تحتاج كل شركة ، حتى أصغرها ، إلى المصادقة والتفويض والمحاسبة للمستخدمين (عائلة بروتوكول AAA). في المرحلة الأولية ، يتم تنفيذ AAA بشكل جيد باستخدام بروتوكولات مثل RADIUS و TACACS + و DIAMETER. ومع ذلك ، مع نمو عدد المستخدمين والشركات ، يزداد عدد المهام أيضًا: أقصى رؤية للمضيفين وأجهزة BYOD ، والمصادقة متعددة العوامل ، وإنشاء سياسة وصول متعددة المستويات ، وأكثر من ذلك بكثير.
بالنسبة لمثل هذه المهام ، تعتبر فئة حلول NAC (التحكم في الوصول إلى الشبكة) ممتازة - التحكم في الوصول إلى الشبكة. في سلسلة من المقالات المخصصة ل سيسكو ISE (محرك خدمات الهوية) - حل NAC لتوفير التحكم في وصول المستخدم الواعي بالسياق إلى الشبكة الداخلية ، سنلقي نظرة مفصلة على بنية الحل وتهيئته وتكوينه وترخيصه.
دعني أذكرك بإيجاز أن Cisco ISE يسمح لك بما يلي:
إنشاء وصول الضيف بسرعة وسهولة في شبكة WLAN مخصصة ؛
اكتشاف أجهزة BYOD (على سبيل المثال ، أجهزة الكمبيوتر المنزلية للموظفين التي يحضرونها إلى العمل) ؛
تمركز سياسات الأمان وتطبيقها على مستخدمي المجال وغير المجال باستخدام تسميات مجموعة أمان SGT (تقنية TrustSec);
فحص أجهزة الكمبيوتر بحثًا عن وجود برامج معينة مثبتة والامتثال للمعايير (الوضع) ؛
تصنيف وملف تعريف نقاط النهاية وأجهزة الشبكة ؛
توفير الرؤية في نقاط النهاية ؛
إعطاء سجلات لمستخدمي تسجيل الدخول / تسجيل الخروج وحساباتهم (الهوية) على NGFW لتشكيل سياسة قائمة على المستخدم ؛
تكامل أصلاً مع Cisco StealthWatch وعزل المضيفين المشتبه بهم المتورطين في الحوادث الأمنية (أكثر);
هناك 4 كيانات (عقد) في بنية محرك خدمات الهوية: عقدة إدارة السياسة ، وعقدة خدمة السياسة ، وعقدة المراقبة ، وعقدة PxGrid. يمكن أن يكون محرك Cisco ISE في تثبيت مستقل أو موزع. في خيار Standalone ، توجد جميع الكيانات على نفس الجهاز الظاهري أو الخادم الفعلي (Secure Network Servers - SNS) ، عندما يتم توزيع العقد في الخيار الموزع عبر أجهزة مختلفة.
عقدة إدارة السياسة (PAN) هي عقدة إلزامية تسمح لك بتنفيذ جميع العمليات الإدارية على Cisco ISE. إنه يتعامل مع جميع تكوينات النظام ذات الصلة بـ AAA. في التكوين الموزع (يمكن تثبيت العقد كأجهزة افتراضية منفصلة) ، يمكنك الحصول على وحدتي PAN كحد أقصى للتسامح مع الخطأ - الوضع النشط / الاستعداد.
عقدة خدمة السياسة (PSN) هي عقدة إلزامية توفر الوصول إلى الشبكة والحالة ووصول الضيف وتوفير خدمة العميل والتنميط. تقوم PSN بتقييم السياسة وتنفيذها. عادةً ، يتم تثبيت شبكات PSN متعددة ، خاصة في التكوين الموزع ، لمزيد من العمليات المتكررة والموزعة. بالطبع ، تحاول هذه العقد التثبيت في شرائح مختلفة حتى لا تفقد القدرة على توفير وصول معتمد ومصرح به لمدة ثانية.
عقدة المراقبة (MnT) هي عقدة إلزامية تخزن سجلات الأحداث وسجلات العقد والسياسات الأخرى على الشبكة. توفر عقدة MnT أدوات متقدمة للمراقبة واستكشاف الأخطاء وإصلاحها ، وتجمع وتربط البيانات المختلفة ، وتوفر تقارير مفيدة. يتيح لك محرك ISE من Cisco الحصول على عقدتين MnT كحد أقصى ، وبالتالي تشكيل التسامح مع الخطأ - الوضع النشط / الاستعداد. ومع ذلك ، يتم جمع السجلات بواسطة كلتا العقدتين ، النشطة والخاملة.
عقدة PxGrid (PXG) هي عقدة تستخدم بروتوكول PxGrid وتوفر الاتصال بين الأجهزة الأخرى التي تدعم PxGrid.
بكسغريد - بروتوكول يوفر تكاملًا لمنتجات البنية التحتية لتكنولوجيا المعلومات وأمن المعلومات من بائعين مختلفين: أنظمة المراقبة وأنظمة كشف التسلل والوقاية منه ومنصات إدارة سياسة الأمن والعديد من الحلول الأخرى. يسمح Cisco PxGrid بتبادل السياق أحادي الاتجاه أو ثنائي الاتجاه مع العديد من الأنظمة الأساسية دون الحاجة إلى واجهة برمجة تطبيقات ، وبالتالي تمكين استخدام التكنولوجيا TrustSec (علامات SGT) ، قم بتغيير وتطبيق سياسة ANC (التحكم في الشبكة التكيفية) ، بالإضافة إلى إجراء التنميط - تحديد طراز الجهاز ونظام التشغيل والموقع والمزيد.
في تكوين الإتاحة العالية ، تقوم عقد PxGrid بنسخ المعلومات بين العقد عبر PAN. في حالة تعطيل PAN ، تتوقف عقدة PxGrid عن مصادقة المستخدمين وتفويضهم وحسابهم.
يوجد أدناه تمثيل تخطيطي لتشغيل مختلف كيانات Cisco ISE في شبكة الشركة.
الشكل 1 الشكل XNUMX هندسة Cisco ISE
3. المتطلبات
يمكن تنفيذ Cisco ISE ، مثل معظم الحلول الحديثة ، فعليًا أو فعليًا كخادم منفصل.
تسمى الأجهزة المادية المثبت عليها برنامج Cisco ISE SNS (خادم شبكة آمن). تأتي في ثلاثة نماذج: SNS-3615 و SNS-3655 و SNS-3695 للشركات الصغيرة والمتوسطة والكبيرة. يقدم الجدول 1 معلومات من ورقة البيانات SNS.
الجدول 1. جدول مقارنة SNS لمقاييس مختلفة
المعلمة
SNS 3615 (صغير)
SNS 3655 (متوسط)
SNS 3695 (كبير)
عدد نقاط النهاية المدعومة في تثبيت مستقل
10000
25000
50000
عدد نقاط النهاية المدعومة لكل PSN
10000
25000
100000
وحدة المعالجة المركزية (Intel Xeon 2.10 جيجاهرتز)
8 نوى
12 نوى
12 نوى
رامات
32 جيجا بايت (2 × 16 جيجا بايت)
96 جيجا بايت (6 × 16 جيجا بايت)
256 جيجا بايت (16 × 16 جيجا بايت)
HDD
1 × 600 جيجا بايت
4 × 600 جيجا بايت
8 × 600 جيجا بايت
RAID للأجهزة
لا
RAID 10 ، وجود وحدة تحكم RAID
RAID 10 ، وجود وحدة تحكم RAID
واجهات الشبكة
2 × 10Gbase-T
4 × 1Gbase-T
2 × 10Gbase-T
4 × 1Gbase-T
2 × 10Gbase-T
4 × 1Gbase-T
لعمليات النشر الافتراضية ، يتم دعم VMware ESXi (الحد الأدنى من VMware الإصدار 11 الموصى به لـ ESXi 6.0) و Microsoft Hyper-V و Linux KVM (RHEL 7.0). يجب أن تكون الموارد هي نفسها كما في الجدول أعلاه أو أكثر. ومع ذلك ، فإن الحد الأدنى من متطلبات الجهاز الظاهري للأعمال التجارية الصغيرة هو: CPU 2 بتردد 2.0 جيجاهرتز وأعلى ، 16 جيجابايت رام и شنومك غيغابايتHDD.
مثل معظم منتجات Cisco الأخرى ، يمكن اختبار ISE بعدة طرق:
com.dcloud - الخدمة السحابية لتخطيطات المعمل المثبتة مسبقًا (تتطلب حساب Cisco) ؛
طلب GVE - طلب من сайта برنامج خاص بشركة Cisco (طريقة للشركاء). يمكنك إنشاء حالة بالوصف النموذجي التالي: نوع المنتج [ISE] ، برنامج ISE [ise-2.7.0.356.SPA.x8664] ، تصحيح ISE [حزمة ISE-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664] ؛
مشروع طيار - اتصل بأي شريك معتمد لمشروع تجريبي مجاني.
1) بعد إنشاء جهاز افتراضي ، إذا طلبت ملف ISO ، وليس قالب OVA ، فستحصل على نافذة يطلب منك ISE فيها تحديد التثبيت. للقيام بذلك ، بدلاً من اسم المستخدم وكلمة المرور ، اكتب "الإعداد"!
ملاحظة: إذا قمت بنشر ISE من قالب OVA ، فإن معلومات تسجيل الدخول المشرف/MyIseYPass2 (هذا وأكثر مذكور في المسؤول مرشد).
الشكل 2 تثبيت Cisco ISE
2) ثم يجب عليك ملء الحقول المطلوبة ، مثل عنوان IP و DNS و NTP وغيرها.
الشكل 3 الشكل XNUMX تهيئة Cisco ISE
3) بعد ذلك ، سيتم إعادة تشغيل الجهاز ، وستتمكن من الاتصال عبر واجهة الويب بعنوان IP المحدد مسبقًا.
الشكل 4 واجهة ويب Cisco ISE
4) في علامة التبويب الإدارة> النظام> النشر يمكنك اختيار العقد (الكيانات) التي يتم تمكينها على جهاز معين. تم تمكين عقدة PxGrid هنا.
الشكل 5 إدارة كيان Cisco ISE
5) ثم في علامة التبويب الإدارة> النظام> وصول المسؤول>التحقّق من المُستخدم أوصي بتكوين سياسة كلمة المرور وطريقة المصادقة (الشهادة أو كلمة المرور) وانتهاء صلاحية الحساب والإعدادات الأخرى.
الشكل 6. إعداد نوع المصادقةالشكل 7. إعدادات سياسة كلمة المرورالشكل 8. تكوين إغلاق الحساب بعد انتهاء الوقتالشكل 9. إعداد حظر الحساب
6) في علامة التبويب الإدارة> النظام> وصول المسؤول> المسؤولون> المستخدمون المسؤولون> إضافة يمكنك إنشاء مسؤول جديد.
الشكل 10. إنشاء مسؤول Cisco ISE محلي
7) يمكن جعل المسؤول الجديد جزءًا من مجموعة جديدة أو مجموعات محددة مسبقًا. تتم إدارة مجموعات المسؤولين في نفس اللوحة في علامة التبويب مجموعات الإدارة. يلخص الجدول 2 معلومات حول مسؤولي ISE وحقوقهم وأدوارهم.
الجدول 2. مجموعات مسؤولي Cisco ISE ومستويات الوصول والأذونات والقيود
اسم مجموعة الإدارة
إذن
القيود
إدارة التخصيص
إنشاء بوابات الضيف والكفالة والإدارة والتخصيص
عدم القدرة على تغيير السياسات ، عرض التقارير
إدارة مكتب المساعدة
القدرة على عرض لوحة القيادة الرئيسية وجميع التقارير والأحداث واستكشاف الأخطاء وإصلاحها التدفقات
لا يمكنك تعديل أو إنشاء أو حذف التقارير أو الإنذارات أو سجلات المصادقة.
إدارة الهوية
إدارة المستخدمين والامتيازات والأدوار والقدرة على عرض السجلات والتقارير والإنذارات
لا يمكنك تغيير السياسات وأداء المهام على مستوى نظام التشغيل
حقوق إنشاء وتعديل كائنات ISE وعرض السجلات والتقارير ولوحة القيادة الرئيسية
لا يمكنك تغيير السياسات وأداء المهام على مستوى نظام التشغيل
مشرف السياسة
إدارة كاملة لجميع السياسات وتغيير الملفات الشخصية والإعدادات وعرض التقارير
عدم القدرة على أداء الإعدادات باستخدام بيانات الاعتماد ، وكائنات ISE
مسؤول RBAC
جميع الإعدادات في علامة التبويب "العمليات" ، وإعداد سياسة ANC ، وإدارة التقارير
لا يمكنك تغيير السياسات بخلاف ANC ، أداء المهام على مستوى نظام التشغيل
سوبر الادارية
يمكن للحقوق في جميع الإعدادات وإعداد التقارير والإدارة حذف بيانات اعتماد المسؤول وتغييرها
لا يمكن تعديل أو إزالة ملف تعريف آخر من مجموعة المشرف المتميز
نظام مشرف
جميع الإعدادات في علامة التبويب "العمليات" ، وإدارة إعدادات النظام ، وسياسة ANC ، وعرض التقارير
لا يمكنك تغيير السياسات بخلاف ANC ، أداء المهام على مستوى نظام التشغيل
إدارة خدمات RESTful الخارجية (ERS)
الوصول الكامل إلى Cisco ISE REST API
فقط من أجل التخويل وإدارة المستخدمين المحليين والمضيفين ومجموعات الأمان (SG)
مشغل خدمات RESTful خارجي (ERS)
أذونات القراءة الخاصة بواجهة برمجة تطبيقات Cisco ISE REST
فقط من أجل التخويل وإدارة المستخدمين المحليين والمضيفين ومجموعات الأمان (SG)
الشكل 11 مجموعات Cisco ISE Admin المحددة مسبقًا
8) اختياري في علامة التبويب التخويل> الأذونات> سياسة RBAC يمكنك تحرير حقوق المسؤولين المعينين مسبقًا.
الشكل 12. إدارة امتيازات ملف تعريف Cisco ISE Administrator مسبقًا
9) في علامة التبويب الإدارة> النظام> الإعداداتتتوفر جميع إعدادات النظام (DNS و NTP و SMTP وغيرها). يمكنك تعبئتها هنا في حالة فقدها أثناء التهيئة الأولية للجهاز.
5. الخلاصة
هذا يختتم المقال الأول. ناقشنا فعالية حل Cisco ISE NAC ، وبنيته ، والحد الأدنى من المتطلبات وخيارات النشر ، والتثبيت الأولي.
في المقالة التالية ، سننظر في إنشاء حسابات ودمجها مع Microsoft Active Directory وإنشاء وصول الضيف.
إذا كانت لديك أسئلة حول هذا الموضوع أو تحتاج إلى مساعدة في اختبار المنتج ، فيرجى الاتصال بـ صلة.