Cisco ISE

в управлении доступом к сети

Александр Стрельцов

Сетевая Академия ЛАНИТ

astreltsov@academy.ru

12.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.

Управление доступом

Корпоративная сеть не ограничена помещением офиса.

Управление доступом

Необходима технология ориентированная на целостный

подход к защите доступа к сети и, позволяющая:

• Простую интеграцию и обеспечение безопасности всех устройств.

• Точную идентификацию всех пользователей и устройств

подключѐнных к сети.

• Централизованное, зависимое от контекста управление

политикой, позволяющее контролировать доступ любых

пользователей из любого места и с любых устройств.

Безопасный контроль доступа

Cisco ISE – высокопроизводительное и гибкое решение для

контроля доступа с учётом контекста.

Безопасный контроль доступа

Компоненты решения по защите доступа.

Cisco ISE

Cisco ISE реализует гибкие централизованные сервисы управления

доступом к сети.

Cisco ISE

Cisco ISE как политическая платформа Процесс принятия решений.

Способы внедрения Cisco ISE

Персона Описание Символ

Администрирования Интерфейс для настройки

политики, которые автоматически

передаются другим компонентам

Сервиса политики Механизм принятия политических

решений.

Мониторинга Интерфейс для регистрации

событий и составления отчѐтов.

Способы внедрения Cisco ISE

.

Элементы политики в Cisco ISE

Политика – это набор условий и результат.

Условия состоят из:

•Атрибута,

•Оператора,

•Значения.

Два типа политики:

•Простая;

•Опирающаяся на правила.

Cisco ISE аутентификация

Условия аутентификации в Cisco ISE

Разрешѐнные протоколы в Cisco ISE

Разрешѐнные протоколы – это результат выполнения

политики аутентификации.

Настройка или создание правил аутентификации

Авторизация в Cisco ISE

Политика авторизации в Cisco ISE

Профиль авторизации в Cisco ISE

Профиль авторизации состоит из разрешений.

Политика авторизации в Cisco ISE

Политика авторизации состоит из одного или более

правил.

Правило имеет имя, параметры условий контента и ссылку

на профиль авторизации.

Настройка профиля авторизации в Cisco ISE

Профиль авторизации объединяет элементы политики, которые

будут применены к сеансу клиента.

Настройка правил политики авторизации в Cisco

ISE

Правило авторизации с именем Default - последнее в политике

авторизации. Управляет запросами клиентов, которые не

соответствуют ни одному существующему правилу политики.

Cisco TrustSec

Cisco TrustSec включает SGT и MACsec.

Функции SGT можно разбить на три категории:

Классификация назначает SGT пользователю или серверу.

Транспортировка связывает группу безопасности с трафиком

проходящим через сеть.

Применение реализует политику запрета или разрешения по SGT

источника и назначения.

Классификация SGT

Таг – это идентификатор привилегий источника (пользователя,

устройства или объекта).

ISE поддерживает динамическое и статическое тагирование.

SGT транспорт

SGT распространяется в заголовке Cisco Meta Data (CMD) Ethernet

фрейма

Оборудование должно поддерживать inline SGT

Дополнительное шифрование MACsec

Применение политики с помощью SGACL

Определение группы безопасности

Группа безопасности – это набор устройств, которые используют

общую политику защиты.

ISE автоматически назначает 16-битовый SGT.

MACsec

Гостевые сервисы в Cisco ISE

Гостевые сервисы в Cisco ISE охватывают полный жизненный цикл

учѐтных данных гостей.

Гостевые сервисы ISE предоставляют настраиваемые порталы для

гостей и спонсоров.

Гостевые сервисы и WebAuth

Cisco ISE включает гостевые сервисы с помощью функции WebAuth.

Приложения гостевых сервисов в Cisco ISE

Приложение Описание

Портал администратора основной интерфейс для управления. Облегчает

настройку глобальной политики для спонсоров и

гостей.

Портал спонсоров облегчает настройку и поддержку учѐтных записей

гостей.

Портал гостевых

пользователей

облегчает регистрацию гостевых пользователей.

Включает экран для входа, экран с допустимой

политикой использования, экран для изменения

пароля, экран само-регистрации.

Сервис posture в Cisco ISE

Проверяет конечное устройство на соответствие

требованиям политики безопасности организации.

Функциональная область Описание

Предоставление клиента Автоматизирует установку и обновление NAC

агента.

Политика posture Определяет термины соответствия и

несоответствия политике безопасности

организации.

Политика авторизации Определяет разрешения в зависимости от

состояния конечного устройства: unknown;

compliant; noncompliant.

Сервис posture в Cisco ISE

Сервис posture в Cisco ISE

Есть два типа NAC агентов, постоянный агент и Web агент.

Сервис posture в Cisco ISE

Условия posture используются для проверки определѐнных

атрибутов в системе клиента.

Сервис posture в Cisco ISE

Строительные блоки политики Posture

Политика posture определяет технические требования, которые

описывают требования для соответствия.

Политика состоит из правил. Каждое правило имеет уникальное имя

и одно или несколько условий.

Условия могут быт простыми или составными и относятся к

нескольким категориям: файлы, регистры, сервисы, приложения,

сложные регулярные условия, антивирусы и антишпионы.

Настройка условий Posture

Условия Posture используются для проверки состояния ПО на

конечном устройстве клиента.

Настройка исправлений

Исправление необходимо для защиты устройства.

Запускается если система не соответствует требованиям.

Восстановление может быть выполнено вручную или автоматически.

Настройка требований posture

Требования определяют жизненный статус конечного устройства.

Cisco ISE имеет восемь встроенных требований.

Эти требования предоставляют стартовую точку для определения

политики.

Настройка политики авторизации для posture

Состояние может быть установлено в процессе исследования

атрибута PostureStatus.

Атрибут может иметь одно из трех значений: Compliant,

NonCompliant или Unknown.

Сервис профилирования в Cisco ISE

Основная цель сервиса профилирования – это классификация

конечных устройств.

Профиль определяет группу идентичности устройства, которая

является атрибутом, используемым при определении условий в

политике аутентификации и авторизации.

Сервис профилирования в Cisco ISE

Сервис профилирования в Cisco ISE

Сенсор – это метод, используемый для сбора атрибутов конечных

устройств, находящихся в сети. Сенсоры позволяют создавать и

модернизировать профили конечных устройств.

Политика профилирования

Сервис профилирования исследует атрибуты конечных устройств и

назначает устройства в группы идентичности. Логика исследования и

назначения определяется в политике профилирования. Эта политика

использует комбинацию условий для идентификации устройств.

Настройка политики авторизации для

использования профайлера

Сервис профилирования используют для дифференциации доступа

к сети опираясь на профиль устройства.

Cisco ISE заключение

Снижение рисков связанных с безопасностью информации

• В корпоративной сети только доверенные устройства

• Упрощение и централизация политики сетевого доступа

• Внедрение средств автоматизации сетевых политик доступа

Снижение операционных затрат

• Политики привязаны к пользователю, а не к месту и способу доступа

• Повышение наблюдаемости и простоты управления сетевым доступом

• Внедрение качественно новых средств автоматизации и контроля

• Интеграция понятия контекст в широкий набор сетевых решений и решений информационной

• безопасности

Благодарю за внимание!

УЦ «Сетевая Академия ЛАНИТ»

www.academy.ru