ISE. 2.1 - TrustSec概述和ISE配置

在此博客文章中,我们将在ISE 2.1中查看TrustSec的配置。此配置也适用于ISE 2.0以及大多数情况。虽然Trustsec不是安全的ISE部署所需的配置,但它肯定有一些很大的优势。它是一种安全架构,利用安全组标签(SGT),允许网络强制执行访问控制策略,降低ACL复杂性,并且可以在其他安全设备中用于策略,当我备用PxGrid时,我将在后面的博客文章中进一步进一步在不同的系统上。 

我将分解Trustsec的不同组成部分:

  • 网络访问设备(NAD)  - 这是端点连接到的网络设备。 Endpoint录取控制(EAC)会发生在设备连接和验证和授权之后,EAC进程为用户或设备分配了SGT。 EAC可以使用802.1x,mAb和WebAuth作为认证和授权的访问方法
  • 安全组(SG) - 共享访问控制策略的用户,端点和资源组,并在ISE中定义。 
  • 安全组标签(SGT) - 每个安全组都具有TrustSec域中的唯一16位安全组编号。在ISE中创建一个名为SGT时,将自动生成数字。 
  • 安全组访问控制列表(SGACL) - 允许基于分配的SGTS控制访问和权限。 
  • 安全Exchange协议(SXP) - 为TrustSec服务开发的协议,以在不具有支持SGT / SGACL的支持功能的网络设备上传播IP-SGT绑定
  • 环境数据下载 - TrustSec设备首先加入受信任域时从ISE获取环境数据。还可以在设备上手动配置数据。在其到期之前刷新环境数据,并且它获取以下信息:客户端可以用于未来的RADIUS请求,网络设备本身所属的安全组以及TrustSec设备应该如何下载或刷新其的时间间隔环境数据
  • 身份到端口映射 - 切换方法以定义端点连接的端口上的标识并使用此标识查找ISE上的SGT值。

让我们挖掘Trustsec一点,以了解我们从这个架构中摆脱了什么以及为什么我们会使用它。目的是基于身份和设备信息建立安全网络,并且可以是动态的 - 无论子网,位置还是MAC地址如何。基于策略,身份和设备信息,在入口和策略上标记数据包可以在ISE中或在与ISE共享上下文信息的其他设备中构建。这可以降低ACL复杂性,简化跨平台的政策,并授予更具凝聚力的安全姿势。 

例如,我们假设您每个站点有100个站点,并且您需要在防火墙上编写规则,以获得真正的粒度可以与之通信的内容。您可以对象组来使其看起来更容易:

对象组网络被拒绝
网络对象主机10.1.1.4
网络对象主机10.1.1.78
网络对象主机10.1.1.89

对象组网络网络
网络 - 对象主机209.165.201.29
网络对象主机209.165.201.16
网络 - 对象主机209.165.201.78

访问列表ACL_IN扩展拒绝TCP对象组拒绝对象组Web EQ WWW
访问列表ACL_IN扩展许可证IP任何任何

虽然这看起来是人眼的耳朵,但iOS实际上会在内部处理ACL时突破它,你实际上真的有ASA处理:

访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.29 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.16 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.4主机209.165.201.78 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.78主机209.165.201.78 eq www
访问列表ACL_IN扩展拒绝TCP主机10.1.1.89主机209.165.201.78 eq www

 

虽然这是一个相当简单的例子,但根据对象组或ACL的大小,它可能会得到很长而且资源密集的 - 即使是更大的防火墙。更不用说,如果您的公司更改(添加/删除子网),则如果未删除应删除子网,则有很多潜在的手动配置或配置膨胀的潜力。 

使用SGTS,可以完全从ACL中删除子网,只要数据包被标记并且ASA知道目的地SGT映射(我们将稍后),它就可以基于标签的决定,而不是子网或IP。因此,上面的同一ACL将为人眼和内部ASA看出这样的东西:

访问列表ACL_IN拒绝TCP 安全组名称被拒绝-SGT任何安全组名称Web-SGT任何EQ WWW

您还可以使用标签号而不是名称创建上面的SGACL,但我认为使用名称可以使其可以读取和逻辑地理解它。由于ASA正在等待标签信息,因此不担心子网或需要手动更新将IP地址或子网添加到对象组。

利用TrustSec,您还可以使用它来替换DACL与SGACL。当数据包在Ingress中标记时,基础架构设备将能够下载适用于源和目标标签和强制策略的SGACL。如果设备的策略需要更改(即失败的姿势,用户注销等),则标记在数据包中的SGT将更改和 

在ACL之外,SGTS也可用于在其他设备上应用政策。例如,通过PxGrid集成,可以使用WSA,FirePoWer,StealthWatch等共享SGT信息。例如:

在Firepower上,您可以基于ISE的Source SGT或设备类型在访问策略中创建规则而不是源子网或广告组,因为策略可能根据姿势的更改而改变用户:

在WSA上,您可以根据SGT创建您的访问策略,因此如果您对管理员,员工,客户,不符合的和Quarantine_Systems有SGT,则可能需要基于这些允许不同的访问级别:

 

对于上述示例,如果SGT因任何原因而改变 - 即设备被隔离或确定为不兼容 - 用户的访问在安全设备上动态地更改,因为它不仅仅限于用户的IP地址或广告组了。 

在StealthWatch上,NetFlow可以在某些平台上发送SGT信息,并且可以在流程查询中的主题或对等体SGT搜索这些流程,并且可以看到SGT标签:

这些不是SGTS可用于搜索或定义策略的唯一设备。点击 这里 查看ise生态系统合作伙伴的整个日益增长的列表。

现在我将进入ISE中的不同配置选项和信息。导航到 工作中心>TrustSec>Overview,您可以看到概述需要为trustsec配置的内容:

单击仪表板,您可以查看对管理和故障排除有用的SGT仪表板:

为了利用Trustsec,我将确保我的ISE节点具有运行的SXP服务。导航 行政>System>Deployment 并单击“ISE主机名”并在完成后保存:

我们将遵循概述说明以在ISE中设置这一点。 

准备:

Trustsec. AAA Servers -

这是您添加将用于TrustSec的AAA服务器的位置。如果您有独立的部署,您现有的ISE服务器应该在这里

你可以点击 添加 如果您手动添加更多AAA服务器:

网络设备

接下来我们将配置NAD。在此页面上,单击NAD的NAD名称以配置TrustSec:

选中旁边的框 高级TrustSec设置:

以下一些不同的设置:

  • 使用设备ID for trustsec标识 - 检查此使用列出的设备名称作为设备ID字段中的标识符
  • 设备ID - 使用设备名称作为逻辑标识符 
  • 密码 - 密码验证TrustSec设备。必须在CTS凭据的命令行界面上配置了相同的密码
  • 下载数据和重新认证设置 - 我通常会在默认值下留下这些
  • 其他TrustSec设备以信任此设备(TrustSec Trusted) - 如果希望对等设备相信此设备,请复选框。如果这仍然没有选中,则对等设备不相信,并且从此设备到达的所有数据包都会相应地彩色或标记
  • 发送配置更改为设备 - 检查是否要将TrustSec CoA通知发送到设备 
  • 在部署安全组标记映射更新时包括此设备 - 如果希望使用Detersec设备使用设备接口凭据获取IP-SGT映射,则仅选中此框。 

除非您配置ASA,否则忽略频段(OOB)TrustSec Pac。在这种情况下,您希望生成PAC并下载它:

 

General TrustSec设置

在此菜单中,您可以为TrustSec配置常规设置:

这些设置包括:

  • 隧道pac时间居住 - PAC的到期时间为EAP-FAST协议生成隧道
  • 将发生主动PAC更新 - ISE将在成功的隧道PAC TTL剩余百分比后向客户端提供新的PAC
  • 系统 Will Assign SGT Numbers + 除了范围内的数字 + 用户必须手动输入SGT号码  - 选择是否将由ISE自动生成所有SGT编号,如果可以手动配置范围
  • APIC EPG的安全组标记编号 - 复选框并指定要用于基于APIC学习的EPGS创建的SGT的数字范围
  • 创建授权规则时自动创建安全组 - 复选框以在创建授权策略规则时自动创建SGT。自动创建的SGT基于规则属性命名。 
  • 自动创建的SGT编号范围 - 复选框并指定用于自动创建的SGT的数字范围
  • 自动命名选项 - 为自动创建的SGT定义命名约定的选项

 

工作流程

这是ISE 2.1中的一个新功能,可以帮助您在将矩阵部署到网络设备的其余部分之前,使用登台矩阵在有限的一组设备上测试新策略。这使您可以选择策略的选项,而不是只需部署它们,如果您有现有的Brownfield部署,或者想要在设备子集上测试新策略

定义:

安全组

这是我们将创建安全组的地方,系统将分配SGT编号。默认情况下,应该已经存在一些现有组:

为了保持复杂性,我建议尽可能将安全组保存为基本。虽然它可能很诱人为公司或设备类型的每个部门创建组,但我建议将所有内容分组在一起,以便在ISE中分配策略。为了保持简单,我将删除很多我的SGTS和USETHE以下:

 

网络设备授权

这是我们将为实际的TrustSec网络访问设备本身分配SGT的位置。要保持简单,我将默认规则插入默认规则,并将条件定义为位置与安全实验室位置匹配的任何设备,然后分配trustsec_devices标记。

 

定义SGACL

这是您配置稍后在策略中使用的SGACL的位置。点击 添加 要开始创建SGACL:

 

SGACL的语法有点不同,你习惯于在DACLS中。它们是没有SGT标签或IPS定义的:

允许|否认[IP | TCP | UDP | ICMP] {DST EQ <port-num>}

我要创建以下SGACL:

 

 

TRUSTSEC矩阵

Trustsec.矩阵是我们可以轻松应用SGACL的位置,并包含两个轴 - 源轴和目标轴:

通过单击单元格,您可以添加SGACL,它将基本上从源(右)读取到目的地(顶部)。如果先前启用了工作流程,则在编辑单元格时会将您更改为暂存矩阵。

首先,单击单元格中的铅笔:

 

从弹出窗口中,从先前创建的SGACL中选择或单击装备以创建新的SGACL:

如果您想选择简单拒绝IP或Permic IP,则可以更改字段中的所有规则更改最终捕获状态:

继续填充TrustSec矩阵,直到您拥有所有权限,因为您的策略有意义。使用之前创建的SGACLS,您将在矩阵中的源和目标之间基本上插入它们,因此当您看到以下内容时:

 

它是允许管理SGTS与管理SGT通信的等价物,但管理SGT被拒绝到Byod SGT。 

如果您已配置工作流程,并且已完成将SGACL添加到矩阵,请单击 工作流程 在顶部选择 选择网络设备

在弹出窗口中,如果要在将其余的网络或阶段送到部署之前,您可以选择仅应用此配置的网络设备以应用此配置,以便仅在将其送出到其余的网络或阶段部署之前

 

对于我的实验室,我将继续前进,只需推出所有设备并提交批准。您的批准者将登录并提交以下批准:

在请求者部署后,批准者可以将工作流程设置为生产,它将将此工作流从分期矩阵移动到生产矩阵。

 

SXP.

如前所述,安全组标记(SGT)Exchange协议(SXP)用于在网络设备上传播SGT,该设备没有对SGT-Invea的Directsec的硬件支持。 SXP使用TCP在两个单独的设备之间设置连接,并且SXP分配设备有两个角色:

  • SXP.扬声器 - 对照SXP连接中的IP-SGT映射的对等体
  • SXP.侦听器 - 通过SXP连接接收IP-SGT映射的对等体

一些更新的设备,如双向模式,它们都充当扬声器和侦听器。从ISE 2.0及更高版本开始,ISE可以配置为SXP对等体并传播IP-SGT绑定,而不是直接窥视网络设备。标记数据包上的SGTS需要硬件支持,因此当设备可能具有软件支持但不是硬件支持时,SXP可以将此IP-SGT映射从该非硬件支持的设备传递给将标记数据包的下一个硬件支持的设备一旦收到它。 

在SXP设备页面上,单击 添加 要添加新的SGT设备:

在上面的窗口中,您填写以下内容:

  • 对等设备的名称
  • 同行的IP地址
  • 同伴角色 - 这可能是扬声器,听众或两者
  • 连接的PSN将形成SXP连接
  • SXP.域 - 会话绑定始终在默认域上传播
  • 是否启用或禁用此SXP连接的状态
  • 密码类型 - 可以选择在设置中配置的全局默认密码,无需输入或自定义
  • 版本的SXP - 目前有4个版本的SXP
    • V1 - 支持IPv6绑定
    • V2 - 支持IPv4和IPv6绑定
    • V3 - 支持IPv4和IPv6绑定和子网绑定扩展
    • V4 - 支持IPv4和IPv6绑定,子网绑定扩展,环路检测,SXP能力交换和双向支持 

在SXP设备的高级设置下,您可以配置扬声器将发送keepalive消息的最低可接受保存时间,以便保持连接,并将扬声器使用的保持活动定时器触发keepalive消息。我通常不会修改这些并将它们保留在默认值。

输入了设备信息后,单击“保存”。如果为SXP连接配置了对等设备,则会将连接视为开关。我将进入另一个博客文章中的对等设备。

去生活& Monitor:

调整授权策略

即使使用完全填充的SGT矩阵,ISE仍然需要知道要分配哪个标签。在ISE中导航到您的策略集,并在权限下替换或添加安全组。您可以将其添加到以前配置的授权配置文件之上,或者您可以根据您选择的部署替换它。

 

推动政策

完成配置策略和SXP连接后,可以单击 部署 生产矩阵上的按钮推动此策略:

 

完成此后,您可以在上面提到的仪表板中查看SGT会话,如果您选择,您还可以根据TrustSec创建报告: