (RAID 0+1)

Ethernet

NICs

4x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs

Concurrent

Endpoints

3,000 Max 6,000 MAX 10,000 Max

• Appliance Specifications http://www.cisco.com/en/US/docs/security/ise/1.0.4/install_guide/ise104_ovr.html#wp1103032

http://www.cisco.com/en/US/docs/security/ise/1.0.4/install_guide/ise104_ovr.html


Secure Network Services

Appliance

SNS-3415-K9

Secure Network Services Appliance

SNS-3495-K9

Processor 1 - QuadCore Intel Xeon

2.4 GHz

2 - QuadCore Intel Xeon

2.4 GHz

CPU Model E5-2609 E5-2609

# Cores per CPU 4 (4 total cores) 4 (8 total cores)

# Threads per Core 1 (No Hyper Threading) 1 (No Hyper Threading)

Memory 16 GB DDR3-1066 (4 x 4GB) 32 GB DDR3-1066 (8 x 4GB)

Hard disk 1- 2.5 Inch

600 GB SAS 10K RPM

2- 2.5 Inch

600 GB SAS 10K RPM

RAID No Yes - RAID 1 (600 GB Total Storage)

LSI 2008 SAS RAID Mezzanine Card

Ethernet NICs 4 (2 on board; 2 on NIC) 4 (2 on board; 2 on NIC)

Power Supplies 1 x 650W 2 x 650W

Trusted Platform Module Yes Yes

SSL Acceleration Card No Yes

Concurrent

Endpoints

5,000 (PSN function) 20,000 (PSN function)


Thank you.


SXP

Nexus® 7K, 5K and 2K

Switch

Data Center

Cisco®

Catalyst® Switch

Cisco

ISE

Wireless

user

Campus

Network Wired

user Cat 6K

Egress Enforcement

MACsec

Profiler Posture

Guest Services RADIUS

Ingress Enforcement

Ingress Enforcement

Cisco®

Wireless

Controller

Site-to-Site

VPN user WAN

ISR G2 with integrated switch

ASR1K

SXP

AnyConnect

Named ACLs

dVLAN

dACLs / Named ACLs dVLAN

SGACLs

Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE

Technology

cisco andor

identity group cisco

mac mac

whitelist ise nac ise

se ise

ise oui web ise cco

ise device sensor

endpoints directory