Cisco ISE: Inleiding, vereistes, installasie. Deel 1
1. inleiding
Elke maatskappy, selfs die kleinste een, het 'n behoefte aan verifikasie, magtiging en gebruikersrekeningkunde (AAA-familie van protokolle). In die aanvanklike stadium is AAA redelik goed geïmplementeer deur protokolle soos RADIUS, TACACS+ en DIAMETER te gebruik. Soos die aantal gebruikers en die maatskappy egter groei, groei die aantal take ook: maksimum sigbaarheid van gashere en BYOD-toestelle, multi-faktor-verifikasie, die skep van 'n multi-vlak toegangsbeleid en nog baie meer.
Vir sulke take is die NAC (Network Access Control)-klas oplossings perfek – netwerktoegangsbeheer. In 'n reeks artikels gewy aan Cisco ISE (Identity Services Engine) - NAC-oplossing vir die verskaffing van konteksbewuste toegangsbeheer aan gebruikers op die interne netwerk, ons sal 'n gedetailleerde kyk na die argitektuur, voorsiening, konfigurasie en lisensiëring van die oplossing.
Laat ek jou kortliks herinner dat Cisco ISE jou toelaat om:
Skep gastoegang vinnig en maklik op 'n toegewyde WLAN;
Bespeur BYOD-toestelle (byvoorbeeld werknemers se tuisrekenaars wat hulle werk toe gebring het);
Sentraliseer en dwing sekuriteitsbeleide af oor domein- en nie-domeingebruikers deur gebruik te maak van SGT-sekuriteitsgroepetikette TrustSec);
Gaan rekenaars na vir sekere sagteware wat geïnstalleer is en voldoening aan standaarde (postering);
Klassifiseer en profileer eindpunt- en netwerktoestelle;
Verskaf eindpuntsigbaarheid;
Stuur gebeurtenislogboeke van aan-/afmelding van gebruikers, hul rekeninge (identiteit) na NGFW om 'n gebruikergebaseerde beleid te vorm;
Integreer inheems met Cisco StealthWatch en plaas verdagte gashere wat by sekuriteitsvoorvalle betrokke is in kwarantyn (meer);
Die Identity Services Engine-argitektuur het 4 entiteite (nodes): 'n bestuursnodus (Policy Administration Node), 'n beleidverspreidingsnodus (Policy Service Node), 'n moniteringsnodus (Monitoring Node) en 'n PxGrid nodus (PxGrid Node). Cisco ISE kan in 'n selfstandige of verspreide installasie wees. In die selfstandige weergawe is alle entiteite op een virtuele masjien of fisiese bediener (Secure Network Servers - SNS) geleë, terwyl die nodusse in die verspreide weergawe oor verskillende toestelle versprei word.
Policy Administration Node (PAN) is 'n vereiste nodus wat jou toelaat om alle administratiewe bewerkings op Cisco ISE uit te voer. Dit hanteer alle stelselkonfigurasies wat met AAA verband hou. In 'n verspreide konfigurasie (nodes kan as aparte virtuele masjiene geïnstalleer word), kan jy 'n maksimum van twee PAN's hê vir fouttoleransie - Aktiewe/bystandmodus.
Beleiddiensnode (PSN) is 'n verpligte nodus wat netwerktoegang, staat, gastoegang, kliëntdiensvoorsiening en profilering verskaf. PSN evalueer die beleid en pas dit toe. Tipies word veelvuldige PSN'e geïnstalleer, veral in 'n verspreide opset, vir meer oortollige en verspreide werking. Natuurlik probeer hulle om hierdie nodusse in verskillende segmente te installeer om nie die vermoë te verloor om geverifieerde en gemagtigde toegang vir 'n sekonde te verskaf nie.
Moniteringsnode (MnT) is 'n verpligte nodus wat gebeurtenislogboeke, logs van ander nodusse en beleide op die netwerk stoor. Die MnT-nodus verskaf gevorderde gereedskap vir monitering en probleemoplossing, versamel en korreleer verskeie data, en verskaf ook betekenisvolle verslae. Cisco ISE laat jou toe om 'n maksimum van twee MnT-nodusse te hê, waardeur foutverdraagsaamheid geskep word - Aktiewe / Standby-modus. Logs word egter deur beide nodusse ingesamel, beide aktief en passief.
PxGrid Node (PXG) is 'n nodus wat die PxGrid-protokol gebruik en kommunikasie toelaat tussen ander toestelle wat PxGrid ondersteun.
PxGrid — 'n protokol wat die integrasie van IT- en inligtingsekuriteitinfrastruktuurprodukte van verskillende verskaffers verseker: moniteringstelsels, inbraakdetectie- en voorkomingstelsels, sekuriteitsbeleidbestuurplatforms en baie ander oplossings. Cisco PxGrid laat jou toe om konteks op 'n eenrigting of tweerigting wyse met baie platforms te deel sonder die behoefte aan API's, waardeur die tegnologie moontlik gemaak word. TrustSec (SGT-etikette), verander en pas ANC-beleid (Aanpasbare Netwerkbeheer) toe, asook voer profilering uit - bepaal die toestelmodel, bedryfstelsel, ligging, en meer.
In 'n hoë beskikbaarheid konfigurasie repliseer PxGrid nodusse inligting tussen nodusse oor 'n PAN. As die PAN gedeaktiveer is, hou die PxGrid-nodus op om gebruikers te staaf, te magtig en te verantwoord.
Hieronder is 'n skematiese voorstelling van die werking van verskillende Cisco ISE-entiteite in 'n korporatiewe netwerk.
Figuur 1. Cisco ISE Argitektuur
3. Vereistes
Cisco ISE kan, soos die meeste moderne oplossings, virtueel of fisies as 'n aparte bediener geïmplementeer word.
Fisiese toestelle wat Cisco ISE-sagteware gebruik, word SNS (Secure Network Server) genoem. Hulle kom in drie modelle: SNS-3615, SNS-3655 en SNS-3695 vir klein, medium en groot besighede. Tabel 1 toon inligting van datablad SNS.
Tabel 1. Vergelykingstabel van SNS vir verskillende skale
Parameter
SNS 3615 (klein)
SNS 3655 (medium)
SNS 3695 (Groot)
Aantal ondersteunde eindpunte in 'n selfstandige installasie
10000
25000
50000
Aantal ondersteunde eindpunte per PSN
10000
25000
100000
SVE (Intel Xeon 2.10 GHz)
8 kerne
12 kerne
12 kerne
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardeware RAID
Geen
RAID 10, teenwoordigheid van RAID-beheerder
RAID 10, teenwoordigheid van RAID-beheerder
Netwerk-koppelvlakke
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Wat virtuele implementerings betref, is die ondersteunde hiperviseerders VMware ESXi (minimum VMware weergawe 11 vir ESXi 6.0 word aanbeveel), Microsoft Hyper-V en Linux KVM (RHEL 7.0). Hulpbronne moet ongeveer dieselfde wees as in die tabel hierbo, of meer. Die minimum vereistes vir 'n virtuele masjien vir klein besigheid is egter: CPU 2 met 'n frekwensie van 2.0 GHz en hoër, 16 GB RAM и 200 GBHDD.
Soos die meeste ander Cisco-produkte, kan ISE op verskeie maniere getoets word:
wolk – wolkdiens van vooraf geïnstalleerde laboratoriumuitlegte (Cisco-rekening vereis);
GVE versoek – versoek van werf Cisco van sekere sagteware (metode vir vennote). Jy skep 'n saak met die volgende tipiese beskrywing: Produktipe [ISE], ISE Sagteware [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
loodsprojek — kontak enige gemagtigde vennoot om 'n gratis loodsprojek uit te voer.
1) Nadat u 'n virtuele masjien geskep het, as u 'n ISO-lêer aangevra het en nie 'n OVA-sjabloon nie, sal 'n venster verskyn waarin ISE vereis dat u 'n installasie moet kies. Om dit te doen, in plaas van jou login en wagwoord, moet jy skryf "setup"!
Let wel: as u ISE vanaf OVA-sjabloon ontplooi het, dan is die aanmeldbesonderhede admin/MyIseYPass2 (dit en nog baie meer word in die amptelike aangedui gids).
Figuur 2. Installering van Cisco ISE
2) Dan moet jy die vereiste velde soos IP-adres, DNS, NTP en ander invul.
Figuur 3. Inisialiseer Cisco ISE
3) Daarna sal die toestel herlaai, en jy sal via die webkoppelvlak kan koppel deur die voorheen gespesifiseerde IP-adres te gebruik.
Figuur 4. Cisco ISE Web Interface
4) In die blad Administrasie > Stelsel > Ontplooiing jy kan kies watter nodusse (entiteite) op 'n spesifieke toestel geaktiveer is. Die PxGrid-knooppunt is hier geaktiveer.
Figuur 5. Cisco ISE Entity Management
5) Dan in die oortjie Administrasie > Stelsel > Admin Toegang >Verifikasie Ek beveel aan dat u 'n wagwoordbeleid, verifikasiemetode (sertifikaat of wagwoord), rekeningvervaldatum en ander instellings opstel.
Figuur 6. Verifikasie tipe instellingFiguur 7. WagwoordbeleidinstellingsFiguur 8. Stel rekeningafsluiting op nadat die tyd verstryk hetFiguur 9. Opstel van rekeningsluiting
6) In die blad Administrasie > Stelsel > Admin Toegang > Administrateurs > Admin Gebruikers > Voeg by jy kan 'n nuwe administrateur skep.
Figuur 10. Skep 'n plaaslike Cisco ISE-administrateur
7) Die nuwe administrateur kan deel gemaak word van 'n nuwe groep of reeds vooraf gedefinieerde groepe. Administrateurgroepe word in dieselfde paneel in die oortjie bestuur Admin Groepe. Tabel 2 som inligting oor ISE-administrateurs, hul regte en rolle op.
Tabel 2. Cisco ISE-administrateurgroepe, toegangsvlakke, toestemmings en beperkings
Administrateur groep naam
toestemming
Beperkings
Pasmaak Admin
Die opstel van gas- en borgskapportale, administrasie en aanpassing
Onvermoë om beleid te verander of verslae te sien
Hulptoonbank Admin
Vermoë om die hoofkontroleskerm, alle verslae, larms en probleemoplossingstrome te sien
Jy kan nie verslae, alarms en stawingloglêers verander, skep of uitvee nie
Identiteit Admin
Bestuur van gebruikers, voorregte en rolle, die vermoë om logs, verslae en alarms te sien
Jy kan nie beleide verander of take op die OS-vlak uitvoer nie
MnT Admin
Volledige monitering, verslae, alarms, logs en hul bestuur
Onvermoë om enige beleid te verander
Netwerk Toestel Admin
Regte om ISE-voorwerpe te skep en te verander, logs, verslae, hoofkontroleskerm te sien
Jy kan nie beleide verander of take op die OS-vlak uitvoer nie
Beleid Admin
Volledige bestuur van alle beleide, verandering van profiele, instellings, kyk na verslae
Onvermoë om instellings met geloofsbriewe, ISE-voorwerpe uit te voer
RBAC Admin
Alle instellings in die Bedryf-oortjie, ANC-beleidinstellings, verslagdoeningsbestuur
Jy kan nie ander beleide as ANC verander of take op OS-vlak uitvoer nie
Super Admin
Regte op alle instellings, verslagdoening en bestuur, kan administrateurbewyse uitvee en verander
Kan nie verander nie, vee 'n ander profiel uit die Super Admin-groep uit
Stelsel Admin
Alle instellings in die Bedryf-oortjie, bestuur van stelselinstellings, ANC-beleid, kyk na verslae
Jy kan nie ander beleide as ANC verander of take op OS-vlak uitvoer nie
Eksterne RUSTIGE Dienste (ERS) Admin
Volle toegang tot die Cisco ISE REST API
Slegs vir magtiging, bestuur van plaaslike gebruikers, gashere en sekuriteitsgroepe (SG)
Eksterne RUSTIGE Dienste (ERS) operateur
Cisco ISE REST API leestoestemmings
Slegs vir magtiging, bestuur van plaaslike gebruikers, gashere en sekuriteitsgroepe (SG)
Figuur 11. Vooraf gedefinieerde Cisco ISE Administrateur Groepe
8) Ekstras in die blad Magtiging > Toestemmings > RBAC-beleid Jy kan die regte van voorafbepaalde administrateurs wysig.
Figuur 12. Cisco ISE Administrateur Vooraf ingestelde profielregtebestuur
9) In die blad Administrasie > Stelsel > InstellingsAlle stelselinstellings is beskikbaar (DNS, NTP, SMTP en ander). U kan dit hier invul as u dit tydens die aanvanklike toestelinisialisering gemis het.
5. gevolgtrekking
Dit sluit die eerste artikel af. Ons het die doeltreffendheid van die Cisco ISE NAC-oplossing, sy argitektuur, minimum vereistes en ontplooiingsopsies en aanvanklike installasie bespreek.
In die volgende artikel sal ons kyk na die skep van rekeninge, integrasie met Microsoft Active Directory en die skep van gastetoegang.
As jy enige vrae oor hierdie onderwerp het of hulp benodig om die produk te toets, kontak asseblief skakel.