Вы находитесь на странице: 1из 101

Построение

корпоративной
архитектуры контроля
доступа с ISE
и TrustSec
Василий Томилин
Инженер-консультант
Security-request@cisco.com
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Контекст это всё
Отсутствие контекста Учет контекста
IP ADDRESS: 192.168.2.101 Иван Петров (СОТРУДНИК)

НЕИЗВЕСТНО WINDOWS 10/CORP WORKSTATION

НЕИЗВЕСТНО ЗДАНИЕ-А-ЭТАЖ-13

НЕИЗВЕСТНО 10:30 AM MSK APR 27


НЕИЗВЕСТНО ИЗВЕСТНО
НЕИЗВЕСТНО БЕСПРОВОДНАЯ СЕТЬ

НЕИЗВЕСТНО НЕТ УГРОЗ / УЯЗВИМОСТЕЙ

РЕЗУЛЬТАТ РЕЗУЛЬТАТ
ДОСТУП К IP РОЛЕВОЙ ДОСТУП
(ЛЮБОЕ УСТРОЙСТВО / ПОЛЬЗОВАТЕЛЬ)

?
? ?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
Cisco ISE и Anyconnect
CISCO ISE SIEM, MDM, NBA, IPS, IPAM,...
КТО КОГДА
Cisco ISE ЧТО ГДЕ PxGRID
и APIs
КАК СОСТОЯНИЕ

Сервис контекстных политик УГРОЗЫ CVSS


по контролю доступа в Партнерская экосистема
ПОЛИТИКА ДОСТУПА
проводных, беспроводных и
VPN сетях ДЛЯ ХОСТОВ ДЛЯ СЕТИ
ПРОВОДНАЯ БЕСПРОВОДНАЯ VPN
Cisco Anyconnect

Сапликант для проводного,


беспроводного и VPN
доступа. Поддерживает:
оценку соответствия,
развертывание средств
защиты от Malware,
обеспечение безопасности
веб-трафика, видимость Ролевой контроль доступа | Гостевой доступ | BYOD | Безопасный доступ
сети, приложений и другое..
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Управление политиками основываясь на доверии
Соединяя доверенные устройства с доверенными сервисами

CISCO IDENTITY SERVICES ENGINE

Польз. Группы Тип устройств

В облаке

Не доверенные приложения
Доверенные приложения
Trusted User

Cloud App A
Cloud App B
Server A
Server B
Partners
Местонахождение Соответствие

и сервисы
Trusted Asset ✓ ✕ ✓ ✓ ✓ ✓
В сети

и сервисы
Trusted User ✕ ✓ ✓ ✓ ✓ ✕
Время Угрозы Partners ✕ ✕ ✓ ✓ ✕ ✕

Поведение Уязвимости

Улучшенная видимость и принятие Программно-задаваемая сегментация, Независимый от местонахождения


решений Доступ к сервисам и разрешения доступ к приложениям/сервисам
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Представляем Cisco Identity Services Engine

Централизованное решение для автоматизации контекстно-задаваемых политик доступа к сетевым


ресурсам и обмена контекстом

Физический Профилирование и Политика ролевого доступа Сетевые ресурсы


или VM оценка состояния
Традиционно Cisco TrustSec®
Кто

Сетевая Что Гостевой доступ


дверь
Когда
BYOD доступ
Где
Ролевой доступ
Как
ISE pxGrid
P Оценка Контроллер
Безопасный доступ
Контекст

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Почему заказчики покупают ISE?
Cisco ISE смотрит глубоко на всю сеть и предоставляет непревзойденную
Видимость устройств
видимость того, кто и что соединяется к ресурсам.

Контроль доступа Целостный контроль доступа в проводной, беспроводной и VPN сети..


802.1X, MAC, WEB-Аутентификация и Easy-connect для контроля доступа
Полностью настраиваемые мобильный и десктоп гостевые порталы с
Гостевой доступ
простым визуальным Wizard’ом для простого управления гостевым доступом

Упрощенное управление BYOD в строенным CA сервером и поддержкой


BYOD доступ
сторонних MDM интеграций для саморегистрации собственных устройств
Политика топологически-независимой сегментации для сдерживания сетевых
Сегментация
угроз с использованием Cisco TrustSec

Обмен контекстом с партнерской экосистемой для улучшения их


Контроль угроз
эффективности и уменьшения времени реагирования на инцидент

Доступ Cisco ISE поддерживает протокол TACACS+ для контроля и аудита


администратора конфигурационных изменений на сетевых устройствах.

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Безопасность начинается с ‘Видимости’

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Инструментарий обнаружения в ISE

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Настройка обнаружения
Обнаружение устройств в сети

ISE сканирует устройства в заданной MAC Address IPv4 Address Endpoint Profile OUI
IP-подсети 00:22:BD:D3:5B:2F 10.1.0.13 Cisco-IP-Camera Cisco Systems

00:02:4B:CC:D6:63 10.1.20.33 Cisco-IP-Phone Cisco Systems

5C:F9:38:AA:1F:90 10.1.0.21 Apple-MacBook Apple Inc

30:46:9A:2E:C3:F0 10.1.0.73 Microsoft-Workstation Lenevo

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Настройка видимости
Обнаружение устройств сетевого доступа
ISE 2.1+ может провести SNMP-
сканирование сети для обнаружения Имя IP Адрес Тип устройства Место Описание
имеющихся сетевых устройств. Останется Cat3850-1 10.1.100.1 Switch Bldg-A Cisco IOS Software XE..
только добавить RADIUS secret на каждое
ISR4KX-1 10.1.100.2 Router Bldg-A Cisco IOS Software XE..
устройство NAD.
WLC5520-1 10.1.100.3 Controller DC-01 Cisco Controller

N5K-1 10.1.100.4 Switch DC-01 Cisco Nexus OS version..

* Only supported on Standalone ISE deployment.


© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Настройка обнаружения
Соединение с Active Directory

Соединимся с AD через инструментарий


для окончания третьего этапа настройки
ISE с нуля

Cisco ISE Win Domain


Controller

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Asset Visibility

Видимость приложений с Anyconnect


Корпоративная Публичная

IPFIX/NetFlow
Коллектор

Cisco Anyconnect с
‘Network Visibility’ модулем

Видимость Контекст Контроль


в процессы, hash процесса, и другое для анализа сетевого поведения запускаемых приложений

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco ISE: профилирование
1,5
млн

Число устройств
(с ‘50’ атрибутами),
данные о которых можно хранить

550+ Cisco ISE

Высокоуровневые вложенные
профили.
+Периодические обновления Сервис фидов
(Online/Offline)

250+ Cisco Сеть ACTIVE PROBES Netflow DHCP DNS HTTP RADIUS NMAP SNMP

DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS


Профили медицинских
устройств

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Cisco ISE: обзор профилирования
ACTIVE PROBES Netflow DHCP DNS HTTP RADIUS NMAP SNMP AD

DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS

ANYCONNECT ACIDex Методы сбора данных профилирования

Устройства DS
отсылают
интересные
DS
данные, которые Сервис фидов
Cisco ISE (Online/Offline)
обличают их
идентификацию

ACIDex Политика профилирования


If CDP:Platform Name = Cisco IP Phone = true, then Cisco-IP-Phone
Политика авторизации
If Endpoint ID Group = Cisco-IP-Phone = true, then Voice VLAN
AnyConnect Identity Extensions (ACIDex) | Device Sensor (DS) © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Профилирование – как это работает?

A0:99:9B:00:01:AA
= Apple-MacBook

OS: Mac OS X +10


UA: *Macintosh* +10
UA: *Mac OS*
+10
A0:99:9B:00:01:AA

Должен набрать минимальный уровень


совпадения

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
RADIUS DHCP HTTP SPAN DNS SNMP NMAP NETFLOW AD

«Проба» Active Directory


• Улучшает знания об ОС через детальные данные, полученные из
AD AD.
Атрибуты
• Использует AD Runtime Connector
DHCP / DNS PSN • Пытается достать AD-атрибуты как только имя компьютера было
Контроллер
домена получено от DHCP-пробы и DNS-пробы
• AD запросы регулируются:
• Интервалом повторного сканирования (по умолч. 1 день)
• Активностью профайлера на устройство

Примечание: Если AD-пробу включить после обнаружения устройства и получения


hostname, запрос в AD не направляется. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
RADIUS DHCP HTTP SPAN DNS SNMP NMAP NETFLOW AD

Условия AD-пробы Совпадения по следующему:


• AD компьютер?
• Domain присоединения
Условия • OS, Версия, и Service Pack

Пример Атрибутов

MAB à DHCP à AD Probe


Просто как 1 – 2 – 3 !

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Упростить профилирование с ‘Device Sensor’
Сетевые устройства отсылают сырые данные устройств на ISE через RADIUS

§ Не требует
Только один вид пробы перенаправления пакетов
• Распределенный сбор на
сетевых устройствах. Cache, (DHCP Helper) и SPAN
CDP CDP, LLDP, DHCP, HTTP (только
LLDP
DHCP ISE WLAN), и др. сессий для
MAC
• Централизованный сбор на ISE профилирования
через RADIUS протокол
CDP § Высоко масштабируемо и
LLDP
DHCP
MAC эффективно
§ ISE использует только
Учетные данные
HTTP RADIUS “RADIUS” пробу
DHCP
MAC
§ Профилирование
основано на :
• CDP/LLDP
Данные от Условия • DHCP
Device Sensor + профилирования = ПРОФИЛЬ
ОПРЕДЕЛЕН • HTTP (ТОЛЬКО WLC)
• mDNS,
Пример: If DHCP Class ID Это принтер • H323,
MAC OUI + Lexmark Contains E260dn Lexmark E260n • MSI-Proxy (только 4k)

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco ISE: поддержка безопасного доступа
SAML iDPs Single Sign-On
Встроенные
сапликанты / Cisco
AnyConnect Certificate based Auth

Certificate Authorities
Одновременных сессий

До 100K
Сетевых устройств APIs Passwords / Tokens
SCEP / CRL
External Identity Stores

Active Directory
802.1X

КОРПОРАТИВНАЯ SQL Server


СЕТЬ LDAP / SQL
LDAP Servers
Built-in CA
500500,000
000

300K Внутренних До 50 отдельных AD доменов


пользователей
Методы аутентификации Опции авторизации

ПАССИВНАЯ § MAC Authentication Bypass § Downloadable / Named ACL


ИДЕНТИФИКАЦИЯ § Easy Connect ® § Air Space ACL
§ VLAN Assignment
§ IEEE 802.1X § Security Group Tags
АКТИВНАЯ § Web Authentication § URL-Redirection
ИДЕНТИФИКАЦИЯ § Central WebAuth § Port Configuration
§ Local WebAuth (ASP Macro / Interface-Template)
ASP: Auto Smart Port
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Контроль сетевого доступа
ЗАЩИЩЕННЫЕ ОБЩИЕ ПУБЛИЧНАЯ
СЕРВЕРА СЕРВИСЫ СЕТЬ

Сертификаты / Пароли

NETWORK ACCESS
СОТРУДНИК

КОНТРАКТНИК alice
*****

АУТЕНТИФИКАЦИЯ АВТОРИЗАЦИЯ
Кто ты? Что ты можешь делать?

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
Разделение аутентификации и авторизации
Policy Set: условия

Аутентификация

Авторизация

Группы
политик

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Политика авторизации

КОНТРАКТНИКИ
Алексей

Никита
Cisco ISE
СОТРУДНИКИ

Дмитрий

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Опции авторизации
Помимо RADIUS ‘ACESS-ACCEPT’ / ‘ACCESS-REJECT’

DACL или Named ACL VLAN Security Group Tags


Загружаемые ACL (провод) или
Динамическое назначение VLAN Cisco TrustSec
именованные ACL (провод + WLAN)

Исправление
Состояния

Гости
VLAN 4
Сотрудники
Контрактник VLAN 3
Сотрудник 16-битная метка SGT и
permit ip any any deny ip host <protected>
permit ip any any На порт / На домен / На MAC SG ACL

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Активная и пассивная идентификация
1 DOMAIN\Михаил
(AD Логин)

Михаил 3
2
Михаил залогинен
Пассивная идентификация
Елена?
Активная идентификация
Да AD
Cisco ISE
1 2
3

Елена

Пассивная идентификация Активная идентификация

Мапинг IP-Пользователь получается пассивно через AD Мапинг IP-Пользователь получается через активное
WMI события, AD Агенты, Syslog, SPAN сессии и другое. взаимодействие с ISE клиента посредством 802.1X, Web
authentication, Remote access VPN, и др.

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Политика авторизации

Собственные атрибуты доступны как условия для


политики авторизации

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Давайте обезопасим доступ пользователей с 802.1X

Я сделал дома
лабу и все
работает.. Я
включаю 802.1X
завтра…
ИТ
Менеджер.
Включил 802.1X

Не могу
подключиться к сети.
Оно говорит что
Аутентификация
неудачная, не знаю
что делать. У меня
презентация через 2
часа…

Help Desk: количество звонков возросло на 40%


© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
Развернуть 802.1X по Фазам
Monitor Mode Low-Impact Mode Closed Mode

Файловые ISE ISE Файловые ISE Файловые


DHCP DNS
сервера сервера сервера
Сервера

Корп. сеть Корп. сеть Корп. сеть

PREAUTH ACL PERMIT ACL

Порт открыт permit eap dhcp dns permit ip any any


безусловно deny any Только EAP

Удачно/Неудачно До После До После


Аутентифицируется Аутентификации Аутентификации Аутентификации Аутентификации

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
Monitor Mode
interface GigabitEthernet1/0/1
switchport access vlan 100
switchport mode access
switchport voice vlan 10
authentication host-mode multi-auth Monitor
authentication open Mode
authentication port-control auto Basic
До Аутентификации После Аутентификации mab 1X/MAB
dot1x pae authenticator
Трафик всегда разрешен независимо от Аутентификации authentication violation restrict
MONITOR MODE : ЦЕЛИ MONITOR MODE : КОНФИГУРАЦИЯ

§ Нет влияния на текущий доступ § Включить 802.1X иMAB


§ Увидеть - Что есть в сети § Включить Open Access
- У кого есть сапликант Весь трафик вдобавок к EAP разрешен,
как и в отсутствие включенного 802.1X, но
- У кого работает доступ
аутентификация все равно происходит
- У кого доступ не работает § Включить Multi-Auth host mode
§ Предотвращение через отчетность § Без авторизации
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Low Impact Mode
interface GigabitEthernet1/0/1
switchport access vlan 100
switchport mode access
switchport voice vlan 10
authentication host-mode multi-auth Low-
ip access-group PRE-AUTH in Impact
authentication open Mode
До Аутентификации После Аутентификации authentication port-control auto From
mab Monitor
Pre-Auth и Post-Auth Доступ контролируется IP ACL dot1x pae authenticator Mode
authentication violation restrict
LOW-IMPACT MODE : ЦЕЛИ
LOW-IMPACT MODE : НАСТРОЙКА
§ Начать контроль/дифференциацию доступа в
сеть § Начинаем с Monitor Mode
§ Минимизировать воздействие на текущий доступ § Добавить ACLы, dACLы и flex-auth
§ Оставить видимость как в Monitor Mode
§ Ограничить число устройств,
§ “Low Impact” == не надо перестраивать сеть подключающихся к порту
§ Оставить текущий дизайн VLAN
§ Минимальные изменения

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Closed Mode
interface GigabitEthernet1/0/1
switchport access vlan 100
switchport mode access
switchport voice vlan 10
no authentication open
authentication event fail authorize vlan 101
authentication event no-resp authorize vlan 101
До Аутентификации После Аутентификации authentication event server dead action \
authorize vlan 101
Нет доступа ДО Аутентификации, Ролевой доступ после неё authentication port-control auto
mab
CLOSED MODE : ЦЕЛИ dot1x pae authenticator
dot1x timer tx-period 10
§ В соответствии с IEEE спецификацией для
802.1X
CLOSED MODE : НАСТРОЙКА
§ Нет доступа ДО Аутентификации
§ Возврат к привычному “закрытому” доступу
§ Быстрый доступ для не-802.1X корпоративных
§ Таймеры или изменение порядка
устройств
аутентификации
§ Логическая изоляция трафика на доступе
§ Внедрение основанного на идентификации
(VLAN сегментация)
назначении VLAN
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Гибкая аутентификация (FlexAuth)
aaa new-model
aaa authentication dot1x default group radius
802.1X 1 aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
MAB 2 aaa session-id common
!
dot1x system-auth-control
WebAuth 3 Сервер !
Authenticator Аутентификации radius server ise
address ipv4 172.20.254.201 auth-port 1645 acct-port 1646
WebAuth
MAB
802.1X key cisco
RADIUS
.1X timeout
802.1X
MAB fail
Timeout

interface GigabitEthernet1/0/1
switchport access vlan 100
switchport voice vlan 10
switchport mode access
authentication host-mode multi-auth
Flexible authentication (FlexAuth) это authentication order dot1x mab webauth
набор функций, позволяющий IT authentication priority dot1x webauth
mab
Администраторам настраивать очередность и authentication port-control auto
приоритет IEEE 802.1X, MAC authentication bypass dot1x pae authenticator
(MAB), и web аутентификации (local WebAuth). !

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обслуживание гостей и сотрудников без 802.1X
Сотрудники и некоторые не-пользовательские 802.1X
устройства

Все остальные не-пользовательские устройства MAB

Гостевые пользователи

Сотрудники с отказавшим или не настроенным


сапликантом

Сотрудник Гость

**** ****

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Гостевая сеть
DMZ Контроллер

Беспроводная ИНТЕРНЕТ

• Открытый SSID
• Центральная Web
Аутентификация Foreign Controller
• Контроллер в DMZ
• Выделенный интерфейс ISE в CORP
LAN
DMZ
ГОСТЕВОЙ VLAN
Проводной
• Гостевой VLAN
• Гибкая аутентификация Corp Guest
SSID SSID
– 802.1X fails to MAB for CWA

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
Flex Auth
Объединяя Множество методов аутентификации в едином проводном порту

Настройка порта 802.1X


interface GigabitEthernet1/0/1 Timeout/
failure
authentication host-mode multi-auth
authentication open
authentication port-control auto
mab
MAB
dot1x pae authenticator
Timeout/
! Failure
authentication event fail action next-method
authentication order dot1x mab
authentication priority dot1x mab WebAuth

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
CWA: алгоритм работы
Отслеживание идентификатора сессии дает поддержку управлением сессией, включая CoA

https://ise.company.com:8443/guestportal/gateway?sessionId=0A010A...73691A&action=cwa

ISE Policy Server

Пробуем
MAB

Соединяемся к WLAN=Corp

Перенаправление браузера на ISE

VPN MAB неудачен, возвращаем Default Policy


= URL Redirect to ISE + Session ID

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
CWA: алгоритм работы
CoA позволяет производить переаутентификацию основываясь на изменившемся
контексте устройства.

CoA
ISE Policy Server

jdoe / secret123 Auth Success


Reauth group=Employee
Вводим учетные данные

Разрешить доступ Сотруднику

VPN Имеющаяся сессия соответствует


Политике Сотрудника
= Remove Redirect + ACL permit ip any any
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Системный подход
Коммутатор/Контроллер это точка контроля

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
Identity Services Engine
Улучшения в гостевых сервисах
Зачем ISE для Гостей?

Нужен
Интернет

Наблюдение
Проводной/ Гостевые Порталы Кто может Как долго у за доступом
БЛВС учетные для Логина/ выдавать Гостя есть и
доступ? данные управления доступ? доступ? активностью

ГОСТЬ

ISE ГОСТЕВЫЕ ФУНКЦИИ


© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
ISE – лучшее решение для гостевого доступа

1
МЛН API

# Поддерживаемых Настройка Управление


Опции уведомления Гостей
Гостевых учетных языка портала порталами через
Email/ SMS
записей REST

Hotspot Self Sponsored Sponsored Guest Access

Саморегистрация для Гостей, Авторизованные спонсоры


Мгновенный, беспарольный Спонсоры могут подтверждать создают учетные записи и
доступ в Интернет доступ выдают учетные данные
3 Типа гостевого доступа

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
Гостевой доступ с использованием Социальных сетей
• Facebook логин будет поддерживать только саморегистрацию
• Гости смогут нажать на кнопку Facebook и получить доступ в
сеть мгновенно.

Cisco ISE

john.doe@gmail.com

***************

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Оценка соответствия:
Соответствуют ли мои устройства
корпоративной политике
безопасности?

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
VPN

Вендоры оценки угроз


Corporate и Уязвимостей
Applications
AMP, CTA, Rapid 7

Кампусная Qualys, Tennable, Nexpose


сеть

Уровень агрегации

Уровень доступа

ISE: интеграция с MDM


Application PIN Lock
Supplier Employee
Jail Broken Corp Wipe
Wired Wireless Wireless
Disk Encryption Etc ..
Non-Compliant BYOD

ISE: нативная оценка состояния Хостов


Application Anti Malware File Check Service

Anti Spyware Compound Patch mgmt USB Check

Anti Virus Disk Encryption Registry Others


© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
AnyConnect Stealth Mode
AnyConnect может быть запущен как сервис без UI

• Stealth mode (без UI) поддерживает все проверки оценки


состояния, которые не требуют пользовательского вмешательства
(и нет UAC).

Список не поддерживающихся функций


• Все исправления состояния типа Manual
• File remediation
• Link remediation
• WSUS с отображением UI
• PM с активацией UI исправления (e.g. Manual remediation not
supported etc ..)

• ISE будет поддерживать апгрейд клиентов с “безголового” режима


в полный

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Temporal Agent (ISE 2.3)
Детали
- Замена NAC Web Agent (только Windows)
на временный Windows/exe и Mac OS/dmg
- Запускается один раз и удаляется
- Не требует административных привилегий
- Такой же богатый набор проверок что и
AnyConnect (также с инвентаризацией ПО,
но однократно)
- Только ручное исправление состояния
- Загружается с портала через URL-
перенаправления, возможно
интегрировать с Guest, BYOD, CWA, etc.

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
Новая инвентаризация приложений в ISE 2.3
Новый Summary вид внутри
Context Directory

Наведите

Множественный выбор

Улучшенная
фильтрация

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
Новая аппаратная инвентаризация в ISE 2.3

Богатый контекст

Фильтры загрузки

Фильтр по
производителям

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
BYOD
Расширяя сетевой доступ на
персональные устройства
Зачем ISE для BYOD?

Нужен
BYOD
доступ

Кто может Корпора- Отчет о


Проводной/ принести Регистрация Настройка тивный и потерянных и
БЛВС свое своих встроенного BYOD- украденных
доступ? устройство? устройств сапликанта доступ устройствах

СОТРУДНИК

ISE BYOD ФУНКЦИИ


© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
Упрощенный BYOD Полный BYOD
(Base Лицензия) (Base + Plus Лицензия)

• Тип гостя ’Только • Полная автоматизация


Интернет’ доступ для BYOD процесса –
персональных устройств регистрация устройства,
ИЛИ настройка встроенного
сапликанта, установка
• Доступ по паролю к BYOD
сертификата, управление.
SSID, ограниченный доступ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
Bring Your Own Device
Поддержка
устройств ПУБЛИЧНАЯ
EMM-интеграции

iDevice ОДИН / ДВА Доступ


SSID для основанный на
развертывания MDM политике
Android
Ресурсы

Устройства
✕✓✕✓✓✓
MAC OSx
✓✓✕✓✕✕
✕✓✓✕✕✕

Windows

Настройка Внутренний CA
ChromeOS сапликанта и для BYOD-
установка сертификатов
сертификата
КОРПОРАТИВНАЯ
EMM: Enterprise Mobility Management | MDM: Mobile Device Management
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
Один SSID или два SSID
• Один SSID • Два SSID
• Начинаем с 802.1X на едином • Начинаем с CWA на одном SSID
SSID,
SSID = BYOD-Open
используя PEAP (MAB / CWA)

SSID = BYOD-Closed (802.1X)

SSID = BYOD-Closed (802.1X) • Заканчиваем на другом SSID с


• Заканчиваем на том-же SSID с 802.1X, используя PEAP или
802.1X через EAP-TLS EAP-TLS
WLAN Profile WLAN Profile
SSID = BYOD-Closed SSID = BYOD-Closed
EAP-TLS PEAP or EAP-TLS
Certificate=MyCert (Certificate=MyCert)

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
BYOD Шаги
РЕГИСТРАЦИЯ НАСТРОЙКА ВЫПИСКА MDM ОЦЕНКА
УСТРОЙСТВА СУППЛИКАНТА СЕРТИФИКАТА СООТВЕТСТВИЯ

Доступ
BYOD

Добавить [ОПЦИЯ] Если EAP-


персональное Настроить адаптер на TLS для [ОПЦИЯ] Регистраци
устройство к группе (WiFi) Аутентификации, и проверка
‘Registered Device’ аутентификацию установка сертификата соответствия на MDM

Политика Настройки внутреннего MDM интеграция.


Портал и политика
развертывания CA / SCEP Внешний Атрибуты политики
авторизации
клиентов CA MDM.

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
ISE BYOD: варианты сертификата
Простота развертывания и управления

SCEP для Sub-CA для


Автономный
Корпоративного Корпоративного
CA ISE
CA PKI

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
ISE: встроенный удостоверяющий центр
Упрощение управлением сертификатами для BYOD устройств

Единая консоль управления – Управление


устройствами и их сертификатами. Удаление
устройства в ISE удаляет его сертификат.

Упрощенное развертывание – поддержка


отдельных и subordinate развертываний. Не
привлекаются корпоративная PKI команда для
каждого BYOD случая

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
ISE – это OCSP Responder для
проверки сертификатов – нет CRL
Отзыв сертификата с ISE списков!
• Автоматический отзыв сертификата при пометке устройства как “Потерянное”
• Сертификаты могут быть вручную отозваны

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
Mobile Device Management (MDM)
Расширение оценки состояния на мобильные устройства
Оценка состояния мобильного устройства
MDM Проверка политик Оценка соответствия мобильных устройств
Device registration status
Device compliance status
Disk encryption status 1. Регистрация на ISE 2. Интернет-доступ
Pin lock status
Jailbreak status
Cisco ISE Internet
Manufacturer
Model 4. Comply MDM Policy
IMEI
Serial number
Personal Device
OS version
Phone number 3. Регистрация на MDM 5. Разрешаем
MDM корпоративный Corporate
доступ

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
Интеграция ISE со сторонними
MDM-решениями
• MDM-регистрация устройства через ISE
• Незарегистрированные клиенты
перенаправляются на страницу регистрации MDM

• Ограниченный доступ
• Не соответствующие клиенты будут иметь
ограниченный доступ

• MDM агент на устройстве


• Оценка состояния
• Проверка приложений

• Действия с устройством через ISE


• Устройство украдено -> Стереть данные с
устройства

MCMS
http://www.cisco.com/c/en/us/products/security/partner-ecosystem.html
Version: 5.0 Version: 6.2
Version: 7.1 Version: 2.3
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
Поддержка множества MDM
Множественные MDM производители могут быть добавлены в ISE и
использоваться одновременно в политике

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
Отчетность
Mobile Device Management

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сложности управления инцидентами
Понимание контекста является ключевым фактором приоритезации
событий безопасности и их управления
Понять оценку
состояния пользователя
Ассоциация пользователя Где он в сети?
с авторизацией
Ассоциация пользователя На каком
с событием NAC он устройстве?
IAM ???
Потенциальное AAA
???
Logs
проникновение Как мне
остановить угрозу?
Security ???
Event ???
???

МНОГО ЭКРАНОВ МНОЖЕСТВО ДАННЫХ ОТСУТСТВИЕ СВЯЗЕЙ ДОРОГО ИСПРАВЛЯТЬ

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
Интеграция по традиционному пути
У меня есть репутация! У меня информация о приложении!
Нужны данные угрозы… Нужна локация и группа авторизации…

У меня события безопасности! У меня есть информация NBAR!


Нужна репутация… Нужна идентификация…

У меня NetFlow!
Проприетарные Есть местоположение!
Нужно описание… API не являются Нужна идентификация…
решением
У меня данные угроз! У меня информация с MDM!
Нужна репутация… Нужно местоположения…

У меня логи МСЭ! У меня есть инвентарь приложений!


Нужна идентификация пользователей… Нужна оценка состояния…

У меня есть идентификация и тип устройств!


Нужна инвентаризация приложений и уязвимостей…
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
pxGrid – Адаптация индустрии
Более 40 интеграций партнерских продуктов и 12 технологических областей
pxGrid-Работающее партнерство с ISE:
IAM & SSO • RTC: Cisco FirePower, Cisco Stealthwatch, Attivo,
Vulnerability
Bayshore, E8, Elastica, Hawk, Huntsman, Infoblox,
SIEM & Assessment Intelliment, LemonFish, LogRhythm, NetIQ, Rapid7,
Threat Defense
? User Behavior
Redshift, SAINT, Splunk, Tenable, ThreatTrack, TrapX
• Firewall: Check Point, Infoblox, Bayshore
Analytics • DDI: Infoblox
Net/App • Cloud: Elastica, SkyHigh Networks, Netskope
Performance Packet Capture • Net/App: Savvius
& Forensics • Network Visibility: Lumeta

IoT
Cisco pxGrid Rapid Threat
• SIEM/TD: Splunk, Lancope, NetIQ, LogRhythm,
FortScale, Rapid7
• IAM: Ping, NetIQ, SecureAuth, Situational
Containment
Security SECURITY THRU (RTC) • UBA: Fortscale, Niara
INTEGRATION • Vulnerability: Rapid7, Tenable, SAINT
• IoT Security: Bayshore Networks
Cloud Access • P-Cap/Forensics: Emulex
Firewall & • Cisco: WSA, FirePower, ISE, Stealthwatch
Access Control Security

Другие ISE Партнеры:


DDI • SIEM/TD: ArcSight, IBM QRadar, Tibco LogLogic,
Symantec
Cisco ISE • MDM/EMM: Cisco Meraki, MobileIron, AirWatch, JAMF,
Cisco WSA SOTI, Symantec, Citrix, IBM, Good, SAP, Tangoe, Globo,
Absolute
Cisco FirePOWER Cisco Stealthwatch • Threat Centric NAC: Cisco AMP, Qualys
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
pxGrid предлагает 4 сценария
ОБОГАТИТЬ ISE
КОНТЕКСТ ПАРТНЕРУ ОСТАНОВИТЬ УГРОЗУ БРОКЕР КОНТЕКСТА
КОНТЕКСТ

CISCO ECO- CISCO ECO- CISCO ECO- CISCO


ISE PARTNER ISE PARTNER ISE PARTNER ISE

КОНТЕКСТ КОНТЕКСТ КОНТЕКСТ pxGrid ECO-


ПАРТНЕР

ОСТАНОВИТЬ
ISE 2.2

ISE Обогащает знаниями Обогащение контекста


Применить динамическую ISE работает брокером
Пользователей/Устройств, ISE. Сделать ISE лучшей
политику в сети по данных от одной
идентификации и локации точкой управления
запросу партнера платформы к другой
системы заказчика политиками

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
PxGrid Сертификат, подписанный CA
Специальный шаблон
Корневой CA
сертификата с EKU для
Публичный клиентской и серверной
аутентификации

Public Private Key Public Private Key

ISE

Доверенные Client Доверенные


Сертификаты Сертификаты

C
Grid Controller Grid Client

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 74
ISE 2.1: CA для сертификатов
Не нужен внешний CA server WWW
1. Использование единого Удостоверяющего
центра
2. Каждый участник pxGrid доверяет этому УЦ
3. Каждый Клиент pxGrid использует ‘pxGrid’
Сертификат с этого УЦ
4. *Контроллер должен авторизовать связи
Splunk > FMC
Controller

Instant Full Mesh Trust!

X.509
X.509

X.509
X.509X.509

pxGrid
pxGrid
pxGrid
pxGrid
X.509

pxGrid pxGrid
MnT

ISE 2.1 CA
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
Firepower: политики, основанные на SGT
‘Политики контроля доступа’ основанные на ISE-атрибутах

PxGRID

NGIPS /
ASA + Firepower

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 76
Основанная на контексте ‘WEB-Фильтрация’
С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)

Кто: Доктор
Что: Ноутбук
Где: Офис RADIUS PxGRID

Интернет
Кто: Доктор
Что: iPad
Кампусная W ww
Где: Офис Сеть

Web
Security
Кто: Гость
Что: iPad
Appliance
Где: Офис

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 77
Cisco ISE передает контекст в Stealthwatch

Информация о контексте

Syslog
pxGrid

Cisco ISE Cisco SW


Действие блокировки

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 78
Если я хочу изменить права доступа без
pxGrid? Воспользуйтесь ANC (ISE 2.1+)!
• Помните, что с версии ISE 2.1
функционал ANC доступен через https://ISE:9060/ers/sdk
REST API.

Шаг 1: выбрать политику


Запросить доступные
политики ANC

Шаг 2: применить
Применить политику
к устройству
Итак, ANC без pxGrid?

Operations > ANC


Да, это ANC без pxGrid!

Operations > ANC


Назначение метки на входе, политика
всюду Политика от SGT Политика от SGT
W3C Logs

Cognitive
Threat
• Decrypt SSL • No SSL Decrypt Analytics
• Filter URLs • Filter URLs
• Deny Apps • Permit Apps
• Scan for Malware • Scan for Malware
• Route to DLP
Who: Doctor
What: Desktop
What: w/ AMP
Where: Office www

Who: Doctor
What: Desktop
What: Vulnerable
Where: Branch
Метка одна, а пользы от неё…
• Влияем на маршрут передачи (PBR)

• Влияем на QoS

• SGT для активации определённой конфигурации порта на коммутаторе доступа.

• Определение дальнейших правил обработки трафика


• пример: перенаправить на IPS Firepower
• Определение политики на веб-шлюзе

• Определение политики на межсетевом экране

• Блокирование горизонтального трафика (восток-запад)


Программа
• Введение
• Видимость
• Профилирование
• AAA (802.1X и MAB)
• Гостевой доступ/веб-аутентификация с использованием ISE
• Оценка соответствия: Оценка десктопов, BYOD и MDM
• pxGrid: формирование экосистемы безопасности
• TrustSec / Лицензирование
• Заключение

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Политики и сегментация
Дизайн должен повторяться на множество локаций, зданий,
этажей

ACL
Уровень агрегации

VLAN Addressing DHCP Scope

Redundancy Routing Static Filtering

Уровень доступа

Карантин Голос Данные Поставщик Гость

Простая
Больше сегментация
политик с2
требуют VLANами
больше VLAN

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 85
Программно-задаваемая сегментация с
Cisco TrustSec/ SGT

• Простота: применение
целостной политики на все
сети

• Оперативно: уменьшить
площадь атаки, выполнить
бизнес требования

• Готовность: Безопасно,
соответствие уже сегодня

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 86
Сегментация с Security Group
DC-MTV (SRV1)
DC-MTV (SAP1) Продуктивные
DC-RTP (SCM2) сервера

Независимо от топологии или локации,


МСЭ ЦОД
политика (Security Group Tag) остается с DC-RTP (VDI) Destination
пользователями, устройствами, и Уровень агрегации
серверами ТЭГ Данных
ТЭГ Поставщиков
ТЭГ Гостей
ТЭГ Карантина
Уровень доступа

Голос Данные Поставщики Гости Карантин

Оставим имеющийся дизайн подсетей и VLAN

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 87
Применение фильтрации у точки назначения
Классификация и Распространение Применение
маркировка

Timecard
application
server
Credit Card
transaction server
Телеметрия контекста: Фильтрация на
• Manager Фаерволе
• Windows PC
• Compliant
Cisco ISE
Классификация и маркировка, Распространение,
Фильтрация
• IP Precedence and DiffServ code points
• 802.1Q User Priority
• MPLS VPN
• TrustSec

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 88
Классификация

Классификация
SGT назначение
Динамическая классификация Статическая классификация
• IP Address
• VLANs
• Subnets
802.1X/ RAS VPN Authentication • L2 Interface
SGT
• L3 Interface
Web Authentication
• Virtual Port Profile
• Layer 2 Port Lookup
MAC Auth Bypass Pre-fix learning

Типичная классификация для мобильных Типичная классификация для серверов,


устройств политик привязанных к топологии и тд.

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 89
Классификация

SGT на Профиль порта

Nexus 1000v version 2.1

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 90
Классификация

Процесс динамической классификации в деталях


Супликант Коммутатор/ Контроллер ISE
Layer 2 Layer 3
00:00:00:AB:CD:EF

EAPoL Transaction RADIUS Transaction


EAP Transaction
Аутентифицирован
Оценка
1
Authorized MAC: Authorization SGT
0
политики
00:00:00:AB:CD:EF Авторизован
SGT = 5
cisco-av-pair=cts:security-group-tag=0005-01
2 DHCP
DHCP Lease: ARP Probe IP Device Binding:
3
10.1.10.100/24 Tracking 00:00:00:AB:CD:EF = 10.1.10.100/24

SRC: 10.1.10.1 = SGT 5

3560X#show cts role-based sgt-map all details


Убедитесь что Active IP-SGT Bindings Information

IP Device Tracking IP Address Security Group Source


=============================================
ВКЛЮЧЕН 10.1.10.1 3:SGA_Device INTERNAL
10.1.10.100 5:Employee LOCAL
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 91
Распространение

Как происходит обмен SGT классификацией?


Распространение
Inline SGT Tagging SXP
CMD Field IP Address SGT

10.1.100.98 50
ASIC ASIC ASIC
Optionally Encrypted L2 Ethernet Frame
SRC: 10.1.100.98
(No CMD)

Campus Access Distribution Core DC Core EOR DC Access

Enterprise
Backbone

SXP SRC: 10.1.100.98


Hypervisor SW

WLC FW
IP Address SGT SRC
§ Inline Tagging (data plane):
Если устройство поддерживает SGT в ASIC 10.1.100.98 50 Local

SXP IP-SGT Binding Table


§ SXP (control plane): Обмен между устройствами, у
которых нет SGT поддержки аппаратно
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 92
Фильтрация

Как политика применяется с SGACL

Пользователь Destination Classification


аутентифицирован Web_Dir: SGT 20
Классификация CRM: SGT 30
как Employee (5)
FIB Lookup
Destination MAC/Port SGT 20
ISE

Cat3750X Cat6500 Cat6500 Nexus 7000 Nexus 5500 Nexus 2248


Web_Dir
Корпоратив DST: 10.1.100.52
5 ная сеть SGT: 20
SRC:10.1.10.220
SRC: 10.1.10.220 DST: 10.1.100.52 CRM
SGT: 5 DST: 10.1.200.100
Nexus 2248
SGT: 30
WLC5508 ASA5585

Web_Dir
SRC\DST CRM (30)
(20)

Employee (5) SGACL-A SGACL-B

BYOD (7) Deny Deny

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 93
SGACL Политика на ISE для коммутаторов

2
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 94
Фильтрация

Security Group Based Access Control для МСЭ


Security Group Firewall (SGFW)

Метка Целевая
источника метка

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 95
Пример использования: ЦОД Контроль доступа
Традиционные правила МСЭ
Policy Source Policy Dest. Svc Act.
Уменьшенный OPEX: Object - S Object- D
Уменьшение 10.1.1.0/24 Fin Web
администраторов 24 -> 6 Finance 10.1.2.0/24 Server 172.1.1.1 Web Permit

человек 10.1.3.0/24
10.1.1.0/24 Devlp
Уменьшение “ACE” строк Engr 10.1.2.0/24 Server 172.1.1.2 Web Permit
Уменьшение на 60 - 90%. 10.1.3.0/24
SGA Правила МСЭ
Независимость от топологии SGT - User SGT - Service Svc Act.
Правила без IP адресов Fin Web
Finance-Corp-PC Server Web Permit
Доступ по контексту
Fin Web
User+Device Finance-IPAD Server Web Deny
User+Device+Access_type Devlp Server
Engr-All-Devices Web Permit

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 96
Пример использования : Хост-Хост защита от Malware

Production
Employee
Servers
HR Database

Маркировка и фильтрация

Cisco ISE

Assets
Sales Developer Guests ACL
Internet блокировки Malware
Access
Malware
Source

Sales DENY DENY PERMIT


Deny tcp dst eq 445 log; block SMB file
Blocking
Malware sharing
Developer DENY DENY PERMIT
Blocking
Deny tcp dst range 137 139 log; block
Guest DENY DENY DENY PERMIT
NetBios Session Service
Permit all

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 97
Пример использования : Сегментация ЦОД
Protected Assets
Production Development HR
Storage
Servers Servers Database
Production
PERMIT DENY DENY PERMIT
Servers
Development

Source
DENY PERMIT DENY PERMIT
Servers
HR
DENY DENY PERMIT PERMIT
Database
Storage PERMIT PERMIT PERMIT PERMIT

Фильтрация Классификация

HR Database

Development
DC FW DC Switch server
SGT Распространение
Сегментация
Нет VLAN
Cisco ISE

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 98
TrustSec Функции и поддержка Платформ
Классификация Распространение Фильтрация
Catalyst 2960-S/-C/-Plus/-X/-XR SXP Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-X
Catalyst 3560-E/-C/-X SXP Catalyst 3560-E/-C/, 3750-E
SGACL Catalyst 3750-X
Catalyst 3750-E/-X Catalyst 3560-X, 3750-X Catalyst 3850/3650
SXP SGT
Catalyst 3850/3650 SGACL WLC 5760
SXP SGT Catalyst 3850/3650 Catalyst 4500E (7E)
WLC 5760
SXP Catalyst 4500E (Sup6E) Catalyst 4500E (8E)
Catalyst 4500E (Sup6E/7E) Catalyst 6500E (2T)
SXP SGT Catalyst 4500E (7E, 8), 4500X SGACL
Catalyst 4500E (Sup8) Catalyst 6800
Catalyst 6500E (Sup720/2T) SXP Catalyst 6500E (Sup720)
Nexus 7000
Wireless LAN Controller SXP SGT Catalyst 6500E (2T), 6800 SGACL
2500/5500/WiSM2 Nexus 6000 NEW
SXP WLC 2500, 5500, WiSM2
Nexus 7000 Nexus 5600 NEW
SXP SGT WLC 5760 SGACL
Nexus 6000 NEW
Nexus 5500
SXP SGT
SGT Nexus 1000v NEW inline tagging
Nexus 5600 NEW Nexus 1000v NEW
Nexus 5500 SXP SGT Nexus 6000/5600 NEW SGACL

Nexus 1000v (Port Profile) SXP SGT Nexus 5500/22xx FEX ISR G2 Router, CGR2000
SGFW
SXP SGT Nexus 7000/22xx FEX
ISR G2 Router, CGR2000 SXP SGT GETVPN. DMVPN, IPsec ISRG2, CGS2000 ASR 1000 Router
SGFW
SXP SGT GETVPN. DMVPN, IPsec ASR1000 CSR-1000v Router
IE2000/3000, CGS2000 NEW
SXP SGT ASA5500 Firewall, ASASM
NEW
ASA 5500 Firewall
ASA5500 (VPN RAS) NEW SGFW ASAv Firewall NEW
• Inline SGT on all ISRG2 except 800 series:

www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 99
Краткий обзор лицензий
Доступ Контекст Оценка соответствия

Base (Perpetual Lic.) Plus (Term Lic.) Apex (Term Lic.)


Ø AAA Ø BYOD Ø Unified Endpoint
Ø 802.1X Ø Internal CA Ø MDM – 3rd Party
Compliance &
Ø Profiling & Feed Service Ø Compliance Remediation
Ø Enhanced Guest
Ø TrustSec Ø EPS
Ø Multiple APIs Ø pxGrid AC Apex (Term Lic.)

• Устройство должно быть онлайн и использовать соответствующую функцию для


задействования лицензии
• Как только устройство покидает сеть, лицензия высвобождается в пул

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 100
Спасибо за внимание!