Cisco TrustSec. Software Defined Segmentation Segurança e Mobilidade. Wilson Rogério Lopes GTS 27 05/2016

Documentos relacionados
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle

EAP-TLS do 802.1x com comparação binária do certificado exemplo de configuração dos perfis AD e NAM

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

SISAS (IMPLEMENTING CISCO SECURE ACCESS SOLUTIONS)

Configurar um server público com Cisco ASDM

As informações neste documento são baseadas nestas versões de software e hardware:

Reorientação do tráfego ISE no Catalyst 3750 Series Switch

Configurar a colocação de etiquetas Inline ASA TrustSec

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

Uma Política. Cisco Unified Access Roadshow. Filipe Lopes. Systems Engineer Borderless Networks Team

Exemplo de configuração do ponto quente da versão 1.3 ISE

Configuração do acesso remoto VPN de AnyConnect em FTD

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

Configurar o fluxo do convidado com ISE 2.0 e Aruba WLC

Compreendendo o controle de acesso TrustSecbaseado com potência de fogo e ISE

Resumo Apresentação : Orador

List baseado papel (RBACL) transferido do Identity Services Engine (ISE).

Pratica de Arquitetura DMZ. Cisco ASA 5505

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar dispositivos da semente e da NONsemente

Configurar o acesso convirgido em uma rede de filial pequena do switch único

Configurar o ISE para a integração com um servidor ldap

SEGURANÇA APLICADA MATERIAL 19

Configurar o ISE para a integração com um servidor ldap

Postura Inline VPN usando o ipep ISE e ASA

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Configuração do acesso remoto VPN de AnyConnect em FTD

Cliente wireless convirgido Onboarding do controlador do acesso 5760/3850/3650) de BYOD (com FQDN ACL

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

Postura da versão ASA VPN com exemplo de configuração ISE

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

Configurar ajustes MACILENTOS DHCP no roteador RV34x

Configurar para fixar um Switchport de Flexconnect AP com dot1x

ANEXO VIII - CATÁLAGO DE SERVIÇOS E PRAZOS DE SOLUÇÃO - NMS

Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap.

Este documento não se restringe a versões de software e hardware específicas.

Configurar a integração WSA com o ISE para serviços cientes de TrustSec

CANAC (IMPLEMENTING CISCO NAC APPLIANCE) 2.1

Aplicações e comportamento da fragmentação EAP

Switch de borda L3 com 48 portas, sendo 2 portas de 10Gbps

Configurar a postura da versão 1.4 ISE com Microsoft WSUS

SASAC (IMPLEMENTING CORE CISCO ASA SECURITY) 1.0

Políticas ISE baseadas em exemplos de configuração SSID

Webcast com Especialistas em Tecnologia da Comunidade Cisco:

WLC 5760/3850 WebAuth feito sob encomenda com exemplo de configuração da autenticação local

Do Wireless LAN taxa por usuário que limita a solução

Configurar e pesquise defeitos servidores de TACACS externos no ISE

Rede Wireless da FEUP

Referência rápida consolidada acesso convirgida para moldes do Wireless LAN

Débora C. Muchaluat Saade Laboratório MídiaCom Instituto de Computação Universidade Federal Fluminense

O ASA e o exemplo de configuração de TrustSec do Catalyst 3750X Series Switch e pesquisam defeitos o guia

Camada 3 NAC do Guia de Design da faixa que usa VRF-Lite para o isolamento de tráfego

Segurança industrial com a Connected Enterprise

Autenticação da Web central com um exemplo de configuração do interruptor e do Identity Services Engine

Integração de AnyConnect 4.0 com exemplo de configuração da versão 1.3 ISE

CST em Redes de Computadores

Administração de Redes 2015/16. Virtual Local Area Networks (VLAN)

Protocolo de rede do Cisco Unified Wireless e matriz da porta

Função de balanceamento de carga IO NAT para duas conexões ISP

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

ESTUDO DE CASO: AUTENTICAÇÃO IEEE 802.1X BASEAD 802.1X BASEADA NO PROTOCOLO RADIUS E SERVIÇO DE DIRETÓRIO LDAP APLICADO A REDE GIGAUFOPNET

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

Atribuição do VLAN dinâmico com servidor Radius ACS 5.2 e exemplo de configuração WLC

Verifique a Conectividade do servidor Radius com comando dos radius AAA do teste

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

PEAP e EAP-FAST com ACS 5.2 e exemplo da configuração de controle do Wireless LAN

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Configurar EasyConnect no 2.1 ISE

Procedimentos para Configuração DMZ

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

SSLVPN com exemplo de configuração dos Telefones IP

Falha dos serviços de telefone MRA devido à tradução IP da fonte sobre a reflexão NAT (única configuração de NIC com o NAT estático permitido)

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Configurar servidores de raio externos no ISE

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Configurar o Access point de pouco peso como um suplicante do 802.1x

Avaliação de Implementações de mobilidade sobre IPv6

Índice. Introdução. Pré-requisitos. Requisitos

Criptografia do Interruptor-host de MACsec com Cisco AnyConnect e exemplo de configuração ISE

Configurar ajustes da segurança Wireless no WAP125 e no WAP581

O lugar baseou a autorização com motor dos Serviços de mobilidade (MSE) e Identity Services Engine (ISE) ISE 2.0

Interruptor de Gestão Gigabit Manual do usuário Pe EV+

RADIUS avançado para clientes PPP de discagem

Mobilidade DHCP interno expresso

Este documento descreve como setup um armazenamento das mídias de externa com índice Server(TCS) do TelePresence.

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Configuração do IPv6 LAN em RV215W

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

Matriz de suporte de Switches de transmissão múltipla Catalyst

Configurar IPv4 e IPv6 em um ponto de acesso Wireless

Usando o ASDM para controlar um módulo de FirePOWER no ASA

Configurar conexões de rede de área local (LAN) da versão 4 do protocolo de internet (IPv4) no VPN Router RV132W ou RV134W

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO

Transcrição:

Cisco TrustSec Software Defined Segmentation Segurança e Mobilidade Wilson Rogério Lopes GTS 27 05/2016

Cisco TrustSec Segregação e controle de acesso, independente de ip e vlan Security Group Policies Usuários ou dispositivos são classificados e associados à um Security Group, identificados por um Security Group Tag Administração e distribuição centralizada das políticas ISE Identity Services Engine AD, LDAP. Radius Server. Políticas Centralizadas. AAA Services. Verificação de postura. Profiling de dispositivos. Monitoração. Relatórios

SGT Security Group Tag 16 bits = 65536 SGTs possíveis TAG inserido no frame ethernet na entrada da rede Associação dinâmica 802.1x, MAB, Profiling ISE Suplicante Nativo Cisco Anyconnect 802.1X Certificado CN: Wilson@corp RADIUS Certificado CN: Wilson@corp GE-1/0/2 AuthC: OK AuthZ: AD Group: Grupo X SGT= 2 AD AD, CA

SGT Security Group Tag Associação Estática IP to SGT DEV/Homolog SGT 10 ERP SGT 20 Mail SGT 30 Proxy SGT 40 10.200.0.10 10.100.0.10 10.100.0.11 10.50.0.10 10.101.0.10 10.101.0.11 10.60.0.10 10.200.0.10 10.200.0.11 * Associação de SGT requer suporte em hardware

Security Group ACL ACL baseada em SGT de origem x SGT de destino Matriz de acesso Default permit

Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

Use Case - Bloqueio User to User Malwares e APTs ploriferação lateral Acesso RDP não autorizado ISE 802.1X RADIUS Funcionário Ge-0/0 Vlan5 C3850 AD Funcionário Developers Ge-0/1 Vlan5 Origem / Destino Funcionário Developer Juridico Funcionário -A -A -A Developer -A -B -A Fucionário Juridico Ge-0/2 Vlan5 X Jurídico -A -A -A -A -B Permit tcp dst eq 80 Permit tcp dst eq 443 Permit tcp dst eq 8080

Use Case - Bloqueio User do DC Funcionario Funcionario Developers 802.1X Ge-0/0 Vlan5 Ge-0/1 Vlan5 C3850 6500 Sup2T Nexus 7k DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Funcionario Juridico Ge-0/2 Vlan5 Mail SGT 30 10.10.0.11 Proxy SGT 40 10.20.0.10 Office Datacenter

Use Case - Bloqueio User do DC Funcionario 802.1X Ge-0/0 Vlan5 C3850 6500 Sup2T Nexus 7k V DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Funcionário -A -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 Mail SGT 30 10.10.0.11 Proxy SGT 40 10.20.0.10 Datacenter

Use Case - Bloqueio User do DC Funcionario Developers 802.1X Ge-0/1 Vlan5 C3850 6500 Sup2T Nexus 7k V DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X X ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Developers -E -A -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 -E Permit ip Mail SGT 30 10.10.0.11 Datacenter Proxy SGT 40 10.20.0.10

Use Case - Bloqueio User do DC Funcionario Juridico 802.1X Ge-0/2 Vlan5 C3850 6500 Sup2T Nexus 7k DEV/Homolog SGT 10 10.200.0.10 ASA 5500 ASA 5500-X V ERP SGT 20 10.100.0.10 10.100.0.11 10.50.0.10 Origem / Destino DEV/Homolog ERP Mail Proxy -A Juridico -A -F -C -D -C Permit tcp dst eq 587 Permit tcp dst eq 80 Permit tcp dst eq 443 -D Permit tcp dst eq 3128 -F Permit tcp dst eq 443 Mail SGT 30 10.10.0.11 Datacenter Proxy SGT 40 10.20.0.10

SXP SGT Exchange Protocol Propagação IP-to-SGT via software Protocolo TCP, similar ao BGP IP Device Tracking ou DHCP Snooping para identificar o ip Draft IETF - https://tools.ietf.org/html/draft-smith-kandula-sxp-00

Obrigado Wilson Rogério Lopes Áreas de interesse: Arquitetura de redes Segurança de redes Soluções anti-ddos NFV, SDN Puppet wilsonlopes00@gmail.com https://br.linkedin.com/in/wrlopes

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback