Cisco ISE: Introducció, requisits, instal·lació. Part 1
1. Introducció
Cada empresa, fins i tot la més petita, té una necessitat d'autenticació, autorització i comptabilitat d'usuaris (família de protocols AAA). En l'etapa inicial, AAA està bastant ben implementat mitjançant protocols com RADIUS, TACACS+ i DIAMETER. Tanmateix, a mesura que creix el nombre d'usuaris i l'empresa, també creix el nombre de tasques: màxima visibilitat dels amfitrions i dispositius BYOD, autenticació multifactorial, creació d'una política d'accés multinivell i molt més.
Per a aquestes tasques, la classe de solucions NAC (Network Access Control) és perfecta: control d'accés a la xarxa. En una sèrie d'articles dedicats a Cisco ISE (Identity Services Engine) - Solució NAC per proporcionar un control d'accés conscient del context als usuaris de la xarxa interna, analitzarem detalladament l'arquitectura, el subministrament, la configuració i la llicència de la solució.
Permeteu-me que us recordi breument que Cisco ISE us permet:
Creeu accés de convidat de manera ràpida i senzilla a una WLAN dedicada;
Detectar dispositius BYOD (per exemple, els ordinadors domèstics dels empleats que van portar a la feina);
Centralitzeu i apliqueu les polítiques de seguretat entre usuaris de domini i no domini mitjançant etiquetes de grup de seguretat SGT TrustSec);
Comproveu els ordinadors per cert programari instal·lat i el compliment dels estàndards (posting);
Classificar i perfilar dispositius de xarxa i punt final;
Proporcioneu visibilitat del punt final;
Envieu registres d'esdeveniments d'inici de sessió / tancament de sessió dels usuaris, els seus comptes (identitat) a NGFW per formar una política basada en l'usuari;
Integrar-se de manera nativa amb Cisco StealthWatch i posar en quarantena els amfitrions sospitosos implicats en incidents de seguretat (més);
I altres característiques estàndard per als servidors AAA.
L'arquitectura del motor de serveis d'identitat té 4 entitats (nodes): un node de gestió (node d'administració de polítiques), un node de distribució de polítiques (node de servei de polítiques), un node de supervisió (node de supervisió) i un node PxGrid (node PxGrid). Cisco ISE pot estar en una instal·lació independent o distribuïda. A la versió autònoma, totes les entitats es troben en una màquina virtual o servidor físic (Secure Network Servers - SNS), mentre que a la versió distribuïda, els nodes es distribueixen en diferents dispositius.
El node d'administració de polítiques (PAN) és un node obligatori que us permet realitzar totes les operacions administratives a Cisco ISE. Gestiona totes les configuracions del sistema relacionades amb AAA. En una configuració distribuïda (els nodes es poden instal·lar com a màquines virtuals separades), podeu tenir un màxim de dos PAN per a la tolerància a errors: mode actiu/en espera.
Policy Service Node (PSN) és un node obligatori que proporciona accés a la xarxa, estat, accés de convidat, subministrament de servei al client i perfils. PSN avalua la política i l'aplica. Normalment, s'instal·len diversos PSN, especialment en una configuració distribuïda, per a un funcionament més redundant i distribuït. Per descomptat, intenten instal·lar aquests nodes en diferents segments per no perdre ni un segon la capacitat de proporcionar accés autenticat i autoritzat.
Monitoring Node (MnT) és un node obligatori que emmagatzema els registres d'esdeveniments, els registres d'altres nodes i les polítiques a la xarxa. El node MnT proporciona eines avançades per al seguiment i la resolució de problemes, recopila i correlaciona diverses dades i també proporciona informes significatius. Cisco ISE us permet tenir un màxim de dos nodes MnT, creant així tolerància a errors: mode actiu/en espera. Tanmateix, els dos nodes recullen els registres, tant actius com passius.
PxGrid Node (PXG) és un node que utilitza el protocol PxGrid i permet la comunicació entre altres dispositius compatibles amb PxGrid.
PxGrid — un protocol que garanteix la integració de productes d'infraestructura de seguretat informàtica i de la informació de diferents proveïdors: sistemes de monitorització, sistemes de detecció i prevenció d'intrusions, plataformes de gestió de polítiques de seguretat i moltes altres solucions. Cisco PxGrid us permet compartir context de manera unidireccional o bidireccional amb moltes plataformes sense necessitat d'API, habilitant així la tecnologia. TrustSec (etiquetes SGT), canvieu i apliqueu la política ANC (control adaptatiu de la xarxa), així com realitzeu l'elaboració de perfils, determinant el model del dispositiu, el sistema operatiu, la ubicació i molt més.
En una configuració d'alta disponibilitat, els nodes PxGrid repliquen la informació entre nodes a través d'una PAN. Si el PAN està desactivat, el node PxGrid deixa d'autenticar, autoritzar i comptabilitzar els usuaris.
A continuació es mostra una representació esquemàtica del funcionament de diferents entitats de Cisco ISE en una xarxa corporativa.
Figura 1. Arquitectura de Cisco ISE
3. Requisits
Cisco ISE es pot implementar, com la majoria de solucions modernes, virtualment o físicament com un servidor independent.
Els dispositius físics que executen el programari Cisco ISE s'anomenen SNS (Secure Network Server). Es presenten en tres models: SNS-3615, SNS-3655 i SNS-3695 per a petites, mitjanes i grans empreses. La taula 1 mostra la informació de fitxa de dades SNS.
Taula 1. Taula comparativa de SNS per a diferents escales
Paràmetre
SNS 3615 (petit)
SNS 3655 (mitjà)
SNS 3695 (gran)
Nombre de punts finals admesos en una instal·lació autònoma
10000
25000
50000
Nombre de punts finals admesos per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 nuclis
12 nuclis
12 nuclis
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID de maquinari
No
RAID 10, presència del controlador RAID
RAID 10, presència del controlador RAID
Interfícies de xarxa
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Pel que fa a les implementacions virtuals, els hipervisors admesos són VMware ESXi (es recomana una versió mínima de VMware 11 per a ESXi 6.0), Microsoft Hyper-V i Linux KVM (RHEL 7.0). Els recursos haurien de ser aproximadament els mateixos que a la taula anterior o més. Tanmateix, els requisits mínims per a una màquina virtual de petites empreses són: CPU 2 amb una freqüència de 2.0 GHz i superior, 16 GB de RAM и 200 GBHDD.
Com la majoria dels altres productes de Cisco, ISE es pot provar de diverses maneres:
dcloud – Servei al núvol de dissenys de laboratori preinstal·lats (cal un compte de Cisco);
Sol·licitud GVE - petició de lloc Cisco de cert programari (mètode per a socis). Creeu un cas amb la descripció típica següent: Tipus de producte [ISE], Programari ISE [ise-2.7.0.356.SPA.x8664], Pedaç ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
projecte pilot — Poseu-vos en contacte amb qualsevol soci autoritzat per dur a terme un projecte pilot gratuït.
1) Després de crear una màquina virtual, si heu sol·licitat un fitxer ISO i no una plantilla OVA, apareixerà una finestra en la qual ISE us demanarà que seleccioneu una instal·lació. Per fer-ho, en lloc del vostre inici de sessió i contrasenya, heu d'escriure "disposició“!
Nota: si heu desplegat ISE des de la plantilla OVA, les dades d'inici de sessió admin/MyIseYPass2 (això i molt més s'indica a l'oficial guia).
Figura 2. Instal·lació de Cisco ISE
2) Aleshores, haureu d'omplir els camps obligatoris com ara adreça IP, DNS, NTP i altres.
Figura 3. Inicialització de Cisco ISE
3) Després d'això, el dispositiu es reiniciarà i us podreu connectar mitjançant la interfície web mitjançant l'adreça IP especificada anteriorment.
Figura 4. Interfície web de Cisco ISE
4) A la pestanya Administració > Sistema > Desplegament podeu seleccionar quins nodes (entitats) estan habilitats en un dispositiu concret. El node PxGrid està habilitat aquí.
Figura 5. Gestió d'entitats de Cisco ISE
5) A continuació, a la pestanya Administració > Sistema > Accés administrador >Authentication Recomano configurar una política de contrasenyes, un mètode d'autenticació (certificat o contrasenya), la data de caducitat del compte i altres configuracions.
Figura 6. Configuració del tipus d'autenticacióFigura 7. Configuració de la política de contrasenyesFigura 8. Configuració del tancament del compte un cop expirat el tempsFigura 9. Configuració del bloqueig del compte
6) A la pestanya Administració > Sistema > Accés administrador > Administradors > Usuaris administradors > Afegeix podeu crear un nou administrador.
Figura 10. Creació d'un administrador local de Cisco ISE
7) El nou administrador pot formar part d'un grup nou o de grups ja predefinits. Els grups d'administradors es gestionen al mateix tauler de la pestanya Grups d'administració. La taula 2 resumeix la informació sobre els administradors d'ISE, els seus drets i funcions.
Taula 2. Grups d'administradors de Cisco ISE, nivells d'accés, permisos i restriccions
Nom del grup d'administradors
Permisos
Restriccions
Administrador de personalització
Configuració de portals de convidats i patrocini, administració i personalització
Incapacitat per canviar les polítiques o veure informes
Administrador del servei d'assistència
Possibilitat de veure el tauler principal, tots els informes, alarmes i fluxos de resolució de problemes
No podeu canviar, crear o suprimir informes, alarmes i registres d'autenticació
Administrador d'identitat
Gestió d'usuaris, privilegis i rols, la possibilitat de visualitzar registres, informes i alarmes
No podeu canviar les polítiques ni realitzar tasques al nivell del sistema operatiu
Administrador de MnT
Seguiment complet, informes, alarmes, registres i la seva gestió
Incapacitat per canviar cap política
Administrador de dispositius de xarxa
Drets per crear i canviar objectes ISE, veure registres, informes, tauler principal
No podeu canviar les polítiques ni realitzar tasques al nivell del sistema operatiu
Administrador de polítiques
Gestió completa de totes les polítiques, canvi de perfils, configuració, visualització d'informes
Incapacitat per dur a terme la configuració amb credencials, objectes ISE
Administrador RBAC
Tota la configuració de la pestanya Operacions, configuració de la política ANC, gestió d'informes
No podeu canviar polítiques que no siguin ANC ni realitzar tasques al nivell del sistema operatiu
Súper Administrador
Els drets sobre tota la configuració, informes i gestió, poden suprimir i canviar les credencials de l'administrador
No es pot canviar, suprimiu un altre perfil del grup de superadministradors
Administrador del sistema
Tota la configuració a la pestanya Operacions, gestió de la configuració del sistema, política ANC, visualització d'informes
No podeu canviar polítiques que no siguin ANC ni realitzar tasques al nivell del sistema operatiu
Administrador de serveis externs RESTful (ERS)
Accés complet a l'API REST de Cisco ISE
Només per a autorització, gestió d'usuaris locals, amfitrions i grups de seguretat (SG)
Operador de serveis externs RESTful (ERS).
Permisos de lectura de l'API REST de Cisco ISE
Només per a autorització, gestió d'usuaris locals, amfitrions i grups de seguretat (SG)
Figura 11. Grups d'administradors de Cisco ISE predefinits
8) Opcional a la pestanya Autorització > Permisos > Política RBAC Podeu editar els drets dels administradors predefinits.
Figura 12. Gestió de drets de perfils predefinits de l'administrador de Cisco ISE
9) A la pestanya Administració > Sistema > ConfiguracióTota la configuració del sistema està disponible (DNS, NTP, SMTP i altres). Podeu omplir-los aquí si els heu perdut durant la inicialització inicial del dispositiu.
5. Conclusió
Així conclou el primer article. Hem parlat de l'efectivitat de la solució Cisco ISE NAC, la seva arquitectura, els requisits mínims i les opcions de desplegament i la instal·lació inicial.
Al següent article, veurem la creació de comptes, la integració amb Microsoft Active Directory i la creació d'accés de convidat.
Si teniu preguntes sobre aquest tema o necessiteu ajuda per provar el producte, contacteu enllaç.