SGT - Cisco Connect

Архитектура безопасности Cisco TrustSec.
Сценарии применения в ЛВС и распределенной сети
Алексей Спирин
Системный архитектор
[email protected]
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Глоссарий
• CTS – Cisco TrustSec
• SGT – Security Group Tag, метка безопасности
• MACSEC – технология шифрования трафика Ethernet со скоростью провода,
опциональная часть TrustSec
• SGACL – ACL, список доступа, пакетный фильтр, который использует метку
безопасности
• SGFW – stateful firewall, межсетевой экран, который использует метку
безопасности
• CMD – Cisco Meta Data, заголовок Ethernet-кадра, содержащий информацию
о метке безопасности
• SXP – SGT eXchange Protocol, протокол передачи информации о
соответствии IP-адреса метке безопасности. Работает через TCP
• inline SGT – метод добавления заголовка TrustSec (CMD) в кадр Ethernet
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
2
ПЛАН ПРЕЗЕНТАЦИИ
• Что такое TrustSec и зачем он нужен
• Основы и принципы работы TrustSec
• Сценарии применения и пилотное внедрение
• Новые вещи в ISE 1.3
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
3
“Архитектура, технологии, устройства,
системно решающие задачу
безопасного доступа к сети”
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Зачем нужен Trustsec
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
5
Зачем нужен Trustsec
Увеличение коммутаторов доступа
Новые способы подключения (WiFi, RA VPN)
Другие здания
Aggregation Layer
ACL
Филиалы
VLAN
Addressing
Мобильные пользователи
Redundancy
Routing
DHCP Scope
Static ACL
Access Layer
Карантин
Voice
Data
Временный Гость
сотрудник
Увеличение политик
– больше
VLAN’ов,
2 VLAN’а
– пока все
простобольше проблем
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
6
Зачем нужен Trustsec
Новый атрибут трафика – метка безопасности (отражает уровень
безопасности, уровень доступа пользователя)
Метка безопасности не зависит от:
- места подключения
- способа подключения
- есть ли в этом VLAN пользователи с другим уровнем доступа
В ACL вместо ссылки на IP-адреса – ссылка на метку безопасности
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
7
Зачем нужен Trustsec
1.
Значительное упрощение работы с ACL (60-90%)*
2.
Повышение безопасности информационной системы
3.
Первая технология, которая криптостойко привязывает ACL к identity
пользователя
4.
Контроль доступа к сети
5.
Категоризация ресурсов и пользователей
* По результатам текущих внедрений у заказчиков
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
8
Как работает TrustSec
0. Категорирование пользователей и ресурсов
1. Запрос на доступ в сеть
2. Разрешение + атрибуты доступа (VLAN, ACL,
SGT, MacSec)
20
30
Пользователь Б
Пользователь А
Канальное шифрование
3. Трафик с метками безопасности (SGT)
4. МЭ - фильтрация трафика на основе меток
безопасности
ISE
200
300
access-list DCout permit tcp ...
SGT 30 any SGT 300 eq sql
Сервер A
26.11.2014
Сервер Б
© 2014 Cisco and/or its affiliates. All rights reserved.
9
Этапы работы TrustSec
Классификация (Classification)
- статический или динамический процесс назначения SGT пользователю
или серверу
Распространение информации (Propagation)
- передача информации о SGT от места классификации до места
применения политики
Применение политик (Enforcement)
- ACL на коммутаторе, маршрутизаторе или МЭ с ссылкой на SGT
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
10
Классификация
 Способы
подключения
устройств/пользова
телей
– ЛВС
– БЛВС
– RA VPN
 ЦОД
IP-SGT
MAB
Web
Auth
ISE
Profiling
NX-OS/ VLAN-SGT
UCS Dir/
Hypervisors
Port-SGT
802.1X
RA-VPN
Subnet-SGT
IOS/Routing
Port
Profile
Prefix
Learning (L3IF-SGT)
VLAN-SGT
 Подключения партнерских
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
11
организаций
Способы классификации
Динамическая классификация
Статическая классификация
• IP Address
• VLANs
• Subnets
802.1X Authentication
• L2 Interface
• L3 Interface
SGT
Web Authentication • Virtual Port Profile
• Layer 2 Port Lookup
MAC Auth Bypass
Классификация пользователей
и устройств
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Классификация для серверов,
статических подключений
12
12
Динамическая классификация
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
13
Статическая классификация
Пример IOS CLI
IP to SGT mapping
L2IF to SGT mapping*
cts role-based sgt-map A.B.C.D sgt SGT_Value
VLAN to SGT mapping*
(config-if-cts-manual)#policy static sgt SGT_Value
L3IF to SGT mapping**
cts role-based sgt-map vlan-list VLAN sgt SGT_Value
Subnet to SGT mapping
cts role-based sgt-map A.B.C.D/nn sgt SGT_Value
cts role-based sgt-map interface name sgt SGT_Value
L3 ID to Port Mapping**
(config-if-cts-manual)#policy dynamic identity name
* нужен IP Device Tracking
** нужен route prefix snooping
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
14
Централизованная cтатическая классификация
Передает соответствия на
выбранные устройства по SSH
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
15
Распространение информации
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Распространение информации
Способ 1. Inline SGT. «Новое» оборудование
Классификация на доступе
Передача информации
SGT
Классификация ЦОД
Применение
политики
ISE
Cat3850
Cat6500 Sup2T
Nexus 7000
Nexus 5500
Nexus 2248
CRM
Enterprise
Backbone
ESXi
Nexus 2248
WLC5508
ASA5585
Соединения с передачей метки в ethernet-кадре
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
17
Распространение информации
Способ 1. Inline SGT. «Новое» оборудование
•
•
•
•
•
•
Ethernet Frame
SGT в заголовке Cisco Meta Data
Destination MAC
(CMD) Ethernet-кадра
Source MAC
Оборудование должно поддерживать
802.1Q
inline SGT «в железе»
CMD
Не влияет на IP MTU
ETHTYPE
Влияет на размер кадра: ~40 байт
PAYLOAD
Рекомендованное L2 MTU: ~1600 bytes
CRC
Оборудование «не умеющее в»
TrustSec, сбросит кадр
ETHTYPE:0x8909
Опциональное шифрование MACsec
Cisco Meta Data
MACsec Frame
CMD EtherType
Destination MAC
Version
Source MAC
Length
SGT Option Type
SGT Value
Other CMD Option
«Новое» оборудование: Cat6k SUP2T, N7k, Cat3850, ASR1k и т.д.
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
18
802.1AE Header
AES-GCM 128bit
Encryption
•
802.1Q
CMD
ETHTYPE
PAYLOAD
802.1AE Header
CRC
ETHTYPE:0x88E5
Распространение информации
Способ 2. SXP. «Старое» оборудование
Необходим для:
1) На «старом» и маломощном оборудовании
2) Для передачи SGT информации через устройства не поддерживающие
inline SGT
• Две роли – speaker (передает SXPтаблицу), listener (принимает SXPтаблицу)
• TCP:64999
Speaker
• «легкий» протокол (CPU, легко добавить
в ПО)
SW
• MD5 аутентификация
• IETF Draft
Cat2k, ASA, AireOS, Nexus 1000v и т.д.
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
19
SXP
SXP
SW (Aggregation)
RT
Listener
SXP
SW
Распространение информации
Способ 2. SXP. «Старое» оборудование
Классификация на доступе
Передача информации
SGT
SXP
Применение
политики
Классификация ЦОД
SXP
ISE
Cat2960-S
Cat6500 Sup720
Nexus 7000
Nexus 5500
Nexus 2248
Enterprise
Backbone
SXP
ESXi
Nexus 2248
WLC5508
SXP
ASA5585
Обычные соединения
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
20
CRM
Масштабирование SXP
Max SXP
Connections
Max IP-SGT bindings
Catalyst 6500 Sup2T/ 6800
2000
200,000
Nexus 7000 (M Series linecards)
980
50,000
Catalyst 4500 Sup 7E
1000
256,000
Catalyst 4500-X / 4500 Sup 7LE
1000
64,000
ASA 5585-X SSP60
1000
100,000
ASA 5585-X SSP40
500
50,000
Catalyst 3850/WLC 5760
128
12,000
Platform
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
21
Распространение информации
SXP или inline SGT? Что использовать?
inline SGT
- естественный способ передачи метки безопасности
- требует нового оборудования
SXP
- «еще один протокол»
- необходимо планировать архитектуру SXP
- обнаружение петель начиная с 4-й версии SXP
- при изменении топологии TrustSec, перенастройка SXP отношений
- не забыть разрешить TCP:64999*
- нужно продумать резервирование**
* ВАЖНО
** ОЧЕНЬ ВАЖНО
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
22
Распространение информации
Будущее inline SGT…
Метка безопасности как глобальный атрибут трафика
- использовать в QoS, PBR, ACI и т.п.
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
23
Распространение информации
Важный нюанс. MACSEC
Mode
MACSEC
MACSEC Pairwise
Master Key (PMK)
MACSEC Pairwise
Transient Key (PTK)
Encryption Cipher
Selection
(no-encap, null, GCM,
GMAC)
Trust/Propagation
Policy for Tags
cts dot1x
Y
Dynamic
Dynamic
Negotiated
Dynamic from
ISE/configured
cts manual – с
шифрованием
Y
Static
Dynamic
Static
Static
cts manual –
без
шифрования
N
N/A
N/A
N/A
Static
• CTS Manual рекомендуется
• “cts dot1x” выключит порт если AAA-сервер недоступен
• Некоторые платформы (ISRG2, ASR1K, N5K) не поддерживают шифрование
• CTS Critical Authentication
Cisco IOS 15.2(2)E / IOS XE Release 3.6E
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/15-e/sec-usr-cts-15-e-book/cts-critical-auth.html
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
24
Применение политики
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Применение политики
Платформы
Классификация
на доступе
Передача информации
Применение
политики
Классификация ЦОД
ISE
Cat3850
Cat6500 Sup2T
Nexus 7000
Nexus 5500
Nexus 2248
CRM
SXP
Nexus 2248
ESXi
ASA5585
SGFW – ASA55xx, ASR1k (ZBFW), ISR G2 (ZBFW)
SGACL – Cat3650-X и выше, Cat4500E Sup7E, Cat6500 Sup2T, N1000v и
выше, WLC5760
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
26
Применение политики
Централизованные политики в ISE
Portal_ACL
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
permit tcp
deny ip
27
dst
dst
dst
dst
dst
dst
dst
dst
des
eq
eq
eq
eq
eq
eq
eq
eq
eq
443
80
22
3389
135
136
137
138
139
Кеширование SGT
8
SRC:10.65.1.9
DST: 10.1.100.52
SGT: 8
Для передачи нетегированного
трафика на устройства без
поддержки CTS (LB, IPS)
8
Коммутатор создает IP-SGT
привязку из inline SGT
DC Access Layer
IP Address
SGT
10.65.1.9
8 (Employee)
SGT Tagged Traffic
Physical Servers
SGACL enabled Device
Untagged Traffic
SXP
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Physical Servers
28
Сценарии использования
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
С чего начать развертывание?
Пилот (минимальное влияние на текущую работу)
- категоризация пользователей и ресурсов – неполная
- классификация пользователей – 802.1x monitor mode
- классификация серверов – IP-SGT
- распространение – SXP
- применение политики SGACL с дублирующими разрешениями/частичным
deny
- удобный сценарий «Доступ пользователей в ЦОД»
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
30
С чего начать развертывание?
Пилотный проект (SXP, SGACL, IP-SGT). ДОСТУП В ЦОД
Классификация
на доступе
Передача информации
Применение
политики
Классификация ЦОД
ISE
Nexus 7000
Cat2960-S
Nexus 5500
Nexus 2248
Enterprise
Backbone
CRM
ESXi
Nexus 2248
802.1x
monitor mode
SXP
SGACL
(в ISE)
IP-SGT
Обычные соединения
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
31
С чего начать развертывание?
Пилотный проект’ (inline SGT, SGFW). ДОСТУП В ЦОД
Классификация
на доступе
Передача информации
Применение
политики
Классификация ЦОД
ISE
Cat3850
Cat6500 Sup2T
Nexus 7000
Nexus 5500
Nexus 2248
SXP
ESXi
Nexus 2248
ASA5585
802.1x
monitor mode
inline SGT
IP-SGT
(централизованно в ISE)
SGFW
Соединения с передачей метки в ethernet-кадре
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
32
CRM
СЦЕНАРИЙ: Сегментация в ЦОД
- разделение Production/Development серверов
- требования PCI DSS
Применение
политик
HR
Database
ISE
Development
Servers
DC FW
DC Switch
SXP
классификация
N1k port profile -> N7k, N5k -> N7k
горизонтальный трафик через SGACL на N7k, N6000, N5600, N5000, N1000v
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
33
СЦЕНАРИЙ: Сегментация в ЛВС
горизонтальный трафик через SGACL (ISE!) на Cat3560-X, 3750-X, 3850,
4500E (Sup7E), 4500X, Cat6k Sup2T, WLC5760
AireOS
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
34
СЦЕНАРИЙ: TrustSec в КСПД
Inline SGT через WAN :
 ISR G2 IOS 15.4(1)T &
 ASR1000 15.4(1)S
 Ethernet inline SGT ISRG2 & ASR
1000 (кроме ISR800)
 Передача SGT в заголовках GETVPN and IPsec VPN
Филиал Б
Cat3750-X
ISRG2
SGT через
GET-VPN или
IPsec VPN
или SXP
SXP
Cat2960X
ISRG2
2900/3900
Филиал А
 SXP от ISR до ASR как план «Б»
 SGFW на ISR/ASR Zone-based
Firewall
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
HQ
35
ASR1000
Router
Inline SGT
Обычное соединение
Соединение с inline SGT
Campus Access Block
SGACL
SGACL
Cat3850
Cat3850
SGACL
AP
Cat3560-X
Cat3560-X
AP
Cat4500
Cat6500/Sup2T
Cat6500/Sup2T
5508 WLC
Cat4500
Cat4500
SXPv2
SGACL
Internet Edge Block
Branch Block
Cat6500/Sup2T
ZBSGFW
IPSec
ISR G2
GET-VPN
DMVPN в процессе
FlexVPN в процесс
Cat6500/Sup2T
ZBSGFW
SGACL
Cat3750-X
ASR1K
Core Block
ASA
ISR G2
N7K
ASA+IPS+CX
SXPv2
ASA
Outside Switch
SGFW
SGFW
ISR G2
AP
N7K
ASA RA-VPN
ASR1K
5508 WLC
N2248
Cat4500
Cat3750-X
5760 WLC
SGACL
ZBSGFW
SXPv2
N5K
SGACL
ASA-1kv
CSR-1kV
VSG
DMZ Switch
N1KV
SXPv2
N5K
N2K
SGACL
Internet
Nexus
6000
ISE1.2
Web Security
Appliance
C800 (CVO)
SSL-VPN (RAS)
VDI Infra
UCS
DC Block
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
36
Новые возможности ISE 1.3
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
ISE 1.3
- Внутренний УЦ (для BYOD внедрений). Возможность интеграции с
корпоративной PKI
- Поддержка нескольких лесов AD (без доверительных отношений)
- pxGrid – новый способ передавать информацию безопасности
- Переработанный интерфейс администратора и пользователей рабочих
процессов гостевого доступа и BYOD
- Поддержка Email/SMS для передачи информации гостям + список ОпСоС
- Ограничение числа гостевых подключений
- Уведомление об истечении срока действия учетной записи по SMS/email
- И мн. др.!
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
38
Ссылки и дополнительная информация
CTS Start Page
http://www.cisco.com/go/trustsec
CTS System Bulletin v5.0
http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00secure-access.pdf
TrustSec Design Guide (версия 2.1)
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
SXP IETF Draft
http://tools.ietf.org/html/draft-smith-kandula-sxp-00
Ролики на YouTube – канал “CiscoISE”
https://www.youtube.com/user/CiscoISE
26.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
39
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо
Пожалуйста, заполните анкеты. Код 3661
Ваше мнение очень важно для нас.
Алексей Спирин
[email protected]
CiscoRu
26.11.2014
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia