TrustSec. Czyli segmentuj i rządź w LAN, DC, WAN i VPN. Paweł Latała Consulting Systems Engineer. Cisco Secure 2014

TrustSec Czyli segmentuj i rządź w LAN, DC, WAN i VPN Paweł Latała Consulting Systems Engineer Cisco Secure 2014

Agenda* Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie * W trakcie dzisiejszej prezentacji będziemy bazować na specyfikacji TrustSec 5.0 Cisco Public 2

Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 3

Polityka dostępu - Kto, Co, Gdzie, Kiedy, Jak? Network Access Workflow Policy-governed Unified Access Tożsamość HQ 1 IEEE 802.1X EAP Uwierzytelnianie użytkownika Urządzenie firmowe 2 Profilowanie identyfikacja urządzenia Cisco ISE 4 Zasoby firmowe Profiling HTTP NetFlow SNMP DNS RADIUS DHCP 2:38 p.m. Wireless LAN Controller Polityka decyzja Tylko Internet Urządzenie osobiste 3 Stan urządzenia (posture) Unified Access Management 5 Wymuszanie 6 Przyznany dostęp pełny lub częściowy Cisco Public 4

Segmentacja użytkowników Konfigurację trzeba powielać na piętrach, w budynkach, oddziałach ACL Warstwa agregacyjna VLAN Addressing DHCP Scope Redundancy Routing Static ACL Warstwa dostępowa Quarantine Voice Data Suppliers Guest Więcej Prosta reguł segmentacja z wykorzystaniemz wykorzystaniem większej dwóch liczby VLAN ów Cisco Public 5

Segmentacja z wykorzystaniem znaczników grup bezpieczeństwa (SGT Security Group Tag) Niezależnie od topologii lub lokalizacji reguły (Security Group Tag) pozostają z użytkownikiem, urządzeniem i serwerem Data Center Firewall Campus Core Data Center TrustSec upraszcza zarządzanie ACL kami dla ruchu intra/inter- VLAN Warstwa dostępowa Employee Tag Supplier Tag Guest Tag Voice Voice Employee Suppliers Guest Non-Compliant Non-Compliant Tag Budynek 3 WLAN Data VLAN Budynek główny Data VLAN Cisco Public 6

SGT komponenty Klasyfikacja Zarządzanie regułami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) 5760 Nexus 7000 Nexus 6000 Nexus 5500 Nexus 1000v ASR1K/ISRG2 (SGFW) ASA (SGFW) Identity Services Engine WLAN LAN Zdalny dostęp Propagacja Cat 2K-S () Cat 3K () Cat 3K-X (/Inline) Cat 4K Sup7 (/Inline) Cat 6K Sup720 () Cat 6K Sup2T (/Inline) N7K (/Inline) N6K ( Speaker/Inline) N5K ( Speaker/Inline) N1Kv ( Speaker/Inline) ASR1K (/Inline) ISR G2 (/Inline) ASA (/Inline) Wymuszanie N7K / N6K/N5K/N1KV (SGACL) Cat6K/4K (SGACL) Cat3K-X/3850 (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Cisco Public 7

Koncepcja SGT w piśmie obrazkowym Użytkownik, Urządzenie Klasyfikacja Cisco ISE AD Wymuszanie Serwery Fin SGT = 4 SGT:5 Przełącznik Router Cisco ASA Catalyst/Nexus Propagacja znacznika inline lub OOB Serwery HR SGT = 10 Cisco Public 8

Przypisanie SGT - dynamicznie lub statycznie Dynamicznie Statycznie Adres IP VLAN Podsieć 802.1X Formatka webowa Interfejs L2 Interfejs L3 Wirtualny Port Profile SGT MAC Auth Bypass Użytkownicy i urządzenia Serwery, polityka bazująca na topologii Cisco Public 9

Miejsce przypisania znacznika SGT Dynamiczna klasyfikacja do SGT Interfejs SVI do SGT Fizyczny serwer Dostęp w kampusie Dystrybucja w kampusie Szkielet w kampusie Enterprise Backbone Szkielet w DC Dystrybucja w DC Dostęp w DC SRC: 10.1.100.98 Mapowanie VLAN do SGT Przypisanie taga urządzeniom BYOD WLC Cisco ASA Maszyna wirtualna przypisana do taga Hypervisor SW Cisco Public 10

Jakie możliwości oferuje moje urządzenie? http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/c96-731479-00-secureaccess.pdf Cisco Public 11

Dynamiczne przypisanie znacznika przez ISE Cisco Public 12

Dynamiczne przypisanie znacznika w szczegółach Suplikant Przełącznik ISE L2 L3 00:00:00:AB:CD:EF 2 DHCP Lease: 10.1.10.100/24 EAPoL Transaction 1 Autoryzowany MAC: 00:00:00:AB:CD:EF SGT = 5 ARP Probe EAP Transaction DHCP IP Device Tracking RADIUS Transaction Autoryzacja SGT Powiązanie: 00:00:00:AB:CD:EF = 10.1.10.100/24 3 Uwierzytelnienie Autoryzacja cisco-av-pair=cts:security-group-tag=0005-01 0 Sprawdzenie polityki SRC: 10.1.10.1 = SGT 5 IP Device Tracking obowiązkowy! 3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:SGA_Device INTERNAL 10.1.10.100 5:Employee LOCAL Cisco Public 13

A co ze środowiskami bez 802.1X Możliwe wyzwania Jak szybko uruchomić 802.1X w sieci przewodowej? Mam kilka starszych urządzeń, które muszę wymienić Chcę utrzymać aktualny podział sieci na VLANy (czy mogę wykorzystać znaczniki SGT do budowy reguł dostępu?) Campus Core Możliwość wykorzystania klasyfikacji statycznej również dla urządzeń mobilnych Dostępne opcje (VLAN-SGT, Subnet-SGT, L3IF- SGT) zapewniają elastyczność we wdrożeniach Non-802.1X Capable Switch 802.1X Disabled Switch VLAN SUBNET SVI Routed Port Cisco Public 14

Mapowanie interfejsu L3 do SGT (L3IF-SGT) Sup2T 15.0(1)SY Prefixy otrzymane specyficznym portem L3 są mapowane do SGT Dowolny typ interfejsu L3: Routed port, SVI (VLAN interface), Tunnel interface cts role-based sgt-map interface GigabitEthernet 3/0/1 sgt 8 cts role-based sgt-map interface GigabitEthernet 3/0/2 sgt 9 Klienci Route Updates 17.1.1.0/24 g3/0/1 VSS-1#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 17.1.1.0/24 8 L3IF 43.1.1.0/24 9 L3IF 49.1.1.0/24 9 L3IF EOR DC Access Partnerzy Biznesowi g3/0/2 Route Updates 43.1.1.0/24 49.1.1.0/24 Hypervisor SW Cisco Public 15

Przypisanie znacznika SGT na Nexus 1000V Interfejs VM dziedziczy ustawienia sieciowe z Port Profilu Port Profil określa m.in. znacznik SGT Znacznik SGT podąża za maszyną nawet, gdy zostanie przeniesiona na innego hosta Cisco Public 16

Inline vs propagacja SGT Tablica powiązań IP- SGT IP Address SGT SRC 10.1.100.98 50 Local Inline SGT Tagging SGT = 50 Inline kiedy możesz! kiedy musisz! Wired Access Non-SGT capable Campus Core Wireless Ramka Ethernet Access SRC: 10.1.100.98 ASIC IP Address Enterprise Backbone SGT=50 SGT 10.1.100.98 50 ASIC DC Firewall Opcjonalne szyfrowanie DC Core DC Distribution ASIC DC Virtual Access DC Physical Access Inline Tagging (data plane): Jeśli ASIC wspiera SGT (control plane): W każdym innym przypadku SGT 20 VM Server PCI VM Server SGT 30 Physical Server Physical Server Cisco Public 17

Przenoszenie znacznika OOB: SGT exchange Protocol () Protokół sterujący, którego rolą jest przenoszenie mapowań IP-SGT uwierzytelnionych hostów do punktu wymuszenia polityki dostępu SW (Aggregation) RT TCP jako protokół transportowy Speaker Listener Ułatwia i przyspiesza wdrożenia SGT Single Hop & Multi-Hop SW Dwie role: Speaker (Initiator) Listener (Receiver) SW Cisco Public 18

Typy połączeń Single-Hop Speaker Listener Sieć bez wsparcia dla Enabled Switch/WLC SGT Capable HW Multi-Hop Speaker Listener Speaker Listener Enabled SW/WLC Speaker Enabled SW SGT Capable HW Enabled SW/WLC Cisco Public 19

Wersje protokołu Version 1 Pierwsza wersja propaguje informacje o powiązaniach IPv4 (N7K, N6K, N5K, N1KV stan na czerwiec 14) Ogranicza to platformy oparte o NXOS do komunikacji jednokierunkowej np. z przełącznika dostępowego do agregacyjnego/firewall a Wymaga uwzględnienia w projekcie sieci Version 2, wprowadza wsparcie dla propagacji informacji o powiązaniach dla IPv6 i mechanizm negocjacji wersji (starsze przełączniki i routery IOS, ASA, WLC sprzed marca 13) Version 3, dodaje obsługę propagacji powiązań Subnet/SGT (tylko Cat6K). W komunikacji z listenerem o niższej wersji ma możliwość rozwijania podsieci Version 4, wprowadza mechanizm detekcji i ochrony przed pętlami, wymiany informacji o możliwościach urządzenia oraz posiada wbudowany mechanizm Keep Alive (nowe przełączniki i routery IOS od marca 13) Umożliwia dwukierunkowe wymiany powiązań IP/SGT Zwiększa elastyczność we wdrożeniach Cisco Public 20

Informational Draft został opublikowany jako draft do IETF jako Source-Group Tag exchange Protocol (możliwe zastosowania poza bezpieczeństwem) Specyfikuje v4 ze wsteczną kompatybilnością do v2 i v3 http://www.ietf.org/id/draft-smith-kandula-sxp-00.txt Cisco Public 21

Szyfrowanie AES-GCM 128bit Przenoszenie znacznika SGT in-line Szybsze i bardziej skalowalne wdrożenia SGT osadzony w polu Cisco Meta Data (CMD) w ramce Ethernet Przełączniki ze wsparciem dla SGT przetwarzają ramki line-rate owo Opcjonalnie można zaszyfrować ramkę w L2 przy pomocy MACsec (IEEE802.1AE) Nie wpływa na QoS, IP MTU/Fragmentację Ramka L2 większa o ~20/40 bajtów Maksymalnie ~ 64,000 znaczników SGT (pole 16-bitowe) Urządzenia bez wsparcia SGT mogą dropować ramki Ramka Ethernet Destination MAC Source MAC 802.1Q CMD ETHTYPE PAYLOAD CRC ETHTYPE:0x8909 Cisco Meta Data CMD EtherType Version Length SGT Option Type SGT Value Other CMD Option Ramka MACsec Destination MAC Source MAC 802.1AE Header 802.1Q CMD ETHTYPE PAYLOAD 802.1AE Header CRC ETHTYPE:0x88E5 Cisco Public 22

SGT Uwierzytelnianie i autoryzacja łączy Mode MACSEC MACSEC Pairwise Master Key (PMK) MACSEC Pairwise Transient Key (PTK) Encryption Cipher Selection (no-encap, null, GCM, GMAC) Trust/Propagation Policy for Tags cts dot1x Y Dynamic Dynamic Negotiated Dynamic from ISE/configured cts manual with encryption Y Static Dynamic Static Static cts manual no encryption N N/A N/A N/A Static CTS Manual jest mocno rekomendowaną opcją dla propagacji SGT cts dot1x powoduje wyłączenie łącza w momencie awarii serwera AAA. Silnie wiąże więc stan łącza ze stanem serwera AAA Niektóre platformy (ISRG2, ASR1K, N6K, N5K, N1KV, ASA) obsługują tylko tryb cts manual/no encryption Cisco Public 23

SGT/SGACL w działaniu End user authenticated Classified as Employee (5) FIB Lookup Destination MAC/Port SGT 20 Destination Classification CRM: SGT 20 PCI: SGT 30 SGT 20 SRC: 10.1.10.220 Cat3750X 5 SRC:10.1.10.220 DST: 10.1.100.52 SGT: 5 Cat6500/Sup2T Nexus 7000 N5600 Enterprise Backbone N2248 N2248 SRC\DST CRM (20) PCI (30) CRM PCI DST: 10.1.100.52 SGT: 20 DST: 10.1.200.100 SGT: 30 WLC5508 Employee (5) SGACL-A Deny BYOD (7) Deny Deny Cisco Public 24

SGT=3 SGT=4 SGT=5 Wymuszanie na wyjściu skalowanie TCAM ów Enterprise Backbone SGACL Enforcement SGACL Enforcement Web_Server (SGT=7) Time_Stamp_Server (SGT=10) Urządzenia pobierają polityki tylko kiedy urządzenia są podłączone tylko dla podłączonych systemów Egzekowanie reguł na wyjściu i dynamiczne pobieranie reguł zwiększa skalowalność TCAM ów Cisco Public 25

Centralna definicja reguł SGACL w ISE Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Cisco Public 26

Wymuszanie na firewallach: CSM/ASDM Definicje SGT pobierane z ISE Przełączniki informują ASA o powiązanich SGT Możliwość uruchomienia dodatkowych usług dla SGT Można łączyć wykorzystanie innych elementów (Host, Range, Network (subnet), FQDN) z SGT Cisco Public 27 27

Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 29

Typowe przypadki wykorzystania SGT NW3 NW2 NW4 NW1 NW5 Sieć Wi-Fi Sieć przewodowa Serwery fizyczne Maszyny wirtualne SGT10 SGT20 SGT40 SGT30 Kontrola dostępu do zasobów Data Center Segmentacja farm serwerów Cisco Public 30

Kontrola dostępu do zasobów w Data Center Campus Access Employee 10 20 Contractor Znaczniki SGT wykorzystywane zarówno w sieci kampusowej, jak i Data Center Możliwość wykorzystania w centrali i oddziałach Źródłowy SGT przypisywany dynamicznie z wykorzystaniem 802.1X, MAB lub Web Authentication Znaczniki SGT dla serwerów przypisywane statycznie Powiązania IP-SGT wymieniane pomiędzy przełącznikami dostępowymi w sieci kampusowej i urządzeniami w Data Center (punkt egzekwowania polityki bezpieczeństwa) SGT Assignment via 802.1X, MAB, Web Auth Branch Access ISR w/ EtherSwitch 2960S Cat35750 WLC Cat6500 Cat4500 Nexus 7010 /Native Tagging Data Center SRC \ DST PCI_Web (111) PCI_App (222) Employee (10) Permit all SGACL-B Contractor (20) Deny all SGACL-C Cat6500 Directory Service PCI_Web PCI_App PCI_DB Cisco Public 31 111 222 SGACL Enforcement

Zgodność z wymaganiami PCI PCI Server Server DATA CENTER Data Center Network WAN Egzekwowanie polityki BRANCH Strefa PCI Segmentacja w ramach firmy Register Workstation Cisco Public 32

Zgodność z wymaganiami PCI http://www.cisco.com/en/us/solutions/collateral/ns170/ns896/ns1051/trustsec_pci_validation.pdf Cisco Public 33

Security Group Firewall (SGFW) ASA w Data Center IP Address 10.1.10.1 SGT Marketing (10) Campus /Branch Network SGFW Egzekwowanie polityki na firewall u ASDM/CSM Reguły firewall a Przekazanie definicji SGT SGACL SGT 10 = PCI_User SGT 100 = PCI_Svr ISE - listy SGACL SGT przypisywane zależnie od atrybutów (użytkownik, lokalizacja, stan maszyny, metoda dostępu, typ urządzenia itp.) Rozważania projektowe Klasyfikacja i reguły bezpieczeństwa zgodne na firewall u i przełącznikach Definicja znaczników importowana jest z Cisco ISE SGFW zapewnia bogate możliwości logowania zdarzeń Logowanie zdarzeń na przełączniku w trybie best effort via syslog (N7K/N5K) lub netflow (Cat6K Sup2T) Automatyzacja reguł dla użytkowników i serwerów Egzekwowanie polityki na przełączniku Data Center Cisco Public 34

Monitor Mode: Łatwe wdrożenie tożsamości w sieci przewodowej Monitor Mode Brak wpływu na dotychczasowy dostęp do sieci Daje informacje kto jest w sieci kto ma suplikanta kto ma dobre poświadczenia komu dobrych poświadczeń brakuje Odstraszanie przez odpowiedzialność Korelacja z SIEM i Netflow ułatwia odpowiedzi na zagrożenia SSC Lepsza widoczność Logi RADIUS Authentication & Accounting Udane / nieudane logowania 802.1X (Kto ma błędne lub nie ma właściwych poświadczeń, błędy konfiguracyjne itp.) Udane / nieudane uwierzytelnienia MAB (Czego nie wiem?) Cisco Public 35

1 SGT i Monitor Mode Przypisz SGT dla użytkowników którzy potrzebują dodatkowych uprawnień Tryb Monitor Mode zmniejsza ryzyko problemów po stronie warstwy dostępowej IP Address SGT 10.1.10.1 IP Address Contractor - SGT 10 10.1.10.4 10.1.10.1 Contractor - PCI_User - 30 10 10.1.254.1 10.1.10.4 Contractor - PCI_User - 30 10 10.1.254.4 10.1.254.1 Contractor - PCI_User- 30 10 Listener Speaker 10.1.254.4 PCI_User- 30 2 3 Zagregowane powiązania IP/SGT (via ) przekaż do punktu wymuszania polityki dostępu W punktach wymuszania polityki dostępu następuje zwiększenie poziomu uprawnień dla danej grupy użytkowników IP Address 10.1.254.1 SGT Contractor - 10 Aggregation 10.1.254.4 PCI_User- 30 10.1.254.10 - Speaker Listener PCI Web/ Database Enabled SW/WLC Speaker SGT Capable Enforcement Switch or Firewall ISE Enabled SW/WLC PCI Web/ Database IP Address 10.1.10.1 2013-2014 Cisco and/or its affiliates. All rights 10.1.10.4 reserved. PCI_User - 30 SGT Contractor - 10 Listener SGT Capable Enforcement Switch or Firewall Cisco Public 36 10.1.10.10 -

DHCP SGT a ochrona przed malwarem Name MAC Address SGT IP Address Endpoint A Endpoint B 00:00:00:00:00: 0a 00:00:00:00:00: 0b Filtrowanie SGT SGACL ka może zapobiega być dla skanowania SGT przypisany niepotrzebnej 7 jest otwartch portów dynamicznie komunikacji statycznie / OS definiowana Cisco IP Device P2P, fingerprint (jakotracking w atrybut tymna nie tej pozwala bada RADIUS) wykorzystywanej przełączniku atakującemu adres IP stacji w procesie lub dynamicznie i wiąże do propagacji 802.1X go z SGT lub odgadnięcie przypisany exploitów pobierana z statycznie ISE konkretnych aplikacji do VLAN czy luk w systemach operacyjnych 1.1.1.101 2 Propagacja exploitów 1.1.1.102 Endpoint A Endpoint B Dostępność: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E, Cat3850, Cat6500 Sup2T & IA 7 1.1.1.101 7 1.1.1.102 Cat3750X 802.1X 802.1X 3 Distribution SW Atakujący szuka innej ofiary 1 Skanowanie otwartch portów SGACL Egress Policy SRC \ DST 7 7 Anti-Malware- ACL DHCP Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn - urg deny tcp match-all +fin +psh Cisco +urgpublic 37 permit tcp match-any +ack +syn

Pool A Pool B Pool C Zdalny dostęp do dzisiaj Policy Domain 1 Policy Domain 2 NW1 NW2 Wireless Policy ISE Wired Policy LDAP AD Pool A: 192.168.1.0/24 Pool B: 192.168.2.0/24 Pool C: 192.168.3.0/24 DC1 DC2 ASA RAS1 RAS2 Internet SSL-VPN Internet Internet SSL-VPN Polityki dostępu są odseparowane Partner A Partner B Partner C Polityki odwzorowane w topologii Filtrowanie wszędzie Cisco Public 38

Wykorzystanie TrustSeca dla ASA VPN Przypisywanie znaczników SGT dla sesji VPN Remote Access Wymagania - ASA (v9.3.1) i ISE 1.2 (Patch 5) Dlaczego TrustSec? Polityka oparta o kontekst połączenia RA użytkownika Budowanie skonsolidowanych polityk dla sieci przewodowej, bezprzewodowej i VPN RAS Upraszcza design VPN RAS i zwiększa skalowalność rozwiązania Upraszcza reguły dostępu użytkownik VPN (partner, pracownik) a Data Center Zapewnia relatywnie proste wdrożenie z zachowaniem parametrów bezpieczeństwa Możliwość lokalnego (ASA RAS) lub rozproszonego egzekwowania polityk bezpieczeństwa (ASA w DC, przełączniki DC, przełączniki LAN lub routery) Cisco Public 39

Dostęp zdalny do zasobów DC Niezależnie od topologii lub lokalizacji polityka dostępu (Security Group Tag) pozostaje z użytkownikiem, urządzeniem i serwerem TrustSec upraszcza proces zarządzania adresacją i filtrowaniem ruchu dla połączeń VPN RA Data Center Firewall RAS-EMEA Pool-B Supplier Apps Campus Core Internet Data Center Pool-A PCI Apps Source Destination Action IP Sec Group IP Sec Group Service Action Any Employee Any Supplier HTTP Allow Any PCI-User Any PCI Apps HTTPS Allow Any Supplier-B Any PCI Apps TCP Deny Any Any Any Any Any Deny RAS-US SSL-VPN Employee Tag PCI User Tag Supplier-B Tag Employee PCI-User Supplier-B Cisco Public 40

Segmentacja ruchu w DC z wykorzystaniem SGT Przypisania SGT do serwerów statycznie poprzez mapowanie port profile/port/adres IP do SGT Serwery próbują nawiązać komunikację east-west Ruch trafia do punktu egzekwowania polityki dostępu Tylko dozwolony ruch (źródłowy SGT -> docelowy SGT) jest przepuszczany Egzekwowanie polityki jest rozproszone pomiędzy urządzenia 5K, 6K i 7K (i 1Kv też) PCI-DB -> LOB1-DB trafia w listę SGACL PCI-LOB1-ACL na 5K PCI-DB -> LOB2-DB trafia w listę SGACL PCI-LOB2-ACL na 7K Data Center Nexus 7000s VMs/Baremetal Nexus 55XXs SRC \ DST PCI DB (111) LOB1 DB (222) LOB2 DB (333) Security Server (444) PCI DB (111) PCI DB(111) Permit all PCI-LOB1- ACL PCI-LOB2- ACL SGACL: PCI-LOB1- ACL LOB1 DB (222) LOB1 DB (222) PCI-LOB1- ACL Core Network SGACL: PCI-LOB2- ACL LOB2 DB (333) LOB2 DB (333) PCI-LOB2- ACL Security Server (444) ISE Security Server (444) Deny All Permit All Deny All Deny All Deny All Permit All Deny All Cisco Public 41 Deny All Deny All Deny All Deny All

Przenoszenie SGT poprzez IPSec VPN AP WLC Finance Catalyst Switch ISE Guest Server Posture Profiler SGACL MACSec SGT L2 Frame Catalyst Switch Branch Network IPSEC Nexus 5000/2000 Internet Sales HR Catalyst Switch Admin Remote Networks IPSEC Catalyst 6500 Nexus 7000 Egress Enforcement Campus Aggregation: Cat6K/Sup2 SGT/SGACL Data Center Enforcement Nexus 7000 SGT/SGACL Data Center IPSEC inline Tagging ESP Header Zdolność obsługi SGT określana w czasie negocjacji IKEv2 SGT określany na podstawie lub autentykacji Obsługiwane metody site-to-site IPSEC w tym DMVPN, DVTI, SVTI Failover bazuje na wykorzystywanych technologiach IPSec Skalowalność jest zgodna z wykorzystywanymi technologiami IPSec Cisco Public 42

SGT-GETVPN - wdrożenia WAN ISRG2 15.3(2)T i ASR IOS XE3.9 SGACL AP Finance WLC ISE MACSec SGT L2 Frame Catalyst Switch Branch Network GETVPN Catalyst 6500 Nexus 5500/2000 Internet Employee GETVPN Remote Networks Nexus 7000 Data Center HR GETVPN Catalyst Switch Key Server Contractor GETVPN inline Tagging GET Header Zdolność obsługi SGT określana w czasie negocjacji kluczy GET SGT określany na podstawie, inline tag lub autentykacji Failover - taki sam jak dla GET VPN Skalowalność jest taka jak rozwiązania GET VPN Cisco Public 43

Klient z segmentu finansowego Wiele faz i zastosowań Rozwiązanie obecnie wdrożone na przełącznikach Cisco Catalyst Użytkownicy klasyfikowani na podstawie 802.1X lub MAB Serwery definiowane przez adres IP lub port profil na Nexus 1K Zastosowania Kontrola dostępu do aplikacji w DC Kontrola ruchu pomiędzy użytkownikami Segmentacja ruchu w DC Cisco Public 44

Wdrożenie sieci bezprzewodowej w dużym kampusie Duża firma produkcyjna wdrożyła bezpieczną sieć Wi-Fi Wymagana rozbudowana kontrola dla urządzeń produkcyjnych, ale i osobistych (BYOD) Data Center 192.168.32.0/24 = SGT 10 ACL ki wymagały ponad 64 linii (>1,500) na WLC Rozwiązanie SGT na Cat6K WiSM2 agreguje ruchu z APków Wymuszanie reguł dostępu na Sup2T w oparciu o SGT Wartości docelowych SGT definiowane w oparciu o adresy IP i podsieci Redukcja statycznych list ACL w IOS zarządzanie politykami z wykorzystaniem Egress Matrix 10.x.x.0/24 = SGT 7 Campus C 10.y.y.0/24 = SGT 6 Campus D Internet Cat6500VSS System Sup2T Sup2T WiSM2 WiSM2 WiSM2 WiSM2 VSS CAPWAP Tunnel Access Points Branch Office 10.z.z.0/24 = SGT 22 Corporate Network 10.0.0.0/8 = SGT 100 ISE np. ponad 500 linii w ACL umożliwiających dostęp HTTPS obecnie wymaga jednej linii w SGACL permit tcp dst eq 443 Non-Compliant Mobile Device SGT 2: Limited Access SGT 3: Full Access Compliant Corporate Asset Cisco Public 45

Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 46

Skalowalność trzeba pamiętać Platforma Maksymalna liczba połączeń Maksymalna liczba powiązań IP-SGT Catalyst 6500 Sup2T/ 6800 2000 200,000 Nexus 7000 980 50,000* Catalyst 4500 Sup 7E 1000 256,000 Catalyst 4500-X / 4500 Sup 7LE 1000 64,000 ASA 5585-X SSP60 1000 100,000** ASA 5585-X SSP40 500 50,000** Catalyst 3850/WLC 5760 128 12,000 * 200K spodziewane od NX-OS 7.0 ** Wytyczne wyższe wartości obsługiwane Cisco Public 47

ISE Policy View 3 typy widoków Source Tree, Destination Tree, Matrix Source View Zastosowano filtr Pokazane tylko SGT/DGT z SGACL Cisco Public 48

Destination Tree Cisco Public 49 49

Matrix View Cisco Public 50 50

SGT/SGACL możliwości sprzętowe urządzeń Urządzenia obsługujące SGACL można podzielić na dwie grupy Bazujące na powiązaniach Port.VLAN/SGT Catalyst 3K-X Nexus 5500 Bazujące na powiązaniach IP/SGT Nexus 7000 moduły serii M i F Nexus 6000/5600 Cat 6K/Sup2T Cat 4K/Sup7E/Sup8E Cat 3850/5760 ASR1K Każdy rodzaj sprzętu ma swoje limity (skalowalność) Istnieją ograniczenia dotyczące liczby SGT / DGT oraz wpisów w listach kontroli dostępu (ACE) w TCAM Jeśli możliwe wpisy ACE są dzielone pomiędzy parami SGT/DGT Każdy rodzaj sprzętu ma różne możliwości w zakresie logowania zdarzeń i możliwości monitoringu Liczniki ACE Logging Netflow z SGT/DGT Cisco Public 51

SGT i DGT w Catalyst 3750-X/3560-X Classification L2 table (only) From the Packet Static Config Ingress Path (SGT Derivation) SGT FIB Egress Table Każdy (Port,vlan) może mieć przypisany jeden DGT (Port,vlan) DGT DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Cisco Public 52

SGT i DGT w Cat6500/Supervisor 2T Priority control btw sources L3/FIB table From the Packet Ingress Path (SGT Derivation) Ingress port based Static Config SGT Tablica L3/FIB każdy prefix ma przypisany DGT FIB IP prefix DGT DGT Egress Table DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Źródeła znaczników SGT(DGT) np., VLAN-SGT, Subnet/Host SGT, są przetwarzane zgodnie z określonymi priorytetami, a zwycięski wynik jest programowany w tablicy L3/FIB Cisco Public 53

SGT i DGT w Nexus 5500 Każdy port ma przypisany jeden DGT (wykorzystywany także jako SGT na wejściu) FIB Port DGT From the Packet Ingress Path (SGT Derivation) Egress Table DGT/SGT Vlan table Static Config Znakowanie na wejściu jest wykonywane tylko, gdy cts jest egzekwowane dla VLAN SGT SGACL Egress Path (DGT derivation and SGACL) Cisco Public 54

N7K z modułami serii M - SGT i DGT Priority control btw sources L3/FIB table From the Packet Ingress Path (SGT Derivation) Ingress port based Static Config SGT Tablica L3/FIB każdy prefix ma przypisany DGT FIB IP prefix DGT DGT Egress Table DGT/SGT SGACL Egress Path (DGT derivation and SGACL) Źródeła znaczników SGT(DGT) np., VLAN-SGT, są przetwarzane zgodnie z określonymi priorytetami, a zwycięski wynik jest programowany w tablicy L3/FIB Cisco Public 55 55

Implikacje wynikłe z możliwości sprzętowych Hardware bazujący na Port/VLAN Ograniczone możliwości stosowania z uwagi na określanie SGT na podstawie mac/port Ograniczona liczba SGT per port (jeden lub jeden per vlan/port) Hardware bazujący na IP/SGT Pozwala na dwukierunkową komunikację Umożliwia stosowanie multi-hop dzięki sprawdzaniu tablicy FIB dla powiązań IP/SGT Tagowanie/egzekwowanie polityk dla przychodzących pakietów dzięki sprawdzaniu tablicy FIB dla powiązań IP/SGT Skalowalność różna zależnie od platformy. Setki grup z prostymi powtarzalnymi uprawnieniami (ACE) Cisco Public 56

Agenda Security Group Tag Po co i dlaczego? Technologia SGT przypomnienie Przykłady zastosowań Data Center Sieć kampusowa Wskazówki projektowe + szczegóły implementacyjne Podsumowanie Cisco Public 57

Zalety rozwiązania SGT Odzwierciedlenie zasad organizacyjnych w politykach dostępu Prostsze zarządzanie listami kontroli dostępu Mniejsza liczba reguł kontroli dostępu Mniejsze ryzyko popełnienia błędu Szybsza reakcja na zmiany w sieci dostępowej i w Data Center Uwolnienie personelu od powtarzalnej i małotwórczej pracy na rzecz lepszego wykorzystania zasobów IT Prostsze i tańsze audyty bezpieczeństwa Cisco Public 58

Zalety graficznie lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 Cisco Public 59

Platformy wspierające znaczniki SGT Przypisywanie Propagacja Wymuszanie Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X Catalyst 3850, 3650 WLC 5760 Catalyst 4500E (Sup6E/7L-E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup720/2T), 6880X Wireless LAN Controller 2500/5500/WiSM2 Nexus 7000 Nexus 5500 Nexus 1000v (Port Profile) ISR G2 Router, CGR2000 IE2000/3000, CGS2000 ASA5500X (VPN RAS) SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT SGT Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3650, 3850 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup 7E)***, 4500X Catalyst 4500 (Sup8E)*** Catalyst 6500E (Sup720) Catalyst 6500E (Sup 2T)**** / 6880X WLC 2500, 5500, WiSM2** WLC 5760 Nexus 1000v Nowość Nexus 5500/22xx FEX** Nexus 7000/22xx FEX GETVPN GETVPN IPSec IPSec ISRG2, CGR2000 ASR1000 ASA5500(X) Firewall, ASASM All ISRG2 Inline SGT (except C800): Today ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14 Nowość SGACL SGACL SGACL SGACL SGACL SGACL SGFW SGFW SGFW Catalyst 3560-X Catalyst 3750-X Catalyst 3850, 3650 WLC 5760 Catalyst 4500E (Sup7E) Catalyst 4500E (Sup8E) Catalyst 6500E (Sup2T) / 6880X Nexus 7000 Nexus 6000 Nexus 5500/5600 Nexus 1000v Nowość ISR G2 Router, CGR2000 ASR 1000 Router ASA 5500/5500XFirewall ** WLC 2500, 5500, WiSM2, Nexus 5K only supports Speaker role *** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT **** 6500 (Sup2T) requires 69xx Line cards for Inline SGT Cisco Public 60

Dodatkowe materiały TrustSec oraz ISE na cisco.com http://www.cisco.com/go/trustsec http://www.cisco.com/go/ise Instrukcje wdrożenia Cisco ISE: http://www.cisco.com/en/us/solutions/ns340/ns414/ns742/ns744/landing_designzone_trustsec.ht ml Zastosowanie tagów do PCI-DSS: http://www.cisco.com/en/us/solutions/collateral/ns170/ns896/ns1051/trustsec_pci_validation.pdf Podstawy Cisco TrustSec: http://www.youtube.com/ciscocin#p/c/0/mjj93n-3iew Cisco Public 61

Cisco Public 62

Thank you.