Cisco TrustSec. Software Defined Segmentation Segurança e Mobilidade. Wilson Rogério Lopes GTS 27 05/2016

Tamanho: px

Começar a partir da página:

Download "Cisco TrustSec. Software Defined Segmentation Segurança e Mobilidade. Wilson Rogério Lopes GTS 27 05/2016"

Ronaldo Bayer Wagner
7 Há anos
Visualizações:

1 Cisco TrustSec Software Defined Segmentation Segurança e Mobilidade Wilson Rogério Lopes GTS 27 05/2016

2 Cisco TrustSec Segregação e controle de acesso, independente de ip e vlan Security Group Policies Usuários ou dispositivos são classificados e associados à um Security Group, identificados por um Security Group Tag Administração e distribuição centralizada das políticas ISE Identity Services Engine AD, LDAP. Radius Server. Políticas Centralizadas. AAA Services. Verificação de postura. Profiling de dispositivos. Monitoração. Relatórios

SGT Security Group Tag 16 bits = 65536 SGTs possíveis TAG inserido no frame ethernet na entrada da rede Associação dinâmica 802.

3 SGT Security Group Tag 16 bits = SGTs possíveis TAG inserido no frame ethernet na entrada da rede Associação dinâmica 802.1x, MAB, Profiling ISE Suplicante Nativo Cisco Anyconnect 802.1X Certificado CN: Wilson@corp RADIUS Certificado CN: Wilson@corp GE-1/0/2 AuthC: OK AuthZ: AD Group: Grupo X SGT= 2 AD AD, CA

SGT Security Group Tag Associação Estática IP to SGT DEV/Homolog SGT 10 ERP SGT 20 Mail SGT 30 Proxy SGT 40 10.200.0.10 10.100.0.10 10.100.0.11 10.

4 SGT Security Group Tag Associação Estática IP to SGT DEV/Homolog SGT 10 ERP SGT 20 Mail SGT 30 Proxy SGT * Associação de SGT requer suporte em hardware

5 Security Group ACL ACL baseada em SGT de origem x SGT de destino Matriz de acesso Default permit

6 Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

7 Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

8 Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 X Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

9 Use Case - Bloqueio User do DC Funcionario Funcionario Developers 802.1X Ge-0/0 Vlan5 Ge-0/1 Vlan5 C Sup2T Nexus 7k DEV/Homolog SGT ASA 5500 ASA 5500-X ERP SGT Funcionario Juridico Ge-0/2 Vlan5 Mail SGT Proxy SGT Office Datacenter

10 Use Case - Bloqueio User do DC Funcionario 802.1X Ge-0/0 Vlan5 C Sup2T Nexus 7k V DEV/Homolog SGT ASA 5500 ASA 5500-X X ERP SGT Origem / Destino DEV/Homolog ERP Mail Proxy -A Funcionário -A -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 Mail SGT Proxy SGT Datacenter

11 Use Case - Bloqueio User do DC Funcionario Developers 802.1X Ge-0/1 Vlan5 C Sup2T Nexus 7k V DEV/Homolog SGT ASA 5500 ASA 5500-X X ERP SGT Origem / Destino DEV/Homolog ERP Mail Proxy -A Developers -E -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq E Permit ip Mail SGT Datacenter Proxy SGT

12 Use Case - Bloqueio User do DC Funcionario Juridico 802.1X Ge-0/2 Vlan5 C Sup2T Nexus 7k DEV/Homolog SGT ASA 5500 ASA 5500-X V ERP SGT Origem / Destino DEV/Homolog ERP Mail Proxy -A Juridico -A -F -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq F Permit tcp dst eq 443 Mail SGT Datacenter Proxy SGT

13 SXP SGT Exchange Protocol Propagação IP-to-SGT via software Protocolo TCP, similar ao BGP IP Device Tracking ou DHCP Snooping para identificar o ip Draft IETF -

14 Obrigado Wilson Rogério Lopes Áreas de interesse: Arquitetura de redes Segurança de redes Soluções anti-ddos NFV, SDN Puppet

Documentos relacionados

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle Rogério Lopes LACNIC 27 / GTS 29 05/2017 IEEE 802.1x Primeiro padrão - 802.1X-2001,