1. Pasiuna
Ang matag kompanya, bisan ang labing gamay, adunay panginahanglan alang sa pag-authenticate, pagtugot ug accounting sa gumagamit (pamilya sa mga protocol sa AAA). Sa una nga yugto, ang AAA maayo nga gipatuman gamit ang mga protocol sama sa RADIUS, TACACS + ug DIAMETER. Bisan pa, samtang ang gidaghanon sa mga tiggamit ug ang kompanya motubo, ang gidaghanon sa mga buluhaton usab motubo: labing kataas nga visibility sa mga host ug BYOD nga mga aparato, multi-factor authentication, paghimo usa ka multi-level nga palisiya sa pag-access ug daghan pa.
Alang sa ingon nga mga buluhaton, ang NAC (Network Access Control) nga klase sa mga solusyon perpekto - kontrol sa pag-access sa network. Sa usa ka serye sa mga artikulo nga gipahinungod sa (Identity Services Engine) - NAC nga solusyon alang sa paghatag sa konteksto nga nahibal-an nga kontrol sa pag-access sa mga tiggamit sa internal nga network, among susihon ang detalyado nga pagtan-aw sa arkitektura, probisyon, pagsumpo ug paglilisensya sa solusyon.
Tugoti ako sa mubo nga pahinumdom kanimo nga ang Cisco ISE nagtugot kanimo sa:
-
Dali ug dali nga paghimo bisita access sa usa ka gipahinungod nga WLAN;
-
Pag-detect sa mga BYOD device (pananglitan, mga PC sa balay sa mga empleyado nga ilang gidala sa trabaho);
-
Isentralisa ug ipatuman ang mga polisiya sa seguridad sa tibuok domain ug dili domain nga tiggamit gamit ang SGT security group labels );
-
Susiha ang mga kompyuter alang sa pipila ka software nga na-install ug nagsunod sa mga sumbanan (posturing);
-
Klasipikasyon ug profile endpoint ug network device;
-
Paghatag endpoint visibility;
-
Ipadala ang mga log sa panghitabo sa logon/logoff sa mga user, ilang mga account (identity) ngadto sa NGFW aron maporma ang user-based policy;
-
I-integrate ang lumad sa Cisco StealthWatch ug quarantine nga mga kadudahang host nga nalambigit sa mga insidente sa seguridad ();
-
Ug uban pang mga bahin nga sukaranan alang sa mga AAA server.
Ang mga kauban sa industriya nagsulat na bahin sa Cisco ISE, busa gitambagan ko ikaw nga basahon: ,.
2. Arkitektura
Ang arkitektura sa Identity Services Engine adunay 4 ka entidad (nodes): usa ka management node (Policy Administration Node), usa ka policy distribution node (Policy Service Node), usa ka monitoring node (Monitoring Node) ug usa ka PxGrid node (PxGrid Node). Ang Cisco ISE mahimong anaa sa usa ka standalone o gipang-apod-apod nga pag-instalar. Sa Standalone nga bersyon, ang tanan nga mga entidad nahimutang sa usa ka virtual machine o pisikal nga server (Secure Network Servers - SNS), samtang sa Distributed nga bersyon, ang mga node giapod-apod sa lainlaing mga aparato.
Ang Policy Administration Node (PAN) usa ka gikinahanglan nga node nga nagtugot kanimo sa paghimo sa tanan nga administratibong operasyon sa Cisco ISE. Gidumala niini ang tanang mga configuration sa sistema nga may kalabutan sa AAA. Sa usa ka gipang-apod-apod nga configuration (ang mga node mahimong ma-install isip bulag nga mga virtual machine), mahimo kang adunay maximum nga duha ka PAN alang sa fault tolerance - Active/Standby mode.
Ang Policy Service Node (PSN) kay usa ka mandatory node nga naghatag ug network access, state, guest access, client service provisioning, ug profiling. Gisusi sa PSN ang polisiya ug gipadapat kini. Kasagaran, daghang mga PSN ang gi-install, labi na sa usa ka gipang-apod-apod nga pagsumpo, alang sa labi ka daghan ug giapod-apod nga operasyon. Siyempre, gisulayan nila nga i-install kini nga mga node sa lainlaing mga bahin aron dili mawad-an sa katakus sa paghatag og authenticated ug awtorisado nga pag-access sa usa ka segundo.
Ang Monitoring Node (MnT) usa ka mandatory node nga nagtipig sa mga log sa panghitabo, mga log sa ubang mga node ug mga palisiya sa network. Ang MnT node naghatag og mga advanced nga himan alang sa pag-monitor ug pag-troubleshoot, pagkolekta ug pag-correlate sa nagkalain-laing datos, ug naghatag usab og makahuluganon nga mga taho. Gitugotan ka sa Cisco ISE nga adunay labing kadaghan nga duha nga mga node sa MnT, sa ingon nakamugna ang pagtugot sa sayup - Aktibo / Standby mode. Bisan pa, ang mga troso gikolekta sa duha nga mga node, aktibo ug pasibo.
Ang PxGrid Node (PXG) usa ka node nga naggamit sa PxGrid protocol ug nagtugot sa komunikasyon tali sa ubang mga device nga nagsuporta sa PxGrid.
β usa ka protocol nga nagsiguro sa panagsama sa mga produkto sa imprastraktura sa IT ug impormasyon sa seguridad gikan sa lainlaing mga tigbaligya: mga sistema sa pag-monitor, mga sistema sa pag-detect ug pagpugong sa pagsulod, mga platform sa pagdumala sa palisiya sa seguridad ug daghang uban pang mga solusyon. Gitugotan ka sa Cisco PxGrid nga ipaambit ang konteksto sa usa ka unidirectional o bidirectional nga paagi sa daghang mga platform nga wala kinahanglana ang mga API, sa ingon makapaarang sa teknolohiya (SGT tags), usba ug i-apply ang ANC (Adaptive Network Control) nga polisiya, ingon man paghimo sa profiling - pagtino sa modelo sa device, OS, lokasyon, ug uban pa.
Sa usa ka taas nga pagsumpo sa pagkaanaa, ang mga PxGrid node nagsundog sa impormasyon tali sa mga node sa usa ka PAN. Kung ang PAN na-disable, ang PxGrid node mohunong sa pag-authenticate, pagtugot, ug pag-account sa mga tiggamit.
Sa ubos usa ka eskematiko nga representasyon sa operasyon sa lainlaing mga entidad sa Cisco ISE sa usa ka network sa korporasyon.
Hulagway 1. Cisco ISE Architecture
3. Mga kinahanglanon
Ang Cisco ISE mahimong ipatuman, sama sa kadaghanan sa modernong mga solusyon, halos o pisikal isip bulag nga server.
Ang pisikal nga mga himan nga nagdagan sa Cisco ISE software gitawag nga SNS (Secure Network Server). Adunay sila tulo ka mga modelo: SNS-3615, SNS-3655 ug SNS-3695 alang sa gagmay, medium ug dagkong mga negosyo. Table 1 nagpakita sa impormasyon gikan sa SNS.
Talaan 1. Talaan sa pagtandi sa SNS alang sa lain-laing mga timbangan
Parameter
SNS 3615 (Gamay)
SNS 3655 (Medium)
SNS 3695 (Dagko)
Gidaghanon sa gisuportahan nga mga endpoint sa usa ka Standalone nga instalasyon
10000
25000
50000
Gidaghanon sa gisuportahan nga mga endpoint matag PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID sa Hardware
Dili
RAID 10, presensya sa RAID controller
RAID 10, presensya sa RAID controller
Mga interface sa network
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Mahitungod sa virtual nga mga pagpatuman, ang gisuportahan nga hypervisors mao ang VMware ESXi (minimum nga bersyon sa VMware 11 alang sa ESXi 6.0 girekomenda), Microsoft Hyper-V ug Linux KVM (RHEL 7.0). Ang mga kapanguhaan kinahanglan nga halos parehas sa naa sa lamesa sa taas, o labaw pa. Bisan pa, ang minimum nga kinahanglanon alang sa usa ka gamay nga negosyo nga virtual machine mao ang: 2 CPU nga adunay frequency nga 2.0 GHz ug mas taas pa, 16 GB nga RAM ΠΈ 200 GB HDD.
Alang sa ubang mga detalye sa pag-deploy sa Cisco ISE, palihog kontaka o sa , .
4. Pag-instalar
Sama sa kadaghanan sa ubang mga produkto sa Cisco, ang ISE mahimong masulayan sa daghang mga paagi:
-
- serbisyo sa panganod sa pre-installed nga mga layout sa laboratoryo (gikinahanglan ang Cisco account);
-
β hangyo gikan sa Cisco sa pipila ka software (pamaagi alang sa mga kauban). Naghimo ka og kaso nga adunay mosunod nga tipikal nga paghulagway: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
β kontaka ang bisan kinsa nga awtorisado nga kauban aron magpahigayon ug libre nga pilot project.
1) Human sa paghimo sa usa ka virtual nga makina, kung imong gihangyo ang usa ka ISO file ug dili usa ka template sa OVA, usa ka bintana ang mo-pop kung diin ang ISE nanginahanglan kanimo nga magpili usa ka pag-install. Aron mahimo kini, imbis sa imong pag-login ug password, kinahanglan nimo isulat ang "setupβ!
Mubo nga sulat: kung imong gipadala ang ISE gikan sa template sa OVA, unya ang mga detalye sa pag-login admin/MyIseYPass2 (kini ug daghan pa ang gipakita sa opisyal ).
Figure 2. Pag-instalar sa Cisco ISE
2) Unya kinahanglan nimong pun-on ang gikinahanglan nga mga natad sama sa IP address, DNS, NTP ug uban pa.
Figure 3. Pagsugod sa Cisco ISE
3) Human niana, ang device mag-reboot, ug makahimo ka sa pagkonektar pinaagi sa web interface gamit ang nauna nga gipiho nga IP address.
Figure 4. Cisco ISE Web Interface
4) Sa tab Administrasyon > Sistema > Pag-deploy mahimo nimong pilion kung unsang mga node (mga entidad) ang gipagana sa usa ka partikular nga aparato. Ang PxGrid node gipalihok dinhi.
Hulagway 5. Cisco ISE Entity Management
5) Unya sa tab Administrasyon > Sistema > Pag-access sa Admin > panghimatuud Girekomendar nako ang paghimo og polisiya sa password, pamaagi sa pag-authenticate (sertipiko o password), petsa sa pag-expire sa account, ug uban pang mga setting.
Figure 6. Setting sa tipo sa authenticationFigure 7. Mga setting sa polisiya sa passwordFigure 8. Pag-set up sa account shutdown human matapos ang orasFigure 9. Pag-set up sa pag-lock sa account
6) Sa tab Administration> System> Admin Access> Administrators> Admin Users> Add makahimo ka og bag-ong administrador.
Figure 10. Paghimo ug Lokal nga Cisco ISE Administrator
7) Ang bag-ong administrador mahimong bahin sa usa ka bag-ong grupo o na-predefined na nga mga grupo. Ang mga grupo sa tagdumala gidumala sa parehas nga panel sa tab Mga Grupo sa Admin. Ang talaan 2 nagsumaryo sa impormasyon mahitungod sa mga tigdumala sa ISE, sa ilang mga katungod ug mga tahas.
Talaan 2. Cisco ISE Administrator Groups, Access Levels, Permissions, ug Restrictions
Ngalan sa grupo sa tagdumala
Pahugot
Mga pagbabag
Pag-customize nga Admin
Pag-set up sa bisita ug sponsorship portal, administrasyon ug pag-customize
Kawalay katakus sa pag-usab sa mga palisiya o pagtan-aw sa mga taho
Helpdesk Admin
Abilidad sa pagtan-aw sa nag-unang dashboard, ang tanan nga mga taho, larms ug troubleshooting sapa
Dili ka makausab, makahimo o makatangtang sa mga taho, mga alarma ug mga log sa pag-authenticate
Identidad Admin
Pagdumala sa mga tiggamit, mga pribilehiyo ug mga tahas, ang abilidad sa pagtan-aw sa mga troso, mga taho ug mga alarma
Dili nimo mabag-o ang mga palisiya o mahimo ang mga buluhaton sa lebel sa OS
Admin sa MnT
Ang bug-os nga pag-monitor, mga taho, mga alarma, mga troso ug ang ilang pagdumala
Kawalay katakus sa pag-usab sa bisan unsang mga palisiya
Admin sa Device sa Network
Mga katungod sa paghimo ug pagbag-o sa mga butang sa ISE, pagtan-aw sa mga log, mga taho, panguna nga dashboard
Dili nimo mabag-o ang mga palisiya o mahimo ang mga buluhaton sa lebel sa OS
Admin sa polisiya
Ang bug-os nga pagdumala sa tanan nga mga palisiya, pagbag-o sa mga profile, setting, pagtan-aw sa mga taho
Kawalay katakus sa paghimo sa mga setting nga adunay mga kredensyal, mga butang sa ISE
Admin sa RBAC
Ang tanan nga mga setting sa tab nga Mga Operasyon, mga setting sa palisiya sa ANC, pagdumala sa pagreport
Dili ka makausab sa mga polisiya gawas sa ANC o makahimo sa mga buluhaton sa lebel sa OS
super Admin
Ang mga katungod sa tanan nga mga setting, pagreport ug pagdumala, mahimong makatangtang ug makabag-o sa mga kredensyal sa tagdumala
Dili mausab, tangtangon ang laing profile gikan sa grupo sa Super Admin
Sistema sa Admin
Ang tanan nga mga setting sa tab nga Mga Operasyon, pagdumala sa mga setting sa sistema, palisiya sa ANC, pagtan-aw sa mga taho
Dili ka makausab sa mga polisiya gawas sa ANC o makahimo sa mga buluhaton sa lebel sa OS
External RESTful Services (ERS) Admin
Bug-os nga pag-access sa Cisco ISE REST API
Alang ra sa pagtugot, pagdumala sa mga lokal nga tiggamit, host ug grupo sa seguridad (SG)
External RESTful Services (ERS) Operator
Mga Permiso sa Pagbasa sa Cisco ISE REST API
Alang ra sa pagtugot, pagdumala sa mga lokal nga tiggamit, host ug grupo sa seguridad (SG)
Figure 11. Predefined Cisco ISE Administrator Groups
8) Mga ekstra sa tab Awtorisasyon > Mga Permiso > Patakaran sa RBAC Mahimo nimong usbon ang mga katungod sa gitakda nang daan nga mga tigdumala.
Figure 12. Cisco ISE Administrator Preset Profile Rights Management
9) Sa tab Administrasyon > Sistema > Mga Setting Ang tanan nga mga setting sa sistema magamit (DNS, NTP, SMTP ug uban pa). Mahimo nimong pun-on kini dinhi kung gimingaw nimo sila sa panahon sa inisyal nga pagsugod sa aparato.
5. Panapos
Kini nagtapos sa unang artikulo. Among gihisgutan ang pagka-epektibo sa Cisco ISE NAC nga solusyon, ang arkitektura niini, ang minimum nga mga kinahanglanon ug mga opsyon sa pag-deploy, ug ang inisyal nga pag-instalar.
Sa sunod nga artikulo, atong tan-awon ang paghimo og mga account, pag-integrate sa Microsoft Active Directory, ug paghimo og bisita nga access.
Kung naa kay pangutana bahin sa kini nga hilisgutan o nanginahanglan tabang sa pagsulay sa produkto, palihug kontaka .
Pagbantay alang sa mga update sa among mga channel (, , , , ).
Source: www.habr.com