伊势 2.1-TrustSec概述和ISE配置

在此博客文章中,我们将介绍ISE 2.1中TrustSec的配置。此配置在大多数情况下也适用于ISE 2.0。尽管TrustSec不是安全ISE部署的必需配置,但它无疑具有一些巨大的优势。这是一种利用安全组标记(SGT)的安全体系结构,该体系结构允许该网络强制执行访问控制策略,降低ACL复杂度,并且可用于其他安全设备中的策略,当我浏览pxGrid时,我将在以后的博客文章中进一步介绍该策略。在不同的系统上。 

我将分解TrustSec的不同组成部分:

  • 网络访问设备(NAD) -这是端点连接到的网络设备。 终端访问控制(EAC)在设备连接时发生,并且在身份验证和授权后,EAC进程将SGT分配给用户或设备。 EAC可以使用802.1X,MAB和WebAuth作为身份验证和授权的访问方法
  • 安全组(SG)-共享访问控制策略并在ISE中定义的用户,端点和资源的组。 
  • 安全组标记(SGT)-每个安全组在TrustSec域中都有自己的唯一16位安全组号。在ISE中创建命名的SGT时会自动生成编号。 
  • 安全组访问控制列表(SGACL)-允许基于分配的SGT控制访问和权限。 
  • 安全交换协议(SXP)-为TrustSec服务开发的协议,用于在不具有支持SGT / SGACL的具有SGT功能的硬件的网络设备之间传播IP-SGT绑定
  • 环境数据下载-TrustSec设备在首次加入可信域时会从ISE获取环境数据。数据也可以在设备上手动配置。环境数据在过期之前会刷新,并获得以下信息:客户端可用于将来RADIUS请求的服务器,网络设备本身所属的安全组以及TrustSec设备应多长时间下载或刷新一次其时间间隔环境数据
  • 标识到端口的映射-交换机用于定义端点连接的端口上的标识,并使用此标识在ISE上查找SGT值的方法。

让我们深入研究TrustSec,以了解我们从该体系结构中获得什么以及为什么要使用它。目的是基于身份和设备信息建立安全的网络,该网络可以是动态的-无论子网,位置或MAC地址如何。基于策略,身份和设备信息,数据包在进入时用SGT标记,并且可以在ISE或与ISE共享上下文信息的其他设备中构建策略。这样可以降低ACL的复杂性,简化跨平台的策略,并赋予更紧密的安全性。 

例如,假设您有100个站点,每个站点具有3个子网,并且您需要在防火墙上编写规则以真正了解可以与哪些对象进行通信的细节。您可以通过对象组使其看起来更简单:

对象组网络被拒绝
网络对象主机10.1.1.4
网络对象主机10.1.1.78
网络对象主机10.1.1.89

对象组网络
网络对象主机209.165.201.29
网络对象主机209.165.201.16
网络对象主机209.165.201.78

访问列表ACL_IN扩展拒绝TCP对象组被拒绝对象组Web eq www
访问列表ACL_IN扩展许可ip任何

虽然看起来更整洁,但在内部处理ACL时,IOS实际上将其分解出来,因此在内部,您实际上将让ASA处理此问题:

访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.78 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.78 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.78 eq www

 

尽管这是一个非常简单的示例,但根据对象组或ACL的大小,它可能会变得很长且占用大量资源-即使对于较大的防火墙也是如此。更不用说,如果您的公司正在更改(添加/删除子网),那么应该有很多潜在的手动配置,或者如果不删除子网,则配置膨胀的可能性很大。 

使用SGT,可以潜在地从ACL中完全删除子网,并且只要对数据包进行了标记并且ASA知道目标SGT映射(我们将在稍后进行介绍),它就可以基于标记而不是子网做出决定。或IP。因此,对于人眼和内部ASA来说,上述相同的ACL看起来都是这样的:

访问列表ACL_IN拒绝TCP 安全组名称DENIED-SGT任何安全组名称WEB-SGT任何eq www

您也可以使用标签号而不是名称来创建SGACL,但是我认为使用名称可以使其更易于阅读和逻辑理解。由于ASA正在等待标签信息,因此不必担心子网或需要手动更新以将IP地址或子网添加到对象组中。

利用TrustSec,您还可以利用它来代替SGACL来代替dACL。当数据包在入口处被标记时,基础结构设备将能够下载适用于源和目标标记的SGACL并执行策略。如果设备的策略需要更改(例如,姿势失败,用户注销等),则在数据包上标记的SGT将会更改, 

在ACL之外,SGT还可用于在其他设备上应用策略。例如,通过pxGrid集成,可以与WSA,Firepower,StealthWatch等共享SGT信息。例如:

在Firepower上,您可以根据ISE共享的源SGT或设备类型(而不是源子网或AD组)在访问策略中创建规则,因为针对用户的策略可能会根据状态的变化而更改:

在WSA上,您可以基于SGT创建访问策略,因此,如果您具有用于Admin,Employee,Guest,Non-Compliant和Quarantined_Systems的SGT,则可能需要基于以下级别允许不同级别的访问:

 

对于上述示例,如果SGT由于任何原因发生更改(即,设备被隔离或确定为不合规),则用户的访问权限也会在安全设备上动态更改,因为它不再仅限于用户的IP地址或AD组。 

在StealthWatch上,Netflow可以在某些平台上发送SGT信息,并且主题流或对等SGT可以在Flow Query中搜索这些流,并且在流信息中,还可以看到SGT标签:

这些不是SGT可用于搜索或定义策略的唯一设备。请点击 这里 了解ISE生态系统合作伙伴的完整列表。

现在,我将转到ISE中的不同配置选项和信息。导航至 工作中心>TrustSec>Overview,您可以查看需要为TrustSec配置哪些内容的概述:

单击仪表板,您可以查看SGT仪表板,这对于管理和故障排除很有用:

为了利用TrustSec,我将确保我的ISE节点正在运行SXP服务。导航 行政>System>Deployment 并单击ISE主机名并在完成后保存:

我们将按照概述说明在ISE中进行设置。 

准备:

信任安全 AAA 服务器s -

在此处添加将用于TrustSec的AAA服务器。如果您具有独立部署,则现有的ISE服务器应位于此处

您可以点击 如果您要手动添加更多AAA服务器:

网络设备

接下来,我们将配置NAD。在此页面上,单击NAD的名称一个一个,以配置TrustSec:

选中旁边的框 Advanced 信任安全 Settings:

此处详细介绍了一些不同的设置:

  • 使用设备ID进行TrustSec标识-选中此选项将使用在设备ID字段中列出的设备名称作为标识符
  • 设备ID-使用设备名称作为逻辑标识符 
  • 密码-用于验证TrustSec设备的密码。必须与您在cts凭据的命令行界面上配置的密码相同
  • 下载数据和重新认证设置-我通常将其保留为默认设置
  • 其他信任此设备的TrustSec设备(受信任的TrustSec)-如果您希望对等设备信任此设备,请选中此框。如果未选中此选项,则对等设备将不信任它,并且从该设备到达的所有数据包将相应地进行着色或标记
  • 将配置更改发送到设备-检查您是否要ISE将TrustSec CoA通知发送到设备 
  • 部署安全组标签映射更新时包括此设备-仅当您希望TrustSec设备使用设备接口凭据获取IP-SGT映射时,才选中此框。 

除非您配置ASA,否则请忽略带外(OOB)TrustSec PAC。在这种情况下,您需要生成PAC并下载它:

 

常规Trustsec设置

在此菜单中,您可以配置TrustSec的常规设置:

这些设置包括:

  • 隧道PAC生存时间 -PAC的到期时间,该PAC为EAP-FAST协议生成隧道
  • 主动PAC更新将在之后发生 -保留配置的百分比的隧道PAC TTL后,ISE将在成功进行身份验证后向客户端提供新的PAC
  • 系统 Will Assign SGT Numbers + 范围内的数字除外 + 用户必须手动输入SGT编号 -选择是否由ISE自动生成所有SGT编号,以及是否可以手动配置范围
  • APIC EPG的安全组标签编号 -复选框并指定用于基于从APIC获悉的EPG创建的SGT的数字范围
  • 创建授权规则时自动创建安全组 -复选框,用于在创建授权策略规则时自动创建SGT。自动创建的SGT基于规则属性命名。 
  • 自动创建的SGT编号范围 -选中复选框并指定要用于自动创建的SGT的数字范围
  • 自动命名选项 -为自动创建的SGT定义命名约定的选项

 

工作流程

这是ISE 2.1中的一项新功能,可帮助您在将其部署到其余网络设备之前,使用分段矩阵在一组有限的设备上测试新策略。如果您已有现有的棕地部署,或者想要在部分设备上测试新策略,则可以选择分阶段部署策略,而不是仅仅部署策略

定义:

安全组

在这里我们将创建安全组,系统将分配一个SGT编号。默认情况下,应该已经有一些现有的组:

为了降低复杂性,我建议您尽可能使安全组保持基本状态。虽然可能很想为公司中每个部门或设备类型创建组,但我还是建议根据您在ISE中分配策略的方式将所有内容分组在一起。为简单起见,我将删除许多SGT并使用以下命令:

 

网络设备授权

在这里,我们将SGT分配给实际的TrustSec网络访问设备。为简单起见,我在默认值上方插入了一条规则,并将条件定义为位置与安全实验室位置匹配的任何设备,然后分配TrustSec_Devices标记。

 

定义SGACL

在此配置SGACL,以后将在策略中使用它们。请点击 开始创建SGACL:

 

SGACL的语法与您在dACL中使用的语法略有不同。它们是在未定义SGT标签或IP的情况下编写的:

许可|拒绝[ip | tcp | udp | icmp] {dst eq <port-num>}

我将创建以下SGACL:

 

 

Trustsec矩阵

信任安全矩阵是我们可以轻松应用SGACL的地方,它包含两个轴-源轴和目标轴:

通过单击该单元格,您可以添加一个SGACL,它基本上将从源(右侧)读取到目的地(顶部)。如果您先前启用了工作流流程,则在您编辑单元格时它将切换到暂存矩阵。

首先,单击单元格中的铅笔:

 

从弹出窗口中,从先前创建的SGACL中选择,或单击齿轮以创建新的SGACL:

如果您只想选择拒绝IP或允许IP,则可以在字段中更改最终的全部捕获规则:

继续填充TrustSec矩阵,直到您设置了所有权限为止,因为这对您的策略有意义。使用之前创建的SGACL,基本上是将它们插入矩阵的源和目标之间,因此,当您看到以下内容时:

 

这等效于允许Admin SGT与Admin SGT通信,但是Admin SGT被BYOD SGT拒绝。 

如果您已经配置了工作流程,并且已经将SGACL添加到矩阵中,请单击 工作流程 在顶部并选择 选择网络设备

如果只想测试一小部分设备,然后再将其部署到网络的其余部分或分阶段部署,则可以在弹出窗口中选择要将此配置应用到哪些网络设备:

 

对于我的实验室,我将继续进行下去,并将其推送到所有设备并提交批准。您的批准人将登录并提交以下批准:

在请求者部署它之后,批准者可以将工作流设置为生产,并将该工作流从登台矩阵移动到生产矩阵。

 

SXP

如前所述,安全组标记(SGT)交换协议(SXP)用于将SGT跨不支持TrustSec的硬件的网络设备传播到支持SGT的设备。 SXP 使用TCP来建立两个单独设备之间的连接,SXP分配设备有两个角色:

  • SXP 扬声器-通过SXP连接感知IP-SGT映射的对等体
  • SXP 侦听器-通过SXP连接接收IP-SGT映射的对等点

诸如此类的一些较新的设备能够在双向模式下同时充当扬声器和收听者。从ISE 2.0及更高版本开始,可以将ISE配置为SXP对等方并传播IP-SGT绑定,而不是直接对等网络设备。在数据包上标记SGT需要硬件支持,因此,尽管设备可能具有软件支持但没有硬件支持,但是SXP可以将此IP-SGT映射从该非硬件支持的设备传递到下一台将为数据包添加标签的硬件支持的设备。一旦收到。 

在“ SXP 设备”页面上,单击 添加新的SGT设备:

在上面的窗口中,填写以下内容:

  • 对端设备名称
  • 对端的IP地址
  • 对等角色-可以是发言人,听众或两者兼而有之
  • 将形成SXP连接的已连接PSN
  • SXP 域-会话绑定始终在默认域上传播
  • 此SXP连接的状态是启用还是禁用
  • 密码类型-可以选择您在设置中配置的全局默认密码,可以选择无密码或自定义密码
  • SXP 版本-SXP当前有4个版本
    • v1-支持IPv6绑定
    • v2-支持IPv4和IPv6绑定
    • v3-支持IPv4和IPv6绑定以及子网绑定扩展
    • v4-支持IPv4和IPv6绑定,子网绑定扩展,环路检测,SXP功能交换和双向支持 

在SXP设备的“高级设置”下,您可以配置发言者将发送保持连接的活动消息的保持时间的最短保留时间,以及发言者用来触发发送活动消息的保持活动计时器的时间。我通常不修改这些内容并将其保留为默认值。

输入设备信息后,单击“保存”。如果将对等设备配置为进行SXP连接,则会看到该连接处于打开状态。我将在另一篇博客文章中配置对等设备。

上线& Monitor:

调整授权政策

即使完全填充了SGT矩阵,ISE仍需要知道将哪个标签分配给什么。导航对您的在ISE的策略集并且替换或添加在权限下的选择的安全组。您可以将其添加到先前配置的授权配置文件之上,也可以替换它,具体取决于您为部署选择的内容。

 

推行政策

配置完策略和SXP连接后,您可以点击 部署 按生产矩阵上的按钮可以执行以下政策:

 

完成此操作后,您可以在我前面提到的仪表板中查看SGT会话,并且如果您选择的话,还可以基于TrustSec创建报告: