CISCO Trustsec Builds Secure Síťová uživatelská příručka
Cisco TrustSec buduje zabezpečené sítě zřízením domén důvěryhodných síťových zařízení. Každé zařízení v doméně je ověřeno svými kolegy. Komunikace na spojích mezi zařízeními v doméně je zabezpečena kombinací šifrování, kontroly integrity zpráv a mechanismů ochrany proti přehrání datových cest.Omezení pro Cisco TrustSec
- Poskytování pověření pro chráněný přístup (PAC) se nezdaří a zůstane v zavěšeném stavu, pokud je zadáno neplatné ID zařízení. I po vymazání PAC a konfiguraci správného ID zařízení a hesla PAC stále selhává.
Jako náhradní řešení v Cisco Identity Services Engine (ISE) zrušte zaškrtnutí políčka Potlačit anomální klienty
v nabídce Správa > Systém > Nastavení > Protokoly > Poloměr, aby PAC fungoval. - Cisco TrustSec není podporován v režimu FIPS.
- Následující omezení platí pouze pro model C9500X-28C8D přepínačů Cisco Catalyst řady 9500:
• Ruční konfigurace Cisco TrustSec není podporována.
• Funkce Cisco TrustSec Security Association Protocol (SAP) není podporována.
• Zapouzdření záhlaví metadat Cisco TrustSec není podporováno.
Informace o architektuře Cisco TrustSec
Bezpečnostní architektura Cisco TrustSec buduje zabezpečené sítě zřízením domén důvěryhodných síťových zařízení. Každé zařízení v doméně je ověřeno svými kolegy. Komunikace na spojích mezi zařízeními v doméně je zabezpečena kombinací šifrování, kontroly integrity zpráv a mechanismů ochrany proti přehrání datových cest. Cisco TrustSec používá přihlašovací údaje zařízení a uživatele získané během ověřování pro klasifikaci paketů podle skupin zabezpečení (SG), když vstupují do sítě. Tato klasifikace paketů je udržována pomocí tagging paketů při vstupu do sítě Cisco TrustSec, aby mohly být správně identifikovány pro účely použití bezpečnostních a dalších kritérií politiky podél datové cesty. The tag, volala bezpečnostní skupina tag (SGT), umožňuje síti vynutit politiku řízení přístupu tím, že koncovému zařízení umožní, aby na základě SGT filtrovalo provoz.
Odkazy Cisco TrustSec IEEE 802.1X nejsou podporovány na platformách podporovaných v Cisco IOS XE Denali(16.1.x až 16.3.x), vydání Cisco IOS XE Everest (16.4.x až 16.6.x) a Cisco IOS XE Fuji (16.7.x až 16.9.x), a proto je podporován pouze Authenticator; žadatel není podporován.
Architektura Cisco TrustSec zahrnuje tři klíčové komponenty:
- Autentizovaná síťová infrastruktura – poté, co se první zařízení (nazývané počáteční zařízení) ověří u ověřovacího serveru, aby zahájilo doménu Cisco TrustSec, je každé nové zařízení přidané do domény ověřeno jeho peer zařízeními, která jsou již v doméně. Protějšky fungují jako prostředníci pro ověřovací server domény. Každé nově ověřené zařízení je kategorizováno autentizačním serverem a je mu přiděleno číslo bezpečnostní skupiny na základě jeho identity, role a bezpečnostní pozice.
- Řízení přístupu na základě skupin zabezpečení – Zásady přístupu v doméně Cisco TrustSec jsou nezávislé na topologii a jsou založeny na rolích (jak je označeno číslem skupiny zabezpečení) zdrojových a cílových zařízení spíše než na síťových adresách. Jednotlivé balíčky jsou tags číslem bezpečnostní skupiny zdroje.
- Zabezpečená komunikace – S hardwarem schopným šifrování může být komunikace na každém spoji mezi zařízeními v doméně zabezpečena kombinací šifrování, kontroly integrity zpráv a mechanismů ochrany proti přehrání datových cest.
Následující obrázek ukazuje exampsoubor domény Cisco TrustSec. V tomto exampV doméně Cisco TrustSec se nachází několik síťových zařízení a koncové zařízení. Jedno koncové zařízení a jedno síťové zařízení jsou mimo doménu, protože nejde o zařízení podporující Cisco TrustSec nebo protože k nim byl odmítnut přístup. Ověřovací server je považován za mimo doménu Cisco TrustSec; je to buď Cisco Identities Service Engine (Cisco ISE), nebo Cisco Secure Access Control System (Cisco ACS).
Obrázek 1: Cisco TrustSec Network Domain Example
Každý účastník procesu ověřování Cisco TrustSec vystupuje v jedné z následujících rolí:
- Žadatel – neověřené zařízení připojené k peer v doméně Cisco TrustSec a pokoušející se připojit k doméně Cisco TrustSec.
- Authentication server (Ověřovací server) – Server, který ověřuje identitu žadatele a vydává zásady, které určují přístup žadatele ke službám v doméně Cisco TrustSec.
- Authenticator – Ověřené zařízení, které je již součástí domény Cisco TrustSec a může ověřovat nové peer žadatele jménem ověřovacího serveru.
Když se poprvé objeví spojení mezi žadatelem a ověřovatelem, obvykle dojde k následujícímu sledu událostí:
- Authentication (802.1X) – Žadatel je ověřen ověřovacím serverem, přičemž ověřovatel funguje jako prostředník. Vzájemná autentizace se provádí mezi dvěma partnery (suplikantem a autentizátorem).
- Autorizace – na základě informací o identitě žadatele poskytuje autentizační server zásady autorizace, jako je přiřazení skupin zabezpečení a seznamy ACL, každému z propojených peerů. Autentizační server poskytuje identitu každého peer druhému a každý peer pak aplikuje příslušnou politiku pro odkaz.
- Vyjednávání protokolu SAP (Security Association Protocol) – Když obě strany linky podporují šifrování, žadatel a ověřovatel vyjednají nezbytné parametry k vytvoření přidružení zabezpečení (SA).
SAP není podporován na rozhraních 100G. Doporučujeme používat protokol MACsec Key Agreement(MKA) s rozšířeným číslováním paketů (XPN) na rozhraních 100G.
Po dokončení všech tří kroků ověřovatel změní stav propojení z neautorizovaného (blokovacího) stavu na autorizovaný a žadatel se stane členem domény Cisco TrustSec.
Cisco TrustSec používá ingress tagging a egress filtering k vynucení politiky řízení přístupu škálovatelným způsobem. Pakety vstupující do domény jsou tags bezpečnostní skupinou tag (SGT) obsahující přiřazené číslo bezpečnostní skupiny zdrojového zařízení. Tato klasifikace paketů je udržována podél datové cesty v doméně Cisco TrustSec za účelem použití kritérií zabezpečení a dalších zásad. Konečné zařízení Cisco TrustSec na datové cestě, buď koncový bod, nebo výstupní bod sítě, vynucuje politiku řízení přístupu založenou na skupině zabezpečení zdrojového zařízení Cisco TrustSec a skupině zabezpečení konečného zařízení Cisco TrustSec. Na rozdíl od tradičních seznamů řízení přístupu založených na síťových adresách jsou zásady řízení přístupu Cisco TrustSec formou seznamů řízení přístupu založených na rolích (RBACL) nazývaných seznamy řízení přístupu k bezpečnostní skupině (SGACL).
Ingress označuje pakety vstupující do prvního zařízení podporujícího Cisco TrustSec, na které narazí paket na své cestě k cíli, a výstup označuje pakety opouštějící poslední zařízení podporující Cisco TrustSec na cestě.Autentizace
Cisco TrustSec a autentizace
Pomocí Network Device Admission Control (NDAC) Cisco TrustSec ověří zařízení, než mu umožní připojení k síti. NDAC používá ověřování 802.1X pomocí flexibilního ověřování protokolu Extensible Authentication prostřednictvím zabezpečeného tunelu (EAP-FAST) jako metodu protokolu EAP (Extensible Authentication Protocol) k provedení ověřování. Konverzace EAP-FAST zajišťují další výměny metod EAP uvnitř tunelu EAP-FAST pomocí řetězců. Správci mohou používat tradiční metody ověřování uživatelů, jako je Microsoft Challenge Handshake Authentication Protocol verze 2 (MSCHAPv2), přičemž stále mají zabezpečení poskytované tunelem EAP-FAST. Během výměny EAP-FAST ověřovací server vytvoří a doručí žadateli jedinečné pověření pro chráněný přístup (PAC), které obsahuje sdílený klíč a zašifrovaný token, který bude použit pro budoucí zabezpečenou komunikaci s ověřovacím serverem.
Následující obrázek ukazuje tunel EAP-FAST a vnitřní metody používané v Cisco TrustSec.
Obrázek 2: Cisco TrustSec Authentication
Vylepšení Cisco TrustSec na EAP-FAST
Implementace EAP-FAST pro Cisco TrustSec má následující vylepšení:
- Autentizovat ověřovatele – Bezpečně určuje identitu ověřovatele tím, že vyžaduje, aby ověřovatel použil svůj PAC k odvození sdíleného klíče mezi ním a ověřovacím serverem. Tato funkce vám také brání v konfiguraci sdílených klíčů RADIUS na ověřovacím serveru pro všechny možné adresy IP, které může ověřovatel použít.
- Upozornit každé zařízení na identitu jeho peer – Na konci výměny ověřování autentizační server identifikoval žadatele i ověřovatele. Ověřovací server sdělí žadateli identitu ověřovatele a to, zda ověřovatel podporuje Cisco TrustSec, pomocí dalších parametrů typu-délka-hodnota (TLV) v chráněném ukončení EAP-FAST. Ověřovací server také sděluje ověřovateli identitu žadatele a to, zda žadatel podporuje Cisco TrustSec, pomocí atributů RADIUS ve zprávě Access-Accept.
Protože každé zařízení zná identitu svého protějšku, může odeslat další požadavky RADIUS Access-Request na autentizační server, aby získalo politiku, která se má na propojení použít.
Výběr role 802.1X
V 802.1X musí mít ověřovatel IP konektivitu s ověřovacím serverem, protože musí předávat autentizační výměnu mezi žadatelem a ověřovatelem pomocí RADIUS přes UDP/IP. Když se koncové zařízení, jako je PC, připojí k síti, je zřejmé, že by mělo fungovat jako žadatel. V případě připojení Cisco TrustSec mezi dvěma síťovými zařízeními však nemusí být role 802.1X každého síťového zařízení okamžitě zřejmá pro druhé síťové zařízení.
Namísto ruční konfigurace rolí ověřovatele a žadatele pro dva sousední přepínače spouští Cisco TrustSec algoritmus pro výběr rolí, který automaticky určí, který přepínač funguje jako ověřovací a který jako žadatel. Algoritmus výběru role přiřadí roli ověřovatele přepínači, který má IP dosažitelnost k serveru RADIUS. Oba přepínače spouštějí stavový stroj ověřovatele i žadatele. Když přepínač zjistí, že jeho peer má přístup k serveru RADIUS, ukončí svůj vlastní stavový stroj autentizátora a převezme roli žadatele. Pokud mají oba přepínače přístup k serveru RADIUS, první přepínač, který obdrží odpověď od serveru RADIUS, se stane ověřovatelem a druhý přepínač se stane žadatelem.
Cisco TrustSec Authentication Summary
Na konci procesu ověřování Cisco TrustSec provedl ověřovací server následující akce:
- Ověřil totožnost žadatele a ověřovatele.
- Ověřeno uživatele, pokud je žadatelem koncové zařízení.
Na konci procesu ověřování Cisco TrustSec ověřovatel i žadatel vědí následující:
- následující:
- ID zařízení partnera
- Informace o schopnosti Cisco TrustSec partnera
- Klíč používaný pro SAP
Identity zařízení
Cisco TrustSec nepoužívá adresy IP ani adresy MAC jako identity zařízení. Místo toho přiřadíte název (ID zařízení) každému přepínači podporujícímu Cisco TrustSec, abyste jej jednoznačně identifikovali v doméně Cisco TrustSec. Toto ID zařízení se používá pro následující:
- Vyhledejte zásady autorizace
- Vyhledávání hesel v databázích během ověřování
Pověření zařízení
Cisco TrustSec podporuje přihlašovací údaje založené na heslech. Cisco TrustSec ověřuje žadatele pomocí hesel a používá MSCHAPv2 k zajištění vzájemného ověřování.
Ověřovací server používá tato pověření k vzájemné autentizaci žadatele během výměny EAP-FAST fáze 0 (zřizování), kde je žadateli zřízen PAC. Cisco TrustSec neprovádí výměnu EAP-FAST fáze 0 znovu, dokud nevyprší platnost PAC, a provádí pouze výměny EAP-FAST fáze 1 a fáze 2 pro budoucí připojení. Výměna EAP-FAST fáze 1 používá PAC ke vzájemné autentizaci ověřovacího serveru a žadatele. Cisco TrustSec používá přihlašovací údaje zařízení pouze během kroků zřizování (nebo opětovného zřizování) PAC.
Když se žadatel poprvé připojí k doméně Cisco TrustSec, ověřovací server žadatele ověří a předá mu sdílený klíč a šifrovaný token s PAC. Ověřovací server a žadatel používají tento klíč a token pro vzájemnou autentizaci ve všech budoucích výměnách EAP-FAST fáze 0.
Pověření uživatele
Cisco TrustSec nevyžaduje konkrétní typ uživatelských pověření pro koncová zařízení. Můžete si vybrat jakýkoli typ metody ověřování uživatele, kterou ověřovací server podporuje, a použít odpovídající přihlašovací údaje. NapřampCisco Secure Access Control System (ACS) verze 5.1 podporuje MSCHAPv2, generic token card (GTC) nebo RSA jednorázové heslo (OTP)
Bezpečnostní skupinová kontrola přístupu
Tato část poskytuje informace o seznamech řízení přístupu na základě skupin zabezpečení (SGACL).
Tato část poskytuje informace o seznamech řízení přístupu na základě skupin zabezpečení (SGACL).
Bezpečnostní skupiny a SGT
Skupina zabezpečení je seskupení uživatelů, koncových zařízení a prostředků, které sdílejí zásady řízení přístupu. Skupiny zabezpečení definuje správce v Cisco ISE nebo Cisco Secure ACS. Jak jsou do domény Cisco TrustSec přidáváni noví uživatelé a zařízení, ověřovací server přiřazuje tyto nové entity do příslušných skupin zabezpečení. Cisco TrustSec přiřadí každé skupině zabezpečení jedinečné číslo 16bitové skupiny zabezpečení, jejíž rozsah je globální v rámci domény Cisco TrustSec. Počet skupin zabezpečení v zařízení je omezen na počet ověřených síťových entit. Čísla skupin zabezpečení nemusíte konfigurovat ručně.
Skupina zabezpečení je seskupení uživatelů, koncových zařízení a prostředků, které sdílejí zásady řízení přístupu. Skupiny zabezpečení definuje správce v Cisco ISE nebo Cisco Secure ACS. Jak jsou do domény Cisco TrustSec přidáváni noví uživatelé a zařízení, ověřovací server přiřazuje tyto nové entity do příslušných skupin zabezpečení. Cisco TrustSec přiřadí každé skupině zabezpečení jedinečné číslo 16bitové skupiny zabezpečení, jejíž rozsah je globální v rámci domény Cisco TrustSec. Počet skupin zabezpečení v zařízení je omezen na počet ověřených síťových entit. Čísla skupin zabezpečení nemusíte konfigurovat ručně.
Jakmile je zařízení ověřeno, Cisco TrustSec tags jakýkoli paket, který pochází z tohoto zařízení se skupinou zabezpečení tag (SGT), který obsahuje číslo bezpečnostní skupiny zařízení. Paket přenáší tento SGT skrz síť v hlavičce Cisco TrustSec. SGT je jediné označení, které určuje oprávnění zdroje v rámci celého podniku.
Protože SGT obsahuje skupinu zabezpečení zdroje, tag lze označit jako zdroj SGT. Cílové zařízení je také přiřazeno k bezpečnostní skupině (cílové SG), kterou lze pro zjednodušení označit jako cílovou skupinu tag (DGT), i když skutečný paket Cisco TrustSec tag neobsahuje číslo bezpečnostní skupiny cílového zařízení.
Podpora ACL skupiny zabezpečení
Seznamy řízení přístupu ke skupině zabezpečení (SGACL) je vynucení zásad, pomocí kterých může správce řídit operace prováděné uživatelem na základě přiřazení skupin zabezpečení a cílových zdrojů. Prosazování zásad v doméně Cisco Trustsec je reprezentováno maticí oprávnění s číslem zdrojové skupiny zabezpečení na jedné ose a číslem cílové skupiny zabezpečení na druhé ose. Každá buňka v matici obsahuje uspořádaný seznam SGACL, který specifikuje oprávnění, která by měla být aplikována na pakety pocházející z IP patřící do zdrojové skupiny zabezpečení a mající cílovou IP, která patří do cílové skupiny zabezpečení.
Seznamy řízení přístupu ke skupině zabezpečení (SGACL) je vynucení zásad, pomocí kterých může správce řídit operace prováděné uživatelem na základě přiřazení skupin zabezpečení a cílových zdrojů. Prosazování zásad v doméně Cisco Trustsec je reprezentováno maticí oprávnění s číslem zdrojové skupiny zabezpečení na jedné ose a číslem cílové skupiny zabezpečení na druhé ose. Každá buňka v matici obsahuje uspořádaný seznam SGACL, který specifikuje oprávnění, která by měla být aplikována na pakety pocházející z IP patřící do zdrojové skupiny zabezpečení a mající cílovou IP, která patří do cílové skupiny zabezpečení.
SGACL poskytuje bezstavový mechanismus řízení přístupu založený na přidružení zabezpečení nebo skupině zabezpečení tag místo IP adres a filtrů. Existují tři způsoby, jak zajistit zásady SGACL:
- Zajišťování statických zásad: Zásady SGACL definuje uživatel pomocí oprávnění na základě role příkazu cts.
- Dynamické poskytování zásad: Konfigurace zásad SGACL by měla být prováděna především prostřednictvím funkce správy zásad Cisco Secure ACS nebo Cisco Identity Services Engine.
- Změna oprávnění (CoA): Aktualizovaná zásada je stažena, když je zásada SGACL upravena v ISE a CoA je odesláno do zařízení Cisco TrustSec.
Datová rovina zařízení přijímá pakety CoA od poskytovatele zásad (ISE) a aplikuje zásady na pakety CoA. Pakety jsou poté předány do řídicí roviny zařízení, kde dojde k další úrovni vynucení zásad pro příchozí pakety CoA. Na view informace o počtu přístupů k hardwarové a softwarové politice, spusťte příkaz show cts role-based counters v privilegovaném režimu EXEC.
Zásady SGACL
Pomocí seznamů řízení přístupu k bezpečnostní skupině (SGACL) můžete řídit operace, které mohou uživatelé provádět na základě přiřazení skupin zabezpečení uživatelů a cílových prostředků. Prosazování zásad v doméně Cisco TrustSec je reprezentováno maticí oprávnění s čísly zdrojových bezpečnostních skupin na jedné ose a čísly cílových bezpečnostních skupin na druhé ose. Každá buňka v těle matice může obsahovat uspořádaný seznam SGACL, který specifikuje oprávnění, která by měla být aplikována na pakety pocházející ze zdrojové skupiny zabezpečení a určené pro cílovou skupinu zabezpečení.
Následující obrázek ukazuje exampsoubor matice oprávnění Cisco TrustSec pro jednoduchou doménu se třemi definovanými uživatelskými rolemi a jedním definovaným cílovým prostředkem. Tři zásady SGACL řídí přístup k cílovému serveru na základě role uživatele.
Obrázek 3: SGACL Policy Matrix Example
Přiřazením uživatelů a zařízení v síti do skupin zabezpečení a aplikací řízení přístupu mezi skupinami zabezpečení dosahuje Cisco TrustSec řízení přístupu v rámci sítě nezávislé na topologii. Protože SGACL definují zásady řízení přístupu založené na identitách zařízení namísto IP adres jako v tradičních ACL, síťová zařízení se mohou volně pohybovat po síti a měnit IP adresy.
Dokud zůstanou role a oprávnění stejné, změny topologie sítě nemění bezpečnostní politiku. Když je do zařízení přidán uživatel, jednoduše jej přiřadíte do příslušné skupiny zabezpečení a uživatel okamžitě obdrží oprávnění této skupiny.
Dokud zůstanou role a oprávnění stejné, změny topologie sítě nemění bezpečnostní politiku. Když je do zařízení přidán uživatel, jednoduše jej přiřadíte do příslušné skupiny zabezpečení a uživatel okamžitě obdrží oprávnění této skupiny.
Zásady SGACL se aplikují na provoz, který je generován mezi dvěma hostitelskými zařízeními, nikoli na provoz, který je generován ze zařízení na koncové hostitelské zařízení.Použití oprávnění na základě rolí výrazně snižuje velikost seznamů ACL a zjednodušuje jejich údržbu. S Cisco TrustSec je počet konfigurovaných položek řízení přístupu (ACE) určen počtem zadaných oprávnění, což vede k mnohem menšímu počtu ACE než v tradiční síti IP. Použití SGACL v Cisco TrustSec obvykle vede k efektivnějšímu využití zdrojů TCAM ve srovnání s tradičními ACL. Na přepínačích Catalyst 17,500 Series je podporováno maximálně 9500 9500 zásad SGACL. Na přepínačích Catalyst 28,224 High Performance Series je podporováno maximálně XNUMX XNUMX zásad SGACL.
Ingress Taging a Egress Enforcement
Řízení přístupu Cisco TrustSec je implementováno pomocí ingress tagvymáhání a vynucování výstupu. Na vstupním bodě do domény Cisco TrustSec je provoz ze zdroje tagged s SGT obsahujícím číslo bezpečnostní skupiny zdrojové entity. SGT se šíří s provozem napříč doménou. Ve výstupním bodě domény Cisco TrustSec používá výstupní zařízení zdrojový SGT a číslo bezpečnostní skupiny cílové entity (cílové SG nebo DGT) k určení, kterou přístupovou politiku použít z matice zásad SGACL.
Následující obrázek ukazuje, jak funguje přiřazení SGT a vynucení SGACL v doméně Cisco TrustSec.
Obrázek 4: SGT a SGACL v doméně Cisco TrustSec
- Hostitelský počítač odešle paket do web server. Přestože PC a web nejsou členy domény Cisco TrustSec, datová cesta paketu zahrnuje doménu Cisco TrustSec.
- Vstupní zařízení Cisco TrustSec upraví paket tak, aby přidal SGT s číslem skupiny zabezpečení 3, číslem skupiny zabezpečení přiděleným ověřovacím serverem pro hostitelský počítač.
- Výstupní zařízení Cisco TrustSec vynucuje zásadu SGACL, která platí pro zdrojovou skupinu 3 a cílovou skupinu 4, číslo bezpečnostní skupiny přidělené ověřovacím serverem pro web server.
- Pokud SGACL umožňuje předání paketu, výstupní přepínač Cisco TrustSec upraví paket tak, aby odstranil SGT a předá paket web server.
Určení skupiny zabezpečení zdroje
Síťové zařízení na vstupu do domény Cisco TrustSec musí určit SGT paketu vstupujícího do domény Cisco TrustSec, aby tag paket s tímto SGT, když jej předá do domény Cisco TrustSec. Výstupní síťové zařízení musí určit SGT paketu, aby bylo možné použít SGACL.
Síťové zařízení může určit SGT pro paket jedním z následujících způsobů:
- Získejte zdrojový SGT během získávání zásad – Po fázi ověřování Cisco TrustSec získá síťové zařízení z ověřovacího serveru informace o zásadách, které označují, zda je rovnocenné zařízení důvěryhodné nebo ne. Pokud peer zařízení není důvěryhodné, pak ověřovací server může také poskytnout SGT, který se použije na všechny pakety přicházející z peer zařízení.
- Získejte zdrojový SGT z paketu – Pokud paket pochází z důvěryhodného peer zařízení, paket přenáší SGT. To platí pro síťové zařízení, které není prvním síťovým zařízením v doméně Cisco TrustSec pro paket.
- Vyhledejte zdrojový SGT na základě identity zdroje – pomocí Identity Port Mapping (IPM) můžete ručně nakonfigurovat propojení s identitou připojeného peeru. Síťové zařízení požaduje informace o zásadách, včetně SGT a stavu důvěryhodnosti, od ověřovacího serveru.
- Vyhledejte zdrojový SGT na základě zdrojové IP adresy – V některých případech můžete ručně nakonfigurovat zásadu tak, aby určovala SGT paketu na základě jeho zdrojové IP adresy. Protokol SGT Exchange Protocol (SXP) může také naplnit mapovací tabulku IP-address-to-SGT.
Určení skupiny zabezpečení cíle
Výstupní síťové zařízení v doméně Cisco TrustSec určuje cílovou skupinu (DGT) pro použití SGACL. Síťové zařízení určuje cílovou skupinu zabezpečení pro paket pomocí stejných metod, jaké se používají pro určení zdrojové skupiny zabezpečení, s výjimkou získání čísla skupiny z paketu. tag. Číslo cílové skupiny zabezpečení není součástí paketu tag.
V některých případech mohou mít vstupní zařízení nebo jiná neodchozí zařízení k dispozici informace o cílové skupině. V těchto případech mohou být SGACL použity v těchto zařízeních spíše než v výstupních zařízeních.
Vynucení SGACL na směrovaném a přepínaném provozu
Vynucení SGACL se aplikuje pouze na provoz IP, ale vynucení lze použít na směrovaný nebo přepínaný provoz.
U směrovaného provozu se vynucení SGACL provádí výstupním přepínačem, typicky distribučním přepínačem nebo přístupovým přepínačem se směrovaným portem připojujícím se k cílovému hostiteli. Když globálně povolíte vynucení SGACL, vynucení se automaticky povolí na každém rozhraní vrstvy 3 kromě rozhraní SVI.
Vynucení SGACL se aplikuje pouze na provoz IP, ale vynucení lze použít na směrovaný nebo přepínaný provoz.
U směrovaného provozu se vynucení SGACL provádí výstupním přepínačem, typicky distribučním přepínačem nebo přístupovým přepínačem se směrovaným portem připojujícím se k cílovému hostiteli. Když globálně povolíte vynucení SGACL, vynucení se automaticky povolí na každém rozhraní vrstvy 3 kromě rozhraní SVI.
U komutovaného provozu se vynucování SGACL provádí na provozu tekoucím v rámci jediné přepínací domény bez jakékoli funkce směrování. BývalýampBylo by vynucení SGACL prováděné přepínačem přístupu k datovému centru při provozu server-to-server mezi dvěma přímo připojenými servery. V tomto example, provoz server-to-server by se typicky přepínal. Vynucení SGACL lze aplikovat na pakety přepínané v rámci VLAN nebo předávané do SVI spojeného s VLAN, ale vynucení musí být povoleno explicitně pro každou VLAN.
SGACL protokolování a ACE statistiky
Když je v SGACL povoleno protokolování, zařízení protokoluje následující informace:
- Zdrojová skupina zabezpečení tag (SGT) a cílové SGT
- Název zásady SGACL
- Typ paketového protokolu
- Akce provedená na paketu
Volba protokolu se vztahuje na jednotlivé ACE a způsobí, že pakety, které odpovídají ACE, budou protokolovány. První paket zaznamenaný pomocí klíčového slova log vygeneruje zprávu syslog. Následné zprávy protokolu jsou generovány a hlášeny v pětiminutových intervalech. Pokud se ACE s povoleným protokolováním shoduje s jiným paketem (s charakteristikami shodnými s paketem, který vygeneroval zprávu protokolu), počet odpovídajících paketů se zvýší (čítače) a poté se ohlásí.
Chcete-li povolit protokolování, použijte klíčové slovo log před definicí ACE v konfiguraci SGACL. Napřample, povolit protokol IP.
Když je povoleno protokolování SGACL, zprávy požadavků ICMP ze zařízení do klienta se nezaprotokolují
Protokoly IPv4 a IPv6. Však; Zprávy ICMP Response z klienta do zařízení jsou protokolovány.
Protokoly IPv4 a IPv6. Však; Zprávy ICMP Response z klienta do zařízení jsou protokolovány.
Následující je jakoamplog souboru, který zobrazuje zdrojové a cílové SGT, shody ACE (pro akci povolení nebo zamítnutí) a protokol, tj. informace TCP, UDP, IGMP a ICMP:
*2. června 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: seznam deny_udp_src_port_log-30 Odepřeno udp 24.0.0.23(100) -> 28.0.0.91(100), 8SGT12T DG
Kromě existujících statistik SGACL „na buňku“, které lze zobrazit pomocí role cts show
counters, můžete také zobrazit statistiku ACE pomocí příkazu show ip access-list sgacl_name. K tomu není potřeba žádná další konfigurace.
Následující example ukazuje, jak můžete použít příkaz show ip access-list k zobrazení počtu ACE
counters, můžete také zobrazit statistiku ACE pomocí příkazu show ip access-list sgacl_name. K tomu není potřeba žádná další konfigurace.
Následující example ukazuje, jak můžete použít příkaz show ip access-list k zobrazení počtu ACE
Device# show ip access-control deny_udp_src_port_log-30
Seznam IP přístupů založený na rolích deny_udp_src_port_log-30 (staženo)
10 deny udp src eq 100 log (283 zápasů)
Protokol 20 povolení IP (50 shod)
Seznam IP přístupů založený na rolích deny_udp_src_port_log-30 (staženo)
10 deny udp src eq 100 log (283 zápasů)
Protokol 20 povolení IP (50 shod)
Když příchozí provoz odpovídá buňce, ale neodpovídá SGACL buňky, provoz je povolen a čítače se zvýší v HW-Permit pro buňku.Následující example ukazuje, jak funguje SGACL buňky:
Politika SGACL je nakonfigurována od 5 do 18 s „deny icmp echo“ a existuje příchozí provoz od 5 do 18 s TCP hlavičkou. Pokud se buňka shoduje s 5 až 18, ale provoz se neshoduje s icmp, bude provoz povolen a počítadlo HW-Permit buňky 5 až 18 se zvýší.
Protokolování SGACL s podporou VRF
Systémové protokoly SGACL budou obsahovat informace VRF. Kromě polí, která jsou aktuálně protokolována, budou informace o protokolování obsahovat název VRF. Aktualizované informace o protokolování budou vypadat takto:
*15. listopadu 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Deny' protocol='tcp' src-vrf='src -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
Režim sledování SGACL
Během fáze před nasazením Cisco TrustSec bude správce používat režim monitorování k testování zásad zabezpečení, aniž by je vynucoval, aby se ujistil, že zásady fungují tak, jak mají. Pokud zásady zabezpečení nefungují tak, jak bylo zamýšleno, režim monitorování poskytuje pohodlný mechanismus pro jejich identifikaci a poskytuje příležitost opravit zásady před povolením vynucení SGACL. To správcům umožňuje mít lepší přehled o výsledku akcí zásad, než je prosadí, a potvrdit, že předmětná zásada splňuje požadavky na zabezpečení (přístup ke zdrojům je odepřen, pokud uživatelé nejsou
autorizovaný).
Monitorovací schopnost je poskytována na úrovni páru SGT-DGT. Když povolíte funkci monitorovacího režimu SGACL, akce odmítnutí je implementována jako povolení ACL na liniových kartách. To umožňuje čítačům SGACL a protokolování zobrazit, jak jsou připojení zpracovávána zásadou SGACL. Vzhledem k tomu, že veškerý sledovaný provoz je povolen, nedochází v režimu monitorování SGACL k žádnému přerušení služby kvůli SGACL.
Během fáze před nasazením Cisco TrustSec bude správce používat režim monitorování k testování zásad zabezpečení, aniž by je vynucoval, aby se ujistil, že zásady fungují tak, jak mají. Pokud zásady zabezpečení nefungují tak, jak bylo zamýšleno, režim monitorování poskytuje pohodlný mechanismus pro jejich identifikaci a poskytuje příležitost opravit zásady před povolením vynucení SGACL. To správcům umožňuje mít lepší přehled o výsledku akcí zásad, než je prosadí, a potvrdit, že předmětná zásada splňuje požadavky na zabezpečení (přístup ke zdrojům je odepřen, pokud uživatelé nejsou
autorizovaný).
Monitorovací schopnost je poskytována na úrovni páru SGT-DGT. Když povolíte funkci monitorovacího režimu SGACL, akce odmítnutí je implementována jako povolení ACL na liniových kartách. To umožňuje čítačům SGACL a protokolování zobrazit, jak jsou připojení zpracovávána zásadou SGACL. Vzhledem k tomu, že veškerý sledovaný provoz je povolen, nedochází v režimu monitorování SGACL k žádnému přerušení služby kvůli SGACL.
Získávání oprávnění a politiky
Po ukončení ověřování zařízení žadatel i ověřovatel získají bezpečnostní politiku z ověřovacího serveru. Oba partneři poté provedou autorizaci propojení a vynucují vůči sobě zásady zabezpečení propojení na základě jejich ID zařízení Cisco TrustSec. Metodu autentizace spojení lze nakonfigurovat buď jako 802.1X, nebo jako ruční ověřování. Pokud je zabezpečení linky 802.1X, každý partner používá ID zařízení přijaté z ověřovacího serveru. Pokud je zabezpečení propojení ruční, musíte přiřadit ID zařízení rovnocenného partnera.
Ověřovací server vrací následující atributy zásad:
- Důvěra Cisco TrustSec – Označuje, zda má být rovnocenné zařízení důvěryhodné pro účely vkládání SGT do paketů.
- Peer SGT – Označuje skupinu zabezpečení, do které partner patří. Pokud peer není důvěryhodný, jsou všechny pakety přijaté od peeru důvěryhodné tags tímto SGT. Pokud zařízení neví, zda jsou nějaké SGACL spojeny s SGT partnera, zařízení může odeslat následný požadavek na autentizační server, aby stáhl SGACL.
- Doba vypršení platnosti autorizace – Označuje počet sekund před vypršením platnosti zásady. Zařízení Cisco TrustSec by mělo před vypršením časového limitu obnovit své zásady a autorizaci. Zařízení může ukládat do mezipaměti autentizační data a data zásad a znovu je použít po restartu, pokud platnost dat nevypršela.
Každé zařízení Cisco TrustSec by mělo podporovat určitou minimální výchozí přístupovou politiku pro případ, že nebude schopno kontaktovat ověřovací server a získat vhodnou zásadu pro peer.Proces vyjednávání NDAC a SAP je znázorněn na následujícím obrázku
Obrázek 5: NDAC a SAP Negotiation
Stažení dat o prostředí
Data prostředí Cisco TrustSec jsou sbírkou informací nebo zásad, které pomáhají zařízení fungovat jako uzel Cisco TrustSec. Zařízení získává data prostředí z ověřovacího serveru, když se zařízení poprvé připojí k doméně Cisco TrustSec, i když některá data můžete v zařízení nakonfigurovat také ručně. Napřampmusíte nakonfigurovat výchozí zařízení Cisco TrustSec s informacemi o ověřovacím serveru, které lze později rozšířit o seznam serverů, který zařízení získá z ověřovacího serveru.
Zařízení musí před vypršením platnosti obnovit data prostředí Cisco TrustSec. Zařízení může také ukládat data prostředí do mezipaměti a znovu je použít po restartu, pokud platnost dat nevypršela.
Zařízení používá RADIUS k získání následujících dat prostředí z ověřovacího serveru:
- Seznamy serverů: Seznam serverů, které může klient použít pro budoucí požadavky RADIUS (pro autentizaci i autorizaci). Obnovení PAC probíhá prostřednictvím těchto serverů.
- Device SG: Skupina zabezpečení, do které patří samotné zařízení.
- Časový limit vypršení: Interval, který řídí, jak často má zařízení Cisco TrustSec obnovovat data prostředí.
Funkce relé RADIUS
Zařízení, které hraje roli autentizátora Cisco TrustSec v procesu ověřování 802.1X, má IP konektivitu k ověřovacímu serveru, což umožňuje zařízení získat zásady a autorizaci z ověřovacího serveru výměnou zpráv RADIUS přes UDP/IP. Zařízení žadatele nemusí mít IP konektivitu s ověřovacím serverem. V takových případech Cisco TrustSec umožňuje ověřovateli fungovat jako přenos RADIUS pro žadatele.
Žadatel odešle speciální zprávu EAPOL do autentizátoru, která obsahuje IP adresu serveru RADIUS a port UDP a úplný požadavek RADIUS. Autentizátor extrahuje požadavek RADIUS z přijaté zprávy EAPOL a odešle jej přes UDP/IP na autentizační server. Když se odpověď RADIUS vrátí z ověřovacího serveru, ověřovatel předá zprávu zpět žadateli, zapouzdřenou v rámci EAPOL.
Zabezpečení odkazů
Když obě strany propojení podporují 802.1AE Media Access Control Security (MACsec), provede se vyjednávání protokolu SAP (Security Association Protocol). Mezi žadatelem a ověřovatelem dochází k výměně klíčů EAPOL za účelem vyjednání šifrovací sady, výměny bezpečnostních parametrů a správy klíčů. Úspěšné splnění všech tří úkolů má za následek založení bezpečnostní asociace (SA).
V závislosti na verzi vašeho softwaru, licencování kryptoměn a podpoře propojení hardwaru může vyjednávání SAP používat jeden z následujících provozních režimů:
- Galois/Counter Mode (GCM) – Určuje ověřování a šifrování
- Ověření GCM (GMAC) – Určuje ověření a žádné šifrování
- Bez zapouzdření – neurčuje žádné zapouzdření (čistý text)
- Null – Určuje zapouzdření, žádné ověřování a žádné šifrování
Všechny režimy kromě No Encapsulation vyžadují hardware podporující Cisco TrustSec.
Konfigurace SAP-PMK pro zabezpečení odkazů
SXP pro šíření SGT napříč staršími přístupovými sítěmi
Tagging paketů s SGT vyžaduje hardwarovou podporu. Můžete mít ve své síti zařízení, která se sice mohou účastnit ověřování Cisco TrustSec, ale postrádají hardwarovou schopnost tag balíčky s
Tagging paketů s SGT vyžaduje hardwarovou podporu. Můžete mít ve své síti zařízení, která se sice mohou účastnit ověřování Cisco TrustSec, ale postrádají hardwarovou schopnost tag balíčky s
SGT. Pomocí protokolu SGT Exchange Protocol (SXP) mohou tato zařízení předávat mapování IP adres na SGT partnerskému zařízení Cisco TrustSec, které má hardware podporující Cisco TrustSec.
SXP obvykle funguje mezi zařízeními vstupní přístupové vrstvy na okraji domény Cisco TrustSec a zařízeními distribuční vrstvy v doméně Cisco TrustSec. Zařízení přístupové vrstvy provádí ověřování Cisco TrustSec externích zdrojových zařízení, aby určilo vhodné SGT pro příchozí pakety. Zařízení přístupové vrstvy se naučí IP adresy zdrojových zařízení pomocí sledování IP zařízení a (volitelně) DHCP snooping, poté použije SXP k předání IP adres zdrojových zařízení spolu s jejich SGT distribučním zařízením.
Tyto informace o mapování IP-to-SGT mohou využívat distribuční zařízení s hardwarem podporujícím Cisco TrustSec tag paketů a prosazovat zásady SGACL.
Obrázek 6: Protokol SXP pro šíření informací SGT
Musíte ručně nakonfigurovat připojení SXP mezi peerem bez hardwarové podpory Cisco TrustSec a peerem s hardwarovou podporou Cisco TrustSec. Při konfiguraci připojení SXP jsou vyžadovány následující úlohy:
- Pokud požadujete integritu dat a ověřování SXP, musíte na obou peer zařízeních nakonfigurovat stejné heslo SXP. Heslo SXP můžete nakonfigurovat buď explicitně pro každé peer připojení, nebo globálně pro zařízení. Přestože heslo SXP není vyžadováno, doporučujeme jeho použití.
- Každý peer na připojení SXP musíte nakonfigurovat buď jako reproduktor SXP, nebo jako posluchač SXP. Reproduktorové zařízení distribuuje informace o mapování IP-na-SGT do naslouchacího zařízení.
- Můžete zadat zdrojovou IP adresu, která se má použít pro každý peer vztah, nebo můžete nakonfigurovat výchozí zdrojovou IP adresu pro peer připojení, kde jste nenakonfigurovali konkrétní zdrojovou IP adresu. Pokud neurčíte žádnou zdrojovou IP adresu, zařízení použije IP adresu rozhraní připojení k peer.
SXP umožňuje více skoků. To znamená, že pokud partner zařízení bez hardwarové podpory Cisco TrustSec také postrádá hardwarovou podporu Cisco TrustSec, druhý peer může mít připojení SXP ke třetímu peeru a pokračuje v šíření informací o mapování IP-na-SGT, dokud nebude hardwarová je osloven schopný vrstevník. Zařízení lze nakonfigurovat jako posluchač SXP pro jedno připojení SXP jako reproduktor SXP pro další připojení SXP.
Zařízení Cisco TrustSec udržuje konektivitu se svými kolegy SXP pomocí mechanismu udržování stavu TCP.
Pro navázání nebo obnovení peer připojení se zařízení bude opakovaně pokoušet o nastavení připojení pomocí konfigurovatelné doby opakování, dokud nebude připojení úspěšné nebo dokud nebude připojení odstraněno z konfigurace.
Pro navázání nebo obnovení peer připojení se zařízení bude opakovaně pokoušet o nastavení připojení pomocí konfigurovatelné doby opakování, dokud nebude připojení úspěšné nebo dokud nebude připojení odstraněno z konfigurace.
Transport SGT vrstvy 3 pro překlenutí oblastí mimo TrustSec
Když paket opustí doménu Cisco TrustSec do cíle, který není TrustSec, výstupní zařízení Cisco TrustSec odstraní hlavičku Cisco TrustSec a SGT před předáním paketu do vnější sítě. Pokud však paket pouze prochází doménou mimo TrustSec na cestě k jiné doméně Cisco TrustSec, jak je znázorněno na následujícím obrázku, lze SGT zachovat pomocí funkce Cisco TrustSec Layer 3 SGT Transport. V této funkci výstupní zařízení Cisco TrustSec zapouzdří paket hlavičkou ESP, která obsahuje kopii SGT. Když zapouzdřený paket dorazí do další domény Cisco TrustSec, příchozí zařízení Cisco TrustSec odebere zapouzdření ESP a šíří paket pomocí svého SGT.
Obrázek 7: Překlenutí domény Non-TrustSec
Aby bylo možné podporovat Cisco TrustSec Layer 3 SGT Transport, musí každé zařízení, které bude fungovat jako vstupní nebo výstupní brána Cisco TrustSec Layer 3, udržovat databázi zásad provozu, která uvádí vhodné podsítě ve vzdálených doménách Cisco TrustSec a také všechny vyloučené podsítě v těchto oblastech. Tuto databázi můžete na každém zařízení nakonfigurovat ručně, pokud je nelze stáhnout automaticky z Cisco Secure ACS.
Zařízení může odesílat transportní data 3. vrstvy SGT z jednoho portu a přijímat transportní data 3. vrstvy SGT na jiném portu, ale jak vstupní, tak výstupní porty musí mít hardware podporující Cisco TrustSec.
Cisco TrustSec nešifruje zapouzdřené pakety SGT Transport na vrstvě 3. Chcete-li chránit pakety procházející doménou mimo TrustSec, můžete nakonfigurovat další metody ochrany, jako je IPsec.VRF-Aware SXP
Implementace SXP virtuálního směrování a předávání (VRF) spojuje připojení SXP s konkrétním VRF. Předpokládá se, že topologie sítě je správně nakonfigurována pro VPN na vrstvě 2 nebo 3, přičemž všechny VRF jsou nakonfigurovány před povolením Cisco TrustSec.
Podpora SXP VRF se dá shrnout následovně:
- K jednomu VRF lze svázat pouze jedno připojení SXP.
- Různé VRF mohou mít překrývající se SXP peer nebo zdrojové IP adresy.
- Mapování IP–SGT naučená (přidaná nebo odstraněná) v jednom VRF lze aktualizovat pouze ve stejné doméně VRF.
Připojení SXP nemůže aktualizovat mapování vázané na jiný VRF. Pokud pro VRF neukončí žádné připojení SXP, mapování IP–SGT pro tento VRF nebude pomocí SXP aktualizováno. - Je podporováno více rodin adres na VRF. Proto jedno připojení SXP v doméně VRF může předávat mapování IP-SGT IPV4 i IPV6.
- SXP nemá žádné omezení na počet připojení a počet mapování IP–SGT na VRF.
Vrstva 2 VRF-Aware SXP a přiřazení VRF
Přiřazení VRF k VLAN na vrstvě 2 jsou specifikována pomocí globálního konfiguračního příkazu cts založeného na roli l2-vrf vrf-name vlan-list. VLAN je považována za VLAN 2. vrstvy, pokud neexistuje žádné virtuální rozhraní přepínače (SVI) s IP adresou nakonfigurovanou ve VLAN. VLAN se stane VLAN vrstvy 3, jakmile je na jejím SVI nakonfigurována IP adresa.
Přiřazení VRF konfigurovaná příkazem l2-vrf na základě role cts jsou aktivní, dokud VLAN zůstává VLAN 2. vrstvy. Vazby IP–SGT naučené během aktivního přiřazení VRF jsou také přidány do tabulky Forwarding Information Base (FIB) spojené s VRF a verzí protokolu IP. Pokud se SVI stane aktivním pro VLAN, přiřazení VRF k VLAN se stane neaktivním a všechny vazby naučené na VLAN se přesunou do FIB tabulky spojené s VRF SVI.
Přiřazení VRF k VLAN je zachováno, i když se přiřazení stane neaktivním. Znovu se aktivuje, když je SVI odebráno nebo když je dekonfigurována SVI IP adresa. Po opětovné aktivaci se vazby IP–SGT přesunou zpět z tabulky FIB přidružené k VRF SVI do tabulky FIB přidružené k VRF přiřazené příkazem l2-vrf na základě role cts.
Historie funkcí pro Cisco TrustSec Overview
Tato tabulka poskytuje informace o verzi a související informace o funkcích vysvětlených v tomto modulu.
Tyto funkce jsou dostupné ve všech vydáních následujících po vydání, ve kterém byly představeny, pokud není uvedeno jinak.
Tyto funkce jsou dostupné ve všech vydáních následujících po vydání, ve kterém byly představeny, pokud není uvedeno jinak.
K vyhledání informací o platformě a podpoře bitové kopie softwaru použijte Cisco Feature Navigator. Pro přístup
Cisco Feature Navigator, přejděte na http://www.cisco.com/go/cfn.
Cisco Feature Navigator, přejděte na http://www.cisco.com/go/cfn.
Dokumenty / zdroje
 |
CISCO Trustsec buduje zabezpečenou síť [pdfUživatelská příručka Trustsec buduje zabezpečenou síť, Trustsec, buduje zabezpečenou síť, zabezpečenou síť, síť |