Cisco TrustSec als Mittel zur standortübergreifenden ... · logische Struktur der Organisation...

Dienstezentrische Infrastruktur Cisco TrustSec als Mittel zur standortübergreifenden Segmentierung

Oktober 2014

Thomas Spiegel Systems Engineer Cisco Berlin

© 2014 Cisco and/or its affiliates. All rights reserved. 2

WAN

• Primäre Aufgaben • Physischer Aufbau der Netzinfrastruktur sollte sich an die

logische Struktur der Organisation anpassen • Benutzer sollte Zugriff auf Dienste entsprechend seiner

organisatorischen Zugehörigkeit erhalten • Standortunabhängiger Zugriff auf verschiedene Dienste • Abschottung verschiedener Dienste untereinander

• Sekundäre Aufgaben • Bessere Ausnutzung von Arbeitsplätzen • Flexiblere Nutzungsmöglichkeiten

der Infrastruktur • Entkoppelung von Umzugsprozessen

und Netzwerkbetrieb

Finanzen Soziales

Gäste

Polizei

Standort A

Finanzen Soziales

Gäste

Polizei

Standort B

Internet Rechenzentrum


WAN

Eine Dienste-Identifikation und die daraus resultierende durchgehende Segmentierung benötigt folgende Komponenten:

Finanzen Soziales

Gäste

Polizei


Campus Standort A

Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services

Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium

Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)

Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche



WAN

Finanzen Soziales

Gäste

Polizei


Campus Standort A







• Identity bietet folgende Funktionen: • Erkennen von Benutzern & Geräten • Ermöglicht die Differenzierung von Benutzern & Geräten:

• Erlaubt den differenzierten Zugriff auf Dienste • Durchsetzung von Sicherheitsrichtlinien • Nachverfolgung der Standorte von Geräten

• Damit realisieren wir eine standortunabhängige Flexibilität der Infrastruktur: • Umsetzung des Ansatzes “Das Netzwerk folgt dem Benutzer” • Mehr Transparenz und geringere Aufwände beim Betrieb der Infrastruktur • Die Infrastruktur kann flexibler an neue Anforderungen angepasst werden


• Der komplette Access der Infrastruktur wird gleichartig konfiguriert

• Es wird keine Differenzierung des Anwendungsfalles über die Konfiguration realisiert

• Zum Zeitpunkt des Zugriffs wird der Anwendungsfall identifiziert und der Zugriff entsprechend freigeschaltet

Gast access vlan 115 access-group 115

Mitarbeiter Polizei access vlan 11 voice vlan 111

Printer access vlan 12 access-group 122

Camera access vlan 13 access-group 123

Access Point access vlan 14 access-group 124

Compact Switch access vlan 115 access-group 125

Mitarbeiter Finanzen access vlan 119 access-group 119

Regeln & Attribute

• Zentral definierte Regeln steuern den Zugriff und können somit einfach angepasst oder erweitert werden


Wer?

Wann?

Wo?

Wie?

Was?

Mitarbeiter Gast

Personal Device Firmen-Laptop

Wired Wireless VPN

@ Starbucks Headquarter

Wochenende 8:00h – 17:00h


•Centralized Policy

•RADIUS Server

•Secure Group Access

•Posture Assessment

•Guest Access Services

•Device Profiling

•Monitoring

•Troubleshooting

•Reporting

ACS

Profiler

Guest Server

NAC Manager

NAC Server

Identity Services Engine

Device Registration & On-Boarding

Supplicant and Cert Provisioning

Partner Ecosystem


• Erlaubt einen einfachen Prozess für Mitarbeiter, ihre mobilen Geräte zu registrieren

• Bietet die Möglichkeit des sicheren Zugriffs für registrierte Geräte

• Registrierungsprozess Device ID wird automatisch erfasst und Benutzer ergänzt die Beschreibung Anschliessend wird das System konfiguriert und mit einem Zertifikat ausgestattet

• My Devices Portal Bietet eine einfache Verwaltung der Devices für den Endbenutzer (deaktivieren, löschen, reaktivieren)


ISE ISE

Policy Service Monitoring Admin Inline Posture

Persona: • Administration • Monitoring • Policy service

Single ISE node (Appliance oder VM)

Single inline posture node (nur Appliance)


Persona Implementierung

• Alle Personas auf einem single Node oder redundant Nodes

• Administration und Monitoring co-located auf einem single Node oder redundant Nodes

• Eigenständige Policy Service Nodes

• Eigenständige Administration Node(s) • Eigenständige Monitoring Node(s) • Eigenständige Policy Service Nodes

Maximale Anzahl Nodes per Type

• 2 Admin+MnT+PSN Nodes

• 2 Admin+MnT Nodes • 5 Policy Service Nodes

• 2 Admin Nodes • 2 MnT Nodes • 40 Policy Service Nodes

Maximale Anzahl Endpoints für gesamte Implementierung

• 5000 mit SNS-3415 • 10,000 mit SNS-3495

• 5000 mit SNS-3415 für PAN+MnT • 10,000 mit SNS-3495 für PAN+MnT

• ISE 1.1: Maximum 100,000 Endpoints • ISE 1.2: Maximum 250,000 Endpoints

PAN MnT PSN

PAN MnT

PSN PAN MnT PSN


AP Switch 802.1X

Policy Services Cluster Monitor Admin

HA Inline Posture Nodes

ASA VPN

AD/LDAP (External

ID/Attribute Store)

Alle Cisco® ISE personas können über mehrere Standorte verteilt werden

AP

Switch 802.1X

Monitor (S) Admin (S)

AD/LDAP (External

ID/Attribute Store)

WLC 802.1X

Switch 802.1X

AP Switch 802.1X

AP

WLC 802.1X

Distributed Policy Services

Rechen- zentrum A

Rechen- zentrum B

Außen- stelle A

Außen- stelle B

Switch 802.1X

AP

AP Switch 802.1X AP

AP


WAN

Finanzen Soziales

Gäste

Polizei


Campus Standort A







Zugriffskontrolle ohne Nutzung der IP-Adressen

Heute: topologieabhängige

Zugriffskontrolle

Server Polizei Gäste

Server Finanzen

VLAN 20

Mitarbeiter

Zuweisung eines Nutzers zu einer “Security Group”

einzigartiges 16bit (65K) Tag

Segmentierung: VLAN, IP-ACL, VRF

Next-Generation: skalierbare, topologie-

unabhängige Zugriffskontrolle

GO

Security Group Tags, SG-ACL

VLAN 10

© 2014 Cisco and/or its affiliates. All rights reserved. 17 17

• das SGT ist Teil des Feldes “Cisco Meta Data” (CMD) im Layer 2 Frame

• das CMD-Feld ist eingefügt: – direkt hinter dem Feld “Source Mac

Address” – oder hinter dem 802.1q-Feld, wenn

vorhanden

• optional MACsec (IEEE802.1AE) möglich

• 16 bit: ~ 64,000 tag space CRC

PAYLOAD

ETHTYPE

CMD

802.1Q

Source MAC

Destination MAC

Ethernet Frame

CMD EtherType

Version

Length

SGT Option Type

Cisco Meta Data

SGT Value

Other CMD Option

CRC

PAYLOAD

ETHTYPE

CMD

802.1Q

Source MAC

Destination MAC

MACsec Frame

802.1AE Header

802.1AE Header

AE

S-G

CM

128

bit

Enc

rypt

ion

ETHTYPE:0x88E5

ETHTYPE:0x8909

© 2014 Cisco and/or its affiliates. All rights reserved. 18 18

Cat3750X

WLC5508

Enterprise Backbone

N2248 Cat6500/Sup2T Nexus 7000 N5600

Dev

SRC: 10.1.10.220

CRM

Nutzer authentifiziert und klassifiziert als Mitarbeiter (SGT 5)

Destination-Klassifizierung: CRM: SGT 20 Dev: SGT 30

SGT 20

SRC\DST CRM (20) Dev (30)

Mitarbeiter (5) Permit Deny

Gast (7) Deny Deny

5 SRC:10.1.10.220

DST: 10.1.200.100 SGT: 5

DST: 10.1.100.52 SGT: 20

DST: 10.1.200.100 SGT: 30

FIB Lookup Destination MAC/Port SGT 30


Vereinfachung der Regelverwaltung

Effizienter Betrieb der Security Infrastruktur

Konsistenz der Regelwerke

• Starke Abstraktion der Regelverwaltung • Zugangskontrolle mittels Rollenmodell • Umsetzung einheitlicher Regeln

• Schnelle Bereitstellung von neuen Diensten • Vereinfachtes Ausrollen von Änderungen • Zentralisierung von Infrastruktur-ACL Management

access list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Traditional Security Policy

• Segmentierung mit zentralem Policy Management • Alle Zugangswege werden gesteuert - wired, wireless & VPN • Skaliert über Netzgrenzen hinweg (remote, branch, campus & data center)


Switch Router DC FW DC Switch

Dienste Soziales

Enforcement

Dienste Polizei

ISE Directory

Classification

User Finanzen User Soziales

Protected Assets Gast Internet Access

User Finanzen Malware Blocking DENY PERMIT DENY PERMIT

Collab Apps

User Soziales

Sou

rce PERMIT Collab Apps DENY PERMIT DENY Malware

Blocking

DENY DENY DENY PERMIT Malware Blocking

DENY PERMIT DENY DENY DENY

Regelwerk

Netzwerk

Malware Blocking ACL deny tcp dst eq 445 log deny tcp dst range 137 139 log permit ip any

User Polizei

User Polizei

Gast


WAN

Finanzen Soziales

Gäste

Polizei


Campus Standort A







Data Center

Access Switch

Cisco ISE

Internet

Profiler Posture Guest Server

SGACL

MACSec

SGT L2 Frame

WLC AP

Branch Network

Polizei

Finanzen

Soziales

SXP/Tag

Einwohner

Access Switch

Access Switch

Remote Networks

IPSEC

• IPSEC inline Tagging – ESP Header • SGT Capability exchange during IKEv2 negotiations • Learn SGT from SXP or Auth-methods • Site-to-Site IPSEC such as DMVPN, DVTI, SVTI methods supported • Failover is based on the underlying IPSec technology • Scale is based on the underlying IPSec technology • DMVPN – ISR to ISR, ISR to ASR1K – 15.4(1)T1 (ISR) and 15.4(1)S1 (ASR1K)

IPSEC

23

DC Switch

DC Switch

Services


Data Center

Access Switch

Cisco ISE

MPLS

Profiler Posture Guest Server

SGACL

MACSec

SGT L2 Frame

WLC AP

Branch Network

Polizei

Finanzen

Soziales

SXP/Tag

Access Switch

Access Switch

Remote Networks

GETVPN

• GETVPN inline Tagging – GET Header • SGT Capability exchange during GET key negotiations • Learn SGT from SXP, inline tag or Auth-methods • Failover is the based on GET VPN failover • Scale is based on GET VPN Scale • GETVPN – ISRG2 15.3(2)T and ASR IOS XE3.9

GETVPN

DC Switch

DC Switch

Services

Key Server

Einwohner


WAN

Finanzen Soziales

Gäste

Polizei


Campus Standort A







Users/ Devices


Dienste Polizei

Enforcement

SGT Propagation

Dienst Internet

ISE Directory

Classification

User Finazen

User Soziales

Dienste EInwohner Internet Access

Sou

rce

Protected Assets

PERMIT

PERMIT

DENY

DENY

DENY

DENY

PERMIT

PERMIT

PERMIT

PERMIT

PERMIT

Gast

Dienste Polizei

User Polizei PERMIT

Regelwerk

Netzwerk


Users/ Devices


Dienste Polizei

Enforcement

SGT Propagation

Dienst Internet

ISE Directory

Classification

User Finazen

User Soziales


Sou

rce

Protected Assets

PERMIT

PERMIT

DENY

DENY

DENY

DENY

PERMIT

PERMIT

PERMIT

PERMIT

PERMIT

Gast

Dienste Polizei

User Polizei PERMIT

Regelwerk

Netzwerk


Users/ Devices


Development Servers

Enforcement

SGT Propagation

HR Database

ISE

Classification

Dienste Einwohner

Dienste Einwohner HR Database

Protected Assets

PERMIT DENY

Storage

PERMIT DENY

Dienste Polizei

Sou

rce DENY DENY PERMIT PERMIT

DENY PERMIT PERMIT DENY

PERMIT PERMIT PERMIT PERMIT

Dienste Polizei

Dienste Finanzen

Storage

Regelwerk

Netzwerk


Users/ Devices


Dienste Polizei

Enforcement

SGT Propagation

Dienste Finanzen

ISE

Classification

Dienste Einwohner

Dienste Einwohner Dienste Finanzen

Protected Assets

PERMIT DENY

Storage

PERMIT DENY

Dienste Polizei

Sou

rce DENY DENY PERMIT PERMIT

DENY PERMIT PERMIT DENY

PERMIT PERMIT PERMIT PERMIT

Dienste Polizei

Dienste Finanzen

Storage

Regelwerk

Netzwerk


User Finazen

User Soziales


Sou

rce

Protected Assets

PERMIT

PERMIT

DENY

DENY

DENY

DENY

PERMIT

PERMIT

PERMIT

PERMIT

PERMIT

Gast

Dienste Polizei

User Polizei PERMIT

User Finazen

User Soziales


Sou

rce

Protected Assets

PERMIT

PERMIT

DENY

DENY

DENY

DENY

PERMIT

PERMIT

PERMIT

PERMIT: GuestACL

PERMIT

Gast

Dienste Polizei

User Polizei PERMIT

GuestACL permit tcp dst eq 80 permit tcp dst eq 443 log permit udp dst eq 53 permit tcp dst eq 25 deny ip any


! !

FAILURE

MAC Address

00:18:F8:46:53:D7

802.1x

CONNECTED

MAC Address

00:18:F8:46:60:D7

802.1x

CORPORATE RESOURCES

REPORT ANALYSIS

ALLOW

ALLOW

ALLOW

ISE

ALLOWED

POLICY

SiSi

SiSi SiSi

SiSi

Discovery: erlaubt Zugriff für alle Geräte, aber es erfolgt Logging der Zugriffsregeln

Correct: Auswertung der Logs, Korrektur fehlerhafter Aktionen

Activate: Zugriffsregeln auf den Netzwerkkomponenten aktivieren


VLAN-SGT

IP-SGT

Port Profile

Port-SGT

IPv4 Prefix Learning

IPv6 Prefix Learning

IPv6 Prefix-SGT

IPv4 Subnet-SGT

802.1X

MAB

Web Auth

Profiling

Addr.Pool-SGT

VLAN-SGT

Data Center/ Virtualization

Benutzer/Gerät/Standort Cisco Access Layer

ISE

NX-OS/ CIAC/

Hypervisors

IOS/Routing

Campus wired/wireless & VPN Access

Business Partners & Supplier access controls

• Cisco TrustSec entkoppelt die Netzwerktopologie von der Security Policy

• Änderung von Layer 2 oder Layer 3 Konzepten oder auch der WAN Struktur habe keine Auswirkung auf die Anwendung der Sicherheitsrichtlinien

• Verschiedene Arten der Identifikation im Access Bereich klassifiziert Resourcen in verschiedene Security Groups

• Im Rahmen der Autorisation werden Benutzer und Geräte kontrolliert in das Netzwerk geschaltet

• Alle Komponenten der Infrastruktur sind “Identity-aware” und können in ein Sicherheitskonzept integriert werden

Thank you.

Cisco TrustSec als Mittel zur standortübergreifenden ... · logische Struktur der Organisation...

Documents

Transcript of Cisco TrustSec als Mittel zur standortübergreifenden ... · logische Struktur der Organisation...