সিসকো আইএসই: ভূমিকা, প্রয়োজনীয়তা, ইনস্টলেশন। অংশ 1

1। ভূমিকা

প্রতিটি কোম্পানি, এমনকি ক্ষুদ্রতম একটি, প্রমাণীকরণ, অনুমোদন এবং ব্যবহারকারী অ্যাকাউন্টিং (প্রটোকলের AAA পরিবার) প্রয়োজন। প্রাথমিক পর্যায়ে, RADIUS, TACACS+ এবং DIAMETER-এর মতো প্রোটোকল ব্যবহার করে AAA বেশ ভালভাবে প্রয়োগ করা হয়েছে। যাইহোক, ব্যবহারকারী এবং কোম্পানির সংখ্যা বাড়ার সাথে সাথে কাজের সংখ্যাও বৃদ্ধি পায়: হোস্ট এবং BYOD ডিভাইসের সর্বাধিক দৃশ্যমানতা, মাল্টি-ফ্যাক্টর প্রমাণীকরণ, একটি মাল্টি-লেভেল অ্যাক্সেস নীতি তৈরি করা এবং আরও অনেক কিছু।

এই ধরনের কাজের জন্য, NAC (নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল) সমাধানের ক্লাসটি নিখুঁত - নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ। নিবেদিত নিবন্ধের একটি সিরিজ সিসকো আইএসই (পরিচয় পরিষেবা ইঞ্জিন) - অভ্যন্তরীণ নেটওয়ার্কে ব্যবহারকারীদের প্রসঙ্গ-সচেতন অ্যাক্সেস নিয়ন্ত্রণ প্রদানের জন্য NAC সমাধান, আমরা সমাধানটির আর্কিটেকচার, প্রভিশনিং, কনফিগারেশন এবং লাইসেন্সিং এর উপর বিস্তারিত নজর দেব।

আমি আপনাকে সংক্ষেপে মনে করিয়ে দিই যে সিস্কো আইএসই আপনাকে অনুমতি দেয়:

• একটি ডেডিকেটেড WLAN-এ দ্রুত এবং সহজে গেস্ট অ্যাক্সেস তৈরি করুন;

• BYOD ডিভাইস সনাক্ত করুন (উদাহরণস্বরূপ, কর্মচারীদের হোম পিসি যা তারা কাজ করতে নিয়ে এসেছে);

• SGT সিকিউরিটি গ্রুপ লেবেল ব্যবহার করে ডোমেন এবং নন-ডোমেন ব্যবহারকারীদের মধ্যে নিরাপত্তা নীতি কেন্দ্রীভূত এবং প্রয়োগ করুন ট্রাস্টসেক);

• কিছু নির্দিষ্ট সফ্টওয়্যার ইনস্টল করা এবং মানগুলির সাথে সম্মতির জন্য কম্পিউটারগুলি পরীক্ষা করুন (ভঙ্গিমাকরণ);

• শ্রেণীবদ্ধ করুন এবং প্রোফাইল এন্ডপয়েন্ট এবং নেটওয়ার্ক ডিভাইস;

• শেষ বিন্দু দৃশ্যমানতা প্রদান;

• ব্যবহারকারী-ভিত্তিক নীতি তৈরি করতে NGFW-তে ব্যবহারকারীদের লগন/লগঅফের ইভেন্ট লগ, তাদের অ্যাকাউন্ট (পরিচয়) পাঠান;

• সিসকো স্টিলথওয়াচের সাথে স্থানীয়ভাবে সংহত করুন এবং নিরাপত্তার ঘটনায় জড়িত সন্দেহজনক হোস্টদের কোয়ারেন্টাইন করুন (আরো তথ্য);

• এবং অন্যান্য বৈশিষ্ট্য AAA সার্ভারের জন্য আদর্শ।

শিল্পের সহকর্মীরা ইতিমধ্যে সিস্কো আইএসই সম্পর্কে লিখেছেন, তাই আমি আপনাকে পড়ার পরামর্শ দিচ্ছি: সিসকো আইএসই বাস্তবায়ন অনুশীলন, সিসকো আইএসই বাস্তবায়নের জন্য কীভাবে প্রস্তুত করবেন.

2। স্থাপত্য

আইডেন্টিটি সার্ভিস ইঞ্জিন আর্কিটেকচারে 4টি সত্তা (নোড) রয়েছে: একটি ম্যানেজমেন্ট নোড (পলিসি অ্যাডমিনিস্ট্রেশন নোড), একটি পলিসি ডিস্ট্রিবিউশন নোড (পলিসি সার্ভিস নোড), একটি মনিটরিং নোড (মনিটরিং নোড) এবং একটি PxGrid নোড (PxGrid নোড)। Cisco ISE একটি স্বতন্ত্র বা বিতরণকৃত ইনস্টলেশন হতে পারে। স্বতন্ত্র সংস্করণে, সমস্ত সত্তা একটি ভার্চুয়াল মেশিন বা ফিজিক্যাল সার্ভারে অবস্থিত (সিকিউর নেটওয়ার্ক সার্ভার - এসএনএস), যখন বিতরণ করা সংস্করণে, নোডগুলি বিভিন্ন ডিভাইসে বিতরণ করা হয়।

পলিসি অ্যাডমিনিস্ট্রেশন নোড (PAN) হল একটি প্রয়োজনীয় নোড যা আপনাকে Cisco ISE-তে সমস্ত প্রশাসনিক ক্রিয়াকলাপ সম্পাদন করতে দেয়। এটি AAA সম্পর্কিত সমস্ত সিস্টেম কনফিগারেশন পরিচালনা করে। একটি বিতরণকৃত কনফিগারেশনে (নোডগুলিকে আলাদা ভার্চুয়াল মেশিন হিসাবে ইনস্টল করা যেতে পারে), আপনি ত্রুটি সহনশীলতার জন্য সর্বাধিক দুটি প্যান রাখতে পারেন - সক্রিয়/স্ট্যান্ডবাই মোড।

পলিসি সার্ভিস নোড (PSN) হল একটি বাধ্যতামূলক নোড যা নেটওয়ার্ক অ্যাক্সেস, স্টেট, গেস্ট এক্সেস, ক্লায়েন্ট সার্ভিস প্রভিশনিং এবং প্রোফাইলিং প্রদান করে। PSN নীতি মূল্যায়ন করে এবং এটি প্রয়োগ করে৷ সাধারণত, একাধিক PSN ইনস্টল করা হয়, বিশেষ করে একটি বিতরণকৃত কনফিগারেশনে, আরও অপ্রয়োজনীয় এবং বিতরণ করা অপারেশনের জন্য। অবশ্যই, তারা এই নোডগুলি বিভিন্ন বিভাগে ইনস্টল করার চেষ্টা করে যাতে এক সেকেন্ডের জন্য প্রমাণীকৃত এবং অনুমোদিত অ্যাক্সেস প্রদানের ক্ষমতা হারাতে না পারে।

মনিটরিং নোড (MnT) হল একটি বাধ্যতামূলক নোড যা ইভেন্ট লগ, অন্যান্য নোডের লগ এবং নেটওয়ার্কে নীতি সংরক্ষণ করে। MnT নোড নিরীক্ষণ এবং সমস্যা সমাধানের জন্য উন্নত সরঞ্জাম সরবরাহ করে, বিভিন্ন ডেটা সংগ্রহ করে এবং সম্পর্কযুক্ত করে এবং অর্থপূর্ণ প্রতিবেদনও সরবরাহ করে। Cisco ISE আপনাকে সর্বাধিক দুটি MnT নোডের অনুমতি দেয়, যার ফলে ত্রুটি সহনশীলতা তৈরি হয় - সক্রিয়/স্ট্যান্ডবাই মোড। যাইহোক, লগগুলি সক্রিয় এবং প্যাসিভ উভয় নোড দ্বারা সংগ্রহ করা হয়।

PxGrid Node (PXG) হল একটি নোড যা PxGrid প্রোটোকল ব্যবহার করে এবং PxGrid সমর্থন করে এমন অন্যান্য ডিভাইসের মধ্যে যোগাযোগের অনুমতি দেয়।

PxGrid  — একটি প্রোটোকল যা বিভিন্ন বিক্রেতাদের কাছ থেকে আইটি এবং তথ্য সুরক্ষা অবকাঠামো পণ্যগুলির একীকরণ নিশ্চিত করে: পর্যবেক্ষণ সিস্টেম, অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা, নিরাপত্তা নীতি ব্যবস্থাপনা প্ল্যাটফর্ম এবং অন্যান্য অনেক সমাধান। Cisco PxGrid আপনাকে API-এর প্রয়োজন ছাড়াই বহু প্ল্যাটফর্মের সাথে একমুখী বা দ্বিমুখী পদ্ধতিতে প্রসঙ্গ শেয়ার করতে দেয়, যার ফলে প্রযুক্তি সক্ষম হয় ট্রাস্টসেক (SGT ট্যাগ), ANC (অ্যাডাপ্টিভ নেটওয়ার্ক কন্ট্রোল) নীতি পরিবর্তন করুন এবং প্রয়োগ করুন, সেইসাথে প্রোফাইলিং সঞ্চালন করুন - ডিভাইসের মডেল, OS, অবস্থান এবং আরও অনেক কিছু নির্ধারণ করুন।

একটি উচ্চ প্রাপ্যতা কনফিগারেশনে, PxGrid নোডগুলি একটি PAN এর উপর নোডগুলির মধ্যে তথ্য প্রতিলিপি করে৷ PAN অক্ষম করা থাকলে, PxGrid নোড ব্যবহারকারীদের জন্য প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং বন্ধ করে দেয়। 

নীচে একটি কর্পোরেট নেটওয়ার্কে বিভিন্ন Cisco ISE সত্তার অপারেশনের একটি পরিকল্পিত উপস্থাপনা রয়েছে৷

চিত্র 1. সিসকো আইএসই আর্কিটেকচার

3। প্রয়োজনীয়তা

সিসকো আইএসই বাস্তবায়িত হতে পারে, বেশিরভাগ আধুনিক সমাধানের মতো, কার্যত বা শারীরিকভাবে একটি পৃথক সার্ভার হিসাবে। 

সিস্কো আইএসই সফ্টওয়্যার চালিত ভৌত ডিভাইসগুলিকে এসএনএস (সিকিউর নেটওয়ার্ক সার্ভার) বলা হয়। তারা তিনটি মডেলে আসে: SNS-3615, SNS-3655 এবং SNS-3695 ছোট, মাঝারি এবং বড় ব্যবসার জন্য। সারণী 1 থেকে তথ্য দেখায় তথ্য তালিকা এসএনএস

সারণি 1. বিভিন্ন স্কেলের জন্য SNS এর তুলনা সারণি

স্থিতিমাপ

SNS 3615 (ছোট)

SNS 3655 (মাঝারি)

SNS 3695 (বড়)

একটি স্বতন্ত্র ইনস্টলেশনে সমর্থিত শেষ পয়েন্টের সংখ্যা

10000

25000

50000

পিএসএন প্রতি সমর্থিত শেষ পয়েন্টের সংখ্যা

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 কোর

12 কোর

12 কোর

র্যাম 

32 জিবি (2 x 16 জিবি)

96 জিবি (6 x 16 জিবি)

256 জিবি (16 x 16 জিবি)

HDD এর

1 x 600 GB

4 x 600 GB

8 x 600 GB

হার্ডওয়্যার RAID

না

RAID 10, RAID কন্ট্রোলারের উপস্থিতি

RAID 10, RAID কন্ট্রোলারের উপস্থিতি

নেটওয়ার্ক ইন্টারফেস

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

ভার্চুয়াল বাস্তবায়নের ক্ষেত্রে, সমর্থিত হাইপারভাইজারগুলি হল VMware ESXi (ESXi 11 এর জন্য সর্বনিম্ন VMware সংস্করণ 6.0 সুপারিশ করা হয়), Microsoft Hyper-V এবং Linux KVM (RHEL 7.0)। সম্পদগুলি উপরের টেবিলের মতো প্রায় একই বা তার বেশি হওয়া উচিত। যাইহোক, একটি ছোট ব্যবসা ভার্চুয়াল মেশিনের জন্য ন্যূনতম প্রয়োজনীয়তাগুলি হল: 2 CPU 2.0 GHz এবং উচ্চতর ফ্রিকোয়েন্সি সহ, 16 জিবি র‍্যাম и 200 গিগাবাইট এইচডিডি। 

অন্যান্য Cisco ISE স্থাপনার বিবরণের জন্য, অনুগ্রহ করে যোগাযোগ করুন আমাদের কাছে অথবা সম্পদ #1, সম্পদ #2.

4. ইনস্টলেশন

অন্যান্য সিস্কো পণ্যের মতো, ISE বিভিন্ন উপায়ে পরীক্ষা করা যেতে পারে:

• ডিক্লাউড - প্রাক-ইনস্টল করা ল্যাবরেটরি লেআউটের ক্লাউড পরিষেবা (সিসকো অ্যাকাউন্ট প্রয়োজন);

• GVE অনুরোধ - অনুরোধক্রমে সাইট নির্দিষ্ট সফ্টওয়্যারের সিসকো (অংশীদারদের জন্য পদ্ধতি)। আপনি নিম্নলিখিত সাধারণ বিবরণ সহ একটি কেস তৈরি করেন: পণ্যের ধরন [ISE], ISE সফ্টওয়্যার [ise-2.7.0.356.SPA.x8664], ISE প্যাচ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• পাইলট প্রকল্প - একটি বিনামূল্যে পাইলট প্রকল্প পরিচালনা করার জন্য কোনো অনুমোদিত অংশীদারের সাথে যোগাযোগ করুন।

1) একটি ভার্চুয়াল মেশিন তৈরি করার পরে, আপনি যদি একটি OVA টেমপ্লেট না করে একটি ISO ফাইলের অনুরোধ করেন, তাহলে একটি উইন্ডো পপ আপ হবে যেখানে ISE আপনাকে একটি ইনস্টলেশন নির্বাচন করতে হবে। এটি করার জন্য, আপনার লগইন এবং পাসওয়ার্ডের পরিবর্তে আপনাকে লিখতে হবে "সেটআপ!

দ্রষ্টব্য: আপনি যদি OVA টেমপ্লেট থেকে ISE স্থাপন করেন, তাহলে লগইন বিশদ অ্যাডমিন/MyIseYPass2 (এটি এবং আরও অনেক কিছু অফিসিয়ালে নির্দেশিত হয়েছে গাইড).

চিত্র 2. Cisco ISE ইনস্টল করা হচ্ছে

2) তারপর আপনাকে প্রয়োজনীয় ক্ষেত্রগুলি পূরণ করতে হবে যেমন IP ঠিকানা, DNS, NTP এবং অন্যান্য।

চিত্র 3. Cisco ISE শুরু করা হচ্ছে

3) এর পরে, ডিভাইসটি রিবুট হবে এবং আপনি পূর্বে নির্দিষ্ট করা IP ঠিকানা ব্যবহার করে ওয়েব ইন্টারফেসের মাধ্যমে সংযোগ করতে সক্ষম হবেন।

চিত্র 4. Cisco ISE ওয়েব ইন্টারফেস

4) ট্যাবে প্রশাসন > সিস্টেম > স্থাপনা আপনি একটি নির্দিষ্ট ডিভাইসে কোন নোড (সত্তা) সক্ষম করা আছে তা নির্বাচন করতে পারেন। PxGrid নোড এখানে সক্রিয় করা হয়েছে।

চিত্র 5. Cisco ISE সত্তা ব্যবস্থাপনা

5) তারপর ট্যাবে অ্যাডমিনিস্ট্রেশন > সিস্টেম > অ্যাডমিন অ্যাক্সেস > প্রমাণীকরণ আমি একটি পাসওয়ার্ড নীতি, প্রমাণীকরণ পদ্ধতি (শংসাপত্র বা পাসওয়ার্ড), অ্যাকাউন্টের মেয়াদ শেষ হওয়ার তারিখ এবং অন্যান্য সেটিংস সেট আপ করার সুপারিশ করছি।

চিত্র 6. প্রমাণীকরণ প্রকার সেটিংচিত্র 7. পাসওয়ার্ড নীতি সেটিংসচিত্র 8. সময় শেষ হওয়ার পরে অ্যাকাউন্ট শাটডাউন সেট আপ করাচিত্র 9. অ্যাকাউন্ট লকিং সেট আপ করা হচ্ছে

6) ট্যাবে প্রশাসন > সিস্টেম > অ্যাডমিন অ্যাক্সেস > অ্যাডমিনিস্ট্রেটর > অ্যাডমিন ব্যবহারকারী > যোগ করুন আপনি একটি নতুন প্রশাসক তৈরি করতে পারেন।

চিত্র 10. একটি স্থানীয় Cisco ISE অ্যাডমিনিস্ট্রেটর তৈরি করা হচ্ছে

7) নতুন অ্যাডমিনিস্ট্রেটরকে একটি নতুন গ্রুপ বা পূর্বনির্ধারিত গ্রুপের অংশ করা যেতে পারে। অ্যাডমিনিস্ট্রেটর গ্রুপগুলি ট্যাবে একই প্যানেলে পরিচালিত হয় অ্যাডমিন গ্রুপ. সারণি 2 আইএসই প্রশাসক, তাদের অধিকার এবং ভূমিকা সম্পর্কে তথ্য সংক্ষিপ্ত করে।

সারণি 2. Cisco ISE অ্যাডমিনিস্ট্রেটর গ্রুপ, অ্যাক্সেস লেভেল, অনুমতি, এবং সীমাবদ্ধতা

অ্যাডমিনিস্ট্রেটর গ্রুপের নাম

অনুমতি

সীমাবদ্ধতা

কাস্টমাইজেশন অ্যাডমিন

গেস্ট এবং স্পনসরশিপ পোর্টাল, প্রশাসন এবং কাস্টমাইজেশন সেট আপ করা

নীতি পরিবর্তন বা রিপোর্ট দেখতে অক্ষমতা

হেল্পডেস্ক অ্যাডমিন

প্রধান ড্যাশবোর্ড, সমস্ত রিপোর্ট, লার্ম এবং সমস্যা সমাধানের স্ট্রীম দেখার ক্ষমতা

আপনি রিপোর্ট, অ্যালার্ম এবং প্রমাণীকরণ লগ পরিবর্তন করতে, তৈরি করতে বা মুছতে পারবেন না

পরিচয় অ্যাডমিন

ব্যবহারকারীদের পরিচালনা, বিশেষাধিকার এবং ভূমিকা, লগ, রিপোর্ট এবং অ্যালার্ম দেখার ক্ষমতা

আপনি নীতি পরিবর্তন করতে পারবেন না বা OS লেভেলে কাজ করতে পারবেন না

MnT অ্যাডমিন

সম্পূর্ণ পর্যবেক্ষণ, রিপোর্ট, অ্যালার্ম, লগ এবং তাদের ব্যবস্থাপনা

কোন নীতি পরিবর্তন করতে অক্ষমতা

নেটওয়ার্ক ডিভাইস অ্যাডমিন

আইএসই অবজেক্ট তৈরি এবং পরিবর্তন করার অধিকার, লগ, রিপোর্ট, প্রধান ড্যাশবোর্ড দেখার

আপনি নীতি পরিবর্তন করতে পারবেন না বা OS লেভেলে কাজ করতে পারবেন না

পলিসি অ্যাডমিন

সমস্ত নীতির সম্পূর্ণ ব্যবস্থাপনা, প্রোফাইল পরিবর্তন, সেটিংস, প্রতিবেদন দেখা

শংসাপত্র, ISE বস্তুর সাথে সেটিংস সম্পাদন করতে অক্ষমতা

RBAC অ্যাডমিন

অপারেশন ট্যাবে সমস্ত সেটিংস, ANC নীতি সেটিংস, রিপোর্টিং ব্যবস্থাপনা

আপনি ANC ব্যতীত অন্য কোন নীতি পরিবর্তন করতে পারবেন না বা OS স্তরে কাজ সম্পাদন করতে পারবেন না

সুপার অ্যাডমিন

সমস্ত সেটিংস, রিপোর্টিং এবং পরিচালনার অধিকার, প্রশাসকের শংসাপত্রগুলি মুছতে এবং পরিবর্তন করতে পারে৷

পরিবর্তন করা যাবে না, সুপার অ্যাডমিন গ্রুপ থেকে অন্য প্রোফাইল মুছে দিন

সিস্টেম অ্যাডমিন

অপারেশন ট্যাবে সমস্ত সেটিংস, সিস্টেম সেটিংস পরিচালনা, ANC নীতি, প্রতিবেদন দেখা

আপনি ANC ব্যতীত অন্য কোন নীতি পরিবর্তন করতে পারবেন না বা OS স্তরে কাজ সম্পাদন করতে পারবেন না

এক্সটার্নাল রেস্টফুল সার্ভিসেস (ERS) অ্যাডমিন

Cisco ISE REST API-তে সম্পূর্ণ অ্যাক্সেস

শুধুমাত্র অনুমোদনের জন্য, স্থানীয় ব্যবহারকারীদের ব্যবস্থাপনা, হোস্ট এবং নিরাপত্তা গ্রুপ (SG)

এক্সটার্নাল রেস্টফুল সার্ভিসেস (ERS) অপারেটর

Cisco ISE REST API পড়ার অনুমতি

শুধুমাত্র অনুমোদনের জন্য, স্থানীয় ব্যবহারকারীদের ব্যবস্থাপনা, হোস্ট এবং নিরাপত্তা গ্রুপ (SG)

চিত্র 11. পূর্বনির্ধারিত Cisco ISE অ্যাডমিনিস্ট্রেটর গ্রুপ

8) ট্যাবে ঐচ্ছিক অনুমোদন > অনুমতি > RBAC নীতি আপনি পূর্বনির্ধারিত প্রশাসকদের অধিকার সম্পাদনা করতে পারেন।

চিত্র 12. Cisco ISE অ্যাডমিনিস্ট্রেটর প্রিসেট প্রোফাইল রাইটস ম্যানেজমেন্ট

9) ট্যাবে প্রশাসন > সিস্টেম > সেটিংস সমস্ত সিস্টেম সেটিংস উপলব্ধ (DNS, NTP, SMTP এবং অন্যান্য)। প্রাথমিক ডিভাইস শুরু করার সময় আপনি সেগুলি মিস করলে আপনি এখানে সেগুলি পূরণ করতে পারেন৷

5। উপসংহার

এটি প্রথম নিবন্ধটি শেষ করে। আমরা Cisco ISE NAC সমাধানের কার্যকারিতা, এর আর্কিটেকচার, ন্যূনতম প্রয়োজনীয়তা এবং স্থাপনার বিকল্প এবং প্রাথমিক ইনস্টলেশন নিয়ে আলোচনা করেছি।

পরবর্তী নিবন্ধে, আমরা অ্যাকাউন্ট তৈরি, মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরির সাথে একীভূত করা এবং গেস্ট অ্যাক্সেস তৈরি করার বিষয়ে দেখব।

আপনার যদি এই বিষয়ে প্রশ্ন থাকে বা পণ্যটি পরীক্ষা করার জন্য সাহায্যের প্রয়োজন হয়, অনুগ্রহ করে যোগাযোগ করুন লিংক.

আমাদের চ্যানেলে আপডেট পেতে সাথে থাকুন (Telegram, ফেসবুক, VK, টিএস সমাধান ব্লগ, ইয়ানডেক্স জেন).

উত্স: www.habr.com