Отказоустойчивые безопасные сети. Эволюция...

Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях.

Компания «I-Teco». Департамент сетей и телекоммуникаций.

2011

Алексей Голых Инженер поддержки продаж [email protected]

Содержание

2

Ø  Компания «I-Teco»

Ø  Описание реализованного проекта защищенной катастрофоустойчивой сети

Ø  Технология защищенного доступа ISE

Ø  Проект развития сети с использованием ISE

Ø  Реализация ISE в лаборатории «I-Teco»

Профиль компании «Ай-Теко»

3

•  Ведущий системный интегратор (TOP-10) и крупный поставщик информационных технологий

•  Статусы Cisco Gold Certified Partner и Cisco Customer Satisfaction Excellence •  TOP-5 лучших российских поставщиков ИТ-услуг в банковском секторе •  TOP-10 крупнейших поставщиков ИТ в госсекторе •  Сертификат системы менеджмента качества ГОСТ Р ИСО 9001-2001 •  Сертификат системы управления IT-сервисами ISO/IEC 20000-1:2005

Ключевые партнеры

Локальная экспертиза

Мировой опыт

Передовые технологии

Принципы работы компании

ü 8 собственных региональных подразделений в России — Санкт-Петербург, Уфа, Ростов-на-Дону, Ярославль, Пермь, Иркутск, Красноярск, Казань.

ü 3 представительства в странах СНГ — Украина, Казахстан, Узбекистан. ü 128 партнеров во всех субъектах Российской Федерации.

«Ай-Теко» в России и СНГ:

Примеры проектов

4

Шереметьево-3 Ø  Построение отказоустойчивой сетевой инфраструктуры (до 8000 подключений)

АК «Трансаэро» Ø  Построение современной отказоустойчивой мультисервисной телекоммуникационной инфраструктуры для нового шестиэтажного здания

Министерство внутренних дел РФ Ø  Проектирование и развертывание ведомственной защищенной сети передачи данных

Администрация Вологодской области Ø  Проект мультисервисной сети, соединяющей 28 финансовых органов муниципальных образований

Сбербанк России Ø  Построение и развитие программно-аппаратных комплексов в ЦА и тер. банках Ø  Внедрение географически распределенных систем высокой доступности

Банк ВТБ Ø  Модернизация ИТ-инфраструктуры всех региональных офисов

НПФ «Газфонд» Ø  Создание системы телефонии в новом офисе на базе Cisco Unified Communication Manager

Ингосстрах Ø  Построение локальной вычислительной сети центрального офиса компании

Ростелеком Ø  Модернизация КСПД филиалов Ø  Создание СКС и ЛВС в центральном офисе Ø  Построение сети беспроводного доступа в зданиях генеральной дирекции

Башинформсвязь Ø  Построение опорной сети на территории Башкортостана на базе технологии MPLS, сети MetroEthernet в г. Уфе, сети доступа клиентов на базе технологии ADSL

Ø  Модернизация транспортной сети г. Уфы. Впервые в России для построения оптического DWDM-кольца использована технология Xponder 10 Gbps

Вымпелком Ø  Построение магистральной сети DWDM в центральном регионе


5






Проект сети финансовой организации

6

Сеть крупной финансовой компании Сеть построена давно, имеет следующие недостатки:

Ø  Недостаточная защищенность пользовательских подключений и сети в целом Ø  Низкая пропускная способность каналов связи и перегруженность оборудования Ø  Неоптимальное использования оптических каналов Ø  Невозможность организации современных сервисов в ЦОД из-за низкой производительности инфраструктуры

Ø  Отсутствие отказоустойчивости Ø  Отсутствие централизованного мониторинга транспортной сети Ø  Отсутствие изолированности сегментов сети на разных площадках

Ø  ЛВС и ЦОД, распределенные по нескольким площадкам Ø  Несколько сегментов ЛВС с различным уровнем защищенности и различными правами Ø  Высокая пропускная способность между площадками Ø  Высокая масштабируемость Ø  Высокая надежность и отказоустойчивость

Модернизированная сеть должна отвечать следующим требованиям:

Модернизированная сеть - схема

7

Площадка 3

Площадка 1 Площадка 2SAN

ЯдроCat 6500

VSS

ASA 5585

Доступ ЛВСCat 3750X

DWDM

АгрегацияCisco 7606

СтекCat 3750X

Удаленныеобъекты

Криптошлюзы ГОСТ

Агрегация ЛВС

Cat 6500VSS

FWSM

Агрегация ЦОД

Cat 6500VSS

...

ONS15454

SAN

ЯдроCat 6500VSS

ASA 5585



СтекCat 3750X



Агрегация ЛВСCat 6500VSSFWSM

Агрегация ЦОДCat 6500VSS

...Доступ ЛВСCat 3750X


...

ONS15454

ACS ACS

Открытый сегмент

Закрытый сегмент

Модернизированная сеть - описание

8

Модернизированная сеть состоит из следующих компонентов: Ø  Опорная транспортная сеть. Ø  Закрытый сегмент: распределенная ЛВС и территориально распределенный ЦОД. Ø  Открытый сегмент: подключение к внешним каналам связи.

Опорная транспортная сеть (Cisco ONS 15454 MSTP): Ø  Единая среда передачи информации всех подсистем. Ø  Разделение трафика с помощью спектрального уплотнения (DWDM), прозрачный транзит различных типов трафика (Ethernet и Fiber Channel).

Ø  Проактивный мониторинг параметров оптических трактов, защиту и переключение на резервные маршруты.

Закрытый сегмент (Cisco Catalyst 6500 VSS, Catalyst 3750X, ASA 5585, ACE, ACS): Ø  Взаимодействие пользователей и подсистем ЛВС и ЦОД. Ø  Аутентификация/авторизация пользователей с помощью 802.1x. Ø  Отказоустойчивый доступ пользователей к ресурсам распределенного ЦОД.

Открытый сегмент (Cisco 7600, Catalyst 3750X, криптошлюзы ГОСТ): Ø  Агрегация внешних каналов связи. Ø  Передача пользовательского зашифрованного трафика между закрытым сегментом и удаленными объектами – филиалами, банкоматами, терминалами, интернет-пользователями

Модернизированная сеть - результаты

9

Результаты модернизации: Ø  Построено отказоустойчивое ядро КСПД Ø  Создана иерархия взаимодействия площадок Ø  Увеличена пропускная способность КСПД и модернизировано телекоммуникационное оборудование

Ø  Обеспечена высокая доступность серверов приложений, работа кластерных систем ЦОД Ø  Реализована инфраструктура, отвечающая современным требованиям по масштабируемости, функциональности, отказоустойчивости и катастрофоустойчивости

Ø  Обеспечена защита серверов ЦОД от различных видов сетевых атак, увеличена производительность подсистемы безопасности ЦОД

Ø  Обеспечена балансировки нагрузки на вычислительные комплексы ЦОД Ø  Обеспеченна единая и прозрачная среда передачи информации всех подсистем с оптимальным использованием оптических линий связи

Ø  Осуществляется проактивный мониторинг параметров оптических трактов, защита и переключение на резервные маршруты

Ø  Сетевые администраторы получили систему контроля доступа и управления оборудованием сети


10






ISE - Identity Services Engine

11

NAC Manager

NAC Server

NAC Profiler

NAC Guest Server

Определение и инициализация устройств + проверка подлинности

Аутентификация, контроль доступа +

слежение за состоянием

Безопасный гостевой доступ

NAC Collector Отдельное

устройство или часть NAC server’а

Аутентификация и контроль доступа

Access Control System

ISE

Identity Service Engine

Administration – управление ISE

Monitoring – хранение log-файлов

Policy Service – аутентификация, хранение и распределение политик

Inline Posture – позволяет подключать к сети устройства без поддержки 802.1x

Роли (Personas):

Схема работы ISE

12

Сетевые устройства

Сетевые ресурсы

Устройства доступа

Внешние данные Просмотр и

создание политик

Запрос атрибутов

Запрос доступа

Доступ к ресурсам

Протоколирование

Запрос и передача контекстов

Просмотр log-файлов



Admin

Monitoring

Policy Service

Внедрение ISE – небольшая сеть (< 2 000)

13

Главный офис

Филиал 1 Филиал 2

Точка доступа Wi-Fi

Wi-Fi контроллер с

802.1x Точка доступа

Wi-Fi

ASA VPN

Коммутатор с 802.1x

Узлы Admin, Monitoring, Policy Service (A/S)

Особенности: Ø  Централизованное управление

проводным доступом с 802.1X Ø  Поддержка VPN в главном офисе

с помощью Inline Posture узлов Ø  Централизованное управление

беспроводным доступом в главном офисе и в филиалах с 802.1X и беспроводным контроллером

Ø  Централизованное управление доступом для филиалов с 802.1X

Узлы Inline Posture (HA)

Узел Administration

Узел Policy Service

Узле Inline Posture

Узел Monitoring

Внешнее хранилище идентификаторов и атрибутов

Точка доступа Wi-Fi



Windows AD/LDAP (Внешнее хранилище идентификаторов и атрибутов)

Внедрение ISE – огромная сеть (> 10 000)

14

Дата-центр 1 ДЦ 2

Филиал 1

Филиал 2

ASA VPN

Admin (P) Admin (S) Monitor (P)

Monitor (S) Policy Service кластер

Узлы Inline Posture (HA)

Ø  Отказоустойчивые выделенные узлы Administration и Monitoring разделены между дата-центрами (P=Primary / S=Secondary)

Ø  Кластер узлов Policy Service для проводного и беспроводного доступа 802.1X в главном офисе

Ø  Распределенные узлы и кластеры Policy Service проводного и беспроводного доступа 802.1X в филиалах

Ø  Поддержка VPN в главном офисе с помощью Inline Posture узлов

Distributed Policy Service

Windows AD/LDAP

Wi-Fi контроллер с

802.1x

Точка доступа

Wi-Fi


Точка доступа

Wi-Fi


Коммутатор с 802.1x Policy

Service Policy

Service


Wi-Fi контроллер с 802.1x Точка доступа Wi-Fi

Windows AD/ LDAP


15






Развитие сети с иcпользованием ISE

16

Площадка 3

Площадка 1 Площадка 2SAN

ЯдроCat 6500

VSS

ASA 5585


DWDM


СтекCat 3750X



Агрегация ЛВС

Cat 6500VSS

FWSM

Агрегация ЦОД

Cat 6500VSS

...

ONS15454

SAN

ЯдроCat 6500VSS

ASA 5585



СтекCat 3750X




Агрегация ЦОДCat 6500VSS

...Доступ ЛВСCat 3750X


...

ONS15454

Открытый сегмент

Закрытый сегмент

ISEAdmin +

Monitoring (P)

ISEPolicy

Service

ISEAdmin +

Monitoring (S)

ISEPolicy

Service


17






Схема стенда ISE

18

WLAN Wired

VPN Wired

LAN

Публичнаясеть

Корпоративная сеть

Внутренние ресурсы:WWW InternalCIFS

ADCADNSWWW GuestNTP

Карантин:Сервер обновлений

ISE Inline Posture Node

ASA

AP WLC

Gi1/0/1 Gi1/0/2

Gi1/0/3

Пользователь беспроводной сети Wi-Fi

Внутренний пользователь

сети

Удаленный пользователь (IP Sec VPN)

VLAN 60

VLAN 70

VLAN 80

ISE ISE 1) Administration2) Monitoring3) Policy Service

VLAN 100

Аутентификация пользователя 802.1x

19

5) Аккаунтинг

1) Определение

3) Аутентификация

4) Авторизация

2) Запрос-Ответ (Challenge-Response)

802.1X / EAP RADIUS

ACCESS 10.1.10.x /24

EAPoL-Start

Access-Request

Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)

Access-Accept EAP Success

Имя пользователя: user1

Identity Challenge & Response

Cisco/Cisco123

Accounting-Start

Accounting-Stop

Open Mode: ACL-DEFAULT: permit DHCP

ACL-PREPOSTURE

Сервис аутентификации: 802.1X NAS-IP: 10.1.10.5 RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed

Успешно! Группа: Internal Users

Политика авторизации: PREPOSTURE [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=ACL-PREPOSTURE

Disconnect, Shutdown, Restart, Sleep

Timestamp, MAC, NAS IP, Port ID Username, Group, Session-ID, …

Проверка сертификата?

Username & Password?

aaa authen dot1x default group RADIUS

Авторизация пройдена

Повторный запрос DHCP

ISE

ISE Коммутатор доступа

Интернет


Пользователь сети

Гостевой доступ 802.1x

20

4) HTTP BROWSER



2) Аутентификация MAB

802.1X / EAP/HTTP RADIUS EAPoL-Start

Access-Accept [GUEST ACCESS]

EAP Success

Open Mode: ACL-DEFAULT: permit DHCP ACL-GUEST-REDIRECT

Сервис аутентификации: MAB NAS-IP: 10.1.10.5 User-Name : [1] 14 "000423b2c55b” User-Password : [2] 18 * Service-Type :[6] 6 Call Check [10]

Политика авторизации: GUEST [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “GUEST” [26/9/1] = dACL=ACL-GUEST [26/9/1] = url-redirect-acl=ACL-WEBAUTH-REDIRECT




Отсутствует суппликант

URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cwa

MAB Request Access-Request

HTTP://www.google.com

EAPOL TIMEOUT

ACCESS 10.1.10.x /24

Имя пользователя: guest


Интернет

ISE


Пользователь

сети

Аутентификация 802.1X с проверкой состояния рабочей среды (1)

21

5) Старт проверки


3) Аутентификация


2) Запрос-Ответ (Challenge-Response)

802.1X / EAP/HTTP RADIUS

EAPoL-Start

Access-Request

Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)

Access-Accept [But non-Compliant] EAP Success

Identity Challenge & Response

Сервис аутентификации: 802.1X User NAS-IP: 10.1.10.5 RADIUS-Key: cisco123 IETF:NAS-Port-Type == Ethernet IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed

Успешно! Group: DomainUser

Политика авторизации: EMPLOYEE [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=PRE-POSTURE-ACL [26/9/1] = url-redirect-acl=ACL-WEBAUTH-REDIRECT

Проверка сертификата?

Username & Password?




Суппликант

NAC Agent Discovery to http://{default_gateway}/positron/discovery

URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cpp

ACCESS 10.1.10.x /24

Имя пользователя: user1 ISE


Интернет

PRE-POSTURE-ACL Open Mode: ACL-DEFAULT: permit DHCP



Аутентификация 802.1X с проверкой состояния рабочей среды (2)

22

10.)

6) Запрос проверки

8.) Повторная авторизация

9) Повторная проверка

7) Выполнение проверки

802.1X / EAP/HTTPS RADIUS/HTTPS

HTTPS://ISE1.demo.local/discovery:8905 Posture Request

RADIUS CoA

Авторизация пройдена ПОЛНЫЙ ДОСТУП!

HTTPS://ISE1.demo.local/discovery:8905 Posture Requirements

HTTPS://ISE1.demo.local/discovery:8905 Posture Report

HTTPS://ISE1.demo.local/discovery:8905 Posture Compliant

Change of Authz (CoA)

Authz Request

Authz Response

IF No Response : Change of Authz (CoA) Требуется проверка

HTTPS://ISE1.demo.local/discovery:8905 Posture Status

ACCESS 10.1.10.x /24

Имя пользователя: user1 ISE


Интернет



Контакты

23

Алексей Голых Инженер поддержки продаж Департамент сетей и телекоммуникаций ЗАО "Ай-Теко" Тел.: +7 (495) 777-10-95 Факс: +7 (495) 777-10-96 E-mail: [email protected] WWW: http://www.i-teco.ru

Отказоустойчивые безопасные сети. Эволюция...

Documents