Cisco ISE: Увядзенне, патрабаванні, ўстаноўка. Частка 1
1. ўвядзенне
У кожнай кампаніі, нават самай малой ёсць патрэба ў правядзенні аўтэнтыфікацыі, аўтарызацыі і ўліку карыстальнікаў (сямейства пратаколаў ААА). На пачатковым этапе ААА суцэль сабе добра рэалізуецца з выкарыстаннем такіх пратаколаў, як RADIUS, TACACS+ і DIAMETER. Аднак з ростам колькасці карыстальнікаў і кампаніі, расце і колькасць задач: максімальная бачнасць хастоў і BYOD прылад, шматфактарная аўтэнтыфікацыя, стварэнне шматузроўневай палітыкі доступу і многае іншае.
Для такіх задач выдатна падыходзіць клас рашэнняў NAC (Network Access Control) – кантроль сеткавага доступу. У цыкле артыкулаў, прысвечанаму Cisco ISE (Identity Services Engine) — NAC рашэнню для прадастаўлення кантролю доступу карыстальнікам да ўнутранай сеткі з улікам кантэксту, мы падрабязна разгледзім архітэктуру, ініцыялізацыю, настройку і ліцэнзаванне рашэння.
Коратка нагадаю, што Cisco ISE дазваляе:
Хутка і проста ствараць гасцявы доступ у выдзеленай WLAN;
Выяўляць BYOD прылады (напрыклад, хатнія ПК супрацоўнікаў, якія яны прынеслі на працу);
Цэнтралізаваць і прымяняць палітыкі бяспекі да даменных і не даменных карыстальнікаў з дапамогай пазнак груп бяспекі SGT (тэхналогія TrustSec);
Правяраць кампутары на наяўнасць усталяванага вызначанага ПЗ і захаванне стандартаў (posturing);
класіфікаваць і прафіляваць канцавыя і сеткавыя прылады;
Даваць бачнасць канцавых прылад;
Аддаваць часопісы падзей logon/logoff карыстальнікаў, іх улікі (identity) на NGFW для фармавання user-based палітыкі;
Натыўна інтэгравацца з Cisco StealthWatch і ўносіць у каранцін падазроныя хасты, якія ўдзельнічаюць у інцыдэнтах бяспекі (больш падрабязна);
У архітэктуры Identity Services Engine ёсць 4 сутнасці (ноды): нода кіравання (Policy Administration Node), нода размеркавання палітык (Policy Service Node), маніторынгавая нода (Monitoring Node) і PxGrid нода (PxGrid Node). Сisco ISE можа быць у аўтаномнай (standalone) або размеркаванай (distributed) усталёўкі. У Standalone варыянце ўсе сутнасці знаходзяцца на адной віртуальнай машыне або фізічным серверы (Secure Network Servers – SNS), калі ў Distributed – ноды размеркаваны па розных прыладах.
Policy Administration Node (PAN) – абавязковая нода, якая дазваляе выконваць усе адміністрацыйныя аперацыі на Cisco ISE. Яна апрацоўвае ўсе сістэмныя канфігурацыі, звязаныя з ААА. У размеркаванай канфігурацыі (ноды можна ўсталёўваць як асобныя віртуальныя машыны) у вас можа быць максімум дзве PAN для адмоваўстойлівасці - Active/Standby рэжым.
Policy Service Node (PSN) - абавязковая нода, якая забяспечвае доступ да сеткі, стан, гасцявы доступ, прадастаўленне паслуг кліентам і прафіляванне. PSN ацэньвае палітыку і прымяняе яе. Як правіла, PSN усталёўваецца некалькі, асабліва ў размеркаванай канфігурацыі, для больш залішняй і размеркаванай працы. Вядома ж, гэтыя ноды імкнуцца ўсталёўваць у розных сегментах, каб не губляць магчымасці забеспячэння аўтэнтыфікаванага і аўтарызаванага доступу ні на секунду.
Monitoring Node (MnT) - абавязковая нода, якая захоўвае часопісы падзей, логі іншых нод і палітык у сетцы. MnT нода дае пашыраныя прылады для маніторынгу і ліквідацыі непаладак, збірае і супастаўляе розныя дадзеныя, у таксама дае змястоўныя справаздачы. Cisco ISE дазваляе мець максімум дзве MnT ноды, тым самым фармуючы адмоваўстойлівасць – Active / Standby рэжым. Тым не менш, логі збіраюць абедзве ноды, як актыўная, так і пасіўная.
PxGrid Node (PXG) - нода, якая ўжывае пратакол PxGrid і забяспечвае зносіны паміж іншымі прыладамі, якія падтрымліваюць PxGrid.
PxGrid - пратакол, які забяспечвае інтэграцыю прадуктаў ІТ-і ИБ-інфраструктуры розных вендараў: сістэм маніторынгу, сістэм выяўлення і прадухілення ўварванняў, платформаў кіравання палітыкамі бяспекі і мноства іншых рашэнняў. Cisco PxGrid дазваляе абменьвацца кантэкстам у аднанакіраваным або двунакіраваным рэжыме са шматлікімі платформамі без неабходнасці выкарыстання API, тым самым дазваляючы выкарыстоўваць тэхналогію TrustSec (SGT пазнакі), змяняць і прымяняць ANC (Adaptive Network Control) палітыку, а таксама ажыццяўляць прафіляванне – вызначэнне мадэлі прылады, АС, месцазнаходжанне і іншае.
У канфігурацыі высокай даступнасці ноды PxGrid рэплікуюць інфармацыю паміж нодамі праз PAN. У выпадку, калі PAN адключаецца, нода PxGrid перастае аўтэнтыфікаваць, аўтарызоўваць і праводзіць улік карыстальнікаў.
Ніжэй схематычна намалявана праца розных сутнасцяў Cisco ISE у карпаратыўнай сетцы.
Малюнак 1. Архітэктура Cisco ISE
3. Патрабаванні
Cisco ISE можа быць укаранёны, як і большасць сучасных рашэнняў віртуальна ці фізічна як асобны сервер.
Фізічныя прылады з усталяваным ПЗ Cisco ISE называюцца SNS (Secure Network Server). Яны бываюць трох мадэляў: SNS-3615, SNS-3655 і SNS-3695 для малога, сярэдняга і вялікага бізнэсу. У табліцы 1 прыведзена інфармацыя з даташыта SNS.
Табліца 1. Параўнальная табліца SNS для розных маштабаў
Параметр
SNS 3615 (Small)
SNS 3655 (Medium)
SNS 3695 (Large)
Колькасць падтрымоўваных канцавых прылад у Standalone усталёўкі
10000
25000
50000
Колькасць падтрымліваемых канцавых прылад для кожнай PSN
10000
25000
100000
CPU (Intel Xeon 2.10 Ггц)
8 ядраў
12 ядраў
12 ядраў
RAM
32 Гб (2 x 16 Гб)
96 Гб (6 x 16 Гб)
256 Гб (16 x 16 Гб)
Жорсткі дыск
1 х 600 Гб
4 х 600 Гб
8 х 600 Гб
Абсталяванне RAID
Няма
RAID 10, наяўнасць RAID кантролера
RAID 10, наяўнасць RAID кантролера
сеткавыя інтэрфейсы
2 х 10Gbase-T
4 х 1Gbase-T
2 х 10Gbase-T
4 х 1Gbase-T
2 х 10Gbase-T
4 х 1Gbase-T
Датычна віртуальных укараненняў, падтрымліваюцца гіпервізары VMware ESXi (рэкамендуецца мінімум VMware версія 11 для ESXi 6.0), Microsoft Hyper-V і Linux KVM (RHEL 7.0). Рэсурсы павінны быць прыкладна такія ж, як і ў табліцы вышэй, альбо больш. Тым не менш, мінімальныя патрабаванні віртуальнай машыны для малога бізнэсу: 2 CPU з частатой 2.0 Ггц і вышэй, 16 Гб RAM и 200 ГбЖорсткі дыск.
Для ўдакладнення астатніх дэталяў разгортвання Cisco ISE звернецеся да нам або да рэсурсу №1, рэсурсу №2.
4. Устаноўка
Як і большасць іншых прадуктаў Cisco, ISE можна пратэставаць некалькімі спосабамі:
GVE request – запыт з сайта Cisco вызначанага софту (спосаб для партнёраў). Вы ствараеце кейс з наступным тыповым апісаннем: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664 г.];
пілотны праект - Звярніцеся да любога аўтарызаванага партнёру для правядзення бясплатнага пілотнага праекта.
1) Стварыўшы віртуальную машыну, калі вы запыталі ISO файл, а не OVA шаблон, у вас вылезе акно, у якой ISE патрабуе абраць усталёўку. Для гэтага замест лагіна і пароля варта напісаць.ўстаноўка«!
Заўвага: калі вы разгарнулі ISE з OVA шаблону, то дадзеныя для ўваходу admin / MyIseYPass2 (гэта і многае іншае пазначана ў афіцыйным гайдэ).
Малюнак 2. Устаноўка Cisco ISE
2) Затым трэба запоўніць неабходныя палі, такія як IP-адрас, DNS, NTP і іншыя.
Малюнак 3. Ініцыялізацыя Cisco ISE
3) Пасля прылада перазагрузіцца, і вы зможаце падлучыцца па вэб-інтэрфейсе па зададзеным раней IP-адрасу.
Малюнак 4. Вэб-інтэрфейс Cisco ISE
4) Ва ўкладцы Administration > System > Deployment можна абраць, якія ноды (сутнасці) уключаны на той ці іншай прыладзе. Нода PxGrid уключаецца тутака ж.
Малюнак 5. Кіраванне сутнасцямі Cisco ISE
5) Затым ва ўкладцы Administration > System > Admin Access >Ідэнтыфікацыя рэкамендую наладзіць палітыку пароляў, метад аўтэнтыфікацыі (сертыфікат або пароль), тэрмін заканчэння ўліковага запісу і іншыя наладкі.
Малюнак 6. Настройка тыпу аўтэнтыфікацыіМалюнак 7. Налады палітыкі пароляўМалюнак 8. Настройка выключэння акаўнта па заканчэнні часуМалюнак 9. Настройка блакіроўкі уліковых запісаў
6) Ва ўкладцы Administration > System > Admin Access > Administrators > Admin Users > Add можна стварыць новага адміністратара.
Малюнак 10. Стварэнне лакальнага адміністратара Cisco ISE
7) Новага адміністратара можна зрабіць часткай новай групы або ўжо прадусталяваных груп. Кіравання групамі адміністратараў ажыццяўляецца ў гэтай жа панэлі ва ўкладцы Admin Groups. У табліцы 2 зведзена інфармацыя аб адміністратарах ISE, іх правах і ролях.
Табліца 2. Групы адміністратараў Cisco ISE, узроўні доступу, дазволы і абмежаванні
Назва групы адміністратараў
Дазволу
Абмежаванні
Customization Admin
Настройка гасцявога, спонсарскага парталаў, адміністраванне і кастамізацыя
Магчымасць праглядаць галоўны дашборд, усе справаздачы, лармы і блукаць патокі
Нельга змяняць, ствараць і выдаляць справаздачы, алармы і логі аўтэнтыфікацыі
Identity Admin
Кіраванне карыстальнікамі, прывілеямі і ролямі, магчымасць глядзець логі, справаздачы і алармы
Нельга змяняць палітыкі, выконваць задачы на ўзроўні АС
MnT Admin
Поўны маніторынг, справаздачы, алармы, логі і кіраванне імі
Немагчымасць змяняць ніякія палітыкі
Network Device Admin
Правы на стварэнне, змена аб'ектаў ISE, прагляд логаў, справаздач, галоўнага дашборда
Нельга змяняць палітыкі, выконваць задачы на ўзроўні АС
Policy Admin
Поўнае кіраванне ўсімі палітыкамі, змена профіляў, налад, прагляд справаздачнасці
Немагчымасць выконваць наладкі з уліковымі дадзенымі, аб'ектамі ISE
RBAC Admin
Усе налады ва ўкладцы Operations, настройка ANC палітыкі, кіраванне справаздачнасцю
Нельга змяняць іншыя, акрамя ANC палітыкі, выконваць задачы на ўзроўні АС
Супер Адміністратара
Правы на ўсе наладкі, справаздачнасць і кіраванне, можа выдаляць і змяняць уліковыя дадзеныя адміністратараў
Не можа змяніць, выдаліць іншага профіля з групы Super Admin
сістэмны адміністратар
Нд налады ва ўкладцы Operations, кіраванне сістэмнымі наладамі, палітыкай ANC, прагляд справаздачнасці
Нельга змяняць іншыя, акрамя ANC палітыкі, выконваць задачы на ўзроўні АС
External RESTful Services (ERS) Admin
Поўны доступ да REST API Cisco ISE
Толькі для аўтарызацыі, кіравання лакальнымі карыстальнікамі, хастамі і групамі бяспекі (SG)
External RESTful Services (ERS) Operator
Правы на чытанне REST API Cisco ISE
Толькі для аўтарызацыі, кіравання лакальнымі карыстальнікамі, хастамі і групамі бяспекі (SG)
Малюнак 11. Прадусталяваныя групы адміністратараў Cisco ISE
8) Дадаткова ва ўкладцы Authorization > Permissions > RBAC Policy можна рэдагаваць правы прадусталяваных адміністратараў.
Малюнак 12. Кіраванне правамі прадусталяваных профіляў адміністратараў Cisco ISE
9) Ва ўкладцы Administration > System > Settingsдаступныя ўсе сістэмныя наладкі (DNS, NTP, SMTP і іншыя). Вы можаце іх запоўніць тут, калі прапусцілі пры першапачатковай ініцыялізацыі прылады.
5. заключэнне
На гэтым першы артыкул падышоў да канца. Мы абмеркавалі эфектыўнасць NAC рашэння Cisco ISE, яго архітэктуру, мінімальныя патрабаванні і варыянты разгортвання, а таксама першасную ўстаноўку.
У наступным артыкуле мы разгледзім стварэнне уліковых запісаў, інтэграцыю з Microsoft Active Directory, а таксама стварэнне гасцявога доступу.
Калі ў вас з'явіліся пытанні па дадзенай тэматыцы ці ж патрабуецца дапамога ў тэставанні прадукта, звяртайцеся па спасылцы.