1. Giriş
Hər bir şirkət, hətta ən kiçik şirkət, autentifikasiya, avtorizasiya və istifadəçi uçotuna ehtiyac duyur (AAA protokollar ailəsi). İlkin mərhələdə AAA RADIUS, TACACS+ və DIAMETER kimi protokollardan istifadə etməklə kifayət qədər yaxşı həyata keçirilir. Bununla belə, istifadəçilərin və şirkətlərin sayı artdıqca, tapşırıqların sayı da artır: hostların və BYOD cihazlarının maksimum görünməsi, çoxfaktorlu autentifikasiya, çoxsəviyyəli giriş siyasətinin yaradılması və s.
Bu cür tapşırıqlar üçün NAC (Network Access Control) sinif həllər mükəmməldir - şəbəkəyə giriş nəzarəti. həsr olunmuş məqalələr silsiləsində (Identity Services Engine) - Daxili şəbəkədə istifadəçilərə kontekstdən xəbərdar giriş nəzarətini təmin etmək üçün NAC həlli, biz həllin arxitekturasına, təmin edilməsinə, konfiqurasiyasına və lisenziyasına ətraflı nəzər salacağıq.
Qısaca xatırlatmaq istərdim ki, Cisco ISE sizə aşağıdakıları etməyə imkan verir:
-
Xüsusi WLAN-da qonaq girişini tez və asanlıqla yaratmaq;
-
BYOD cihazlarını aşkar edin (məsələn, işçilərin işə gətirdikləri ev kompüterləri);
-
SGT təhlükəsizlik qrupu etiketlərindən istifadə edərək domen və qeyri-domen istifadəçiləri arasında təhlükəsizlik siyasətlərini mərkəzləşdirin və tətbiq edin );
-
Quraşdırılmış müəyyən proqram təminatının və standartlara uyğunluğunun yoxlanılması (posturing);
-
Son nöqtə və şəbəkə cihazlarını təsnif etmək və profilləşdirmək;
-
Son nöqtənin görünməsini təmin edin;
-
İstifadəçi əsaslı siyasət formalaşdırmaq üçün istifadəçilərin giriş/çıxış hadisələri qeydlərini, onların hesablarını (şəxsiyyətini) NGFW-yə göndərin;
-
Cisco StealthWatch ilə yerli olaraq inteqrasiya edin və təhlükəsizlik insidentlərində iştirak edən şübhəli hostları karantinə alın ();
-
AAA serverləri üçün standart olan digər xüsusiyyətlər.
Sənayedəki həmkarlar artıq Cisco ISE haqqında yazıblar, ona görə də sizə oxumağı məsləhət görürəm: ,.
2. Memarlıq
Identity Services Engine arxitekturasında 4 obyekt (qovşaq) var: idarəetmə qovşağı (Policy Administration Node), siyasət paylama qovşağı (Policy Service Node), monitorinq node (Monitoring Node) və PxGrid node (PxGrid Node). Cisco ISE müstəqil və ya paylanmış quraşdırmada ola bilər. Bağımsız versiyada bütün obyektlər bir virtual maşında və ya fiziki serverdə (Təhlükəsiz Şəbəkə Serverləri - SNS) yerləşir, Paylanmış versiyada isə qovşaqlar müxtəlif cihazlar arasında paylanır.
Policy Administration Node (PAN) Cisco ISE-də bütün inzibati əməliyyatları yerinə yetirməyə imkan verən tələb olunan qovşaqdır. AAA ilə əlaqəli bütün sistem konfiqurasiyalarını idarə edir. Paylanmış konfiqurasiyada (qovşaqlar ayrıca virtual maşınlar kimi quraşdırıla bilər), səhvlərə dözümlülük üçün maksimum iki PAN-a malik ola bilərsiniz - Aktiv/Gözləmə rejimi.
Siyasət Xidməti Düyünü (PSN) şəbəkəyə giriş, vəziyyət, qonaq girişi, müştəri xidmətinin təmin edilməsi və profilləşdirməni təmin edən məcburi bir qovşaqdır. PSN siyasəti qiymətləndirir və tətbiq edir. Tipik olaraq, daha çox və paylanmış əməliyyat üçün xüsusilə paylanmış konfiqurasiyada çoxlu PSN quraşdırılır. Təbii ki, onlar bu qovşaqları müxtəlif seqmentlərdə quraşdırmağa çalışırlar ki, bir saniyə ərzində autentifikasiya edilmiş və səlahiyyətli giriş təmin etmək imkanını itirməsinlər.
Monitorinq qovşağı (MnT) hadisə qeydlərini, digər qovşaqların qeydlərini və şəbəkədəki siyasətləri saxlayan məcburi qovşaqdır. MnT nodu monitorinq və problemlərin aradan qaldırılması üçün qabaqcıl alətlər təqdim edir, müxtəlif məlumatları toplayır və əlaqələndirir, həmçinin mənalı hesabatlar təqdim edir. Cisco ISE sizə maksimum iki MnT qovşağına sahib olmağa imkan verir və bununla da nasazlığa dözümlülük yaradır - Aktiv/Gözləmə rejimi. Bununla belə, qeydlər həm aktiv, həm də passiv hər iki qovşaq tərəfindən toplanır.
PxGrid Node (PXG) PxGrid protokolundan istifadə edən və PxGrid-i dəstəkləyən digər cihazlar arasında əlaqə yaratmağa imkan verən qovşaqdır.
— müxtəlif təchizatçıların İT və informasiya təhlükəsizliyi infrastrukturu məhsullarının inteqrasiyasını təmin edən protokol: monitorinq sistemləri, müdaxilənin aşkarlanması və qarşısının alınması sistemləri, təhlükəsizlik siyasətinin idarə edilməsi platformaları və bir çox başqa həllər. Cisco PxGrid sizə API-lərə ehtiyac olmadan konteksti bir və ya iki istiqamətli şəkildə bir çox platforma ilə paylaşmağa imkan verir və bununla da texnologiyanı aktivləşdirir. (SGT teqləri), ANC (Adaptive Network Control) siyasətini dəyişdirin və tətbiq edin, həmçinin profilləşdirməni həyata keçirin - cihaz modelini, ƏS-ni, yerini və s.
Yüksək əlçatanlıq konfiqurasiyasında PxGrid qovşaqları məlumatı PAN üzərindən qovşaqlar arasında təkrarlayır. PAN deaktiv edilərsə, PxGrid qovşağı istifadəçilər üçün autentifikasiyanı, avtorizasiyanı və uçotu dayandırır.
Aşağıda müxtəlif Cisco ISE qurumlarının korporativ şəbəkədə işinin sxematik təsviri verilmişdir.
Şəkil 1. Cisco ISE Architecture
3. Tələblər
Cisco ISE, əksər müasir həllər kimi, virtual və ya fiziki olaraq ayrıca server kimi həyata keçirilə bilər.
Cisco ISE proqram təminatı ilə işləyən fiziki qurğular SNS (Secure Network Server) adlanır. Onlar üç modeldə təqdim olunur: kiçik, orta və böyük biznes üçün SNS-3615, SNS-3655 və SNS-3695. Cədvəl 1-dən məlumatları göstərir SNS.
Cədvəl 1. Müxtəlif miqyaslar üçün SNS-nin müqayisə cədvəli
Parametr
SNS 3615 (Kiçik)
SNS 3655 (Orta)
SNS 3695 (Böyük)
Bağımsız quraşdırmada dəstəklənən son nöqtələrin sayı
10000
25000
50000
PSN üçün dəstəklənən son nöqtələrin sayı
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 nüvə
12 nüvə
12 nüvə
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Avadanlıq RAID
Heç bir
RAID 10, RAID nəzarətçisinin olması
RAID 10, RAID nəzarətçisinin olması
Şəbəkə interfeysləri
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Virtual tətbiqlərə gəldikdə, dəstəklənən hipervizorlar VMware ESXi (ESXi 11 üçün minimum VMware versiyası 6.0 tövsiyə olunur), Microsoft Hyper-V və Linux KVM (RHEL 7.0)-dır. Resurslar yuxarıdakı cədvəldəki ilə təxminən eyni və ya daha çox olmalıdır. Bununla belə, kiçik biznes virtual maşını üçün minimum tələblər bunlardır: 2 CPU 2.0 GHz və daha yüksək tezlikdə, 16 GB RAM и 200 GB HDD.
Digər Cisco ISE yerləşdirmə təfərrüatları üçün əlaqə saxlayın ya da , .
4. Quraşdırma
Əksər digər Cisco məhsulları kimi, ISE bir neçə yolla sınaqdan keçirilə bilər:
-
– əvvəlcədən quraşdırılmış laboratoriya planlarının bulud xidməti (Cisco hesabı tələb olunur);
-
-dən sorğu Müəyyən proqram təminatının Cisco (tərəfdaşlar üçün metod). Siz aşağıdakı tipik təsviri olan iş yaradırsınız: Məhsul növü [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— pulsuz pilot layihəni həyata keçirmək üçün hər hansı səlahiyyətli tərəfdaşla əlaqə saxlayın.
1) Virtual maşın yaratdıqdan sonra OVA şablonu deyil, ISO faylı tələb etmisinizsə, ISE-nin quraşdırma seçməyi tələb etdiyi pəncərə açılacaq. Bunun üçün loqin və parol əvəzinə “ yazmalısınız.quraşdırma“!
Qeyd: OVA şablonundan ISE yerləşdirmisinizsə, o zaman giriş təfərrüatları admin/MyIseYPass2 (bu və daha çox şey rəsmi sənəddə göstərilir ).
Şəkil 2. Cisco ISE-nin quraşdırılması
2) Sonra IP ünvanı, DNS, NTP və digərləri kimi tələb olunan sahələri doldurmalısınız.
Şəkil 3. Cisco ISE-nin işə salınması
3) Bundan sonra cihaz yenidən işə düşəcək və siz əvvəllər göstərilən IP ünvanından istifadə edərək veb interfeysi vasitəsilə qoşula biləcəksiniz.
Şəkil 4. Cisco ISE Veb interfeysi
4) Nişanda İdarəetmə > Sistem > Yerləşdirmə müəyyən bir cihazda hansı qovşaqların (obyektlərin) aktiv olduğunu seçə bilərsiniz. PxGrid nodu burada aktivləşdirilib.
Şəkil 5. Cisco ISE Entity Management
5) Sonra tabda İdarəetmə > Sistem > İdarəetmə Girişi > İdentifikasiyası Mən parol siyasətini, autentifikasiya metodunu (sertifikat və ya parol), hesabın son istifadə tarixini və digər parametrləri qurmağı tövsiyə edirəm.
Şəkil 6. Doğrulama növü parametriŞəkil 7. Parol siyasətinin parametrləriŞəkil 8. Vaxt bitdikdən sonra hesabın bağlanmasının qurulmasıŞəkil 9. Hesabın kilidlənməsinin qurulması
6) Nişanda İdarəetmə > Sistem > İdarəetmə Girişi > Administratorlar > İdarəçi İstifadəçilər > Əlavə et yeni administrator yarada bilərsiniz.
Şəkil 10. Yerli Cisco ISE Administratorunun yaradılması
7) Yeni idarəçi yeni qrupun və ya əvvəlcədən təyin edilmiş qrupların bir hissəsi ola bilər. İdarəçi qrupları tabdakı eyni paneldə idarə olunur Admin Qrupları. Cədvəl 2-də İMKB inzibatçıları, onların hüquqları və rolları haqqında məlumatlar ümumiləşdirilmişdir.
Cədvəl 2. Cisco ISE Administrator Qrupları, Giriş Səviyyələri, İcazələr və Məhdudiyyətlər
Administrator qrupunun adı
Permissions
Məhdudiyyətlər
Fərdiləşdirmə Admin
Qonaq və sponsorluq portallarının qurulması, idarəetmə və fərdiləşdirmə
Siyasətləri dəyişdirmək və ya hesabatlara baxmaq mümkün deyil
Kömək Masası Admini
Əsas tablosuna, bütün hesabatlara, larmlara və problemlərin aradan qaldırılması axınlarına baxmaq imkanı
Siz hesabatları, həyəcan siqnallarını və autentifikasiya qeydlərini dəyişə, yarada və ya silə bilməzsiniz
Identity Admin
İstifadəçilərin, imtiyazların və rolların idarə edilməsi, qeydlərə, hesabatlara və həyəcan siqnallarına baxmaq imkanı
Siz OS səviyyəsində siyasətləri dəyişdirə və ya tapşırıqları yerinə yetirə bilməzsiniz
MnT Admin
Tam monitorinq, hesabatlar, həyəcan siqnalları, qeydlər və onların idarə edilməsi
Hər hansı bir siyasəti dəyişdirə bilməmək
Şəbəkə Cihazı Admini
ISE obyektlərini yaratmaq və dəyişmək, qeydlərə, hesabatlara, əsas tablosuna baxmaq hüququ
Siz OS səviyyəsində siyasətləri dəyişdirə və ya tapşırıqları yerinə yetirə bilməzsiniz
Siyasət Admini
Bütün siyasətlərin tam idarə edilməsi, profillərin, parametrlərin dəyişdirilməsi, hesabatlara baxmaq
Etibarnamələr, ISE obyektləri ilə parametrləri yerinə yetirmək mümkün deyil
RBAC Admin
Əməliyyatlar tabındakı bütün parametrlər, ANC siyasət parametrləri, hesabat idarəetməsi
Siz ANC-dən başqa siyasətləri dəyişə və ya OS səviyyəsində tapşırıqları yerinə yetirə bilməzsiniz
Super Admin
Bütün parametrlər, hesabat və idarəetmə hüquqları administrator etimadnaməsini silə və dəyişə bilər
Dəyişmək mümkün deyil, Super Admin qrupundan başqa profili silin
Sistem administratoru
Əməliyyatlar sekmesindeki bütün parametrlər, sistem parametrlərini idarə etmək, ANC siyasəti, hesabatlara baxmaq
Siz ANC-dən başqa siyasətləri dəyişə və ya OS səviyyəsində tapşırıqları yerinə yetirə bilməzsiniz
Xarici RESTful Xidmətlər (ERS) Admin
Cisco ISE REST API-yə tam giriş
Yalnız avtorizasiya, yerli istifadəçilərin, hostların və təhlükəsizlik qruplarının idarə edilməsi üçün (SG)
Xarici RESTful Xidmətlər (ERS) Operatoru
Cisco ISE REST API Oxu İcazələri
Yalnız avtorizasiya, yerli istifadəçilərin, hostların və təhlükəsizlik qruplarının idarə edilməsi üçün (SG)
Şəkil 11. Əvvəlcədən təyin edilmiş Cisco ISE Administrator Qrupları
8) Nişanda isteğe bağlıdır Avtorizasiya > İcazələr > RBAC Siyasəti Əvvəlcədən təyin edilmiş idarəçilərin hüquqlarını redaktə edə bilərsiniz.
Şəkil 12. Cisco ISE Administrator Əvvəlcədən təyin edilmiş Profil Hüquqlarının İdarə Edilməsi
9) Nişanda İdarəetmə > Sistem > Parametrlər Bütün sistem parametrləri mövcuddur (DNS, NTP, SMTP və s.). Cihazın ilkin işə salınması zamanı onları qaçırmısınızsa, onları burada doldura bilərsiniz.
5. Nəticə
Bununla birinci məqalə yekunlaşır. Biz Cisco ISE NAC həllinin effektivliyini, onun arxitekturasını, minimum tələbləri və yerləşdirmə variantlarını və ilkin quraşdırmanı müzakirə etdik.
Növbəti məqalədə hesabların yaradılmasına, Microsoft Active Directory ilə inteqrasiyasına və qonaq girişinin yaradılmasına baxacağıq.
Bu mövzu ilə bağlı suallarınız varsa və ya məhsulu sınaqdan keçirmək üçün köməyə ehtiyacınız varsa, əlaqə saxlayın .
Yeniliklərdən xəbərdar olmaq üçün kanallarımızı izləyin (, , , , ).
Mənbə: www.habr.com