4 Ise

Построение
корпоративной
архитектуры контроля
доступа с ISE
и TrustSec
Василий Томилин
Инженер-консультант
Security-request@cisco.com
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Контекст это всё
Отсутствие контекста Учет контекста
IP ADDRESS: 192.168.2.101 Иван Петров (СОТРУДНИК)
НЕИЗВЕСТНО WINDOWS 10/CORP WORKSTATION
НЕИЗВЕСТНО ЗДАНИЕ-А-ЭТАЖ-13
НЕИЗВЕСТНО 10:30 AM MSK APR 27

НЕИЗВЕСТНО ИЗВЕСТНО
НЕИЗВЕСТНО БЕСПРОВОДНАЯ СЕТЬ
НЕИЗВЕСТНО НЕТ УГРОЗ / УЯЗВИМОСТЕЙ
РЕЗУЛЬТАТ РЕЗУЛЬТАТ
ДОСТУП К IP РОЛЕВОЙ ДОСТУП
(ЛЮБОЕ УСТРОЙСТВО / ПОЛЬЗОВАТЕЛЬ)
?
? ?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Cisco ISE и Anyconnect
CISCO ISE SIEM, MDM, NBA, IPS, IPAM,...
КТО КОГДА
Cisco ISE ЧТО ГДЕ PxGRID
и APIs
КАК СОСТОЯНИЕ
Сервис контекстных политик УГРОЗЫ CVSS

по контролю доступа в Партнерская экосистема
ПОЛИТИКА ДОСТУПА
проводных, беспроводных и
VPN сетях ДЛЯ ХОСТОВ ДЛЯ СЕТИ
ПРОВОДНАЯ БЕСПРОВОДНАЯ VPN
Cisco Anyconnect
Сапликант для проводного,

беспроводного и VPN
доступа. Поддерживает:
оценку соответствия,
развертывание средств
защиты от Malware,
обеспечение безопасности
веб-трафика, видимость Ролевой контроль доступа | Гостевой доступ | BYOD | Безопасный доступ
сети, приложений и другое..
Управление политиками основываясь на доверии
Соединяя доверенные устройства с доверенными сервисами
CISCO IDENTITY SERVICES ENGINE
Польз. Группы Тип устройств
В облаке
Не доверенные приложения
Доверенные приложения
Trusted User
Cloud App A
Cloud App B
Server A
Server B
Partners
Местонахождение Соответствие
и сервисы
Trusted Asset ✓ ✕ ✓ ✓ ✓ ✓
В сети
и сервисы
Trusted User ✕ ✓ ✓ ✓ ✓ ✕
Время Угрозы Partners ✕ ✕ ✓ ✓ ✕ ✕
Поведение Уязвимости
Улучшенная видимость и принятие Программно-задаваемая сегментация, Независимый от местонахождения

решений Доступ к сервисам и разрешения доступ к приложениям/сервисам
Представляем Cisco Identity Services Engine
Централизованное решение для автоматизации контекстно-задаваемых политик доступа к сетевым

ресурсам и обмена контекстом
Физический Профилирование и Политика ролевого доступа Сетевые ресурсы

или VM оценка состояния
Традиционно Cisco TrustSec®
Кто
Сетевая Что Гостевой доступ

дверь
Когда
BYOD доступ
Где
Ролевой доступ
Как
ISE pxGrid
P Оценка Контроллер
Безопасный доступ
Контекст
Почему заказчики покупают ISE?
Cisco ISE смотрит глубоко на всю сеть и предоставляет непревзойденную
Видимость устройств
видимость того, кто и что соединяется к ресурсам.
Контроль доступа Целостный контроль доступа в проводной, беспроводной и VPN сети..

802.1X, MAC, WEB-Аутентификация и Easy-connect для контроля доступа
Полностью настраиваемые мобильный и десктоп гостевые порталы с
Гостевой доступ
простым визуальным Wizard’ом для простого управления гостевым доступом
Упрощенное управление BYOD в строенным CA сервером и поддержкой

BYOD доступ
сторонних MDM интеграций для саморегистрации собственных устройств
Политика топологически-независимой сегментации для сдерживания сетевых
Сегментация
угроз с использованием Cisco TrustSec
Обмен контекстом с партнерской экосистемой для улучшения их

Контроль угроз
эффективности и уменьшения времени реагирования на инцидент
Доступ Cisco ISE поддерживает протокол TACACS+ для контроля и аудита

администратора конфигурационных изменений на сетевых устройствах.
Программа
Безопасность начинается с ‘Видимости’
Инструментарий обнаружения в ISE
Настройка обнаружения
Обнаружение устройств в сети
ISE сканирует устройства в заданной MAC Address IPv4 Address Endpoint Profile OUI
IP-подсети 00:22:BD:D3:5B:2F 10.1.0.13 Cisco-IP-Camera Cisco Systems
00:02:4B:CC:D6:63 10.1.20.33 Cisco-IP-Phone Cisco Systems
5C:F9:38:AA:1F:90 10.1.0.21 Apple-MacBook Apple Inc
30:46:9A:2E:C3:F0 10.1.0.73 Microsoft-Workstation Lenevo
Настройка видимости
Обнаружение устройств сетевого доступа
ISE 2.1+ может провести SNMP-
сканирование сети для обнаружения Имя IP Адрес Тип устройства Место Описание
имеющихся сетевых устройств. Останется Cat3850-1 10.1.100.1 Switch Bldg-A Cisco IOS Software XE..
только добавить RADIUS secret на каждое
ISR4KX-1 10.1.100.2 Router Bldg-A Cisco IOS Software XE..
устройство NAD.
WLC5520-1 10.1.100.3 Controller DC-01 Cisco Controller
N5K-1 10.1.100.4 Switch DC-01 Cisco Nexus OS version..
* Only supported on Standalone ISE deployment.

Настройка обнаружения
Соединение с Active Directory
Соединимся с AD через инструментарий

для окончания третьего этапа настройки
ISE с нуля
Cisco ISE Win Domain

Controller
Asset Visibility
Видимость приложений с Anyconnect

Корпоративная Публичная
IPFIX/NetFlow
Коллектор
Cisco Anyconnect с
‘Network Visibility’ модулем
Видимость Контекст Контроль

в процессы, hash процесса, и другое для анализа сетевого поведения запускаемых приложений
Программа
Cisco ISE: профилирование
1,5
млн
Число устройств
(с ‘50’ атрибутами),
данные о которых можно хранить
550+ Cisco ISE
Высокоуровневые вложенные
профили.
+Периодические обновления Сервис фидов
(Online/Offline)
250+ Cisco Сеть ACTIVE PROBES Netflow DHCP DNS HTTP RADIUS NMAP SNMP
DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS

Профили медицинских
устройств
Cisco ISE: обзор профилирования
ACTIVE PROBES Netflow DHCP DNS HTTP RADIUS NMAP SNMP AD
DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS
ANYCONNECT ACIDex Методы сбора данных профилирования
Устройства DS
отсылают
интересные
DS
данные, которые Сервис фидов
Cisco ISE (Online/Offline)
обличают их
идентификацию
ACIDex Политика профилирования

If CDP:Platform Name = Cisco IP Phone = true, then Cisco-IP-Phone
Политика авторизации
If Endpoint ID Group = Cisco-IP-Phone = true, then Voice VLAN
AnyConnect Identity Extensions (ACIDex) | Device Sensor (DS) © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Профилирование – как это работает?
A0:99:9B:00:01:AA
= Apple-MacBook
OS: Mac OS X +10

UA: *Macintosh* +10
UA: *Mac OS*
+10
A0:99:9B:00:01:AA
Должен набрать минимальный уровень

совпадения
RADIUS DHCP HTTP SPAN DNS SNMP NMAP NETFLOW AD
«Проба» Active Directory

• Улучшает знания об ОС через детальные данные, полученные из
AD AD.
Атрибуты
• Использует AD Runtime Connector
DHCP / DNS PSN • Пытается достать AD-атрибуты как только имя компьютера было
Контроллер
домена получено от DHCP-пробы и DNS-пробы
• AD запросы регулируются:
• Интервалом повторного сканирования (по умолч. 1 день)
• Активностью профайлера на устройство
Примечание: Если AD-пробу включить после обнаружения устройства и получения

hostname, запрос в AD не направляется. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
RADIUS DHCP HTTP SPAN DNS SNMP NMAP NETFLOW AD
Условия AD-пробы Совпадения по следующему:

• AD компьютер?
• Domain присоединения
Условия • OS, Версия, и Service Pack
Пример Атрибутов
MAB à DHCP à AD Probe

Просто как 1 – 2 – 3 !
Упростить профилирование с ‘Device Sensor’
Сетевые устройства отсылают сырые данные устройств на ISE через RADIUS
§ Не требует
Только один вид пробы перенаправления пакетов
• Распределенный сбор на
сетевых устройствах. Cache, (DHCP Helper) и SPAN
CDP CDP, LLDP, DHCP, HTTP (только
LLDP
DHCP ISE WLAN), и др. сессий для
MAC
• Централизованный сбор на ISE профилирования
через RADIUS протокол
CDP § Высоко масштабируемо и
LLDP
DHCP
MAC эффективно
§ ISE использует только
Учетные данные
HTTP RADIUS “RADIUS” пробу
DHCP
MAC
§ Профилирование
основано на :
• CDP/LLDP
Данные от Условия • DHCP
Device Sensor + профилирования = ПРОФИЛЬ
ОПРЕДЕЛЕН • HTTP (ТОЛЬКО WLC)
• mDNS,
Пример: If DHCP Class ID Это принтер • H323,
MAC OUI + Lexmark Contains E260dn Lexmark E260n • MSI-Proxy (только 4k)
Программа
Cisco ISE: поддержка безопасного доступа
SAML iDPs Single Sign-On
Встроенные
сапликанты / Cisco
AnyConnect Certificate based Auth
Certificate Authorities
Одновременных сессий
До 100K
Сетевых устройств APIs Passwords / Tokens
SCEP / CRL
External Identity Stores
Active Directory
802.1X
КОРПОРАТИВНАЯ SQL Server

СЕТЬ LDAP / SQL
LDAP Servers
Built-in CA
500500,000
000
300K Внутренних До 50 отдельных AD доменов

пользователей
Методы аутентификации Опции авторизации
ПАССИВНАЯ § MAC Authentication Bypass § Downloadable / Named ACL

ИДЕНТИФИКАЦИЯ § Easy Connect ® § Air Space ACL
§ VLAN Assignment
§ IEEE 802.1X § Security Group Tags
АКТИВНАЯ § Web Authentication § URL-Redirection
ИДЕНТИФИКАЦИЯ § Central WebAuth § Port Configuration
§ Local WebAuth (ASP Macro / Interface-Template)
ASP: Auto Smart Port
Контроль сетевого доступа
ЗАЩИЩЕННЫЕ ОБЩИЕ ПУБЛИЧНАЯ
СЕРВЕРА СЕРВИСЫ СЕТЬ
Сертификаты / Пароли
NETWORK ACCESS
СОТРУДНИК
КОНТРАКТНИК alice
*****
АУТЕНТИФИКАЦИЯ АВТОРИЗАЦИЯ
Кто ты? Что ты можешь делать?
Разделение аутентификации и авторизации
Policy Set: условия
Аутентификация
Авторизация
Группы
политик
КОНТРАКТНИКИ
Алексей
Никита
Cisco ISE
СОТРУДНИКИ
Дмитрий
Опции авторизации
Помимо RADIUS ‘ACESS-ACCEPT’ / ‘ACCESS-REJECT’
DACL или Named ACL VLAN Security Group Tags

Загружаемые ACL (провод) или
Динамическое назначение VLAN Cisco TrustSec
именованные ACL (провод + WLAN)
Исправление
Состояния
Гости
VLAN 4
Сотрудники
Контрактник VLAN 3
Сотрудник 16-битная метка SGT и
permit ip any any deny ip host <protected>
permit ip any any На порт / На домен / На MAC SG ACL
Активная и пассивная идентификация
1 DOMAIN\Михаил
(AD Логин)
Михаил 3
2
Михаил залогинен
Пассивная идентификация
Елена?
Активная идентификация
Да AD
Cisco ISE
1 2
3
Елена
Пассивная идентификация Активная идентификация
Мапинг IP-Пользователь получается пассивно через AD Мапинг IP-Пользователь получается через активное
WMI события, AD Агенты, Syslog, SPAN сессии и другое. взаимодействие с ISE клиента посредством 802.1X, Web
authentication, Remote access VPN, и др.
Собственные атрибуты доступны как условия для

политики авторизации
Давайте обезопасим доступ пользователей с 802.1X
Я сделал дома
лабу и все
работает.. Я
включаю 802.1X
завтра…
ИТ
Менеджер.
Включил 802.1X
Не могу
подключиться к сети.
Оно говорит что
Аутентификация
неудачная, не знаю
что делать. У меня
презентация через 2
часа…
Help Desk: количество звонков возросло на 40%

Развернуть 802.1X по Фазам
Monitor Mode Low-Impact Mode Closed Mode
Файловые ISE ISE Файловые ISE Файловые

DHCP DNS
сервера сервера сервера
Сервера
Корп. сеть Корп. сеть Корп. сеть
PREAUTH ACL PERMIT ACL
Порт открыт permit eap dhcp dns permit ip any any

безусловно deny any Только EAP
Удачно/Неудачно До После До После

Аутентифицируется Аутентификации Аутентификации Аутентификации Аутентификации
Monitor Mode
interface GigabitEthernet1/0/1
switchport access vlan 100
switchport mode access
switchport voice vlan 10
authentication host-mode multi-auth Monitor
authentication open Mode
authentication port-control auto Basic
До Аутентификации После Аутентификации mab 1X/MAB
dot1x pae authenticator
Трафик всегда разрешен независимо от Аутентификации authentication violation restrict
MONITOR MODE : ЦЕЛИ MONITOR MODE : КОНФИГУРАЦИЯ
§ Нет влияния на текущий доступ § Включить 802.1X иMAB

§ Увидеть - Что есть в сети § Включить Open Access
- У кого есть сапликант Весь трафик вдобавок к EAP разрешен,
как и в отсутствие включенного 802.1X, но
- У кого работает доступ
аутентификация все равно происходит
- У кого доступ не работает § Включить Multi-Auth host mode
§ Предотвращение через отчетность § Без авторизации
Low Impact Mode
authentication host-mode multi-auth Low-
ip access-group PRE-AUTH in Impact
authentication open Mode
До Аутентификации После Аутентификации authentication port-control auto From
mab Monitor
Pre-Auth и Post-Auth Доступ контролируется IP ACL dot1x pae authenticator Mode
authentication violation restrict
LOW-IMPACT MODE : ЦЕЛИ
LOW-IMPACT MODE : НАСТРОЙКА
§ Начать контроль/дифференциацию доступа в
сеть § Начинаем с Monitor Mode
§ Минимизировать воздействие на текущий доступ § Добавить ACLы, dACLы и flex-auth
§ Оставить видимость как в Monitor Mode
§ Ограничить число устройств,
§ “Low Impact” == не надо перестраивать сеть подключающихся к порту
§ Оставить текущий дизайн VLAN
§ Минимальные изменения
Closed Mode
no authentication open
authentication event fail authorize vlan 101
authentication event no-resp authorize vlan 101
До Аутентификации После Аутентификации authentication event server dead action \
authorize vlan 101
Нет доступа ДО Аутентификации, Ролевой доступ после неё authentication port-control auto
mab
CLOSED MODE : ЦЕЛИ dot1x pae authenticator
dot1x timer tx-period 10
§ В соответствии с IEEE спецификацией для
802.1X
CLOSED MODE : НАСТРОЙКА
§ Нет доступа ДО Аутентификации
§ Возврат к привычному “закрытому” доступу
§ Быстрый доступ для не-802.1X корпоративных
§ Таймеры или изменение порядка
устройств
аутентификации
§ Логическая изоляция трафика на доступе
§ Внедрение основанного на идентификации
(VLAN сегментация)
назначении VLAN
Гибкая аутентификация (FlexAuth)
aaa new-model
aaa authentication dot1x default group radius
802.1X 1 aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
MAB 2 aaa session-id common
!
dot1x system-auth-control
WebAuth 3 Сервер !
Authenticator Аутентификации radius server ise
address ipv4 172.20.254.201 auth-port 1645 acct-port 1646
WebAuth
MAB
802.1X key cisco
RADIUS
.1X timeout
802.1X
MAB fail
Timeout
authentication host-mode multi-auth
Flexible authentication (FlexAuth) это authentication order dot1x mab webauth
набор функций, позволяющий IT authentication priority dot1x webauth
mab
Администраторам настраивать очередность и authentication port-control auto
приоритет IEEE 802.1X, MAC authentication bypass dot1x pae authenticator
(MAB), и web аутентификации (local WebAuth). !
Программа
Обслуживание гостей и сотрудников без 802.1X
Сотрудники и некоторые не-пользовательские 802.1X
устройства
Все остальные не-пользовательские устройства MAB
Гостевые пользователи
Сотрудники с отказавшим или не настроенным

сапликантом
Сотрудник Гость
**** ****
Гостевая сеть
DMZ Контроллер
Беспроводная ИНТЕРНЕТ
• Открытый SSID
• Центральная Web
Аутентификация Foreign Controller
• Контроллер в DMZ
• Выделенный интерфейс ISE в CORP
LAN
DMZ
ГОСТЕВОЙ VLAN
Проводной
• Гостевой VLAN
• Гибкая аутентификация Corp Guest
SSID SSID
– 802.1X fails to MAB for CWA
Flex Auth
Объединяя Множество методов аутентификации в едином проводном порту
Настройка порта 802.1X

interface GigabitEthernet1/0/1 Timeout/
failure
authentication host-mode multi-auth
authentication open
authentication port-control auto
mab
MAB
dot1x pae authenticator
Timeout/
! Failure
authentication event fail action next-method
authentication order dot1x mab
authentication priority dot1x mab WebAuth
CWA: алгоритм работы
Отслеживание идентификатора сессии дает поддержку управлением сессией, включая CoA
https://ise.company.com:8443/guestportal/gateway?sessionId=0A010A...73691A&action=cwa
ISE Policy Server
Пробуем
MAB
Соединяемся к WLAN=Corp
Перенаправление браузера на ISE
VPN MAB неудачен, возвращаем Default Policy

= URL Redirect to ISE + Session ID
CWA: алгоритм работы
CoA позволяет производить переаутентификацию основываясь на изменившемся
контексте устройства.
CoA
ISE Policy Server
jdoe / secret123 Auth Success

Reauth group=Employee
Вводим учетные данные
Разрешить доступ Сотруднику
VPN Имеющаяся сессия соответствует

Политике Сотрудника
= Remove Redirect + ACL permit ip any any
Системный подход
Коммутатор/Контроллер это точка контроля
Identity Services Engine
Улучшения в гостевых сервисах
Зачем ISE для Гостей?
Нужен
Интернет
Наблюдение
Проводной/ Гостевые Порталы Кто может Как долго у за доступом
БЛВС учетные для Логина/ выдавать Гостя есть и
доступ? данные управления доступ? доступ? активностью
ГОСТЬ
ISE ГОСТЕВЫЕ ФУНКЦИИ

ISE – лучшее решение для гостевого доступа
1
МЛН API
# Поддерживаемых Настройка Управление

Опции уведомления Гостей
Гостевых учетных языка портала порталами через
Email/ SMS
записей REST
Hotspot Self Sponsored Sponsored Guest Access
Саморегистрация для Гостей, Авторизованные спонсоры

Мгновенный, беспарольный Спонсоры могут подтверждать создают учетные записи и
доступ в Интернет доступ выдают учетные данные
3 Типа гостевого доступа
Гостевой доступ с использованием Социальных сетей
• Facebook логин будет поддерживать только саморегистрацию
• Гости смогут нажать на кнопку Facebook и получить доступ в
сеть мгновенно.
Cisco ISE
john.doe@gmail.com
***************
Программа
Оценка соответствия:
Соответствуют ли мои устройства
корпоративной политике
безопасности?
VPN
Вендоры оценки угроз

Corporate и Уязвимостей
Applications
AMP, CTA, Rapid 7
Кампусная Qualys, Tennable, Nexpose

сеть
Уровень агрегации
Уровень доступа
ISE: интеграция с MDM

Application PIN Lock
Supplier Employee
Jail Broken Corp Wipe
Wired Wireless Wireless
Disk Encryption Etc ..
Non-Compliant BYOD
ISE: нативная оценка состояния Хостов

Application Anti Malware File Check Service
Anti Spyware Compound Patch mgmt USB Check
Anti Virus Disk Encryption Registry Others

AnyConnect Stealth Mode
AnyConnect может быть запущен как сервис без UI
• Stealth mode (без UI) поддерживает все проверки оценки

состояния, которые не требуют пользовательского вмешательства
(и нет UAC).
Список не поддерживающихся функций

• Все исправления состояния типа Manual
• File remediation
• Link remediation
• WSUS с отображением UI
• PM с активацией UI исправления (e.g. Manual remediation not
supported etc ..)
• ISE будет поддерживать апгрейд клиентов с “безголового” режима

в полный
Temporal Agent (ISE 2.3)
Детали
- Замена NAC Web Agent (только Windows)
на временный Windows/exe и Mac OS/dmg
- Запускается один раз и удаляется
- Не требует административных привилегий
- Такой же богатый набор проверок что и
AnyConnect (также с инвентаризацией ПО,
но однократно)
- Только ручное исправление состояния
- Загружается с портала через URL-
перенаправления, возможно
интегрировать с Guest, BYOD, CWA, etc.
Новая инвентаризация приложений в ISE 2.3
Новый Summary вид внутри
Context Directory
Наведите
Множественный выбор
Улучшенная
фильтрация
Новая аппаратная инвентаризация в ISE 2.3
Богатый контекст
Фильтры загрузки
Фильтр по
производителям
BYOD
Расширяя сетевой доступ на
персональные устройства
Зачем ISE для BYOD?
Нужен
BYOD
доступ
Кто может Корпора- Отчет о

Проводной/ принести Регистрация Настройка тивный и потерянных и
БЛВС свое своих встроенного BYOD- украденных
доступ? устройство? устройств сапликанта доступ устройствах
СОТРУДНИК
ISE BYOD ФУНКЦИИ

Упрощенный BYOD Полный BYOD
(Base Лицензия) (Base + Plus Лицензия)
• Тип гостя ’Только • Полная автоматизация

Интернет’ доступ для BYOD процесса –
персональных устройств регистрация устройства,
ИЛИ настройка встроенного
сапликанта, установка
• Доступ по паролю к BYOD
сертификата, управление.
SSID, ограниченный доступ
Bring Your Own Device
Поддержка
устройств ПУБЛИЧНАЯ
EMM-интеграции
iDevice ОДИН / ДВА Доступ

SSID для основанный на
развертывания MDM политике
Android
Ресурсы
Устройства
✕✓✕✓✓✓
MAC OSx
✓✓✕✓✕✕
✕✓✓✕✕✕
Windows
Настройка Внутренний CA
ChromeOS сапликанта и для BYOD-
установка сертификатов
сертификата
КОРПОРАТИВНАЯ
EMM: Enterprise Mobility Management | MDM: Mobile Device Management
Один SSID или два SSID
• Один SSID • Два SSID
• Начинаем с 802.1X на едином • Начинаем с CWA на одном SSID
SSID,
SSID = BYOD-Open
используя PEAP (MAB / CWA)
SSID = BYOD-Closed (802.1X)
SSID = BYOD-Closed (802.1X) • Заканчиваем на другом SSID с

• Заканчиваем на том-же SSID с 802.1X, используя PEAP или
802.1X через EAP-TLS EAP-TLS
WLAN Profile WLAN Profile
SSID = BYOD-Closed SSID = BYOD-Closed
EAP-TLS PEAP or EAP-TLS
Certificate=MyCert (Certificate=MyCert)
BYOD Шаги
РЕГИСТРАЦИЯ НАСТРОЙКА ВЫПИСКА MDM ОЦЕНКА
УСТРОЙСТВА СУППЛИКАНТА СЕРТИФИКАТА СООТВЕТСТВИЯ
Доступ
BYOD
Добавить [ОПЦИЯ] Если EAP-

персональное Настроить адаптер на TLS для [ОПЦИЯ] Регистраци
устройство к группе (WiFi) Аутентификации, и проверка
‘Registered Device’ аутентификацию установка сертификата соответствия на MDM
Политика Настройки внутреннего MDM интеграция.

Портал и политика
развертывания CA / SCEP Внешний Атрибуты политики
авторизации
клиентов CA MDM.
ISE BYOD: варианты сертификата
Простота развертывания и управления
SCEP для Sub-CA для

Автономный
Корпоративного Корпоративного
CA ISE
CA PKI
ISE: встроенный удостоверяющий центр
Упрощение управлением сертификатами для BYOD устройств
Единая консоль управления – Управление

устройствами и их сертификатами. Удаление
устройства в ISE удаляет его сертификат.
Упрощенное развертывание – поддержка

отдельных и subordinate развертываний. Не
привлекаются корпоративная PKI команда для
каждого BYOD случая
ISE – это OCSP Responder для
проверки сертификатов – нет CRL
Отзыв сертификата с ISE списков!
• Автоматический отзыв сертификата при пометке устройства как “Потерянное”
• Сертификаты могут быть вручную отозваны
Mobile Device Management (MDM)
Расширение оценки состояния на мобильные устройства
Оценка состояния мобильного устройства
MDM Проверка политик Оценка соответствия мобильных устройств
Device registration status
Device compliance status
Disk encryption status 1. Регистрация на ISE 2. Интернет-доступ
Pin lock status
Jailbreak status
Cisco ISE Internet
Manufacturer
Model 4. Comply MDM Policy
IMEI
Serial number
Personal Device
OS version
Phone number 3. Регистрация на MDM 5. Разрешаем
MDM корпоративный Corporate
доступ
Интеграция ISE со сторонними
MDM-решениями
• MDM-регистрация устройства через ISE
• Незарегистрированные клиенты
перенаправляются на страницу регистрации MDM
• Ограниченный доступ
• Не соответствующие клиенты будут иметь
ограниченный доступ
• MDM агент на устройстве

• Оценка состояния
• Проверка приложений
• Действия с устройством через ISE

• Устройство украдено -> Стереть данные с
устройства
MCMS
http://www.cisco.com/c/en/us/products/security/partner-ecosystem.html
Version: 5.0 Version: 6.2
Version: 7.1 Version: 2.3
Поддержка множества MDM
Множественные MDM производители могут быть добавлены в ISE и
использоваться одновременно в политике
Отчетность
Mobile Device Management
Программа
Сложности управления инцидентами
Понимание контекста является ключевым фактором приоритезации
событий безопасности и их управления
Понять оценку
состояния пользователя
Ассоциация пользователя Где он в сети?
с авторизацией
Ассоциация пользователя На каком
с событием NAC он устройстве?
IAM ???
Потенциальное AAA
???
Logs
проникновение Как мне
остановить угрозу?
Security ???
Event ???
???
МНОГО ЭКРАНОВ МНОЖЕСТВО ДАННЫХ ОТСУТСТВИЕ СВЯЗЕЙ ДОРОГО ИСПРАВЛЯТЬ
Интеграция по традиционному пути
У меня есть репутация! У меня информация о приложении!
Нужны данные угрозы… Нужна локация и группа авторизации…
У меня события безопасности! У меня есть информация NBAR!

Нужна репутация… Нужна идентификация…
У меня NetFlow!
Проприетарные Есть местоположение!
Нужно описание… API не являются Нужна идентификация…
решением
У меня данные угроз! У меня информация с MDM!
Нужна репутация… Нужно местоположения…
У меня логи МСЭ! У меня есть инвентарь приложений!

Нужна идентификация пользователей… Нужна оценка состояния…
У меня есть идентификация и тип устройств!

Нужна инвентаризация приложений и уязвимостей…
pxGrid – Адаптация индустрии
Более 40 интеграций партнерских продуктов и 12 технологических областей
pxGrid-Работающее партнерство с ISE:
IAM & SSO • RTC: Cisco FirePower, Cisco Stealthwatch, Attivo,
Vulnerability
Bayshore, E8, Elastica, Hawk, Huntsman, Infoblox,
SIEM & Assessment Intelliment, LemonFish, LogRhythm, NetIQ, Rapid7,
Threat Defense
? User Behavior
Redshift, SAINT, Splunk, Tenable, ThreatTrack, TrapX
• Firewall: Check Point, Infoblox, Bayshore
Analytics • DDI: Infoblox
Net/App • Cloud: Elastica, SkyHigh Networks, Netskope
Performance Packet Capture • Net/App: Savvius
& Forensics • Network Visibility: Lumeta
IoT
Cisco pxGrid Rapid Threat
• SIEM/TD: Splunk, Lancope, NetIQ, LogRhythm,
FortScale, Rapid7
• IAM: Ping, NetIQ, SecureAuth, Situational
Containment
Security SECURITY THRU (RTC) • UBA: Fortscale, Niara
INTEGRATION • Vulnerability: Rapid7, Tenable, SAINT
• IoT Security: Bayshore Networks
Cloud Access • P-Cap/Forensics: Emulex
Firewall & • Cisco: WSA, FirePower, ISE, Stealthwatch
Access Control Security
Другие ISE Партнеры:

DDI • SIEM/TD: ArcSight, IBM QRadar, Tibco LogLogic,
Symantec
Cisco ISE • MDM/EMM: Cisco Meraki, MobileIron, AirWatch, JAMF,
Cisco WSA SOTI, Symantec, Citrix, IBM, Good, SAP, Tangoe, Globo,
Absolute
Cisco FirePOWER Cisco Stealthwatch • Threat Centric NAC: Cisco AMP, Qualys
pxGrid предлагает 4 сценария
ОБОГАТИТЬ ISE
КОНТЕКСТ ПАРТНЕРУ ОСТАНОВИТЬ УГРОЗУ БРОКЕР КОНТЕКСТА
КОНТЕКСТ
CISCO ECO- CISCO ECO- CISCO ECO- CISCO

ISE PARTNER ISE PARTNER ISE PARTNER ISE
КОНТЕКСТ КОНТЕКСТ КОНТЕКСТ pxGrid ECO-

ПАРТНЕР
ОСТАНОВИТЬ
ISE 2.2
ISE Обогащает знаниями Обогащение контекста

Применить динамическую ISE работает брокером
Пользователей/Устройств, ISE. Сделать ISE лучшей
политику в сети по данных от одной
идентификации и локации точкой управления
запросу партнера платформы к другой
системы заказчика политиками
PxGrid Сертификат, подписанный CA
Специальный шаблон
Корневой CA
сертификата с EKU для
Публичный клиентской и серверной
аутентификации
Public Private Key Public Private Key
ISE
Доверенные Client Доверенные

Сертификаты Сертификаты
C
Grid Controller Grid Client
ISE 2.1: CA для сертификатов
Не нужен внешний CA server WWW
1. Использование единого Удостоверяющего
центра
2. Каждый участник pxGrid доверяет этому УЦ
3. Каждый Клиент pxGrid использует ‘pxGrid’
Сертификат с этого УЦ
4. *Контроллер должен авторизовать связи
Splunk > FMC
Controller
Instant Full Mesh Trust!
X.509
X.509
X.509
X.509X.509
pxGrid
pxGrid
pxGrid
pxGrid
X.509
pxGrid pxGrid
MnT
ISE 2.1 CA
Firepower: политики, основанные на SGT
‘Политики контроля доступа’ основанные на ISE-атрибутах
PxGRID
NGIPS /
ASA + Firepower
Основанная на контексте ‘WEB-Фильтрация’
С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)
Кто: Доктор
Что: Ноутбук
Где: Офис RADIUS PxGRID
Интернет
Кто: Доктор
Что: iPad
Кампусная W ww
Где: Офис Сеть
Web
Security
Кто: Гость
Что: iPad
Appliance
Где: Офис
Cisco ISE передает контекст в Stealthwatch
Информация о контексте
Syslog
pxGrid
Cisco ISE Cisco SW

Действие блокировки
Если я хочу изменить права доступа без
pxGrid? Воспользуйтесь ANC (ISE 2.1+)!
• Помните, что с версии ISE 2.1
функционал ANC доступен через https://ISE:9060/ers/sdk
REST API.
Шаг 1: выбрать политику

Запросить доступные
политики ANC
Шаг 2: применить
Применить политику
к устройству
Итак, ANC без pxGrid?
Operations > ANC

Да, это ANC без pxGrid!
Operations > ANC

Назначение метки на входе, политика
всюду Политика от SGT Политика от SGT
W3C Logs
Cognitive
Threat
• Decrypt SSL • No SSL Decrypt Analytics
• Filter URLs • Filter URLs
• Deny Apps • Permit Apps
• Scan for Malware • Scan for Malware
• Route to DLP
Who: Doctor
What: Desktop
What: w/ AMP
Where: Office www
Who: Doctor
What: Desktop
What: Vulnerable
Where: Branch
Метка одна, а пользы от неё…
• Влияем на маршрут передачи (PBR)
• Влияем на QoS
• SGT для активации определённой конфигурации порта на коммутаторе доступа.
• Определение дальнейших правил обработки трафика

• пример: перенаправить на IPS Firepower
• Определение политики на веб-шлюзе
• Определение политики на межсетевом экране
• Блокирование горизонтального трафика (восток-запад)

Программа
• Оценка соответствия: Оценка десктопов, BYOD и MDM
Политики и сегментация
Дизайн должен повторяться на множество локаций, зданий,
этажей
ACL
Уровень агрегации
VLAN Addressing DHCP Scope
Redundancy Routing Static Filtering
Карантин Голос Данные Поставщик Гость
Простая
Больше сегментация
политик с2
требуют VLANами
больше VLAN
Программно-задаваемая сегментация с
Cisco TrustSec/ SGT
• Простота: применение
целостной политики на все
сети
• Оперативно: уменьшить
площадь атаки, выполнить
бизнес требования
• Готовность: Безопасно,
соответствие уже сегодня
Сегментация с Security Group
DC-MTV (SRV1)
DC-MTV (SAP1) Продуктивные
DC-RTP (SCM2) сервера
Независимо от топологии или локации,

МСЭ ЦОД
политика (Security Group Tag) остается с DC-RTP (VDI) Destination
пользователями, устройствами, и Уровень агрегации
серверами ТЭГ Данных
ТЭГ Поставщиков
ТЭГ Гостей
ТЭГ Карантина
Голос Данные Поставщики Гости Карантин
Оставим имеющийся дизайн подсетей и VLAN
Применение фильтрации у точки назначения
Классификация и Распространение Применение
маркировка
Timecard
application
server
Credit Card
transaction server
Телеметрия контекста: Фильтрация на
• Manager Фаерволе
• Windows PC
• Compliant
Cisco ISE
Классификация и маркировка, Распространение,
Фильтрация
• IP Precedence and DiffServ code points
• 802.1Q User Priority
• MPLS VPN
• TrustSec
Классификация
SGT назначение
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
802.1X/ RAS VPN Authentication • L2 Interface
SGT
• L3 Interface
Web Authentication
• Virtual Port Profile
• Layer 2 Port Lookup
MAC Auth Bypass Pre-fix learning
Типичная классификация для мобильных Типичная классификация для серверов,

устройств политик привязанных к топологии и тд.
SGT на Профиль порта
Nexus 1000v version 2.1
Процесс динамической классификации в деталях

Супликант Коммутатор/ Контроллер ISE
Layer 2 Layer 3
00:00:00:AB:CD:EF
EAPoL Transaction RADIUS Transaction

EAP Transaction
Аутентифицирован
Оценка
1
Authorized MAC: Authorization SGT
0
политики
00:00:00:AB:CD:EF Авторизован
SGT = 5
cisco-av-pair=cts:security-group-tag=0005-01
2 DHCP
DHCP Lease: ARP Probe IP Device Binding:
3
10.1.10.100/24 Tracking 00:00:00:AB:CD:EF = 10.1.10.100/24
SRC: 10.1.10.1 = SGT 5
3560X#show cts role-based sgt-map all details

Убедитесь что Active IP-SGT Bindings Information
IP Device Tracking IP Address Security Group Source

=============================================
ВКЛЮЧЕН 10.1.10.1 3:SGA_Device INTERNAL
10.1.10.100 5:Employee LOCAL
Распространение
Как происходит обмен SGT классификацией?

Распространение
Inline SGT Tagging SXP
CMD Field IP Address SGT
10.1.100.98 50
ASIC ASIC ASIC
Optionally Encrypted L2 Ethernet Frame
SRC: 10.1.100.98
(No CMD)
Campus Access Distribution Core DC Core EOR DC Access
Enterprise
Backbone
SXP SRC: 10.1.100.98

Hypervisor SW
WLC FW
IP Address SGT SRC
§ Inline Tagging (data plane):
Если устройство поддерживает SGT в ASIC 10.1.100.98 50 Local
SXP IP-SGT Binding Table

§ SXP (control plane): Обмен между устройствами, у
которых нет SGT поддержки аппаратно
Как политика применяется с SGACL
Пользователь Destination Classification

аутентифицирован Web_Dir: SGT 20
Классификация CRM: SGT 30
как Employee (5)
FIB Lookup
Destination MAC/Port SGT 20
ISE
Cat3750X Cat6500 Cat6500 Nexus 7000 Nexus 5500 Nexus 2248

Web_Dir
Корпоратив DST: 10.1.100.52
5 ная сеть SGT: 20
SRC:10.1.10.220
SRC: 10.1.10.220 DST: 10.1.100.52 CRM
SGT: 5 DST: 10.1.200.100
Nexus 2248
SGT: 30
WLC5508 ASA5585
Web_Dir
SRC\DST CRM (30)
(20)
Employee (5) SGACL-A SGACL-B
BYOD (7) Deny Deny
SGACL Политика на ISE для коммутаторов
2
Security Group Based Access Control для МСЭ

Security Group Firewall (SGFW)
Метка Целевая
источника метка
Пример использования: ЦОД Контроль доступа
Традиционные правила МСЭ
Policy Source Policy Dest. Svc Act.
Уменьшенный OPEX: Object - S Object- D
Уменьшение 10.1.1.0/24 Fin Web
администраторов 24 -> 6 Finance 10.1.2.0/24 Server 172.1.1.1 Web Permit
человек 10.1.3.0/24
10.1.1.0/24 Devlp
Уменьшение “ACE” строк Engr 10.1.2.0/24 Server 172.1.1.2 Web Permit
Уменьшение на 60 - 90%. 10.1.3.0/24
SGA Правила МСЭ
Независимость от топологии SGT - User SGT - Service Svc Act.
Правила без IP адресов Fin Web
Finance-Corp-PC Server Web Permit
Доступ по контексту
Fin Web
User+Device Finance-IPAD Server Web Deny
User+Device+Access_type Devlp Server
Engr-All-Devices Web Permit
Пример использования : Хост-Хост защита от Malware
Production
Employee
Servers
HR Database
Маркировка и фильтрация
Cisco ISE
Assets
Sales Developer Guests ACL
Internet блокировки Malware
Access
Malware
Source
Sales DENY DENY PERMIT

Deny tcp dst eq 445 log; block SMB file
Blocking
Malware sharing
Developer DENY DENY PERMIT
Blocking
Deny tcp dst range 137 139 log; block
Guest DENY DENY DENY PERMIT
NetBios Session Service
Permit all
Пример использования : Сегментация ЦОД
Protected Assets
Production Development HR
Storage
Servers Servers Database
Production
PERMIT DENY DENY PERMIT
Servers
Development
Source
DENY PERMIT DENY PERMIT
Servers
HR
DENY DENY PERMIT PERMIT
Database
Storage PERMIT PERMIT PERMIT PERMIT
Фильтрация Классификация
HR Database
Development
DC FW DC Switch server
SGT Распространение
Сегментация
Нет VLAN
Cisco ISE
TrustSec Функции и поддержка Платформ
Классификация Распространение Фильтрация
Catalyst 2960-S/-C/-Plus/-X/-XR SXP Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-X
Catalyst 3560-E/-C/-X SXP Catalyst 3560-E/-C/, 3750-E
SGACL Catalyst 3750-X
Catalyst 3750-E/-X Catalyst 3560-X, 3750-X Catalyst 3850/3650
SXP SGT
Catalyst 3850/3650 SGACL WLC 5760
SXP SGT Catalyst 3850/3650 Catalyst 4500E (7E)
WLC 5760
SXP Catalyst 4500E (Sup6E) Catalyst 4500E (8E)
Catalyst 4500E (Sup6E/7E) Catalyst 6500E (2T)
SXP SGT Catalyst 4500E (7E, 8), 4500X SGACL
Catalyst 4500E (Sup8) Catalyst 6800
Catalyst 6500E (Sup720/2T) SXP Catalyst 6500E (Sup720)
Nexus 7000
Wireless LAN Controller SXP SGT Catalyst 6500E (2T), 6800 SGACL
2500/5500/WiSM2 Nexus 6000 NEW
SXP WLC 2500, 5500, WiSM2
Nexus 7000 Nexus 5600 NEW
SXP SGT WLC 5760 SGACL
Nexus 6000 NEW
Nexus 5500
SXP SGT
SGT Nexus 1000v NEW inline tagging
Nexus 5600 NEW Nexus 1000v NEW
Nexus 5500 SXP SGT Nexus 6000/5600 NEW SGACL
Nexus 1000v (Port Profile) SXP SGT Nexus 5500/22xx FEX ISR G2 Router, CGR2000
SGFW
SXP SGT Nexus 7000/22xx FEX
ISR G2 Router, CGR2000 SXP SGT GETVPN. DMVPN, IPsec ISRG2, CGS2000 ASR 1000 Router
SGFW
SXP SGT GETVPN. DMVPN, IPsec ASR1000 CSR-1000v Router
IE2000/3000, CGS2000 NEW
SXP SGT ASA5500 Firewall, ASASM
NEW
ASA 5500 Firewall
ASA5500 (VPN RAS) NEW SGFW ASAv Firewall NEW
• Inline SGT on all ISRG2 except 800 series:
www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html
Краткий обзор лицензий
Доступ Контекст Оценка соответствия
Base (Perpetual Lic.) Plus (Term Lic.) Apex (Term Lic.)

Ø AAA Ø BYOD Ø Unified Endpoint
Ø 802.1X Ø Internal CA Ø MDM – 3rd Party
Compliance &
Ø Profiling & Feed Service Ø Compliance Remediation
Ø Enhanced Guest
Ø TrustSec Ø EPS
Ø Multiple APIs Ø pxGrid AC Apex (Term Lic.)
• Устройство должно быть онлайн и использовать соответствующую функцию для

задействования лицензии
• Как только устройство покидает сеть, лицензия высвобождается в пул
Спасибо за внимание!

Язык

4 Ise

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

4 Ise

Загружено:

Авторское право:

Построение

НЕИЗВЕСТНО WINDOWS 10/CORP WORKSTATION

НЕИЗВЕСТНО 10:30 AM MSK APR 27

НЕИЗВЕСТНО НЕТ УГРОЗ / УЯЗВИМОСТЕЙ

Сервис контекстных политик УГРОЗЫ CVSS

Сапликант для проводного,

CISCO IDENTITY SERVICES ENGINE

Польз. Группы Тип устройств

Улучшенная видимость и принятие Программно-задаваемая сегментация, Независимый от местонахождения

Централизованное решение для автоматизации контекстно-задаваемых политик доступа к сетевым

Физический Профилирование и Политика ролевого доступа Сетевые ресурсы

Сетевая Что Гостевой доступ

Контроль доступа Целостный контроль доступа в проводной, беспроводной и VPN сети..

Упрощенное управление BYOD в строенным CA сервером и поддержкой

Обмен контекстом с партнерской экосистемой для улучшения их

Доступ Cisco ISE поддерживает протокол TACACS+ для контроля и аудита

00:02:4B:CC:D6:63 10.1.20.33 Cisco-IP-Phone Cisco Systems

5C:F9:38:AA:1F:90 10.1.0.21 Apple-MacBook Apple Inc

30:46:9A:2E:C3:F0 10.1.0.73 Microsoft-Workstation Lenevo

N5K-1 10.1.100.4 Switch DC-01 Cisco Nexus OS version..

* Only supported on Standalone ISE deployment.

Соединимся с AD через инструментарий

Cisco ISE Win Domain

Видимость приложений с Anyconnect

Видимость Контекст Контроль

550+ Cisco ISE

DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS

DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS

ANYCONNECT ACIDex Методы сбора данных профилирования

ACIDex Политика профилирования

OS: Mac OS X +10

Должен набрать минимальный уровень

«Проба» Active Directory

Примечание: Если AD-пробу включить после обнаружения устройства и получения

Условия AD-пробы Совпадения по следующему:

MAB à DHCP à AD Probe

КОРПОРАТИВНАЯ SQL Server

300K Внутренних До 50 отдельных AD доменов

ПАССИВНАЯ § MAC Authentication Bypass § Downloadable / Named ACL

DACL или Named ACL VLAN Security Group Tags

Пассивная идентификация Активная идентификация

Собственные атрибуты доступны как условия для

Help Desk: количество звонков возросло на 40%

Файловые ISE ISE Файловые ISE Файловые

Корп. сеть Корп. сеть Корп. сеть

PREAUTH ACL PERMIT ACL

Порт открыт permit eap dhcp dns permit ip any any

Удачно/Неудачно До После До После

§ Нет влияния на текущий доступ § Включить 802.1X иMAB

Все остальные не-пользовательские устройства MAB

Сотрудники с отказавшим или не настроенным

Настройка порта 802.1X

ISE Policy Server

Перенаправление браузера на ISE

VPN MAB неудачен, возвращаем Default Policy

jdoe / secret123 Auth Success

Разрешить доступ Сотруднику

VPN Имеющаяся сессия соответствует

ISE ГОСТЕВЫЕ ФУНКЦИИ

# Поддерживаемых Настройка Управление

Hotspot Self Sponsored Sponsored Guest Access

Саморегистрация для Гостей, Авторизованные спонсоры

Вендоры оценки угроз

Кампусная Qualys, Tennable, Nexpose

ISE: интеграция с MDM