Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль ООО «Мобильный сервис»
Зачем нужен TrustSec? Обеспечивает контроль доступа в масштабах всей сети Добавляет гибкость и масштабируемость безопасности сети Повышает уровень защищенности и контроля сети
Идентификация NAC нового поколения Кто/Что/Откуда/Когда и Как TrustSec – система идентификации TrustSec – системный подход к единому управлению на основе политик и ролей
TrustSec = Идентификация
TrustSec – что это? IEEE 802.1X (Dot1x) Технологии профилирования Гостевой сервис Secure Group Access (SGA) MACSec (802.1AE) Identity Services Engine (ISE) Access Control Server (ACS)
TrustSec – как это? Нет необходимости модернизировать существующую сеть
802.1X Только сотрудники имеющие уникальный идентификатор могут получить доступ к информационной инфраструктуре Любой доступ контролируется и отслеживается
Без 802.1X Нет видимости Нет контроля доступа SWITCHPORT DHCP TFTP KRB5 HTTP ? USER ?
Сеть под охраной Весь трафик кроме EAPoL блокируется Строгий контроль доступа SWITCHPORT DHCP TFTP KRB5 HTTP EAPoL ? USER ?
Сеть под охраной После аутентификации: Пользователь или устройство идентифицированны Доступ контролируется DHCP TFTP SWITCHPORT KRB5 HTTP
Сеть под наблюдением Режим Monitor Mode: Включает аутентификацию 802.1Х на коммутаторе Даже в случае неудачной аутентификации обеспечивает доступ Позволяет администратору избежать создания Denial of Service атаки Cisco ISE детально отображает все попытки доступа в сеть
Что упускает 802.1X? Не-аутентифицируемые устройства – Устройства не поддерживающие язык EAP – Принтеры, ip телефоны, камеры, считыватели Как поступить с такими устройствами? – Не включать 802.1X на портах? – Что делать если они перемещаются? Решение – MAC Authentication Bypass (MAB)
MAB это заплатка В идеале все устройства должны пройти аутентификацию MAB ни в коем случае не замена 802.1X Список MAC адресов может быть локальным или централизованным с помощью сервера Cisco ISE
Гостевой доступ Проблемы с гостями: – Гости не имеют сконфигурированных супликантов – Не авторизованы для доступа Решение проблемы: – Dot1x таймауты – WEB аутентификация с помощью Cisco ISE
Жизненный цикл гостевого доступа
Профилирование Задача: требуется автоматический процесс построения списка MAB. Решение: Профилирование устройств – Прозрачность в сети – Построение политик на основе роли пользователя и типе устройства
Управление безопасностью конечных устройств Задача: – Сотрудники банка должны использовать только проверенные устройства – Все устройства должны быть оснащенны антивирусом Anti-Virus, который должен быть запущен и иметь последние обновления – На всех гостевых устройствах должен быть запущен антивирус Решение: – Проверка состояния с помощью Cisco ISE
Сердце TrustSec Сервер политик спроектированный для TrustSec Центральные политики AAA сервисы Проверка состояния Гостевой доступ Профилирование Мониторинг Поиск неисправностей Отчетность ACS NAC Profiler NAC Guest NAC Manager NAC Server Identity Services Engine
Следующий шаг! Secure Group Access Уникальная метка 16 bit присваивается каждой роли Представляет привилегии пользователя, устройства или субъекта Тегирование на входе в домен TrustSec Фильтрация по меткам (SGACL) на выходе из домена Правила без IP- адресов Политика распределяется от центрального сервера политик Cisco ISE на локальные устройства TrustSec
Приемущества TrustSec:
Платформа единой политики: сценарии использования
Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль