Обзор новых функций безопасности в инфраструктурном...

Функции безопасности инфраструктурного оборудования CiscoИлья Озарнов, Системный инженер [email protected]

Содержание

• Введение• Фундаментальные механизмы защиты на уровне 2

– Port Security, DHCP Snopping, DARP Inspection, IP source guard и др.• Защита L2 в сетях IPv6• TrustSec

Введение

Cisco SecureX

Соответствие

Сервисы

Сеть

Distributed Workforce & BYOD

Distributed Workforce & BYOD

Защищенный универсальный

доступ

Защита сетевого периметра

Threat DefenseThreat

Defense

Защищенный переход к облачным

вычислениям

Virtualization & Cloud

Virtualization & Cloud

Application Visibility & Control

Application Visibility & Control

Авторизованное использование

контента

Исследование угроз

Контекстная политика

Фундаментальные механизмы защиты на уровне 2

Нормальное функционирование CAM таблицы (1/2)

MAC A

Port 1

Port 2

Port 3

A Is on Port 1Learn:

B Is on Port 2

MAC PortA 1

C 3B 2

MAC B

MAC C

Нормальное функционирование CAM таблицы (2/2)

MAC A

MAC B

MAC C

Port 1

Port 2

Port 3

Traffic A B

B Is on Port 2

Does Not See Traffic to B

MAC PortA 1B 2C 3

Переполнение таблицы CAM

MAC A

MAC B

MAC C

Port 1

Port 2

Port 3

MAC Port

C 3 Y Is on Port 3

Z Is on Port 3

Y 3Z 3

Traffic A B

I Can See Traffic to B

Assumes CAM Table Now Full

Решение• Port security предотвращае атаки MAC flooding, защищает порт и отсылает сообщение SNMP

Предотвращение переполнения таблицы MAC адресов

137,000 Bogus MACs

Только 1 MAC адрес

разрешен на порту:

Shutdown

Port Security ограничивает количество MAC адресов на интерфейсе

00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb

• Настройка максимального количества MAC адресов на порт на VLAN• Restrict позволяет узнать, что что-то произошло с помощью SNMP сообщения

Настройка Port Security

(config-if)# switchport port-security switchport port-security maximum 1 vlan voiceswitchport port-security maximum 1 vlan accessswitchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivitysnmp-server enable traps port-security trap-rate 5

• Attacker sends superior BPDU messages to become root bridgeNow, The attacker then sees frames he shouldn’t. MITM, DoS, all possible

Any attack is very sensitive to the original topology, trunking, PVST

Although STP takes link speed into consideration, it is always done from the perspective of the root bridge;

Taking a 10Gbps backbone to half-duplex 10Mbps was verified

Requires attacker is dual homed to two different switches (with a hub, it can

be done with just one interface on the attacking host)

Атаки на протокол Spanning Tree Protocol

Коммутаторы доступаRootRootRoot

Root

XBlocked

• Разместить Root там, где он должен быть• Root должен оставаться на своем месте

– Root Guard– Loop Guard– UplinkFast– UDLD

• На порты доступа должен поступать только пользовательский трафик– BPDU Guard– Root Guard– PortFast– port-security

Получение предсказуемого поведения Spanning Tree

SiSiSiSi

BPDU Guard илиRootguardPortFast

Rootguard

Loopguard

UplinkFast

STP Root

Loopguard

…или использование протоколов L3

SiSiSiSi

BPDU Guard илиRootguardPortFast

• Проще в эксплуатации, т.к. только 1 control plane – протоколы маршрутизации

• Проще дизайн – отсутствие FHRP, STP, Trunk, VTP и т.д.

• Балансировка нагрузки• Лучшее время сходимости Layer 3

Layer 2

• Active Attack. The attacker sends fake HSRP packets with maximum priority of 255 and a proper clear-text password.

• Attacker claims the Active Virtual Router role and becomes the Default Gateway for hosts in a given VLAN.• Attacker drops the traffic, effectively creating a DoS condition or becomes man-in-the-middle.• Countermeasure: use HSRP strong authentication

Attacking HSRP - Denial of Service and man-in-the-middle

Internet

HSRP group 110.10.10.254

00-00-0c07-ac-01

• Attack tools exist, like yersinia and hsrp, a part of Phenoelit IRPAS (Internetwork Routing Protocol Attack Suite).

• Typical use:

• The most important countermeasure is MD5 HMAC Strong Authentication combined with key rollover (accept lifetime and send lifetime).

Attacking HSRP – Countermeasures

~# hsrp –d 224.0.0.2 –v 10.10.10.254 –a cisco –g 1 –i eth0 –S 10.10.10.17

(config)# key chain hsrp1 key 1 key-string 54321098452103ab

(config-if)# standby 1 ip 10.10.10.254 standby 1 priority 110 standby 1 preempt standby 1 authentication md5 key-chain hsrp1

• Gobbler/DHCPx пытаются получить адреса из всего адресного пространства• Атака типа Отказ в обслуживании на DHCP сервер

DHCP Discovery (Broadcast) x (Size of Scope)

DHCP Offer (Unicast) x (Size of DHCPScope)

DHCP Request (Broadcast) x (Size of Scope)

DHCP Ack (Unicast) x (Size of Scope)

Клиент

Gobbler Сервер DHCP

Атака на DHCP: отказ в обслуживании

• Gobbler использует новый MAC адрес для запроса нового IP у DHCP сервера

• Необходимо ограничить количество MAC адресов на порт

• Атакующий не сможет получить больше IP адресов, чем разрешено MAC адресов

Противодействие атаке DHCP Starvation Attack с помощью Port Security

Клиент

Gobbler Сервер DHCP

(config-if)# switchport port-security switchport port-security maximum 1 switchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivity

• Таблица строится на на основе прослушивания ответов DHCP сервера клиенту

• Записи остаются в таблице на время выдачи адреса

Противодействие атакам на DHCPDHCP Snooping

Trusted

Untrusted

Untrusted

DHCP Snooping Включен

Несанкционированные DHCP ответы

Санкционированные DHCP ответы

DHCP Snooping Binding Tablesh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------00:03:47:B5:9F:AD 10.120.4.10 193185 dhcp-snooping 4 FastEthernet3/18

КлиентDHCP сервер

Атакующий, имитирующий DHCP сервер

• Атакующий модифицирует таблицы ARP • Весь трафик идет через атакующего

Атака ARP Spoofing

10.1.1.1MAC A

10.1.1.2MAC B

10.1.1.3MAC C

Адресу 10.1.1.2 соответствует

MAC C

Адресу 10.1.1.1 соотв MAC C

ARP 10.1.1.1Адресу 10.1.1.2 соответствует

MAC CARP 10.1.1.2: Адресу

10.1.1.1 соответствует MAC C

Запись присутствует в таблице?Нет!

Не соответствующие таблице ARP пакеты отбрасываются

Противодействие ARP атакамDynamic ARP Inspection

Использует таблицуDHCP snooping

Динамическая проверка ARP (Dynamic ARP inspection)

Если пакет не соответствует записи в таблице, он отбрасывается

10.1.1.1MAC A

10.1.1.2MAC B

10.1.1.3MAC C

ARP к 10.1.1.1 говорит, что10.1.1.2 имеетMAC C

ARP 10.1.1.2: Адресу 10.1.1.1

соответствует MAC C

Включены:DHCP Snooping,Dynamic ARP Inspection

Запись присутствует в таблице?Нет!Не соответствующие

таблице пакеты отбрасываются

Противодействие спуфингуIP Source Guard

Использует таблицуDHCP snooping

IP source guardРаботает как dynamic ARP inspection, но проверяет все пакеты, не только ARP

10.1.1.1MAC A

10.1.1.2MAC B

10.1.1.3MAC C

Трафик с IP 10.1.1.2Mac B

Трафик сIP 10.1.1.3Mac B

Трафик с IP 10.1.1.2 Mac C

Включены:DHCP Snooping,Dynamic ARP Inspection,IP Source Guard

• Port security предотвращаетатаки переполнения MACтаблицы

• DHCP snooping предотвращает использование несанкционированных DHCPсерверов

• Dynamic ARP Inspection защищает работу ARP,используя таблицу DHCPsnooping

• IP source guard предотвращает спуфинг адресов

Встроенные функции безопасности коммутаторов Catalyst

IP Source Guard

Dynamic ARP Inspection

DHCP Snooping

Port Security

ip dhcp snooping

ip dhcp snooping vlan 2-10

ip arp inspection vlan 2-10

!

interface fa3/1

switchport port-security

switchport port-security max 3

switchport port-security violation restrict

switchport port-security aging time 2

switchport port-security aging type inactivity

ip arp inspection limit rate 100

ip dhcp snooping limit rate 100

!

Interface gigabit1/1

ip dhcp snooping trust

ip arp inspection trust

Защита L2 в сетях IPv6

A and B can now exchange packets on this link

• Creates neighbor cache entry, resolving IPv6 address into MAC address.• Messages: Neighbor Solicitation (NS), Neighbor Advertisement (NA)

IPv6 Address Resolution – comparing with IPv4 ARP

A B C

NSICMP type = 135 (Neighbor Solicitation)Src = A Dst = Solicited-node multicast address of BData = B Option = link-layer address of AQuery = what is B’s link-layer address?

NAICMP type = 136 (Neighbor Advertisement) Src = one B’s IF address Dst = A Data = BOption = link-layer address of B

Dst = Solicited-node multicast address of BQuery = what is B’s link-layer address? NS

• Attacker can claim victim's IPv6 address.

Attacking IPv6 Address Resolution

Src = B or any C’s IF address Dst = A Data = B Option = link-layer address of C

NA

A B C

Countermeasures: Static Cache Entries, Address GLEAN, SeND (CGA), Address-Watch.

IPv6 Address GLEAN

Binding table

NS [IP source=A1, LLA=MACH1]

DHCP-server

REQUEST [XID, SMAC = MACH2]

REPLY[XID, IPA21, IPA22]

data [IP source=A3, SMAC=MACH3]

DAD NS [IP source=UNSPEC, target = A3]

NA [IP source=A1, LLA=MACH3]

IPv6 MAC VLAN IF

A1 MACH1 100 P1

A21 MACH2 100 P2

A22 MACH2 100 P2

A3 MACH3 100 P3

DHCP LEASEQUERY

DHCP LEASEQUERY_REPLY

H1 H2 H3

„Gleaning” means extracting addresses from NA, ND and DHCP messages.

ICMP Type = 133 (Router Solicitation)Src = UNSPEC (or Host link-local address)Dst = All-routers multicast address (FF02::2)Query = please send RA

RS

ICMP Type = 134 (Router Advertisement)Src = Router link-local addressDst = All-nodes multicast address (FF02::1)Data = router lifetime, retranstime, autoconfig flagOption = Prefix, lifetime

RA

Use B as default gateway

Find default/first-hop routers

Discover on-link prefixes => which destinations are neighbors

Messages: Router Advertisements (RA), Router Solicitations (RS)

B

IPv6 Router Discovery

A

Internet

• Attacker tricks victim into accepting him as default router• Based on rogue Router Advertisements• The most frequent threat by non-malicious user

Attacking IPv6 Router Discovery

Src = C’s link-local addressDst = All-nodesData = router lifetime, autoconfig flagOptions = subnet prefix, slla

RA

Node A sending off-link traffic to C

BCA

Src = B’s link-local addressDst = All-nodesData = router lifetime=0

RAInternet

IPv6 RA-Guard – Securing Router Discovery

Verification succeeded?

Forward RA

Switch selectively accepts or rejects RAs based on various criteria –ACL (configuration) based, learning-based or challenge (SeND) based.Hosts see only allowed RAs, and RAs with allowed content.

More countermeasures: static routing, SeND, VLAN segmentation, PACL.

A C

“I am the default gateway”Router Advertisement Option: prefix(s)

RA

• Stateless, based on prefix information delivered in Router Advertisements.• Messages: Router Advertisements, Router Solicitations

ICMP Type = 133 (Router Solicitation)Src = UNSPEC (or Host link-local address)Dst = All-routers multicast address (FF02::2)Query = please send RA

RS

ICMP Type = 134 (Router Advertisement)Src = Router link-local addressDst = All-nodes multicast address (FF02::1)Data = router lifetime, retranstime, autoconfig flagOptions = Prefix X,Y,Z, lifetime

RA

Source traffic with X::x, Y::y, Z::z

Computes X::x, Y::y, Z::z and DADs them NS

IPv6 Stateless Address Auto-Configuration (SLAAC)

A B

Internet

• Switches do/will integrate a set of monitoring, inspection and guard features for a variety of security-centric purposes:

1. RA-guard 2. NDP address glean/inspection3. Address watch/ownership enforcement4. Device Tracking5. Address GLEAN (NDP + DHCP + data)6. DHCP-guard 7. DAD/Resolution proxy 8. Source-guard (SAVI)9. Destination-guard 10. DHCP L2 relay

• Feature set and platform availability have been staged into phases.

Features in IPv6 First-Hop Security

BRKSEC-3003 Advanced IPv6 First-Hop Security

TrustSec. Обзор

Управление Сервисы Безопасность

КОРПОРАТИВНАЯ СЕТЬ

Cisco Infrastructure

Динамический контекст

Политики доступа

ИдентификацияКо

нтро

ль д

осту

па

Конт

роль

дос

тупа

Архитектура TrustSec.Контроль доступа на уровне сети

Клиентские устройства

ЦОД и приложения

Контекст:“Кто” и Чтонаходится в моей сети?

Куда cмогут иметь доступпользователи/устройства?

Защищены ли сетевые коммуникации?

Идентификация и Аутентификация

802.1X, Web Authentication, MAC-адреса, Профилирование

Авторизация и Контроль доступа

Целостность данных и конфиденциальность

VLAN DACL Security Group Access

MACSec (802.1AE)

ПОЛИТИКА БЕЗОПАСНОСТИ

Identity Firewall

Архитектура Cisco TrustSec. Сервисы

TrustSec: авторизация и реализация политик

Динамические или именованные ACL-списки

• Меньше перебоев в работе оконечного устройства (не требуется смена IP-адреса)

• Повышение удобства для пользователей

Сети VLAN

• Не требует управления ACL-списками на портах коммутатора

• Предпочтительный выбор для изоляции путей

Доступ для групп безопасности

• Упрощение управления ACL-списками

• Единообразная реализация политик независимо от топологии

• Детализированное управление доступом

ГостьVLAN 4VLAN 3

Устранение проблем

СотрудникиПодрядчик

СотрудникЛюбой IP-

адрес

Доступ для групп безопасности — SXP, SGT, SGACL, SGFW

Гибкие механизмы реализации политик в вашей инфраструктуреШирокий диапазон доступных клиенту вариантов доступа

Абсолютный контрольАбсолютный контроль

ИнновацииИнновацииCiscoCisco

Profiling/Posture Services

CatalystSwitch

802.1X

MAB

Guest Services

Web Auth

RADIUS

Various Authorization Methods (VLAN, Downloadable ACL, URL Redirect, etc)

Scalable / Flexible Policy & Authentication Server supporting

RBAC

Guest Service to provide full guest access management with Web

Authentication

Profiling System to perform automatic device profiling for unattended device or any type of

network attached device

Cisco IOS © intelligence to provide phased deployment mode for 802.1X (Monitor Mode,

Low Impact Mode, High Security Mode)

Flexible Authentication Methods(802.1X, MAB, Web Auth in any order)

Guest

Employee

Printer

Identity Services Engine (ISE)

TrustSec Solution Review

36

Authentication Services

ISE

• Who’s going to maintain ACLs?• What if my destination IP addresses are changed?• Does my switch have enough TCAM to handle all request?

Detailed design before deployment is required, otherwise…

Not so flexible for changes required by today’s business

Access control project ends up with redesigning whole network

802.1X/MAB/Web Auth

VLANAssignment

ACLDownload

• Can I create / manage the new VLANs or IP Address scope?• How to address DHCP refresh?• How do I manage ACL on VLAN interface?

Ingress Access Control

37

TrustSec. Использование меток безопасности Security Group Tags

Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности

Security Group Based Access Control• ISE связывает метки (SGT) по результатам идентификации пользователей• Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе• Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на

выходе• Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для

гранулированного доступа

802.1X/MAB/Web Auth

Finance (SGT=4)

HR (SGT=10)

I’m a contractorMy group is HR

SGT = 100

Contactor & HRSGT = 100

SGACL

Применение SGT и SGACL

Уникальная метка 16 bit (65K) присваивается каждой роли

Представляет привилегии пользователя, устройства или субъекта

Тегирование на входе в домен TrustSec

SGACLSGACLSGSG

Security Group

Tag

Security Group

Tag

Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)

Правила без IP-адресов (IP адрес привязан к метке)

Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройствеTrustSec

Обеспечивает политики независимые от топологии

Гибкие и масштабируемые политики основанные на роли пользователя

Централизованное управление политиками для динамического внедрения правил

Исходящая фильтрация ведет к уменьшению нагрузки на TCAM

Преимущества

Формат кадра SGT

• — служебные данные L2 802.1AE + TrustSec

• Кадр всегда маркируется на входном порте устройства с поддержкой SGT

• Процесс маркировки предшествует другим сервисам уровня L2, например QoS

• Отсутствует влияние на MTU/фрагментацию IP

• Влияние на MTU кадра L2: ~ 40 байтов = меньше чем кадр Baby giant (~1600 байтов с MTU 1552 байта)

Метаданные Cisco.

CMD ETYPE ICV CRC

Версия ДлинаCMD EtherType Тип опции SGT Значение SGT

Другие опции CMD

Заголовок 802.1AE CMD ICV

Поле кадра Ethernet

DMAC SMAC Заголовок 802.1AE 802.1Q Полезная нагрузка

АутентифицированоАутентифицировано

ЗашифрованоЗашифровано

Традиционное управление доступом

Серверы (узлы назначения)

D1

Продажи

D3Кадры

D5Финансовая служба

D6

D4

D2

Руководители

Отч. кадровой службы

ИТ-администраторы

S1(10.10.24.13)

S2 (10.10.28.12)

S3 (10.10.36.10)

S4 (10.10.135.10)

Пользователь (источник)

permit tcp S1 D1 eq httpspermit tcp S1 D1 eq httpspermit tcp S1 D1 eq 8081permit tcp S1 D1 eq 8081permit tcp S1 D1 eq 445permit tcp S1 D1 eq 445deny ipdeny ip S1 D1S1 D1

Управление доступом S1 Управление доступом S1 —— D1D1

• (число источников) * (число узлов назначения) * число разрешений = число ACE

• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE для S1~4

• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик

• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»

Запись управления Запись управления доступом (ACE)доступом (ACE)

Число ACE растет по мере роста числа

разрешений

Как SGACL упрощает управление доступом

• Администратор сети управляет каждой связью «группа источника — группа назначения»

• Это отделяет топологию сети от политик и снижает количество правил политик, которые администратор должен поддерживать

• Сеть автоматизирует привязку пользователей / серверов к группам

S1

S2

S3

S4

Пользователь Серверы

D1

D3

D5

D6

D4

D2

Группа безопасности (узел назначения)

Сервер продаж

(500 SGT)

Сервер кадров

(600 SGT)

Сервер финансов(700 SGT)

Группа безопасности (источник)

Рук-во A(10 SGT)

Рук-во B(20 SGT)

Отчеты кадров

(30 SGT)

ИТ-админ.(40 SGT)

• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))

• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый

Эффективность SGACL в эксплуатации

С традиционным ACL-списком на межсетевом экране

Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE

Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —для группы-источника используются диапазоны адресов подсети

4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE

С использованием SGACL

4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)

1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE

Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —для группы-источника используются диапазоны адресов подсети

• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))

• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый

Эффективность SGACL в эксплуатации (2)

С традиционным ACL-списком на межсетевом экране

Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE

4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE

С использованием SGACL

4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)

1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE

Source Security Group (Dec/Hex)

Destination Security Group (Dec/Hex) SGACLS

Contractor (10/A) Server A (111/6F) Permit All

Contractor (10/A) Server B (222/DE) Deny All

Contractor (10/A) Server C (333/14D) Deny All

HR (30/1E) Server A (111/6F) Deny All

HR (30/1E) Server B (222/DE) SGACL-D

HR (30/1E) Server C (333/14D) Permit All

Role to SGT Binding and SGACL – Egress Policy Rules

46

All SGTs are mapped to SGACL using Egress Policy Rules

Content of SGACL and whole matrix entries are provisioned to TrustSec capable devices

permit tcp src dst eq 1433#remark destination SQL permitpermit tcp src eq 1433 dst#remark source SQL permitpermit tcp src dst eq 80# web permitpermit tcp src dst eq 443# secure web permitdeny all

How To Create SGT Policy – Egress Table

47

HR User (SGT 4)

IT Admin (SGT 7)

ACME Portal(SGT 5)

Public Portal(SGT 8)

Internal Portal(SGT 9)

HR Server(SGT 6)

DestinationSGT

SourceSGT

Web Web No AccessWebFile Share

WebSSHRDP

File Share

WebSSHRDP

File ShareFull Access

SSHRDP

File Share

permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 137permit tcp dst eq 138permit tcp des eq 139deny ip

IT Maintenance ACL

SGACL Flow - Step 1: Policy Definition

48

Server CServer BServer A DirectoryService

Campus Access

Data Center

TrustSec EnabledNetwork

User A User C

Step 1

AD User Role SGT

User A Contractor 10

User B Finance 20

User C HR 30

SGT policy definition on ISE

Server Role IP SGT

HTTP Server Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

ISE is configured for its policy and all endpoints need to be mapped to SGT in policy

ISE

ISE

SGACL Flow - Step 2: SGT Assignment Classification

49


Campus Access

Data Center


User A User C

111222333

Step 2

AD User Role SGT

User A Contractor 10

User B Finance 20

User C HR 30

SGTs are assigned to role and bound to IP address

Server Role IP SGT

HTTP Server Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

With 802.1X / MAB / Web Authentication, SGTs are assigned in an authorization policy via RADIUS

Access devices snoops ARP and / or DHCP for authenticated MAC Address, then bind assigned SGT to snooped IP Address

For Servers IP addresses are bound to SGT statically on access switch or dynamically looked up on ISE using IPM feature

802.1X / MAB / Web Auth

3010

ISE

SGACL Flow Step 3: SGACL Policy Provisioning

50


Campus Access

Data Center


User A User C

111 222 333

Step 3 ISE provisions Egress Policy (SGT Matrix) to TrustSec capable Device

Each TrustSec capable device downloads policy from ISE3010

SRC\ DST Server A (111) Server B (222) Server C (333)

User A (10) Permit all Deny all Deny all

User B (20) SGACL-B SGACL-C Deny all

User C (30) Deny all Permit all SGACL-D

SGACL-D


SGACLSGACLSGACL

SGACL Flow - Step 4: SGACL Enforcement (1)

51


Campus Access

Data Center


User A User C

111 222 333

Step 4 Now TrustSec network is ready to enforce the policy

User’s traffic is tagged at ingress of TrustSec domain

SGT is carried when packet traverses within domain

At egress port, TrustSec device looks up local policy and drops packet if needed

3010





Packets are tagged with SGT at ingress interface

SGACL AppliedSGT10 to SGT111

Permit all

CMD Tagged TrafficCMD Tagged Traffic

Untagged TrafficUntagged Traffic

CMD Tagged Traffic

Untagged Traffic

ISE

SGACL Flow - Step 5: SGACL Enforcement (2)

52


Campus Access

Data Center


User A User C

111 222 333

Step 5 SGACL allows topology independent access control

Even another user accesses on same VLAN as previous example, his traffic is tagged differently

If traffic is destined to restricted resources, packet will be dropped at egress port of TrustSec domain

3010





SGACL-D


Packets are tagged with SGT at ingress interface

SGACL-D is appliedSQL = OK

SMB = NO

SMB trafficSQL traffic

SGACL

ISE

Network Device Admission Control

53

Network Device Admission Control (NDAC) provides strong mutual authentication (EAP-FAST) to form trusted domain

Only SGT from trusted peer is honored

Authentication leads to Security Association Protocol (SAP) to negotiate keys and cipher suite for encryption automatically (mechanism defined in 802.11i)

802.1X-2010/MKA will replace SAP for switch to switch encryption in the future

Trusted device acquires trust and policies from ISE server

Mitigate rogue network devices, establish trusted network fabric to ensure SGT integrity and its privilege

Automatic key and cipher suite negotiation for strong 802.1AE based encryption

Customer Benefits

NDACNDAC

• NDAC was developed as part of TrustSec and is Cisco proprietary but in large part based on 802.1X. NDAC does not require hardware support but optionally may leverage a hardware credential store.

• SAP is Cisco proprietary and based on the key exchange mechanism defined in 802.11i. 802.1X-2010/MKA will succeed and replace SAP in future Cisco products for switch to switch authentication.

• Interoperability with other 802.1AE devices becomes more broadly available once 802.1X-2010 is supported by Cisco. Manual keying is supported in the interim

Things to know about NDAC

54

ISE

TrustSec Domain EstablishmentDevice Authentication (1)

55

NDAC validates peer identity before peer becomes the circle of Trust! The first device to

communicate with ISE is called TrustSec Seed Device

NDAC uses EAP-FAST/MSCHAPv2 for authentication

Credential (including PAC) is stored in hardware key storeSeed Device

EAP-FAST over RADIUS

Authorization(PAC, Env Data,

Policy)

ISE

ISE

TrustSec Domain Establishment Device Authentication (2)

56

As device connects to its peer, TrustSec domain expands its border of trust

If the device does not have information to connect to ISE, the device is called non-Seed Device

When next device connects to device, Role determination process occurs per link basis, and both Authenticator and Supplicant role are determined.

First peer to gain ISE server connectivity wins authenticator role. Once authenticator role is determined, the device terminates supplicant role by itself.

In case of tie, lower MAC address wins

SeedDevice

Seed Device

Authenticator

Supplicant

802.1X NDAC

Non-Seed Device

Supplicant802.1X NDAC

Non-Seed Device

AuthenticatorSupplicant

802.1X NDAC

ISE

NDAC Completion

57

CTS7K-DS10.1.50.1

CTS7K-CORE# show cts interface ethernet 1/15CTS Information for Interface Ethernet1/15:

CTS is enabled, mode: CTS_MODE_DOT1XIFC state: CTS_IFC_ST_CTS_OPEN_STATEAuthentication Status: CTS_AUTHC_SUCCESS

Peer Identity: CTS7K-DCPeer is: CTS Capable802.1X role: CTS_ROLE_SUPLast Re-Authentication:

Authorization Status: CTS_AUTHZ_SUCCESSPEER SGT: 2Peer SGT assignment: Trusted

SAP Status: CTS_SAP_SUCCESSConfigured pairwise ciphers: GCM_ENCRYPTReplay protection: EnabledReplay protection mode: StrictSelected cipher: GCM_ENCRYPTCurrent receive SPI: sci:18bad853520000 an:2Current transmit SPI: sci:18bad853460000 an:2

CTS7K-CORE10.1.50.1

CTS7K-DC# show cts interface ethernet 1/3CTS Information for Interface Ethernet1/3:

CTS is enabled, mode: CTS_MODE_DOT1XIFC state: CTS_IFC_ST_CTS_OPEN_STATEAuthentication Status: CTS_AUTHC_SUCCESS

Peer Identity: CTS7K-COREPeer is: CTS Capable802.1X role: CTS_ROLE_AUTHLast Re-Authentication:

Authorization Status: CTS_AUTHZ_SUCCESSPEER SGT: 2Peer SGT assignment: Trusted

SAP Status: CTS_SAP_SUCCESSConfigured pairwise ciphers: GCM_ENCRYPTReplay protection: EnabledReplay protection mode: StrictSelected cipher: GCM_ENCRYPTCurrent receive SPI: sci:18bad853460000 an:2Current transmit SPI: sci:18bad853520000 an:2

• * NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)

Confidentiality and Integrity 802.1AE based Encryption

58

802.1AE802.1AE

• TrustSec provides Layer 2 hop-by-hop encryption and integrity, based on IEEE 802.1AE standard

• 128bit AES-GCM (Galois/Counter Mode) – NIST Approved *

• Line rate Encryption / Decryption for both 10GbE/1GbE interface

• Replay Protection of each and every frame

• 802.1AE encryption to protect CMD field (SGT value)

Protects against man-in-the-middle attacks (snooping, tampering, replay)

Standards based frame format and algorithm (AES-GCM)

802.1X-2010/MKA addition supports per-device security associations in shared media environments (e.g. PC vs. IP Phone) to provide secured communication

Network service amenable hop-by-hop approach compared to end-to-end approach (e.g. Microsoft Domain Isolation/virtualization)

Customer Benefits

TrustSecШифрование MACSec

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1XAnyConnect 3.0

Finance Admin

Finance Admin=

Must Encrypt

AuthenticationSuccessful!

ISE 1.0

MACSec in Action

Cat3750X

Уже сейчас поддерживается:•Шифрование MACSec в DC между Nexus 7000•Шифрование пользовательских интерфейсов от AnyConnect кCatalyst 3KX (MKA)

TrustSec 2.0 добавляет: •Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus 7000•Шифрование использует SAP, а не MKA для генерации ключей

&^*RTW#(*J^*&*sd#J$%UJ&(

Catalyst 6500 or Nexus 7000

TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец

Cisco Catalyst 6K (SUP-2T)

• Шифрование между коммутаторами

• SUP 2T модуль

Cisco Catalyst 3KX

• 1G – на существующих портах

• 10G – требуется новый сервис-модуль 3KX

Cisco Catalyst 4K

•Шифрование между коммутаторами •4500E : Sup7-E аплинки и 47xx линейные карты (FCS 2H CY11)

&^*RTW#(*J^*&*sd#J$%UJ&(

802.1X

Supplicantwith

MACSec

Guest User

MACSec Capable Devices (New Switch-to-Switch Encryption)

&^*RTW#(*J^*&*sd#J$%UJWD&(

Data sent in clear

MACSec Link

Encrypt DecryptAuthenticated User

802.1AE (MacSec) Tagging

61

MISEec Tag Format

DMACDMAC SMACSMAC 802.1AE Header802.1AE Header 802.1Q802.1Q CMDCMD ETYPEETYPE PAYLOADPAYLOAD ICVICV CRCCRC

MISEecMISEec EtherTypeEtherType TCI/ANTCI/AN SLSL Packet NumberPacket Number SCI (optional)SCI (optional)

TrustSec Frame Format

EncryptedAuthenticated

0x88e5

• “Bump-in-the-wire” model-Packets are encrypted on egress-Packets are decrypted on ingress-Packets are in the clear in the device

• Allows the network to continue to perform all the packet inspection features currently used

Hop-by-Hop Encryption via IEEE802.1AE

62

128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption

011010010001100010010010001010010011101010 0110100100011000100100100001001010001001001000101001001110101

everything in clear01101001010001001 01101001010001001

ASIC

Decrypt at Ingress

Encrypt at Egress

• SXP is used to exchange IP-to-SGT bindings between TrustSec hardware (tagging/enforcement) capable and software only devices.

• SXP communicates the IP-to-SGT binding “out of band” of the IP packet• SXP accelerates deployment of SGTs

– Allows classification at the access edge without hardware upgrade– Allows communication from access edge to enforcement device

• Supported on: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500 switches, Wireless LAN Controller, ISRG2 and ASR1K

– Not all switches can perform all the SXP functions due to underlying hardware restrictions– ASR, Catalyst 6500 Sup2T, Nexus 7000 only can take IP/SGT and then tag egress traffic or enforce policy

Migration Protocol – SGT eXchange Protocol (SXP)

63

* - August/Sept. release of IOS

IP-SGT Binding Exchange with SXP

64


Data Center

User A User C

111 222 333

TCP-based SXP is established between Non-TrustSec capable and TrustSec-Capable devices

User is assigned to SGT

Switch binds endpoint IP address and assigned SGT

Switch uses SXP to send binding table to TrustSeccapable device

TrustSec capable device tags packet based on source IP address when packet appears on forwarding table

3010

Packets are tagged with SGT based on source IP Address

CMD Tagged TrafficCMD Tagged TrafficUntagged TrafficUntagged TrafficCMD Tagged TrafficUntagged Traffic

Non TrustSeccapable device

TrustSeccapable device

Switch builds binding table

SXP SXP

SXP IP-SGT Binding Table

Once SGT is tagged, then SGACL can be applied

IP Address SGT Interface

10.1.10.1 10 Gig 2/10

10.1.30.4 30 Gig 2/11

CMD Tagged TrafficCMD Tagged TrafficUntagged TrafficUntagged TrafficCMD Tagged TrafficUntagged Traffic

User A User CISE

• Uses TCP for transport protocol• TCP port 64999 for connection initiation• Use MD5 for authentication and integrity check• Two roles: Speaker (initiator) and Listener (receiver)• Communication is unidirectional

SGT Exchange Protocol (SXP) Details

65

SXP Flow

66

ISE 1.1

TCP SYN

TCP SYN-ACK

TCP ACKCTS7K10.1.3.1

CTS6K10.1.3.2

Speaker Listener

IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x02 (SYN)

IP Src: 10.1.3.1 Dst: 10.1.3.2TCP Src Port: 64999 Dst Port: 16277Flags: 0x12 (SYN, ACK)

IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 (ACK)

SXP OPENIP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 ( ACK)SXP Type: Open

Version: 1Device ID: CTS6K

SXP OPEN_RESP

IP Src: 10.1.3.1 Dst: 10.1.3.2TCP Src Port: 64999 Dst Port: 16277Flags: 0x18 (PSH, ACK)SXP Type: Open_RespVersion: 1Device ID: CTS7K

SXP UPDATE

IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 (ACK)SXP Type: UpdateUpdate Type: Install

IP Address: 10.1.10.100 SGT: 6

10.1.10.100 (SGT6)

Reference Slide

SXP Connection Types

67

Single-Hop SXP

Non-TrustSec Domain

SXP

TrustSec Enabled SW TrustSec Capable HW

Multi-Hop SXP SXP

TrustSecEnabled SW

TrustSec Capable HWTrustSecEnabled SW

Speaker Listener

Speaker SpeakerListener Listener

SXP

TrustSecEnabled SW

Speaker

SXP

ISE

ISE

• SXP is enabled on WLC and TCP connection is established with Peer Switch• Wireless Client is 802.1x authenticated; SGT assignment is provided as VSA from ISE.• WLC knows the IP address and SGT for Client and updates with Peer SGT capable switch.• WLC will Delete Binding message with Peer whenever client is de-authenticated.• Bulk Update: SXP-enabled WLC will push IP-SGT bindings for all associated clients to Peers

WLC - SGT Assignment and Learning

68

Access-Accept w/ SGT VSA22

33DHCP Discover Request / Response

SalesSales

SGT IP Address

10 10.1.100.344Update IP-SGT Binding via SXP

802.1x authenticated11

SXP Capable WLC

SXP Capable Switch

10

SGTs with Monitor Mode

69

1. User connects to network2. Monitor mode allows traffic from endpoint before authentication3. Authentication is performed and results are logged by ISE4. Traffic traverse to Data Center and hits SGACL at egress

enforcement point5. Only permitted traffic path (source SGT to destination SGT) is

allowed

Egress Enforcement

Security Group ACL

Nexus® 7000/Cat 6K

CampusNetworkCampusNetwork

Catalyst® Switches(3K/4K/6K)

Users,Endpoints

Monitor Mode

SRC \ DST HR Server (111)

ACME Server (222)

ACME User(8) Deny all Permit all

HR User (10) Permit all Permit all

Unknown (0) Deny all Deny all

authentication port-control autoauthentication opendot1x pae authenticator

HR Server

ACME Server

ACME ServerAUTH=OKSGT= HR User (10)

ISE

Policy for Today’s Business Requirement

70

+

IdentityInformation

Identity:NetworkAdministrator

Identity:Full-TimeEmployee

Identity:Guest

AccessPrivilege

Consultant

Human Resources

Finance

Marketing

Deny Access

Guest

OtherConditions

Time and Date

Access Type

Location

Nexus® 7000/Cat 6K

SGA with LocationPrivacy Requirements – Require Proper Location

71

1. User connects to network2. Pre-Auth ACL only allows selective service before authentication3. Authentication is performed and results are logged by ISE. dACL is

downloaded along with SGT4. Traffic traverse to Data Center and hits SGACL at egress enforcement point5. Traffic Denied Due to improper location of HR User

Egress Enforcement

Security Group ACL

HR Usernot in proper

locale

SRC \ DST HR Server (111)

ACME Server(222) Unknown

HR Off Site (8) Deny all Permit all Permit all

HR User (10) Permit all Permit all Permit all

Guest (30) Deny all Deny all Permit all

HR Server

ACME Server

ACME Server

CampusNetworkCampusNetwork

Catalyst® Switches(3K/4K/6K)

AUTH=OKSGT=HR Off Site (8) ISE

X

SGT Assignment - Classification

72

• via 802.1X Authentication

• via MAC Authentication Bypass

• via Web Authentication Bypass

• Or Static IP-to-SGT binding on SW

Campus/Mobile endpoints

•• via Manual IPvia Manual IP--toto--SGT binding on TrustSec deviceSGT binding on TrustSec device

•• via IDvia ID--toto--Port MappingPort Mapping

•• VLANVLAN –– SGT*SGT*

•• Subnet Subnet –– SGT**SGT**

Data Center / Servers

Every endpoint that touches TrustSec domain is classified with SGT

SGT can be sent to switch via RADIUS authorization after:

Full integration with Cisco Identity

Solution and ISE

Full integration with Cisco Identity

Solution and ISE

Every server that touches TrustSec domain is classified with SGT

SGT is usually assigned to those servers:

Just like VLAN Assignment or dACL, we assign SGT in authorization process

* Catalyst 3K-X and Sup2T** Sup2T only

Cat2K Cat3K Cat4K Cat6K ISR WLC NotesDynamic 802.1X X X X X X X

MAB X X X X X XWeb Auth X X X X X X

Static Port Definition

X X - X - -

Layer 2 Identity to Port Mapping

X X - X - - Dynamicquery to ISE for SGT based “identity on port”

VLAN/SGT - X* - X - - 3K-X only for CY12

Subnet/SGT - - - X - - Via Sup2TLayer 3 Identity to Port Mapping

- - - X - - Based onroutes learned from port via dynamic routing

SGT Assignment – Access Layer Classification

73

SGT Migration Strategy - VLAN-SGT* Assignment User 1 – HR Admin

74

802.1X

Cat6500/Sup2THR AdminISE 1.1

RADIUS

VLAN 10 -> HR-User: SGT (10/000A)VLAN 11 -> HR-Admin: SGT (11/000B)

MAC:0050.56BC.14AE

ARP /DHCP Request / Response

IP Device Tracking (ARP/DHCP inspection)

11.11.11.11/32

MAC Address Port SGT IP Address

0050.56BC.14AE Fa2/1 11/000B 11.11.11.11SXP Binding Table

NX7010

Cat6503

SRC: 11.11.11.11 11.11.11.11SGT (11/000B)

Tagging

Access-AcceptPort Open!MAC Address Port VLAN

0050.56BC.14AE G0/0 11

3rd Party or LegacySwitches/Aps Trunk Connection

* - There are limits of the number of VLANs supported per platform

SGT Migration Strategy - VLAN-SGT* Assignment User 2 – HR User

75

802.1X

Cat6500/Sup2THR UserISE 1.1

RADIUS

VLAN 10 -> HR-User: SGT (10/000A)VLAN 11-> HR-Admin: SGT (11/000B)

MAC:0070.56BC.237B

ARP /DHCP Request / Response


10.1.10.100/32

MAC Address Port SGT IP Address

0070.56BC.237B Fa2/1 10/000B 10.1.10.100 SXP Binding Table

NX7010

Cat6503

SRC: 10.1.10.100 10.1.10.100SGT (10/000A)

Tagging

Access-AcceptPort Open!MAC Address Port VLAN

0070.56BC.237B G0/0 10

3rd Party or LegacySwitches/APs Trunk Connection

* - There are limits of the number of VLANs supported

SGT Migration Strategy – VLAN-SGT* Assignment End State

76

802.1X

Cat6500/Sup2THR AdminISE 1.1

RADIUS

VLAN 10 -> HR-User: SGT (10/000A)VLAN 11 -> HR-Admin: SGT (11/000B)

MAC:0050.56BC.14AE10.1.10.100/24

Traffic


MAC Address Port SGT IP Address VLAN

0050.56BC.14AE Fa2/1 11/000B 11.11.11.11 11

0070.56BC.237B Fa2/1 11/000B 10.1.10.100 10SXP Binding Table

NX7010

Cat6500/Sup2T

SRC: 11.11.11.11 11.11.11.11SGT (11/000B)

Tagging

3rd Party or LegacySwitches/APs

Trunk Connection

HR User MAC:0070.56BC.237B11.11.11.11/24

SRC:10.1.10.100 10.1.10.100SGT (10/000A)

Tagging

* - There are limits of the number of VLANs supported* - There are limits of the number of VLANs supported

SGT/SGACL Component – TrustSec 2.0

77

Platforms Available Feature OS Version Notes

Nexus 7000 series Switch SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC

Cisco NX-OS®5.0.2a. Advanced Service Package license is required

Enforcement Device, DC Distribution

Catalyst 6500E (Supervisor 2T)

SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC

Cisco IOS® 15.0(1)SY or later release. IP Base K9 image required

Enforcement Device, DC Distribution, Campus Distribution

Catalyst 6500E Switch (Supervisor 32, 720, 720-VSS)

NDAC (No SAP), SXP, EAC

Cisco IOS® 12.2 (33) SXI3 or later release. IP Base K9 image required

Campus / DC Access switch

Catalyst 49xx switches SXP, EAC Cisco IOS® 12.2 (50) SG7 or later release. DC Access switch

Catalyst 4500 Switch(Supervisor 6L-E or 6-E)

SXP, EAC Cisco IOS® 12.2 (53) SG7 or later release. Campus Access Switch

Catalyst 3560-X / 3750-X Switches

SXP, EAC, SGT*, SGACL*

Cisco IOS® 12.2 (53) SE2 or later release. Campus Access Switch* - August/Sept. 2012

Catalyst 3560(E) / 3750(E) Switches

SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. Campus Access Switch

Catalyst Blade Module 3x00 Switches

SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. DC Access Switch

Cisco EtherSwitch service module for ISR Routers

SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. IP Base K9 image required.

Branch Access Switch

Identity Services Engine (ISE) Centralized Policy Management for TrustSec

ISE Version 1.1 with advanced license required. Policy Server

Матрица функциональных возможностей MACSec

Клиент Cat 3K Cat 4K Cat 6K N7K

Программноеобеспечение AnyConnect 3.0 IOS 15.0(1)-SE IOS-XE 3.3.0 SG IOS 12.2.50-SY NXOS 5.2.1

Оборудование Intel 82567LM Intel 82579LM

Catalyst 3750XCatalyst 3560XC3KX-SM-10G

WS-C3560CPD-8PT-S *WS-C3560CG-8TC-S *WS-C3560CG-8PC-S *

Catalyst 45xx-EWS-X45-Sup7-EWS-X4712-SFP+EWS-X4748-UPOE+EWS-X4748-RJ45V+EWS-X4748-RJ45-E

Catalyst 65xx-EVS-S2T-10G VS-S2T-10G-XLWS-X6908-10G-2TWS-X6908-10G-2TXL

N7K-C70xxN7K-SUP1N7K-M108X2-12LN7K-M132XP-12N7K-M132XP-12LN7K-M148GT-11N7K-M148GT-11LN7K-M148GS-11N7K-M148GS-11L

Соглашение о ключах

MKA (802.1X-2010)

MKA (802.1X-2010) Доступ к хосту /протокол SAP «коммутатор –коммутатор»

* MKA / только нисходящий канал

MKA (802.1X-2010) Доступ к хосту /протокол SAP «коммутатор –коммутатор»

Протокол SAP «коммутатор –коммутатор»

Протокол SAP «коммутатор –коммутатор»

Доступность Доступен сейчас

Доступен сейчас Доступ к хосту: – 1-й кв. 2012 г.«Коммутатор –коммутатор»: 1-й кв. 2012 г.

Доступен сейчас Доступен сейчас

Матрица функциональных возможностей TrustSecМатрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec

Платформа Модели

Функции802.1x / иденти-фикации

SGT SXP SGACL SG-FW Сенсоры устройств

Коммута-тор –

коммута-тор

Клиент –комму-татор

Cat 2K 2960, 2960-S

Cat 3K 3560, 3650E, 3750, 3750E,

3750-X 3560-X x

3560 C

Cat 4K Sup 6E , Sup 6L-E

Sup 7E, Sup 7L-E

Cat 6K Sup32 / Sup720

Sup2T

Nexus 7K

Nexus 5K

ASR 1KPr1 / Pr2, 1001, 1002, 1004, 1006, 1013, ESP10/20/40, SIP 10/40

ISR G2 88X 89X 19xx 29xx 39xx

ASA

Контроллербеспроводнойлокальнойсети

AnyConnect

Вопросы и ответы

Date post:	15-Nov-2014
Category:	Technology
Upload:	cisco-russia
View:	1,135 times
Download:	12 times

Обзор новых функций безопасности в инфраструктурном...

Technology