Dienstezentrische Infrastruktur Cisco TrustSec als Mittel zur standortübergreifenden Segmentierung
Oktober 2014
Thomas Spiegel Systems Engineer Cisco Berlin
© 2014 Cisco and/or its affiliates. All rights reserved. 2
WAN
• Primäre Aufgaben • Physischer Aufbau der Netzinfrastruktur sollte sich an die
logische Struktur der Organisation anpassen • Benutzer sollte Zugriff auf Dienste entsprechend seiner
organisatorischen Zugehörigkeit erhalten • Standortunabhängiger Zugriff auf verschiedene Dienste • Abschottung verschiedener Dienste untereinander
• Sekundäre Aufgaben • Bessere Ausnutzung von Arbeitsplätzen • Flexiblere Nutzungsmöglichkeiten
der Infrastruktur • Entkoppelung von Umzugsprozessen
und Netzwerkbetrieb
Finanzen Soziales
Gäste
Polizei
Standort A
Finanzen Soziales
Gäste
Polizei
Standort B
Internet Rechenzentrum
© 2014 Cisco and/or its affiliates. All rights reserved. 3
WAN
Eine Dienste-Identifikation und die daraus resultierende durchgehende Segmentierung benötigt folgende Komponenten:
Finanzen Soziales
Gäste
Polizei
Internet Rechenzentrum
Campus Standort A
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium
Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)
Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
© 2014 Cisco and/or its affiliates. All rights reserved. 4
WAN
Finanzen Soziales
Gäste
Polizei
Internet Rechenzentrum
Campus Standort A
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium
Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)
Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
© 2014 Cisco and/or its affiliates. All rights reserved. 5
• Identity bietet folgende Funktionen: • Erkennen von Benutzern & Geräten • Ermöglicht die Differenzierung von Benutzern & Geräten:
• Erlaubt den differenzierten Zugriff auf Dienste • Durchsetzung von Sicherheitsrichtlinien • Nachverfolgung der Standorte von Geräten
• Damit realisieren wir eine standortunabhängige Flexibilität der Infrastruktur: • Umsetzung des Ansatzes “Das Netzwerk folgt dem Benutzer” • Mehr Transparenz und geringere Aufwände beim Betrieb der Infrastruktur • Die Infrastruktur kann flexibler an neue Anforderungen angepasst werden
© 2014 Cisco and/or its affiliates. All rights reserved. 6
• Der komplette Access der Infrastruktur wird gleichartig konfiguriert
• Es wird keine Differenzierung des Anwendungsfalles über die Konfiguration realisiert
• Zum Zeitpunkt des Zugriffs wird der Anwendungsfall identifiziert und der Zugriff entsprechend freigeschaltet
Gast access vlan 115 access-group 115
Mitarbeiter Polizei access vlan 11 voice vlan 111
Printer access vlan 12 access-group 122
Camera access vlan 13 access-group 123
Access Point access vlan 14 access-group 124
Compact Switch access vlan 115 access-group 125
Mitarbeiter Finanzen access vlan 119 access-group 119
Regeln & Attribute
• Zentral definierte Regeln steuern den Zugriff und können somit einfach angepasst oder erweitert werden
© 2014 Cisco and/or its affiliates. All rights reserved. 7
Wer?
Wann?
Wo?
Wie?
Was?
Mitarbeiter Gast
Personal Device Firmen-Laptop
Wired Wireless VPN
@ Starbucks Headquarter
Wochenende 8:00h – 17:00h
© 2014 Cisco and/or its affiliates. All rights reserved. 9
•Centralized Policy
•RADIUS Server
•Secure Group Access
•Posture Assessment
•Guest Access Services
•Device Profiling
•Monitoring
•Troubleshooting
•Reporting
ACS
Profiler
Guest Server
NAC Manager
NAC Server
Identity Services Engine
Device Registration & On-Boarding
Supplicant and Cert Provisioning
Partner Ecosystem
© 2014 Cisco and/or its affiliates. All rights reserved. 10
• Erlaubt einen einfachen Prozess für Mitarbeiter, ihre mobilen Geräte zu registrieren
• Bietet die Möglichkeit des sicheren Zugriffs für registrierte Geräte
• Registrierungsprozess Device ID wird automatisch erfasst und Benutzer ergänzt die Beschreibung Anschliessend wird das System konfiguriert und mit einem Zertifikat ausgestattet
• My Devices Portal Bietet eine einfache Verwaltung der Devices für den Endbenutzer (deaktivieren, löschen, reaktivieren)
© 2014 Cisco and/or its affiliates. All rights reserved. 11
ISE ISE
Policy Service Monitoring Admin Inline Posture
Persona: • Administration • Monitoring • Policy service
Single ISE node (Appliance oder VM)
Single inline posture node (nur Appliance)
© 2014 Cisco and/or its affiliates. All rights reserved. 13
Persona Implementierung
• Alle Personas auf einem single Node oder redundant Nodes
• Administration und Monitoring co-located auf einem single Node oder redundant Nodes
• Eigenständige Policy Service Nodes
• Eigenständige Administration Node(s) • Eigenständige Monitoring Node(s) • Eigenständige Policy Service Nodes
Maximale Anzahl Nodes per Type
• 2 Admin+MnT+PSN Nodes
• 2 Admin+MnT Nodes • 5 Policy Service Nodes
• 2 Admin Nodes • 2 MnT Nodes • 40 Policy Service Nodes
Maximale Anzahl Endpoints für gesamte Implementierung
• 5000 mit SNS-3415 • 10,000 mit SNS-3495
• 5000 mit SNS-3415 für PAN+MnT • 10,000 mit SNS-3495 für PAN+MnT
• ISE 1.1: Maximum 100,000 Endpoints • ISE 1.2: Maximum 250,000 Endpoints
PAN MnT PSN
PAN MnT
PSN PAN MnT PSN
© 2014 Cisco and/or its affiliates. All rights reserved. 14
AP Switch 802.1X
Policy Services Cluster Monitor Admin
HA Inline Posture Nodes
ASA VPN
AD/LDAP (External
ID/Attribute Store)
Alle Cisco® ISE personas können über mehrere Standorte verteilt werden
AP
Switch 802.1X
Monitor (S) Admin (S)
AD/LDAP (External
ID/Attribute Store)
WLC 802.1X
Switch 802.1X
AP Switch 802.1X
AP
WLC 802.1X
Distributed Policy Services
Rechen- zentrum A
Rechen- zentrum B
Außen- stelle A
Außen- stelle B
Switch 802.1X
AP
AP Switch 802.1X AP
AP
© 2014 Cisco and/or its affiliates. All rights reserved. 15
WAN
Finanzen Soziales
Gäste
Polizei
Internet Rechenzentrum
Campus Standort A
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium
Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)
Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
© 2014 Cisco and/or its affiliates. All rights reserved. 16
Zugriffskontrolle ohne Nutzung der IP-Adressen
Heute: topologieabhängige
Zugriffskontrolle
Server Polizei Gäste
Server Finanzen
VLAN 20
Mitarbeiter
Zuweisung eines Nutzers zu einer “Security Group”
einzigartiges 16bit (65K) Tag
Segmentierung: VLAN, IP-ACL, VRF
Next-Generation: skalierbare, topologie-
unabhängige Zugriffskontrolle
GO
Security Group Tags, SG-ACL
VLAN 10
© 2014 Cisco and/or its affiliates. All rights reserved. 17 17
• das SGT ist Teil des Feldes “Cisco Meta Data” (CMD) im Layer 2 Frame
• das CMD-Feld ist eingefügt: – direkt hinter dem Feld “Source Mac
Address” – oder hinter dem 802.1q-Feld, wenn
vorhanden
• optional MACsec (IEEE802.1AE) möglich
• 16 bit: ~ 64,000 tag space CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
Ethernet Frame
CMD EtherType
Version
Length
SGT Option Type
Cisco Meta Data
SGT Value
Other CMD Option
CRC
PAYLOAD
ETHTYPE
CMD
802.1Q
Source MAC
Destination MAC
MACsec Frame
802.1AE Header
802.1AE Header
AE
S-G
CM
128
bit
Enc
rypt
ion
ETHTYPE:0x88E5
ETHTYPE:0x8909
© 2014 Cisco and/or its affiliates. All rights reserved. 18 18
Cat3750X
WLC5508
Enterprise Backbone
N2248 Cat6500/Sup2T Nexus 7000 N5600
Dev
SRC: 10.1.10.220
CRM
Nutzer authentifiziert und klassifiziert als Mitarbeiter (SGT 5)
Destination-Klassifizierung: CRM: SGT 20 Dev: SGT 30
SGT 20
SRC\DST CRM (20) Dev (30)
Mitarbeiter (5) Permit Deny
Gast (7) Deny Deny
5 SRC:10.1.10.220
DST: 10.1.200.100 SGT: 5
DST: 10.1.100.52 SGT: 20
DST: 10.1.200.100 SGT: 30
FIB Lookup Destination MAC/Port SGT 30
© 2014 Cisco and/or its affiliates. All rights reserved. 20
Vereinfachung der Regelverwaltung
Effizienter Betrieb der Security Infrastruktur
Konsistenz der Regelwerke
• Starke Abstraktion der Regelverwaltung • Zugangskontrolle mittels Rollenmodell • Umsetzung einheitlicher Regeln
• Schnelle Bereitstellung von neuen Diensten • Vereinfachtes Ausrollen von Änderungen • Zentralisierung von Infrastruktur-ACL Management
access list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Traditional Security Policy
• Segmentierung mit zentralem Policy Management • Alle Zugangswege werden gesteuert - wired, wireless & VPN • Skaliert über Netzgrenzen hinweg (remote, branch, campus & data center)
© 2014 Cisco and/or its affiliates. All rights reserved. 21
Switch Router DC FW DC Switch
Dienste Soziales
Enforcement
Dienste Polizei
ISE Directory
Classification
User Finanzen User Soziales
Protected Assets Gast Internet Access
User Finanzen Malware Blocking DENY PERMIT DENY PERMIT
Collab Apps
User Soziales
Sou
rce PERMIT Collab Apps DENY PERMIT DENY Malware
Blocking
DENY DENY DENY PERMIT Malware Blocking
DENY PERMIT DENY DENY DENY
Regelwerk
Netzwerk
Malware Blocking ACL deny tcp dst eq 445 log deny tcp dst range 137 139 log permit ip any
User Polizei
User Polizei
Gast
© 2014 Cisco and/or its affiliates. All rights reserved. 22
WAN
Finanzen Soziales
Gäste
Polizei
Internet Rechenzentrum
Campus Standort A
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium
Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)
Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
© 2014 Cisco and/or its affiliates. All rights reserved. 23
Data Center
Access Switch
Cisco ISE
Internet
Profiler Posture Guest Server
SGACL
MACSec
SGT L2 Frame
WLC AP
Branch Network
Polizei
Finanzen
Soziales
SXP/Tag
Einwohner
Access Switch
Access Switch
Remote Networks
IPSEC
• IPSEC inline Tagging – ESP Header • SGT Capability exchange during IKEv2 negotiations • Learn SGT from SXP or Auth-methods • Site-to-Site IPSEC such as DMVPN, DVTI, SVTI methods supported • Failover is based on the underlying IPSec technology • Scale is based on the underlying IPSec technology • DMVPN – ISR to ISR, ISR to ASR1K – 15.4(1)T1 (ISR) and 15.4(1)S1 (ASR1K)
IPSEC
23
DC Switch
DC Switch
Services
© 2014 Cisco and/or its affiliates. All rights reserved. 24
Data Center
Access Switch
Cisco ISE
MPLS
Profiler Posture Guest Server
SGACL
MACSec
SGT L2 Frame
WLC AP
Branch Network
Polizei
Finanzen
Soziales
SXP/Tag
Access Switch
Access Switch
Remote Networks
GETVPN
• GETVPN inline Tagging – GET Header • SGT Capability exchange during GET key negotiations • Learn SGT from SXP, inline tag or Auth-methods • Failover is the based on GET VPN failover • Scale is based on GET VPN Scale • GETVPN – ISRG2 15.3(2)T and ASR IOS XE3.9
GETVPN
DC Switch
DC Switch
Services
Key Server
Einwohner
© 2014 Cisco and/or its affiliates. All rights reserved. 25
WAN
Finanzen Soziales
Gäste
Polizei
Internet Rechenzentrum
Campus Standort A
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
Beibehalten der Identitätsinformationen im verwendeten WAN-Transportmedium
Identifikation des Benutzers im Access (Switch Port oder Wireless Infrastruktur)
Verwendung der Identitätsinformationen bei der Segmentierung der Benutzerbereiche
Verwendung der Identitätsinformationen bei der Segmentierung der zentralen Services
© 2014 Cisco and/or its affiliates. All rights reserved. 26
Users/ Devices
Switch Router DC FW DC Switch
Dienste Polizei
Enforcement
SGT Propagation
Dienst Internet
ISE Directory
Classification
User Finazen
User Soziales
Dienste EInwohner Internet Access
Sou
rce
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Gast
Dienste Polizei
User Polizei PERMIT
Regelwerk
Netzwerk
© 2014 Cisco and/or its affiliates. All rights reserved. 27
Users/ Devices
Switch Router DC FW DC Switch
Dienste Polizei
Enforcement
SGT Propagation
Dienst Internet
ISE Directory
Classification
User Finazen
User Soziales
Dienste EInwohner Internet Access
Sou
rce
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Gast
Dienste Polizei
User Polizei PERMIT
Regelwerk
Netzwerk
© 2014 Cisco and/or its affiliates. All rights reserved. 28
Users/ Devices
Switch Router DC FW DC Switch
Development Servers
Enforcement
SGT Propagation
HR Database
ISE
Classification
Dienste Einwohner
Dienste Einwohner HR Database
Protected Assets
PERMIT DENY
Storage
PERMIT DENY
Dienste Polizei
Sou
rce DENY DENY PERMIT PERMIT
DENY PERMIT PERMIT DENY
PERMIT PERMIT PERMIT PERMIT
Dienste Polizei
Dienste Finanzen
Storage
Regelwerk
Netzwerk
© 2014 Cisco and/or its affiliates. All rights reserved. 29
Users/ Devices
Switch Router DC FW DC Switch
Dienste Polizei
Enforcement
SGT Propagation
Dienste Finanzen
ISE
Classification
Dienste Einwohner
Dienste Einwohner Dienste Finanzen
Protected Assets
PERMIT DENY
Storage
PERMIT DENY
Dienste Polizei
Sou
rce DENY DENY PERMIT PERMIT
DENY PERMIT PERMIT DENY
PERMIT PERMIT PERMIT PERMIT
Dienste Polizei
Dienste Finanzen
Storage
Regelwerk
Netzwerk
© 2014 Cisco and/or its affiliates. All rights reserved. 30
User Finazen
User Soziales
Dienste EInwohner Internet Access
Sou
rce
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT
PERMIT
Gast
Dienste Polizei
User Polizei PERMIT
User Finazen
User Soziales
Dienste EInwohner Internet Access
Sou
rce
Protected Assets
PERMIT
PERMIT
DENY
DENY
DENY
DENY
PERMIT
PERMIT
PERMIT
PERMIT: GuestACL
PERMIT
Gast
Dienste Polizei
User Polizei PERMIT
GuestACL permit tcp dst eq 80 permit tcp dst eq 443 log permit udp dst eq 53 permit tcp dst eq 25 deny ip any
© 2014 Cisco and/or its affiliates. All rights reserved. 31
! !
FAILURE
MAC Address
00:18:F8:46:53:D7
802.1x
CONNECTED
MAC Address
00:18:F8:46:60:D7
802.1x
CORPORATE RESOURCES
REPORT ANALYSIS
ALLOW
ALLOW
ALLOW
ISE
ALLOWED
POLICY
SiSi
SiSi SiSi
SiSi
Discovery: erlaubt Zugriff für alle Geräte, aber es erfolgt Logging der Zugriffsregeln
Correct: Auswertung der Logs, Korrektur fehlerhafter Aktionen
Activate: Zugriffsregeln auf den Netzwerkkomponenten aktivieren
© 2014 Cisco and/or its affiliates. All rights reserved. 32
VLAN-SGT
IP-SGT
Port Profile
Port-SGT
IPv4 Prefix Learning
IPv6 Prefix Learning
IPv6 Prefix-SGT
IPv4 Subnet-SGT
802.1X
MAB
Web Auth
Profiling
Addr.Pool-SGT
VLAN-SGT
Data Center/ Virtualization
Benutzer/Gerät/Standort Cisco Access Layer
ISE
NX-OS/ CIAC/
Hypervisors
IOS/Routing
Campus wired/wireless & VPN Access
Business Partners & Supplier access controls
• Cisco TrustSec entkoppelt die Netzwerktopologie von der Security Policy
• Änderung von Layer 2 oder Layer 3 Konzepten oder auch der WAN Struktur habe keine Auswirkung auf die Anwendung der Sicherheitsrichtlinien
• Verschiedene Arten der Identifikation im Access Bereich klassifiziert Resourcen in verschiedene Security Groups
• Im Rahmen der Autorisation werden Benutzer und Geräte kontrolliert in das Netzwerk geschaltet
• Alle Komponenten der Infrastruktur sind “Identity-aware” und können in ein Sicherheitskonzept integriert werden
Thank you.