CISCO Trustsec гради безбеден
 Упатство за користење на мрежата
CISCO Trustsec гради упатство за употреба на безбедна мрежаCisco TrustSec гради безбедни мрежи преку воспоставување домени на доверливи мрежни уреди. Секој уред во доменот е автентициран од неговите колеги. Комуникацијата на врските помеѓу уредите во доменот е обезбедена со комбинација на шифрирање, проверка на интегритетот на пораките и механизми за заштита од повторување на патеката на податоци.
Ограничувања за Cisco TrustSec
  • Обезбедувањето акредитиви за заштитен пристап (PAC) не успева и останува во состојба на закачување, кога е наведен неважечки ID на уред. Дури и по расчистување на PAC и конфигурирање на точниот ID и лозинка на уредот, PAC сè уште не успева.
    Како решение, во Cisco Identity Services Engine (ISE), отштиклирајте го Suppress Anomalous Clients
    опција во менито Администрација> Систем> Поставки> Протоколи> Радиус за да работи PAC.
  • Cisco TrustSec не е поддржан во режим FIPS.
  • Следниве ограничувања се применливи само за моделот C9500X-28C8D на прекинувачите од серијата Cisco Catalyst 9500:
    • Рачната конфигурација на Cisco TrustSec не е поддржана.
    • Функционалноста на Cisco TrustSec Security Association Protocol (SAP) не е поддржана.
    • Енкапсулацијата на заглавието на метаподатоци Cisco TrustSec не е поддржана.
Содржини скриј
1 Информации за Cisco TrustSec Architecture
2 Документи / ресурси
2.1 Референци

Информации за Cisco TrustSec Architecture

Безбедносната архитектура Cisco TrustSec гради безбедни мрежи преку воспоставување домени на доверливи мрежни уреди. Секој уред во доменот е автентициран од неговите колеги. Комуникацијата на врските помеѓу уредите во доменот е обезбедена со комбинација на шифрирање, проверка на интегритетот на пораките и механизми за заштита од повторување на патеката на податоци. Cisco TrustSec ги користи акредитивите на уредот и корисникот стекнати за време на автентикацијата за класификација на пакетите по безбедносни групи (SGs) додека тие влегуваат во мрежата. Оваа класификација на пакети се одржува од tagging пакети кои влегуваат во мрежата Cisco TrustSec за да можат правилно да се идентификуваат со цел да се применат безбедносни и други критериуми за политика долж патеката на податоци. На tag, повикаа безбедносната група tag (SGT), ѝ овозможува на мрежата да ја спроведе политиката за контрола на пристап со овозможување на уредот за крајна точка да дејствува врз SGT за да го филтрира сообраќајот.
Икона за белешкаВрските на Cisco TrustSec IEEE 802.1X не се поддржани на платформите поддржани во Cisco IOS XE Denali
(16.1.x до 16.3.x), Cisco IOS XE Everest (16.4.x до 16.6.x) и Cisco IOS XE Fuji (16.7.x до 16.9.x), па оттука е поддржан само Authenticator; Апликантот не е поддржан.
Архитектурата Cisco TrustSec вклучува три клучни компоненти:
  • Автентицирана мрежна инфраструктура - Откако првиот уред (наречен уред за семе) ќе се автентицира со серверот за автентикација за да започне доменот Cisco TrustSec, секој нов уред додаден во доменот се автентицира од неговите врснички уреди кои веќе се во доменот. Врсниците дејствуваат како посредници за серверот за автентикација на доменот. Секој ново-автентификуван уред е категоризиран од серверот за автентикација и се доделува број на безбедносна група врз основа на неговиот идентитет, улога и безбедносно држење.
  • Контрола на пристап заснована на група за безбедност - Политиките за пристап во доменот Cisco TrustSec се независни од топологија, врз основа на улогите (како што е наведено со бројот на безбедносната група) на изворните и одредишните уреди, наместо на мрежните адреси. Поединечни пакети се tagозначени со бројот на безбедносната група на изворот.
  • Безбедна комуникација - Со хардвер со можност за шифрирање, комуникацијата на секоја врска помеѓу уредите во доменот може да се обезбеди со комбинација од шифрирање, проверки на интегритетот на пораките и механизми за заштита од повторување на патеката на податоци.
Следната слика покажува поранешенampод доменот Cisco TrustSec. Во овој ексampле, неколку мрежни уреди и уред за крајна точка се во доменот Cisco TrustSec. Еден уред со крајна точка и еден мрежен уред се надвор од доменот затоа што не се уреди способни за Cisco TrustSec или затоа што им бил одбиен пристап. Се смета дека серверот за автентикација е надвор од доменот Cisco TrustSec; тоа е или Cisco Identities Service Engine (Cisco ISE), или Cisco Secure Control System за пристап (Cisco ACS).
Слика 1: Cisco TrustSec мрежен домен Прample
CISCO Trustsec гради безбедна мрежа - Слика 1
Секој учесник во процесот на автентикација на Cisco TrustSec дејствува во една од следниве улоги:
  • Supplicant - неавтентициран уред поврзан со врсник во доменот Cisco TrustSec и кој се обидува да се приклучи на доменот Cisco TrustSec.
  • Сервер за автентикација - Сервер кој го потврдува идентитетот на подносителот на барањето и ги издава политиките што го одредуваат пристапот на подносителот до услугите во доменот Cisco TrustSec.
  • Authenticator — автентициран уред кој веќе е дел од доменот Cisco TrustSec и може да ги автентицира новите врснички молби во име на серверот за автентикација.
Кога прво ќе се појави врската помеѓу молител и автентикатор, обично се случува следната низа на настани:
  1. Автентикација (802.1X) - Подносителот на барањето се автентицира од серверот за автентикација, при што автентикаторот дејствува како посредник. Заемната автентикација се врши помеѓу двата врсници (молител и автентикатор).
  2. Овластување - Врз основа на информациите за идентитетот на подносителот на барањето, серверот за автентикација обезбедува политики за овластување, како што се задачи за безбедносни групи и ACL, за секој од поврзаните врсници. Серверот за автентикација го обезбедува идентитетот на секој врсник на другиот, а секој врсник потоа ја применува соодветната политика за врската.
  3. Преговарање за протоколот за асоцијација за безбедност (SAP) - кога двете страни на врската поддржуваат шифрирање, подносителот на барањето и автентикаторот преговараат за потребните параметри за да воспостават безбедносна асоцијација (SA).
Икона за белешка SAP не е поддржан на 100G интерфејси. Ви препорачуваме да го користите протоколот за договор за клуч MACsec
(MKA) со продолжено нумерирање на пакети (XPN) на 100G интерфејси.
Кога ќе завршат сите три чекори, автентикаторот ја менува состојбата на врската од неовластена (блокирачка) состојба во овластена состојба, а подносителот на барањето станува член на доменот Cisco TrustSec.
Cisco TrustSec користи влез tagЏинг и филтрирање на излез за да се спроведе политиката за контрола на пристап на скалабилен начин. Пакетите кои влегуваат во доменот се tagged со група за безбедност tag (SGT) кој го содржи доделениот број на безбедносна група на изворниот уред. Оваа класификација на пакети се одржува по патеката на податоци во доменот Cisco TrustSec со цел да се применат безбедносни и други критериуми за политика. Конечниот Cisco TrustSec уред на податочната патека, или крајната или мрежната излезна точка, спроведува политика за контрола на пристап заснована на безбедносната група на изворниот уред Cisco TrustSec и безбедносната група на конечниот Cisco TrustSec уред. За разлика од традиционалните списоци за контрола на пристап засновани на мрежни адреси, политиките за контрола на пристап на Cisco TrustSec се форма на списоци за контрола на пристап засновани на улоги (RBACLs) наречени списоци за контрола на пристап на група за безбедност (SGACLs).
Икона за белешкаВлезот се однесува на пакети кои влегуваат во првиот уред способен за Cisco TrustSec на кој наидува пакет на патот до дестинацијата, а излезот се однесува на пакети што го оставаат последниот уред со можност за Cisco TrustSec на патеката.
Автентикација
Cisco TrustSec и автентикација
Користејќи ја контролата за прием на мрежен уред (NDAC), Cisco TrustSec автентицира уред пред да му дозволи да се приклучи на мрежата. NDAC користи автентикација 802.1X со проширлив протокол за автентикација Флексибилна автентикација преку безбеден тунел (EAP-FAST) како метод за проширен протокол за автентикација (EAP) за да се изврши автентикацијата. Разговорите EAP-FAST обезбедуваат други размени на EAP методот внатре во тунелот EAP-FAST користејќи синџири. Администраторите можат да користат традиционални методи за автентикација на корисникот, како што е Протоколот за автентикација на Microsoft Challenge Handshake Version 2 (MSCHAPv2), додека сеуште имаат безбедност обезбедена од тунелот EAP-FAST. За време на размената EAP-FAST, серверот за автентикација создава и доставува до подносителот на барањето единствен заштитен акредитив за пристап (PAC) кој содржи споделен клуч и шифриран токен што ќе се користи за идни безбедни комуникации со серверот за автентикација.
Следната слика ги прикажува тунелот EAP-FAST и внатрешните методи што се користат во Cisco TrustSec.
Слика 2: Cisco TrustSec автентикација
CISCO Trustsec гради безбедна мрежа - Слика 2
Cisco TrustSec подобрувања на EAP-FAST
Имплементацијата на EAP-FAST за Cisco TrustSec ги има следните подобрувања:
  • Проверете го автентикаторот - безбедно го одредува идентитетот на автентикаторот барајќи од автентикаторот да го користи својот PAC за да го изведе споделениот клуч помеѓу него и серверот за автентикација. Оваа функција исто така ве спречува да ги конфигурирате споделените клучеви RADIUS на серверот за автентикација за секоја можна IP адреса што може да ја користи автентикаторот.
  • Известете го секој уред за идентитетот на неговиот врсник - До крајот на размената за автентикација, серверот за автентикација ги идентификуваше и барателот и автентикаторот. Серверот за автентикација го пренесува идентитетот на автентикаторот и дали автентикаторот е способен за Cisco TrustSec, до подносителот на барањето со користење на дополнителни параметри за вредност на тип-должина (TLV) во заштитената завршница EAP-FAST. Серверот за автентикација, исто така, го пренесува идентитетот на подносителот на барањето и дали барателот е способен за Cisco TrustSec, до автентикаторот со користење на атрибутите RADIUS во пораката Access- Accept.
    Бидејќи секој уред го знае идентитетот на својот врсник, може да испрати дополнителни барања за пристап RADIUS до серверот за автентикација за да се стекне политиката што треба да се примени на врската.
802.1X Избор на улоги
Во 802.1X, автентикаторот мора да има IP конекција со серверот за автентикација бидејќи треба да ја пренесе размената на автентикација помеѓу подносителот на барањето и автентикаторот користејќи RADIUS преку UDP/IP. Кога уред за крајна точка, како што е компјутер, се поврзува на мрежа, очигледно е дека треба да функционира како молител. Меѓутоа, во случај на Cisco TrustSec врска помеѓу два мрежни уреди, улогата 802.1X на секој мрежен уред може да не биде веднаш видлива на другиот мрежен уред.
Наместо да бара рачна конфигурација на улогите на автентикатор и молител за два соседни прекинувачи, Cisco TrustSec извршува алгоритам за избор на улоги за автоматски да одреди кој прекинувач функционира како автентикатор, а кој како подносител. Алгоритмот за избор на улоги ја доделува улогата на автентикатор на прекинувачот што има достапност на IP до серверот RADIUS. Двата прекинувачи ги стартуваат и машините за состојбата на автентикаторот и молителот. Кога прекинувачот ќе открие дека неговиот врсник има пристап до серверот RADIUS, тој ја прекинува сопствената машина за состојба на автентикатор и ја презема улогата на подносител. Ако двата прекинувачи имаат пристап до серверот RADIUS, првиот прекинувач што добива одговор од серверот RADIUS станува автентикатор, а другиот прекинувач станува молител.
Резиме за автентикација на Cisco TrustSec
До крајот на процесот на автентикација на Cisco TrustSec, серверот за автентикација ги изврши следните дејства:
  • Потврден идентитетот на подносителот на барањето и автентикаторот.
  • Го автентификуваше корисникот ако подносителот на барањето е уред за крајна точка.
На крајот од процесот на автентикација на Cisco TrustSec, и автентикаторот и подносителот на барањето го знаат следново:
  • следново:
  • ID на уредот на врсникот
  • Информации за способноста на Cisco TrustSec на врсниците
  • Клучот што се користи за SAP
Идентитети на уредот
Cisco TrustSec не користи IP адреси или MAC адреси како идентитети на уредот. Наместо тоа, му доделувате име (ID на уред) на секој прекинувач со можност за Cisco TrustSec за да го идентификувате уникатно во доменот Cisco TrustSec. Овој ID на уред се користи за следново:
  • Ја барате политиката за овластување
  • Барање лозинки во базите на податоци за време на автентикацијата
Акредитиви на уредот
Cisco TrustSec поддржува акредитиви базирани на лозинка. Cisco TrustSec ги автентицира барателите преку лозинки и користи MSCHAPv2 за да обезбеди взаемна автентикација.
Серверот за автентикација ги користи овие акредитиви за взаемна автентичност на подносителот на барањето за време на размената EAP-FAST фаза 0 (обезбедување) каде што е обезбеден PAC во подносителот на барањето. Cisco TrustSec не ја врши размената на EAP-FAST фаза 0 повторно додека не истече PAC, и врши само размена на EAP-FAST фаза 1 и фаза 2 за идни појавувања на врски. Размената на EAP-FAST фаза 1 го користи PAC за меѓусебна автентикација на серверот за автентикација и подносителот на барањето. Cisco TrustSec ги користи ингеренциите на уредот само за време на чекорите за обезбедување (или репровизија) на PAC.
Кога апликантот првпат се приклучува на доменот Cisco TrustSec, серверот за автентикација го автентицира подносителот на барањето и турка споделен клуч и шифриран токен до подносителот на барањето со PAC. Серверот за автентикација и подносителот на барањето го користат овој клуч и токен за меѓусебна автентикација во сите идни EAP-FAST фаза 0 размени.
Кориснички акредитиви
Cisco TrustSec не бара специфичен тип на кориснички акредитиви за уреди со крајна точка. Можете да изберете кој било тип на метод за автентикација на корисникот што е поддржан од серверот за автентикација и да ги користите соодветните ингеренции. За прampLe, Cisco Secure Access Control System (ACS) верзија 5.1 поддржува MSCHAPv2, генеричка токен картичка (GTC) или RSA еднократна лозинка (OTP)
Контрола на пристап базирана на група за безбедност
Овој дел обезбедува информации за листите за контрола на пристап засновани на безбедносни групи (SGACL).
Безбедносни групи и SGT
Безбедносна група е групација на корисници, уреди со крајна точка и ресурси кои споделуваат политики за контрола на пристап. Безбедносните групи ги дефинира администраторот во Cisco ISE или Cisco Secure ACS. Како што се додаваат нови корисници и уреди во доменот Cisco TrustSec, серверот за автентикација ги доделува овие нови ентитети на соодветни безбедносни групи. Cisco TrustSec доделува на секоја безбедносна група уникатен 16-битен број на безбедносна група чиј опсег е глобален во доменот Cisco TrustSec. Бројот на безбедносни групи во уредот е ограничен на бројот на автентицирани мрежни ентитети. Не мора рачно да ги конфигурирате броевите на безбедносните групи.
Откако уредот е автентициран, Cisco TrustSec tags кој било пакет што потекнува од тој уред со безбедносна група tag (SGT) кој го содржи бројот на безбедносната група на уредот. Пакетот го носи овој SGT низ мрежата во заглавието на Cisco TrustSec. SGT е единствена ознака која ги одредува привилегиите на изворот во целото претпријатие.
Бидејќи SGT ја содржи безбедносната група на изворот, на tag може да се наведе како извор SGT. Уредот за одредиште е исто така доделен на безбедносна група (дестинација SG) која може да се нарече за едноставност како дестинација група tag (DGT), иако вистинскиот Cisco TrustSec пакет tag не го содржи бројот на безбедносната група на одредишниот уред.
Поддршка за ACL за безбедност на групата
Списоците за контрола на пристап на безбедносни групи (SGACL) е спроведување на политиката преку која администраторот може да ги контролира операциите што ги извршува корисникот, врз основа на задачите на безбедносните групи и ресурсите на дестинацијата. Спроведувањето на политиката во доменот Cisco Trustsec е претставено со матрица за дозволи, со број на изворна безбедносна група на едната оска и број на безбедносна група на дестинација на другата оска. Секоја ќелија во матрицата содржи подредена листа на SGACL, која ги специфицира дозволите што треба да се применат на пакети кои потекнуваат од IP што припаѓаат на изворна безбедносна група и имаат дестинација IP што припаѓа на безбедносната група од дестинацијата.
SGACL обезбедува механизам за контрола на пристап без државјанство врз основа на безбедносната асоцијација или група за безбедност tag вредност наместо IP адреси и филтри. Постојат три начини да се обезбеди политика за SGACL:
  • Обезбедување на статички политики: SGACL политиките се дефинирани од корисникот со помош на командата cts дозвола заснована на улоги.
  • Динамично обезбедување политики: Конфигурацијата на SGACL политиките треба да се врши првенствено преку функцијата за управување со политики на Cisco Secure ACS или Cisco Identity Services Engine.
  • Промена на авторизација (CoA): Ажурираната политика се презема кога политиката SGACL е изменета на ISE и CoA се турка на уредот Cisco TrustSec.

    Рамката со податоци на уредот ги прима CoA пакетите од давателот на политиката (ISE) и ја применува политиката на CoA пакетите. Пакетите потоа се проследуваат до контролната рамнина на уредот каде што се случува следното ниво на спроведување на политиката за дојдовните CoA пакети. До view информациите за бројачот на политиката за хардвер и софтвер, извршете ја командата show cts бројачи засновани на улоги во привилегиран режим EXEC.

SGACL политики
Користејќи списоци за контрола на пристап на групи за безбедност (SGACL), можете да ги контролирате операциите што корисниците можат да ги извршуваат врз основа на задачите на безбедносните групи на корисници и ресурсите на дестинацијата. Спроведувањето на политиките во доменот Cisco TrustSec е претставено со матрица за дозволи, со броеви на изворни безбедносни групи на едната оска и броеви на безбедносни групи на дестинации на другата оска. Секоја ќелија во телото на матрицата може да содржи подредена листа на SGACL, која ги специфицира дозволите што треба да се применат на пакетите кои потекнуваат од изворната безбедносна група и наменети за дестинациската безбедносна група.
Следната слика покажува поранешенampод матрицата за дозволи на Cisco TrustSec за едноставен домен со три дефинирани кориснички улоги и еден дефиниран дестинација ресурс. Три SGACL политики го контролираат пристапот до одредишниот сервер врз основа на улогата на корисникот.
Слика 3: SGACL политика Матрица Прample
CISCO Trustsec гради безбедна мрежа - Слика 3
Со доделување корисници и уреди во мрежата на безбедносни групи и примена на контрола на пристап помеѓу безбедносните групи, Cisco TrustSec постигнува контрола на пристап независна од топологија заснована на улоги во мрежата. Бидејќи SGACL ги дефинира политиките за контрола на пристап врз основа на идентитети на уреди наместо IP адреси како во традиционалните ACL, мрежните уреди можат слободно да се движат низ мрежата и да ги менуваат IP адресите.
Сè додека улогите и дозволите остануваат исти, промените во топологијата на мрежата не ја менуваат безбедносната политика. Кога ќе се додаде корисник на уредот, едноставно го доделувате корисникот на соодветна безбедносна група и корисникот веднаш ги добива дозволите од таа група.
Икона за белешкаПолитиките SGACL се применуваат на сообраќајот што се генерира помеѓу два уреда-домаќин, а не на сообраќајот што се генерира од уред до крајниот уред-домаќин.
Користењето дозволи засновани на улоги во голема мера ја намалува големината на ACL и го поедноставува нивното одржување. Со Cisco TrustSec, бројот на конфигурирани записи за контрола на пристап (ACE) се одредува според бројот на наведените дозволи, што резултира со многу помал број на ACE отколку во традиционалната IP мрежа. Употребата на SGACL во Cisco TrustSec обично резултира со поефикасно користење на TCAM ресурсите во споредба со традиционалните ACL. На прекинувачите од серијата Catalyst 17,500 се поддржани најмногу 9500 SGACL политики. На преклопниците од серијата Catalyst 9500 со високи перформанси, поддржани се најмногу 28,224 SGACL политики.
Влегување Tagging и Egress Enforcement
Контролата за пристап на Cisco TrustSec се спроведува со користење на влез tagging и egress спроведување. На влезната точка во доменот Cisco TrustSec, сообраќајот од изворот е tagсо SGT кој го содржи бројот на безбедносната група на изворниот ентитет. SGT се пропагира со сообраќајот низ доменот. На излезната точка на доменот Cisco TrustSec, излезниот уред го користи изворот SGT и бројот на безбедносната група на одредишниот ентитет (дестинацијата SG или DGT) за да одреди која политика за пристап да се примени од матрицата на политиките SGACL.
Следната слика покажува како задачата SGT и спроведувањето SGACL функционираат во доменот Cisco TrustSec.
Слика 4: SGT и SGACL во домен Cisco TrustSec
CISCO Trustsec гради безбедна мрежа - Слика 4
  1. Компјутерот домаќин пренесува пакет до web сервер. Иако компјутерот и web серверот не се членови на доменот Cisco TrustSec, податочната патека на пакетот го вклучува доменот Cisco TrustSec.
  2. Уредот за влез на Cisco TrustSec го модифицира пакетот за да додаде SGT со безбедносна група број 3, број на безбедносна група доделен од серверот за автентикација за компјутерот домаќин.
  3. Излезниот уред Cisco TrustSec ја наметнува политиката SGACL што се применува на изворната група 3 и дестинациската група 4, бројот на безбедносната група доделен од серверот за автентикација за web сервер.
  4. Ако SGACL дозволува пакетот да се препраќа, излезниот прекинувач Cisco TrustSec го модифицира пакетот за да го отстрани SGT и го препраќа пакетот до web сервер.
Одредување на изворна безбедносна група
Мрежен уред на влез во доменот Cisco TrustSec мора да го одреди SGT на пакетот што влегува во доменот Cisco TrustSec за да може tag пакетот со тој SGT кога го препраќа во доменот Cisco TrustSec. Мрежниот уред за излез мора да го одреди SGT на пакетот за да примени SGACL.
Мрежниот уред може да го одреди SGT за пакет на еден од следниве методи:
  • Добијте го изворот SGT за време на стекнување политика - По фазата на автентикација на Cisco TrustSec, мрежниот уред добива информации за политиката од серверот за автентикација, што покажува дали на врсниот уред му е доверлив или не. Ако не му се верува на врснички уред, тогаш серверот за автентикација може исто така да обезбеди SGT за да се примени на сите пакети што доаѓаат од врсниот уред.
  • Добијте го изворот SGT од пакетот-Ако пакетот доаѓа од доверлив врснички уред, пакетот го носи SGT. Ова се однесува на мрежен уред кој не е првиот мрежен уред во доменот Cisco TrustSec за пакетот.
  • Побарајте го изворот SGT врз основа на идентитетот на изворот - Со мапирање на порта за идентитет (IPM), можете рачно да ја конфигурирате врската со идентитетот на поврзаниот врсник. Мрежниот уред бара информации за политиката, вклучувајќи SGT и состојба на доверба, од серверот за автентикација.
  • Побарајте го изворот SGT врз основа на изворната IP адреса - Во некои случаи, можете рачно да ја конфигурирате политиката да одлучува за SGT на пакетот врз основа на неговата изворна IP адреса. Протоколот за размена на SGT (SXP) исто така може да ја пополни табелата за мапирање IP-адреса-во-SGT.
Одредување на групата за безбедност на дестинации
Мрежниот уред за излез во доменот Cisco TrustSec ја одредува дестинационата група (DGT) за примена на SGACL. Мрежниот уред ја одредува дестинационата безбедносна група за пакетот користејќи ги истите методи што се користат за одредување на изворната безбедносна група, со исклучок на добивање на бројот на групата од пакет tag. Бројот на дестинациската безбедносна група не е вклучен во пакет tag.
Во некои случаи, уредите за влез или други уреди што не излегуваат може да имаат достапни информации за дестинациската група. Во тие случаи, SGACL може да се применат на овие уреди наместо на уредите за излез.
Спроведување на SGACL на насочуван и префрлен сообраќај
Спроведувањето на SGACL се применува само на IP сообраќај, но спроведувањето може да се примени или на насочуван или префрлен сообраќај.
За насочуван сообраќај, спроведувањето на SGACL се врши со прекинувач за излез, вообичаено прекинувач за дистрибуција или прекинувач за пристап со насочувана порта што се поврзува со одредишниот домаќин. Кога ќе го овозможите спроведувањето SGACL на глобално ниво, спроведувањето автоматски се овозможува на секој интерфејс на Layer 3, освен за интерфејсите SVI.
За прекинувачки сообраќај, спроведувањето на SGACL се врши на сообраќај што тече во еден преклопен домен без никаква функција за насочување. Еден поранешенampќе биде спроведување на SGACL извршено со прекинувач за пристап до центарот за податоци на сообраќајот од сервер до сервер помеѓу два директно поврзани сервери. Во овој ексampтака, сообраќајот од сервер до сервер обично би се префрлил. Спроведувањето на SGACL може да се примени на пакети префрлени во VLAN или препратени до SVI поврзан со VLAN, но извршувањето мора да биде експлицитно овозможено за секој VLAN.
SGACL Logging и ACE статистика
Кога најавувањето е овозможено во SGACL, уредот ги евидентира следните информации:
  • Изворната безбедносна група tag (SGT) и дестинација SGT
  • Името на политиката SGACL
  • Тип на протокол на пакет
  • Дејството извршено на пакетот
Опцијата за дневник се применува на поединечни ACE и предизвикува да се евидентираат пакети што одговараат на ACE. Првиот пакет евидентиран со клучниот збор за дневник генерира порака за системска евиденција. Следните пораки од дневникот се генерираат и се известуваат во интервали од пет минути. Ако ACE-от со логирање се совпаѓа со друг пакет (со карактеристики идентични на пакетот што ја генерирал пораката за дневник), бројот на совпаднати пакети се зголемува (бројачи) и потоа се известува.
За да овозможите евидентирање, користете го клучниот збор за дневник пред дефиницијата ACE во конфигурацијата SGACL. За прampле, дозволи ip log.
Кога е овозможено евидентирање SGACL, пораките за барање ICMP од уредот до клиентот не се евидентирани за
IPv4 и IPv6 протоколи. Сепак; Пораките за одговор на ICMP од клиентот до уредот се евидентирани.
Следното е какоampевиденција, прикажување на изворни и дестинации SGT, ACE совпаѓања (за акција за дозвола или одбивање) и протоколот, односно информации за TCP, UDP, IGMP и ICMP:
*2 јуни 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: листа deny_udp_src_port_log-30 Негирано udp 24.0.0.23 (100) -> 28.0.0.91 (100), SGT8 DG
Дополнително на постоечката SGACL статистика „по ќелија“, која може да се прикаже со помош на прикажување cts базирано на улоги
команда бројачи, можете исто така да прикажете ACE статистика, користејќи ја командата show ip access-list sgacl_name. За ова не е потребна дополнителна конфигурација.
Следниве прampле покажува како можете да ја користите командата show ip access-list за прикажување на бројот на ACE
Уред # прикажи ip пристап-контрола deny_udp_src_port_log-30
Список за пристап на ИП базиран на улоги deny_udp_src_port_log-30 (преземен)
10 негирај udp src eq 100 дневник (283 совпаѓања)
20 ip-дневник за дозволи (50 совпаѓања)
Икона за белешкаКога дојдовниот сообраќај се совпаѓа со ќелијата, но не се совпаѓа со SGACL на ќелијата, сообраќајот е дозволен и бројачите се зголемуваат во HW-Permit за ќелијата.
Следниве прampле покажува како функционира SGACL на ќелијата:
Политиката SGACL е конфигурирана од 5 до 18 со „негирај icmp echo“ и има дојдовен сообраќај од 5 до 18 со наслов TCP. Ако ќелијата се совпаѓа од 5 до 18, но сообраќајот не се совпаѓа со icmp, сообраќајот ќе биде дозволен и бројачот на HW-Permit од ќелијата 5 до 18 ќе се зголеми.
CISCO Trustsec гради безбедна мрежа - политиката SGACL е конфигурирана од 5 до 18 со „негирај icmp echo
ВРФ-свесен SGACL Логирање
Системските дневници на SGACL ќе вклучуваат информации за VRF. Покрај полињата што се моментално евидентирани, информациите за евиденција ќе го вклучуваат името на VRF. Ажурираните информации за евиденција ќе бидат како што е прикажано подолу:
*15 ноември 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15' sgacl_name='IPV6_TCP_DENY' action='Одбиј' протокол='tcp' srcVSV -ip='25::2' src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2' dest-port='30' sgt='200' dgt='500' logging_interval_hits='1'
Режим на монитор SGACL
За време на фазата пред распоредување на Cisco TrustSec, администраторот ќе го користи режимот на монитор за да ги тестира безбедносните политики без да ги спроведува за да се увери дека политиките функционираат како што е предвидено. Ако безбедносните политики не функционираат како што е предвидено, режимот на монитор обезбедува пригоден механизам за идентификување на тоа и дава можност да се поправи политиката пред да се овозможи спроведување на SGACL. Ова им овозможува на администраторите да имаат зголемена видливост на исходот од дејствијата на политиките пред да го применат, и да потврдат дека предметната политика ги исполнува безбедносните барања (пристапот е забранет до ресурсите доколку корисниците не се
овластен).
Способноста за следење е обезбедена на ниво на пар SGT-DGT. Кога ќе ја овозможите функцијата режим за следење SGACL, дејството за одбивање се спроведува како дозвола ACL на линиските картички. Ова им овозможува на SGACL бројачите и евиденцијата да прикажат како се постапува со врските од политиката SGACL. Бидејќи целиот следен сообраќај е дозволен, нема прекин на услугата поради SGACL додека сте во режим на монитор SGACL.
Овластување и стекнување политика
Откако ќе заврши автентикацијата на уредот, и молителот и автентикаторот ја добиваат безбедносната политика од серверот за автентикација. Двајцата врсници потоа вршат овластување за врска и ја спроведуваат политиката за безбедност на врската едни против други врз основа на нивните идентификатори на уредот Cisco TrustSec. Методот за автентикација на врски може да се конфигурира како 802.1X или како рачна автентикација. Ако безбедноста на врската е 802.1X, секој врсник користи ID на уред добиен од серверот за автентикација. Ако безбедноста на врската е рачна, мора да ги доделите идентификаторите на слични уреди.
Серверот за автентикација ги враќа следните атрибути на политиката:
  • Cisco TrustSec trust-Означува дали треба да му се верува на врсниот уред за да се стави SGT во пакетите.
  • Peer SGT - Ја означува безбедносната група на која припаѓа врсникот. Ако на врсникот не му се верува, сите пакети добиени од врсниците се tagсе користи со овој SGT. Ако уредот не знае дали некои SGACL се поврзани со SGT на врсниците, уредот може да испрати дополнително барање до серверот за автентикација за преземање на SGACL.
  • Authorization expiry time — Го означува бројот на секунди пред истекот на полисата. Уредот Cisco TrustSec треба да ги освежи својата политика и овластување пред да истече. Уредот може да ги кешира податоците за автентикација и политика и повторно да ги користи по рестартирање ако податоците не се истечени.
Икона за белешка Секој Cisco TrustSec уред треба да поддржува минимална стандардна политика за пристап во случај да не може да контактира со серверот за автентикација за да добие соодветна политика за врсникот.
Процесот на преговарање NDAC и SAP е прикажан на следната слика
Слика 5: Преговори за NDAC и SAP
CISCO Trustsec гради безбедна мрежа - Слика 5
Преземи податоци за животната средина
Податоците од околината на Cisco TrustSec се збирка на информации или политики кои му помагаат на уредот да функционира како Cisco TrustSec јазол. Уредот ги добива податоците за околината од серверот за автентикација кога уредот првпат се приклучува на доменот Cisco TrustSec, иако може и рачно да конфигурирате некои од податоците на уредот. За прampзатоа, мора да го конфигурирате основниот Cisco TrustSec уред со информациите за серверот за автентикација, кои подоцна може да се надополнат со списокот на сервери што уредот го добива од серверот за автентикација.
Уредот мора да ги освежи податоците од околината на Cisco TrustSec пред да истече. Уредот исто така може да ги кешира податоците од околината и повторно да ги користи по рестартирање ако податоците не се истечени.
Уредот користи RADIUS за да ги добие следните податоци од околината од серверот за автентикација:
  • Списоци на сервери: Список на сервери кои клиентот може да ги користи за идни барања RADIUS (и за автентикација и за авторизација). Освежувањето на PAC се случува преку овие сервери.
  • Device SG: Безбедносна група на која припаѓа самиот уред.
  • Истек на истекот: интервал што контролира колку често уредот Cisco TrustSec треба да ги освежува податоците за околината.
Функционалност на релето RADIUS
Уредот што ја игра улогата на Cisco TrustSec автентикатор во процесот на автентикација 802.1X има IP-поврзување со серверот за автентикација, што му овозможува на уредот да ја добие политиката и овластувањето од серверот за автентикација со размена на RADIUS пораки преку UDP/IP. Уредот за молење може да нема IP поврзување со серверот за автентикација. Во такви случаи, Cisco TrustSec му дозволува на автентикаторот да дејствува како RADIUS реле за подносителот на барањето.
Подносителот на барањето испраќа специјална EAPOL порака до автентикаторот што ја содржи IP адресата на серверот RADIUS и UDP портата и целосното барање RADIUS. Автентикаторот го извлекува барањето RADIUS од примената EAPOL порака и го испраќа преку UDP/IP до серверот за автентикација. Кога одговорот RADIUS се враќа од серверот за автентикација, автентикаторот ја препраќа пораката назад до барателот, инкапсулирана во рамка EAPOL.
Безбедност на врската
Кога двете страни на врската поддржуваат 802.1AE Media Access Control Security (MACsec), се врши преговори за протокол за безбедносна асоцијација (SAP). Се случува размена на клучеви EAPOL помеѓу подносителот на барањето и автентикаторот за да се преговара за пакет со шифри, да се разменат безбедносни параметри и да се управуваат клучевите. Успешното завршување на сите три задачи резултира со формирање на здружение за безбедност (СА).
Во зависност од верзијата на софтверот, лиценцирањето на крипто и хардверската поддршка за врски, SAP преговорите може да користат еден од следниве начини на работа:
  • Galois/Counter Mode (GCM) - Одредува автентикација и шифрирање
  • GCM authentication (GMAC) - Одредува автентикација и без шифрирање
  • Без енкапсулација-Одредува нема инкапсулација (чист текст)
  • Null—Одредува енкапсулација, без автентикација и без шифрирање
Сите режими освен Без енкапсулација бараат хардвер со можност за Cisco TrustSec.
Конфигурирање на SAP-PMK за безбедност на врската
CISCO Trustsec гради безбедна мрежа - Конфигурирање на SAP-PMK за безбедност на врски
CISCO Trustsec гради безбедна мрежа - Конфигурирање на SAP-PMK за безбедност на врски 2
SXP за SGT пропагирање низ наследни мрежи за пристап
Tagging пакетите со SGT бара хардверска поддршка. Можеби имате уреди во вашата мрежа кои, иако се способни да учествуваат во автентикацијата на Cisco TrustSec, немаат хардверска способност да tag пакети со
SGTs. Со користење на SGT Exchange Protocol (SXP), овие уреди можат да пренесуваат мапирања од IP-адреса во SGT на врснички уред Cisco TrustSec кој има хардвер способен за Cisco TrustSec.

SXP вообичаено работи помеѓу уредите за влезен пристапен слој на работ на доменот Cisco TrustSec и уредите на слојот за дистрибуција во доменот Cisco TrustSec. Уредот со слој за пристап врши Cisco TrustSec автентикација на уреди со надворешен извор за да ги одреди соодветните SGT за влезните пакети. Уредот со слој за пристап ги учи IP-адресите на изворните уреди користејќи следење на IP-уредот и (опционално) DHCP snooping, потоа користи SXP за да ги пренесе IP-адресите на изворните уреди заедно со нивните SGT на уредите за дистрибуција.
Уредите за дистрибуција со хардвер способен за Cisco TrustSec може да ги користат овие информации за мапирање IP-to-SGT за да tag пакети соодветно и да се спроведат SGACL политиките.

Слика 6: SXP протокол за пропагирање на информации за SGT
CISCO Trustsec гради безбедна мрежа - Слика 6
Мора рачно да конфигурирате SXP врска помеѓу врсник без хардверска поддршка на Cisco TrustSec и врсник со хардверска поддршка на Cisco TrustSec. Следниве задачи се потребни при конфигурирање на SXP-врската:
  • Ако ви треба SXP интегритет на податоците и автентикација, мора да ја конфигурирате истата лозинка за SXP на двата врсни уреди. Можете да ја конфигурирате лозинката SXP или експлицитно за секоја врсничка врска или глобално за уредот. Иако не е потребна лозинка за SXP, препорачуваме да ја користите.
  • Мора да го конфигурирате секој врсник на SXP-врската како SXP звучник или SXP слушател. Уредот за звучници ги дистрибуира информациите за мапирање IP-to-SGT на уредот за слушање.
  • Можете да наведете изворна IP адреса што ќе се користи за секоја врска со врсници или можете да конфигурирате стандардна изворна IP адреса за врснички конекции каде што не сте конфигурирале одредена изворна IP адреса. Ако не наведете изворна IP адреса, уредот ќе ја користи IP адресата на интерфејсот на врската со врсникот.
SXP дозволува повеќе скокања. Односно, ако на врсникот на уред кој нема хардверска поддршка за Cisco TrustSec, исто така, нема поддршка за хардверот на Cisco TrustSec, вториот пер може да има SXP конекција со трет врсник, продолжувајќи со ширењето на информациите за мапирање IP-to-SGT до хардвер- се постигнува способен врсник. Уредот може да се конфигурира како SXP слушател за една SXP конекција како SXP звучник за друга SXP конекција.
Уредот Cisco TrustSec одржува поврзување со своите SXP врсници со користење на механизмот TCP keepalive.
За да воспостави или обнови врсничка врска, уредот постојано ќе се обидува да ја постави конекцијата користејќи период на повторен обид што може да се конфигурира додека врската не биде успешна или додека врската не се отстрани од конфигурацијата.
Слој 3 SGT транспорт за опфатени региони кои не се TrustSec
Кога пакетот го напушта доменот Cisco TrustSec за дестинација која не е TrustSec, излезниот Cisco TrustSec уред ги отстранува заглавието на Cisco TrustSec и SGT пред да го препрати пакетот на надворешната мрежа. Меѓутоа, ако пакетот само поминува низ домен кој не е TrustSec на патот до друг домен Cisco TrustSec, како што е прикажано на следната слика, SGT може да се зачува со користење на функцијата Cisco TrustSec Layer 3 SGT Transport. Во оваа функција, излезниот Cisco TrustSec уред го инкапсулира пакетот со ESP заглавие што вклучува копија од SGT. Кога инкапсулираниот пакет ќе пристигне во следниот домен Cisco TrustSec, влезниот Cisco TrustSec уред ја отстранува ESP инкапсулацијата и го пропагира пакетот со неговиот SGT.
Слика 7: Опфаќа домен кој не е TrustSec
CISCO Trustsec гради безбедна мрежа - Слика 7
За поддршка на Cisco TrustSec Layer 3 SGT Transport, секој уред што ќе дејствува како влезна или излезна порта на Cisco TrustSec Layer 3 мора да одржува база на податоци за сообраќајни политики што ги наведува подобните подмрежи во оддалечените Cisco TrustSec домени, како и сите исклучени подмрежи во тие региони. Оваа база на податоци може рачно да ја конфигурирате на секој уред ако не може автоматски да се преземат од Cisco Secure ACS.
Уредот може да испраќа податоци за транспорт од Layer 3 SGT од една порта и да прима податоци од Layer 3 SGT Transport на друга порта, но и влезните и излезните порти мора да имаат хардвер способен за Cisco TrustSec.
Икона за белешка Cisco TrustSec не ги шифрира пакетите во Layer 3 SGT Transport. За да ги заштитите пакетите што минуваат низ доменот што не е TrustSec, можете да конфигурирате други методи за заштита, како што е IPsec.
VRF-Aware SXP
SXP имплементацијата на виртуелно рутирање и препраќање (VRF) поврзува SXP врска со специфичен VRF. Се претпоставува дека мрежната топологија е правилно конфигурирана за VPN од Layer 2 или Layer 3, со сите VRF конфигурирани пред да се овозможи Cisco TrustSec.
Поддршката за SXP VRF може да се сумира на следниов начин:
  • Само една SXP врска може да се поврзе на еден VRF.
  • Различни VRF може да имаат преклопување на SXP peer или изворни IP адреси.
  • IP-SGT мапирањата научени (додадени или избришани) во еден VRF може да се ажурираат само во истиот VRF домен.
    SXP-врската не може да ажурира мапирање поврзано со различен VRF. Ако нема врска SXP за VRF, мапирањата IP-SGT за тој VRF нема да се ажурираат од SXP.
  • Поддржани се повеќе семејства на адреси по VRF. Затоа, една SXP конекција во VRF домен може да препраќа и IPV4 и IPV6 IP-SGT мапирања.
  • SXP нема ограничување за бројот на конекции и бројот на мапирања IP-SGT по VRF.
Слој 2 VRF-Aware SXP и VRF Доделување
Доделувањата на VRF во Layer 2 VLAN се специфицирани со командата за глобална конфигурација заснована на улоги cts l2-vrf vrf-name vlan-list. VLAN се смета за VLAN на слој 2 се додека не постои виртуелен интерфејс на прекинувачот (SVI) со IP адреса конфигурирана на VLAN. VLAN станува Layer 3 VLAN штом ќе се конфигурира IP адресата на нејзиниот SVI.
Доделувањата на VRF конфигурирани од командата l2-vrf заснована на улоги cts се активни се додека VLAN останува VLAN на слој 2. Врските IP-SGT научени додека е активна задача VRF исто така се додаваат во табелата за Forwarding Information Base (FIB) поврзана со VRF и верзијата на протоколот IP. Ако SVI стане активен за VLAN, доделувањето VRF кон VLAN станува неактивно и сите врзувања научени на VLAN се преместуваат во табелата FIB поврзана со VRF на SVI.
Доделувањето VRF во VLAN се задржува дури и кога задачата станува неактивна. Повторно се активира кога ќе се отстрани SVI или кога ќе се деконфигурира SVI IP адресата. Кога повторно ќе се активираат, поврзувањата IP-SGT се поместуваат назад од табелата FIB поврзана со VRF на SVI на табелата FIB поврзана со VRF доделена од командата l2-vrf заснована на улоги cts.
Историја на функции за Cisco TrustSec Overview
Оваа табела обезбедува ослободување и поврзани информации за карактеристиките објаснети во овој модул.
Овие карактеристики се достапни во сите изданија последователни на она во кое беа претставени, освен ако не е поинаку наведено.
CISCO Trustsec гради безбедна мрежа - Историја на функции за Cisco TrustSec надview
Користете го Cisco Feature Navigator за да најдете информации за поддршката за слики на платформата и софтверот. За пристап
Cisco Feature Navigator, одете на http://www.cisco.com/go/cfn.

Документи / ресурси

CISCO Trustsec гради безбедна мрежа [pdf] Упатство за корисникот
Trustsec гради безбедна мрежа, Trustsec, гради безбедна мрежа, безбедна мрежа, мрежа

Референци

Оставете коментар

Вашата адреса за е-пошта нема да биде објавена. Задолжителните полиња се означени *