Date post: | 15-Nov-2014 |
Category: |
Technology |
Upload: | cisco-russia |
View: | 1,135 times |
Download: | 12 times |
Функции безопасности инфраструктурного оборудования CiscoИлья Озарнов, Системный инженер [email protected]
Содержание
• Введение• Фундаментальные механизмы защиты на уровне 2
– Port Security, DHCP Snopping, DARP Inspection, IP source guard и др.• Защита L2 в сетях IPv6• TrustSec
Введение
Cisco SecureX
Соответствие
Сервисы
Сеть
Distributed Workforce & BYOD
Distributed Workforce & BYOD
Защищенный универсальный
доступ
Защита сетевого периметра
Threat DefenseThreat
Defense
Защищенный переход к облачным
вычислениям
Virtualization & Cloud
Virtualization & Cloud
Application Visibility & Control
Application Visibility & Control
Авторизованное использование
контента
Исследование угроз
Контекстная политика
Фундаментальные механизмы защиты на уровне 2
Нормальное функционирование CAM таблицы (1/2)
MAC A
Port 1
Port 2
Port 3
A Is on Port 1Learn:
B Is on Port 2
MAC PortA 1
C 3B 2
MAC B
MAC C
Нормальное функционирование CAM таблицы (2/2)
MAC A
MAC B
MAC C
Port 1
Port 2
Port 3
Traffic A B
B Is on Port 2
Does Not See Traffic to B
MAC PortA 1B 2C 3
Переполнение таблицы CAM
MAC A
MAC B
MAC C
Port 1
Port 2
Port 3
MAC Port
C 3 Y Is on Port 3
Z Is on Port 3
Y 3Z 3
Traffic A B
I Can See Traffic to B
Assumes CAM Table Now Full
Решение• Port security предотвращае атаки MAC flooding, защищает порт и отсылает сообщение SNMP
Предотвращение переполнения таблицы MAC адресов
137,000 Bogus MACs
Только 1 MAC адрес
разрешен на порту:
Shutdown
Port Security ограничивает количество MAC адресов на интерфейсе
00:0e:00:aa:aa:aa00:0e:00:bb:bb:bb
• Настройка максимального количества MAC адресов на порт на VLAN• Restrict позволяет узнать, что что-то произошло с помощью SNMP сообщения
Настройка Port Security
(config-if)# switchport port-security switchport port-security maximum 1 vlan voiceswitchport port-security maximum 1 vlan accessswitchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivitysnmp-server enable traps port-security trap-rate 5
• Attacker sends superior BPDU messages to become root bridgeNow, The attacker then sees frames he shouldn’t. MITM, DoS, all possible
Any attack is very sensitive to the original topology, trunking, PVST
Although STP takes link speed into consideration, it is always done from the perspective of the root bridge;
Taking a 10Gbps backbone to half-duplex 10Mbps was verified
Requires attacker is dual homed to two different switches (with a hub, it can
be done with just one interface on the attacking host)
Атаки на протокол Spanning Tree Protocol
Коммутаторы доступаRootRootRoot
Root
XBlocked
• Разместить Root там, где он должен быть• Root должен оставаться на своем месте
– Root Guard– Loop Guard– UplinkFast– UDLD
• На порты доступа должен поступать только пользовательский трафик– BPDU Guard– Root Guard– PortFast– port-security
Получение предсказуемого поведения Spanning Tree
SiSiSiSi
BPDU Guard илиRootguardPortFast
Rootguard
Loopguard
UplinkFast
STP Root
Loopguard
…или использование протоколов L3
SiSiSiSi
BPDU Guard илиRootguardPortFast
• Проще в эксплуатации, т.к. только 1 control plane – протоколы маршрутизации
• Проще дизайн – отсутствие FHRP, STP, Trunk, VTP и т.д.
• Балансировка нагрузки• Лучшее время сходимости Layer 3
Layer 2
• Active Attack. The attacker sends fake HSRP packets with maximum priority of 255 and a proper clear-text password.
• Attacker claims the Active Virtual Router role and becomes the Default Gateway for hosts in a given VLAN.• Attacker drops the traffic, effectively creating a DoS condition or becomes man-in-the-middle.• Countermeasure: use HSRP strong authentication
Attacking HSRP - Denial of Service and man-in-the-middle
Internet
HSRP group 110.10.10.254
00-00-0c07-ac-01
• Attack tools exist, like yersinia and hsrp, a part of Phenoelit IRPAS (Internetwork Routing Protocol Attack Suite).
• Typical use:
• The most important countermeasure is MD5 HMAC Strong Authentication combined with key rollover (accept lifetime and send lifetime).
Attacking HSRP – Countermeasures
~# hsrp –d 224.0.0.2 –v 10.10.10.254 –a cisco –g 1 –i eth0 –S 10.10.10.17
(config)# key chain hsrp1 key 1 key-string 54321098452103ab
(config-if)# standby 1 ip 10.10.10.254 standby 1 priority 110 standby 1 preempt standby 1 authentication md5 key-chain hsrp1
• Gobbler/DHCPx пытаются получить адреса из всего адресного пространства• Атака типа Отказ в обслуживании на DHCP сервер
DHCP Discovery (Broadcast) x (Size of Scope)
DHCP Offer (Unicast) x (Size of DHCPScope)
DHCP Request (Broadcast) x (Size of Scope)
DHCP Ack (Unicast) x (Size of Scope)
Клиент
Gobbler Сервер DHCP
Атака на DHCP: отказ в обслуживании
• Gobbler использует новый MAC адрес для запроса нового IP у DHCP сервера
• Необходимо ограничить количество MAC адресов на порт
• Атакующий не сможет получить больше IP адресов, чем разрешено MAC адресов
Противодействие атаке DHCP Starvation Attack с помощью Port Security
Клиент
Gobbler Сервер DHCP
(config-if)# switchport port-security switchport port-security maximum 1 switchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivity
• Таблица строится на на основе прослушивания ответов DHCP сервера клиенту
• Записи остаются в таблице на время выдачи адреса
Противодействие атакам на DHCPDHCP Snooping
Trusted
Untrusted
Untrusted
DHCP Snooping Включен
Несанкционированные DHCP ответы
Санкционированные DHCP ответы
DHCP Snooping Binding Tablesh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------00:03:47:B5:9F:AD 10.120.4.10 193185 dhcp-snooping 4 FastEthernet3/18
КлиентDHCP сервер
Атакующий, имитирующий DHCP сервер
• Атакующий модифицирует таблицы ARP • Весь трафик идет через атакующего
Атака ARP Spoofing
10.1.1.1MAC A
10.1.1.2MAC B
10.1.1.3MAC C
Адресу 10.1.1.2 соответствует
MAC C
Адресу 10.1.1.1 соотв MAC C
ARP 10.1.1.1Адресу 10.1.1.2 соответствует
MAC CARP 10.1.1.2: Адресу
10.1.1.1 соответствует MAC C
Запись присутствует в таблице?Нет!
Не соответствующие таблице ARP пакеты отбрасываются
Противодействие ARP атакамDynamic ARP Inspection
Использует таблицуDHCP snooping
Динамическая проверка ARP (Dynamic ARP inspection)
Если пакет не соответствует записи в таблице, он отбрасывается
10.1.1.1MAC A
10.1.1.2MAC B
10.1.1.3MAC C
ARP к 10.1.1.1 говорит, что10.1.1.2 имеетMAC C
ARP 10.1.1.2: Адресу 10.1.1.1
соответствует MAC C
Включены:DHCP Snooping,Dynamic ARP Inspection
Запись присутствует в таблице?Нет!Не соответствующие
таблице пакеты отбрасываются
Противодействие спуфингуIP Source Guard
Использует таблицуDHCP snooping
IP source guardРаботает как dynamic ARP inspection, но проверяет все пакеты, не только ARP
10.1.1.1MAC A
10.1.1.2MAC B
10.1.1.3MAC C
Трафик с IP 10.1.1.2Mac B
Трафик сIP 10.1.1.3Mac B
Трафик с IP 10.1.1.2 Mac C
Включены:DHCP Snooping,Dynamic ARP Inspection,IP Source Guard
• Port security предотвращаетатаки переполнения MACтаблицы
• DHCP snooping предотвращает использование несанкционированных DHCPсерверов
• Dynamic ARP Inspection защищает работу ARP,используя таблицу DHCPsnooping
• IP source guard предотвращает спуфинг адресов
Встроенные функции безопасности коммутаторов Catalyst
IP Source Guard
Dynamic ARP Inspection
DHCP Snooping
Port Security
ip dhcp snooping
ip dhcp snooping vlan 2-10
ip arp inspection vlan 2-10
!
interface fa3/1
switchport port-security
switchport port-security max 3
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
ip arp inspection limit rate 100
ip dhcp snooping limit rate 100
!
Interface gigabit1/1
ip dhcp snooping trust
ip arp inspection trust
Защита L2 в сетях IPv6
A and B can now exchange packets on this link
• Creates neighbor cache entry, resolving IPv6 address into MAC address.• Messages: Neighbor Solicitation (NS), Neighbor Advertisement (NA)
IPv6 Address Resolution – comparing with IPv4 ARP
A B C
NSICMP type = 135 (Neighbor Solicitation)Src = A Dst = Solicited-node multicast address of BData = B Option = link-layer address of AQuery = what is B’s link-layer address?
NAICMP type = 136 (Neighbor Advertisement) Src = one B’s IF address Dst = A Data = BOption = link-layer address of B
Dst = Solicited-node multicast address of BQuery = what is B’s link-layer address? NS
• Attacker can claim victim's IPv6 address.
Attacking IPv6 Address Resolution
Src = B or any C’s IF address Dst = A Data = B Option = link-layer address of C
NA
A B C
Countermeasures: Static Cache Entries, Address GLEAN, SeND (CGA), Address-Watch.
IPv6 Address GLEAN
Binding table
NS [IP source=A1, LLA=MACH1]
DHCP-server
REQUEST [XID, SMAC = MACH2]
REPLY[XID, IPA21, IPA22]
data [IP source=A3, SMAC=MACH3]
DAD NS [IP source=UNSPEC, target = A3]
NA [IP source=A1, LLA=MACH3]
IPv6 MAC VLAN IF
A1 MACH1 100 P1
A21 MACH2 100 P2
A22 MACH2 100 P2
A3 MACH3 100 P3
DHCP LEASEQUERY
DHCP LEASEQUERY_REPLY
H1 H2 H3
„Gleaning” means extracting addresses from NA, ND and DHCP messages.
ICMP Type = 133 (Router Solicitation)Src = UNSPEC (or Host link-local address)Dst = All-routers multicast address (FF02::2)Query = please send RA
RS
ICMP Type = 134 (Router Advertisement)Src = Router link-local addressDst = All-nodes multicast address (FF02::1)Data = router lifetime, retranstime, autoconfig flagOption = Prefix, lifetime
RA
Use B as default gateway
Find default/first-hop routers
Discover on-link prefixes => which destinations are neighbors
Messages: Router Advertisements (RA), Router Solicitations (RS)
B
IPv6 Router Discovery
A
Internet
• Attacker tricks victim into accepting him as default router• Based on rogue Router Advertisements• The most frequent threat by non-malicious user
Attacking IPv6 Router Discovery
Src = C’s link-local addressDst = All-nodesData = router lifetime, autoconfig flagOptions = subnet prefix, slla
RA
Node A sending off-link traffic to C
BCA
Src = B’s link-local addressDst = All-nodesData = router lifetime=0
RAInternet
IPv6 RA-Guard – Securing Router Discovery
Verification succeeded?
Forward RA
Switch selectively accepts or rejects RAs based on various criteria –ACL (configuration) based, learning-based or challenge (SeND) based.Hosts see only allowed RAs, and RAs with allowed content.
More countermeasures: static routing, SeND, VLAN segmentation, PACL.
A C
“I am the default gateway”Router Advertisement Option: prefix(s)
RA
• Stateless, based on prefix information delivered in Router Advertisements.• Messages: Router Advertisements, Router Solicitations
ICMP Type = 133 (Router Solicitation)Src = UNSPEC (or Host link-local address)Dst = All-routers multicast address (FF02::2)Query = please send RA
RS
ICMP Type = 134 (Router Advertisement)Src = Router link-local addressDst = All-nodes multicast address (FF02::1)Data = router lifetime, retranstime, autoconfig flagOptions = Prefix X,Y,Z, lifetime
RA
Source traffic with X::x, Y::y, Z::z
Computes X::x, Y::y, Z::z and DADs them NS
IPv6 Stateless Address Auto-Configuration (SLAAC)
A B
Internet
• Switches do/will integrate a set of monitoring, inspection and guard features for a variety of security-centric purposes:
1. RA-guard 2. NDP address glean/inspection3. Address watch/ownership enforcement4. Device Tracking5. Address GLEAN (NDP + DHCP + data)6. DHCP-guard 7. DAD/Resolution proxy 8. Source-guard (SAVI)9. Destination-guard 10. DHCP L2 relay
• Feature set and platform availability have been staged into phases.
Features in IPv6 First-Hop Security
BRKSEC-3003 Advanced IPv6 First-Hop Security
TrustSec. Обзор
Управление Сервисы Безопасность
КОРПОРАТИВНАЯ СЕТЬ
Cisco Infrastructure
Динамический контекст
Политики доступа
ИдентификацияКо
нтро
ль д
осту
па
Конт
роль
дос
тупа
Архитектура TrustSec.Контроль доступа на уровне сети
Клиентские устройства
ЦОД и приложения
Контекст:“Кто” и Чтонаходится в моей сети?
Куда cмогут иметь доступпользователи/устройства?
Защищены ли сетевые коммуникации?
Идентификация и Аутентификация
802.1X, Web Authentication, MAC-адреса, Профилирование
Авторизация и Контроль доступа
Целостность данных и конфиденциальность
VLAN DACL Security Group Access
MACSec (802.1AE)
ПОЛИТИКА БЕЗОПАСНОСТИ
Identity Firewall
Архитектура Cisco TrustSec. Сервисы
TrustSec: авторизация и реализация политик
Динамические или именованные ACL-списки
• Меньше перебоев в работе оконечного устройства (не требуется смена IP-адреса)
• Повышение удобства для пользователей
Сети VLAN
• Не требует управления ACL-списками на портах коммутатора
• Предпочтительный выбор для изоляции путей
Доступ для групп безопасности
• Упрощение управления ACL-списками
• Единообразная реализация политик независимо от топологии
• Детализированное управление доступом
ГостьVLAN 4VLAN 3
Устранение проблем
СотрудникиПодрядчик
СотрудникЛюбой IP-
адрес
Доступ для групп безопасности — SXP, SGT, SGACL, SGFW
Гибкие механизмы реализации политик в вашей инфраструктуреШирокий диапазон доступных клиенту вариантов доступа
Абсолютный контрольАбсолютный контроль
ИнновацииИнновацииCiscoCisco
Profiling/Posture Services
CatalystSwitch
802.1X
MAB
Guest Services
Web Auth
RADIUS
Various Authorization Methods (VLAN, Downloadable ACL, URL Redirect, etc)
Scalable / Flexible Policy & Authentication Server supporting
RBAC
Guest Service to provide full guest access management with Web
Authentication
Profiling System to perform automatic device profiling for unattended device or any type of
network attached device
Cisco IOS © intelligence to provide phased deployment mode for 802.1X (Monitor Mode,
Low Impact Mode, High Security Mode)
Flexible Authentication Methods(802.1X, MAB, Web Auth in any order)
Guest
Employee
Printer
Identity Services Engine (ISE)
TrustSec Solution Review
36
Authentication Services
ISE
• Who’s going to maintain ACLs?• What if my destination IP addresses are changed?• Does my switch have enough TCAM to handle all request?
Detailed design before deployment is required, otherwise…
Not so flexible for changes required by today’s business
Access control project ends up with redesigning whole network
802.1X/MAB/Web Auth
VLANAssignment
ACLDownload
• Can I create / manage the new VLANs or IP Address scope?• How to address DHCP refresh?• How do I manage ACL on VLAN interface?
Ingress Access Control
37
TrustSec. Использование меток безопасности Security Group Tags
Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности
Security Group Based Access Control• ISE связывает метки (SGT) по результатам идентификации пользователей• Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе• Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на
выходе• Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для
гранулированного доступа
802.1X/MAB/Web Auth
Finance (SGT=4)
HR (SGT=10)
I’m a contractorMy group is HR
SGT = 100
Contactor & HRSGT = 100
SGACL
Применение SGT и SGACL
Уникальная метка 16 bit (65K) присваивается каждой роли
Представляет привилегии пользователя, устройства или субъекта
Тегирование на входе в домен TrustSec
SGACLSGACLSGSG
Security Group
Tag
Security Group
Tag
Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)
Правила без IP-адресов (IP адрес привязан к метке)
Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройствеTrustSec
Обеспечивает политики независимые от топологии
Гибкие и масштабируемые политики основанные на роли пользователя
Централизованное управление политиками для динамического внедрения правил
Исходящая фильтрация ведет к уменьшению нагрузки на TCAM
Преимущества
Формат кадра SGT
• — служебные данные L2 802.1AE + TrustSec
• Кадр всегда маркируется на входном порте устройства с поддержкой SGT
• Процесс маркировки предшествует другим сервисам уровня L2, например QoS
• Отсутствует влияние на MTU/фрагментацию IP
• Влияние на MTU кадра L2: ~ 40 байтов = меньше чем кадр Baby giant (~1600 байтов с MTU 1552 байта)
Метаданные Cisco.
CMD ETYPE ICV CRC
Версия ДлинаCMD EtherType Тип опции SGT Значение SGT
Другие опции CMD
Заголовок 802.1AE CMD ICV
Поле кадра Ethernet
DMAC SMAC Заголовок 802.1AE 802.1Q Полезная нагрузка
АутентифицированоАутентифицировано
ЗашифрованоЗашифровано
Традиционное управление доступом
Серверы (узлы назначения)
D1
Продажи
D3Кадры
D5Финансовая служба
D6
D4
D2
Руководители
Отч. кадровой службы
ИТ-администраторы
S1(10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Пользователь (источник)
permit tcp S1 D1 eq httpspermit tcp S1 D1 eq httpspermit tcp S1 D1 eq 8081permit tcp S1 D1 eq 8081permit tcp S1 D1 eq 445permit tcp S1 D1 eq 445deny ipdeny ip S1 D1S1 D1
Управление доступом S1 Управление доступом S1 —— D1D1
• (число источников) * (число узлов назначения) * число разрешений = число ACE
• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE для S1~4
• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик
• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»
Запись управления Запись управления доступом (ACE)доступом (ACE)
Число ACE растет по мере роста числа
разрешений
Как SGACL упрощает управление доступом
• Администратор сети управляет каждой связью «группа источника — группа назначения»
• Это отделяет топологию сети от политик и снижает количество правил политик, которые администратор должен поддерживать
• Сеть автоматизирует привязку пользователей / серверов к группам
S1
S2
S3
S4
Пользователь Серверы
D1
D3
D5
D6
D4
D2
Группа безопасности (узел назначения)
Сервер продаж
(500 SGT)
Сервер кадров
(600 SGT)
Сервер финансов(700 SGT)
Группа безопасности (источник)
Рук-во A(10 SGT)
Рук-во B(20 SGT)
Отчеты кадров
(30 SGT)
ИТ-админ.(40 SGT)
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый
Эффективность SGACL в эксплуатации
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE
С использованием SGACL
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —для группы-источника используются диапазоны адресов подсети
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый
Эффективность SGACL в эксплуатации (2)
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE
С использованием SGACL
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
Source Security Group (Dec/Hex)
Destination Security Group (Dec/Hex) SGACLS
Contractor (10/A) Server A (111/6F) Permit All
Contractor (10/A) Server B (222/DE) Deny All
Contractor (10/A) Server C (333/14D) Deny All
HR (30/1E) Server A (111/6F) Deny All
HR (30/1E) Server B (222/DE) SGACL-D
HR (30/1E) Server C (333/14D) Permit All
Role to SGT Binding and SGACL – Egress Policy Rules
46
All SGTs are mapped to SGACL using Egress Policy Rules
Content of SGACL and whole matrix entries are provisioned to TrustSec capable devices
permit tcp src dst eq 1433#remark destination SQL permitpermit tcp src eq 1433 dst#remark source SQL permitpermit tcp src dst eq 80# web permitpermit tcp src dst eq 443# secure web permitdeny all
How To Create SGT Policy – Egress Table
47
HR User (SGT 4)
IT Admin (SGT 7)
ACME Portal(SGT 5)
Public Portal(SGT 8)
Internal Portal(SGT 9)
HR Server(SGT 6)
DestinationSGT
SourceSGT
Web Web No AccessWebFile Share
WebSSHRDP
File Share
WebSSHRDP
File ShareFull Access
SSHRDP
File Share
permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 22permit tcp dst eq 3389permit tcp dst eq 135permit tcp dst eq 136permit tcp dst eq 137permit tcp dst eq 138permit tcp des eq 139deny ip
IT Maintenance ACL
SGACL Flow - Step 1: Policy Definition
48
Server CServer BServer A DirectoryService
Campus Access
Data Center
TrustSec EnabledNetwork
User A User C
Step 1
AD User Role SGT
User A Contractor 10
User B Finance 20
User C HR 30
SGT policy definition on ISE
Server Role IP SGT
HTTP Server Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
ISE is configured for its policy and all endpoints need to be mapped to SGT in policy
ISE
ISE
SGACL Flow - Step 2: SGT Assignment Classification
49
Server CServer BServer A DirectoryService
Campus Access
Data Center
TrustSec EnabledNetwork
User A User C
111222333
Step 2
AD User Role SGT
User A Contractor 10
User B Finance 20
User C HR 30
SGTs are assigned to role and bound to IP address
Server Role IP SGT
HTTP Server Server Group A 10.1.100.111 111
File Server Server Group B 10.1.100.222 222
SQL Server Server Group C 10.1.200.3 333
With 802.1X / MAB / Web Authentication, SGTs are assigned in an authorization policy via RADIUS
Access devices snoops ARP and / or DHCP for authenticated MAC Address, then bind assigned SGT to snooped IP Address
For Servers IP addresses are bound to SGT statically on access switch or dynamically looked up on ISE using IPM feature
802.1X / MAB / Web Auth
3010
ISE
SGACL Flow Step 3: SGACL Policy Provisioning
50
Server CServer BServer A DirectoryService
Campus Access
Data Center
TrustSec EnabledNetwork
User A User C
111 222 333
Step 3 ISE provisions Egress Policy (SGT Matrix) to TrustSec capable Device
Each TrustSec capable device downloads policy from ISE3010
SRC\ DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
User C (30) Deny all Permit all SGACL-D
SGACL-D
permit tcp src dst eq 1433#remark destination SQL permitpermit tcp src eq 1433 dst#remark source SQL permitpermit tcp src dst eq 80# web permitpermit tcp src dst eq 443# secure web permitdeny all
SGACLSGACLSGACL
SGACL Flow - Step 4: SGACL Enforcement (1)
51
Server CServer BServer A DirectoryService
Campus Access
Data Center
TrustSec EnabledNetwork
User A User C
111 222 333
Step 4 Now TrustSec network is ready to enforce the policy
User’s traffic is tagged at ingress of TrustSec domain
SGT is carried when packet traverses within domain
At egress port, TrustSec device looks up local policy and drops packet if needed
3010
SRC\ DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
User C (30) Deny all Permit all SGACL-D
Packets are tagged with SGT at ingress interface
SGACL AppliedSGT10 to SGT111
Permit all
CMD Tagged TrafficCMD Tagged Traffic
Untagged TrafficUntagged Traffic
CMD Tagged Traffic
Untagged Traffic
ISE
SGACL Flow - Step 5: SGACL Enforcement (2)
52
Server CServer BServer A DirectoryService
Campus Access
Data Center
TrustSec EnabledNetwork
User A User C
111 222 333
Step 5 SGACL allows topology independent access control
Even another user accesses on same VLAN as previous example, his traffic is tagged differently
If traffic is destined to restricted resources, packet will be dropped at egress port of TrustSec domain
3010
SRC\ DST Server A (111) Server B (222) Server C (333)
User A (10) Permit all Deny all Deny all
User B (20) SGACL-B SGACL-C Deny all
User C (30) Deny all Permit all SGACL-D
SGACL-D
permit tcp src dst eq 1433#remark destination SQL permitpermit tcp src eq 1433 dst#remark source SQL permitpermit tcp src dst eq 80# web permitpermit tcp src dst eq 443# secure web permitdeny all
Packets are tagged with SGT at ingress interface
SGACL-D is appliedSQL = OK
SMB = NO
SMB trafficSQL traffic
SGACL
ISE
Network Device Admission Control
53
Network Device Admission Control (NDAC) provides strong mutual authentication (EAP-FAST) to form trusted domain
Only SGT from trusted peer is honored
Authentication leads to Security Association Protocol (SAP) to negotiate keys and cipher suite for encryption automatically (mechanism defined in 802.11i)
802.1X-2010/MKA will replace SAP for switch to switch encryption in the future
Trusted device acquires trust and policies from ISE server
Mitigate rogue network devices, establish trusted network fabric to ensure SGT integrity and its privilege
Automatic key and cipher suite negotiation for strong 802.1AE based encryption
Customer Benefits
NDACNDAC
• NDAC was developed as part of TrustSec and is Cisco proprietary but in large part based on 802.1X. NDAC does not require hardware support but optionally may leverage a hardware credential store.
• SAP is Cisco proprietary and based on the key exchange mechanism defined in 802.11i. 802.1X-2010/MKA will succeed and replace SAP in future Cisco products for switch to switch authentication.
• Interoperability with other 802.1AE devices becomes more broadly available once 802.1X-2010 is supported by Cisco. Manual keying is supported in the interim
Things to know about NDAC
54
ISE
TrustSec Domain EstablishmentDevice Authentication (1)
55
NDAC validates peer identity before peer becomes the circle of Trust! The first device to
communicate with ISE is called TrustSec Seed Device
NDAC uses EAP-FAST/MSCHAPv2 for authentication
Credential (including PAC) is stored in hardware key storeSeed Device
EAP-FAST over RADIUS
Authorization(PAC, Env Data,
Policy)
ISE
ISE
TrustSec Domain Establishment Device Authentication (2)
56
As device connects to its peer, TrustSec domain expands its border of trust
If the device does not have information to connect to ISE, the device is called non-Seed Device
When next device connects to device, Role determination process occurs per link basis, and both Authenticator and Supplicant role are determined.
First peer to gain ISE server connectivity wins authenticator role. Once authenticator role is determined, the device terminates supplicant role by itself.
In case of tie, lower MAC address wins
SeedDevice
Seed Device
Authenticator
Supplicant
802.1X NDAC
Non-Seed Device
Supplicant802.1X NDAC
Non-Seed Device
AuthenticatorSupplicant
802.1X NDAC
ISE
NDAC Completion
57
CTS7K-DS10.1.50.1
CTS7K-CORE# show cts interface ethernet 1/15CTS Information for Interface Ethernet1/15:
CTS is enabled, mode: CTS_MODE_DOT1XIFC state: CTS_IFC_ST_CTS_OPEN_STATEAuthentication Status: CTS_AUTHC_SUCCESS
Peer Identity: CTS7K-DCPeer is: CTS Capable802.1X role: CTS_ROLE_SUPLast Re-Authentication:
Authorization Status: CTS_AUTHZ_SUCCESSPEER SGT: 2Peer SGT assignment: Trusted
SAP Status: CTS_SAP_SUCCESSConfigured pairwise ciphers: GCM_ENCRYPTReplay protection: EnabledReplay protection mode: StrictSelected cipher: GCM_ENCRYPTCurrent receive SPI: sci:18bad853520000 an:2Current transmit SPI: sci:18bad853460000 an:2
CTS7K-CORE10.1.50.1
CTS7K-DC# show cts interface ethernet 1/3CTS Information for Interface Ethernet1/3:
CTS is enabled, mode: CTS_MODE_DOT1XIFC state: CTS_IFC_ST_CTS_OPEN_STATEAuthentication Status: CTS_AUTHC_SUCCESS
Peer Identity: CTS7K-COREPeer is: CTS Capable802.1X role: CTS_ROLE_AUTHLast Re-Authentication:
Authorization Status: CTS_AUTHZ_SUCCESSPEER SGT: 2Peer SGT assignment: Trusted
SAP Status: CTS_SAP_SUCCESSConfigured pairwise ciphers: GCM_ENCRYPTReplay protection: EnabledReplay protection mode: StrictSelected cipher: GCM_ENCRYPTCurrent receive SPI: sci:18bad853460000 an:2Current transmit SPI: sci:18bad853520000 an:2
• * NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)
Confidentiality and Integrity 802.1AE based Encryption
58
802.1AE802.1AE
• TrustSec provides Layer 2 hop-by-hop encryption and integrity, based on IEEE 802.1AE standard
• 128bit AES-GCM (Galois/Counter Mode) – NIST Approved *
• Line rate Encryption / Decryption for both 10GbE/1GbE interface
• Replay Protection of each and every frame
• 802.1AE encryption to protect CMD field (SGT value)
Protects against man-in-the-middle attacks (snooping, tampering, replay)
Standards based frame format and algorithm (AES-GCM)
802.1X-2010/MKA addition supports per-device security associations in shared media environments (e.g. PC vs. IP Phone) to provide secured communication
Network service amenable hop-by-hop approach compared to end-to-end approach (e.g. Microsoft Domain Isolation/virtualization)
Customer Benefits
TrustSecШифрование MACSec
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1XAnyConnect 3.0
Finance Admin
Finance Admin=
Must Encrypt
AuthenticationSuccessful!
ISE 1.0
MACSec in Action
Cat3750X
Уже сейчас поддерживается:•Шифрование MACSec в DC между Nexus 7000•Шифрование пользовательских интерфейсов от AnyConnect кCatalyst 3KX (MKA)
TrustSec 2.0 добавляет: •Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus 7000•Шифрование использует SAP, а не MKA для генерации ключей
&^*RTW#(*J^*&*sd#J$%UJ&(
Catalyst 6500 or Nexus 7000
TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец
Cisco Catalyst 6K (SUP-2T)
• Шифрование между коммутаторами
• SUP 2T модуль
Cisco Catalyst 3KX
• 1G – на существующих портах
• 10G – требуется новый сервис-модуль 3KX
Cisco Catalyst 4K
•Шифрование между коммутаторами •4500E : Sup7-E аплинки и 47xx линейные карты (FCS 2H CY11)
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1X
Supplicantwith
MACSec
Guest User
MACSec Capable Devices (New Switch-to-Switch Encryption)
&^*RTW#(*J^*&*sd#J$%UJWD&(
Data sent in clear
MACSec Link
Encrypt DecryptAuthenticated User
802.1AE (MacSec) Tagging
61
MISEec Tag Format
DMACDMAC SMACSMAC 802.1AE Header802.1AE Header 802.1Q802.1Q CMDCMD ETYPEETYPE PAYLOADPAYLOAD ICVICV CRCCRC
MISEecMISEec EtherTypeEtherType TCI/ANTCI/AN SLSL Packet NumberPacket Number SCI (optional)SCI (optional)
TrustSec Frame Format
EncryptedAuthenticated
0x88e5
• “Bump-in-the-wire” model-Packets are encrypted on egress-Packets are decrypted on ingress-Packets are in the clear in the device
• Allows the network to continue to perform all the packet inspection features currently used
Hop-by-Hop Encryption via IEEE802.1AE
62
128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption
011010010001100010010010001010010011101010 0110100100011000100100100001001010001001001000101001001110101
everything in clear01101001010001001 01101001010001001
ASIC
Decrypt at Ingress
Encrypt at Egress
• SXP is used to exchange IP-to-SGT bindings between TrustSec hardware (tagging/enforcement) capable and software only devices.
• SXP communicates the IP-to-SGT binding “out of band” of the IP packet• SXP accelerates deployment of SGTs
– Allows classification at the access edge without hardware upgrade– Allows communication from access edge to enforcement device
• Supported on: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500 switches, Wireless LAN Controller, ISRG2 and ASR1K
– Not all switches can perform all the SXP functions due to underlying hardware restrictions– ASR, Catalyst 6500 Sup2T, Nexus 7000 only can take IP/SGT and then tag egress traffic or enforce policy
Migration Protocol – SGT eXchange Protocol (SXP)
63
* - August/Sept. release of IOS
IP-SGT Binding Exchange with SXP
64
Server CServer BServer A DirectoryService
Data Center
User A User C
111 222 333
TCP-based SXP is established between Non-TrustSec capable and TrustSec-Capable devices
User is assigned to SGT
Switch binds endpoint IP address and assigned SGT
Switch uses SXP to send binding table to TrustSeccapable device
TrustSec capable device tags packet based on source IP address when packet appears on forwarding table
3010
Packets are tagged with SGT based on source IP Address
CMD Tagged TrafficCMD Tagged TrafficUntagged TrafficUntagged TrafficCMD Tagged TrafficUntagged Traffic
Non TrustSeccapable device
TrustSeccapable device
Switch builds binding table
SXP SXP
SXP IP-SGT Binding Table
Once SGT is tagged, then SGACL can be applied
IP Address SGT Interface
10.1.10.1 10 Gig 2/10
10.1.30.4 30 Gig 2/11
CMD Tagged TrafficCMD Tagged TrafficUntagged TrafficUntagged TrafficCMD Tagged TrafficUntagged Traffic
User A User CISE
• Uses TCP for transport protocol• TCP port 64999 for connection initiation• Use MD5 for authentication and integrity check• Two roles: Speaker (initiator) and Listener (receiver)• Communication is unidirectional
SGT Exchange Protocol (SXP) Details
65
SXP Flow
66
ISE 1.1
TCP SYN
TCP SYN-ACK
TCP ACKCTS7K10.1.3.1
CTS6K10.1.3.2
Speaker Listener
IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x02 (SYN)
IP Src: 10.1.3.1 Dst: 10.1.3.2TCP Src Port: 64999 Dst Port: 16277Flags: 0x12 (SYN, ACK)
IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 (ACK)
SXP OPENIP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 ( ACK)SXP Type: Open
Version: 1Device ID: CTS6K
SXP OPEN_RESP
IP Src: 10.1.3.1 Dst: 10.1.3.2TCP Src Port: 64999 Dst Port: 16277Flags: 0x18 (PSH, ACK)SXP Type: Open_RespVersion: 1Device ID: CTS7K
SXP UPDATE
IP Src: 10.1.3.2 Dst: 10.1.3.1TCP Src Port: 16277 Dst Port: 64999Flags: 0x10 (ACK)SXP Type: UpdateUpdate Type: Install
IP Address: 10.1.10.100 SGT: 6
10.1.10.100 (SGT6)
Reference Slide
SXP Connection Types
67
Single-Hop SXP
Non-TrustSec Domain
SXP
TrustSec Enabled SW TrustSec Capable HW
Multi-Hop SXP SXP
TrustSecEnabled SW
TrustSec Capable HWTrustSecEnabled SW
Speaker Listener
Speaker SpeakerListener Listener
SXP
TrustSecEnabled SW
Speaker
SXP
ISE
ISE
• SXP is enabled on WLC and TCP connection is established with Peer Switch• Wireless Client is 802.1x authenticated; SGT assignment is provided as VSA from ISE.• WLC knows the IP address and SGT for Client and updates with Peer SGT capable switch.• WLC will Delete Binding message with Peer whenever client is de-authenticated.• Bulk Update: SXP-enabled WLC will push IP-SGT bindings for all associated clients to Peers
WLC - SGT Assignment and Learning
68
Access-Accept w/ SGT VSA22
33DHCP Discover Request / Response
SalesSales
SGT IP Address
10 10.1.100.344Update IP-SGT Binding via SXP
802.1x authenticated11
SXP Capable WLC
SXP Capable Switch
10
SGTs with Monitor Mode
69
1. User connects to network2. Monitor mode allows traffic from endpoint before authentication3. Authentication is performed and results are logged by ISE4. Traffic traverse to Data Center and hits SGACL at egress
enforcement point5. Only permitted traffic path (source SGT to destination SGT) is
allowed
Egress Enforcement
Security Group ACL
Nexus® 7000/Cat 6K
CampusNetworkCampusNetwork
Catalyst® Switches(3K/4K/6K)
Users,Endpoints
Monitor Mode
SRC \ DST HR Server (111)
ACME Server (222)
ACME User(8) Deny all Permit all
HR User (10) Permit all Permit all
Unknown (0) Deny all Deny all
authentication port-control autoauthentication opendot1x pae authenticator
HR Server
ACME Server
ACME ServerAUTH=OKSGT= HR User (10)
ISE
Policy for Today’s Business Requirement
70
+
IdentityInformation
Identity:NetworkAdministrator
Identity:Full-TimeEmployee
Identity:Guest
AccessPrivilege
Consultant
Human Resources
Finance
Marketing
Deny Access
Guest
OtherConditions
Time and Date
Access Type
Location
Nexus® 7000/Cat 6K
SGA with LocationPrivacy Requirements – Require Proper Location
71
1. User connects to network2. Pre-Auth ACL only allows selective service before authentication3. Authentication is performed and results are logged by ISE. dACL is
downloaded along with SGT4. Traffic traverse to Data Center and hits SGACL at egress enforcement point5. Traffic Denied Due to improper location of HR User
Egress Enforcement
Security Group ACL
HR Usernot in proper
locale
SRC \ DST HR Server (111)
ACME Server(222) Unknown
HR Off Site (8) Deny all Permit all Permit all
HR User (10) Permit all Permit all Permit all
Guest (30) Deny all Deny all Permit all
HR Server
ACME Server
ACME Server
CampusNetworkCampusNetwork
Catalyst® Switches(3K/4K/6K)
AUTH=OKSGT=HR Off Site (8) ISE
X
SGT Assignment - Classification
72
• via 802.1X Authentication
• via MAC Authentication Bypass
• via Web Authentication Bypass
• Or Static IP-to-SGT binding on SW
Campus/Mobile endpoints
•• via Manual IPvia Manual IP--toto--SGT binding on TrustSec deviceSGT binding on TrustSec device
•• via IDvia ID--toto--Port MappingPort Mapping
•• VLANVLAN –– SGT*SGT*
•• Subnet Subnet –– SGT**SGT**
Data Center / Servers
Every endpoint that touches TrustSec domain is classified with SGT
SGT can be sent to switch via RADIUS authorization after:
Full integration with Cisco Identity
Solution and ISE
Full integration with Cisco Identity
Solution and ISE
Every server that touches TrustSec domain is classified with SGT
SGT is usually assigned to those servers:
Just like VLAN Assignment or dACL, we assign SGT in authorization process
* Catalyst 3K-X and Sup2T** Sup2T only
Cat2K Cat3K Cat4K Cat6K ISR WLC NotesDynamic 802.1X X X X X X X
MAB X X X X X XWeb Auth X X X X X X
Static Port Definition
X X - X - -
Layer 2 Identity to Port Mapping
X X - X - - Dynamicquery to ISE for SGT based “identity on port”
VLAN/SGT - X* - X - - 3K-X only for CY12
Subnet/SGT - - - X - - Via Sup2TLayer 3 Identity to Port Mapping
- - - X - - Based onroutes learned from port via dynamic routing
SGT Assignment – Access Layer Classification
73
SGT Migration Strategy - VLAN-SGT* Assignment User 1 – HR Admin
74
802.1X
Cat6500/Sup2THR AdminISE 1.1
RADIUS
VLAN 10 -> HR-User: SGT (10/000A)VLAN 11 -> HR-Admin: SGT (11/000B)
MAC:0050.56BC.14AE
ARP /DHCP Request / Response
IP Device Tracking (ARP/DHCP inspection)
11.11.11.11/32
MAC Address Port SGT IP Address
0050.56BC.14AE Fa2/1 11/000B 11.11.11.11SXP Binding Table
NX7010
Cat6503
SRC: 11.11.11.11 11.11.11.11SGT (11/000B)
Tagging
Access-AcceptPort Open!MAC Address Port VLAN
0050.56BC.14AE G0/0 11
3rd Party or LegacySwitches/Aps Trunk Connection
* - There are limits of the number of VLANs supported per platform
SGT Migration Strategy - VLAN-SGT* Assignment User 2 – HR User
75
802.1X
Cat6500/Sup2THR UserISE 1.1
RADIUS
VLAN 10 -> HR-User: SGT (10/000A)VLAN 11-> HR-Admin: SGT (11/000B)
MAC:0070.56BC.237B
ARP /DHCP Request / Response
IP Device Tracking (ARP/DHCP inspection)
10.1.10.100/32
MAC Address Port SGT IP Address
0070.56BC.237B Fa2/1 10/000B 10.1.10.100 SXP Binding Table
NX7010
Cat6503
SRC: 10.1.10.100 10.1.10.100SGT (10/000A)
Tagging
Access-AcceptPort Open!MAC Address Port VLAN
0070.56BC.237B G0/0 10
3rd Party or LegacySwitches/APs Trunk Connection
* - There are limits of the number of VLANs supported
SGT Migration Strategy – VLAN-SGT* Assignment End State
76
802.1X
Cat6500/Sup2THR AdminISE 1.1
RADIUS
VLAN 10 -> HR-User: SGT (10/000A)VLAN 11 -> HR-Admin: SGT (11/000B)
MAC:0050.56BC.14AE10.1.10.100/24
Traffic
IP Device Tracking (ARP/DHCP inspection)
MAC Address Port SGT IP Address VLAN
0050.56BC.14AE Fa2/1 11/000B 11.11.11.11 11
0070.56BC.237B Fa2/1 11/000B 10.1.10.100 10SXP Binding Table
NX7010
Cat6500/Sup2T
SRC: 11.11.11.11 11.11.11.11SGT (11/000B)
Tagging
3rd Party or LegacySwitches/APs
Trunk Connection
HR User MAC:0070.56BC.237B11.11.11.11/24
SRC:10.1.10.100 10.1.10.100SGT (10/000A)
Tagging
* - There are limits of the number of VLANs supported* - There are limits of the number of VLANs supported
SGT/SGACL Component – TrustSec 2.0
77
Platforms Available Feature OS Version Notes
Nexus 7000 series Switch SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC
Cisco NX-OS®5.0.2a. Advanced Service Package license is required
Enforcement Device, DC Distribution
Catalyst 6500E (Supervisor 2T)
SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC
Cisco IOS® 15.0(1)SY or later release. IP Base K9 image required
Enforcement Device, DC Distribution, Campus Distribution
Catalyst 6500E Switch (Supervisor 32, 720, 720-VSS)
NDAC (No SAP), SXP, EAC
Cisco IOS® 12.2 (33) SXI3 or later release. IP Base K9 image required
Campus / DC Access switch
Catalyst 49xx switches SXP, EAC Cisco IOS® 12.2 (50) SG7 or later release. DC Access switch
Catalyst 4500 Switch(Supervisor 6L-E or 6-E)
SXP, EAC Cisco IOS® 12.2 (53) SG7 or later release. Campus Access Switch
Catalyst 3560-X / 3750-X Switches
SXP, EAC, SGT*, SGACL*
Cisco IOS® 12.2 (53) SE2 or later release. Campus Access Switch* - August/Sept. 2012
Catalyst 3560(E) / 3750(E) Switches
SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. Campus Access Switch
Catalyst Blade Module 3x00 Switches
SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. DC Access Switch
Cisco EtherSwitch service module for ISR Routers
SXP, EAC Cisco IOS® 12.2 (53) SE1 or later release. IP Base K9 image required.
Branch Access Switch
Identity Services Engine (ISE) Centralized Policy Management for TrustSec
ISE Version 1.1 with advanced license required. Policy Server
Матрица функциональных возможностей MACSec
Клиент Cat 3K Cat 4K Cat 6K N7K
Программноеобеспечение AnyConnect 3.0 IOS 15.0(1)-SE IOS-XE 3.3.0 SG IOS 12.2.50-SY NXOS 5.2.1
Оборудование Intel 82567LM Intel 82579LM
Catalyst 3750XCatalyst 3560XC3KX-SM-10G
WS-C3560CPD-8PT-S *WS-C3560CG-8TC-S *WS-C3560CG-8PC-S *
Catalyst 45xx-EWS-X45-Sup7-EWS-X4712-SFP+EWS-X4748-UPOE+EWS-X4748-RJ45V+EWS-X4748-RJ45-E
Catalyst 65xx-EVS-S2T-10G VS-S2T-10G-XLWS-X6908-10G-2TWS-X6908-10G-2TXL
N7K-C70xxN7K-SUP1N7K-M108X2-12LN7K-M132XP-12N7K-M132XP-12LN7K-M148GT-11N7K-M148GT-11LN7K-M148GS-11N7K-M148GS-11L
Соглашение о ключах
MKA (802.1X-2010)
MKA (802.1X-2010) Доступ к хосту /протокол SAP «коммутатор –коммутатор»
* MKA / только нисходящий канал
MKA (802.1X-2010) Доступ к хосту /протокол SAP «коммутатор –коммутатор»
Протокол SAP «коммутатор –коммутатор»
Протокол SAP «коммутатор –коммутатор»
Доступность Доступен сейчас
Доступен сейчас Доступ к хосту: – 1-й кв. 2012 г.«Коммутатор –коммутатор»: 1-й кв. 2012 г.
Доступен сейчас Доступен сейчас
Матрица функциональных возможностей TrustSecМатрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec
Платформа Модели
Функции802.1x / иденти-фикации
SGT SXP SGACL SG-FW Сенсоры устройств
Коммута-тор –
коммута-тор
Клиент –комму-татор
Cat 2K 2960, 2960-S
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X x
3560 C
Cat 4K Sup 6E , Sup 6L-E
Sup 7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
ASR 1KPr1 / Pr2, 1001, 1002, 1004, 1006, 1013, ESP10/20/40, SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Контроллербеспроводнойлокальнойсети
AnyConnect
Вопросы и ответы