Отказоустойчивые безопасные сети. Эволюция...
-
Upload
cisco-russia -
Category
Documents
-
view
782 -
download
5
description
Transcript of Отказоустойчивые безопасные сети. Эволюция...
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях.
Компания «I-Teco». Департамент сетей и телекоммуникаций.
2011
Алексей Голых Инженер поддержки продаж [email protected]
Содержание
2
Ø Компания «I-Teco»
Ø Описание реализованного проекта защищенной катастрофоустойчивой сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
Профиль компании «Ай-Теко»
3
• Ведущий системный интегратор (TOP-10) и крупный поставщик информационных технологий
• Статусы Cisco Gold Certified Partner и Cisco Customer Satisfaction Excellence • TOP-5 лучших российских поставщиков ИТ-услуг в банковском секторе • TOP-10 крупнейших поставщиков ИТ в госсекторе • Сертификат системы менеджмента качества ГОСТ Р ИСО 9001-2001 • Сертификат системы управления IT-сервисами ISO/IEC 20000-1:2005
Ключевые партнеры
Локальная экспертиза
Мировой опыт
Передовые технологии
Принципы работы компании
ü 8 собственных региональных подразделений в России — Санкт-Петербург, Уфа, Ростов-на-Дону, Ярославль, Пермь, Иркутск, Красноярск, Казань.
ü 3 представительства в странах СНГ — Украина, Казахстан, Узбекистан. ü 128 партнеров во всех субъектах Российской Федерации.
«Ай-Теко» в России и СНГ:
Примеры проектов
4
Шереметьево-3 Ø Построение отказоустойчивой сетевой инфраструктуры (до 8000 подключений)
АК «Трансаэро» Ø Построение современной отказоустойчивой мультисервисной телекоммуникационной инфраструктуры для нового шестиэтажного здания
Министерство внутренних дел РФ Ø Проектирование и развертывание ведомственной защищенной сети передачи данных
Администрация Вологодской области Ø Проект мультисервисной сети, соединяющей 28 финансовых органов муниципальных образований
Сбербанк России Ø Построение и развитие программно-аппаратных комплексов в ЦА и тер. банках Ø Внедрение географически распределенных систем высокой доступности
Банк ВТБ Ø Модернизация ИТ-инфраструктуры всех региональных офисов
НПФ «Газфонд» Ø Создание системы телефонии в новом офисе на базе Cisco Unified Communication Manager
Ингосстрах Ø Построение локальной вычислительной сети центрального офиса компании
Ростелеком Ø Модернизация КСПД филиалов Ø Создание СКС и ЛВС в центральном офисе Ø Построение сети беспроводного доступа в зданиях генеральной дирекции
Башинформсвязь Ø Построение опорной сети на территории Башкортостана на базе технологии MPLS, сети MetroEthernet в г. Уфе, сети доступа клиентов на базе технологии ADSL
Ø Модернизация транспортной сети г. Уфы. Впервые в России для построения оптического DWDM-кольца использована технология Xponder 10 Gbps
Вымпелком Ø Построение магистральной сети DWDM в центральном регионе
Содержание
5
Ø Компания «I-Teco»
Ø Описание реализованного проекта защищенной катастрофоустойчивой сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
Проект сети финансовой организации
6
Сеть крупной финансовой компании Сеть построена давно, имеет следующие недостатки:
Ø Недостаточная защищенность пользовательских подключений и сети в целом Ø Низкая пропускная способность каналов связи и перегруженность оборудования Ø Неоптимальное использования оптических каналов Ø Невозможность организации современных сервисов в ЦОД из-за низкой производительности инфраструктуры
Ø Отсутствие отказоустойчивости Ø Отсутствие централизованного мониторинга транспортной сети Ø Отсутствие изолированности сегментов сети на разных площадках
Ø ЛВС и ЦОД, распределенные по нескольким площадкам Ø Несколько сегментов ЛВС с различным уровнем защищенности и различными правами Ø Высокая пропускная способность между площадками Ø Высокая масштабируемость Ø Высокая надежность и отказоустойчивость
Модернизированная сеть должна отвечать следующим требованиям:
Модернизированная сеть - схема
7
Площадка 3
Площадка 1 Площадка 2SAN
ЯдроCat 6500
VSS
ASA 5585
Доступ ЛВСCat 3750X
DWDM
АгрегацияCisco 7606
СтекCat 3750X
Удаленныеобъекты
Криптошлюзы ГОСТ
Агрегация ЛВС
Cat 6500VSS
FWSM
Агрегация ЦОД
Cat 6500VSS
...
ONS15454
SAN
ЯдроCat 6500VSS
ASA 5585
Доступ ЛВСCat 3750X
АгрегацияCisco 7606
СтекCat 3750X
Удаленныеобъекты
Криптошлюзы ГОСТ
Агрегация ЛВСCat 6500VSSFWSM
Агрегация ЦОДCat 6500VSS
...Доступ ЛВСCat 3750X
Агрегация ЛВСCat 6500VSSFWSM
...
ONS15454
ACS ACS
Открытый сегмент
Закрытый сегмент
Модернизированная сеть - описание
8
Модернизированная сеть состоит из следующих компонентов: Ø Опорная транспортная сеть. Ø Закрытый сегмент: распределенная ЛВС и территориально распределенный ЦОД. Ø Открытый сегмент: подключение к внешним каналам связи.
Опорная транспортная сеть (Cisco ONS 15454 MSTP): Ø Единая среда передачи информации всех подсистем. Ø Разделение трафика с помощью спектрального уплотнения (DWDM), прозрачный транзит различных типов трафика (Ethernet и Fiber Channel).
Ø Проактивный мониторинг параметров оптических трактов, защиту и переключение на резервные маршруты.
Закрытый сегмент (Cisco Catalyst 6500 VSS, Catalyst 3750X, ASA 5585, ACE, ACS): Ø Взаимодействие пользователей и подсистем ЛВС и ЦОД. Ø Аутентификация/авторизация пользователей с помощью 802.1x. Ø Отказоустойчивый доступ пользователей к ресурсам распределенного ЦОД.
Открытый сегмент (Cisco 7600, Catalyst 3750X, криптошлюзы ГОСТ): Ø Агрегация внешних каналов связи. Ø Передача пользовательского зашифрованного трафика между закрытым сегментом и удаленными объектами – филиалами, банкоматами, терминалами, интернет-пользователями
Модернизированная сеть - результаты
9
Результаты модернизации: Ø Построено отказоустойчивое ядро КСПД Ø Создана иерархия взаимодействия площадок Ø Увеличена пропускная способность КСПД и модернизировано телекоммуникационное оборудование
Ø Обеспечена высокая доступность серверов приложений, работа кластерных систем ЦОД Ø Реализована инфраструктура, отвечающая современным требованиям по масштабируемости, функциональности, отказоустойчивости и катастрофоустойчивости
Ø Обеспечена защита серверов ЦОД от различных видов сетевых атак, увеличена производительность подсистемы безопасности ЦОД
Ø Обеспечена балансировки нагрузки на вычислительные комплексы ЦОД Ø Обеспеченна единая и прозрачная среда передачи информации всех подсистем с оптимальным использованием оптических линий связи
Ø Осуществляется проактивный мониторинг параметров оптических трактов, защита и переключение на резервные маршруты
Ø Сетевые администраторы получили систему контроля доступа и управления оборудованием сети
Содержание
10
Ø Компания «I-Teco»
Ø Описание реализованного проекта защищенной катастрофоустойчивой сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
ISE - Identity Services Engine
11
NAC Manager
NAC Server
NAC Profiler
NAC Guest Server
Определение и инициализация устройств + проверка подлинности
Аутентификация, контроль доступа +
слежение за состоянием
Безопасный гостевой доступ
NAC Collector Отдельное
устройство или часть NAC server’а
Аутентификация и контроль доступа
Access Control System
ISE
Identity Service Engine
Administration – управление ISE
Monitoring – хранение log-файлов
Policy Service – аутентификация, хранение и распределение политик
Inline Posture – позволяет подключать к сети устройства без поддержки 802.1x
Роли (Personas):
Схема работы ISE
12
Сетевые устройства
Сетевые ресурсы
Устройства доступа
Внешние данные Просмотр и
создание политик
Запрос атрибутов
Запрос доступа
Доступ к ресурсам
Протоколирование
Запрос и передача контекстов
Просмотр log-файлов
Протоколирование
Протоколирование
Admin
Monitoring
Policy Service
Внедрение ISE – небольшая сеть (< 2 000)
13
Главный офис
Филиал 1 Филиал 2
Точка доступа Wi-Fi
Wi-Fi контроллер с
802.1x Точка доступа
Wi-Fi
ASA VPN
Коммутатор с 802.1x
Узлы Admin, Monitoring, Policy Service (A/S)
Особенности: Ø Централизованное управление
проводным доступом с 802.1X Ø Поддержка VPN в главном офисе
с помощью Inline Posture узлов Ø Централизованное управление
беспроводным доступом в главном офисе и в филиалах с 802.1X и беспроводным контроллером
Ø Централизованное управление доступом для филиалов с 802.1X
Узлы Inline Posture (HA)
Узел Administration
Узел Policy Service
Узле Inline Posture
Узел Monitoring
Внешнее хранилище идентификаторов и атрибутов
Точка доступа Wi-Fi
Коммутатор с 802.1x
Коммутатор с 802.1x
Windows AD/LDAP (Внешнее хранилище идентификаторов и атрибутов)
Внедрение ISE – огромная сеть (> 10 000)
14
Дата-центр 1 ДЦ 2
Филиал 1
Филиал 2
ASA VPN
Admin (P) Admin (S) Monitor (P)
Monitor (S) Policy Service кластер
Узлы Inline Posture (HA)
Ø Отказоустойчивые выделенные узлы Administration и Monitoring разделены между дата-центрами (P=Primary / S=Secondary)
Ø Кластер узлов Policy Service для проводного и беспроводного доступа 802.1X в главном офисе
Ø Распределенные узлы и кластеры Policy Service проводного и беспроводного доступа 802.1X в филиалах
Ø Поддержка VPN в главном офисе с помощью Inline Posture узлов
Distributed Policy Service
Windows AD/LDAP
Wi-Fi контроллер с
802.1x
Точка доступа
Wi-Fi
Коммутатор с 802.1x
Точка доступа
Wi-Fi
Коммутатор с 802.1x
Коммутатор с 802.1x Policy
Service Policy
Service
Коммутатор с 802.1x
Wi-Fi контроллер с 802.1x Точка доступа Wi-Fi
Windows AD/ LDAP
Содержание
15
Ø Компания «I-Teco»
Ø Описание реализованного проекта защищенной катастрофоустойчивой сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
Развитие сети с иcпользованием ISE
16
Площадка 3
Площадка 1 Площадка 2SAN
ЯдроCat 6500
VSS
ASA 5585
Доступ ЛВСCat 3750X
DWDM
АгрегацияCisco 7606
СтекCat 3750X
Удаленныеобъекты
Криптошлюзы ГОСТ
Агрегация ЛВС
Cat 6500VSS
FWSM
Агрегация ЦОД
Cat 6500VSS
...
ONS15454
SAN
ЯдроCat 6500VSS
ASA 5585
Доступ ЛВСCat 3750X
АгрегацияCisco 7606
СтекCat 3750X
Удаленныеобъекты
Криптошлюзы ГОСТ
Агрегация ЛВСCat 6500VSSFWSM
Агрегация ЦОДCat 6500VSS
...Доступ ЛВСCat 3750X
Агрегация ЛВСCat 6500VSSFWSM
...
ONS15454
Открытый сегмент
Закрытый сегмент
ISEAdmin +
Monitoring (P)
ISEPolicy
Service
ISEAdmin +
Monitoring (S)
ISEPolicy
Service
Содержание
17
Ø Компания «I-Teco»
Ø Описание реализованного проекта защищенной катастрофоустойчивой сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
Схема стенда ISE
18
WLAN Wired
VPN Wired
LAN
Публичнаясеть
Корпоративная сеть
Внутренние ресурсы:WWW InternalCIFS
ADCADNSWWW GuestNTP
Карантин:Сервер обновлений
ISE Inline Posture Node
ASA
AP WLC
Gi1/0/1 Gi1/0/2
Gi1/0/3
Пользователь беспроводной сети Wi-Fi
Внутренний пользователь
сети
Удаленный пользователь (IP Sec VPN)
VLAN 60
VLAN 70
VLAN 80
ISE ISE 1) Administration2) Monitoring3) Policy Service
VLAN 100
Аутентификация пользователя 802.1x
19
5) Аккаунтинг
1) Определение
3) Аутентификация
4) Авторизация
2) Запрос-Ответ (Challenge-Response)
802.1X / EAP RADIUS
ACCESS 10.1.10.x /24
EAPoL-Start
Access-Request
Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)
Access-Accept EAP Success
Имя пользователя: user1
Identity Challenge & Response
Cisco/Cisco123
Accounting-Start
Accounting-Stop
Open Mode: ACL-DEFAULT: permit DHCP
ACL-PREPOSTURE
Сервис аутентификации: 802.1X NAS-IP: 10.1.10.5 RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed
Успешно! Группа: Internal Users
Политика авторизации: PREPOSTURE [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=ACL-PREPOSTURE
Disconnect, Shutdown, Restart, Sleep
Timestamp, MAC, NAS IP, Port ID Username, Group, Session-ID, …
Проверка сертификата?
Username & Password?
aaa authen dot1x default group RADIUS
Авторизация пройдена
Повторный запрос DHCP
ISE
ISE Коммутатор доступа
Интернет
Корпоративная сеть
Пользователь сети
Гостевой доступ 802.1x
20
4) HTTP BROWSER
1) Определение
3) Авторизация
2) Аутентификация MAB
802.1X / EAP/HTTP RADIUS EAPoL-Start
Access-Accept [GUEST ACCESS]
EAP Success
Open Mode: ACL-DEFAULT: permit DHCP ACL-GUEST-REDIRECT
Сервис аутентификации: MAB NAS-IP: 10.1.10.5 User-Name : [1] 14 "000423b2c55b” User-Password : [2] 18 * Service-Type :[6] 6 Call Check [10]
Политика авторизации: GUEST [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “GUEST” [26/9/1] = dACL=ACL-GUEST [26/9/1] = url-redirect-acl=ACL-WEBAUTH-REDIRECT
aaa authen dot1x default group RADIUS
Авторизация пройдена
Повторный запрос DHCP
Отсутствует суппликант
URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cwa
MAB Request Access-Request
HTTP://www.google.com
EAPOL TIMEOUT
ACCESS 10.1.10.x /24
Имя пользователя: guest
ISE Коммутатор доступа
Интернет
ISE
Корпоративная сеть
Пользователь
сети
Аутентификация 802.1X с проверкой состояния рабочей среды (1)
21
5) Старт проверки
1) Определение
3) Аутентификация
4) Авторизация
2) Запрос-Ответ (Challenge-Response)
802.1X / EAP/HTTP RADIUS
EAPoL-Start
Access-Request
Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)
Access-Accept [But non-Compliant] EAP Success
Identity Challenge & Response
Сервис аутентификации: 802.1X User NAS-IP: 10.1.10.5 RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed
Успешно! Group: DomainUser
Политика авторизации: EMPLOYEE [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=PRE-POSTURE-ACL [26/9/1] = url-redirect-acl=ACL-WEBAUTH-REDIRECT
Проверка сертификата?
Username & Password?
aaa authen dot1x default group RADIUS
Авторизация пройдена
Повторный запрос DHCP
Суппликант
NAC Agent Discovery to http://{default_gateway}/positron/discovery
URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cpp
ACCESS 10.1.10.x /24
Имя пользователя: user1 ISE
ISE Коммутатор доступа
Интернет
PRE-POSTURE-ACL Open Mode: ACL-DEFAULT: permit DHCP
Корпоративная сеть
Пользователь сети
Аутентификация 802.1X с проверкой состояния рабочей среды (2)
22
10.)
6) Запрос проверки
8.) Повторная авторизация
9) Повторная проверка
7) Выполнение проверки
802.1X / EAP/HTTPS RADIUS/HTTPS
HTTPS://ISE1.demo.local/discovery:8905 Posture Request
RADIUS CoA
Авторизация пройдена ПОЛНЫЙ ДОСТУП!
HTTPS://ISE1.demo.local/discovery:8905 Posture Requirements
HTTPS://ISE1.demo.local/discovery:8905 Posture Report
HTTPS://ISE1.demo.local/discovery:8905 Posture Compliant
Change of Authz (CoA)
Authz Request
Authz Response
IF No Response : Change of Authz (CoA) Требуется проверка
HTTPS://ISE1.demo.local/discovery:8905 Posture Status
ACCESS 10.1.10.x /24
Имя пользователя: user1 ISE
ISE Коммутатор доступа
Интернет
Корпоративная сеть
Пользователь сети
Контакты
23
Алексей Голых Инженер поддержки продаж Департамент сетей и телекоммуникаций ЗАО "Ай-Теко" Тел.: +7 (495) 777-10-95 Факс: +7 (495) 777-10-96 E-mail: [email protected] WWW: http://www.i-teco.ru