TrustSec. Czyli segmentuj i rządź w LAN, DC, WAN i VPN. Paweł Latała Consulting Systems Engineer. Cisco Secure 2014

Transkrypt

1 TrustSec Czyli segmentuj i rządź w LAN, DC, WAN i VPN Paweł Latała Consulting Systems Engineer Cisco Secure 2014

2 Agenda* Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie * W trakcie dzisiejszej prezentacji będziemy bazować na specyfikacji TrustSec 5.0 Cisco Public 2

3 Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 3

4 Polityka dostępu - Kto, Co, Gdzie, Kiedy, Jak? Network Access Workflow Policy-governed Unified Access Tożsamość HQ 1 IEEE 802.1X EAP Uwierzytelnianie użytkownika Urządzenie firmowe 2 Profilowanie identyfikacja urządzenia Cisco ISE 4 Zasoby firmowe Profiling HTTP NetFlow SNMP DNS RADIUS DHCP 2:38 p.m. Wireless LAN Controller Polityka decyzja Tylko Internet Urządzenie osobiste 3 Stan urządzenia (posture) Unified Access Management 5 Wymuszanie 6 Przyznany dostęp pełny lub częściowy Cisco Public 4

5 Segmentacja użytkowników Konfigurację trzeba powielać na piętrach, w budynkach, oddziałach ACL Warstwa agregacyjna VLAN Addressing DHCP Scope Redundancy Routing Static ACL Warstwa dostępowa Quarantine Voice Data Suppliers Guest Więcej Prosta reguł segmentacja z wykorzystaniemz wykorzystaniem większej dwóch liczby VLAN ów Cisco Public 5

6 Segmentacja z wykorzystaniem znaczników grup bezpieczeństwa (SGT Security Group Tag) Niezależnie od topologii lub lokalizacji reguły (Security Group Tag) pozostają z użytkownikiem, urządzeniem i serwerem Data Center Firewall Campus Core Data Center TrustSec upraszcza zarządzanie ACL kami dla ruchu intra/inter- VLAN Warstwa dostępowa Employee Tag Supplier Tag Guest Tag Voice Voice Employee Suppliers Guest Non-Compliant Non-Compliant Tag Budynek 3 WLAN Data VLAN Budynek główny Data VLAN Cisco Public 6

7 SGT komponenty Klasyfikacja Zarządzanie regułami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) 5760 Nexus 7000 Nexus 6000 Nexus 5500 Nexus 1000v ASR1K/ISRG2 (SGFW) ASA (SGFW) Identity Services Engine WLAN LAN Zdalny dostęp Propagacja Cat 2K-S () Cat 3K () Cat 3K-X (/Inline) Cat 4K Sup7 (/Inline) Cat 6K Sup720 () Cat 6K Sup2T (/Inline) N7K (/Inline) N6K ( Speaker/Inline) N5K ( Speaker/Inline) N1Kv ( Speaker/Inline) ASR1K (/Inline) ISR G2 (/Inline) ASA (/Inline) Wymuszanie N7K / N6K/N5K/N1KV (SGACL) Cat6K/4K (SGACL) Cat3K-X/3850 (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Cisco Public 7

8 Koncepcja SGT w piśmie obrazkowym Użytkownik, Urządzenie Klasyfikacja Cisco ISE AD Wymuszanie Serwery Fin SGT = 4 SGT:5 Przełącznik Router Cisco ASA Catalyst/Nexus Propagacja znacznika inline lub OOB Serwery HR SGT = 10 Cisco Public 8

9 Przypisanie SGT - dynamicznie lub statycznie Dynamicznie Statycznie Adres IP VLAN Podsieć 802.1X Formatka webowa Interfejs L2 Interfejs L3 Wirtualny Port Profile SGT MAC Auth Bypass Użytkownicy i urządzenia Serwery, polityka bazująca na topologii Cisco Public 9

10 Miejsce przypisania znacznika SGT Dynamiczna klasyfikacja do SGT Interfejs SVI do SGT Fizyczny serwer Dostęp w kampusie Dystrybucja w kampusie Szkielet w kampusie Enterprise Backbone Szkielet w DC Dystrybucja w DC Dostęp w DC SRC: Mapowanie VLAN do SGT Przypisanie taga urządzeniom BYOD WLC Cisco ASA Maszyna wirtualna przypisana do taga Hypervisor SW Cisco Public 10

11 Jakie możliwości oferuje moje urządzenie? Cisco Public 11

12 Dynamiczne przypisanie znacznika przez ISE Cisco Public 12

13 Dynamiczne przypisanie znacznika w szczegółach Suplikant Przełącznik ISE L2 L3 00:00:00:AB:CD:EF 2 DHCP Lease: /24 EAPoL Transaction 1 Autoryzowany MAC: 00:00:00:AB:CD:EF SGT = 5 ARP Probe EAP Transaction DHCP IP Device Tracking RADIUS Transaction Autoryzacja SGT Powiązanie: 00:00:00:AB:CD:EF = /24 3 Uwierzytelnienie Autoryzacja cisco-av-pair=cts:security-group-tag= Sprawdzenie polityki SRC: = SGT 5 IP Device Tracking obowiązkowy! 3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= :SGA_Device INTERNAL :Employee LOCAL Cisco Public 13

14 A co ze środowiskami bez 802.1X Możliwe wyzwania Jak szybko uruchomić 802.1X w sieci przewodowej? Mam kilka starszych urządzeń, które muszę wymienić Chcę utrzymać aktualny podział sieci na VLANy (czy mogę wykorzystać znaczniki SGT do budowy reguł dostępu?) Campus Core Możliwość wykorzystania klasyfikacji statycznej również dla urządzeń mobilnych Dostępne opcje (VLAN-SGT, Subnet-SGT, L3IF- SGT) zapewniają elastyczność we wdrożeniach Non-802.1X Capable Switch 802.1X Disabled Switch VLAN SUBNET SVI Routed Port Cisco Public 14

15 Mapowanie interfejsu L3 do SGT (L3IF-SGT) Sup2T 15.0(1)SY Prefixy otrzymane specyficznym portem L3 są mapowane do SGT Dowolny typ interfejsu L3: Routed port, SVI (VLAN interface), Tunnel interface cts role-based sgt-map interface GigabitEthernet 3/0/1 sgt 8 cts role-based sgt-map interface GigabitEthernet 3/0/2 sgt 9 Klienci Route Updates /24 g3/0/1 VSS-1#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== INTERNAL INTERNAL INTERNAL /24 8 L3IF /24 9 L3IF /24 9 L3IF EOR DC Access Partnerzy Biznesowi g3/0/2 Route Updates / /24 Hypervisor SW Cisco Public 15

16 Przypisanie znacznika SGT na Nexus 1000V Interfejs VM dziedziczy ustawienia sieciowe z Port Profilu Port Profil określa m.in. znacznik SGT Znacznik SGT podąża za maszyną nawet, gdy zostanie przeniesiona na innego hosta Cisco Public 16

17 Inline vs propagacja SGT Tablica powiązań IP- SGT IP Address SGT SRC Local Inline SGT Tagging SGT = 50 Inline kiedy możesz! kiedy musisz! Wired Access Non-SGT capable Campus Core Wireless Ramka Ethernet Access SRC: ASIC IP Address Enterprise Backbone SGT=50 SGT ASIC DC Firewall Opcjonalne szyfrowanie DC Core DC Distribution ASIC DC Virtual Access DC Physical Access Inline Tagging (data plane): Jeśli ASIC wspiera SGT (control plane): W każdym innym przypadku SGT 20 VM Server PCI VM Server SGT 30 Physical Server Physical Server Cisco Public 17

18 Przenoszenie znacznika OOB: SGT exchange Protocol () Protokół sterujący, którego rolą jest przenoszenie mapowań IP-SGT uwierzytelnionych hostów do punktu wymuszenia polityki dostępu SW (Aggregation) RT TCP jako protokół transportowy Speaker Listener Ułatwia i przyspiesza wdrożenia SGT Single Hop & Multi-Hop SW Dwie role: Speaker (Initiator) Listener (Receiver) SW Cisco Public 18

19 Typy połączeń Single-Hop Speaker Listener Sieć bez wsparcia dla Enabled Switch/WLC SGT Capable HW Multi-Hop Speaker Listener Speaker Listener Enabled SW/WLC Speaker Enabled SW SGT Capable HW Enabled SW/WLC Cisco Public 19

20 Wersje protokołu Version 1 Pierwsza wersja propaguje informacje o powiązaniach IPv4 (N7K, N6K, N5K, N1KV stan na czerwiec 14) Ogranicza to platformy oparte o NXOS do komunikacji jednokierunkowej np. z przełącznika dostępowego do agregacyjnego/firewall a Wymaga uwzględnienia w projekcie sieci Version 2, wprowadza wsparcie dla propagacji informacji o powiązaniach dla IPv6 i mechanizm negocjacji wersji (starsze przełączniki i routery IOS, ASA, WLC sprzed marca 13) Version 3, dodaje obsługę propagacji powiązań Subnet/SGT (tylko Cat6K). W komunikacji z listenerem o niższej wersji ma możliwość rozwijania podsieci Version 4, wprowadza mechanizm detekcji i ochrony przed pętlami, wymiany informacji o możliwościach urządzenia oraz posiada wbudowany mechanizm Keep Alive (nowe przełączniki i routery IOS od marca 13) Umożliwia dwukierunkowe wymiany powiązań IP/SGT Zwiększa elastyczność we wdrożeniach Cisco Public 20

21 Informational Draft został opublikowany jako draft do IETF jako Source-Group Tag exchange Protocol (możliwe zastosowania poza bezpieczeństwem) Specyfikuje v4 ze wsteczną kompatybilnością do v2 i v3 Cisco Public 21

22 Szyfrowanie AES-GCM 128bit Przenoszenie znacznika SGT in-line Szybsze i bardziej skalowalne wdrożenia SGT osadzony w polu Cisco Meta Data (CMD) w ramce Ethernet Przełączniki ze wsparciem dla SGT przetwarzają ramki line-rate owo Opcjonalnie można zaszyfrować ramkę w L2 przy pomocy MACsec (IEEE802.1AE) Nie wpływa na QoS, IP MTU/Fragmentację Ramka L2 większa o ~20/40 bajtów Maksymalnie ~ 64,000 znaczników SGT (pole 16-bitowe) Urządzenia bez wsparcia SGT mogą dropować ramki Ramka Ethernet Destination MAC Source MAC 802.1Q CMD ETHTYPE PAYLOAD CRC ETHTYPE:0x8909 Cisco Meta Data CMD EtherType Version Length SGT Option Type SGT Value Other CMD Option Ramka MACsec Destination MAC Source MAC 802.1AE Header 802.1Q CMD ETHTYPE PAYLOAD 802.1AE Header CRC ETHTYPE:0x88E5 Cisco Public 22

23 SGT Uwierzytelnianie i autoryzacja łączy Mode MACSEC MACSEC Pairwise Master Key (PMK) MACSEC Pairwise Transient Key (PTK) Encryption Cipher Selection (no-encap, null, GCM, GMAC) Trust/Propagation Policy for Tags cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured cts manual with encryption Y Static Dynamic Static Static cts manual no encryption N N/A N/A N/A Static CTS Manual jest mocno rekomendowaną opcją dla propagacji SGT cts dot1x powoduje wyłączenie łącza w momencie awarii serwera AAA. Silnie wiąże więc stan łącza ze stanem serwera AAA Niektóre platformy (ISRG2, ASR1K, N6K, N5K, N1KV, ASA) obsługują tylko tryb cts manual/no encryption Cisco Public 23

24 SGT/SGACL w działaniu End user authenticated Classified as Employee (5) FIB Lookup Destination MAC/Port SGT 20 Destination Classification CRM: SGT 20 PCI: SGT 30 SGT 20 SRC: Cat3750X 5 SRC: DST: SGT: 5 Cat6500/Sup2T Nexus 7000 N5600 Enterprise Backbone N2248 N2248 SRC\DST CRM (20) PCI (30) CRM PCI DST: SGT: 20 DST: SGT: 30 WLC5508 Employee (5) SGACL-A Deny BYOD (7) Deny Deny Cisco Public 24

25 SGT=3 SGT=4 SGT=5 Wymuszanie na wyjściu skalowanie TCAM ów Enterprise Backbone SGACL Enforcement SGACL Enforcement Web_Server (SGT=7) Time_Stamp_Server (SGT=10) Urządzenia pobierają polityki tylko kiedy urządzenia są podłączone tylko dla podłączonych systemów Egzekowanie reguł na wyjściu i dynamiczne pobieranie reguł zwiększa skalowalność TCAM ów Cisco Public 25

26 Centralna definicja reguł SGACL w ISE Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Cisco Public 26

27 Wymuszanie na firewallach: CSM/ASDM Definicje SGT pobierane z ISE Przełączniki informują ASA o powiązanich SGT Możliwość uruchomienia dodatkowych usług dla SGT Można łączyć wykorzystanie innych elementów (Host, Range, Network (subnet), FQDN) z SGT Cisco Public 27 27

28 Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 29

29 Typowe przypadki wykorzystania SGT NW3 NW2 NW4 NW1 NW5 Sieć Wi-Fi Sieć przewodowa Serwery fizyczne Maszyny wirtualne SGT10 SGT20 SGT40 SGT30 Kontrola dostępu do zasobów Data Center Segmentacja farm serwerów Cisco Public 30

30 Kontrola dostępu do zasobów w Data Center Campus Access Employee Contractor Znaczniki SGT wykorzystywane zarówno w sieci kampusowej, jak i Data Center Możliwość wykorzystania w centrali i oddziałach Źródłowy SGT przypisywany dynamicznie z wykorzystaniem 802.1X, MAB lub Web Authentication Znaczniki SGT dla serwerów przypisywane statycznie Powiązania IP-SGT wymieniane pomiędzy przełącznikami dostępowymi w sieci kampusowej i urządzeniami w Data Center (punkt egzekwowania polityki bezpieczeństwa) SGT Assignment via 802.1X, MAB, Web Auth Branch Access ISR w/ EtherSwitch 2960S Cat35750 WLC Cat6500 Cat4500 Nexus 7010 /Native Tagging Data Center SRC \ DST PCI_Web (111) PCI_App (222) Employee (10) Permit all SGACL-B Contractor (20) Deny all SGACL-C Cat6500 Directory Service PCI_Web PCI_App PCI_DB Cisco Public SGACL Enforcement

31 Zgodność z wymaganiami PCI PCI Server Server DATA CENTER Data Center Network WAN Egzekwowanie polityki BRANCH Strefa PCI Segmentacja w ramach firmy Register Workstation Cisco Public 32

32 Zgodność z wymaganiami PCI Cisco Public 33

33 Security Group Firewall (SGFW) ASA w Data Center IP Address SGT Marketing (10) Campus /Branch Network SGFW Egzekwowanie polityki na firewall u ASDM/CSM Reguły firewall a Przekazanie definicji SGT SGACL SGT 10 = PCI_User SGT 100 = PCI_Svr ISE - listy SGACL SGT przypisywane zależnie od atrybutów (użytkownik, lokalizacja, stan maszyny, metoda dostępu, typ urządzenia itp.) Rozważania projektowe Klasyfikacja i reguły bezpieczeństwa zgodne na firewall u i przełącznikach Definicja znaczników importowana jest z Cisco ISE SGFW zapewnia bogate możliwości logowania zdarzeń Logowanie zdarzeń na przełączniku w trybie best effort via syslog (N7K/N5K) lub netflow (Cat6K Sup2T) Automatyzacja reguł dla użytkowników i serwerów Egzekwowanie polityki na przełączniku Data Center Cisco Public 34

34 Monitor Mode: Łatwe wdrożenie tożsamości w sieci przewodowej Monitor Mode Brak wpływu na dotychczasowy dostęp do sieci Daje informacje kto jest w sieci kto ma suplikanta kto ma dobre poświadczenia komu dobrych poświadczeń brakuje Odstraszanie przez odpowiedzialność Korelacja z SIEM i Netflow ułatwia odpowiedzi na zagrożenia SSC Lepsza widoczność Logi RADIUS Authentication & Accounting Udane / nieudane logowania 802.1X (Kto ma błędne lub nie ma właściwych poświadczeń, błędy konfiguracyjne itp.) Udane / nieudane uwierzytelnienia MAB (Czego nie wiem?) Cisco Public 35

35 1 SGT i Monitor Mode Przypisz SGT dla użytkowników którzy potrzebują dodatkowych uprawnień Tryb Monitor Mode zmniejsza ryzyko problemów po stronie warstwy dostępowej IP Address SGT IP Address Contractor - SGT Contractor - PCI_User Contractor - PCI_User Contractor - PCI_User Listener Speaker PCI_User Zagregowane powiązania IP/SGT (via ) przekaż do punktu wymuszania polityki dostępu W punktach wymuszania polityki dostępu następuje zwiększenie poziomu uprawnień dla danej grupy użytkowników IP Address SGT Contractor - 10 Aggregation PCI_User Speaker Listener PCI Web/ Database Enabled SW/WLC Speaker SGT Capable Enforcement Switch or Firewall ISE Enabled SW/WLC PCI Web/ Database IP Address Cisco and/or its affiliates. All rights reserved. PCI_User - 30 SGT Contractor - 10 Listener SGT Capable Enforcement Switch or Firewall Cisco Public

36 DHCP SGT a ochrona przed malwarem Name MAC Address SGT IP Address Endpoint A Endpoint B 00:00:00:00:00: 0a 00:00:00:00:00: 0b Filtrowanie SGT SGACL ka może zapobiega być dla skanowania SGT przypisany niepotrzebnej 7 jest otwartch portów dynamicznie komunikacji statycznie / OS definiowana Cisco IP Device P2P, fingerprint (jakotracking w atrybut tymna nie tej pozwala bada RADIUS) wykorzystywanej przełączniku atakującemu adres IP stacji w procesie lub dynamicznie i wiąże do propagacji 802.1X go z SGT lub odgadnięcie przypisany exploitów pobierana z statycznie ISE konkretnych aplikacji do VLAN czy luk w systemach operacyjnych Propagacja exploitów Endpoint A Endpoint B Dostępność: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E, Cat3850, Cat6500 Sup2T & IA Cat3750X 802.1X 802.1X 3 Distribution SW Atakujący szuka innej ofiary 1 Skanowanie otwartch portów SGACL Egress Policy SRC \ DST 7 7 Anti-Malware- ACL DHCP Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn - urg deny tcp match-all +fin +psh Cisco +urgpublic 37 permit tcp match-any +ack +syn

37 Pool A Pool B Pool C Zdalny dostęp do dzisiaj Policy Domain 1 Policy Domain 2 NW1 NW2 Wireless Policy ISE Wired Policy LDAP AD Pool A: /24 Pool B: /24 Pool C: /24 DC1 DC2 ASA RAS1 RAS2 Internet SSL-VPN Internet Internet SSL-VPN Polityki dostępu są odseparowane Partner A Partner B Partner C Polityki odwzorowane w topologii Filtrowanie wszędzie Cisco Public 38

38 Wykorzystanie TrustSeca dla ASA VPN Przypisywanie znaczników SGT dla sesji VPN Remote Access Wymagania - ASA (v9.3.1) i ISE 1.2 (Patch 5) Dlaczego TrustSec? Polityka oparta o kontekst połączenia RA użytkownika Budowanie skonsolidowanych polityk dla sieci przewodowej, bezprzewodowej i VPN RAS Upraszcza design VPN RAS i zwiększa skalowalność rozwiązania Upraszcza reguły dostępu użytkownik VPN (partner, pracownik) a Data Center Zapewnia relatywnie proste wdrożenie z zachowaniem parametrów bezpieczeństwa Możliwość lokalnego (ASA RAS) lub rozproszonego egzekwowania polityk bezpieczeństwa (ASA w DC, przełączniki DC, przełączniki LAN lub routery) Cisco Public 39

39 Dostęp zdalny do zasobów DC Niezależnie od topologii lub lokalizacji polityka dostępu (Security Group Tag) pozostaje z użytkownikiem, urządzeniem i serwerem TrustSec upraszcza proces zarządzania adresacją i filtrowaniem ruchu dla połączeń VPN RA Data Center Firewall RAS-EMEA Pool-B Supplier Apps Campus Core Internet Data Center Pool-A PCI Apps Source Destination Action IP Sec Group IP Sec Group Service Action Any Employee Any Supplier HTTP Allow Any PCI-User Any PCI Apps HTTPS Allow Any Supplier-B Any PCI Apps TCP Deny Any Any Any Any Any Deny RAS-US SSL-VPN Employee Tag PCI User Tag Supplier-B Tag Employee PCI-User Supplier-B Cisco Public 40

40 Segmentacja ruchu w DC z wykorzystaniem SGT Przypisania SGT do serwerów statycznie poprzez mapowanie port profile/port/adres IP do SGT Serwery próbują nawiązać komunikację east-west Ruch trafia do punktu egzekwowania polityki dostępu Tylko dozwolony ruch (źródłowy SGT -> docelowy SGT) jest przepuszczany Egzekwowanie polityki jest rozproszone pomiędzy urządzenia 5K, 6K i 7K (i 1Kv też) PCI-DB -> LOB1-DB trafia w listę SGACL PCI-LOB1-ACL na 5K PCI-DB -> LOB2-DB trafia w listę SGACL PCI-LOB2-ACL na 7K Data Center Nexus 7000s VMs/Baremetal Nexus 55XXs SRC \ DST PCI DB (111) LOB1 DB (222) LOB2 DB (333) Security Server (444) PCI DB (111) PCI DB(111) Permit all PCI-LOB1- ACL PCI-LOB2- ACL SGACL: PCI-LOB1- ACL LOB1 DB (222) LOB1 DB (222) PCI-LOB1- ACL Core Network SGACL: PCI-LOB2- ACL LOB2 DB (333) LOB2 DB (333) PCI-LOB2- ACL Security Server (444) ISE Security Server (444) Deny All Permit All Deny All Deny All Deny All Permit All Deny All Cisco Public 41 Deny All Deny All Deny All Deny All

41 Przenoszenie SGT poprzez IPSec VPN AP WLC Finance Catalyst Switch ISE Guest Server Posture Profiler SGACL MACSec SGT L2 Frame Catalyst Switch Branch Network IPSEC Nexus 5000/2000 Internet Sales HR Catalyst Switch Admin Remote Networks IPSEC Catalyst 6500 Nexus 7000 Egress Enforcement Campus Aggregation: Cat6K/Sup2 SGT/SGACL Data Center Enforcement Nexus 7000 SGT/SGACL Data Center IPSEC inline Tagging ESP Header Zdolność obsługi SGT określana w czasie negocjacji IKEv2 SGT określany na podstawie lub autentykacji Obsługiwane metody site-to-site IPSEC w tym DMVPN, DVTI, SVTI Failover bazuje na wykorzystywanych technologiach IPSec Skalowalność jest zgodna z wykorzystywanymi technologiami IPSec Cisco Public 42

42 SGT-GETVPN - wdrożenia WAN ISRG2 15.3(2)T i ASR IOS XE3.9 SGACL AP Finance WLC ISE MACSec SGT L2 Frame Catalyst Switch Branch Network GETVPN Catalyst 6500 Nexus 5500/2000 Internet Employee GETVPN Remote Networks Nexus 7000 Data Center HR GETVPN Catalyst Switch Key Server Contractor GETVPN inline Tagging GET Header Zdolność obsługi SGT określana w czasie negocjacji kluczy GET SGT określany na podstawie, inline tag lub autentykacji Failover - taki sam jak dla GET VPN Skalowalność jest taka jak rozwiązania GET VPN Cisco Public 43

43 Klient z segmentu finansowego Wiele faz i zastosowań Rozwiązanie obecnie wdrożone na przełącznikach Cisco Catalyst Użytkownicy klasyfikowani na podstawie 802.1X lub MAB Serwery definiowane przez adres IP lub port profil na Nexus 1K Zastosowania Kontrola dostępu do aplikacji w DC Kontrola ruchu pomiędzy użytkownikami Segmentacja ruchu w DC Cisco Public 44

44 Wdrożenie sieci bezprzewodowej w dużym kampusie Duża firma produkcyjna wdrożyła bezpieczną sieć Wi-Fi Wymagana rozbudowana kontrola dla urządzeń produkcyjnych, ale i osobistych (BYOD) Data Center /24 = SGT 10 ACL ki wymagały ponad 64 linii (>1,500) na WLC Rozwiązanie SGT na Cat6K WiSM2 agreguje ruchu z APków Wymuszanie reguł dostępu na Sup2T w oparciu o SGT Wartości docelowych SGT definiowane w oparciu o adresy IP i podsieci Redukcja statycznych list ACL w IOS zarządzanie politykami z wykorzystaniem Egress Matrix 10.x.x.0/24 = SGT 7 Campus C 10.y.y.0/24 = SGT 6 Campus D Internet Cat6500VSS System Sup2T Sup2T WiSM2 WiSM2 WiSM2 WiSM2 VSS CAPWAP Tunnel Access Points Branch Office 10.z.z.0/24 = SGT 22 Corporate Network /8 = SGT 100 ISE np. ponad 500 linii w ACL umożliwiających dostęp HTTPS obecnie wymaga jednej linii w SGACL permit tcp dst eq 443 Non-Compliant Mobile Device SGT 2: Limited Access SGT 3: Full Access Compliant Corporate Asset Cisco Public 45

45 Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 46

46 Skalowalność trzeba pamiętać Platforma Maksymalna liczba połączeń Maksymalna liczba powiązań IP-SGT Catalyst 6500 Sup2T/ ,000 Nexus ,000* Catalyst 4500 Sup 7E ,000 Catalyst 4500-X / 4500 Sup 7LE ,000 ASA 5585-X SSP ,000** ASA 5585-X SSP ,000** Catalyst 3850/WLC ,000 * 200K spodziewane od NX-OS 7.0 ** Wytyczne wyższe wartości obsługiwane Cisco Public 47

47 ISE Policy View 3 typy widoków Source Tree, Destination Tree, Matrix Source View Zastosowano filtr Pokazane tylko SGT/DGT z SGACL Cisco Public 48

48 Destination Tree Cisco Public 49 49

49 Matrix View Cisco Public 50 50

50 SGT/SGACL możliwości sprzętowe urządzeń Urządzenia obsługujące SGACL można podzielić na dwie grupy Bazujące na powiązaniach Port.VLAN/SGT Catalyst 3K-X Nexus 5500 Bazujące na powiązaniach IP/SGT Nexus 7000 moduły serii M i F Nexus 6000/5600 Cat 6K/Sup2T Cat 4K/Sup7E/Sup8E Cat 3850/5760 ASR1K Każdy rodzaj sprzętu ma swoje limity (skalowalność) Istnieją ograniczenia dotyczące liczby SGT / DGT oraz wpisów w listach kontroli dostępu (ACE) w TCAM Jeśli możliwe wpisy ACE są dzielone pomiędzy parami SGT/DGT Każdy rodzaj sprzętu ma różne możliwości w zakresie logowania zdarzeń i możliwości monitoringu Liczniki ACE Logging Netflow z SGT/DGT Cisco Public 51

51 SGT i DGT w Catalyst 3750-X/3560-X Classification L2 table (only) From the Packet Static Config Ingress Path (SGT Derivation) SGT FIB Egress Table Każdy (Port,vlan) może mieć przypisany jeden DGT (Port,vlan) DGT DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Cisco Public 52

52 SGT i DGT w Cat6500/Supervisor 2T Priority control btw sources L3/FIB table From the Packet Ingress Path (SGT Derivation) Ingress port based Static Config SGT Tablica L3/FIB każdy prefix ma przypisany DGT FIB IP prefix DGT DGT Egress Table DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Źródeła znaczników SGT(DGT) np., VLAN-SGT, Subnet/Host SGT, są przetwarzane zgodnie z określonymi priorytetami, a zwycięski wynik jest programowany w tablicy L3/FIB Cisco Public 53

53 SGT i DGT w Nexus 5500 Każdy port ma przypisany jeden DGT (wykorzystywany także jako SGT na wejściu) FIB Port DGT From the Packet Ingress Path (SGT Derivation) Egress Table DGT/SGT Vlan table Static Config Znakowanie na wejściu jest wykonywane tylko, gdy cts jest egzekwowane dla VLAN SGT SGACL Egress Path (DGT derivation and SGACL) Cisco Public 54

54 N7K z modułami serii M - SGT i DGT Priority control btw sources L3/FIB table From the Packet Ingress Path (SGT Derivation) Ingress port based Static Config SGT Tablica L3/FIB każdy prefix ma przypisany DGT FIB IP prefix DGT DGT Egress Table DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Źródeła znaczników SGT(DGT) np., VLAN-SGT, są przetwarzane zgodnie z określonymi priorytetami, a zwycięski wynik jest programowany w tablicy L3/FIB Cisco Public 55 55

55 Implikacje wynikłe z możliwości sprzętowych Hardware bazujący na Port/VLAN Ograniczone możliwości stosowania z uwagi na określanie SGT na podstawie mac/port Ograniczona liczba SGT per port (jeden lub jeden per vlan/port) Hardware bazujący na IP/SGT Pozwala na dwukierunkową komunikację Umożliwia stosowanie multi-hop dzięki sprawdzaniu tablicy FIB dla powiązań IP/SGT Tagowanie/egzekwowanie polityk dla przychodzących pakietów dzięki sprawdzaniu tablicy FIB dla powiązań IP/SGT Skalowalność różna zależnie od platformy. Setki grup z prostymi powtarzalnymi uprawnieniami (ACE) Cisco Public 56

56 Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 57

57 Zalety rozwiązania SGT Odzwierciedlenie zasad organizacyjnych w politykach dostępu Prostsze zarządzanie listami kontroli dostępu Mniejsza liczba reguł kontroli dostępu Mniejsze ryzyko popełnienia błędu Szybsza reakcja na zmiany w sieci dostępowej i w Data Center Uwolnienie personelu od powtarzalnej i małotwórczej pracy na rzecz lepszego wykorzystania zasobów IT Prostsze i tańsze audyty bezpieczeństwa Cisco Public 58

58 Zalety graficznie lt 1780 access-list 102 deny icmp lt gt 3611 access-list 102 permit tcp lt eq 606 access-list 102 deny tcp gt gt 4005 access-list 102 permit ip gt eq 199 access-list 102 deny udp lt gt 3782 access-list 102 deny ip lt gt 526 access-list 102 permit ip gt gt 959 access-list 102 deny ip gt eq 810 access-list 102 permit icmp eq gt 3231 access-list 102 permit tcp lt lt 3679 access-list 102 deny icmp gt gt 1025 access-list 102 deny icmp lt gt 968 access-list 102 permit ip lt lt 4167 access-list 102 permit udp eq lt 2422 access-list 102 permit icmp eq eq 1479 access-list 102 permit ip gt gt 28 access-list 102 permit ip lt lt 4481 access-list 102 deny ip gt gt 631 access-list 102 permit ip eq lt 3663 access-list 102 permit tcp gt gt 1388 access-list 102 permit ip lt gt 4652 access-list 102 permit udp gt lt 3851 access-list 102 deny icmp lt gt 1392 access-list 102 permit ip eq eq 1861 access-list 102 deny icmp gt gt 2794 access-list 102 deny udp lt lt 2748 access-list 102 permit udp lt gt 356 access-list 102 deny tcp eq gt 327 access-list 102 permit icmp lt lt 2286 access-list 102 deny tcp eq eq 4191 access-list 102 deny udp lt eq 3721 access-list 102 permit tcp eq eq 3716 access-list 102 permit icmp gt eq 4533 access-list 102 deny tcp lt gt 539 access-list 102 deny ip eq lt 4570 access-list 102 deny ip gt gt 2754 access-list 102 deny icmp lt lt 486 access-list 102 deny udp gt eq 2165 Cisco Public 59

59 Platformy wspierające znaczniki SGT Przypisywanie Propagacja Wymuszanie Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X Catalyst 3850, 3650 WLC 5760 Catalyst 4500E (Sup6E/7L-E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup720/2T), 6880X Wireless LAN Controller 2500/5500/WiSM2 Nexus 7000 Nexus 5500 Nexus 1000v (Port Profile) ISR G2 Router, CGR2000 IE2000/3000, CGS2000 ASA5500X (VPN RAS) SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E)***, 4500X Catalyst 4500 (Sup8E)*** Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T)**** / 6880X WLC 2500, 5500, WiSM2** WLC 5760 Nexus 1000v Nowość Nexus 5500/22xx FEX** Nexus 7000/22xx FEX GETVPN GETVPN IPSec IPSec ISRG2, CGR2000 ASR1000 ASA5500(X) Firewall, ASASM All ISRG2 Inline SGT (except C800): Today ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14 Nowość SGACL SGACL SGACL SGACL SGACL SGACL SGFW SGFW SGFW Catalyst 3560-X Catalyst 3750-X Catalyst 3850, 3650 WLC 5760 Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X Nexus 7000 Nexus 6000 Nexus 5500/5600 Nexus 1000v Nowość ISR G2 Router, CGR2000 ASR 1000 Router ASA 5500/5500XFirewall ** WLC 2500, 5500, WiSM2, Nexus 5K only supports Speaker role *** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT **** 6500 (Sup2T) requires 69xx Line cards for Inline SGT Cisco Public 60

60 Dodatkowe materiały TrustSec oraz ISE na cisco.com Instrukcje wdrożenia Cisco ISE: ml Zastosowanie tagów do PCI-DSS: Podstawy Cisco TrustSec: Cisco Public 61

61 Cisco Public 62

62 Thank you.