Grundlegendes Konzept

Policy Administration - Politik decission - ISE (Identity Services Motor) Policy Enforcement - Network Access Devices - Switches, Wireless, Router Policy Information - NAC Agent, NAC Web Agent, 802.1X Supplicant (AnyConnect)

Authentifizierungsmethoden:

• 802.1x (NAC Agent, 802.1x Supplicant)
• MAC Authentication Bypass (MAB) - Datenbank der MAC-Adresse der Geräte, die nicht 802.1x-Unterstützung (Drucker, Kameras)
• Web-Authentifizierung
• VPN-Authentifizierung

Autorisierungsmethoden:

• ACLs (DACL, Named ACL, Zeit-basierte ACL)
• VLANs assignation
• Security Group Zugang - Cisco TrustSec - SGT - Security Group Tagging

Change Of Authorization - Methode, um einen Endpunkt Berechtigungsstatus zu ändern, nachdem einige Bedingungen erfüllen, wie zum Beispiel die Einhaltung von Sicherheitsvorschriften des Endpunkts zu überprüfen. Muss vom Netzzugangsgerät unterstützt werden.

Radius: Standard-basierte für AAA-Dienste.

TACACS : AAA-Protokoll von Cisco entwickelt. Unterstützt durch Befehl Basis Genehmigung Befehl. Sorgt für Geräteänderungen Audit Buchhaltung.

Die aktuelle Version von ISE: 1.3 (November 2014)

ISA Deployment

ISE kann auf 3415, 3455, 3495 Server oder VMWare laufen

Personen:

• PAN - Policy Administration Node
• PSN - Policy Service Node
• MNT - Überwachung und Fehlerbehebung Knoten

Failover-Verhalten

• Admin persona, übernimmt die Administrator Änderungen und veröffentlicht sie auf die Policy Service-Knoten. Sekundärknoten muss manuell gefördert werden.
• PSN - Redundante PSNs wird gleichzeitig arbeiten. Wenn man Dateien, die andere weiterarbeiten.
• Überwachung Node - Wenn primäre ausfällt, wird sekundär zu primären automatisch gefördert werden.

Standalone-Einsatz

• Alle Personas in der gleichen Box.
• Bis zu 10.000 Endpunkten

Redundante Einsatz

• Beide Boxen haben noch alle die gleichen Personas. Primärknoten und sekundären Knoten.
• Bis zu 10.000 Endpunkten

Distributed Deployment

• Zwei redundante Boxen mit Admin und Überwachung Personas
• Bis zu 5 Policy Service Nodes
• Bis zu 10.000 Endpunkten

Verteilten Bereitstellung von bis zu 250.000 Endpunkte

• Zwei Boxen mit Admin-Rollen
• Zwei Boxen mit Überwachung Rollen
• Bis zu 40 PSNs

PSNs in einem L2-Ebene clusterized werden.

NAD - Network Access Devices wird die Prioritätenliste der PSNs haben, die sie verwenden werden

802.1x

802.1x Hostmodi

• Einzelner Host-Modus - Nur ein Gerät (MAC-Adresse) pro Port. Zweitens verursacht nicht autorisierten Portstatus.
• Mehrere Host-Modus - (Hub-Nutzung). erste Gerät definiert Authentifizierung, andere Geräte gleichen Zugang zu bekommen.
• Mehrere Domain-Authentifizierung (MDA) Modus - Daten Sprache. Unabhängigen Authentifizierung für jedes Gerät.
• Mehrere Authentifizierungsmodus - Authentifiziert jede MAC-Adresse. Gleiche VLAN aber ACL pro Gerät.

Deployment-Modi

• Monitor-Modus vor der Authentifizierung: Authentifizierung Open Voller Zugriff Nach der Authentifizierung: Vollzugriff Konfiguration: Authentifizierung geöffnet
• Geringe Auswirkung Modus Vor-Authentifizierung: Voller Zugriff oder den kontrollierten Zugriff durch ACL-Konfiguration: Authentifizierung open ip access-group default-ACL in Authentication OPEN Pre ACL den Verkehr Nach der Authentifizierung zu begrenzen
• Geschlossener Modus Vor-Authentifizierung: Kein Zugriff erlaubt. Nur EAPOL erlaubt. Nach der Authentifizierung: Voller Zugriff oder den kontrollierten Zugang durch AC

EAP

EAP - Extensible Authentication Protocol

Endbenutzer spricht 802.1x mit dem Network Access Device durch einen Suplicant. (EAPOL)

Netzzugangsgerät spricht Radius mit dem ISE PSN-Knoten. (EAP / Radius)

System verwendet EAP-X Ende zu Ende

• EAP-FAST: Symmetrische Kryptographie. Es verwendet PAC-Tasten (geschützte Zugriffsberechtigungen), die den Austausch zwischen Endpunkt und PSN sind. Sie konnten abgehört werden. Die Schlüssel werden verwendet, um einen Tunnel zu erstellen, um die Anmeldeinformationen zu senden.
• EAP-PEAP: Nur ein Zertifikat auf dem PSN erforderlich. Das Zertifikat wird an den Endpunkt geliefert. Der Endpunkt verwendet den öffentlichen Schlüssel des PSN-Zertifikat ein Sitzungsschlüssel und Setup einen Tunnel zu erstellen, die Benutzer und Passwort durch sie zu schicken
• EAP-TLS: Sowohl PSN und Endpunkt erfordert ein Zertifikat. Keine Verschlüsselung erforderlich ist, da sie einen Austausch der öffentlichen Schlüssel tun wird. Nachteil ist die große Menge der Zertifikate verwaltet werden.
• EAP-MD5 - CHAP: Challange - Antwort. Kein Server-Authentifizierung. Anfällig für MITM-Angriffe
• EAP-MSCHAPv2: Challange - Reaktion mit Hashing. Active Directory-Umgebung.

Switch-Konfiguration

aaa new-model

Kaspersky Endpoint Security 2014     Endpoint-Security 2015