Cisco TrustSec - lösningen på BYOD

2012-04-18

Det har nog inte undgått någon att det pratas mycket om 'Bring Your Own Device' - BYOD. Vi ser en tydlig trend att nätverken blir allt mer öppna och måste förse allt fler typer av utrustning med tillgång till tjänster. Istället för att företagets nät bara är ett sätt att ansluta företagets datorer till varandra kommer det allt mer kvar på anslutning av privatägda datorer, iphones, surfplattor, kameror, videokonferens-system osv...

Att se till att rätt device får tillgång till rätt resurser i nätverket blir allt mer utmanande. Det handlar inte längre bara om att skapa användarkonton i Active Directory när en nyanställd kommer in, utan vi måste säkra upp nätverket redan på switchporten. Och se till att behörigheten tilldelas beroende på parametrar som till exempel:

  • Devicetyp - är det en skrivare eller en surfplatta? En övervakningskamera?
  • Anslutningstyp - trådat/trådlöst/VPN? Trådlöst gästnät?
  • Plats - är användaren i Stockholm, Helsingborg eller Korpilombolo?
  • Är enheten företagets eller privatägd?
  • Har enheten virusskydd och rätt patchnivå?
  • Tid på dygnet

En av produkterna jag jobbar mycket med just nu är Cisco ISE (Identity Solutions Engine). Man kan säga att ISE är nästa generations ACS (Access Control System), och det pratas mycket om vad ISE kan i förhållande till ACS. Men jag skulle vilja flytta fokus från produkten ISE och istället titta på konceptet TrustSec

TrustSec är ett koncept framtaget av Cisco för behörighetskontroll till nätverk. Inom konceptet finns ett antal olika teknologier och lösningar som tillsammans har som mål att ge användare behörighet till rätt delar av nätverket beroende på behörighet, typ av utrustning och huruvida utrustningen uppfyller fastställda säkerhetskrav.

NAC, någon? Ja. Detta är nästa generations Network Access Control. Men Trustsec ger så mycket mer! Här är några av grundstenarna i TrustSec-konceptet:

802.1x

De flesta känner till att 802.1x är en metod för att autentisera dator eller användare på switchporten. 802.1x är inget nytt och stödjs av de flesta nätverksutrustningar. Dock är det inte all utrustning som stödjer nerladdningsbara access-listor, vlan-byten och CoA. Låter detta som rena grekiskan? Ta det lugnt, vi på Atea kan det här! En grundförutsättning för 802.1x är att det finns en PKI-infrastruktur på plats då man normalt använder certifikat för autentisering av användare och datorer. Jag har kollegor som är jätteduktiga på PKI!

Profiling

Med profiling-teknik kan man utifrån kännetecken specifika för en viss typ av utrustning göra en kvalificerad gissning av vad varje enhet är för något. Lyssnar en enhet på JetDirect-porten är den troligen en skrivare. Har den dessutom en MAC-adress som motsvarar Hewlett Packards tilldelade adress-spann är det troligen en HP-skrivare. Visst låter det tilltalande att automatiskt flytta en skrivare till Skrivar-vlanet utan att manuellt registrera MAC-adresserna i en databas?

Posture

Med Posture assessment kontrolleras utrustningen som ansluts till nätverket så att den uppfyller definierade grundkrav. Finns virusskydd aktiverat, är windows patchat, är brandväggen aktiverad osv. Med posture kan en dator som inte uppfyller grundkraven placeras i karantän för att där kunna uppdateras (patchas, installera virusskydd...) och därefter ges korrekt behörighet till nätverket.

MACSec

MACSec (802.1ae) är en metod för att länk-kryptera trafiken mellan en switchport och en änd-utrustning. Har man extremt höga krav på säkerheten i nätverket kan detta vara ett alternativ. Stödet finns i de flesta Cisco-switchar, i en del nätverkskort samt i Cisco AnyConnect. Och policy-hanteringen sköts i ISE.

Secure Group Access

Med SGA och SGT (Secure Group Tagging) kan man vid 802.1x-autentiseringen använda de parametrar som finns tillgängliga för att tagga inkommande paket direkt i access-switchen, så att dessa kan filtreras i datacentret. Som ett komplement till brandväggar kan t ex profilern (se ovan) bedöma att enheten är en Ipad och att användaren är med i en specifik grupp, och access-switchen kan därmed skicka med information (tag) i varje paket som gör att den centrala switchen i datacentret kan tillåta just det paketflödet till en specifik grupp av servrar men inte till andra.

Guest Services

Med en gästaccess-portal kan besökare logga in i det trådlösa (eller trådade!) gästnätet. Gästportalen i Cisco ISE stödjer self-registration (användaren kan få skapa sitt konto själv), Sponsor Portal (web-gränssnitt där våra användare själva kan skapa gästkonton åt sina besökare), har stöd för svenska och kan skräddarsys!

Vad har då dessa teknologier gemensamt? Jo, allt finns i Cisco ISE som blir navet i din TrustSec-lösning. ISE är antingen en hårdvara (appliance) eller en virtuell maskin i vmware. I grunden fungerar den som en Radius-server gentemot nätverkets utrustning. Med hjälp av alla teknologier ovan kan TrustSec och ISE ge granulär behörighet till nätverket och på ett säkert sätt kan du införa Bring Your Own Device.

Vill du veta mer om Cisco TrustSec eller ISE? Hör av dig! 

/Jimmy