Cisco ISE: Въведение, изисквания, инсталация. Част 1

1. Въведение

Всяка компания, дори и най-малката, има нужда от удостоверяване, оторизация и потребителско отчитане (AAA семейство от протоколи). В началния етап AAA е доста добре реализиран с помощта на протоколи като RADIUS, TACACS+ и DIAMETER. Въпреки това, с нарастването на броя на потребителите и компанията, броят на задачите също нараства: максимална видимост на хостове и BYOD устройства, многофакторно удостоверяване, създаване на многостепенна политика за достъп и много други.

За такива задачи класът решения NAC (Network Access Control) е перфектен - контрол на достъпа до мрежата. В поредица от статии, посветени на Cisco ISE (Identity Services Engine) - NAC решение за предоставяне на контекстно-зависим контрол на достъпа на потребителите във вътрешната мрежа, ние ще разгледаме подробно архитектурата, осигуряването, конфигурацията и лицензирането на решението.

Нека накратко да ви напомня, че Cisco ISE ви позволява да:

• Бързо и лесно създаване на достъп за гости в специална WLAN;

• Откриване на BYOD устройства (например домашни компютри на служители, които те са донесли на работа);

• Централизирайте и наложете политики за сигурност между потребители на домейн и извън домейн, като използвате етикети на групи за сигурност на SGT TrustSec);

• Проверете компютрите за инсталиран определен софтуер и съответствие със стандартите (позиране);

• Класифициране и профилиране на крайни точки и мрежови устройства;

• Осигурете видимост на крайната точка;

• Изпращане на регистрационни файлове на събития за влизане/излизане на потребители, техните акаунти (идентификация) до NGFW, за да се формира политика, базирана на потребителя;

• Интегрирайте се нативно със Cisco StealthWatch и поставяйте под карантина подозрителни хостове, участващи в инциденти със сигурността (още);

• И други функции, стандартни за AAA сървъри.

Колеги от бранша вече са писали за Cisco ISE, така че ви съветвам да прочетете: Практика за внедряване на Cisco ISE, Как да се подготвим за внедряване на Cisco ISE.

2. архитектура

Архитектурата на Identity Services Engine има 4 обекта (възли): възел за управление (възел за администриране на правила), възел за разпространение на политики (възел за услуги за политика), възел за наблюдение (възел за наблюдение) и възел PxGrid (възел PxGrid). Cisco ISE може да бъде в самостоятелна или разпределена инсталация. В самостоятелната версия всички обекти са разположени на една виртуална машина или физически сървър (Secure Network Servers - SNS), докато в разпределената версия възлите са разпределени между различни устройства.

Възелът за администриране на правила (PAN) е задължителен възел, който ви позволява да извършвате всички административни операции на Cisco ISE. Той обработва всички системни конфигурации, свързани с AAA. В разпределена конфигурация (възлите могат да бъдат инсталирани като отделни виртуални машини) можете да имате максимум два PAN за устойчивост на грешки - режим Активен/В готовност.

Policy Service Node (PSN) е задължителен възел, който осигурява мрежов достъп, състояние, гост достъп, предоставяне на клиентска услуга и профилиране. PSN оценява политиката и я прилага. Обикновено се инсталират множество PSN, особено в разпределена конфигурация, за по-излишна и разпределена работа. Разбира се, те се опитват да инсталират тези възли в различни сегменти, за да не загубят способността да предоставят удостоверен и оторизиран достъп за секунда.

Възелът за наблюдение (MnT) е задължителен възел, който съхранява регистрационни файлове на събития, регистрационни файлове на други възли и политики в мрежата. MnT възелът предоставя разширени инструменти за наблюдение и отстраняване на неизправности, събира и корелира различни данни, а също така предоставя значими отчети. Cisco ISE ви позволява да имате максимум два MnT възела, като по този начин създавате толерантност към грешки - режим Активен/В готовност. Въпреки това регистрационните файлове се събират и от двата възела, активни и пасивни.

PxGrid Node (PXG) е възел, който използва протокола PxGrid и позволява комуникация между други устройства, които поддържат PxGrid.

PxGrid  — протокол, който осигурява интегрирането на инфраструктурни продукти за ИТ и информационна сигурност от различни доставчици: системи за наблюдение, системи за откриване и предотвратяване на проникване, платформи за управление на политики за сигурност и много други решения. Cisco PxGrid ви позволява да споделяте контекст по еднопосочен или двупосочен начин с много платформи без необходимост от API, като по този начин позволява технологията TrustSec (SGT тагове), променят и прилагат ANC (Adaptive Network Control) политика, както и извършват профилиране – определяне на модела на устройството, ОС, местоположение и др.

В конфигурация с висока достъпност PxGrid възлите репликират информация между възлите през PAN. Ако PAN е деактивиран, възелът PxGrid спира да удостоверява, упълномощава и отчита потребителите. 

По-долу е схематично представяне на работата на различни Cisco ISE обекти в корпоративна мрежа.

Фигура 1. Cisco ISE архитектура

3. Изисквания

Cisco ISE може да се внедри, както повечето съвременни решения, виртуално или физически като отделен сървър. 

Физическите устройства, работещи със софтуер Cisco ISE, се наричат ​​SNS (Secure Network Server). Предлагат се в три модела: SNS-3615, SNS-3655 и SNS-3695 за малки, средни и големи предприятия. Таблица 1 показва информация от лист с данни SNS.

Таблица 1. Сравнителна таблица на SNS за различни скали

Параметър

SNS 3615 (малък)

SNS 3655 (среден)

SNS 3695 (голям)

Брой поддържани крайни точки в самостоятелна инсталация

10000

25000

50000

Брой поддържани крайни точки на PSN

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 ядра

12 ядра

12 ядра

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

Хардуер RAID

Не

RAID 10, наличие на RAID контролер

RAID 10, наличие на RAID контролер

Мрежови интерфейси

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Що се отнася до виртуалните реализации, поддържаните хипервайзори са VMware ESXi (препоръчва се минимум VMware версия 11 за ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсите трябва да са приблизително същите като в таблицата по-горе или повече. Минималните изисквания за виртуална машина за малък бизнес обаче са: 2 CPU с честота от 2.0 GHz и по-висока, 16 GB RAM и 200 GB HDD. 

За други подробности за внедряването на Cisco ISE, моля, свържете се с към нас или да ресурс #1, ресурс #2.

4. Монтаж

Както повечето други продукти на Cisco, ISE може да бъде тестван по няколко начина:

• dcloud – облачна услуга на предварително инсталирани лабораторни оформления (необходим е Cisco акаунт);

• GVE заявка – искане от сайта Cisco на определен софтуер (метод за партньори). Създавате случай със следното типично описание: Тип продукт [ISE], ISE софтуер [ise-2.7.0.356.SPA.x8664], корекция на ISE [ise-patchbundle-2.7.0.356-patch2-20071516.SPA.x8664];

• пилотен проект — свържете се с всеки оторизиран партньор за провеждане на безплатен пилотен проект.

1) След създаване на виртуална машина, ако сте поискали ISO файл, а не OVA шаблон, ще се появи прозорец, в който ISE изисква да изберете инсталация. За да направите това, вместо вашето потребителско име и парола, трябва да напишете „структура"!

Забележка: ако сте внедрили ISE от OVA шаблон, тогава данните за вход администратор/MyIseYPass2 (това и много повече е посочено в официалния ръководство).

Фигура 2. Инсталиране на Cisco ISE

2) След това трябва да попълните задължителните полета като IP адрес, DNS, NTP и други.

Фигура 3. Инициализиране на Cisco ISE

3) След това устройството ще се рестартира и ще можете да се свържете чрез уеб интерфейса, като използвате посочения по-рано IP адрес.

Фигура 4. Уеб интерфейс Cisco ISE

4) В табл Администриране > Система > Внедряване можете да изберете кои възли (обекти) са активирани на конкретно устройство. Възелът PxGrid е активиран тук.

Фигура 5. Cisco ISE Entity Management

5) След това в табл Администриране > Система > Администраторски достъп > заверка Препоръчвам да настроите политика за парола, метод за удостоверяване (сертификат или парола), дата на изтичане на акаунта и други настройки.

Фигура 6. Настройка на типа удостоверяванеФигура 7. Настройки на правилата за паролаФигура 8. Настройка на изключване на акаунт след изтичане на времетоФигура 9. Настройка на заключване на акаунт

6) В табл Администриране > Система > Администраторски достъп > Администратори > Административни потребители > Добавяне можете да създадете нов администратор.

Фигура 10. Създаване на локален Cisco ISE администратор

7) Новият администратор може да стане част от нова група или вече дефинирани групи. Администраторските групи се управляват в същия панел в раздела Административни групи. Таблица 2 обобщава информацията за администраторите на ISE, техните права и роли.

Таблица 2. Cisco ISE администраторски групи, нива на достъп, разрешения и ограничения

Име на група администратори

разрешение

Ограничения

Администратор за персонализиране

Създаване на портали за гости и спонсорство, администриране и персонализиране

Невъзможност за промяна на политики или преглед на отчети

Администратор на бюрото за помощ

Възможност за преглед на главното табло за управление, всички отчети, сигнали за тревога и потоци за отстраняване на неизправности

Не можете да променяте, създавате или изтривате отчети, аларми и регистрационни файлове за удостоверяване

Администратор на самоличността

Управление на потребители, привилегии и роли, възможност за преглед на регистрационни файлове, отчети и аларми

Не можете да променяте политики или да изпълнявате задачи на ниво ОС

Администратор на MnT

Пълен мониторинг, отчети, аларми, логове и тяхното управление

Невъзможност за промяна на политики

Администратор на мрежово устройство

Права за създаване и промяна на ISE обекти, преглед на регистрационни файлове, отчети, главно табло

Не можете да променяте политики или да изпълнявате задачи на ниво ОС

Администратор на правилата

Пълно управление на всички политики, промяна на профили, настройки, преглед на отчети

Невъзможност за извършване на настройки с идентификационни данни, ISE обекти

RBAC Администратор

Всички настройки в раздела Операции, настройки на правилата на ANC, управление на отчетите

Не можете да променяте политики, различни от ANC, или да изпълнявате задачи на ниво ОС

суперадминистраторски

Права за всички настройки, отчитане и управление, може да изтрива и променя администраторските идентификационни данни

Не може да се промени, изтрийте друг профил от групата Super Admin

Системен администратор

Всички настройки в раздела Операции, управление на системните настройки, правила за ANC, преглед на отчети

Не можете да променяте политики, различни от ANC, или да изпълнявате задачи на ниво ОС

Администриране на външни RESTful услуги (ERS).

Пълен достъп до Cisco ISE REST API

Само за оторизация, управление на локални потребители, хостове и групи за сигурност (SG)

Външен оператор на RESTful услуги (ERS).

Cisco ISE REST API разрешения за четене

Само за оторизация, управление на локални потребители, хостове и групи за сигурност (SG)

Фигура 11. Предварително дефинирани Cisco ISE администраторски групи

8) По избор в раздела Упълномощаване > Разрешения > Правила за RBAC Можете да редактирате правата на предварително зададени администратори.

Фигура 12. Управление на правата на предварително зададен профил на Cisco ISE Administrator

9) В табл Администриране > Система > Настройки Налични са всички системни настройки (DNS, NTP, SMTP и други). Можете да ги попълните тук, ако сте ги пропуснали по време на първоначалната инициализация на устройството.

5. заключение

Това завършва първата статия. Обсъдихме ефективността на решението Cisco ISE NAC, неговата архитектура, минимални изисквания и опции за внедряване и първоначална инсталация.

В следващата статия ще разгледаме създаването на акаунти, интегрирането с Microsoft Active Directory и създаването на достъп за гости.

Ако имате въпроси по тази тема или се нуждаете от помощ при тестване на продукта, моля, свържете се с връзка.

Очаквайте актуализации в нашите канали (Telegram, Facebook, VK, Блог за TS Solution, Yandex Zen).

Източник: www.habr.com