W dążeniu do doskonałości Cisco TrustSec III. Security Group Tag. Paweł Latała. Cisco Systems

Transkrypt

1 W dążeniu do doskonałości Cisco TrustSec III Security Group Tag Paweł Latała Cisco Systems

2 Definicja problemu Security Group Tag Klasyfikacja Transport Enforcement (egzekwowanie polityk) Zastosowania Podsumowanie 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

3 Definicja problemu Security Group Tag Klasyfikacja Transport Enforcement (egzekwowanie polityk) Zastosowania Podsumowanie 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

4 Wstęp do SGT Kontrola dostępu do sieci w działaniu Tożsamość HQ 1 IEEE 802.1X EAP Uwierzytelnianie użytkownika Komputer służbowy 2 Profiling (identyfikacja urządzenia) Cisco ISE 4 Zasoby korporacyjne Profiling HTTP NetFlow SNMP DNS RADIUS DHCP 2:38 p.m. Wireless LAN Controller Decyzja Tylko internet Urządzenie pry watne 3 Posture (stan urządzenia) Sy stem zarządzania 5 Wymuszanie polityki w sieci 6 Przyznany pełny lub ograniczony dostęp do sieci 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

5 Wstęp do SGT Segmentacja VLAN Filtrow anie dacl na w ejściu Data VLAN Voice VLAN Quarantine VLAN Data VLAN Voice VLAN L2 Access L3 Distribution L2 Access Distribution Subnet DHCP Scope IP Address Design STP HSRP VACL PBR permit ip any /24 deny udp any /24 eq 445 permit tcp any /24 eq 80. Oparte o standardy (agnostyczne od producenta) Łatwa implementacja Ukryte koszty implementacji Potrzeba kreacji wszędzie nowych VLANów Punkt definicji polityk i ACL nadal statyczne Pracochłonne utrzymanie zmian chronionych zasobów Niezależne od topologii (podmieniamy źródło) Centralnie zarządzana polityka (dynamiczne przypisanie) Wszystkie chronione zasoby muszą być zdefiniowane Wyzwanie z pojemnością ACE w TCAM Pracochłonne utrzymanie zmian chronionych zasobów 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

6 Wstęp do SGT NY SF LA NY / / / / / /24. DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) Serw ery Produkcyjne SJC DC-RTP (VDI) Source Tradycyjne Reguły ACL/FW Destination permit NY to SRV1 for HTTPS deny NY to SAP2 for SQL deny NY to SCM2 for SSH permit SF to SRV1 for HTTPS deny SF to SAP1 for SQL deny SF to SCM2 for SSH permit LA to SRV1 for HTTPS deny LA to SAP1 for SQL deny LA to SAP for SSH Globalny Bank = dedykowanych 24 inżynierów ACL dla 3 obiektów source & 3 destination dla zarządzania regułami Firewalli Permit SJC to SRV1 for HTTPS Wysoka złożoność deny SJC to SAP1 replikowalnych for SQL Dodanie source czynności Object administracyjnych deny SJC to SCM2 for SSH permit NY to VDI for RDP deny SF to VDI for RDP deny LA to VDI for RDP deny SJC to VDI for RDP Dodanie destination Object 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

7 Wstęp do SGT SGT = Security Group Tag = Znacznik Grupy Bezpieczeństwa SGT pozwalają zdefiniować politykę w sensowny, wysokopoziomowy sposób Klasyfikacja kontekstualna Polityka Biznesowa TAG Security Group Tag Destination Source HR Database Prod HRMS Storage Exec BYOD X X X Rozproszone w ymuszenie polityki Exec PC X X Prod HRMS HR Database X Switch Router DC FW DC Switch 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

8 Wstęp do SGT Niezależnie od topologii sieci, czy lokalizacji polityka (Security Group Tag) dla użytkownika, urządzenia, serwera Aggregation Layer Data Center Firewall Data Tag Supplier Tag Guest Tag Quarantine Tag Access Layer Voice Data Suppliers Guest Quarantine Utrzymanie pierwotnej struktury sieci VLAN 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

9 Wstęp do SGT Marketing NY SF LA SJC DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) DC-RTP (VDI) Production Servers BYOD Source SGT: Employee (10) Security Group Filtering Destination SGT: Production_Servers (50) BYOD (200) VDI (201) Polityka podąża za użytkownikiem / maszyną niezależnie od lokalizacji / topologii Permit Employee to Production_Servers eq HTTPS Permit Employee to Production_Servers eq SQL Permit Employee to Production_Servers eq SSH Uproszczony Audyt (Niższy OPEX) Permit Employee to VDI eq RDP VDI Servers Łatwiejsze utrzymanie reguł bezpieczeńswa (Optymalizacja) Deny BYOD to Production_Servers Deny BYOD to VDI eq RDP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

10 Wstęp do SGT Użytkownicy / Urządzenia Klasyfikacja ISE Enforcement Directory Fin Servers SGT = 4 SGT:5 HR Servers SGT = 10 Switch Router DC FW DC Switch Transport SGT SGT to firewall kontekstowy i/lub system kontroli dostępu Klasyfikacja systemów/użytkowników oparta jest o kontekst (rola użytkownika, urządzenie, lokalizacja, metoda dostępu) Klasyfikacja kontekstowa jest propagowana z użyciem SGT SGT jest używane przez urządzenia sieciowe (firewall, router, przełącznik) dla inteligentnych decyzji związanych z filtrowaniem ruchu od kampusu po data center 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

11 Wstęp do SGT Kontrola dostępu w oparciu o grupy bezpieczeństwa Niezależna od topologii kontrola dostępu w oparciu o role Skalowalny proces znakowania na wejściu via Security Group Tag (SGT) / filtrowania na wyjściu via Security Group ACL (SGACL) Centralne zarządzanie / Rozproszone egzekwowanie polityk Uwierzytelnione środowisko sieciowe Punkty końcowe uwierzytelniane z wykorzystaniem 802.1X, MAB, Web Auth Uwierzytelnione urządzenia tworzą zaufane środowisko sieciowe Tylko zaufana sieć nakłada Security Group TAG Poufność i integralność Szyfrowanie ruchu w oparciu o IEEE802.1AE (AES-GCM 128-Bit) Szyfrowanie z prędkością interfejsu hop by hop w warstwie 2 Zarządzanie kluczami w oparciu o protokół SAP/802.1X-2010/MKA Więcej informacji: Cisco and/or its affiliates. All rights reserved. Cisco Public 11

12 Wstęp do SGT Klasyfikacja Zarządzanie politykami Cataly st 2K Cataly st 3K Cataly st 4K Cataly st 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

13 Definicja problemu Security Group Tag Klasyfikacja Transport Enforcement (egzekwowanie polityk) Zastosowania Podsumowanie 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

14 Klasyfikacja Klasyfikacja Zarządzanie politykami Cataly st 2K Cataly st 3K Cataly st 4K Cataly st 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

15 Klasyfikacja Użytkownicy/urządzenia Warstwa dostępowa w oparciu o urządzenia Cisco Prof iling Web Auth MAB ISE IP-SGT NX-OS/ CIAC/ Hy perv isors SGT VLAN-SGT Port-SGT Data Center/ Wirtualizacja 802.1X SGT IOS/Routing Port Prof ile Kampus/dostęp zdalny Sieci heterogeniczne, starsze urządzenia Cisco SGT VLAN-SGT IPv 4 Pref ix Addr.Pool-SGT Learning IPv 6 Pref ix IPv 4 Subnet-SGT Learning IPv 6 Pref ix- SGT Kontrola dostępu dla partnerów biznesowych/dostawców 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

16 Klasyfikacja Interfejs SVI do SGT Klasyfikacja użytkownika / urządzenia do SGT Mapowanie serwera fizycznego do SGT Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SRC: Hypervisor SW Mapowanie VLAN do SGT W LC FW Urządzenie BYOD jest klasyfikowane do SGT Mapowanie maszyny wirtualnej do SGT 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

17 Klasyfikacja Proces mapowania SGT do adresu IP Może być statyczna lub dynamiczna Dynamiczna 802.1X MAC Authentication Bypass Web Authentication Statyczna IP to SGT Mapping VLAN to SGT Mapping Subnet to SGT Mapping L2 Interface to SGT Mapping L3 Interface to SGT Mapping Nexus Port Profile to SGT Mapping Layer 2 IP to Port Mapping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

18 Klasyfikacja Suplikant Switch / WLC ISE 00:00:00:AB:CD:EF Layer 2 Layer 3 EAPoL Transaction RADIUS Transaction EAP Transaction 1 Authorized MAC: 00:00:00:AB:CD:EF SGT = 5 Authorization SGT Authentication Authorized 0 Ewaluacja Polityki 2 DHCP cisco-av-pair=cts:security-group-tag= DHCP Lease: /24 ARP Probe IP Dev ice Tracking Binding: 00:00:00:AB:CD:EF = /24 3 SRC: = SGT X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= :SGA_Device INTERNAL :Employee LOCAL Wymagany jest IP Device Tracking 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

19 Klasyfikacja 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

20 Klasyfikacja Przykład IOS CLI Mapowanie IP do SGT cts role-based sgt-map A.B.C.D sgt SGT_Value Mapowanie L2IF do SGT * (config-if-cts-manual)#policy static sgt SGT_Value Mapowanie VLAN do SGT* cts role-based sgt-map vlan-list VLAN sgt SGT_Value Mapowanie L3IF do SGT** cts role-based sgt-map interface name sgt SGT_Value Mapowanie Podsieci do SGT cts role-based sgt-map A.B.C.D/nn sgt SGT_Value Mapowanie L3 ID do Portu** (config-if-cts-manual)#policy dynamic identity name * Zależy od IP Device Tracking ** Zależy od Route Prefix Snooping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

21 Klasyfikacja Switche/AP 3 rd Party lub Legacy VLAN 10 -> Employee: SGT (10/000A) VLAN 11 -> Contractor: SGT (11/000B) Łącze Trunk 802.1X RADIUS Contractor MAC: BC.14AE /32 Cat6500/Sup2T 3K-X ISE 1.1 Pracownik MAC: BC.237B /32 Traffic MAC Address Port SGT IP Address VLAN IP Device Tracking (ARP/DHCP inspection) N7K BC.14A E Fa2/1 11/000B SXP Binding Table BC.237 B Fa2/1 10/000B Cat6500/Sup2T Tagging 3K-X SRC: SGT (11/000B) SRC: SGT (10/000A) * Istnieją limity wspieranych VLAN ów 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21 Tagging

22 Klasyfikacja Monitorowanie prefiksów routingu na określonym interfejsie L3 i przypisanie SGT Może być zaaplikowane do interfejsu L3 niezależnie od rodzaju interfejsu fizycznego: Routed port SVI (interfejs VLAN interface) Subinterfejs Layer 3 portu Layer 2 Tunnel interface cts role-based sgt-map interface GigabitEthernet 3/0/1 sgt 8 cts role-based sgt-map interface GigabitEthernet 3/0/2 sgt 9 Route Updates /24 VSS-1#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== INTERNAL INTERNAL INTERNAL /24 8 L3IF /24 9 L3IF /24 9 L3IF Joint Ventures g3/0/1 EOR DC Access Business Partners g3/0/2 Route Updates / /24 Hyperv isor SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

23 Transport Klasyfikacja Zarządzanie politykami Cataly st 2K Cataly st 3K Cataly st 4K Cataly st 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

24 Transport ETHTYPE:0x8909 DMAC SMAC 802.1Q CMD ETYPE PAYLOAD CRC Security Group Tag CMD EtherType Version Length SGT Opt Ty pe SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) CMD Narzut SGT Ethernet Frame field Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna się przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 20 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) Wsparcie dla N5k. Wsparcie ISR/ASR w trakcie Cisco and/or its affiliates. All rights reserved. Cisco Public 25

25 Transport ETHTYPE:0x88E5 Encrypted field by MACsec Security Group Tag DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) 802.1AE Header CMD ICV jest to narzut L AE + SGT Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna się przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 40 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) MACsec jest opcjonalny Ethernet Frame field 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

26 Transport SXP jest protokołem Control Plane, który służy do transportu mapowań IP- SGT SXP używa TCP jako protokołu transportowego Przyspiesza wdrożenie SGT SXP SW SXP (Agregacja) RT Wspiera Single Hop SXP & Multi-Hop SXP (agregacja) Dwie role: Speaker (nadawca) i Listener (odbiorca) Speaker SW Listener SXP Zapewnia możliwość wdrożenia SGT bez konieczności kompleksowej wymiany sprzętu SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

27 Transport Inline SGT Tagging SXP CMD Field IP Address SGT ASIC Opcjonalnie zaszyfrowan e ASIC ASIC L2 Ethernet Frame SRC: Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SXP SRC: Hypervisor SW Inline SGT Tagging: Wsparcie sprzętowe na platformie SXP: Jeżeli urządzenie nie wspiera Inline (non SGT-capable) WLC FW IP Address SGT SRC Local SXP IP-SGT Binding Table 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

28 Transport IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x02 (SYN) IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 (ACK) Speaker TCP SYN TCP SYN-ACK IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x12 (SYN, ACK) Listener CTS6K TCP ACK CTS7K (SGT6) SXP OPEN ISE 1.1 IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 ( ACK) SXP Type: Open Version: 1 Device ID: CTS6K IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 (ACK) SXP Type: Update Update Type: Install IP Address: SGT: 6 SXP UPDATE SXP OPEN_RESP IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x18 (PSH, ACK) SXP Type: Open_Resp Version: 1 Device ID: CTS7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

29 Transport Single-Hop SXP SXP Speaker Listener Domena Non-TrustSec SGT Enabled SW/WLC SGT Capable HW Multi-Hop SXP SXP SXP Speaker Listener Speaker Listener SGT Enabled SW/WLC SGT Enabled SW SGT Capable HW Speaker SXP SGT Enabled SW/WLC 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

30 Transport Data Center IP Address SGT Contractor Employee - 30 N7K NDAC/SAP 802.1AE Encryption Contractor - 10 SXP Employee K w/720 6K w/ SUP 2T ISRG2 15.2(2)T ASR1K - IOS XE 3.4 ASR1K Listener-1 SXP ASR1K Listener-2 Cat6K(SUP 2T) - IOS 12.2(50)SY1 SXP WAN SXP Jednokierunkowy transport Enforcement branch do DC Speaker-1... Speaker-300 IP Address SGT IP Address SGT Contractor Contractor - 10 Employee Employee Cisco and/or its affiliates. All rights reserved. Cisco Public 31

31 Transport Data Center N7K ASR1K 3.9 Cat6K (SUP 2T) 15.1(1)SY ISR-G2 15.3(2)T Dwukierunkowe SXP z wykrywaniem pętli IP Address SGT Contractor - 10 Employ ee - 30 Contractor - 10 Employ ee - 30 ASR1K 6K 6K ASR1K Pozwala ASR1K być relay IP/SGT remote-to-remote SXPv 4 Listener-1 WAN Listener-2 SXPv 4 IP Address SGT Contractor - 10 Speaker-1 IP Address... SGT Speaker Employ ee Contractor Contractor Employ ee Employ ee Contractor Employ ee Cisco and/or its affiliates. All rights reserved. Cisco Public 32

32 Transport SGACL WLC MACSec AP SGT L2 Frame Finance Catalyst Switch ISE Catalyst Switch Branch Network IPSEC Nexus 5500/2000 SXP Internet Employee Remote Networks Catalyst 6500 Nexus 7000 Data Center Catalyst Switch Admin IPSEC Contractor IPSec inline Tagging Nagłówek ESP Wymiana SGT Capability w trakcie negocjacji IKEv2 Pobieranie SGT z SXP lub metod Autoryzacji Wsparcie dla Site-to-Site IPSec DMVPN, DVTI, SVTI 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33

33 Transport SGACL MACSec AP Finance WLC ISE SGT L2 Frame Catalyst Switch Branch Network GETVPN Catalyst 6500 Nexus 5500/2000 SXP Internet GETVPN Nexus 7000 Data Center Employee Remote Networks HR GETVPN Catalyst Switch Contractor ISR-G2 15.3T i ASR 3.9 GETVPN inline Tagging nagłówek GET Wymiana SGT Capability w trakcie negocjacji GET/GDOI Pobieranie SGT z SXP lub metod autoryzacji 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

34 Enforcement Klasyfikacja Zarządzanie politykami Cataly st 2K Cataly st 3K Cataly st 4K Cataly st 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

35 Enforcement Klasyfikacja Docelowa: Web_Dir: SGT 20 CRM: SGT 30 Mary uwierzytelniona i sklasyfikowana jako Marketing (5) FIB Lookup Docelowy MAC/Port SGT 20 ISE SRC: Cat3750X 5 SRC: DST: SGT: 5 Cat6500 Cat6500 Nexus 7000 Rdzeń Sieci Enterprise Nexus 5500 Nexus 2248 Nexus 2248 W eb_dir DST: SGT: 20 CRM DST: SGT: 30 WLC5508 ASA5585 SRC\DST Marketing (5) Web_Dir (20) SGACL-A CRM (30) SGACL-B BYOD (7) Deny Deny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37

36 Enforcement Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38

37 Enforcement Dlaczego RADIUS CoA? SGT SGT SGT SGT SGT Wymuszenie SGACL za Enforcement pomocą SGACL cts ro le-based perm issions from 10 to 222 permit t tcp t dst d eq per denmi y t ip t cp d st eq 80 deny ip Domena Cisco TrustSec Identity Service Engine SRC \ DST Server A (111) Server B (222) User A (10) Permit all SGACL-C SGACL-A VLAN 110 VLAN 120 VLAN 130 User B (20) Deny all SGACL-B 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39

38 Enforcement Z RADIUS CoA? SGT SGT SGT SGT SGT Wymuszenie SGACL za Enforcement pomocą SGACL cts ro le-based perm issions from 10 to 222 permit t tcp t dst d eq per denmi y t ip t cp d st eq 80 deny ip Domena Cisco TrustSec Identity Service Engine VLAN 110 VLAN 120 VLAN 130 SRC \ DST Server A (111) Server B (222) User A (10) Permit all SGACL-C SGACL-A User B (20) Deny all SGACL-B aaa server radius dynamic-author client server-key cisco Cisco and/or its affiliates. All rights reserved. Cisco Public 40

39 Enforcement Prosta do zrozumienia architektura Polityka dotyczy ról użytkowników i ról serwerów Zmiany i przesunięcia nie wymagają modyfikacji reguł Nowe serwery/użytkownicy wymagają tylko określenia przynależności do grupy Zapewnia skalowalność i wydajność Wspólna metoda klasyfikacji dla sieci LAN i Data Center Dokładniejszy audyt na zgodność Source Destination Action IP SGT IP SGT Port Action /24 - HIPAA Compliance Server HTTP Allow Any Web Server PCI-Server SQL Allow Any Audit PCI Servers TCP Allow Any Guest Any Any Any Deny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41

40 Enforcement 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42

41 Definicja problemu Security Group Tag Klasyfikacja Transport Enforcement (egzekwowanie polityk) Zastosowania Podsumowanie 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43

42 Zastosowanie NW3 NW2 NW4 NW1 NW5 Secure Wi-Fi Wired Serw ery fizyczne VMs SGT10 SGT20 SGT40 SGT30 Kontrola dostępu do zasobów Data Center Segmentacja serw erów 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44

43 Zastosowanie Możliwości sprzętowe platform są różne Wyróżniamy dwa typy platform obsługujących SGT/SGACL Port/VLAN - SGT/SGACL tagging/enforcement 3KX, N5K IP/SGT tagging/enforcement CAT6K/SUP2T, N7K moduły M i F, Cat 4K/Sup7E, Cat 3850/5760, ASR1K Możliwości sprzętowe wpływają na Wykorzystanie SXP Skalowalność platformy w zakresie SGT/SGACL - Istnieją ograniczenia dotyczące liczby SGT / DGT oraz ACEs w TCAM Wpisy ACE są współdzielone pomiędzy SGT/DGT, kiedy to możliwe Projektując sieć, należy zastanowić się, czy możliwości sprzętowe platfomy będą miały wpływ na jej konstrukcje Generalna reguła SXP kiedy trzeba, TAG kiedy możesz 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45

44 Zastosowanie Campus Access User A 10 User B 20 Kontrola ruchu pomiędzy użytkownikami sieci LAN a Data Center Ruch użytkowników znakowany (SGTagged) na dostępie via 802.1X, MAB lub Web Authentication SGT Assignment via 802.1X, MAB, Web Auth Access Layer Tagging Cat3750/X Cat6500 Cat3750/X Cat6500 SGT dla serwerów przypisywane przez mapowanie statyczne SGTag propagowany przez warstwę dostępową, dystrybucyjną aż do Data Center Egzekwowanie reguł SGACL na przełączniku dostępowym w Data Center Data Center Enforcement Cat6500 Cat6500 Data Center Nexus 7010 SRC \ DST File Server (111) Web Server (222) User A (10) Permit all SGACL-B User B (20) Deny all SGACL-C N5K File Serv er WEB Serv er SQL Serv er ISE 1.1 Directory Serv ice SGACL Enforcement 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 48

45 Zastosowanie Egress Enforcement Security Group ACL PCI Server Campus Network ACME Server Users, Endpoints Catalyst Switches/W LC (3K/4K/6K) N7K ACME Server Monitor Mode AUTH=OK SGT= PCI User (10) authentication port-control auto authentication open dot1x pae authenticator SRC \ DST ACME User(8) PCI User (10) Unknow n (0) PCI Server (111) Deny all Permit all Deny all 1. Użytkownik dołącza się do sieci 2. Tryb Monitor zezwala na ruch od użytkownika przed uwierzytelnieniem 3. Uwierzytelnianie jest wykonywane, a wyniki są rejestrowane w ISE 4. Pakiety wędrują do Data Center i trafiają w listy SGACL w punkcie egzekwowania polityki bezpieczeństwa 5. Tylko dozwolony ruch (źródłowy SGT do docelowego SGT) jest przesyłany ACME Server (222) Permit all Permit all Deny all 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 49

46 Zastosowanie Ruch East-West chroniony przez SGACL Z 3750/2960S -> 3750X reguły na 3750X DGT na 3750X Bez IP/SGT na Cat6K Z 3750X-> 3750/2960S reguły Cat6K IP/SGT na Cat6K w celu określenia DGT Z WLC-> 3750X reguły na 3750X DGT na 3750X Bez IP/SGT na Cat6K Z WLC-> 3750/2960S reguły Cat6K Ruch North-South IP/SGT na Cat 6K w celu określenia DGT Od warstwy dostępowej (3K, 3KX, WLC) do DC reguły egzekwowane w DC Z DC do warstwy dostępowej (3K, 3KX, WLC) DC -> 3K i WLC na Cat6K DC -> 3KX na 3KX Cat3750-X 5508 WLC 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50 AP Cat3750/2960S SXP Cat6k Non SGT Core SXP Cat6k L3TF SXP Security exchange Protocol L3TF Layer 3 Tag Forwarding SGT over Ethernet (SGToEthernet)

47 Zastosowanie SGT Name Download IP Address SGT SXP SGFW Wymuszenie na Firewallu Polityki ASDM SGT 10 = PCI_User SGT 100 = PCI_Sv r ISE dla Polityk SGACL Marketing (10) Campus Network SGACL Autoryzacja z przydzieleniem SGT SXP Wymuszenie na switchu Data Center Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na firewallach ASA Synchronizacja grup SGT z ISE i ASDM na firewallach ASA Bogate logowanie zdarzeń na SGFW Zarządzanie regułami 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51

48 Zastosowanie ISE for SGACL Policies SXP SGFW Enforcement on a ASR PCI SGACL Campus Network SGFW IP Address SGT Marketing (10) Enforcement on a ISR SXP Enforcement on a switch Data Center Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na routerach ISR-G2 / ASR1000. Wykorzystanie integracji Zone-Based Firewall z SGT Wsparcie ZBFW Active/Active dla routingu asymetrycznego po stronie headendu 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 52

49 Zastosowanie Security Group Firewalling Automatyzacja reguł Firewalla z użyciem funkcji ASA SG-Firewall Data Center Rdzeń DC Agregacja Security Group Firewalling Automatyzacja reguł Firewalla z użyciem funkcji ASA SG-Firewall DC Uslugi Security Group ACLs Segmentacja bazująca na matrycy SGACL Aplikowane na przełącznikach Nexus 7000/5500 niezależnie od topologii DC Dostęp Dostęp wirtualny Serw ery Fizyczne Serw ery Wirtualne SGACL enabled Device SG Firew all enabled Device 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 53

50 Zastosowanie Port-Profile kontener właściwości sieciowych VM dziedziczą konfigurację sieciową przy nadaniu Port-Profile Administrator VM otrzymuje gotowy konstrukt do użycia 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 54

51 Zastosowanie Port-profile są przypisaywane do VMs PCI_DB PCI_Web GeneralServers Employees PCI_Users Nexus 1000V propaguje SGT z użyciem SXP do przełączników i firewalli 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 55

52 Zastosowanie PCI_Users Campus Network Risk Level 1 SXP SXP Risk Level 2 ISE PCI_Web PCI_App PCI_DB LOB2_DB Klasyfikacja SGT serwerów (N1KV Port Profile, N7K IP/SGT) SGACL na przełącznikach w obrębie jednego dzierżawcy (Risk level) ASA SGFW pomiędzy dzierżawcami (mapowania IP/SGT za pomocą SXP) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 56

53 Definicja problemu Security Group Tag Klasyfikacja Transport Enforcement (egzekwowanie polityk) Zastosowania Podsumowanie 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 57

54 SGT transport CY12 Normal Link In-line SGT Tagging Podsumowanie Campus Access Block Cat3850 AP Cat3850 Cat3560-X Cat3560-X AP Cat4500 Cat4500 Cat4500 Cat6500/Sup2T Cat6500/Sup2T 5508 WLC Branch Block Internet Edge Block ISR G2 with SM-ES3G-24-P Cat6500/Sup2T Cat6500/Sup2T ISR G2 with SM-ES3G-24-P Cat3750-X ASA RA-VPN Branch-HQ WAN SXP only ASR1K ASA N7K Core Block N7K ASA ASA+IPS+CX Outside Switch ISR G2 ISR G2 AP 5508 WLC N2248 WLC 5760 DMZ Switch ASR1K Cat3750-X ASA-1kv CSR-1kV VSG N5K N1KV N5K N2K Nexus 6000 ISE1.2 Web Security Appliance Internet C800 (CVO) SSL-VPN (RAS) VDI Infra UCS DC Block 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 58

55 SGT Enforcement CY2013 Normal Link In-line SGT Tagging Podsumowanie Campus Access Block Cat3850 SGACL Cat3850 Cat3560-X SGACL Cat3560-X SGACL AP AP Cat4500 Cat4500 Cat4500 Cat6500/Sup2T Cat6500/Sup2T 5508 WLC SGACL Branch Block Internet Edge Block IPSec DM-VPN GET-VPN FlexVPN All SGT-capable ISR G2 ZBSGFW ZBSGFW ASR1K Cat6500/Sup2T Cat6500/Sup2T Core Block SGACL Cat3750-X ASA+IPS+CX ASA RA-VPN ASA N7K N7K ASA Outside Switch ISR G2 ISR G2 SGFW SGFW AP Cat3750-X SGACL 5508 WLC N2248 ASA-1kv CSR-1kV VSG SGACL N5K N1KV N5K N2K SGACL 5760 WLC DMZ Switch Nexus 6000 ISE1.2 Web Security Appliance Internet ASR1K ZBSGFW C800 (CVO) SSL-VPN (RAS) VDI Infra UCS DC Block 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 59

56 Podsumowanie SGT bazują na tożsamości i kontekście SGT udostępnia skalowalny mechanizm kontroli dostępu użytkownika do sieci Możliwość wdrożenia w trybie migracji bez konieczności kompleksowej wymiany istniejącego sprzętu SGT są możliwe do wdrożenia dzisiaj Zamiast demonstracji zachęcam do obejrzenia krótkich filmów (Cisco ISE 1.1 Security Group Access (SGA) with ASA 9.1 TrustSec): Cisco and/or its affiliates. All rights reserved. Cisco Public 60

57 Podsumowanie Trustsec & ISE on Cisco.com TrustSec & ISE Deployment Guide: 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 61

58

59