Cisco ISE: መግቢያ, መስፈርቶች, መጫን. ክፍል 1

1. መግቢያ

እያንዳንዱ ኩባንያ፣ ትንሹም ቢሆን፣ የማረጋገጫ፣ ፍቃድ እና የተጠቃሚ ሂሳብ (AAA ቤተሰብ የፕሮቶኮሎች) ፍላጎት አለው። በመነሻ ደረጃ፣ AAA እንደ RADIUS፣ TACACS+ እና DIAMETER ያሉ ፕሮቶኮሎችን በመጠቀም በደንብ ተተግብሯል። ይሁን እንጂ የተጠቃሚዎች እና የኩባንያው ብዛት እየጨመረ በሄደ ቁጥር የተግባሮች ቁጥርም እየጨመረ ይሄዳል-የአስተናጋጆች እና የ BYOD መሳሪያዎች ከፍተኛ ታይነት, ባለብዙ ደረጃ ማረጋገጫ, ባለብዙ ደረጃ የመዳረሻ ፖሊሲ መፍጠር እና ሌሎች ብዙ.

ለእንደዚህ አይነት ስራዎች NAC (Network Access Control) የመፍትሄዎች ክፍል ፍጹም ነው - የአውታረ መረብ መዳረሻ ቁጥጥር. ለተወሰኑ መጣጥፎች በተከታታይ Cisco ISE (የማንነት አገልግሎት ሞተር) - በውስጣዊ አውታረመረብ ላይ ለተጠቃሚዎች አውድ-አውቆ የመዳረሻ መቆጣጠሪያን ለማቅረብ NAC መፍትሄ, የመፍትሄውን አርክቴክቸር, አቅርቦት, ውቅር እና ፍቃድ በዝርዝር እንመለከታለን.

Cisco ISE የሚፈቅድልዎ መሆኑን በአጭሩ ላስታውስዎ፡-

• በአንድ የተወሰነ WLAN ላይ በፍጥነት እና በቀላሉ የእንግዳ መዳረሻን ይፍጠሩ;

• የ BYOD መሳሪያዎችን (ለምሳሌ ወደ ሥራ ያመጡትን የሰራተኞች የቤት ፒሲ) ያግኙ።

• የSGT የደህንነት ቡድን መለያዎችን በመጠቀም በጎራ እና ጎራ ባልሆኑ ተጠቃሚዎች ላይ የደህንነት ፖሊሲዎችን ያማከለ እና ያስፈጽም። TrustSec);

• ለተወሰኑ ሶፍትዌሮች ኮምፒውተሮችን ያረጋግጡ እና ከደረጃዎች ጋር መጣጣምን (መለጠፍ);

• የመጨረሻ ነጥብ እና የአውታረ መረብ መሳሪያዎችን መድብ እና መገለጫ;

• የመጨረሻ ነጥብ ታይነትን ያቅርቡ;

• የተጠቃሚን መሰረት ያደረገ ፖሊሲ ለመቅረጽ የተጠቃሚዎች መለያዎች (ማንነታቸው) የክስተት ምዝግብ ማስታወሻዎችን ወደ NGFW ይላኩ።

• ቤተኛ ከሲስኮ StealthWatch ጋር ያዋህዱ እና በደህንነት ጉዳዮች ላይ የተሳተፉ አጠራጣሪ አስተናጋጆችን ለይቶ ማቆየት (ተጨማሪ መረጃ);

• እና ሌሎች ባህሪያት ለ AAA አገልጋዮች መደበኛ።

በኢንዱስትሪው ውስጥ ያሉ ባልደረቦች ስለ Cisco ISE አስቀድመው ጽፈዋል፣ ስለዚህ እንዲያነቡ እመክራችኋለሁ፡- Cisco ISE ትግበራ ልምምድ, ለ Cisco ISE ትግበራ እንዴት እንደሚዘጋጁ.

2. ሥነ ሕንፃ

የማንነት አገልግሎቶች ኢንጂነሪንግ አርክቴክቸር 4 አካላት (አንጓዎች) አሉት፡ የአስተዳደር መስቀለኛ መንገድ (የፖሊሲ አስተዳደር መስቀለኛ መንገድ)፣ የፖሊሲ ማከፋፈያ መስቀለኛ መንገድ (የፖሊሲ አገልግሎት መስቀለኛ መንገድ)፣ የክትትል መስቀለኛ መንገድ (የክትትል መስቀለኛ መንገድ) እና PxGrid node (PxGrid Node)። Cisco ISE በተናጥል ወይም በተሰራጨ ጭነት ውስጥ ሊሆን ይችላል። በ Standalone ስሪት ውስጥ, ሁሉም አካላት በአንድ ምናባዊ ማሽን ወይም አካላዊ አገልጋይ (Secure Network Servers - SNS) ላይ ይገኛሉ, በተከፋፈለው ስሪት ውስጥ, ኖዶች በተለያዩ መሳሪያዎች ላይ ይሰራጫሉ.

የፖሊሲ አስተዳደር መስቀለኛ መንገድ (PAN) ሁሉንም የአስተዳደር ስራዎች በ Cisco ISE ላይ እንዲያደርጉ የሚያስችልዎ አስፈላጊ መስቀለኛ መንገድ ነው። ከ AAA ጋር የተያያዙ ሁሉንም የስርዓት ውቅሮችን ያስተናግዳል. በተከፋፈለ ውቅር ውስጥ (አንጓዎች እንደ የተለየ ቨርቹዋል ማሽኖች ሊጫኑ ይችላሉ)፣ ለስህተት መቻቻል ቢበዛ ሁለት PANs ሊኖርዎት ይችላል - ንቁ/ተጠባባቂ ሁነታ።

የፖሊሲ አገልግሎት መስቀለኛ መንገድ (PSN) የአውታረ መረብ መዳረሻን፣ ግዛትን፣ የእንግዳ መዳረሻን፣ የደንበኛ አገልግሎት አቅርቦትን እና መገለጫን የሚሰጥ የግዴታ ኖድ ነው። PSN ፖሊሲውን ይገመግመዋል እና ይተገበራል። በተለምዶ፣ ብዙ PSNዎች ተጭነዋል፣ በተለይም በተከፋፈለ ውቅር ውስጥ፣ ለበለጠ ድግግሞሽ እና ለተሰራጨው ኦፕሬሽን። እርግጥ ነው, ለሰከንድ ያህል የተረጋገጠ እና የተፈቀደ መዳረሻን የመስጠት ችሎታ እንዳያጡ እነዚህን አንጓዎች በተለያዩ ክፍሎች ውስጥ ለመጫን ይሞክራሉ.

የክትትል መስቀለኛ መንገድ (MnT) የክስተት ምዝግብ ማስታወሻዎችን፣ ሌሎች ኖዶችን እና ፖሊሲዎችን በአውታረ መረቡ ላይ የሚያከማች የግዴታ ኖድ ነው። የኤምኤንቲ ኖድ የላቁ መሳሪያዎችን ለመከታተል እና ለመላ ፍለጋ ያቀርባል፣የተለያዩ መረጃዎችን ይሰበስባል እና ያዛምዳል፣እንዲሁም ትርጉም ያለው ሪፖርቶችን ያቀርባል። Cisco ISE ቢበዛ ሁለት MnT ኖዶች እንዲኖርዎት ይፈቅድልዎታል፣ በዚህም የስህተት መቻቻልን ይፈጥራል - ንቁ/ተጠባባቂ ሁነታ። ሆኖም ግን, ምዝግብ ማስታወሻዎች በሁለቱም አንጓዎች የተሰበሰቡ ናቸው, ሁለቱም ንቁ እና ተገብሮ.

PxGrid Node (PXG) የPxGrid ፕሮቶኮልን የሚጠቀም እና PxGridን በሚደግፉ ሌሎች መሳሪያዎች መካከል ግንኙነትን የሚፈቅድ መስቀለኛ መንገድ ነው።

PxGrid  - ከተለያዩ አቅራቢዎች የአይቲ እና የመረጃ ደህንነት መሠረተ ልማት ምርቶች ውህደትን የሚያረጋግጥ ፕሮቶኮል-የክትትል ስርዓቶች ፣የጥቃቅን ፍለጋ እና መከላከል ስርዓቶች ፣የደህንነት ፖሊሲ አስተዳደር መድረኮች እና ሌሎች ብዙ መፍትሄዎች። Cisco PxGrid ኤፒአይ ሳያስፈልጋቸው ከብዙ መድረኮች ጋር በአንድ አቅጣጫ ወይም በሁለት አቅጣጫ አውድ እንድታካፍሉ ይፈቅድልሃል፣ በዚህም ቴክኖሎጂውን ያስችለዋል። TrustSec (SGT tags)፣ የANC (Adaptive Network Control) ፖሊሲን ይቀይሩ እና ይተግብሩ፣ እንዲሁም መገለጫዎችን ያከናውናሉ - የመሣሪያውን ሞዴል፣ OS፣ አካባቢ እና ሌሎችንም መወሰን።

በከፍተኛ ተገኝነት ውቅረት ውስጥ፣ PxGrid nodes በ PAN ላይ ባሉ አንጓዎች መካከል ያለውን መረጃ ይደግማሉ። PAN ከተሰናከለ የPxGrid መስቀለኛ መንገድ ለተጠቃሚዎች ማረጋገጥ፣ መፍቀድ እና የሂሳብ አያያዝ ያቆማል። 

ከዚህ በታች በድርጅት አውታረ መረብ ውስጥ ያሉ የተለያዩ የ Cisco ISE አካላት አሠራር ንድፍ መግለጫ ነው።

ምስል 1. Cisco ISE አርክቴክቸር

3. መስፈርቶች

Cisco ISE እንደ አብዛኞቹ ዘመናዊ መፍትሄዎች በተግባርም ሆነ በአካል እንደ የተለየ አገልጋይ ሊተገበር ይችላል። 

የሲስኮ አይኤስኢ ሶፍትዌርን የሚያሄዱ ፊዚካል መሳሪያዎች SNS (Secure Network Server) ይባላሉ። በሶስት ሞዴሎች ይመጣሉ፡ SNS-3615፣ SNS-3655 እና SNS-3695 ለአነስተኛ፣ መካከለኛ እና ትልቅ ንግዶች። ሠንጠረዥ 1 ከ መረጃ ያሳያል ዳታ ገጽ SNS.

ሠንጠረዥ 1. ለተለያዩ ሚዛኖች የ SNS ንጽጽር ሰንጠረዥ

መለኪያ

SNS 3615 (ትንሽ)

SNS 3655 (መካከለኛ)

SNS 3695 (ትልቅ)

በተናጥል መጫኛ ውስጥ የሚደገፉ የመጨረሻ ነጥቦች ብዛት

10000

25000

50000

በPSN የሚደገፉ የመጨረሻ ነጥቦች ብዛት

10000

25000

100000

ሲፒዩ (Intel Xeon 2.10GHz)

8 ኮር

12 ኮር

12 ኮር

ራንደም አክሰስ ሜሞሪ 

32 ጊባ (2 x 16 ጊባ)

96 ጊባ (6 x 16 ጊባ)

256 ጊባ (16 x 16 ጊባ)

HDD

1 x 600 ጊባ

4 x 600 ጊባ

8 x 600 ጊባ

የሃርድዌር ወረራ

የለም

RAID 10, የ RAID መቆጣጠሪያ መኖር

RAID 10, የ RAID መቆጣጠሪያ መኖር

የአውታረ መረብ በይነገጽ።

2 x 10 ጊባ-ቲ

4 x 1 ጊባ-ቲ 

2 x 10 ጊባ-ቲ

4 x 1 ጊባ-ቲ 

2 x 10 ጊባ-ቲ

4 x 1 ጊባ-ቲ

ምናባዊ አተገባበርን በተመለከተ፣ የሚደገፉት ሃይፐርቫይዘሮች VMware ESXi (ቢያንስ VMware ስሪት 11 ለESXi 6.0 ይመከራል)፣ Microsoft Hyper-V እና Linux KVM (RHEL 7.0) ናቸው። ሀብቶች ከላይ ባለው ሠንጠረዥ ውስጥ ካለው ወይም ከዚያ በላይ በግምት ተመሳሳይ መሆን አለባቸው። ነገር ግን፣ ለአነስተኛ የንግድ ቨርችዋል ማሽን ዝቅተኛ መስፈርቶች የሚከተሉት ናቸው፡- 2 ሲፒዩ በ 2.0 GHz እና ከዚያ በላይ ድግግሞሽ, 16 ጊባ ራም и 200 ጊባ ኤች.ዲ.ዲ. 

ለሌሎች የCisco ISE ማሰማራት ዝርዝሮች እባክዎን ያነጋግሩ ለእኛ ወይም ወደ ምንጭ #1, ምንጭ #2.

4. መጫን

ልክ እንደሌሎች የሲስኮ ምርቶች፣ ISE በብዙ መንገዶች ሊሞከር ይችላል።

• dcloud - አስቀድሞ የተጫኑ የላብራቶሪ አቀማመጦች የደመና አገልግሎት (የሲስኮ መለያ ያስፈልጋል);

• የ GVE ጥያቄ - ጥያቄ ከ ጣቢያ የአንዳንድ ሶፍትዌሮች Cisco (ለአጋሮች ዘዴ)። በሚከተለው ዓይነተኛ መግለጫ መያዣ ፈጥረዋል፡ የምርት ዓይነት [ISE]፣ ISE ሶፍትዌር [ise-2.7.0.356.SPA.x8664]፣ ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• የሙከራ ፕሮጀክት - ነፃ የሙከራ ፕሮጀክት ለማካሄድ ማንኛውንም ስልጣን ያለው አጋር ያነጋግሩ።

1) ቨርቹዋል ማሽን ከፈጠሩ በኋላ የኦቪኤ አብነት ሳይሆን የ ISO ፋይል ከጠየቁ ISE መጫንን እንዲመርጡ የሚፈልግ መስኮት ይከፈታል። ይህንን ለማድረግ በመግቢያዎ እና በይለፍ ቃልዎ ምትክ "መፃፍ አለብዎት.አዘገጃጀት"!

ማስታወሻ: ISE ከ OVA አብነት ካሰማራህ የመግቢያ ዝርዝሮች አስተዳዳሪ/MyIseYPass2 (ይህ እና ብዙ ተጨማሪ በኦፊሴላዊው ውስጥ ተገልጸዋል መመሪያ).

ምስል 2. Cisco ISE ን መጫን

2) ከዚያ እንደ አይፒ አድራሻ ፣ ዲ ኤን ኤስ ፣ ኤንቲፒ እና ሌሎች ያሉ አስፈላጊ መስኮችን መሙላት አለብዎት ።

ምስል 3. Cisco ISE ማስጀመር

3) ከዚያ በኋላ መሣሪያው እንደገና ይነሳል, እና ቀደም ሲል የተገለጸውን የአይፒ አድራሻ በመጠቀም በድር በይነገጽ በኩል መገናኘት ይችላሉ.

ምስል 4. Cisco ISE የድር በይነገጽ

4) በትር ውስጥ አስተዳደር > ስርዓት > ማሰማራት በአንድ የተወሰነ መሣሪያ ላይ የትኞቹ አንጓዎች (አካላት) እንደነቁ መምረጥ ይችላሉ። የPxGrid መስቀለኛ መንገድ እዚህ ነቅቷል።

ምስል 5. Cisco ISE አካል አስተዳደር

5) ከዚያም በትር ውስጥ አስተዳደር > ስርዓት > የአስተዳዳሪ መዳረሻ > ማረጋገጫ የይለፍ ቃል ፖሊሲ፣ የማረጋገጫ ዘዴ (የምስክር ወረቀት ወይም የይለፍ ቃል)፣ የመለያው ማብቂያ ቀን እና ሌሎች ቅንብሮችን እንዲያዋቅሩ እመክራለሁ።

ምስል 6. የማረጋገጫ አይነት ቅንብርምስል 7. የይለፍ ቃል ፖሊሲ መቼቶችምስል 8. ጊዜው ካለፈ በኋላ የመለያ መዘጋት ማቀናበርምስል 9. የመለያ መቆለፍን ማዘጋጀት

6) በትር ውስጥ አስተዳደር > ስርዓት > የአስተዳዳሪ መዳረሻ > አስተዳዳሪዎች > የአስተዳዳሪ ተጠቃሚዎች > ያክሉ አዲስ አስተዳዳሪ መፍጠር ይችላሉ።

ምስል 10. የአካባቢ Cisco ISE አስተዳዳሪ መፍጠር

7) አዲሱ አስተዳዳሪ የአዲሱ ቡድን አካል ወይም አስቀድሞ የተገለጹ ቡድኖች አካል ሊሆን ይችላል። የአስተዳዳሪ ቡድኖች በትሩ ውስጥ በተመሳሳይ ፓነል ውስጥ ነው የሚተዳደሩት። የአስተዳዳሪ ቡድኖች. ሠንጠረዥ 2 ስለ ISE አስተዳዳሪዎች፣ መብቶቻቸው እና ሚናዎቻቸው መረጃን ያጠቃልላል።

ሠንጠረዥ 2. Cisco ISE አስተዳዳሪ ቡድኖች፣ የመዳረሻ ደረጃዎች፣ ፍቃዶች እና ገደቦች

የአስተዳዳሪ ቡድን ስም

ፈቃዶች

ገደቦች

ማበጀት አስተዳዳሪ

የእንግዳ እና የስፖንሰርሺፕ መግቢያዎችን፣ አስተዳደርን እና ማበጀትን ማዘጋጀት

ፖሊሲዎችን መቀየር ወይም ሪፖርቶችን ማየት አለመቻል

የእገዛ ዴስክ አስተዳዳሪ

ዋናውን ዳሽቦርድ፣ ሁሉንም ሪፖርቶች፣ ላም እና መላ መፈለጊያ ዥረቶችን የማየት ችሎታ

ሪፖርቶችን ፣ ማንቂያዎችን እና የማረጋገጫ ምዝግብ ማስታወሻዎችን መለወጥ ፣ መፍጠር ወይም መሰረዝ አይችሉም

የማንነት አስተዳደር

ተጠቃሚዎችን ፣ ልዩ መብቶችን እና ሚናዎችን ማስተዳደር ፣ ምዝግብ ማስታወሻዎችን ፣ ሪፖርቶችን እና ማንቂያዎችን የማየት ችሎታ

በስርዓተ ክወና ደረጃ ፖሊሲዎችን መቀየር ወይም ተግባሮችን ማከናወን አይችሉም

MnT አስተዳዳሪ

ሙሉ ክትትል፣ ሪፖርቶች፣ ማንቂያዎች፣ ምዝግብ ማስታወሻዎች እና አስተዳደር

ማንኛውንም ፖሊሲ መቀየር አለመቻል

የአውታረ መረብ መሣሪያ አስተዳዳሪ

የ ISE ዕቃዎችን የመፍጠር እና የመለወጥ ፣ የምዝግብ ማስታወሻዎችን ፣ ሪፖርቶችን ፣ ዋና ዳሽቦርድን የመመልከት መብቶች

በስርዓተ ክወና ደረጃ ፖሊሲዎችን መቀየር ወይም ተግባሮችን ማከናወን አይችሉም

የፖሊሲ አስተዳዳሪ

የሁሉም ፖሊሲዎች ሙሉ አስተዳደር፣ መገለጫዎችን መለወጥ፣ መቼቶች፣ ሪፖርቶችን መመልከት

ከማስረጃዎች፣ ISE ነገሮች ጋር ቅንብሮችን ማከናወን አለመቻል

የRBAC አስተዳዳሪ

በኦፕሬሽኖች ትር ውስጥ ያሉ ሁሉም ቅንብሮች ፣ የኤኤንሲ ፖሊሲ መቼቶች ፣ የሪፖርት ማስተዳደር

ከኤኤንሲ ውጪ ፖሊሲዎችን መቀየር ወይም በስርዓተ ክወና ደረጃ ስራዎችን ማከናወን አትችልም።

ከፍተኛ አስተዳዳሪ

የሁሉም ቅንብሮች፣ ሪፖርት ማድረግ እና አስተዳደር መብቶች የአስተዳዳሪ ምስክርነቶችን መሰረዝ እና መለወጥ ይችላሉ።

መቀየር አይቻልም፣ ሌላ መገለጫ ከSuper Admin ቡድን ሰርዝ

የስርዓት አስተዳዳሪ

ሁሉም ቅንብሮች በኦፕሬሽኖች ትር, የስርዓት ቅንብሮችን ማስተዳደር, የኤኤንሲ ፖሊሲ, ሪፖርቶችን መመልከት

ከኤኤንሲ ውጪ ፖሊሲዎችን መቀየር ወይም በስርዓተ ክወና ደረጃ ስራዎችን ማከናወን አትችልም።

ውጫዊ RESTful አገልግሎቶች (ERS) አስተዳዳሪ

የ Cisco ISE REST API ሙሉ መዳረሻ

ለፍቃድ፣ ለአካባቢ ተጠቃሚዎች፣ አስተናጋጆች እና የደህንነት ቡድኖች (ኤስጂ) አስተዳደር ብቻ

ውጫዊ RESTful አገልግሎቶች (ERS) ኦፕሬተር

Cisco ISE REST API የተነበበ ፍቃዶች

ለፍቃድ፣ ለአካባቢ ተጠቃሚዎች፣ አስተናጋጆች እና የደህንነት ቡድኖች (ኤስጂ) አስተዳደር ብቻ

ምስል 11. አስቀድሞ የተገለጹ Cisco ISE አስተዳዳሪ ቡድኖች

8) በትሩ ውስጥ አማራጭ ፍቃድ > ፈቃዶች > የRBAC ፖሊሲ አስቀድመው የተገለጹ አስተዳዳሪዎችን መብቶች ማርትዕ ይችላሉ።

ምስል 12. Cisco ISE አስተዳዳሪ ቅድመ-ቅምጥ መገለጫ መብቶች አስተዳደር

9) በትር ውስጥ አስተዳደር> ስርዓት> ቅንብሮች ሁሉም የስርዓት ቅንጅቶች ይገኛሉ (ዲኤንኤስ፣ ኤንቲፒ፣ SMTP እና ሌሎች)። በመጀመርያው መሣሪያ ጅምር ጊዜ ካመለጣቸው እዚህ መሙላት ይችላሉ።

5. ማጠቃለያ

ይህ የመጀመሪያውን ጽሑፍ ያበቃል. ስለ Cisco ISE NAC መፍትሄ ውጤታማነት፣ አርክቴክቸር፣ አነስተኛ መስፈርቶች እና የማሰማራት አማራጮች እና የመጀመሪያ ጭነት ተወያይተናል።

በሚቀጥለው መጣጥፍ፣ መለያዎችን መፍጠር፣ ከማይክሮሶፍት አክቲቭ ዳይሬክተሩ ጋር መቀላቀል እና የእንግዳ መዳረሻ መፍጠርን እንመለከታለን።

ስለዚህ ርዕስ ጥያቄዎች ካሉዎት ወይም ምርቱን ለመፈተሽ እገዛ ከፈለጉ እባክዎን ያነጋግሩ ማያያዣ.

በቻናሎቻችን ላይ አዳዲስ መረጃዎችን ይጠብቁ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ, Yandex ዜን).

ምንጭ: hab.com