CISCO Trustsec Mbangun Pandhuan Pangguna Jaringan Aman

CISCO Trustsec Mbangun Aman
 Pandhuan pangguna jaringan

Cisco TrustSec mbangun jaringan aman kanthi nggawe domain piranti jaringan sing dipercaya. Saben piranti ing domain kasebut dikonfirmasi dening kanca-kancane. Komunikasi ing pranala antarane piranti ing domain wis aman karo kombinasi enkripsi, mriksa integritas pesen, lan data-path replay mekanisme pangayoman.

Watesan kanggo Cisco TrustSec

Penyediaan kredensial akses sing dilindhungi (PAC) gagal lan tetep ing status digantung, nalika ID piranti sing ora bener ditemtokake. Malah sawise ngresiki PAC, lan ngonfigurasi ID piranti lan sandhi sing bener, PAC isih gagal.
Minangka workaround, ing Cisco Identity Services Engine (ISE), busak centhang ing Suppress Anomalous Clients
pilihan ing Administrasi> Sistem> Setelan> Protokol> menu Radius kanggo PAC bisa digunakake.

Cisco TrustSec ora didhukung ing mode FIPS.
Watesan ing ngisor iki mung ditrapake kanggo model C9500X-28C8D saka Cisco Catalyst 9500 Series Switches:
• konfigurasi manual Cisco TrustSec ora didhukung.
• Cisco TrustSec Keamanan Association Protocol (SAP) fungsi ora didhukung.
• Cisco TrustSec metadata header enkapsulasi ora didhukung.

Isine ndhelikake

1 Informasi babagan Arsitektur Cisco TrustSec

2 Dokumen / Sumber Daya

2.1 Referensi

Informasi babagan Arsitektur Cisco TrustSec

Arsitektur keamanan Cisco TrustSec mbangun jaringan aman kanthi nggawe domain piranti jaringan sing dipercaya. Saben piranti ing domain kasebut dikonfirmasi dening kanca-kancane. Komunikasi ing pranala antarane piranti ing domain wis aman karo kombinasi enkripsi, mriksa integritas pesen, lan data-path replay mekanisme pangayoman. Cisco TrustSec nggunakake piranti lan kapercayan pangguna sing dipikolehi sajrone otentikasi kanggo nggolongake paket miturut klompok keamanan (SG) nalika mlebu jaringan. Klasifikasi paket iki maintained dening tagpaket ging ing ingress menyang jaringan Cisco TrustSec supaya padha bisa dikenali kanthi bener kanggo tujuan aplikasi keamanan lan kritéria privasi liyane ing path data. Ing tag, disebut klompok keamanan tag (SGT), ngidini jaringan kanggo ngleksanakake kabijakan kontrol akses dening mbisakake piranti endpoint tumindak marang SGT kanggo nyaring lalu lintas.

Link Cisco TrustSec IEEE 802.1X ora didhukung ing platform sing didhukung ing Cisco IOS XE Denali
(16.1.x kanggo 16.3.x), Cisco IOS XE Everest (16.4.x kanggo 16.6.x), lan Cisco IOS XE Fuji (16.7.x kanggo 16.9.x) release, lan Empu mung Authenticator didhukung; Supplicant ora didhukung.

Arsitektur Cisco TrustSec nggabungake telung komponen utama:

Infrastruktur jaringan sing dikonfirmasi-Sawise piranti pisanan (disebut piranti wiji) otentikasi karo server otentikasi kanggo miwiti domain Cisco TrustSec, saben piranti anyar sing ditambahake menyang domain kasebut diotentikasi dening piranti peer sing wis ana ing domain kasebut. Peer tumindak minangka perantara kanggo server otentikasi domain. Saben piranti sing mentas diotentikasi dikategorikake dening server otentikasi lan diwenehi nomer grup keamanan adhedhasar identitas, peran, lan postur keamanan.
Kontrol akses basis klompok keamanan-Kabijakan akses ing domain Cisco TrustSec ora gumantung ing topologi, adhedhasar peran (minangka sing dituduhake nomer grup keamanan) piranti sumber lan tujuan tinimbang ing alamat jaringan. Paket individu yaiku tagged karo nomer grup keamanan sumber.

Komunikasi sing aman-Kanthi hardware sing nduweni enkripsi, komunikasi ing saben pranala antarane piranti ing domain bisa diamanake kanthi kombinasi enkripsi, mriksa integritas pesen, lan mekanisme proteksi data-path.

Gambar ing ngisor iki nuduhake mantanample saka domain Cisco TrustSec. Ing mantan ikiample, sawetara piranti jaringan lan piranti endpoint nang domain Cisco TrustSec. Siji piranti endpoint lan siji piranti jaringan ing njaba domain amarga padha ora piranti Cisco TrustSec-mampu utawa amarga padha ora gelem akses. Server otentikasi dianggep njaba saka domain Cisco TrustSec; iku salah siji Cisco Identities Service Engine (Cisco ISE), utawa Cisco Secure Access Control System (Cisco ACS).

Gambar 1: Domain Jaringan Cisco TrustSec Example

CISCO Trustsec Mbangun Jaringan Aman - Gambar 1

Saben peserta ing proses otentikasi Cisco TrustSec tumindak ing salah sawijining peran ing ngisor iki:

Supplicant-Piranti unauthenticated disambungake menyang peer ing domain Cisco TrustSec, lan nyoba kanggo nggabungake domain Cisco TrustSec.

Server otentikasi-Server sing validasi identitas panyuwun lan ngetokake kabijakan sing nemtokake akses panyuwun menyang layanan ing domain Cisco TrustSec.
Authenticator-Piranti otentikasi sing wis dadi bagéan saka domain Cisco TrustSec lan bisa otentikasi peer supplicants anyar atas jenenge server bukti asli.

Nalika pranala antarane panyuwun lan authenticator pisanan muncul, urutan acara ing ngisor iki biasane kedadeyan:

Authentication (802.1X)—Panjaluk wis dikonfirmasi dening server otentikasi, kanthi authenticator tumindak minangka perantara. Authentication mutual ditindakake ing antarane rong kanca (penyuwun lan authenticator).
Wewenang-Adhedhasar informasi identitas panyuwun, server otentikasi nyedhiyakake kabijakan wewenang, kayata tugas klompok keamanan lan ACL, kanggo saben kanca sing disambung. Server otentikasi nyedhiyakake identitas saben peer menyang liyane, lan saben peer banjur ngetrapake kabijakan sing cocog kanggo link kasebut.

Keamanan Association Protocol (SAP) rembugan-Nalika loro-lorone saka enkripsi support link, panyuwun lan authenticator rembugan paramèter perlu kanggo netepake asosiasi keamanan (SA).

SAP ora didhukung ing antarmuka 100G. Disaranake sampeyan nggunakake protokol MACsec Key Agreement
(MKA) kanthi nomer paket lengkap (XPN) ing antarmuka 100G.

Nalika kabeh telung langkah wis rampung, authenticator ngganti negara link saka ora sah (pamblokiran) negara kanggo negara sah, lan panyuwun dadi anggota saka domain Cisco TrustSec.

Cisco TrustSec nggunakake ingress tagpanyaring ging lan egress kanggo ngetrapake kabijakan kontrol akses kanthi cara sing bisa diukur. Paket mlebu domain yaiku tagged karo grup keamanan tag (SGT) ngemot nomer grup keamanan diutus piranti sumber. Klasifikasi paket iki maintained sadawane path data ing domain Cisco TrustSec kanggo tujuan aplikasi keamanan lan kritéria privasi liyane. Piranti Cisco TrustSec pungkasan ing jalur data, salah siji titik pungkasan utawa titik egress jaringan, ngetrapake kebijakan kontrol akses adhedhasar klompok keamanan piranti sumber Cisco TrustSec lan klompok keamanan piranti Cisco TrustSec pungkasan. Boten kados dhaptar kontrol akses tradisional adhedhasar alamat jaringan, Cisco TrustSec kawicaksanan kontrol akses minangka wangun dhaptar kontrol akses adhedhasar peran (RBACLs) disebut dhaptar kontrol akses grup keamanan (SGACLs).

Ingress nuduhake paket ngetik piranti Cisco TrustSec-saged pisanan ditemokaké dening paket ing dalan menyang panggonan lan egress nuduhake paket ninggalake piranti Cisco TrustSec-mampu pungkasan ing dalan.

Authentication

Cisco TrustSec lan Authentication

Nggunakake Network Device Admission Control (NDAC), Cisco TrustSec authenticates piranti sadurunge ngidini kanggo nggabungake jaringan. NDAC nggunakake otentikasi 802.1X karo Extensible Authentication Protocol Flexible Authentication liwat Secure Tunnel (EAP-FAST) minangka metode Extensible Authentication Protocol (EAP) kanggo nindakake otentikasi. Obrolan EAP-FAST nyedhiyakake ijol-ijolan metode EAP liyane ing terowongan EAP-FAST nggunakake ranté. Administrator bisa nggunakake cara otentikasi pangguna tradisional, kayata Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), nalika isih nduweni keamanan sing diwenehake dening trowongan EAP-FAST. Sajrone ijol-ijolan EAP-FAST, server otentikasi nggawe lan ngirimake kredensial akses sing dilindhungi unik (PAC) menyang panyuwun sing ngemot kunci sing dienggo bareng lan token sing dienkripsi kanggo digunakake kanggo komunikasi aman ing mangsa ngarep karo server otentikasi.

Tokoh ing ngisor iki nuduhake trowongan EAP-CEPAT lan cara utama minangka digunakake ing Cisco TrustSec.

Gambar 2: Cisco TrustSec Authentication

CISCO Trustsec Mbangun Jaringan Aman - Gambar 2

Cisco TrustSec Enhancements kanggo EAP-CEPAT

Implementasi EAP-FAST kanggo Cisco TrustSec nduweni dandan ing ngisor iki:

Authenticate authenticator-Nmtokake kanthi aman identitas authenticator kanthi mbutuhake authenticator nggunakake PAC kanggo nurunake kunci sing dienggo bareng antarane dhewe lan server otentikasi. Fitur iki uga ngalang-alangi sampeyan ngatur tombol bareng RADIUS ing server otentikasi kanggo saben alamat IP sing bisa digunakake dening authenticator.

Ngabari saben piranti babagan identitas kanca-Na ing pungkasan ijol-ijolan otentikasi, server otentikasi wis ngidentifikasi panjaluk lan authenticator. Server otentikasi ngirimake identitas authenticator, lan apa authenticator Cisco TrustSec-saged, kanggo panyuwun kanthi nggunakake paramèter jinis-dawa-nilai tambahan (TLVs) ing mandap EAP-CEPAT dilindhungi. Server otentikasi uga ngirim identitas panyuwun, lan apa panjaluk Cisco TrustSec-saged, kanggo authenticator kanthi nggunakake atribut RADIUS ing Akses- Nampa pesen.
Amarga saben piranti ngerti identitas peer, bisa ngirim RADIUS Akses-Panjaluk tambahan menyang server otentikasi kanggo entuk kabijakan sing bakal ditrapake ing link kasebut.

802.1X Pamilihan Peran

Ing 802.1X, authenticator kudu duwe konektivitas IP karo server otentikasi amarga kudu ngirimake ijol-ijolan otentikasi antarane panyuwun lan authenticator nggunakake RADIUS liwat UDP/IP. Nalika piranti endpoint, kayata PC, nyambung menyang jaringan, iku ketok sing kudu dienggo minangka panyuwun. Nanging, ing kasus sambungan Cisco TrustSec antarane rong piranti jaringan, peran 802.1X saben piranti jaringan bisa uga ora langsung katon ing piranti jaringan liyane.

Tinimbang mbutuhake konfigurasi manual saka authenticator lan peran panyuwun kanggo loro ngalih jejer, Cisco TrustSec mbukak algoritma peran-pilihan kanggo otomatis nemtokake kang ngalih fungsi minangka authenticator lan kang fungsi minangka panyuwun. Algoritma pamilihan peran menehi peran authenticator menyang switch sing nduweni jangkauan IP menyang server RADIUS. Loro-lorone ngalih miwiti loro authenticator lan mesin negara panyuwun. Nalika saklar ndeteksi yen kanca-kanca nduweni akses menyang server RADIUS, mungkasi mesin negara authenticator dhewe lan nganggep peran panyuwun. Yen loro switch duwe akses menyang server RADIUS, switch pisanan sing nampa respon saka server RADIUS dadi authenticator lan switch liyane dadi panyuwun.

Cisco TrustSec Authentication Summary

Ing pungkasan proses otentikasi Cisco TrustSec, server otentikasi wis nindakake tumindak ing ngisor iki:

Diverifikasi identitas panyuwun lan authenticator.

Authenticated pangguna yen panyuwun minangka piranti endpoint.

Ing pungkasan proses otentikasi Cisco TrustSec, loro authenticator lan panyuwun ngerti ing ngisor iki:

ing ngisor iki:

ID piranti saka peer
Cisco TrustSec informasi kemampuan saka peer

Tombol digunakake kanggo SAP

Identitas piranti

Cisco TrustSec ora nggunakake alamat IP utawa alamat MAC minangka identitas piranti. Nanging, sampeyan nemtokake jeneng (ID piranti) kanggo saben Cisco TrustSec-bisa ngalih kanggo ngenali unik ing domain Cisco TrustSec. ID piranti iki digunakake kanggo ing ngisor iki:

Nggoleki kabijakan wewenang

Nggoleki sandhi ing basis data sajrone otentikasi

Kredensial piranti

Cisco TrustSec ndhukung kredensial adhedhasar sandi. Cisco TrustSec authenticates supplicants liwat sandhi lan nggunakake MSCHAPv2 kanggo nyedhiyani bukti asli bebarengan.

Server otentikasi nggunakake kapercayan kasebut kanggo saling keasliane panyuwun sajrone pertukaran EAP-FAST phase 0 (provisioning) ing ngendi PAC diwenehake ing panyuwun. Cisco TrustSec ora nindakake EAP-CEPAT phase 0 exchange maneh nganti PAC kadaluwarsa, lan mung nindakake EAP-cepet phase 1 lan phase 2 ijol-ijolan kanggo link bringups mangsa. Ijol-ijolan EAP-FAST phase 1 nggunakake PAC kanggo mutusake siji-sijine server otentikasi lan panyuwun. Cisco TrustSec nggunakake kredensial piranti mung sak provisioning PAC (utawa reprovisioning) langkah.

Nalika panyuwun pisanan gabung karo domain Cisco TrustSec, server otentikasi ngetutake panyuwun lan nyurung tombol sing dienggo bareng lan token ndhelik menyang panyuwun karo PAC. Server otentikasi lan panyuwun nggunakake tombol lan token iki kanggo otentikasi bebarengan ing kabeh ijol-ijolan fase 0 EAP-FAST ing mangsa ngarep.

Kredensial Panganggo

Cisco TrustSec ora mbutuhake jinis tartamtu saka credential pangguna kanggo piranti endpoint. Sampeyan bisa milih jinis cara otentikasi pangguna sing didhukung dening server otentikasi, lan nggunakake kredensial sing cocog. Kanggo example, Cisco Secure Access Control System (ACS) versi 5.1 ndhukung MSCHAPv2, kertu token umum (GTC), utawa sandi siji-wektu RSA (OTP)

Kontrol Akses Berbasis Kelompok Keamanan
Bagean iki nyedhiyakake informasi babagan dhaptar kontrol akses basis grup keamanan (SGACLs).

Grup Keamanan lan SGT
Grup keamanan minangka klompok pangguna, piranti endpoint, lan sumber daya sing nuduhake kabijakan kontrol akses. Kelompok keamanan ditetepake dening administrator ing Cisco ISE utawa Cisco Secure ACS. Nalika pangguna lan piranti anyar ditambahake menyang domain Cisco TrustSec, server otentikasi menehi entitas anyar iki menyang grup keamanan sing cocog. Cisco TrustSec menehi kanggo saben klompok keamanan nomer grup keamanan 16-dicokot unik kang orane katrangan global ing domain Cisco TrustSec. Jumlah klompok keamanan ing piranti diwatesi karo jumlah entitas jaringan sing diasuransiake. Sampeyan ora kudu ngatur nomer grup keamanan kanthi manual.

Sawise piranti wis keasliane, Cisco TrustSec tags paket apa wae sing asale saka piranti kasebut kanthi grup keamanan tag (SGT) sing ngemot nomer klompok keamanan piranti. Paket kasebut nggawa SGT iki ing saindhenging jaringan ing header Cisco TrustSec. SGT minangka label siji sing nemtokake hak istimewa saka sumber ing kabeh perusahaan.

Amarga SGT ngemot klompok keamanan sumber, ing tag bisa diarani minangka sumber SGT. Piranti tujuan uga ditugasake menyang grup keamanan (SG tujuan) sing bisa diarani kanthi gampang minangka grup tujuan. tag (DGT), sanajan paket Cisco TrustSec nyata tag ora ngemot nomer grup keamanan piranti sing dituju.

Dhukungan ACL Group Keamanan
Dhaptar kontrol akses grup keamanan (SGACLs) minangka penegakan kabijakan ing ngendi administrator bisa ngontrol operasi sing ditindakake pangguna, adhedhasar tugas klompok keamanan lan sumber daya tujuan. Penegakan kebijakan ing domain Cisco Trustsec diwakili dening matriks ijin, kanthi nomer grup keamanan sumber ing siji sumbu lan nomer grup keamanan tujuan ing sumbu liyane. Saben sel ing matriks ngemot dhaptar SGACL sing diurutake, sing nemtokake ijin sing kudu ditrapake kanggo paket sing asale saka IP sing ana ing grup keamanan sumber lan duwe IP tujuan sing kalebu ing grup keamanan tujuan.

SGACL nyedhiyakake mekanisme kontrol akses tanpa negara adhedhasar asosiasi keamanan utawa grup keamanan tag Nilai tinimbang alamat IP lan saringan. Ana telung cara kanggo nyedhiyakake kabijakan SGACL:

Penyediaan kabijakan statis: Kawicaksanan SGACL ditetepake dening pangguna nggunakake perintah cts ijin adhedhasar peran.

Penyediaan kebijakan dinamis: Konfigurasi kawicaksanan SGACL kudu ditindakake utamane liwat fungsi manajemen kebijakan Cisco Secure ACS utawa Cisco Identity Services Engine.
Ganti wewenang (CoA): Kabijakan sing dianyari diundhuh nalika kabijakan SGACL diowahi ing ISE lan CoA di-push menyang piranti Cisco TrustSec.
Pesawat data piranti nampa paket CoA saka panyedhiya kebijakan (ISE) lan ngetrapake kebijakan kasebut menyang paket CoA. Paket kasebut banjur diterusake menyang bidang kontrol piranti ing ngendi tingkat penegakan kebijakan sabanjure ditindakake kanggo paket CoA sing mlebu. Kanggo view informasi counter kabijakan hardware lan piranti lunak, mbukak printah cts adhedhasar peran counters ing mode EXEC ndarbeni hak istimewa.

Kawicaksanan SGACL

Nggunakake dhaptar kontrol akses grup keamanan (SGACL), sampeyan bisa ngontrol operasi sing bisa ditindakake pangguna adhedhasar tugas klompok keamanan pangguna lan sumber daya tujuan. Penegakan kebijakan ing domain Cisco TrustSec diwakili dening matriks ijin, kanthi nomer grup keamanan sumber ing siji sumbu lan nomer grup keamanan tujuan ing sumbu liyane. Saben sel ing awak matriks bisa ngemot dhaptar pesenan SGACL sing nemtokake ijin sing kudu ditrapake kanggo paket sing asale saka grup keamanan sumber lan ditemtokake kanggo grup keamanan tujuan.

Gambar ing ngisor iki nuduhake mantanample saka matriks ijin Cisco TrustSec kanggo domain prasaja karo telung peran pangguna ditetepake lan siji sumber tujuan ditetepake. Telung kabijakan SGACL ngontrol akses menyang server tujuan adhedhasar peran pangguna.

Gambar 3: Matriks Kebijakan SGACL Example

CISCO Trustsec Mbangun Jaringan Aman - Gambar 3

Kanthi menehi pangguna lan piranti ing jaringan menyang klompok keamanan lan ngetrapake kontrol akses antarane klompok keamanan, Cisco TrustSec entuk kontrol akses mandiri topologi adhedhasar peran ing jaringan kasebut. Amarga SGACLs nemtokake kawicaksanan kontrol akses adhedhasar identitas piranti tinimbang alamat IP kaya ing ACLs tradisional, piranti jaringan bebas pindhah ing saindhenging jaringan lan ngganti alamat IP.
Anggere peran lan ijin tetep padha, owah-owahan ing topologi jaringan ora ngganti kabijakan keamanan. Nalika pangguna ditambahake menyang piranti, sampeyan mung nemtokake pangguna menyang grup keamanan sing cocog lan pangguna langsung nampa ijin saka grup kasebut.

Kawicaksanan SGACL ditrapake kanggo lalu lintas sing diasilake antarane rong piranti inang, ora kanggo lalu lintas sing diasilake saka piranti menyang piranti inang pungkasan.

Nggunakake ijin adhedhasar peran banget nyuda ukuran ACLs lan simplifies pangopènan. Kanthi Cisco TrustSec, jumlah entri kontrol akses (ACE) sing dikonfigurasi ditemtokake dening jumlah ijin sing ditemtokake, nyebabake jumlah ACE sing luwih cilik tinimbang ing jaringan IP tradisional. Panggunaan SGACLs ing Cisco TrustSec biasane nyebabake luwih efisien nggunakake sumber TCAM dibandhingake karo ACL tradisional. Maksimum 17,500 kabijakan SGACL didhukung ing Catalyst 9500 Series Switches. Ing Catalyst 9500 High Performance Series Ngalih, maksimum 28,224 SGACL kawicaksanan didhukung.

Ingress Tagging lan Egress Enforcement

kontrol akses Cisco TrustSec dipun ginakaken nggunakake ingress tagpenegakan ging lan egress. Ing titik ingress menyang domain Cisco TrustSec, lalu lintas saka sumber punika tagged karo SGT ngemot nomer grup keamanan entitas sumber. SGT disebarake kanthi lalu lintas ing domain kasebut. Ing titik egress saka domain Cisco TrustSec, piranti egress nggunakake SGT sumber lan nomer grup keamanan saka entitas tujuan (SG tujuan, utawa DGT) kanggo nemtokake kabijakan akses kanggo aplikasi saka matriks privasi SGACL.

Tokoh ing ngisor iki nuduhake carane assignment SGT lan penegakan SGACL operate ing domain Cisco TrustSec.

Figure 4: SGT lan SGACL ing Cisco TrustSec Domain

CISCO Trustsec Mbangun Jaringan Aman - Gambar 4

PC inang ngirim paket menyang web server. Senajan PC lan ing web server ora anggota saka domain Cisco TrustSec, path data paket kalebu domain Cisco TrustSec.

Piranti ingress Cisco TrustSec ngowahi paket kanggo nambah SGT karo nomer grup keamanan 3, nomer grup keamanan diutus dening server otentikasi kanggo PC inang.
Piranti egress Cisco TrustSec ngetrapake kabijakan SGACL sing ditrapake kanggo grup sumber 3 lan grup tujuan 4, nomer grup keamanan sing diwenehake dening server otentikasi kanggo web server.

Yen SGACL ngidini paket bisa diterusake, switch egress Cisco TrustSec ngowahi paket kanggo mbusak SGT lan nerusake paket menyang web server.

Nemtokake Grup Keamanan Sumber

Piranti jaringan nalika mlebu domain Cisco TrustSec kudu nemtokake SGT paket sing mlebu domain Cisco TrustSec supaya bisa tag paket karo SGT sing nalika nerusake menyang domain Cisco TrustSec. Piranti jaringan egress kudu nemtokake SGT saka paket supaya bisa aplikasi SGACL.

Piranti jaringan bisa nemtokake SGT kanggo paket ing salah siji saka cara ing ngisor iki:

Diwenehi sumber SGT sak kawicaksanan disualekno-Sawise fase bukti asli Cisco TrustSec, piranti jaringan entuk informasi privasi saka server otentikasi, kang nuduhake apa piranti peer dipercaya utawa ora. Yen piranti peer ora dipercaya, banjur server otentikasi uga bisa nyedhiyani SGT kanggo aplikasi kanggo kabeh paket teka saka piranti peer.

Entuk SGT sumber saka paket-Yen paket teka saka piranti peer dipercaya, paket kaleksanane SGT. Iki ditrapake kanggo piranti jaringan sing ora piranti jaringan pisanan ing domain Cisco TrustSec kanggo paket.
Goleki SGT sumber adhedhasar identitas sumber-Kanthi Identity Port Mapping (IPM), sampeyan bisa kanthi manual ngatur link karo identitas peer disambungake. Piranti jaringan njaluk informasi kebijakan, kalebu SGT lan negara kepercayaan, saka server otentikasi.
Goleki SGT sumber adhedhasar alamat IP sumber-Ing sawetara kasus, sampeyan bisa kanthi manual ngatur kabijakan kanggo mutusaké SGT paket adhedhasar alamat IP sumber. SGT Exchange Protocol (SXP) uga bisa ngisi tabel pemetaan IP-address-to-SGT.

Nemtokake Grup Keamanan Tujuan

Piranti jaringan egress ing domain Cisco TrustSec nemtokake klompok tujuan (DGT) kanggo aplikasi SGACL. Piranti jaringan nemtokake grup keamanan tujuan kanggo paket nggunakake cara sing padha digunakake kanggo nemtokake grup keamanan sumber, kajaba njupuk nomer grup saka paket. tag. Nomer grup keamanan tujuan ora kalebu ing paket tag.

Ing sawetara kasus, piranti mlebu utawa piranti non-egress liyane bisa uga duwe informasi grup tujuan sing kasedhiya. Ing kasus kasebut, SGACL bisa uga ditrapake ing piranti kasebut tinimbang piranti egress.

Penegakan SGACL ing Lalu Lintas Rute lan Ngalih
Penegakan SGACL mung ditrapake ing lalu lintas IP, nanging penegakan bisa ditrapake kanggo lalu lintas sing dialihake utawa dialihake.
Kanggo lalu lintas rute, penegakan SGACL dileksanakake dening switch egress, biasane switch distribusi utawa switch akses karo port routed nyambung menyang host tujuan. Yen sampeyan ngaktifake penegakan SGACL sacara global, penegakan otomatis diaktifake ing saben antarmuka Lapisan 3 kajaba antarmuka SVI.

Kanggo lalu lintas sing dialihake, penegakan SGACL ditindakake ing lalu lintas sing mili ing domain switching siji tanpa fungsi nuntun. Mantanample bakal penegakan SGACL dileksanakake dening ngalih akses pusat data ing lalu lintas server-kanggo-server antarane loro server disambungake langsung. Ing mantan ikiampNanging, lalu lintas server-kanggo-server biasane bakal dialihake. Penegakan SGACL bisa ditrapake kanggo paket sing diuripake ing VLAN utawa diterusake menyang SVI sing digandhengake karo VLAN, nanging penegakan kudu diaktifake kanthi tegas kanggo saben VLAN.

SGACL Logging lan ACE Statistik

Nalika logging diaktifake ing SGACL, piranti nyathet informasi ing ngisor iki:

Klompok keamanan sumber tag (SGT) lan tujuan SGT
Jeneng kabijakan SGACL
Tipe protokol paket
Tumindak sing ditindakake ing paket kasebut

Opsi log ditrapake kanggo ACE individu lan nyebabake paket sing cocog karo ACE bakal dicathet. Paket pisanan sing dicathet nganggo tembung kunci log ngasilake pesen syslog. Pesen log sakteruse digawe lan dilaporake kanthi interval limang menit. Yen ACE aktif logging cocog karo paket liyane (kanthi karakteristik sing padha karo paket sing ngasilake pesen log), jumlah paket sing cocog ditambahake (counter) banjur dilaporake.

Kanggo ngaktifake logging, gunakake tembung kunci log ing ngarepe definisi ACE ing konfigurasi SGACL. Kanggo example, izin ip log.

Nalika SGACL logging diaktifake, ICMP Request pesen saka piranti kanggo klien ora mlebu
protokol IPv4 lan IPv6. Nanging; Pesen Response ICMP saka klien menyang piranti dicathet.

Ing ngisor iki minangkaample log, nampilake sumber lan tujuan SGTs, ACE cocog (kanggo ijin utawa nolak tumindak), lan protokol, sing, TCP, UDP, IGMP, lan informasi ICMP:

* 2 Juni 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: daftar deny_udp_src_port_log-30 Ditolak udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT

Saliyane statistik SGACL 'saben sel' sing wis ana, sing bisa ditampilake nggunakake adhedhasar peran show cts.
printah counters, sampeyan uga bisa nampilake statistik ACE, kanthi nggunakake printah show ip access-list sgacl_name. Ora ana konfigurasi tambahan sing dibutuhake kanggo iki.
Ex ing ngisor ikiample nuduhake carane sampeyan bisa nggunakake printah akses-dhaftar show ip kanggo nampilake count ACE

Piranti# nuduhake ip akses-kontrol deny_udp_src_port_log-30
Dhaptar akses IP basis peran deny_udp_src_port_log-30 (diundhuh)
10 nolak udp src eq 100 log (283 cocog)
20 idin ip log (50 cocog)

Nalika lalu lintas mlebu cocog karo sel, nanging ora cocog karo SGACL sel, lalu lintas diijini lan counters sing incremented ing HW-Ijin kanggo sel.

Ex ing ngisor ikiampnuduhake carane SGACL saka sel bisa dianggo:

Kabijakan SGACL dikonfigurasi saka 5 nganti 18 kanthi "nolak icmp echo" lan ana lalu lintas mlebu saka 5 nganti 18 kanthi header TCP. Yen sel cocog saka 5 nganti 18 nanging lalu lintas ora cocog karo icmp, lalu lintas bakal diidini lan counter HW-Permit saka sel 5 nganti 18 bakal ditambah.

CISCO Trustsec Mbangun Jaringan Aman - Kabijakan SGACL dikonfigurasi saka 5 nganti 18 kanthi "nolak gema icmp

VRF-sadar SGACL Logging

Log sistem SGACL bakal kalebu informasi VRF. Saliyane kolom sing lagi dicathet, informasi logging bakal kalebu jeneng VRF. Informasi logging sing dianyari bakal ditampilake ing ngisor iki:

*15 Nov 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Deny' protocol='tcp' src-vrf='CTS -ip='25::2′ src-port='20'
dest-vrf = 'CTS-VRF' dest-ip = '49:: 2' dest-port = '30' sgt = '200' dgt = '500' logging_interval_hits = '1'

Mode Monitor SGACL
Sajrone fase pra-penyebaran Cisco TrustSec, administrator bakal nggunakake mode monitor kanggo nyoba kabijakan keamanan tanpa dileksanakake kanggo mesthekake yen kabijakan kasebut bisa digunakake. Yen kabijakan keamanan ora bisa digunakake kaya sing dikarepake, mode monitor nyedhiyakake mekanisme sing trep kanggo ngenali lan menehi kesempatan kanggo mbenerake kabijakan kasebut sadurunge ngaktifake penegakan SGACL. Iki ngidini administrator nambah visibilitas kanggo asil saka tumindak kabijakan sadurunge dileksanakake, lan konfirmasi yen kabijakan subyek nyukupi syarat keamanan (akses ditolak kanggo sumber daya yen pangguna ora.
sah).
Kapabilitas ngawasi kasedhiya ing tingkat pasangan SGT-DGT. Nalika sampeyan ngaktifake fitur mode ngawasi SGACL, tumindak nolak dipun ginakaken minangka ijin ACL ing kertu baris. Iki ngidini counters SGACL lan logging kanggo nampilake carane sambungan ditangani dening privasi SGACL. Amarga kabeh lalu lintas sing dipantau diidini, ora ana gangguan layanan amarga SGACL nalika ana ing mode monitor SGACL.

Wewenang lan Akuisisi Kebijakan

Sawise otentikasi piranti rampung, panyuwun lan authenticator entuk kabijakan keamanan saka server otentikasi. Loro kanca kasebut banjur nindakake wewenang link lan ngetrapake kabijakan keamanan link marang saben liyane adhedhasar ID piranti Cisco TrustSec. Cara otentikasi link bisa dikonfigurasi minangka 802.1X utawa otentikasi manual. Yen keamanan link 802.1X, saben kanca nggunakake ID piranti sing ditampa saka server otentikasi. Yen keamanan link manual, sampeyan kudu nemtokake ID piranti peer.

Server otentikasi ngasilake atribut kabijakan ing ngisor iki:

Cisco TrustSec dateng-Nunjukake apa piranti peer bakal dipercaya kanggo tujuan sijine SGT ing paket.
Peer SGT-Nuduhake klompok keamanan sing peer belongs. Yen peer ora dipercaya, kabeh paket sing ditampa saka peer kasebut tagged karo SGT iki. Yen piranti ora ngerti apa SGACLs digandhengake karo SGT peer, piranti bisa ngirim panjalukan tindakake-munggah menyang server bukti asli kanggo download SGACLs.
Wektu kadaluwarsa wewenang-Nduduhake jumlah detik sadurunge kabijakan kadaluwarsa. Piranti Cisco TrustSec kudu nyegerake kabijakan lan wewenange sadurunge ilang. Piranti kasebut bisa nyimpen data otentikasi lan kabijakan lan nggunakake maneh sawise urip maneh yen data kasebut durung kadaluwarsa.

Saben piranti Cisco TrustSec kudu ndhukung sawetara kabijakan akses standar minimal yen ora bisa hubungi server bukti asli kanggo njaluk kabijakan cocok kanggo peer.

Proses negosiasi NDAC lan SAP ditampilake ing gambar ing ngisor iki

Gambar 5: Rembugan NDAC lan SAP

CISCO Trustsec Mbangun Jaringan Aman - Gambar 5

Ngundhuh Data Lingkungan

Data lingkungan Cisco TrustSec iku kumpulan informasi utawa kawicaksanan sing mbantu piranti kanggo fungsi minangka simpul Cisco TrustSec. Piranti kasebut entuk data lingkungan saka server otentikasi nalika piranti pisanan gabung karo domain Cisco TrustSec, sanajan sampeyan uga bisa kanthi manual ngatur sawetara data ing piranti. Kanggo example, sampeyan kudu ngatur wiji piranti Cisco TrustSec karo informasi server bukti asli, kang mengko bisa ditambah dening dhaftar server sing piranti ndarbeni saka server bukti asli.

Piranti kasebut kudu refresh data lingkungan Cisco TrustSec sadurunge kadaluwarsa. Piranti kasebut uga bisa nyimpen data lingkungan lan nggunakake maneh sawise urip maneh yen data durung kadaluwarsa.

Piranti kasebut nggunakake RADIUS kanggo entuk data lingkungan ing ngisor iki saka server otentikasi:

Dhaptar server: Dhaptar server sing bisa digunakake klien kanggo panjalukan RADIUS ing mangsa ngarep (kanggo otentikasi lan wewenang). Refresh PAC kedadeyan liwat server kasebut.
Piranti SG: Klompok keamanan sing nduweni piranti kasebut.
Wektu entek: Interval sing ngontrol sepira kerepe piranti Cisco TrustSec kudu refresh data lingkungane.

RADIUS Relay Fungsi

Piranti sing main peran saka Cisco TrustSec authenticator ing proses bukti asli 802.1X wis panyambungan IP kanggo server bukti asli, ngidini piranti kanggo ndarbeni privasi lan wewenang saka server bukti asli dening ijol-ijolan pesen RADIUS liwat UDP / IP. Piranti panyuwun bisa uga ora duwe konektivitas IP karo server otentikasi. Ing kasus kaya mengkono, Cisco TrustSec ngidini authenticator tumindak minangka relay RADIUS kanggo panyuwun.

Panyuwun ngirim pesen EAPOL khusus menyang authenticator sing ngemot alamat IP server RADIUS lan port UDP lan panjaluk RADIUS lengkap. Authenticator ngekstrak panjalukan RADIUS saka pesen EAPOL sing ditampa lan dikirim liwat UDP/IP menyang server otentikasi. Nalika respon RADIUS bali saka server bukti asli, authenticator nerusake pesen bali menyang panyuwun, encapsulated ing pigura EAPOL.

Link Keamanan

Nalika loro-lorone link ndhukung 802.1AE Media Access Control Security (MACsec), rembugan protokol asosiasi keamanan (SAP) dileksanakake. Ijol-ijolan EAPOL-Key dumadi antarane panjaluk lan authenticator kanggo rembugan suite cipher, ngganti paramèter keamanan, lan ngatur tombol. Rampung kanthi sukses kabeh telung tugas kasebut nyebabake panyiapan asosiasi keamanan (SA).

Gumantung ing versi piranti lunak, lisensi crypto, lan dhukungan hardware link, negosiasi SAP bisa nggunakake salah siji saka mode operasi ing ngisor iki:

Galois / Counter Mode (GCM) - Nemtokake otentikasi lan enkripsi
Otentikasi GCM (GMAC) - Nemtokake otentikasi lan ora ana enkripsi
Ora Enkapsulasi - Nemtokake ora enkapsulasi (teks sing jelas)
Null - Nemtokake enkapsulasi, ora ana otentikasi lan ora ana enkripsi

Kabeh mode kajaba Ora Encapsulation mbutuhake hardware Cisco TrustSec-mampu.

Konfigurasi SAP-PMK kanggo Keamanan Link

SXP kanggo SGT Propagation Across Legacy Access Networks
Tagpaket ging karo SGTs mbutuhake support hardware. Sampeyan bisa uga duwe piranti ing jaringan sing, nalika bisa melu otentikasi Cisco TrustSec, ora duwe kemampuan hardware kanggo tag paket karo

SGT. Kanthi nggunakake SGT Exchange Protocol (SXP), piranti iki bisa pass IP-alamat-kanggo-SGT pemetaan kanggo piranti Cisco TrustSec peer sing wis Cisco TrustSec-bisa hardware.

SXP biasane makaryakke antarane piranti lapisan akses ingress ing pinggiran domain Cisco TrustSec lan piranti lapisan distribusi ing domain Cisco TrustSec. Piranti lapisan akses nindakake Cisco TrustSec bukti asli saka piranti sumber external kanggo nemtokake SGTs cocok kanggo paket ingress. Piranti lapisan akses sinau alamat IP piranti sumber nggunakake pelacakan piranti IP lan (opsional) DHCP snooping, banjur nggunakake SXP kanggo ngirim alamat IP piranti sumber bebarengan karo SGTs menyang piranti distribusi.
Piranti distribusi karo hardware Cisco TrustSec-bisa nggunakake informasi pemetaan IP-kanggo-SGT iki kanggo tag paket kanthi tepat lan kanggo ngetrapake kabijakan SGACL.

Gambar 6: Protokol SXP kanggo nyebarake Informasi SGT

CISCO Trustsec Mbangun Jaringan Aman - Gambar 6

Sampeyan kudu kanthi manual ngatur sambungan SXP antarane peer tanpa support hardware Cisco TrustSec lan peer karo support hardware Cisco TrustSec. Tugas ing ngisor iki dibutuhake nalika ngatur sambungan SXP:

Yen sampeyan mbutuhake integritas lan otentikasi data SXP, sampeyan kudu ngatur sandhi SXP sing padha ing piranti loro-lorone. Sampeyan bisa ngatur sandi SXP salah siji tegas kanggo saben sambungan peer utawa global kanggo piranti. Senajan sandi SXP ora dibutuhake, disaranake nggunakake.
Sampeyan kudu ngatur saben peer ing sambungan SXP minangka speaker SXP utawa pamireng SXP. Piranti speaker nyebarake informasi pemetaan IP-to-SGT menyang piranti pamireng.

Sampeyan bisa nemtokake alamat IP sumber sing digunakake kanggo saben hubungan peer utawa sampeyan bisa ngatur alamat IP sumber standar kanggo sambungan peer ing ngendi sampeyan durung ngatur alamat IP sumber tartamtu. Yen sampeyan ora nemtokake alamat IP sumber, piranti bakal nggunakake alamat IP antarmuka sambungan menyang peer.

SXP ngidini sawetara hop. Sing, yen peer piranti kurang support hardware Cisco TrustSec uga kurang support hardware Cisco TrustSec, peer kapindho bisa duwe sambungan SXP kanggo peer katelu, terus panyebaran informasi pemetaan IP-kanggo-SGT nganti hardware a- peer saged tekan. Piranti bisa diatur minangka pamireng SXP kanggo siji sambungan SXP minangka speaker SXP kanggo sambungan SXP liyane.

Piranti Cisco TrustSec njaga konektivitas karo kanca-kanca SXP kanthi nggunakake mekanisme TCP keepalive.
Kanggo nggawe utawa mulihake sambungan peer, piranti bakal bola-bali nyoba persiyapan sambungan nggunakake periode nyoba maneh sing bisa dikonfigurasi nganti sambungan sukses utawa nganti sambungan dibusak saka konfigurasi.

Lapisan 3 SGT Transport kanggo Spanning Non-TrustSec Regions

Nalika paket ninggalake domain Cisco TrustSec kanggo tujuan non-TrustSec, piranti egress Cisco TrustSec mbusak header Cisco TrustSec lan SGT sadurunge nerusake paket menyang jaringan njaba. Yen, Nanging, paket mung ngliwati domain non-TrustSec ing dalan menyang domain Cisco TrustSec liyane, minangka ditampilake ing tokoh ing ngisor iki, SGT bisa wadi kanthi nggunakake Cisco TrustSec Layer 3 fitur SGT Transport. Ing fitur iki, piranti egress Cisco TrustSec encapsulates paket karo header ESP sing kalebu salinan SGT. Nalika paket encapsulated teka ing domain Cisco TrustSec sabanjuré, ingress piranti Cisco TrustSec mbusak encapsulation ESP lan propagates paket karo SGT sawijining.

Gambar 7: Spanning domain Non-TrustSec

CISCO Trustsec Mbangun Jaringan Aman - Gambar 7

Kanggo ndhukung Cisco TrustSec Layer 3 SGT Transport, piranti apa wae sing bakal dadi Cisco TrustSec ingress utawa egress Layer 3 gateway kudu njaga database kabijakan lalu lintas sing nyathet subnet sing layak ing domain Cisco TrustSec sing adoh lan uga subnet sing ora kalebu ing wilayah kasebut. Sampeyan bisa ngatur database iki kanthi manual ing saben piranti yen padha ora bisa diundhuh kanthi otomatis saka Cisco Secure ACS.

Piranti bisa ngirim data Layer 3 SGT Transport saka siji port lan nampa Layer 3 SGT data Transport ing port liyane, nanging loro ingress lan egress bandar kudu Cisco TrustSec-bisa hardware.

Cisco TrustSec ora encrypt Layer 3 SGT Transport paket encapsulated. Kanggo nglindhungi paket sing ngliwati domain non-TrustSec, sampeyan bisa ngatur cara proteksi liyane, kayata IPsec.

VRF-Aware SXP

Implementasine SXP saka Virtual Routing and Forwarding (VRF) njiret sambungan SXP karo VRF tartamtu. Dianggep topologi jaringan wis dikonfigurasi kanthi bener kanggo Layer 2 utawa Layer 3 VPN, kanthi kabeh VRF dikonfigurasi sadurunge ngaktifake Cisco TrustSec.

Dhukungan SXP VRF bisa diringkes kaya ing ngisor iki:

Mung siji sambungan SXP bisa kaiket siji VRF.
VRF sing beda-beda bisa uga duwe alamat IP peer SXP utawa sumber sing tumpang tindih.

Pemetaan IP-SGT sing dipelajari (ditambah utawa dibusak) ing siji VRF mung bisa dianyari ing domain VRF sing padha.
Sambungan SXP ora bisa nganyari pemetaan bound kanggo VRF beda. Yen ora ana sambungan SXP sing metu kanggo VRF, pemetaan IP-SGT kanggo VRF kasebut ora bakal dianyari dening SXP.
Multiple alamat kulawarga saben VRF didhukung. Mulane, siji sambungan SXP ing domain VRF bisa nerusake loro pemetaan IPV4 lan IPV6 IP-SGT.
SXP ora duwe watesan babagan jumlah sambungan lan jumlah pemetaan IP-SGT saben VRF.

Lapisan 2 VRF-Aware SXP lan VRF Assignment

VRF kanggo Layer 2 VLANs assignments ditemtokake karo cts peran basis l2-vrf vrf-jeneng vlan-dhaftar printah konfigurasi global. A VLAN dianggep Layer 2 VLAN anggere ora ana switch antarmuka virtual (SVI) karo alamat IP diatur ing VLAN. VLAN dadi Layer 3 VLAN yen alamat IP dikonfigurasi ing SVI.

Tugas VRF sing dikonfigurasi dening cts role-based l2-vrf printah aktif anggere VLAN tetep Layer 2 VLAN. Ikatan IP-SGT sing dipelajari nalika tugas VRF aktif uga ditambahake ing tabel Forwarding Information Base (FIB) sing digandhengake karo VRF lan versi protokol IP. Yen SVI dadi aktif kanggo VLAN, VRF kanggo VLAN assignment dadi ora aktif lan kabeh bindings sinau ing VLAN dipindhah menyang Tabel FIB gadhah VRF SVI.

VRF kanggo VLAN assignment disimpen sanajan assignment dadi ora aktif. Diaktifake maneh nalika SVI dibusak utawa nalika alamat IP SVI deconfigured. Nalika diaktifake maneh, ikatan IP-SGT dipindhah maneh saka tabel FIB sing digandhengake karo VRF SVI menyang tabel FIB sing digandhengake karo VRF sing diwenehake dening perintah l2-vrf adhedhasar peran cts.

Sajarah Feature kanggo Cisco TrustSec Swaraview

Tabel iki nyedhiyakake release lan informasi sing gegandhengan karo fitur sing diterangake ing modul iki.
Fitur-fitur kasebut kasedhiya ing kabeh rilis sakbanjure sing padha dikenalaké ing, kajaba nyatet liyane.

CISCO Trustsec Mbangun Jaringan Aman - Sajarah Fitur kanggo Cisco TrustSec Swaraview

Gunakake Cisco Feature Navigator kanggo golek informasi babagan platform lan support gambar lunak. Kanggo ngakses
Cisco Feature Navigator, menyang http://www.cisco.com/go/cfn.

Dokumen / Sumber Daya

CISCO Trustsec Mbangun Jaringan Aman [pdf] Pandhuan pangguna
Trustsec Mbangun Jaringan Aman, Trustsec, Mbangun Jaringan Aman, Jaringan Aman, Jaringan

Referensi

Manual pangguna

Informasi babagan Arsitektur Cisco TrustSec

Dokumen / Sumber Daya

Referensi

Ninggalake komentar

Batal balesan