идентификации

Cisco TrustSec 2.0
Михаил Кадер
Заслуженный системный инженер
© 2011 Cisco and/or its affiliates. All rights reserved.
1
Потребительские
ИТ-устройства
Сотрудники, постоянно
находящиеся на связи
Различные режимы
совместной работы
Распределенные
сотрудники
Сервисы для оконечных устройств/пользователей
Мобильность
Стиль
работы
Видео
Защищенная, надежная, прозрачная совместная работа
Инфраструктура
Сервисы сети без границ
Средства
управления и
политики сети
без границ
Коммутация Маршрутизация
Мобильность: Экология: Безопасность: Производит. Видео и голос:
Беспров.
медиасеть
Motion
EnergyWise
TrustSec
приложений
сети
Безопасность
WAAS
TrustSec обеспечивает мониторинг и управление сетевыми устройствами
и пользователями сети
© 2011 Cisco and/or its affiliates. All rights reserved.
2
Вопросы безопасности
Кто?
Что?
© 2011 Cisco and/or its affiliates. All rights reserved.
Идентификация пользователей и
предоставление дифференцированного
доступа в динамичной среде без границ.
Обеспечение выполнения политик для
пользовательских и сетевых устройств
Где?
Традиционный периметр размывается.
Доступ может выполняться из любой
точки мира
Как?
Формирование, мониторинг и
обеспечение выполнения глобальных
политик доступа
3
• Контроль доступа к информации, приложениям, записям
• Контроль входящих и исходящих потоков данных
• Обеспечение конфиденциальности для групп и отдельных
пользователей
• Сегментация определенных классов пользователей
• Контроль доступа к устройствам, серверам и платформам
управления на уровнях пользователей и устройств
• Инвентаризация и управление IP-устройствами, последующее
управление их поведением в соответствии с политиками
• Обеспечение выполнения политики доступа
за точкой подключения
• Мониторинг, регистрация действий и аудит
действий пользователей и устройств
© 2011 Cisco and/or its affiliates. All rights reserved.
4
Сеть WLAN
Удаленный
доступ
Проводная сеть
Виртуальные среды
© 2011 Cisco and/or its affiliates. All rights reserved.
5
Аддитивный режим
(режим устройства)
или
Инфраструктурный
(интегрированный) режим
Контекст идентификации
Сотрудник
Контрактор
Гость
Тип
устройства
Тип доступа
Местоположение
Состояние
Время суток
802.1X, web-аутентификация, аутентификация по MAC-адресу
(MAB), профилирование
Авторизация и обеспечение
Полный доступ
Ограниченный
доступ
Гостевой доступ/
доступ в Интернет
VLAN
ACL
VLAN, DACL, доступ на основе групп безопасности,
МСЭ с поддержкой идентификации
Целостность и конфиденциальность данных
MACSec (802.1AE)
© 2011 Cisco and/or its affiliates. All rights reserved.
6
Идентификация
и контроль доступа
Access Control Server (ACS)
Идентификация
и контроль доступа +
оценка состояния
NAC Manager NAC Server
Профилирование
устройств и сбор средств +
мониторинг
ISE
NAC Profiler NAC Collector
Автономное устройство
или лицензируемый
модуль NAC Server
Управление жизненным
циклом гостевого
доступа
NAC Guest Server
© 2011 Cisco and/or its affiliates. All rights reserved.
NAC Agent
7
Консолидированные
сервисы, пакеты ПО
Каталог сеансов
Гибкое
развертывание
ACS
Устройство (IP/MAC)
ИД польз.
NAC Manager
Комплексное
решение
HA-пара
NAC Profiler
ISE
NAC Server
NAC Guest
Местоположение
Права доступа
Упрощение развертывания
и администрирования
Отслеживание активных
пользователей и устройств
Расширяемые политики
Управление доступом
на основе групп
безопасности
Связывание информационных
точек политик
© 2011 Cisco and/or its affiliates. All rights reserved.
M&T
Консоль
администрирования
SGT
Общие
Частные
Персонал
ОК
ОК
Гости
ОК
Запрет
Сохранение существующей
архитектуры
Распределенные PDP
Оптимизация точки
размещения сервисов
Мониторинг
и устранение неполадок
Консолидация данных,
переход по иерархии
8
Представляем Identity Services Engine 1.0
Identity Services Engine
Сотрудники
Гости
Новые сценарии
идентификации
Оценка состояния
конечных устройств с
помощью интегрированных
средств профилирования
802.1X для проводных/
беспроводных сетей
© 2011 Cisco and/or its affiliates. All rights reserved.
Устройства
Тип доступа
Усовершенствования
платформы SAG
Новые платформы для
расширения функционала
и добавления меток
Местоположение
Состояние
Время суток
Усовершенствования
MACSec
Шифрование каналов
"коммутатор-коммутатор"
Проверка сценария VDI
9
Расширенные средства идентификации
в проводной сети
Cisco
ISE
Пользователь
в проводной
сети филиала
Сеть
комплекса
зданий
Пользователь в
филиале
WAN
ЦОД
Серверы
приложений
ЦОД
До TrustSec 2.0:
С TrustSec 2.0
Сценарии для проводной сети-
Сценарий для проводной сети –
Аутентификация и профилирование
•Identity 4.1 (802.1X и т. п.)
• Мониторинг, эффективность,
режимы безопасности
• NEAT
• Перемещение/замена MAC
• CoA
•Профилирование – NAC Profiler
•Макросы Auto Smartports
© 2011 Cisco and/or its affiliates. All rights reserved.
•Интеграция сервисов (ISE):
• Профилирование
• Гостевой доступ
• (НОВИНКА!!) Оценка состояния с
помощью средств 802.1X
• Усовершенствования в области
аутентификации:
• Назначение VLAN при
множественной аутентификации
• Открытая голосовая VLAN
•AnyConnect 3.0
10
Согласованные политики для пользователей беспроводной сети
Пользователь
проводной сети
филиала
Пользователь
проводной сети
802.1X
Cisco
ISE
Сеть
комплекса
зданий
Коммутатор
доступа
Корпоративные
пользователи
Серверы
приложений
ЦОД
До TrustSec 2.0:
С TrustSec 2.0
Сценарий для беспроводной сети -
Сценарий для беспроводной сети–
Аутентификация, профилирование и
оценка состояния с помощью
различных элементов
•Унификация сервисов с помощью ISE
•Аутентификация 802.1X
•Оценка состояния – NAC Posture
•Гостевой доступ – NAC Guest
© 2011 Cisco and/or its affiliates. All rights reserved.
•Профилирование (после аутентификации, без MAB)
•Оценка состояния
• До Wireless 7.0 MR1 – PEP в транзитном
режиме (без COA или перенаправления URL)
• После Wireless 7.0 MR1 – WLC
•Гостевой доступ (локальная web-аутентификация)
11
Дата выпуска:
июль 2011 г.
Уровень агрегации или ЦОД
Я контрактор.
Группа: HR.
SXP
Finance (SGT=4)
WAN
HR (SGT=10)
ISR
802.1X/MAB/web-аут.
Контрактор
и HR
SGT = 100
Cisco ASR 1000
•
•
Возможность распространения
сведений об идентификации на
уровне агрегации WAN для
сценариев доступа
партнера/контрактора или
VPN "сеть-сеть"
Функции – SXP, SGT
© 2011 Cisco and/or its affiliates. All rights reserved.
ASR
SGACL
Cisco Catalyst 6K (SUP-2T)
•
•
Расширение возможности по
обеспечению выполнения
политики безопасности на базе
поддержки идентификации
TrustSec на Nexus 7K и Cat 6K
(SUP2T). Реализация SGACL на
Nexus 7K и Catalyst 6K (SUP-2T)
Функция – SGACL
12
ЦОД
Я контрактор.
Группа: HR.
Назначение
роли SGT
RDP
Finance (SGT=4)
RDP
HR (SGT=10)
Клиентcкий ПК с
клиентом RDC
SGACL
Комоненты решения VDI
•
•
•
Назначение ролей SGT– любой коммутатор Catalyst с поддержкой различных режимов
аутентификации (Multi-Auth)
Коммутатор обеспечения выполнения SGACL – Catalyst 6K или Nexus 7K
Два варианта:
1. Пользователь сопоставляется “известной” VM путем статического задания
o Саппликант – аутентификация машины с помощью встроенного саппликанта на
сервере
2. Пользователь сопоставляется “любой” VM
o Anyconnect (с RDP) – перехват учетных данных пользователя (для RDP) для 802.1X
© 2011 Cisco and/or its affiliates. All rights reserved.
13
Администратор
(Finance)
Шифрование MACSec
=
Необходимо шифрование
ISE 1.0
MACSec в действии
Администратор
(Finance)
&^*RTW#(*J^*&*sd#J$%UJ&(
AnyConnect
3.0
802.1X
Аутентификация
прошла успешно!
&^*RTW#(*J^*&*sd#J$%UJ&(
Cat3750X
Catalyst 6500 или Nexus 7000
Поддерживается уже сейчас:
• Шифрование MACSec в ЦОД между коммутаторами
Nexus 7000
• Шифрование канала от AnyConnect до Catalyst 3KX (MKA)
TrustSec 2.0 привносит:
• Шифрование каналов между коммутаторами: Catalyst 3K-X,
6500 или Nexus 7000
• Для шифрования используется SAP, а не MKA
© 2011 Cisco and/or its affiliates. All rights reserved.
14
Шифрование каналов между коммутаторами для обеспечения
целостности данной во всей сети
Гость
Пользователь,
прошедший
процедуру
аутентификации
Незашифрованные данные
Шифрование
Расшифрование
802.1X
&^*RTW#(*J^*&*sd#J$%UJ&(
Саппликант
с
MACSec
Cisco Catalyst 3KX
• Шифрование канала
между коммутаторами
• 1 Гбит/с –
существующие порты
• 10 Гбит/с – новый
сервисные модули 3KX
(июль 2011 г.)
© 2011 Cisco and/or its affiliates. All rights reserved.
&^*RTW#(*J^*&*sd#J$%UJWD&(
Устройства с поддержкой MACSec
(новые средства шифрования
каналов между коммутаторами)
Канал MACSec
Cisco Catalyst 6K (SUP-2T)
Cisco Catalyst 4K
• Шифрование канала
между коммутаторами
• Модуль SUP 2T (июль
2011 г.)
• Шифрование канала
между коммутаторами
• 4500: восходящие каналы
Sup7-E и линейные карты
47xx (2 пол. 2011 календ.
года)
15
механизм авторизации следующего поколения (группы безопасности)
Контроль доступа,
зависящий от
топологии
Рабочие
серверы
Контрактор
Сотрудник
Масштабируемый контроль
доступа, не зависящий от
топологииl
Серверы
разработки
VLAN 1
GO
Уникальная 16-битная
(65K) метка –
уникальная роль
Сегментация – VLAN,
ACL, VRF
Метки групп
безопасности
Включение пользователя
в “группу безопасности”
Развертывание системы контроль доступа без
перепроектирования сети и без управления IP-адресами
© 2011 Cisco and/or its affiliates. All rights reserved.
16
шифрование следующего поколения на уровне 2 (MACSec)
Данные и видео
передаются по сети без
шифрования
Зашифрованное
взаимодействие
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
V
V
V
V
V
V
V
V
V
V
V
V
V
V
V
V
V
V
Злоумышленник
Шифрование MACSec (элемент TrustSec) обеспечивает
соответствие нормативным требованиям
© 2011 Cisco and/or its affiliates. All rights reserved.
17
Бизнес-задача
Решение с помощью TrustSec 2.0
Необходимо упростить развертывание
системы контроодля доступа в
соответствии с ролевой моделью
Встроенный диспетчер политик и клиент:
• Identity Services Engine с встроенными средствами
профилирования, поддержки гостевого доступа и
оценки состояния
• Anyconnect 3.0 с поддержкой 802.1X/CSSC,
MACSec, RDP и много другого
Необходимо убедиться, что оконечные
устройства не станут источником
уязвимостей
• 802.1X с оценкой состояния
• Упрощение беспроводной доступа с обеспечением
оценки состояния на WLC
Необходимо идентифицировать
беспроводные устройства
(например, iPADы)
Средство профилирования (Profiler) с поддержкой
WLAN. Поддержка авторизации на основе 802.1X
(отсутствие MAB, гостевой доступ)
Меня волнуют вопросы
конфиденциальности данных в локальной
сети
Средства MACSec для шифрования каналов между
коммутаторами (Cat 3K и Cat 6K), предв. версия для
Cat 4K
Требуется масштабируемая среда контроля
доступа (ролевая модель) для сети,
поддерживающая существующие
платформы ЦОД
Поддержка SGT/SGACL на SUP 2T для Cat 6K
Требуется внедрить масштабируемое
решение для контроля доступа (ролевая
модель) внутри сети с возможностью
распространения на среды
партнеров/подрядчиков
Платформы ASR серии 1000 с поддержкой TrustSec
(SXP/SGT) на уровне агрегации WAN
Требуется обеспечить работу
существующей масштабируемой системы
© 2011 Cisco and/or its
affiliates. All rightsв
reserved.
контроля
доступа
виртуальной среде
Сценарий SGA протестирован в среде VDI
Interop, май
2011 г.
Live Las
Vegas, июль
2011 г.
18
© 2011 Cisco and/or its affiliates. All rights reserved.
20
Числовые метрики
Все источники
атрибутов
Распределение
устройств
Все зарегистрированные
узлы ISE
Показатели ошибок
и распределений
Распределение
профилей
Статистика,
отказы
Обзор тревог
© 2011 Cisco and/or its affiliates. All rights reserved.
21
Фильтр
Цветовое
выделение строк
с ошибками
Соответствие
Профиль
© 2011 Cisco and/or its affiliates. All rights reserved.
22
© 2011 Cisco and/or its affiliates. All rights reserved.
23
Узлы
© 2011 Cisco and/or its affiliates. All rights reserved.
Типы:
Admin, Policy,
Monitor, Inline
Admin:
Основной (Primary) /
вторичный (Secondary)
24
Создание собственных
профилей
Иерархические
группы
профилей!
© 2011 Cisco and/or its affiliates. All rights reserved.
Более 90 встроенных
профилей для устройств
Cisco и других
производителей!
25
Протоколы по
умолчанию
Правила по умолчанию для
большинства типовых сценариев
доступа к сети
© 2011 Cisco and/or its affiliates. All rights reserved.
Вставка / копирование/ удаление
правил
26
Порядок использования систем
идентификации
© 2011 Cisco and/or its affiliates. All rights reserved.
27
Выбор порядка
использования систем
идентификации
Варианты
аутентификации
© 2011 Cisco and/or its affiliates. All rights reserved.
28
Первое соответствие
-или- соответствие нескольким критериям
Добавление/удаление/
копирование
Включение/выключение/
мониторинг
© 2011 Cisco and/or its affiliates. All rights reserved.
29
Именованные простые
или составные условия
© 2011 Cisco and/or its affiliates. All rights reserved.
30
© 2011 Cisco and/or its affiliates. All rights reserved.
31
Просмотр каталогов
сеансов
Выбор и настройка
Категории отчетов
© 2011 Cisco and/or its affiliates. All rights reserved.
32
© 2011 Cisco and/or its affiliates. All rights reserved.
33
Cisco Identity Services Engine (ISE) 1.0
ISE
> Более 90 профилей, готовых к
использованию!
•
Полномасштабное решение
(проводная + беспроводная сеть)
•
Встроенные средства
аутентификации/авторизации
•
Другие сервисы (гостевой доступ,
оценка состояния, регистрация
устройств)
•
Гибкость развертывания
© 2011 Cisco and/or its affiliates. All rights reserved.
Атрибут X
Полномасштабный мониторинг и
отслеживание действий
Устройство
•
Время
Несколько сенсоров – гибкое
профилирование
Местоположение
•
Пользователь
Полностью новое решение!
34
• Обнаружение и профилирование
(классификация) всех оконечных
устройств с помощью сетевых
механизмов
• Мониторинг идентификации для
новых/измененных атрибутов
идентификации оконечных устройств,
что гарантирует повторное
профилирование
• Ведение базы данных всех оконечных
устройств сети
• Профилирование на основании
данных
•Netflow
•CDP
•DHCP и DNS
•MAC
•SNMP
•RADIUS
© 2011 Cisco and/or its affiliates. All rights reserved.
35
Поддерживается
Не поддерживается
Сервер гостевого
доступа
Портал спонсора
• Самостоятельная регистрация
• Доступ предоставляется
спонсором
• Регистрация устройств
• Настраиваемый портал
• Создание одной/нескольких учетных
записей
• Спонсор задает группу/систему
идентификации
• Ограничения профилей по времени
• Уведомление пользователя
о параметрах учетной записи
(email, распечатка, SMS)
Портал спонсора
Портал гостевого
доступа
• Смена пароля
• Смена пароля при первом входе
• Загрузка клиента для оценки
состояния
• Самообслуживание
• Регистрация устройств
NGS 2.0x
ISE 1.0
Портал гостевого доступа
Уведомление гостя
Формирование отчетов
Поддержка биллинга
Примечание:
Гостевой доступ к беспроводной сети – только локальная web-аутентификация, нет оценки состояния.
Гостевой доступ к проводной сети– локальная и централизованная web-аутентификация. Оценка
состояния только при централизованной web-аутентификации.
36
© 2011 Cisco and/or its affiliates. All rights reserved.
URL-REDIRECT
ISE Guest Server
1. При запуске браузера гость перенаправляется на портал гостевого
доступа ISE.
2. Гость вводит учетные данные,
предоставленные спонсором
© 2011 Cisco and/or its affiliates. All rights reserved.
3. Учетная запись
проверяется в
точке принятия
решений ISE
(данные
сравниваются с
данными,
хранящимися в
системе
идентификации
при гостевом
доступе)
Система идент.
при гостевом
доступе
37
© 2011 Cisco and/or its affiliates. All rights reserved.
38
© 2011 Cisco and/or its affiliates. All rights reserved.
39
© 2011 Cisco and/or its affiliates. All rights reserved.
40
© 2011 Cisco and/or its affiliates. All rights reserved.
41
Оценка состояния
с использованием ISE
Оценка состояния
с использованием NAC
Auth
Auth
VLAN для коррекции
Полный доступ к сети
NAC Server
NAC Manager
Функциональные возможности
•
•
•
•
ISE
NAC
ISE 1.0
Клиент
NAC agent
NAC Agent
Аутентификация
Kerberos
802.1X
Оценка состояния
Opswat
Opswat
Исправление состояния
SNMP
RADIUS
Варианты сегментации
VLAN
VLAN, DACL, SXP/SGT
Проводная сеть – оценка состояния только при централизованной web-аутентификации
Беспроводная сеть:
До выпуска ПО Wireless 7.0 MR1 – PEP в режиме транзитной передачи (без COA или URL redirect)
После выпуска ПО Wireless 7.0 MR1 – с использованием WLC
© 2011 Cisco and/or its affiliates. All rights reserved.
42
Policy > Policy Elements > Conditions > Posture
•
Файл
•
Реестр
•
Антивирус/антишпионское ПО
•
Сервис
© 2011 Cisco and/or its affiliates. All rights reserved.
•
Составные условия (предварительно
настроенные)
•
Составные условия
(антивирус/антишпионское ПО)
43
 Унифицированный интерфейс доступа
для SSL-VPN, IPSec и 802.1X (для
проводной и беспроводной сети)
 Поддержка MACSec / MKA (802.1X-REV)
для шифрования данных в ПО
(производительность ограничена ЦП
оконечного устройства)
 Оборудование с поддержкой MACSec
(сетевой адаптер) повышает
производительность AnyConnect 3.0
Для TrustSec:
• 802.1X – головным устройством является коммутатор, ASA не требуется.
Вопросы лицензирования анализируются в настоящее время (STBU)
• Аппаратное шифрование – требуется AnyConnect и оборудование, поддерживающее
MACSec: (Intel 82576 (Gigabit Ethernet), Intel 82599 (10 Gigabit Ethernet), набор
микросхем Intel ICH10 - Q45 Express (1GbE на материнской плате) (настольные ПК с
таким адаптером поставляются Dell, Lenovo, Fujitsu и HP.)
• Программное шифрование – требуется AnyConnect, создается нагрузка на ЦП ПК
© 2011 Cisco and/or its affiliates. All rights reserved.
44
1
2
Режим "Should-Secure"
• Key Management = MKA
• Encryption = MACSec
• Port Authentication Exception
Policy = Prior to
Authentication Initiation
4
3
© 2011 Cisco and/or its affiliates. All rights reserved.
45
Использование AnyConnect 3.0
Шифрование MACSec
=
Администратор
(Finance)
Требуется шифрование
LAN
&^*RTW#(*J^*&*sd#J$%UJ&(
AC3.0
Администратор
(Finance)
802.1X
Cat3750
X
Процедура аутентификации
пройдена успешно!
Использование обычного саппликанта
Переход в незащищенную VLAN
=
Администратор
(Finance)
Администратор
(Finance)
Требуется шифрование
Без саппликанта
MACSec
Обычный
саппликант
на ноутбуке
© 2011 Cisco and/or its affiliates. All rights reserved.
Все данные передаются в открытом виде, их можно
LAN читать
802.1X
Cat3750
X
Процедура аутентификации
пройдена успешно!
46
46

Предотвращение подключения к сети оконечных и сетевых устройств
злоумышленников

Средства контроля доступа к сети (NDAC) обеспечивают надежную взаимную
аутентификацию устройств перед подключением к структуре коммутации

Конфиденциальность и целостность данных в проводной Ethernet-сети в масштабах
всей корпоративной инфраструктуры
NDAC

802.1AE

Решение, основанное на стандартах



Предотвращение прослушивания трафика, модификации данных и добавления данных
Сильное шифрование (128-битный AES-GCM), одобрено NIST, на скорости передачи
данных в среде 10 Гбит/с
Основано на стандартах IEEE, включая протокол согласования ключей MACSec Key
Agreement (MKA)
Гибкость развертывания
802.1X2010

Посегментное шифровани обеспечивает возможность применения существующих
технологий анализа пакетов (IPS, МСЭ, кэширование, оптимизация/ускорение работы
приложений в WAN, мониторинг сети)

Работа в смешанных средах (IP-телефоны, настольные компьютеры)
Шифрование 802.1AE
Шифрование 802.1AE
Расшифрование
Шифрование
входящий
трафик
Исходящий
трафик
© 2011 Cisco and/or its affiliates. All rights reserved.
Шифрование 802.1AE
Расшифрование
Шифрование
В системе обрабатываются пакеты
в расшифрованном виде
47
Защита канала передачи данных с помощью MACSec
• Шифрование “на уровне WLAN / VPN” (128-битн. AES GCM) в проводной сети
• Утвержденные NIST * алгоритмы шифрования (IEEE802.1AE) и управления
ключами (IEEE802.1X-2010/MKA)
• Поддержка работоспособности средств аудита трафика (сервисов безопасности)
* National Institute of Standards and Technology Special Publication 800-38D
Гостевой
пользователь
Данные в незашифрованном виде
Пользователь,
прошедший
процедуру
аутентификации
Шифрование
Расшифрование
802.1X
&^*RTW#(*J^*&*sd#J$%UJ&(
&^*RTW#(*J^*&*sd#J$%UJWD&(
Саппликант
с MACSec
Канал MACSec
© 2011 Cisco and/or its affiliates. All rights reserved.
Устройства
с поддержкой
MACSec
Примечание: в настоящее время Cat3750-X поддерживает
MACSec только для нисходящих каналов
48
Media Access Control (MAC) Security
• Соответствует стандарту IEEE 802.1AE
• Позволяет создать среду аутентификации на базе IEEE 802.1X
• Распространяет ключи шифрования с помощью протокола
согласования ключей (MKA) (IEEE 802.1X-Rev-2010)
Защита взаимодействия доверенных компонентов
по локальной сети
Сильное шифрование в каждом сегменте (независимо от других
сегментов)
Поэтапное развертывание учтено при проектировании
• Сначала защищаются самые уязвимые устройства
• Минимальное воздействие на сеть
© 2011 Cisco and/or its affiliates. All rights reserved.
49
Саппликант
Зашифр. канал 802.1AE
AnyConnect
• Обмен
ключами
• Шифрование
Сервер
аутентификации
Устройство
аутентификации
Канал L3
Catalyst 3560-X / 3750-X
• Контроль
доступа
• Обмен
ключами
• Шифрование
• Распространение мастерключей
Саппликант. Клиент, функционирующий на оконечном устройстве и отправляющий учетные данные для
аутентификации. Должен поддерживать согласование ключей MACSec и шифрование пакетов. Шифрование может
выполняться программно и аппаратно (если шифрование поддерживается сетевым адаптером)
Устройство аутентификации. Коммутатор, который транслирует учетные данные (поступившие от саппликанта) на
сервер аутентификации и обеспечивает выполнение политики доступа к сети. Должен поддерживать согласование
ключей MACSec и шифрование пакетов. Требуется оборудование, поддерживающее MACSec на скорости передачи
данных.
Сервер аутентификации. RADIUS-сервер, проверяющий учетные данные (поступившие от саппликанта) и
определяющий права доступа, предоставляемые саппликанту. Распространяет ключевой материал мастер-ключей
на саппликант и коммутатор. Может определять политику MACSec, применяемую для конкретного оконечного
устройства.
© 2011 Cisco and/or its affiliates. All rights reserved.
50
Сокращение
MKA
SAP
MSK
CAK
SAK
Термин
Определение
Протокол MKA, определенный в стандарте IEEE 802.1X2010, является протоколом согласования ключей,
который поддерживает обнаружение соседей,
поддерживающих MACSec, и согласование MACSecключей.
Security Association Protocol Протокол согласования ключей, схожий с MKA (стандарт
Протокол SAP
находится на этапе рассмотрения).
MACSec Key Agreement
Протокол согласования
ключей MACSec
Создает в процессе взаимодействия EAP, саппликант и
сервер аутентификации используют MSK для генерации
CAK.
Connectivity Association Key Генерируется на основе MSK. Ключ CAK – долгосрочный
Ключ подключения
мастер-ключ, который используется для генерации всех
остальных MACSec-ключей. Саппликант вычисляет CAK
на основе EAP. Сервер аутентификации передает ключ
CAK на коммутатор в последнем RADIUS-сообщении в
конце процесса аутентификации IEEE 802.1X.
Master Session Key
Основной сеансовый ключ
Secure Association Key
Ключ защиты подключения
© 2011 Cisco and/or its affiliates. All rights reserved.
Генерируется на основе CAK. Ключ SAK представляет
собой ключ шифрования, который используется
саппликантом и коммутатором для шифрования
определенного сеанса. Коммутатор вычисляет SAK на
основании CAK и посылает его саппликанту в
защищенном виде. Саппликант использует CAK для
расшифровки ключа SAK, полученного от коммутатора.
51
Устройство
аутентификации
Саппликант
Сервер
аутентификации
EAPoL: EAP Request-Identity
EAPoL: EAP-Response: Alice
RADIUS Access-Request
[AVP: EAP-Response: Alice]
RADIUS Access-Challenge
[AVP: EAP-Request: PEAP]
RADIUS Access-Accept
[AVP: EAP Success]
[AVP: EAP Key Name]
[AVP: CAK]
EAP Success
2
EAPoL-MKA: Key Server
EAPoL-MKA: MACSec Capable
EAPoL-MKA: Key Name, SAK
MKA
Согласование
сеансовых
ключей
IEEE 802.1X
Аутентификация
и распространение мастерключей
1
EAPoL-MKA: SAK Installed
Сеанс
защищен
© 2011 Cisco and/or its affiliates. All rights reserved.
AES-GCM-128
Зашифр. данные
Зашифр. данные
MACSec
3
52
• Позволяет сети использовать все существующие средства анализа сетевого
трафика
• Модель "врезки в кабель"
-Пакеты зашифровываются на исходящем интерфейсе
-Пакеты расшифровываются на входящем
интерфейсе
-Устройство обрабатывает пакеты в открытом виде
Расшифрование
на входящем
Шифрование (128-битн. AES GCM)
01001010001001001000101001001110101
01101001010001001
0
Шифрование (128-битн.
AES GCM)
011010010001100010010010001010010011101010
1
Шифрование
на исходящем
Открытые данные
01101001010001001
128bit AES 0GCM Encryption
01101001000110001001001000
ASIC
© 2011 Cisco and/or its affiliates. All rights reserved.
53
Посегментное шифрование поддерживает
интеллектуальные сетевые механизмы
AnyConnect
MACSec
Шифрование
“Нисходящий”
Расшифрование
MACSec
Шифрование
“Восходящий”
Расшифрование
Шифрование
• “Нисходящий” MACSec защищает трафик между коммутатором доступа и
конечным пользователем.
• “Восходящий” MACSec (между коммутаторами) защищает трафик между сетевыми
устройствами (коммутаторами уровней доступа и распределения)
Поддержка шифрования восходящего канала будет скоро представлена на рынке
• Восходящие и нисходящие сеансы MACSec не зависят друг от друга.
• Весь трафик зашифрован на канальном уровне.
• Каждый коммутатор может анализировать весь трафик (в открытом виде).
• Коммутатор может применять любые политики (QoS, анализ пакетов, NetFlow, ...)
при этом уровень защищенности не снижается.
© 2011 Cisco and/or its affiliates. All rights reserved.
54
Три варианта политик для коммутатора и саппликанта
• Must-Not-Secure: передается и принимается только незашифрованный
трафик. Кадры MKA игнорируются.
• Should-Secure: при успешном завершении работы MKA передается и
принимается только зашифрованный трафик. При ошибке или тайм-ауте
MKA допускается передача/прием незашифрованного трафика.
• Must-Secure: при успешном завершении работы MKA передается и
принимается только зашифрованный трафик. При ошибке или тайм-ауте
MKA трафик не передается и не принимается.
Несоответствие политик коммутатора и саппликанта
может стать причиной неполадок
Рекомендация: повсеместное использование “should-secure”
• “should-secure” – настройка коммутатора по умолчанию
• ACS позволяет назначить исключения из политик с помощью RADIUSатрибута Cisco-av-pair=subscriber:linksec-policy
• AnyConnect 3.0 поддерживает “should-secure” с помощью конфигурации
"Port Authentication Exception Policy" (“Prior to Authentication Initiation”)
© 2011 Cisco and/or its affiliates. All rights reserved.
55
Политика
саппликанта
Не MACSec-Capable
или Must-Not-Secure
Политика
коммутатора
Не MACSec-Capable
или Must-Not-Secure
Подключение
Should-Secure
Не MACSec-Capable
или Must-Not-Secure
Незащищенное
Must-Secure
Не MACSec-Capable
или Must-Not-Secure
Заблокировано
Не MACSec-Capable
или Must-Not-Secure
Should-Secure
Незащищенное
Should-Secure
Should-Secure
Защищенное
Must-Secure
Should-Secure
Защищенное
Не MACSec-Capable
или Must-Not-Secure
Must-Secure
Should-Secure
Must-Secure
Заблокировано, если не
настроена рнезервная
политика MACSec
Защищенное
Must-Secure
Must-Secure
Защищенное
© 2011 Cisco and/or its affiliates. All rights reserved.
Незащищенное
56
• Поддержка нескольких оконечных устройств на одном порту
коммутатора определяется оборудованием!
3750-X / 3560-X
Режим Host-Mode
MACSec
Примечания
Single-host
Д
Данные зашифрованы. Телефоны Cisco, выполняющие обход по
CDP, могут принимать/отправлять незашифрованный трафик.
Multi-domain auth
(MDA)
Д
Возможно независимое шифрование данных и голоса (по
отдельности и вместе).
Multi-auth
Н
При выборе режима “should-secure” оконечные устройства смогут
передавать незашифрованный трафик. При выборе режиме
“must-secure” процедура аутентификации завершится ошибкой.
Multi-host
Д
После аутентификации первого устройства будут поддерживаться
несколько MAC-адресов, при этом будет разрешен только один
зашифрованный сеанс. Режим предназначен только для
шифрования каналов между коммутаторами.
4500 / 6500
Host-Mode
MACSec
Notes
TBD
TBD
TBD
© 2011 Cisco and/or its affiliates. All rights reserved.
57
Преимущества
Ограничения
Конфиденциальность
Сильное шифрование на уровне 2 для
защиты данных.
Поддержка на оконечных устройствах
Не все оконечные устройства
поддерживают MACSec
Целостность
Средства проверки целостности
обеспечивают защиту данных при
передаче
Поддержка на уровне сети
Для шифрования на скорости передачи
данных нередко требуется
модернизация оборудования
коммутатора доступа
Гибкость
Возможность избирательного включения с
помощью централизованной политики
Интеграция технологий
MACSec может повлиять на настройку
других технологий на уровне доступа
(например, IP-телефон)
Интеллектуальные сетевые механизмы
Посегментное шифрование обеспечивает
возможность анализа, мониторинга,
пометки и пересылки трафика в
соответствии с политиками.
© 2011 Cisco and/or its affiliates. All rights reserved.
58
Назначение
VLAN
Загрузка
ACL
802.1X/MAB/Web Auth
• Могу ли я создавать новые сети VLAN или диапазоны IPадресов и управлять ими?
• Как обрабатывать DHCP-обновления в новой подсети?
• Как управлять списками ACL на интерфейсе VLAN?
• Работают ли протоколы PXE или WOL в среде VLAN?
• Что будет с суммаризацией маршрутов?
• Кто будет управлять списками ACL?
• Что будет при изменении IP-адресов получателей?
• Хватит ли объема TCAM коммутатора для обработки всех
запросов?
• Традиционные способы авторизации доступа заставляют
задумываться:
Перед развертывание требуется подробно проработать инфраструктуру…
Недостаточная гибкость для современного стиля ведения бизнеса
Проект по внедрению контроля доступа может привести к перепроектированию
всей сети
© 2011 Cisco and/or its affiliates. All rights reserved.
59
Security
Group
Tag
 Уникальная 16-битная (65K) метка сопоставлена уникальной роли
 Соответствует правам отправителя: пользователя, устройства или
сущности
 Ставится на входящем интерфейсе домена TrustSec
 Фильтрация (SGACL) на исходящем интерфейсе домена
TrustSec
SGACL
SG
Преимущества
 IP-адрес не требуется для ACE (IP-адрес связан с SGT)
 Политика (ACL) поступает с центрального сервера
политик (ACS) или настраивается локально на устройстве
TrustSec
 Независимость политики от топологии
 Гибкость и масштабируемость политики (на основании ролей)
 Централизованное управление политиками для динамического управления
 Фильтрация на исходящем интерфейсе: снижение воздействия
на объем TCAM
© 2011 Cisco and/or its affiliates. All rights reserved.
60
Пользователь
(отправитель)
Managers
S1
Серверы
(получатель)
Контроль доступа S1 - D1
D1
Sales
D2
permit tcp S1 D1 eq https
permit tcp S1 D1 eq 8081
permit tcp S1 D1 eq 445
deny ip S1 D1
S2
D3
HR
S3
HR Rep
D4
S4
D5
Число элементов ACE растет
по мере увеличения числа
элементарных разрешений
Finance
IT Admins
D6
• (число отправителей) * (число получателей) * число разрешений = число ACE
• Отправитель (S1) * получатели (S1~S6) * разрешения (4) = 24 ACE для S1
• Отправители (S1~S4) * получатели (S1~S6) * разрешения (4) = 96 ACE для S1~4
© 2011 Cisco and/or its affiliates. All rights reserved.
61
Группа
безопасности
(получатель)
Группа
безопасности
Пользователь (отправитель)
Серверы
SGACL
S1
MGMT A
(SGT 10)
S2
D1
D2
Sales SRV
(SGT 500)
D3
MGMT B
(SGT 20)
S3
S4
HR Rep
(SGT 30)
HR SRV
(SGT 600)
D4
D5
IT Admins
(SGT 40)
Finance SRV
(SGT 700)
D6
• (число SG отпр.) * (число SG получ.) * число разрешений = число ACE
• SGT10 * SGT получ. (3) * разрешения (4) = 12 ACE для SGT MGMT A
• SGT отпр. (4) * SGT получ. (3) * разрешения (4) = 48 ACE
© 2011 Cisco and/or its affiliates. All rights reserved.
62
• Предположим, что используется существующая технология МСЭ,
отправитель не указывается (source = Any)
• 400 пользователей, 30 сетевых ресурсов, 4 разрешения на каждый
Традиционный ACL на МСЭ
Any (отпр.) * 30 (получ.) * 4 разр. = 120 ACE
Традиционный ACL на интерфейсе VLAN маршрутизатора или МСЭ,
где можно использовать подсети для указания группы отправителя
4 VLAN (отпр.) * 30 (получ.) * 4 разр. = 480 ACE
Для каждого IP отправителя на порт при загружаемом ACL
1 группа (отпр.) * 30 (получ.) * 4 разр. = 120 ACE
SGACL
4 SGT (отпр.) * 3 SGT (получ.) * 4 разр. = 48 ACE
© 2011 Cisco and/or its affiliates. All rights reserved.
63
Мобильные устройства/устройства в сети комплекса зданий
 Каждое устройство, подключаемое к домену TrustSec, классифицируется с
помощью SGT
 SGT может посылаться на коммутатор с использованием RADIUS:
• при аутентификации 802.1X
• при MAB
• при web-аутентификации
• или задаваться статически: IP-SGT
ЦОД/серверы
Полная интеграция с
решениями Cisco
для идентификации
Как и при назначении
VLAN или dACL, SGT
назначается в процессе
авторизации
 Каждый сервер, связанный с доменом TrustSec, классифицируется с
помощью SGT
 SGT обычно назначаются серверам:
• путем задания соответствия IP-SGT вручную на устройстве
TrustSec
• путем сопоставления IP-порт
© 2011 Cisco and/or its affiliates. All rights reserved.
64
Создание политики SGT
SGT
получателя
SGT
отправителя
Врач
(SGT x)
Финансы
(SGT x)
Web
Web
Все
(SGT x)
Нет
доступа
Сервисы
(SGT x)
Web
Файлы/SMB
Врач (SGT x)
Web
Web
SSH
SSH
RDP
RDP
Финансы (SGT x) Файлы/SMB Файлы/SMB
Все (SGT x)
© 2011 Cisco and/or its affiliates. All rights reserved.
Web
Web
SSH
SSH
RDP
RDP
Файлы/SMB Файлы/SMB
Полный
доступ
SSH
RDP
Файлы/SMB
Полный
доступ
SSH
RDP
Файлы/SMB
65
Политика SGACL на ACS / ISE
1
3
2
© 2011 Cisco and/or its affiliates. All rights reserved.
66
Пример политики авторизации 802.1X
для назначения SGT
Имя правила
Условие
Профиль
авторизации
SGT
© 2011 Cisco and/or its affiliates. All rights reserved.
67
Поддержка компонентов
SGT/SGACL
Платформы
Функции
Версия ОС
Примечания
Коммутатор Nexus серии
7000
SGACL, 802.1AE +
SAP, NDAC, SXP,
IPM, EAC
Требуется лицензия Cisco NX-OS®5.0.2a.
Advanced Service Package
Устройство
реализации,
уровень распред.
ЦОД
Коммутатор Catalyst 6500E
(Supervisor 32, 720, 720VSS)
NDAC (No SAP),
SXP, EAC
Cisco IOS® 12.2 (33) SXI3 или более
поздняя версия. Образ IP Base K9
Коммутатор доступа
(комплекс
зданий/ЦОД)
Коммутаторы Catalyst 49xx
SXP, EAC
Cisco IOS® 12.2 (50) SG7 или более поздняя
версия.
Коммутатор доступа
(ЦОД)
Коммутатор Catalyst 4500
(Supervisor 6L-E or 6-E)
SXP, EAC
Cisco IOS® 12.2 (53) SG7 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Коммутаторы Catalyst
3560-X / 3750-X
SXP, EAC
Cisco IOS® 12.2 (53) SE2 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Коммутаторы Catalyst
3560(E) / 3750(E)
SXP, EAC
Cisco IOS® 12.2 (53) SE1 или более поздняя
версия.
Коммутатор доступа
(компл. зданий)
Блейд-модули для
коммутаторов Catalyst 3x00
SXP, EAC
Cisco IOS® 12.2 (53) SE1 или более поздняя
версия.
Коммутатор доступа
(ЦОД)
Сервисный модуль Cisco
EtherSwitch для ISR
SXP, EAC
Cisco IOS® 12.2 (53) SE1 или более поздняя
версия. Образ IP Base K9.
Коммутатор доступа
(филиал)
Cisco Secure ACS
Централизованное
управление
политиками TrustSec
ACS версии 5.1 с лицензией TrustSec™.
Поддерживается устройство CSACS1120
или ESX Server 3.5/4.0
Сервер политик
EAC: контроль доступа оконечных устройств (назначение SGT)
© 2011 Cisco and/or its affiliates. All rights reserved.
68
Использование SGACL
Шаг 1. Определение политики
Польз. A
Польз. C
Шаг 1
ACS/ISE заполняет политику SGT
 На ACS настраивается политика, все оконечные
устройства сопоставляются SGT в соответствии
с политикой
Уровень доступа
(компл. зданий)
Сеть с поддержкой
TrustSec
ЦОД
AD User
Role
SG
T
User A
Contractor
10
User B
Finance
20
User C
HR
30
Server
Role
IP
SG
T
HTTP
Server
Server Group A
10.1.100.111
111
File Server
Server Group B
10.1.100.222
222
SQL Server
Server Group C
10.1.200.3
333
ACS5.x
Сервер A
Сервер B
© 2011 Cisco and/or its affiliates. All rights reserved.
Сервер C
Служба
каталогов
69
Использование SGACL
Шаг 2. Назначение SGT
Шаг 2
Польз. A
Польз. C
802.1X / MAB / Web-аут.
Уровень доступа
(компл. зданий)
SGT назначаются роли и
привязываются к IP-адресу

При использовании 802.1X / MAB / web-аутентификации
SGT назначаются в политике авторизации по RADIUS

Устройства доступа анализируют ARP- и/или DHCPзапросы, выделяют MAC-адрес при аутентификации и
привязывают назначенную SGT к IP-адресу

Для серверов IP-адреса статически сопоставлены SGT
на коммутаторе доступа или динамически получаются
от ACS/ISE с помощью IPM
Сеть с поддержкой
TrustSec
ЦОД
10
30
AD User
Role
SG
T
10
User A
User A
Contractor
Contractor
User C
B
User
User C
Finance
HR
HR
Server
Role
IP
SG
T
HTTP
Server
Server Group A
10.1.100.111
111
File Server
Server Group B
10.1.100.222
222
SQL Server
Server Group C
10.1.200.3
333
10
20
30
30
ACS5.x
Сервер A
Сервер B
Сервер C
Служба
каталогов
333
222
111
© 2011 Cisco and/or its affiliates. All rights reserved.
70
Уровень доступа (компл. зданий)
• Назначение SGT (оконечное устройство)
802.1X
MAB
Web-аутентификация
Cat4500
Cat35750/E
Назначение SGT
(802.1X, MAB, Web-аут.)
Cat6500
Уровень доступа (филиал)
• Назначение SGT (ЦОД)
Статически: IP-SGT
SXP
Mirage on ISR
SXP
SXP
NDAC
Сопоставление порта SGT
• Функционирование SGACL
Обеспечение выполнения на исходящем
интерфейсе ЦОД
Реализация для групп серверов (ЦОД)
• Контроль доступа устройств к сети
ЦОД
SXP
NDAC
Nexus 7010
802.1AE
SXP/NDAC
NDAC
802.1AE
PVLAN
SXP
Cat6500
Cat4500
• Пересылка таблицы IP-SGT по SXP
Nexus
7010
Служба
каталогов
• L2-шифрование (802.1AE )
Сеть и оконечные устройства
© 2011 Cisco and/or its affiliates. All rights reserved.
Файловый
сервер
WEB-сервер
SQL-сервер ACS5.1
Реализация SGACL
74
Уровень доступа
(компл. зданий)
10
20
Сценарий 1
TrustSec обеспечивает защиту сетей
комплексов зданий и сетей ЦОД
 Поддержка уровня доступа сетей
комплексов зданий и сетей ЦОД
Назначение SGT
802.1X, MAB, Web-аут.
Cat6500
Cat4500
Cat35750/E
Уровень доступа (филиал)
ISR с EtherSwitch
 SGT отправителя назначается
с использованием 802.1X, MAB или
Web-аутентификации
SXP
 SGT сервера назначается с
использованием IPM или статического
сопоставления
ЦОД
Nexus 7010
 Таблица соответствия IP-SGT
передается между коммутатором
уровня доступа комплекса зданий и
устройством ЦОД с поддержкой
TrustSec
© 2011 Cisco and/or its affiliates. All rights reserved.
Cat6500
SRC \ DST
Server A
(111)
Server B
(222)
User A (10)
Permit all
SGACL-B
User B (20)
Deny all
SGACL-C
Cat4500
Служба
каталогов
Файловый
сервер
111
WEB-сервер
222
SQL-сервер ACS5.1
Реализация SGACL
75
Уровень доступа
(компл. зданий)
Сценарий 2
Развертывание TrustSec в локальной
сети филиала и в сети ЦОД
 Поддержка уровня доступа филиала
Cat35750/E
Уровень доступа (филиал)
ISR с EtherSwitch
или автономный
коммутатор
 SGT отправителя назначается с
использованием 802.1X, MAB или
Web-аутентификацией
 SGT сервера назначается с
использованием IPM или статического
сопоставления
Назначение SGT
802.1X, MAB, Web-аут.
20
ЦОД
SXP
 Таблица соответствия IP-SGT
передается между коммутатором
уровня доступа сети филиала и
устройством ЦОД с поддержкой
TrustSec
© 2011 Cisco and/or its affiliates. All rights reserved.
Cat6500
Cat4500
Nexus 7010
Cat6500
SRC \ DST
Server A
(111)
Server B
(222)
User A (10)
Permit all
SGACL-B
User B (20)
Deny all
SGACL-C
Cat4500
Служба
каталогов
Файловый
сервер
111
WEB-сервер
222
SQL-сервер ACS5.1
Реализация SGACL
76
Уровень доступа
(компл. зданий)
Сценарий 3
Развертывание TrustSec в ЦОД для
сегментации трафика серверов
 Сопоставление IP-адресов серверов и
SGT на Nexus 7000 вручную или с
помощью IPM (Identity Port Mapping на
ACS для централизации управления
SGT)
 Сегментация для сервера,
подключенного к тому же коммутатору
доступа, может быть реализована с
помощью Private VLAN на коммутатор
уровня распределения
SRC \ DST
Server A
(111)
Server B
(222)
Cat35750/E
Уровень доступа (филиал)
ISR с EtherSwitch
или автономный
коммутатор
Назначение SGT с
использованием IPM
или статически
Nexus 7010
SXP
Server C
(333)
Cat6500
---
SGACL-A
Permit all
Serer B
(222)
Permit all
---
SGACL-B
Server C
(333)
Deny all
© 2011 Cisco and/or its affiliates. All rights reserved.
ЦОД
Реализация SGACL
Server A
(111)
Deny all
Cat6500
Cat4500
---
Cat4500
Служба
каталогов
Файловый
сервер
111
WEB-сервер
222
SQL-сервер ACS5.1
333
77
Nexus 7000
SVI
(VLAN 10)
Варианты
реализации
SGACL
P
10
200
Порт в режиме
Promiscuous
Основная VLAN
Public-SVR
© 2011 Cisco and/or its affiliates. All rights reserved.
App-SVR (222)
Public-SVR (333)
App-SVR (222)
Permit
Deny
Public-SVR (333)
Deny
Permit
• Динамическая реализация
Транк
802.1q
P
политик между серверами
в рамках одной
изолированной VLAN
(Private VLAN)
Cat4K, 6K
• Динамическая реализация
Вторичная VLAN
(изоляция)
222
SGT/DGT
политик между серверами
в рамках различных VLAN
333
App-SVR
78
 Средства контроля доступа устройств к сети (NDAC)
обеспечивают надежную взаимную аутентификацию (EAPFAST) для создания доверенного домена
NDAC
 Учитываются только SGT от доверенного узла
 После аутентификации выполняется согласование ключей и
криптоалгоритмов для автоматического шифрования с
помощью протокола SAP (механизм, регламентируемый
802.11i)
 Протокол SAP будет заменен 802.1X-REV
Преимущества
 Доверенное устройство получает сведения о доверительных
отношениях и политиках с сервера ACS Server
 Предотвращение подключения устройств злоумышленника,
формирование доверенной сетевой структуры
коммутации для обеспечения целостности SGT
 Автоматизация согласования ключей и криптоалгоритмов для
надежной защиты данных (802.1AE )
© 2011 Cisco and/or its affiliates. All rights reserved.
79
Аутентификация Seed-устройств
NDAC проверяет результаты идентификации
устройства перед тем, как включить
устройство в список доверенных!

Первое устройство, проходящее аутентификацию на
ACS, называется Seed-устройством TrustSec

Seed-устройство выполняет функции устройства
аутентификации для саппликантов подключенных к
нему устройств

Процесс определения ролей определяет роли
устройства аутентификации и саппликанта

Для NDAC используется EAP-FAST/MSCHAPv2

Учетные данные (включая PAC) хранятся
в хранилище ключей устройства
EAP-FAST over
RADIUS
Seedустройство
© 2011 Cisco and/or its affiliates. All rights reserved.
Авторизация
(PAC, EnvACS5.x
Data,
политика)
ACS5.x
80
Аутентификация не-Seed-устройств
При подключении устройства к соседнему
круг доверия домена TrustSec расширяется
 Если устройство не подключено к ACS напрямую,
устройство считается не-Seed-устройством
 Первое из соседних устройств, подключившееся
к серверу ACS, получает роль устройства
аутентификации
Supplicant
Устр. аут.
Саппликант
 В случае ничьей в качестве устройства
аутентификации выбирается устройство с
меньшим MAC-адресом
Не-Seed -устройство
802.1X NDAC
Не-Seed -устройство
Саппликант
802.1X NDAC
802.1X NDAC
Seedустройство
ACS5.x
ACS5.x
Seed-устройство
Устр. аут.
© 2011 Cisco and/or its affiliates. All rights reserved.
81
• Протокол Security Association Protocol (SAP) используется для
автоматического согласования ключей и криптоалгоритмов
• Согласование начинается после успешной аутентификации/
авторизации для NDAC
• Взаимодействие по протоколу идет только между саппликантом и
устройством аутентификации (без участия ACS)
• После взаимодействия по протоколу SAP сеансовые ключи
саппликанта и устройства аутентификации совпадают
• Сеансовый ключ используется для шифрования трафика
• Сеансовый ключ вычисляется на основе ключа PMK
(полученного устройствами от ACS в процессе аутентификации)
и случайных чисел (обмен регламентируется SAP)
• Периодически выполняется обновление сеансового ключа
© 2011 Cisco and/or its affiliates. All rights reserved.
82
Сеть
с поддержкой
TrustSec
Устр.
аутент.
Саппликант
Определение
роли
EAPOL (EAP-FAST)
RADIUS
Туннель EAP-FAST
ACS 5.0
Аутентификация
устройства
Получение
политики
Разрыв туннеля
EAP-FAST
Согласование
ключей
Постоянное
обновление ключей
© 2011 Cisco and/or its affiliates. All rights reserved.
Политика
SAP
83
SXP: поддержка платформ
• Для реализации меток SGT требуется аппаратная (ASIC) поддержка
• Протокол SGT eXchange Protocol (SXP) используется для обмена
таблицами сопоставления IP-SGT между устройствами с поддержкой
TrustSec, а также устройствами, не поддерживающими TrustSec
• Устройства без аппаратной поддержки TrustSec могут получать атрибуты
SGT от ACS для пользователей или устройств, прошежших
аутентификацию, а затем пересылать таблицы сопоставления IP-SGT на
устройства с поддержкой ролевой модели контроля доступа TrustSec для
добавления меток и реализации списков контроля доступа
• В основе лежит TCP с MD5
• SXP поддерживает односегментный режим работы или многосегментный
режим работы
• В настоящее время SXP поддерживается на платформах Catalyst 6500,
4500/4900 и Nexus 7000
• SXP ускоряет развертывание SGACL, не требуя дорогостоящей
модернизации оборудования для поддержки TrustSec
© 2011 Cisco and/or its affiliates. All rights reserved.
84
Cisco TrustSec обеспечивает
управление доступом
в соответствии с политикой,
а также позволяет создать сеть,
учитывающую результаты
идентификации и предоставляющую
сервисы обеспечения целостности и
конфиденциальности данных
© 2011 Cisco and/or its affiliates. All rights reserved.
85