Cisco TrustSec Software Defined Segmentation Segurança e Mobilidade Wilson Rogério Lopes GTS 27 05/2016
Cisco TrustSec Segregação e controle de acesso, independente de ip e vlan Security Group Policies Usuários ou dispositivos são classificados e associados à um Security Group, identificados por um Security Group Tag Administração e distribuição centralizada das políticas ISE Identity Services Engine AD, LDAP. Radius Server. Políticas Centralizadas. AAA Services. Verificação de postura. Profiling de dispositivos. Monitoração. Relatórios
SGT Security Group Tag 16 bits = 65536 SGTs possíveis TAG inserido no frame ethernet na entrada da rede Associação dinâmica 802.1x, MAB, Profiling ISE Suplicante Nativo Cisco Anyconnect 802.1X Certificado CN: Wilson@corp RADIUS Certificado CN: Wilson@corp GE-1/0/2 AuthC: OK AuthZ: AD Group: Grupo X SGT= 2 AD AD, CA
SGT Security Group Tag Associação Estática IP to SGT DEV/Homolog SGT 10 ERP SGT 20 Mail SGT 30 Proxy SGT 40 10.200.0.10 10.100.0.10 10.100.0.11 10.50.0.10 10.101.0.10 10.101.0.11 10.60.0.10 10.200.0.10 10.200.0.11 * Associação de SGT requer suporte em hardware
Security Group ACL ACL baseada em SGT de origem x SGT de destino Matriz de acesso Default permit
Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080
Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080
Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 X Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080
Use Case - Bloqueio User do DC Funcionario Funcionario Developers 802.1X Ge-0/0 Vlan5 Ge-0/1 Vlan5 C3850 6500 Sup2T Nexus 7k DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Funcionario Juridico Ge-0/2 Vlan5 Mail SGT 30 10.10.0.11 Proxy SGT 40 10.20.0.10 Office Datacenter
Use Case - Bloqueio User do DC Funcionario 802.1X Ge-0/0 Vlan5 C3850 6500 Sup2T Nexus 7k V DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Funcionário -A -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 Mail SGT 30 10.10.0.11 Proxy SGT 40 10.20.0.10 Datacenter
Use Case - Bloqueio User do DC Funcionario Developers 802.1X Ge-0/1 Vlan5 C3850 6500 Sup2T Nexus 7k V DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Developers -E -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 -E Permit ip Mail SGT 30 10.10.0.11 Datacenter Proxy SGT 40 10.20.0.10
Use Case - Bloqueio User do DC Funcionario Juridico 802.1X Ge-0/2 Vlan5 C3850 6500 Sup2T Nexus 7k DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X V ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Juridico -A -F -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 -F Permit tcp dst eq 443 Mail SGT 30 10.10.0.11 Datacenter Proxy SGT 40 10.20.0.10
SXP SGT Exchange Protocol Propagação IP-to-SGT via software Protocolo TCP, similar ao BGP IP Device Tracking ou DHCP Snooping para identificar o ip Draft IETF - https://tools.ietf.org/html/draft-smith-kandula-sxp-00
Obrigado Wilson Rogério Lopes Áreas de interesse: Arquitetura de redes Segurança de redes Soluções anti-ddos NFV, SDN Puppet wilsonlopes00@gmail.com https://br.linkedin.com/in/wrlopes