Безопасность сетевого доступа. Архитектура Cisco TrustSec .

1. Безопасность сетевого доступа. Архитектура Cisco TrustSec. Андрей Гиль ООО «Мобильный сервис» ag@netland.by

2. Зачем нужен TrustSec? • Обеспечивает контроль доступа в масштабах всей сети • Добавляет гибкость и масштабируемость безопасности сети • Повышает уровень защищенности и контроля сети

3. Идентификация • NAC нового поколения • Кто/Что/Откуда/Когда и Как • TrustSec – система идентификации • TrustSec – системный подход к единому управлению на основе политик и ролей

4. TrustSec= Идентификация Аутентификация Авторизация Учет

5. TrustSec–что это? • IEEE 802.1X (Dot1x) • Технологии профилирования • Гостевой сервис • Secure Group Access (SGA) • MACSec (802.1AE) • Identity Services Engine (ISE) • Access Control Server (ACS)

6. TrustSec–как это? Нет необходимости модернизировать существующую сеть

7. 802.1X • Только сотрудники имеющие уникальный идентификатор могут получить доступ к информационной инфраструктуре • Любой доступ контролируется и отслеживается

8. DHCP TFTP KRB5 HTTP ? Без 802.1X • Нет видимости • Нет контроля доступа SWITCHPORT ? USER

9. DHCP TFTP KRB5 HTTP EAPoL ? Сеть под охраной • Весь трафик кроме EAPoLблокируется • Строгий контроль доступа SWITCHPORT ? USER

10. DHCP TFTP KRB5 HTTP Сеть под охраной После аутентификации: • Пользователь или устройство идентифицированны • Доступ контролируется SWITCHPORT

11. Сеть под наблюдением Режим Monitor Mode: • Включает аутентификацию 802.1Х на коммутаторе • Даже в случае неудачной аутентификации обеспечивает доступ • Позволяет администратору избежать создания Denial of Service атаки • Cisco ISEдетально отображает все попытки доступа в сеть

12. Что упускает 802.1X? • Не-аутентифицируемые устройства • Устройства не поддерживающие язык EAP • Принтеры, ip телефоны, камеры, считыватели • Как поступить с такими устройствами? • Не включать 802.1X на портах? • Что делать если они перемещаются? • Решение – MAC Authentication Bypass (MAB)

13. MAB это заплатка • В идеале все устройства должны пройти аутентификацию • MAB ни в коем случае не замена 802.1X • Список MAC адресов может быть локальным или централизованным с помощью сервера Cisco ISE

14. Гостевой доступ • Проблемы с гостями: • Гости не имеют сконфигурированных супликантов • Не авторизованы для доступа • Решение проблемы: • Dot1x таймауты • WEB аутентификация с помощью Cisco ISE

15. Жизненный цикл гостевого доступа

16. Профилирование • Задача: требуется автоматический процесс построения списка MAB. • Решение: Профилирование устройств • Прозрачность в сети • Построение политик на основе роли пользователя и типе устройства

17. Управление безопасностью конечных устройств • Задача: • Сотрудники банка должны использовать только проверенные устройства • Все устройства должны быть оснащенны антивирусом Anti-Virus, который должен быть запущен и иметь последние обновления • На всех гостевых устройствах должен быть запущен антивирус • Решение: • Проверка состояния с помощью Cisco ISE

18. Сердце TrustSec • Центральные политики • AAA сервисы • Проверка состояния • Гостевой доступ • Профилирование • Мониторинг • Поиск неисправностей • Отчетность Сервер политик спроектированный для TrustSec ACS NAC Profiler NAC Guest Identity Services Engine NAC Manager NAC Server

19. Следующий шаг!Secure Group Access • Уникальная метка 16bit присваивается каждой роли • Представляет привилегии пользователя, устройства или субъекта • Тегирование на входе в домен TrustSec • Фильтрация по меткам (SGACL) на выходе из домена • Правила без IP- адресов • Политика распределяется от центрального сервера политик Cisco ISE на локальные устройства TrustSec

20. Приемущества TrustSec:

21. Платформа единой политики: сценарии использования

22. Безопасность сетевого доступа. Архитектура Cisco TrustSec. АндрейГиль +375 44 771 20 75 ag@netland.by