使用TrustSec機(jī)制保護(hù)網(wǎng)絡(luò)安全

■ 河南 許紅軍

編者按：TrustSec其實(shí)是一個(gè)比較龐大的安全解決方案，我們熟悉的Dot1X只是其中一種安全技術(shù)而已。TrustSec是嵌入到思科的所有設(shè)備（如交換機(jī)、路由器、WLC、安全設(shè)備等）中，在二層或三層中進(jìn)行安全訪問控制。例如，在數(shù)據(jù)中心中可以通過手工操作或動(dòng)態(tài)授權(quán)方式，為設(shè)備或用戶分配對(duì)應(yīng)的SGT（安全組標(biāo)簽）。當(dāng)其通過數(shù)據(jù)中心交換機(jī)時(shí)，交換機(jī)就可以基于上述SGT執(zhí)行訪問控制操作，即允許哪個(gè)SGT可以通過，哪個(gè)SGT禁止通行等。

配置簡(jiǎn)單實(shí)驗(yàn)環(huán)境

這里為了便于說明，使用ASA 9.6防火墻實(shí)現(xiàn)TruseSec安全控制。在本例中，存在ASA1和ASA2兩臺(tái)防火墻，ASA1的Inside接口和ASA2的Outside接口連接在一起。在ASA1上執(zhí)行“hostname Firewall1”、“domain-name xxx.com”、“interfce Management0/0”、“nameif GLFW”、“securtiylevel 100”、“ip address 10.1.1.1 255.255.255.0”、“no shutdown”、“username admin password yyyyyy privilege 15”、“aaa authentication ssh console LOCAL”、“aaa authentication http console LOCAL”、“http server enable”、“http 0.0.0.0 0.0.0.0 GLFW”、“ssh 0.0.0.0 0.0.0.0 GLFW”、“ssh timeout 60”等指令創(chuàng)建網(wǎng)管口，便于進(jìn)行管理。

其中的“xxx”表示名稱，“yyy”表 示 具 體 的 密碼。在ASA2上執(zhí)行同樣的配置，也為其配置網(wǎng)管接口，所不同的是其名稱是不一樣的。在ASA1上執(zhí)行“config t”、“inter g 0/0”、“nameif Outside”、“security-level 0”、“ip address 69.123.1.10 255.255.255.0”、“no shutdown”命令，配置G0/0接口IP地址，其連接的是外部網(wǎng)絡(luò)。

執(zhí) 行“inter g0/1”、“nameif Inside”、“security-level 100”、“ip address 200.160.10.1 255.255.255.0”、“no shutdown”命令，配置G0/1接口IP地址，其連接的是內(nèi)部網(wǎng)絡(luò)。在ASA2上對(duì)G0/0和G0/1接口進(jìn)行配置，具體參數(shù)與上述基本相同，所不同的是G0/0接口 IP為200.160.10.2。 對(duì)于G0/1接 口 來 說，IP為192.168.1.10。 因 為ASA1的G0/1接口和ASA2的G0/0接口相互連接，即ASA1內(nèi)部網(wǎng)絡(luò)和ASA1的外部網(wǎng)絡(luò)連接在一起，所以要設(shè)置路由信息。

執(zhí) 行“route inside 0 0 200.160.10.2”、“accesslist out permit ip any any”、“access-group out in in outside”命 令，分別設(shè)置默認(rèn)網(wǎng)關(guān)，并放行所有流量。在ASA2上執(zhí)行“route outside 0 0 200.160.10.1”、“accesslist out permit ip any any”、“access-group out in in outside”命 令，讓兩者可以互聯(lián)互通。在ASA1的G0/1接口上連接了PC1，IP為 69.123.1.30。在ASA2的G0/1上連接了PC2和ISE設(shè) 備，其IP分別為192.168.1.16和192.168.1.200。

創(chuàng)建網(wǎng)絡(luò)設(shè)備組

登 錄 到ISE管 理界面，在工具欄上點(diǎn)擊“Administration” →“Network Device Groups”項(xiàng)，在左側(cè)列表中選擇“Groups” →“All Device Types”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸入NDG網(wǎng)絡(luò)設(shè)備組名稱（如“NDGGrp1”）和描述信息，點(diǎn)擊“Submit”提交修改。

在工具欄上點(diǎn)擊“Administration” →“Network Devices” 項(xiàng)，在打開窗口中點(diǎn)擊“Add”按鈕，輸入網(wǎng)絡(luò)設(shè)備名稱（如“ASA1”）， 在“IP Address”欄中輸入其IP（如“200.160.10.1”）， 在“Device Type”列表中選擇“NDGGrp1”項(xiàng)，將其放置到上述NDG組中。

激活TrustSec認(rèn)證功能

選 擇“RADIUS Authentiation Settings”項(xiàng)，在“*Share Secret”欄中輸入密碼，用于RADIUS認(rèn) 證。 選 擇“Advanced TrustSec Settings”項(xiàng)，在“Device Anthentication Settings”欄 中 選 擇“Use Device ID for TrustSec identification” 項(xiàng)， 激活TrustSec認(rèn)證功能。在“Device Id”欄中顯示上述輸入的網(wǎng)絡(luò)設(shè)備名稱，在“*Password”欄中輸入密碼，該密碼必須進(jìn)行配置，其實(shí)對(duì)于TrustSec來說，最重要的是需要使用到Device Id參數(shù)。因?yàn)樵谂渲肞AC時(shí)需要使用該參數(shù)，所謂PAC，其實(shí)是思科私有的安全技術(shù)，等同于證書認(rèn)證。在這里ISE需要為ASA1發(fā)放一個(gè)PAC，這樣當(dāng)ASA1在聯(lián)系ISE時(shí)，就可以使用該P(yáng)AC進(jìn)行認(rèn)證。

點(diǎn) 擊“Generate PAC”按鈕，在打開窗口中的“*Identiry”欄中顯示PAC的 名 稱，在“*Encryptuion Key”欄中輸入密碼，點(diǎn)擊“Generate PAC” 按 鈕，創(chuàng)建該P(yáng)AC。在工具欄上點(diǎn) 擊“Administration”→“Network Devices” 項(xiàng)，在打開窗口中點(diǎn)擊“Add”按鈕，輸入網(wǎng)絡(luò)設(shè)備名稱（例如“ASA2”），輸 入 其 IP（例如“192.168.1.10”）， 之后按照上述方法將其放置到“NDGGrp1”組 中，激 活TrustSec認(rèn)證，并為ASA2創(chuàng)建PAC證書。點(diǎn)擊“Submit”按鈕執(zhí)行提交操作。

為ASA配置PAC認(rèn)證文件

得到PAC文件后，需要將其保存到上述防火墻中。為便于傳輸文件，可以登錄到Cisco ASDM-IDM Launcher控制臺(tái)，將ASA1和ASA2的管理地址添加進(jìn)來。點(diǎn)擊 菜 單“Tools” →“File Management”項(xiàng)，在打開界面中點(diǎn)擊“File Transfer”按鈕，在彈出菜單中選擇“Between Local PC and Flash”項(xiàng)，將“asa1.pac”文件傳輸?shù)紸SA1防火墻中。

按照同樣的方法，在左側(cè) 的“Device List” 列 表中選擇ASA2的管理IP，將“asa2.pac”的文件傳送到ASA2中。利用這種傳輸方法，實(shí)現(xiàn)起來比TFTP快捷。在ASA1和ASA2上分別上執(zhí)行“show flash:”命令，可以看到已經(jīng)得到了所需的PAC文件。在ASA1上執(zhí)行“cts import-pac flash:/ASA1.pac password xxx”命令，來導(dǎo)入PAC證書，其中的“xxx”為對(duì)應(yīng)的密碼。

執(zhí) 行“aaa-server ISE protocol radius”、“aaaserver ISE(in) host 192.168.1.200”命令，將ISE設(shè)備作為3A服務(wù)器，并指定ISE的內(nèi)網(wǎng)中的IP。執(zhí)行“key xxx”、“exit”命 令，設(shè)置Raduis密碼。執(zhí)行“cts server-group ISE”命令，讓TrusSec也去找ISE設(shè) 備。 執(zhí) 行“cs refresh environmentdata”、“cts environment-data”命令，來刷新和顯示環(huán)境數(shù)據(jù)。如果刷新成功，說明已可以和ISE通過TruseSec進(jìn)行通訊。在ASA2上執(zhí)行同樣操作，所不同的是PAC文件名稱不同。

在ISE中激活SXP服務(wù)

當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備（例如交換機(jī)、路由器等）配置了DOT1X后，當(dāng)用戶通過認(rèn)證獲取了IP后，ISE會(huì)將其和特定的SGT進(jìn)行映射。當(dāng)映射關(guān)系建立后，需要使用SXP協(xié)議將該關(guān)系告訴其他的設(shè)備。當(dāng)然，也可以采取逐跳的方法，將對(duì)應(yīng)的IP打上TAG，將其傳遞給其他的設(shè)備。但是，支持SGT標(biāo)簽的設(shè)備很少，使用起來很不方便。

所以在實(shí)際中，主要是使用SXP協(xié)議來傳送IP和SGT標(biāo)簽的映射關(guān)系的。在本例中，主要在ISE和ASA之間，以及兩個(gè)ASA之間建立SXP連接。在ISE管理界面工具欄上點(diǎn)擊“Admiistration”→“Deployment”項(xiàng)，在列表中選擇該ISE設(shè)備名稱，在其屬性窗口中選擇“Enable SXP Service”項(xiàng)，點(diǎn)擊“Save”按鈕激活SXP服務(wù)。

建立SGT和IP的映射關(guān)系

在工具欄上點(diǎn)擊“WorkCenter”→“TrustSec”→“SXP”項(xiàng)，在打開窗口

中點(diǎn)擊“Add”按鈕，輸入名 稱（例 如“ASA1”），在“IP Address”欄中輸入地址，

例 如“200.160.10.1”。 在“Peer Role”列表中選擇“LISTENER”項(xiàng)，表示ASA只是接收信息。在“Connected PSNs”列表中選擇本ISE設(shè)備名稱，在“Password Type”列表中選擇“CUSTOM”項(xiàng)，在“Password”欄中輸入密碼。在“Version”列表中選擇“V3”項(xiàng)，點(diǎn)擊“Save”按鈕保存配置信息。

按照同樣的方法將ASA2也添加進(jìn)來。在上述工具欄 上 點(diǎn) 擊“Components”項(xiàng)，在左側(cè)選擇“Security Groups”項(xiàng)，在右側(cè)顯示默認(rèn)的SGT標(biāo)簽。點(diǎn)擊“Add”按鈕，輸入名稱（如“SGTAG1”），選擇對(duì)應(yīng)的圖標(biāo)表，輸入描述信息，在“Security Group Tag”欄中顯示其自動(dòng)指派的TAG值（例如“16/0010”等），點(diǎn)擊“Submit”按鈕，創(chuàng)建該SGT標(biāo)簽。

在左側(cè)選擇“IP SGT Static Mapping”項(xiàng)，在 右側(cè)點(diǎn)擊“Add”按鈕，在列表中 選 擇“IP address(es)”項(xiàng)，輸入映射的IP（例如“200.160.10.1”，即 ASA1的Inside接口地址），選擇“Map to SGT individually” 項(xiàng)，在“SGT*”列表中選擇上述“SGTAG1”的標(biāo)簽，在“Send to SXP Domain”列表中選擇“default”項(xiàng)，在“Depoly to devices”列表中選擇上述“NDGGrp1”設(shè)備組，表示將該IP和SGT的映射信息傳送給該組中的所有設(shè)備，點(diǎn)擊“Save”按鈕，可以手動(dòng)創(chuàng)建對(duì)應(yīng)的映射關(guān)系。

在ASA上配置SXP協(xié)議

在本例中因?yàn)榱髁啃枰獜腁SA1穿越ASA2，所以在ASA2上需要放行ASA1的SXP流量。在ASA2上執(zhí)行“config t”、“accesslist bypass_sxp extended permit tcp 200.160.10.1 host 192.168.1.200 eq 64999”、“access-list bypass_sxp extended permit tcp 192.168.1.200 host 200.160.10.1 eq 64999”命令，創(chuàng)建擴(kuò)展的ACL，允許 ASA1的 Inside接口和ISE之間傳送SXP流量，TCP 64999為SXP協(xié)議端口，執(zhí)行“tcp-map sxp-bypasstcp-mao”、“tcp-option range 19 19 allow”、“class-map sxp-bypassclass-map”、“match accesslist bypass_sxp”命令，放過TCP Option 19選項(xiàng)，因?yàn)樵谠撨x項(xiàng)中保存了密碼等信息。執(zhí)行“policy-map global_policy”、“class sxp-bypass-class-map”、“set connection randomsequence-number disable”、“set connection advancedoptions sxp-bypass-classmap”、“exit”、“exit”命 令，禁用隨機(jī)序列號(hào)擾亂。

在ASA上 執(zhí) 行“config t”、“cts sxp enable”、“cts sxp default password xxx”，“cts sxp default source-ip 200.160.10.1”、“cts sxp connection peer 192.168.1.200 password default mode peer speaker”命令，激活SXP服務(wù)，設(shè)置默認(rèn)密碼，這里為“xxx”，設(shè)置SXP源IP地址，將ISE設(shè)置為Speaker角色。

對(duì) 應(yīng) 的，在ASA2上執(zhí) 行“config t”、“cts sxp enable”、“cts sxp default password xxx”、“cts sxp default sourceip 192.168.1.10”、“cts sxp connection peer 192.168.1.200 source 192.168.1.10 password default mode peer speaker”命令，實(shí)現(xiàn)與上述相同的功能，所不同的是SXP的源地址為ASA2的Inside接口IP。在ASA1和ASA2上分別執(zhí)行“show cts sxp connections”命令，在返回信息中的“Conn status”欄中如果顯示“On”，說明配置是沒有問題的。分別執(zhí)行“show cts sxp sgt-map”命令，顯示SGT映射關(guān)系。

實(shí)現(xiàn)TruseSec訪問控制功能

有了SGT映射關(guān)系，就可以執(zhí)行訪問控制操作了。例如在ASA2上執(zhí)行“objectgroup security SGTkongzh”、“security-group tag 16”、“exit”、“access-list out line 1 deny icmp objectgroup-security SGTkongzh any any”命令，針對(duì)編號(hào)為16的SGT標(biāo)簽進(jìn)行控制，禁止其使用ICMP協(xié)議進(jìn)行探測(cè)。這里的“SGTkongzh”為具體的名稱。因?yàn)榕c其對(duì)應(yīng)的IP為ASA1的Inside接口地址，這樣，在ASA1上就無法針對(duì)192.168.1.0/24等網(wǎng)段進(jìn)行PING探測(cè)。這就實(shí)現(xiàn)了針對(duì)目標(biāo)SGT流量的控制。

傳遞TAG標(biāo)簽的方式

在接口上如果沒有設(shè)置SGT控制功能，那么當(dāng)數(shù)據(jù)包發(fā)來后，如果沒有打上TAG，則按照IP和SGT的映射關(guān)系處理，如果數(shù)據(jù)包帶有TAG就會(huì)被丟棄。之后在雙方的對(duì)應(yīng)接口上都激活SGT處理功能，才可以正常處理數(shù)據(jù)包。

例如在ASA1上執(zhí)行“config t”、“inter g0/1”、“cts manual”、“end” 命令，就可以發(fā)送帶有Tag的包。對(duì)應(yīng)的，在ASA2上執(zhí)行“config t”、“inter g0/0”、cts manual”、“end” 命 令，在ASA2的OutSide接口上也

可以發(fā)送帶有Tag的包。這樣雙方就可以正常處理帶有TAG的數(shù)據(jù)包。如果一方?jīng)]有配置，是無法正常通訊的。

此外，還可根據(jù)需要指定發(fā)送的TAG編號(hào)。例如在ASA1上執(zhí)行“config t”、“inter g0/1”、“cts manual”、“policy static sgt 500 trusted”命令，可從該接口發(fā)送帶有TAG標(biāo)號(hào)為500的數(shù)據(jù)包。對(duì)應(yīng)的，在ASA2的G0/0接口下也執(zhí)行該命令。注意，如果不帶“trusted”參數(shù)，則從上述接口發(fā)出的數(shù)據(jù)包全部打上TAG為500的標(biāo)簽。帶上該參數(shù)表示如果數(shù)據(jù)包帶有TAG則保持不變。如果不帶TAG，則打上TAG為600的標(biāo)記。

當(dāng)然，只有ASA防火墻、Nexues7K等少量設(shè)備支持此方式為數(shù)據(jù)包打上TAG。如果不在接口下配置，也可以在全局模式下配置映射關(guān)系。

例如在ASA1的G0/1接口下連接一臺(tái)PC，IP為69.123.1.30，在 ASA1的全局模式下執(zhí)行“cts role-nased sgt-map 69.123.1.30 sgt 16”命令，也可為該IP和指定的TAG之間建立映射關(guān)系。

針對(duì)SSLVPN實(shí)現(xiàn)TrustSec管控

例如，在ASA1上執(zhí)行“config t”、“ip local pool SSLPOOL 172.16.1.100-172.16.1.200”、“grouppolicy sslpolicy internal”、“group-policy sslpolicy attributes”、“vpn-tunnel-protocol sslclient ssl-clientless”、“address-pools value SSLPOOL”、“tunnel-group DefaultWEBVPNGroup general-attributes”、“authentication-servergroup ISE”、“webvpn”、“enable Outside”、“anyconnect image disk0:/anyconnect-win-4.3.04027-k9.pkg 1”等 命令，為ASA1配置SSLVPN參數(shù)。

其中的“sslpolicy”為本地授權(quán)策略。這樣，當(dāng)連接到ASA1的Outside接口下的客戶機(jī)使用VPN連接后，通過ISE為該用戶授權(quán)TAG，ASA1就可知曉客戶機(jī)IP和TAG的映射關(guān)系，便于在ASA2上進(jìn)行控制。在ISE界面工具欄點(diǎn) 擊“Administration” →“Identity Management” →“Identities、” 項(xiàng)， 點(diǎn) 擊“Add”按鈕，輸入用戶名稱（如“VPNUser”），設(shè)置密碼。在“User Groups”列表中選擇某個(gè)組，將其放置到該組中。

在工具欄上點(diǎn)擊“Policy”→“Results”項(xiàng)，在左側(cè)選擇“Authorization”→“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸 入 名 稱（如“Profile1”），在“Common Tasks”欄中選擇“ASA VPN”項(xiàng)，輸入ASA本地策略（如“SSLPolicy”）。這樣當(dāng)客戶機(jī)獲取該授權(quán)后會(huì)獲得所有屬性。點(diǎn)擊“Submit”提 交。 點(diǎn) 擊“Policy” →“Authorization”項(xiàng)，在 授權(quán)列表首行右側(cè)打開編輯菜單，點(diǎn)擊“Insert New Rule Ablove”項(xiàng)，在新添加行中的“Rule Name”列中輸入名稱（如“Rule1”）。

在“Conditions”列表選擇上述組，在“Permissions”列打開選擇面板，在列表中選擇上述名為“sslpolicy”本地授權(quán)策略。點(diǎn)擊“+”按鈕，在新添加列表打開“Security Group”項(xiàng)，在顯示已存在的所有SGT標(biāo)簽中選擇所需的某個(gè)標(biāo)簽（如“VPNTag”，該標(biāo)簽可按照上述方法創(chuàng)建）。這樣，不僅可以讓用戶獲取普通授權(quán)信息，還可獲取一個(gè)指定SGT標(biāo)簽。在和ASA1的Outside接口連接的客戶機(jī)上運(yùn)行Cisco AnyConnect Secure Mobility Client程序，訪問69.123.1.10的IP來訪問ASA1提供的SSLVPN服務(wù)，在登錄窗口中上述用戶名（如“VPNUser”）和密碼，連接成功后，就會(huì)獲取ASA1分配的IP，例如172.16.1.100。

因?yàn)闆]有進(jìn)行流量過濾，所以可訪問對(duì)192.168.1.0/24網(wǎng)段中的設(shè)備。在ASA1上執(zhí)行“show cts sgtmap”命令，顯示已存在SGT映射關(guān)系，看到和172.16.1.100對(duì) 應(yīng) 的 SGT標(biāo) 簽（如“9”）。在ASA2上執(zhí)行“object-group security SGTkongzh9”、“security-group tag 9”、“exit”、“access-list out line 1 deny icmp objectgroup-security SGTkongzh9 any any”命令，即可攔截與該SGT標(biāo)簽相關(guān)的流量。這樣，在該客戶機(jī)上就無法對(duì)192.168.1.0/24網(wǎng)段中的設(shè)備進(jìn)行訪問了。