Introducción a Cisco TrustSec Introducción a Cisco TrustSec
¿Qué es Cisco TrustSec? Es un protocolo propietario de Cisco que se usa para segmentar la red, clasifica el tráfico y asigna una etiqueta... Introducción a Cisco TrustSec

¿Qué es Cisco TrustSec?

Es un protocolo propietario de Cisco que se usa para segmentar la red, clasifica el tráfico y asigna una etiqueta (SGT – Security Group Tag). Estas etiquetas se pueden usar para permitir o denegar el tráfico en cualquier punto de la red siempre y cuando soporte el dispositivo soporte TrustSec.

Una etiqueta de grupo de seguridad (SGT) es un número único que se utiliza para representar la función (o grupo de funciones) de un usuario o servidor. Cada SGT tiene un nombre asociado (SG Name) y un valor. Por ejemplo, el rol de empleado puede tener un valor arbitrariamente asignado de 101 y un nombre SGT «empleado». Cuando los dispositivos Cisco TrustSec reciben tráfico etiquetado con SGT = 101, se realizan las decisiones de filtrado de red en base a las políticas definidas para esta etiqueta.

Las etiquetas pueden ser administradas de manera centralizada por CISCO ISE, los dispositivos de red consultan al ISE periódicamente estas asignaciones de SGT.

La tecnología de Cisco TrustSec esta embebida en los equipos Cisco como son switches, routers y firewalls, y se definen tres fases en el proceso:

Clasificación (Clasification)

Cuando el tráfico de usuario entra a la red, se clasifica en base a la autenticación. La clasificación del tráfico puede hacerse de manera dinámica usando Cisco ISE en función de grupos, usuarios, dispositivo e incluso el estado de estos (Posture) en el momento de intentar acceder a la red.Esta clasificación dinámica empieza cuando en la capa de acceso, un usuario es autenticado utilizando para ello: 802.1x, MAB o Web Authentication, esto identifica al usuario que está accediendo a la red y a través de CISCO ISE y una serie de politicas el tráfico de usuario es asignado a un SGT. Este TAG es descargado al equipo de acceso y es asociado a la IP y la MAC junto con el usuario.

Existe también una clasificación estática para cuando no hay autenticación, esto por ejemplo se consigue asignando un SGT a una VLAN (hay otros metodos sobre todo en NX-OS). En este supuesto el SGT es aplicado a todos los equipos de la VLAN, esto evidentemente le quita toda la esencia ya que se pierde el control de acceso basado en usuarios.

Este método estático se utiliza también en equipos que no soportan TrustSec done por ejemplo se asigna un SGT a un puerto especifico, por ejemplo esto es útil en la parte de DataCenter donde no se suele implementar 802.1x, en ese caso se usa mapeo de SGT a puerto, vlan, ip o perfil de puerto (típico en NEXUS).

Propagación (Propagation)

Los equipos propagan esas etiquetas automáticamente hasta que llegan a un equipo de «enforcement» o «enforcement point»

Para propagar las etiquetas SGTs se usan dos métodos:

      1. Inline tagging: Es el dispositivo el que tagea a la entrada en el dispositivo siempre y cuando soporte este funcionamiento.
      2. SXP (SGT eXchange Protocol), un dispositivo S (Speaker) y otro L (Listener) intercambian la información de las SGT, algo similar a como se intercambian las rutas en un protocolo de enrutamiento dinámico como puede ser BGP. Los dispositivos speaker y listener intercambian la información entre ellos, esta información es la correspondencia IP-SGT

El flujo completo se muestra en el esquema siguiente:

Aplicación (Enforce)

Cuando el tráfico clasificado por una SGT llega a un dispositivo de «enforcement» el tráfico de usuario puede ser permitido o denegado en función de esta clasificación. No todos los dispositivos pueden realizar esta apliación, podemos ver una matriz detallada de compatibilidad en el enlace

Equipos que soportan TrustSEC

No todos los equipos soportan inline tagging y no todos pueden hacer en «enforcement», a continuación dejo unas capturas de la matriz de compatibildad según versiones.

Matriz de compatibilidad para Switches:

Matriz de compatibilidad NXOS, ASA y WLC

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies