Михаил Кадер Инженер

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Сквозное управление
доступом - от
пользователя и
дальше 
Михаил Кадер
Инженер
© 2017 Cisco and/or its affiliates. All rights reserved.

3. Обзор

4. Головная боль ИТ
Потеря контроля и контекста
Сложность и фрагментированность
Изменение ландшафта угроз
Скорость развития технологий
Новые требования бизнеса – очередные
вопросы управления и безопасности
4
И новые проблемы
Ошибки ручного
администрирования
Рост
унифицированного
персонала
Рост
операционных
затрат
Фрагментарная
защита
Нехватка
времени
Проблемы сетевой
инфраструктуры и безопасности
Изменения бизнеса и
технологий
Новые возможности, но …
Приобретения и
партнерство
Облака
Интернет
вещей
Цифровизация
BYOD
Глобализация
Мобильность
Скорость изменений Нормативные
требованияСнижение стоимости

5. Сегментация нужна, сегментация важна!
5
“Eataly’s network segmentation prevented
a POS compromise at one store from
compromising systems at the chain’s 26
other locations across the globe”
“Network segmentation… is one of
the most effective controls an
agency can implement to mitigate
the second stage of a network
intrusion, propagation or lateral
movement”“Effective network
segmentation… reduces the
extent to which an adversary can
move across
the network”

6. TrustSec – упростим управление защитой!
Масштабируемая и гибкая технологий сегментации, охватывающая более 40 серий продуктов
компании Cisco и обеспечивающая динамическое ролевое управление доступом во всей сети
6
Deny Employee to FinancialServer
Permit Developer to Developer Server
Permit Guest to Web
Permit Developer to Developer Server
Сквозные политики
Key
Employee Tag
Developer Tag
Voice Tag
Non-Compliant Tag
SGACLs
Сотрудник Серверы
разработчиков
Простота управления
доступом
Ускоренное
администрирование
Простота управления доступом
Удобное управление политиками и
обеспечение соответствия за счет
предоставления доступа в зависимости
от должностных обязанностей
Ускоренное администрирование
Более быстрое добавление и
перемещение пользователей,
упрощение настроек МСЭ при
добавлении серверных ресурсов
Интернет
Серверы
бухгалтерии
Сквозные политики
Централизованное управление сетевой
сегментацией, вне зависимости от типа
подключения
Корпоративная сеть
Гости Сотрудники
Разработ-
чики
Не соответ-
ствующие
8
Employee Info Tag
Developer Server Tag
Financial Server Tag
HTTP Tag

7. Назад к основам

8. TrustSec как основа программно-управляемой
сегментации
8
Узел
Управление метками
Управление политиками
Security
Group
Tags
Исполнение
Исполнение
Защита
от угроз
Распространение
В канале передачи
Классификация
Статическая
Идентификация
Динамическая
Сеть с поддержкой SGT
Централизованное
управление
Программная сегментация
Открытость
Heterogeneous environment
Внеполосное
(SXP or pxGrid)
Switch
Router
Firewall

9. Классификация

10. Управление групповыми метками
безопасности
Группы безопасности для определения ролей и политик
10
Printer 1 Printer 2
SGT_Guest SGT_Building
Management
SGT_Employee
Guest 1
Guest 2
Guest 3 Guest 4
Employee 1 Employee 2 Employee 3
Employee 4
SGT_FinanceServer SGT_Printers
Fin 1 Fin 2
Temperature
Device 1
Temperature
Device 2
Surveillance
Device 1
Surveillance
Device 2
50°
50°
• Объединение в группы на
основании требований
бизнеса для обеспечения
целостной политики
доступа вне зависимости
от сетевого подключения
• Использование таких
атрибутов, как
местоположение и тип
устройства для
назначения в группу

11. Гибкие методы классификации
11
Динамические механизмы
Статические механизмы
VPN
V. Port
Profile
IP Address VLANsSubnets
L3
Interface
Port
ACI (App-
Centric)
Пользователи и
мобильные устройства
Пользователи
Внутренняя
инфраструктура ИТ
Внутренние ресурсы
Внешние партнеры и
т.п.
Партнеры и т.п.
СтатическиеДинамические
SGT #1
SGT #2
SGT #3
SGT #4
Виртуалки
Passive ID
(Easy
Connect)
MAB,
Profiling
802.1X.
WebAuth
pxGrid &
REST APIs

12. Распространение
TSECSEC-2222

13. Как передать SGT?
13
В канале передачи
• Ethernet
• MACsec on Ethernet
• IPSec
• DMVPN
• GETVPN
• VXLAN
Platform Exchange Grid
(pxGrid)
• Web Security Appliance (WSA)
• Firepower Threat Defense
• Партнерские продукты
SGT eXchange Protocol (SXP)
• Network Devices
• ISE
• IETF
• Open Daylight

14. В канале передачи
14
Branches
Inline tagging
Untagged
ISE
• Быстро и масштабируемо
при наличии аппаратной
поддержки
• SGT передаются в канале
данных на полной скорости
канала
• Пошаговая передача
(2 = network devices sgt value)
interface TenGigabitEthernet1/5/13 cts manual
policy static sgt 2 trusted

15. Внеполосная передача SGT
15
Через любую сеть IP
Firepower
NGFW
SXP
pxGrid
SXP IP-SGT Bindings
IP Address SGT SRC
10.1.100.98 50 Local
ISE
Ecosystem
vendor
products
• Подписка на события
TrustSec используя pxGrid
• Информация о
«связках» IP-SGT
передается через pxGrid
pxGrid
• Не зависит от «железа»
• Распространение от ISE
или устройства доступа до
любой точки контроля
SXP
www
WSARouter 2
Router 1
Switch 1ANY network
device ISE
supports
Generate IP-SGT
mappings from ISE
Send IP-SGT mappings to
SXP & pxGrid peers

16. Использование

17. Применение политик
17
Application Servers
Database Servers
FIB Lookup
Destination MAC/Port
SGT 30 Destination Classification
App_Svr: SGT 20
DB_Svr: SGT 30
End user authenticated
Employee: SGT 5
Destination
Source
App_Servers
(20)
DB_Servers
(30)
Employees (5)  
BYOD (10)  
Unknown (0)  
10.1.100.100
SGT: 20
10.1.101.100
SGT: 30
SRC: 10.1.10.100
DST: 10.1.100.100
SGT: 5
5
SGFW SGACL

18. ISE Egress Policy Matrix (SGACL)
18
permit tcp dst eq 6970 log
permit tcp dst eq 6972 log
permit tcp dst eq 3804 log
permit tcp dst eq 8443 log
permit tcp dst eq 8191 log
permit tcp dst eq 5222 log
permit tcp dst eq 37200 log
permit tcp dst eq 443 log
permit tcp dst eq 2748 log
permit tcp dst eq 5060 log
permit tcp dst eq 5061 log
permit tcp dst range 30000 39999 log
permit udp dst range 5070 6070 log
deny ip log

19. ISE 2.1 – промежуточные матрицы
19
• Контролируемое
внедрение изменений
• Этапность
• Возможность возврата
• Утверждение внесения
изменений

20. Множественные матрицы политик (ISE 2.2)
Policy Applied to ALL Devices

21. SGACL для масштабируемой сегментации
21
•Новый сетевой узел
•Коммутатор запрашивает политики
•Политики загружаются автоматически
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
Dev_ServersProd_Servers
Switches request
policies for assets they
protect
SGT=3
SGT=4
SGT=5
Switches pull down
only the policies they
need
• Итак: программно-управляемая сегментация
• Централизация управления
• Политики безопасности не зависят от
сетевой топологии
• Нет индивидуальной настройки политик на
оборудовании
• Единая точка для контроля политик доступа
по всей сети

22. Применение программно-управляемой
сегментации

23. Практически любые сценарии
23
Сегментация в ЦОД
Сегментация сетей предприятия
и офиса
Контроль доступа
пользователей к ресурсам ЦОД

24. Доступ пользователя в ЦОД
24
Здание
ЦОД с
поддержкой
TrustSec
Головной офис
Employee DeveloperVoice
ISE
Router
Employee
Non
Compliant
Employee Tag
Developer Tag
Guest Tag
Non-Compliant Tag
Guest
Employee
TS-
enabled
DC Remediation Internet
Employee
Developer
Guest
Non-
Compliant
✓ X ✓ ✓
X X ✓ ✓
X X ✓ X
Non
CompliantEmployee
Non
Compliant
SwitchSwitch
• Ролевой контроль доступа
• Автоматизацию и контроль BYOD
• Сквозное соответствие требованиям
✓ ✓ ✓ ✓
Voice
TrustSec обеспечивает:
Политики в действии:
Домен
TrustSecProd server
Dev server
Домен ACI
ACI Data Center
Dev server
Prod serverAPIC
DC

25. Сегментация сети предприятия и офиса
25
Employee Developer Data center Internet
Employee
Developer
Building
Mgmt
Non-
Compliant
TrustSec обеспечивает:
Router
Employee Tag
Developer Tag
Building Mgmt Tag
Non-Compliant Tag
Switch
Switch
Здание Головной офис
Удаленный офис
✓ X X ✓
X X X ✓
X X X X
✓ ✓ ✓ ✓
HQ
Data
Center
Политики в действии: Switch
Non
Compliant
Non
Compliant
Non
Compliant DeveloperVoiceVoice
Employee
EmployeeEmployee
Building
Mgmt
• Ролевой контроль доступа везде
• Сквозное соответствие нормативным
требованиям
• Ограничение распространения атак

26. Сегментация ЦОД
26
Database Servers
Web Servers
Storage
Web Servers
TrustSec обеспечивает:
Политики в действии:
Switch
r
Web
Servers
Middleware
Servers
Database
Servers Storage
Web
Servers
MiddlewareS
ervers
Database
Servers
Storage
Middleware
Servers
✓ ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ X X
• Простота правил МСЭ
• Соответствие нормативным требованиям
• Зонирование серверов
• Микро сегментацию
• Сегментацию физических и виртуальных
ресурсов

27. TrustSec
Программно-управляемая сегментация от
пользователя до ЦОД

28. Доступ пользователей и устройств в ЦОД
28
Основной сценарии внедрения
TrustSec
Почему
Упрощение политик и переход на
ролевой контроль доступа
Снижение операционных затрат
Внедрение на границе ЦОД
Разработка
Тестирование
Соответствие
Zones
Production
Commerce
Development
Compliance
Mail
App 1
App 2
App
Portal
DB
Dev 1
Dev 2
Finance BI
Data Storage
VMS A
VMS B
Data Center
Employee
Auditor
BYOD
BYOD

29. Централизованное управление
классификацией в ISE
29
Передача «привязки» IP-SGT
на устройство через SSH
Передача «привязки» IP-SGT
через SXP

30. Основные методы классификации пользователей
30
Подсеть в SGT
4
• Легко начать
• Аутентификация
пользователей на
нужна
• Централизованное
администрирование и
управление
Достоинства
Corporate
Voice
Guest
Employee
Guests
Corporate
Voice
Guest
Employee
Guests
(Любое устройство, поддерживаемое ISE)
ISE SXP
SSH
(Поддержка TrustSec)
IP Address SGT
10.1.10.0/24 Employee
10.2.10.0/24 Guest

31. Подсеть в SGT
31
Устройство доступа с поддержкой TrustSec
access# show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
=======================================
=====
10.1.10.0/24 4 CLI
11.2.20.0/24 6 CLI
access# show cts environment-data
Security Group Name Table:
0001-19 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests…
Corporate
Voice
Guest
Employee
Guests
SSH
IP Address SGT
10.1.10.0/24 Employee
10.2.10.0/24 Guest

32. Классификация пользователей
32
Устройства доступа не поддерживают SGTs
ISE SXP
IP Address SGT
10.1.10.1 Auditor
• Не зависит от «железа»
• Динамическое
назначение SGT
• Прямая передача
«привязки IP-SGT» на
устройство контроля
Достоинства

33. Настройка ISE SXP
33
Routers Firewall Switches
SXP
ISE
• Создание привязки IP-SGT на
ISE
• Создание привязки основе
классификации по протоколу
RADIUS
• Привязка IP-SGT может
создаваться сторонними
решениями

34. Классификация пользователей
34
Устройства с поддержкой TrustSec
ISE
• Широкая поддержка
методов
аутентификации -
802.1x, Web Auth, MAB,
Easy Connect
• Точность применения
• Возможность прямого
назначения SGT
• Масштабируемость
Достоинства

35. Динамическое назначение SGT в профиле
авторизации

36. Динамическая классификация с 802.1X
36
Layer 2
Клиент Устройство ISE
Layer 3
EAP Transaction
Authorisation
DHCP
EAPoL Transaction RADIUS Transaction
Authentication
Authorized
0 Policy
Evaluation
DHCP Lease:
10.1.10.100/24
ARP Probe IP Device
Tracking
Authorised MAC:
00:00:00:AB:CD:EF
SGT = 5
Binding:
00:00:00:AB:CD:EF = 10.1.10.100/24
1
2
3
SRC: 10.1.10.100 = SGT 5
00:00:00:AB:CD:EF
cisco-av-pair=cts:security-group-tag=0005-01
3560X#show cts role-based sgt-map all details
Active IP-SGT Bindings Information
IP Address Security Group Source
=============================================
10.1.10.1 3:TrustSec_Devicea INTERNAL
10.1.10.100 5:Employee LOCAL
SGT
For Your
Reference
For Your
Reference

37. Использование Easy Connect
37
(Любой с поддержкой ISE)
ISE
MSFT Active
Directory
Network
User Mapping
from AD
(Auditors Group)
Auditor
AuditorDHCP DNS
NTP AD
DOMAINbob
No 802.1X
1
2 3
MAB
• Без клиента
• Любой коммутатор
Достоинства
• ISE 2.1
• Active Directory
Условия

38. Классификация серверов
38
Nexus 1000v
DC Dist/Access
Database Servers
Web Servers
• Nexus 1000v – привязка SGT к Port Profile или IP
• Nexus 7000 – привязка SGT к VLAN или IP
• Nexus 6000/5600/5500 – привязка SGT к порту

39. interface Ethernet1/20
cts manual
policy static sgt <value>
no propagate sgt
Примеры статической привязки
cts role-based sgt-map A.B.C.D sgt value
cts role-based sgt-map A.B.C.D/nn sgt SGT_value
Subnet to SGT Mapping
Port to SGT Mapping
cts role-based sgt-map vlan-list VLAN sgt SGT_value
VLAN to SGT Mapping
Necessary command on a host facing port
IP to SGT Mapping
39

40. Групповые политики
40
Source Destination Action
IP Sec Group IP Sec Group Service Action
Any Employee Any Biz Servers HTTP Allow
Any Partner-A Any Dev Apps HTTPS Allow
Any Supplier-B Any Any TCP Deny
Any Any Any Any Any Deny
SGACL:
SGFW:Destination
Source
App_Servers CC_Servers
Employees (5)  
BYOD (10)  
POS Systems  

41. TrustSec и стандарт PCI

42. TrustSec как средство соответствия PCI
42
Используя сегментацию TrustSec можно обеспечить выполнение ряда требований стандарта
PCI (Payment Card Industry).
Обеспечить сегментацию для узлов категорий 1 и категорий 2:
Отделить терминалы оплаты и считыватели пластиковых карт от остальных сетевых устройств.
Ограничить доступ к серверам доступа “jump servers”, которые имеют доступ к карточным серверам
(CDE - Cardholder Data Environment).
МСЭ на основании групп безопасности защищает ресурсы ЦОД, обрабатывающие платежные
транзакции.
Снижение необходимости применять МСЭ и VRF-ы для защиты CDE.
Возможность классифицировать, изолировать и управлять доступом системных
администраторов, устройств доступа (jump boxes), серверов, систем обработки финансовых
и платежных транзакций
Централизованное управление политиками
Четкое разделение границ между зонами и отделение от других сегментов, не имеющих
отношения к обработке платежной информации

43. ASA Firewall Policy
TrustSec для PCI
43
POS
Store ABC
Backbone
Floor 1 SW
Floor 2 SW
Cardholder Data
Environment
DC FW
POS
PCI
Server
ISE
Jump
Servers
OS Type: Windows 8
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Windows 7 Embedded
User: George
AD Group: Point-of-Sales Admin
Device Group: POS_Term
Security Group = PCI Device
Access Privilege
Authorization with
Security Group
PCI Scope
Stealthwatch
Flow Analytics
• Ограничение доступа к данным
владельцев карт через МСЭ SGT
(SGFW)
• Отделение сегмента платежных
терминалов от других устройств за
счет фильтров по SGT на
коммутаторах (SGACL).
• Использование Stealthwatch для
контроля сегментации.
Employee
Workstation
Static
Mapping
Switch
SGACL

44. Контроль доступа к Jump серверам
44
POS
Floor 1 SW
Floor 2 SW
Cardholder Data
Environment
DC FW
PCI
Admin
PCI
Server
ISE
Jump
Servers
Employee
Workstation
OS Type: Windows 10
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Windows 10
User: Admin
AD Group: PCI Administrators
Device Group: Admin Workstation
Security Group = PCI_Admin
Access Privilege
Authorization with
Security Group
PCI Scope
ASA Firewall Policy
Stealthwatch
Flow Analytics
• Только Jump серверы имеют
доступ в серверам PCI.
• Только администраторы PCI и
аудиторы имеют доступ к Jump
серверам.
• Администраторы PCI
изолированы от других
сотрудников.
OS Type: XenDesktop
User: Admin
AD Group: PCI Administrators
Device Group: PCI Jump Server
Security Group = PCI_Jump
Store ABC
Backbone
Static
Mapping

45. Контроль доступа к общим серверам
45
• Сотрудникам нужен доступ к общим
серверам, таким как DNS, и он также
нужен серверам CDE.
• Общие серверы отделены в отдельные
сегменты от серверов CDE и доступ к
ним идет через SGFW.
• Также доступ к общим серверам может
быть внедрен на уровне коммутаторов,
если надо, используя SGACL.
Cardholder Data
Environment
DC FW
PCI
Server
Jump
Servers AD DHCP DNS
Shared
Services
Employee
Workstation
ASA Firewall Policy
ISE
Access Privilege
Authorization with
Security Group
Static Mapping
OS Type: Windows 10
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Server 2012
Security Group = Shared_Services

46. Анализ применения TrustSec для
сегментации PCI
46
http://bit.ly/pci-trustsec-report

47. Контроль доступа между пользователями

48. Обычная сегментация
48
Voice
ЦОД
Магистраль
VLAN Addressing DHCP Scope
Redundancy Routing Static ACL
ACLs
Non
Compliant
Supplier Employee Voice Non
Compliant
Supplier EmployeeVoice Non
Compliant
Supplier Employee
• Политики доступа на основе сетевой
топологии
• Высокая стоимость и сложность внесения
изменений

49. Сегментация с TrustSec
49
Supplier
Employee
Non Compliant
• Сегментация базируется на SGT, и не
зависит от топологии (VLAN, IP
подсети)
• Микросегментация (разделение
устройств даже внутри одного VLAN)
Destination
Source
Suppliers
(100)
Employees
(105)
Non Compliant
(110)
Suppliers (100) Permit all Deny all Deny all
Employees (105) Deny all SGACL-1 Deny all
Non Compliant
(110)
Deny all Deny all Deny all

50. Сегментации в сети зданий и филиалов
50
LoB1 Production
Users
LoB1 Developers
Protected Assets
Guests Internet Access
LoB1 Production
Users
Malware
Blocking
DENY PERMITDENY
PERMIT
Collab Apps
LoB1 Developers
Source
PERMIT
Collab Apps
DENY PERMITDENY
Malware
Blocking
DENY DENY DENY PERMIT
Malware
Blocking
DENY PERMITDENYDENYDENY
LoB = Line of Business
Policy
View
Malware Blocking ACL
Deny tcp dst eq 445 log
Deny tcp dst range 137 139 log
Permit all
LoB2 Employees
LoB2 Employees
Guest
MSFT Active
Directory
Database Servers
Web Servers
Classification
Enforcement
Logical
View

51. Использование на маршрутизаторах

52. Программно-управляемая сегментация
на маршрутизаторах
52
Destination
Source
BYOD
(4)
Employees
(5)
Employees
(5)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
BYOD (4)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
www
WSA
FTD
Stealthwatch
• Версия ПО: 16.3.2
• Устройства:
• ASR1006,ASR1004, ASR1009-X, ASR1006-X, ASR1001-X,
ASR-1002-X, ASR-1002-HX
• ISR4300, ISR4400
• CSR-1000v
Достоинства
• Сквозная поддержка TrustSec на маршрутизаторах и
коммутаторах
• Получение политик от ISE (применение после ZBFW)
• Централизация политик для всех точек распределенной сети
• Сегментация между филиалами

53. Масштабируемая сквозная сегментация
53
Branch 2 Campus
Employee
Destination
Source
BYOD
(4)
Employees
(5)
Employees
(5)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
BYOD (4)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
Non-TrustSec
capable switch
Non
CompliantBYODEmployee
Building
MgmtQuarantine
Branch 1
Non
CompliantBYODEmployee
Building
Mgmt

54. Блокирование ВПО

55. Понимание атаки
55
enterprise network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly3
Bot installed, back door established and
receives commands from C2 server
4
Scan LAN for vulnerable hosts to exploit &
retain alternative back door + find privileged
users
5
Privileged account found. Occupy directory
service. Access to database backup, then
copy them to staging server
6
Admin Node
Zip data, slice it to multiple files, and send
those out to external site over HTTPS
7
System compromised and data breached.
Retain backdoor to collect more targeted
data, otherwise erase all traces or wipe
whole disk (e.g. Shamoon malware)
8
Lateral Movement
(Scanning, Pivoting, Privilege Escalation,
Brute Force, etc.)

56. Как защититься после взлома?
56
enterprise network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2Server
Spear Phishing
(you@gmail.com)
2
Victim clicks link unwittingly3
Bot installed, back door established and
receives commands from C2 server
4
TrustSec to block P2P scanning, OS Finger printing activity,
and exploitation.
5
Admin NodeИспользуем
инфраструктуру для
уменьшения зоны атаки

57. Cat 3850
User to User Policy Enforcement:
Wired: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E , Cat3850
Wireless: Catalyst 3650, Catalyst 3850 and WLC 5760
Защита от ВПО
57
Endpoint A
Exploits by sending payload2
Segment A
1.1.1.101 1.1.1.102
DHCP
DHCP
Endpoint B
802.1X
Name MAC Address SGT IP Address
Endpoint A 00:00:00:00:00:0a 7 1.1.1.101
Endpoint B 00:00:00:00:00:0b 7 1.1.1.102
SGT can be assigned via RADIUS
attributes in 802.1X Authorization
OR statically assign to VLAN
Cisco’s IP Device Tracking probes
endpoint IP Address and binds it to
SGT
1 Scan for open ports / OS
SG-ACL Egress Policy
SRC DST 7
7 Anti-Malware-ACL
Anti-Malware-ACL
deny icmp
deny udp src dst eq domain
deny tcp src dst eq 3389
deny tcp src dst eq 1433
deny tcp src dst eq 1521
deny tcp src dst eq 445
deny tcp src dst eq 137
deny tcp src dst eq 138
deny tcp src dst eq 139
deny udp src dst eq snmp
deny tcp src dst eq telnet
deny tcp src dst eq www
deny tcp src dst eq 443
deny tcp src dst eq 22
deny tcp src dst eq pop3
deny tcp src dst eq 123
deny tcp match-all -ack +fin -psh -rst -syn -urg
deny tcp match-all +fin +psh +urg
permit tcp match-any +ack +syn
SG-ACL for SGT 7 is applied statically
on switch or dynamically
downloaded from ISE.
Filtering open port / OS fingerprint
scanning prevents attacker to guess
Application / OS specific
vulnerabilities
SG-ACL stops unnecessary P2P
communication, including one used
for exploitation
Distribution
SW
Attacker seeks other victims3

58. Программно-управляемая сегментация в
ЦОД

59. Классический контроль доступа и
сегментация в ЦОД
59
• Разрозненные методы управления правилами
• Внедрение политик доступа в множестве мест
• Множественные изменения конфигурации при добавлении новых
ресурсов
N2K N1Kv
N7K-A N7K-B
N5K-A
Firewall Firewall
N5K-B
vSwitch
Core
1. МСЭ
Вход/выход
Между группами серверов
2. Фильтры
IP-Based Access Control Lists
Server VLANs
Private VLANs
Possibly VRFs
Зависят от топологии!

60. TrustSec для сегментации и контроля доступа в
ЦОД
60
• Общие объекты для МСЭ и фильтров
• Сквозное управление
• Централизация и автоматизация управления фильтрами
• Масштабируемость
N2K N1Kv
N7K-A N7K-B
N5K-A
Firewall Firewall
N5K-B
vSwitch
Core
1. Security Group Firewall
2. Security Group ACLs
Политики фильтрации по SGT и адресам IP
Сегментация в виде простой матрицы доступа
Применяется ко всем коммутаторам Nexus –
масштабируемо и просто

61. Зоны безопасности
61
VLAN 100
Risk Level 1
ISE• VLAN-ы часто соответствуют зонам безопасности
• Во многих случаях между разными зонами применяются
фильтры
• Применение фильтров SGACL снижают использование TCAM
• Переход от обычных фильтров ACL на SGACL дает
экономию от 60% to 88%
• Другой трафик может продолжать контролироваться МСЭ
• VPC и Fabric Path поддерживаются с версии 7.2
Campus Network
PCI_Web PCI_App
LOB_App LOB_App
N7K-DST1(config)# vlan 100
N7K-DST1(config-vlan)# cts role-based sgt 100
N7K-DST1# show cts role-based sgt-map
IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION
10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured
10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured
VLAN 200
Risk Level 1

62. Внедрение на Nexus 1000V
62
VMVM VM VM
Nexus
1000V
VEM
Server
VMVM VM VM
Nexus
1000V
VEM
Hypervisor
TOR filters traffic based on
SG-ACLs
Nexus 1000V VSM
SXP for Firewall
SXP comes from VSM
(not VEM)
TOR filters traffic
based on SGACLs
N1000V:
Assigns SGT based on
Port-profile Assignments
VEM filters traffic
based on SG-ACLs
PCI
ISE
PCI
Hypervisor
Server
PCI
Inline Tagging on
VEM Uplinks
TrustSec Policy from
ISE
N1000v 5.2(1)SV3(1.1) - inline
tagging and SGACL Enforcement

63. Комбинированное применение SGACL и
SGFW
63
Risk Level 1
ISE
Risk Level 2
PCI_Web PCI_App PCI_DB
SXP SXP
LOB2_DB
PCI_Users
• SGACL на коммутаторах для применения политик внутри зон безопасности
• SGFW (ASA) для применения политик между зонами безопасности

64. TrustSec + ACI

65. Управление групповыми политиками в рамках всего
предприятия
65
Сквозная политика безопасности
Упрощение управления защитой
Сквозная сегментация
Voice Employee Supplier BYOD
Campus / Branch / Non-ACI DC
TrustSec Policy Domain
Voice
VLAN
Data
VLAN
Web App DB
ACI Fabric
Data Center
APIC Policy Domain
APIC
DC
ISE 2.1
Домен ACIДомен TrustSec

66. TrustSec и ACI
66
TrustSec ACI
Идентификатор
сегмента
16-bit Security Group Tag (SGT) 16-bit Endpoint Group (EPG)
Классификация Динамическая и статическая Динамическая и
статическая
Распространение SGT-over-Ethernet (Inline
tagging), SXP, LISP, pxGrid, IPSec
VxLAN
Реализация SG-ACL, SG-Firewall
SG-based-PBR, SG-QoS
Contracts: ACL, QoS, Redirect
(Service chaining)
Охват Вся сеть ЦОД
Управление Cisco ISE Cisco APIC

67. Настройка интеграции с ACI в ISE
67
ACI Settings:
• Controller
• Credentials
• Tenant name defined in ACI
• L3 Routed Network defined in
ACI

68. Группы TrustSec и ACI
68
ISE Dynamically provisions TrustSec
Security Groups in ACI Fabric
ACI
TrustSec
Группы безопасности
Группы TrustSec представлены как внешние
EPG
APIC
DC Максимум: 200 групп

69. Передача групп TrustSec в ACI
69

70. Передача групп TrustSec в ACI
70

71. Детальный контроль доступа
71
Data CenterCampus / Branch
BYOD
Employee Supplier
APIC
DC
Shared Policy Groups
Source Criteria Destination Criteria Servic
e
Action
IP SGT IP SGT
any Contractor any any Permit
ASA- SGFW
(outside the fabric)
Outside
Contract
App
Contract
Contract
App
Web
BYOD
Employees
Contract
AppSupplier
WEB_EPG192.168.1.0/24
192.168.2.0/24

72. Целостное управление политиками
между ЦОД
72
Web
Servers
Middleware
Servers
Database
Servers Storage
Web
Servers
MiddlewareS
ervers
Database
Servers
Storage
✓ ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ X X
TrustSec Group-Based Policies
TrustSec Data CenterData CenterAPIC
DC
TrustSec-enabled
data center
ISE
Router
TrustSec
Policy DomainProd server
Dev server
ACI policy domain
ACI Data Center
APIC
DC
Dev server
Prod server
Enterprise Network
Guest
endpoint
Employee
endpoint
Developer
endpoint
Non
Compliant
endpoint
8

73. Информация о приложениях в
политиках TrustSec
73
ISE «обучается» внутренним EPGs и
VM от фабрики ACI
ACI
VM1
VM1000
Домен TrustSec
TrustSec
Фабрика ACI
Политики TrustSec для контроля
доступа к серверам ACI
APIC
DC

74. Информация об группах узлов ACI в
TrustSec
74
• В имя группы добавляется суффикс EPG
• Привязка IP-SGT из ACI может передаваться через SXP на устройства TrustSec и на узлы pxGrid

75. Сквозная сегментация на базе политик
75
User to App Contracts
CDB
Web
Web App DB
Voice Employee Supplier BYOD
ЦОД
Домен APIC
Вся сеть
Домен TrustSec
Общие групповые
политики
APIC
DC

76. Поддержка сторонних производителей

77. Open TrustSec
77
• SXP and Inline Tagging submitted to the IETF :-
• ‘Source-Group Tag eXchange Protocol’ IETF Informational Draft
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
• SGT can be carried in standards-track Network Services Header (NSH)
• Allows for SGTs to be mapped to Source Class and Destination Class
• https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01

78. Open Source TrustSec
78
SXP is now included in the Open Daylight SDN Controller
https://www.opendaylight.org/whats-new-lithium
Allows other vendors to integrate at Controller level instead of network
Open Source SXP implementation now available via Github
https://github.com/opendaylight/sxp
Allows other vendors to use to implement in their own products (e.g. we use this in ISE 2.0)

79. Check Point Software
79
CheckPoint получает информацию о
метках SGT для различных групп через
pxGrid (также как WSA и FTD).
Web Security Appliance (WSA)
Ecosystem
Vendor
products
Firepower
Threat
Defense

80. Bayshore Networks
80
Internet
Remote Access VPN Users
Per User SGT assignment
from ISE
Assembly
Zone
Пример: разные
индустриальные
партнеры имеют
доступ в разные
зоны
Bayshore IC™
(Industrial Controls)
Gateway
Press
& Weld
Zone
Paint
& Plastic
Zone

81. Дизайн TrustSec
Подходы

82. Дизайн TrustSec
82
Что защищаем
и контролируем
Примеры:
Карточные данные,
Медицинские данные,
Интеллектуальная
собственность
Механизмы
клссификации
Примеры:
Dynamic,
IP-SGT,
VLAN-SGT
И т.п.
Точки внедрения
политик
• Сегментация ЦОД
• Доступ полльзователей
Методы
распространения
• Inline Tagging
• SXP
• DM-VPN
• GET-VPN
• IPSec
• И т.п..
Знание о сетевых узлах
поможет подобрать
нужные методы
классификации и точки их
внедрения
Ваша инфраструктура
поможет определить точки
внедрения политик
Понимание методов
классификации и
возможностей по внедрению
подскажет выбор методов
распространения

83. Итак! Внедряем эффективную
сегментацию!
83
Обнаруживаем и классифицируем узлы:
Классификация и назначение меток SGT с ISE
Понимаем
функционирование
SGT в NetFlow
Stealthwatch
Внедрение политик:
Применение на коммутаторах,
точках доступа,
маршрутизаторах, МСЭ, и т.п.
Мониторинг:
Обнаружение нарушений
политик
Stealthwatch
Сетевая
сегментация
Разработка и
моделирование
политик
SGT

84. И напоследок

85. Матрица поддержки функций TrustSec
85
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html
Поддерживаемые функции и
версии ПО для всей линейки
продуктов компании Cisco

86. Руководства

87. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia

88. Свяжитесь с
нами
Тестируйте
Составьте план
внедрения
Напишите нам на security-request@cisco.com
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших задач и того, как мы можем их
совместно решить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что сделать после семинара?