Grundlegendes Konzept
Policy Administration - Politik decission - ISE (Identity Services Motor) Policy Enforcement - Network Access Devices - Switches, Wireless, Router Policy Information - NAC Agent, NAC Web Agent, 802.1X Supplicant (AnyConnect)
Authentifizierungsmethoden:
- 802.1x (NAC Agent, 802.1x Supplicant)
- MAC Authentication Bypass (MAB) - Datenbank der MAC-Adresse der Geräte, die nicht 802.1x-Unterstützung (Drucker, Kameras)
- Web-Authentifizierung
- VPN-Authentifizierung
Autorisierungsmethoden:
- ACLs (DACL, Named ACL, Zeit-basierte ACL)
- VLANs assignation
- Security Group Zugang - Cisco TrustSec - SGT - Security Group Tagging
Change Of Authorization - Methode, um einen Endpunkt Berechtigungsstatus zu ändern, nachdem einige Bedingungen erfüllen, wie zum Beispiel die Einhaltung von Sicherheitsvorschriften des Endpunkts zu überprüfen. Muss vom Netzzugangsgerät unterstützt werden.
Radius: Standard-basierte für AAA-Dienste.
TACACS : AAA-Protokoll von Cisco entwickelt. Unterstützt durch Befehl Basis Genehmigung Befehl. Sorgt für Geräteänderungen Audit Buchhaltung.
Die aktuelle Version von ISE: 1.3 (November 2014)
ISA Deployment
ISE kann auf 3415, 3455, 3495 Server oder VMWare laufen
Personen:
- PAN - Policy Administration Node
- PSN - Policy Service Node
- MNT - Überwachung und Fehlerbehebung Knoten
Failover-Verhalten
- Admin persona, übernimmt die Administrator Änderungen und veröffentlicht sie auf die Policy Service-Knoten. Sekundärknoten muss manuell gefördert werden.
- PSN - Redundante PSNs wird gleichzeitig arbeiten. Wenn man Dateien, die andere weiterarbeiten.
- Überwachung Node - Wenn primäre ausfällt, wird sekundär zu primären automatisch gefördert werden.
Standalone-Einsatz
- Alle Personas in der gleichen Box.
- Bis zu 10.000 Endpunkten
Redundante Einsatz
- Beide Boxen haben noch alle die gleichen Personas. Primärknoten und sekundären Knoten.
- Bis zu 10.000 Endpunkten
Distributed Deployment
- Zwei redundante Boxen mit Admin und Überwachung Personas
- Bis zu 5 Policy Service Nodes
- Bis zu 10.000 Endpunkten
Verteilten Bereitstellung von bis zu 250.000 Endpunkte
- Zwei Boxen mit Admin-Rollen
- Zwei Boxen mit Überwachung Rollen
- Bis zu 40 PSNs
PSNs in einem L2-Ebene clusterized werden.
NAD - Network Access Devices wird die Prioritätenliste der PSNs haben, die sie verwenden werden
802.1x
802.1x Hostmodi
- Einzelner Host-Modus - Nur ein Gerät (MAC-Adresse) pro Port. Zweitens verursacht nicht autorisierten Portstatus.
- Mehrere Host-Modus - (Hub-Nutzung). erste Gerät definiert Authentifizierung, andere Geräte gleichen Zugang zu bekommen.
- Mehrere Domain-Authentifizierung (MDA) Modus - Daten Sprache. Unabhängigen Authentifizierung für jedes Gerät.
- Mehrere Authentifizierungsmodus - Authentifiziert jede MAC-Adresse. Gleiche VLAN aber ACL pro Gerät.
Deployment-Modi
- Monitor-Modus vor der Authentifizierung: Authentifizierung Open Voller Zugriff Nach der Authentifizierung: Vollzugriff Konfiguration: Authentifizierung geöffnet
- Geringe Auswirkung Modus Vor-Authentifizierung: Voller Zugriff oder den kontrollierten Zugriff durch ACL-Konfiguration: Authentifizierung open ip access-group default-ACL in Authentication OPEN Pre ACL den Verkehr Nach der Authentifizierung zu begrenzen
- Geschlossener Modus Vor-Authentifizierung: Kein Zugriff erlaubt. Nur EAPOL erlaubt. Nach der Authentifizierung: Voller Zugriff oder den kontrollierten Zugang durch AC
EAP
EAP - Extensible Authentication Protocol
Endbenutzer spricht 802.1x mit dem Network Access Device durch einen Suplicant. (EAPOL)
Netzzugangsgerät spricht Radius mit dem ISE PSN-Knoten. (EAP / Radius)
System verwendet EAP-X Ende zu Ende
- EAP-FAST: Symmetrische Kryptographie. Es verwendet PAC-Tasten (geschützte Zugriffsberechtigungen), die den Austausch zwischen Endpunkt und PSN sind. Sie konnten abgehört werden. Die Schlüssel werden verwendet, um einen Tunnel zu erstellen, um die Anmeldeinformationen zu senden.
- EAP-PEAP: Nur ein Zertifikat auf dem PSN erforderlich. Das Zertifikat wird an den Endpunkt geliefert. Der Endpunkt verwendet den öffentlichen Schlüssel des PSN-Zertifikat ein Sitzungsschlüssel und Setup einen Tunnel zu erstellen, die Benutzer und Passwort durch sie zu schicken
- EAP-TLS: Sowohl PSN und Endpunkt erfordert ein Zertifikat. Keine Verschlüsselung erforderlich ist, da sie einen Austausch der öffentlichen Schlüssel tun wird. Nachteil ist die große Menge der Zertifikate verwaltet werden.
- EAP-MD5 - CHAP: Challange - Antwort. Kein Server-Authentifizierung. Anfällig für MITM-Angriffe
- EAP-MSCHAPv2: Challange - Reaktion mit Hashing. Active Directory-Umgebung.
Switch-Konfiguration
aaa new-model
Kaspersky Endpoint Security 2014 Endpoint-Security 2015