Hálózati hozzáférés vezérlés Cisco alapokon

Hálózati hozzáférés vezérlés Cisco alapokon Identity Services Engine újdonságok Hegyi Béla

Miről lesz ma szó? ISE áttekintés ISE 1.3 újdonságok User Experience Integráció Elosztott információ és monitoring 2

Miért kell foglalkoznunk az azonosítás kérdésével? 3

Építőelemek Policy Administration Policy Decision Identity Services Engine (ISE) Identity Access Policy System Policy Enforcement Cisco 2900/3560/3700/4500/6500, Nexus 7000 switches, Wireless and Routing Infrastructure Cisco ASA, ISR, ASR 1000 Policy Information NAC Agent Web Agent No-Cost Persistent and Temporal Clients for Posture, and Remediation 802.1X Supplicant AnyConnect or OS-Embedded Supplicant 4

ISE 1.3 újdonságok User Experience Megújuló vendégszolgáltatás Változások az admin felületen BYOD és tanúsítványterítési újdonságok Integráció Multi-Forest Active Directory VPN újítások AnyConnect Unified Agent Elosztott információ és monitoring Monitoring újítások pxgrid 5

User Experience Megújuló vendégszolgáltatás Változások az admin felületen BYOD & tanúsítványterítési újdonságok 6

Vendégszolgáltatás Admin felület Guest access Új Guest menüpont. One Stop Setup Minden, vendégszolgáltatáshoz kapcsolódó funkció egy helyen. Beépített templatek - Hostspot - Self-service (with or without approval) - Sponsored 7

Vendégszolgáltatás Guest Flow Settings Portál beállítások A beépített guest flow-k testreszabhatók. Guest Flow diagram Guest Flow diagram frissítése valós időben. 8

Vendégszolgáltatás Témák, testreszabhatóság Témák Beépített és egyedileg létrehozható témák. Testreszabhatóság Beépített vagy egyedi mezők. Live Preview On-line előnézet. 9

Vendégszolgáltatás Szponzor portál Témák Dedikált téma a szponzor portálnak. Vendégfelhasználók létrehozása Egyedi mezők. Create Accounts Create Accounts Print Email SMS Mobile Sponsors A szponzor portál elérhető mobil eszközökről is. 10

Vendégszolgáltatás Device Limit 11

Internal CA Enterprise Root (optional) ISE deployment root CA-ja az Admin node - meglévő root CA alá tartozó subordinate - standalone root CA Standby PAN Primary ISE CA PAN PSN-ek az Admin node alá tartozó subordinate CA-k PSN-ek SCEP Registration Authority (RA) szerepkört töltenek be PSN PSN PSN PSN Subordinate CA SCEP RA Subordinate CA SCEP RA Subordinate CA SCEP RA Subordinate CA SCEP RA 12

Internal CA template Subject SAN CN, OU, O, L, ST, C UDID, user ID, MAC address, serial number * egyedi mező nem definiálható Érvényesség Kulcshossz 13

Integráció Multi-Forest Active Directory VPN újítások AnyConnect Unified Agent 14

Multi-Forest AD Instance, Scope, Domain Whitelist acs.com acs.com Scope A Company-B.com Company-C.com Company-D.com brazil.south.amer.acs.com amer.acs.com oceania.acs.com Company-E.com australia.oceania.acs.com canberra.australia.oceania.acs.com Instance Domain Whitelist 15

Posture Posture = a csatlakozni kívánó hoszt megfelel a megkövetelt biztonsági szabályoknak? Antivirus Antispyware Regisztrációs adatbázis bejegyzések Fájlok, folyamatok megléte/ állapota Windows Update 16

Posture elemzés VPN környezetben ASA 5500-X sorozat, 5505 és Virtual ASA (9.2.1) ISE 1.2 Patch 5 AnyConnect 3.1 MR5 + NAC Agent (vagy AnyConnect 4.0) permit to ISE permit to Remediation deny any ASA REQUEST File Servers ACCEPT ACL url-redirect I S E Remediation Servers 17

Posture elemzés VPN környezetben permit to ISE permit to Remediation deny any ASA Control Remediation File Servers I S E Remediation Servers 18

Posture elemzés VPN környezetben permit to ISE permit to permit Remediation to internal deny any.. ASA CoA Policy Push ACL, SGT I S E File Servers Remediation Servers 19

Elosztott információ és monitoring Monitoring újítások Pxgrid 20

API-n keresztüli információ megosztás I have reputation info! I need threat data I have sec events! I need reputation I have NetFlow! I need entitlement I have threat data! I need reputation I have firewall logs! I need identity SIO Proprietary We APIs need aren t to share the solution data I have application info! I need location & auth-group I have NBAR info! I need identity I have location! I need identity I have MDM info! I need location I have app inventory info! I need posture I have identity & device-type! I need app inventory & vulnerability 21 21

pxgrid SIO Direct, Secured Interfaces pxgrid Context Sharing Single, Scalable Framework Egyedi API-k kiváltása Szabályozható a komponensek között megosztott információ Két irányú kialakítás, információ megosztás és fogadás pxgrid controller és connection agent szerepkörök Cisco és 3rd party integráció 22 22

23 Monitoring Tree view AuthC Protocols Identity Store

Monitoring Tree view AuthZ Rule 24

Monitoring Live Log / Live Session Filters 25

Monitoring Ad hoc lekérdezések 26

Monitoring XML Policy Export 27

Monitoring XML Policy Export 28

Bypass suppression per endpoint Logging -> Collection Filter 5-480 perc közötti időtartamra konfigurálható 29

Összegzés Vendégszolgáltatás Internal CA Multi-Forest AD AnyConnect 4.0 ASA CoA Monitoring pxgrid 30