Svaka kompanija, pa i najmanja, ima potrebu za autentifikacijom, autorizacijom i korisničkim računovodstvom (AAA familija protokola). U početnoj fazi, AAA je prilično dobro implementiran koristeći protokole kao što su RADIUS, TACACS+ i DIAMETER. Međutim, kako broj korisnika i kompanije raste, tako raste i broj zadataka: maksimalna vidljivost hostova i BYOD uređaja, višefaktorska autentifikacija, kreiranje politike pristupa na više nivoa i još mnogo toga.
Za takve zadatke savršena je NAC (Network Access Control) klasa rješenja – kontrola pristupa mreži. U nizu članaka posvećenih Cisco ISE (Identity Services Engine) - NAC rješenje za pružanje kontekstualno svjesne kontrole pristupa korisnicima na internoj mreži, detaljno ćemo pogledati arhitekturu, obezbjeđivanje, konfiguraciju i licenciranje rješenja.
Dozvolite mi da vas ukratko podsjetim da vam Cisco ISE omogućava:
Brzo i jednostavno kreirajte pristup za goste na namjenskom WLAN-u;
Otkrivanje BYOD uređaja (na primjer, kućni računari zaposlenih koje su ponijeli na posao);
Centralizirajte i nametnite sigurnosne politike među korisnicima domene i korisnicima koji nisu u domeni koristeći oznake SGT sigurnosnih grupa TrustSec);
Provjerite kompjutere da li je instaliran određeni softver i usklađenost sa standardima (postavljanje položaja);
Klasifikovati i profilisati krajnje tačke i mrežne uređaje;
Omogućiti vidljivost krajnje tačke;
Slanje dnevnika događaja logovanja/odjavljivanja korisnika, njihovih naloga (identiteta) NGFW-u kako bi se formirala korisnička politika;
Integrirajte se nativno sa Cisco StealthWatch-om i stavite u karantin sumnjive hostove koji su uključeni u sigurnosne incidente (više informacija);
Arhitektura Identity Services Engine ima 4 entiteta (čvorova): upravljački čvor (Čvor administracije politike), čvor za distribuciju politike (Čvor usluge Politike), čvor za praćenje (Monitoring Node) i PxGrid čvor (PxGrid čvor). Cisco ISE može biti u samostalnoj ili distribuiranoj instalaciji. U samostojećoj verziji svi entiteti se nalaze na jednoj virtuelnoj mašini ili fizičkom serveru (Secure Network Servers - SNS), dok su u Distributed verziji čvorovi raspoređeni na različite uređaje.
Čvor administracije politike (PAN) je obavezan čvor koji vam omogućava da izvršite sve administrativne operacije na Cisco ISE. Obrađuje sve sistemske konfiguracije vezane za AAA. U distribuiranoj konfiguraciji (čvorovi se mogu instalirati kao zasebne virtuelne mašine), možete imati najviše dva PAN-a za toleranciju grešaka - aktivni/pripravni režim.
Policy Service Node (PSN) je obavezan čvor koji pruža pristup mreži, stanje, pristup gostu, pružanje usluga klijenta i profiliranje. PSN procjenjuje politiku i primjenjuje je. Obično se instalira više PSN-ova, posebno u distribuiranoj konfiguraciji, za više redundantne i distribuirane operacije. Naravno, oni pokušavaju instalirati ove čvorove u različite segmente kako ne bi izgubili mogućnost pružanja autentificiranog i ovlaštenog pristupa ni na sekundu.
Nadzorni čvor (MnT) je obavezan čvor koji pohranjuje dnevnike događaja, dnevnike drugih čvorova i politike na mreži. MnT čvor pruža napredne alate za praćenje i rješavanje problema, prikuplja i povezuje različite podatke, a također pruža smislene izvještaje. Cisco ISE vam omogućava da imate najviše dva MnT čvora, čime se stvara tolerancija grešaka – aktivni/pripravni režim. Međutim, zapisnike prikupljaju oba čvora, i aktivni i pasivni.
PxGrid čvor (PXG) je čvor koji koristi PxGrid protokol i omogućava komunikaciju između drugih uređaja koji podržavaju PxGrid.
PxGrid — protokol koji osigurava integraciju IT i infrastrukturnih proizvoda za sigurnost informacija različitih proizvođača: sistemi za nadzor, sistemi za otkrivanje i prevenciju upada, platforme za upravljanje sigurnosnom politikom i mnoga druga rješenja. Cisco PxGrid vam omogućava da dijelite kontekst na jednosmjeran ili dvosmjeran način sa mnogim platformama bez potrebe za API-jem, čime se omogućava tehnologija TrustSec (SGT oznake), promijenite i primijenite ANC (Adaptive Network Control) politiku, kao i izvršite profiliranje - određivanje modela uređaja, OS, lokacije i još mnogo toga.
U konfiguraciji visoke dostupnosti, PxGrid čvorovi repliciraju informacije između čvorova preko PAN-a. Ako je PAN onemogućen, PxGrid čvor prestaje s provjerom autentičnosti, autorizacijom i obračunom korisnika.
Ispod je šematski prikaz rada različitih Cisco ISE entiteta u korporativnoj mreži.
Slika 1. Cisco ISE arhitektura
3. Zahtjevi
Cisco ISE se može implementirati, kao i većina modernih rješenja, virtualno ili fizički kao poseban server.
Fizički uređaji koji koriste Cisco ISE softver nazivaju se SNS (Secure Network Server). Dolaze u tri modela: SNS-3615, SNS-3655 i SNS-3695 za mala, srednja i velika preduzeća. Tabela 1 prikazuje informacije iz datasheet SNS.
Tabela 1. Tabela poređenja SNS-a za različite skale
Parametar
SNS 3615 (mali)
SNS 3655 (srednji)
SNS 3695 (veliki)
Broj podržanih krajnjih točaka u samostalnoj instalaciji
10000
25000
50000
Broj podržanih krajnjih tačaka po PSN-u
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 jezgara
12 jezgara
12 jezgara
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardver RAID
Nijedan
RAID 10, prisustvo RAID kontrolera
RAID 10, prisustvo RAID kontrolera
Mrežni interfejsi
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Što se tiče virtuelnih implementacija, podržani hipervizori su VMware ESXi (preporučuje se minimalna VMware verzija 11 za ESXi 6.0), Microsoft Hyper-V i Linux KVM (RHEL 7.0). Resursi bi trebali biti približno isti kao u gornjoj tabeli, ili više. Međutim, minimalni zahtjevi za virtualnu mašinu za mala preduzeća su: 2 CPU sa frekvencijom od 2.0 GHz i više, 16 GB RAM-a и 200 GBHDD.
Za ostale detalje o implementaciji Cisco ISE kontaktirajte nama ili da resurs #1, resurs #2.
4. Instalacija
Kao i većina drugih Cisco proizvoda, ISE se može testirati na nekoliko načina:
dcloud – servis u oblaku unapred instaliranih laboratorijskih rasporeda (potreban je Cisco nalog);
GVE zahtjev – zahtjev od stranice Cisco određenog softvera (metoda za partnere). Kreirate slučaj sa sljedećim tipičnim opisom: Tip proizvoda [ISE], ISE softver [ise-2.7.0.356.SPA.x8664], ISE zakrpa [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilot projekat — kontaktirajte bilo kojeg ovlaštenog partnera za provođenje besplatnog pilot projekta.
1) Nakon kreiranja virtualne mašine, ako ste zatražili ISO datoteku, a ne OVA predložak, pojavit će se prozor u kojem ISE zahtijeva da odaberete instalaciju. Da biste to učinili, umjesto vaše prijave i lozinke, trebali biste napisati “postaviti“!
Napomena: ako ste implementirali ISE iz OVA predloška, onda detalji za prijavu admin/MyIseYPass2 (ovo i mnogo više navedeno je u službenom vodič).
Slika 2. Instaliranje Cisco ISE
2) Zatim treba da popunite obavezna polja kao što su IP adresa, DNS, NTP i druga.
Slika 3. Inicijalizacija Cisco ISE
3) Nakon toga, uređaj će se ponovo pokrenuti, a vi ćete moći da se povežete preko web interfejsa koristeći prethodno navedenu IP adresu.
Slika 4. Cisco ISE veb interfejs
4) U tab Administracija > Sistem > Postavljanje možete odabrati koji su čvorovi (entiteti) omogućeni na određenom uređaju. Ovdje je omogućen PxGrid čvor.
Slika 5. Cisco ISE Entity Management
5) Zatim u kartici Administracija > Sistem > Administratorski pristup >Authentication Preporučujem postavljanje politike lozinki, metoda provjere autentičnosti (sertifikat ili lozinka), datuma isteka računa i drugih postavki.
Slika 6. Postavka tipa provjere autentičnostiSlika 7. Postavke politike lozinkeSlika 8. Podešavanje gašenja naloga nakon isteka vremenaSlika 9. Podešavanje zaključavanja naloga
6) U tab Administracija > Sistem > Administratorski pristup > Administratori > Admin korisnici > Dodaj možete kreirati novog administratora.
Slika 10. Kreiranje lokalnog Cisco ISE administratora
7) Novi administrator može biti dio nove grupe ili već unaprijed definiranih grupa. Administratorskim grupama se upravlja na istom panelu na kartici Admin Groups. Tabela 2 sažima informacije o ISE administratorima, njihovim pravima i ulogama.
Tabela 2. Cisco ISE administratorske grupe, nivoi pristupa, dozvole i ograničenja
Ime grupe administratora
Dozvole
Ograničenja
Admin
Postavljanje portala za goste i sponzorstva, administracija i prilagođavanje
Nemogućnost promjene pravila ili pregleda izvještaja
Helpdesk Admin
Mogućnost pregleda glavne kontrolne table, svih izvještaja, larmova i tokova za rješavanje problema
Ne možete mijenjati, kreirati ili brisati izvještaje, alarme i evidencije autentifikacije
Identity Admin
Upravljanje korisnicima, privilegijama i ulogama, mogućnost pregleda dnevnika, izvještaja i alarma
Ne možete mijenjati politike ili izvršavati zadatke na nivou OS-a
MnT Admin
Potpuni nadzor, izvještaji, alarmi, logovi i njihovo upravljanje
Nemogućnost promjene bilo koje politike
Administrator mrežnog uređaja
Prava za kreiranje i promjenu ISE objekata, pregled dnevnika, izvještaja, glavne kontrolne table
Ne možete mijenjati politike ili izvršavati zadatke na nivou OS-a
Policy Admin
Potpuno upravljanje svim politikama, promjena profila, postavki, pregled izvještaja
Nemogućnost izvođenja postavki s vjerodajnicama, ISE objektima
RBAC Admin
Sva podešavanja na kartici Operacije, postavke ANC politike, upravljanje izvještavanjem
Ne možete mijenjati druge politike osim ANC-a ili izvršavati zadatke na razini OS-a
super Admin
Prava na sva podešavanja, izveštavanje i upravljanje, mogu brisati i menjati administratorske akreditive
Nije moguće promijeniti, izbrišite drugi profil iz grupe Super Admin
System Admin
Sva podešavanja na kartici Operacije, upravljanje sistemskim postavkama, ANC politika, pregled izveštaja
Ne možete mijenjati druge politike osim ANC-a ili izvršavati zadatke na razini OS-a
Eksterne RESTful usluge (ERS) Admin
Potpuni pristup Cisco ISE REST API-ju
Samo za autorizaciju, upravljanje lokalnim korisnicima, hostovima i sigurnosnim grupama (SG)
Eksterni operater RESTful usluga (ERS).
Dozvole za čitanje Cisco ISE REST API-ja
Samo za autorizaciju, upravljanje lokalnim korisnicima, hostovima i sigurnosnim grupama (SG)
Slika 11. Predefinisane Cisco ISE administratorske grupe
8) Dodaci u kartici Autorizacija > Dozvole > RBAC politika Možete uređivati prava unaprijed definiranih administratora.
Slika 12. Upravljanje pravima za unapred postavljeni profil Cisco ISE administratora
9) U tab Administracija > Sistem > PostavkeDostupna su sva podešavanja sistema (DNS, NTP, SMTP i drugi). Ovdje ih možete popuniti ako ste ih propustili tokom početne inicijalizacije uređaja.
5. Zaključak
Ovim je završen prvi članak. Razgovarali smo o efikasnosti Cisco ISE NAC rješenja, njegovoj arhitekturi, minimalnim zahtjevima i opcijama implementacije, te početnoj instalaciji.
U sledećem članku ćemo pogledati kreiranje naloga, integraciju sa Microsoft Active Directory-om i kreiranje pristupa za goste.
Ako imate pitanja o ovoj temi ili vam je potrebna pomoć u testiranju proizvoda, kontaktirajte link.