1. Introduzione
Ogni cumpagnia, ancu a più chjuca, hà bisognu di l'autentificazione, l'autorizazione è a cuntabilità di l'utilizatori (famiglia di protokolli AAA). In u stadiu iniziale, AAA hè abbastanza bè implementatu cù protokolli cum'è RADIUS, TACACS + è DIAMETER. In ogni casu, cum'è u numeru di l'utilizatori è a cumpagnia cresce, u numeru di cumpetenze cresce ancu: visibilità massima di l'ospiti è di i dispositi BYOD, l'autentificazione multi-fattore, a creazione di una pulitica d'accessu multi-livellu è assai più.
Per tali compiti, a classa di suluzioni NAC (Network Access Control) hè perfetta - u cuntrollu di l'accessu à a rete. In una seria di articuli dedicati à (Identity Services Engine) - Soluzione NAC per furnisce u cuntrollu di l'accessu cuntestu à l'utilizatori nantu à a reta interna, daremu un ochju detallatu à l'architettura, a pruvista, a cunfigurazione è a licenza di a suluzione.
Permettemu di ricurdà brevemente chì Cisco ISE vi permette di:
-
Crea rapidamente è facilmente l'accessu d'ospiti nantu à una WLAN dedicata;
-
Detectà i dispositi BYOD (per esempiu, i PC di casa di l'impiegati chì anu purtatu à u travagliu);
-
Centralizà è rinfurzà e pulitiche di sicurità à traversu l'utilizatori di dominiu è micca di duminiu utilizendu etichette di gruppu di sicurezza SGT );
-
Verificate l'urdinatori per certi software installati è u rispettu di i normi (posturing);
-
Classificà è prufilu i dispositi finali è di rete;
-
Fornite visibilità endpoint;
-
Mandate logs di l'avvenimenti di login / logoff di l'utilizatori, i so cunti (identità) à NGFW per furmà una pulitica basata in l'utilizatori;
-
Integrate nativamente cù Cisco StealthWatch è mette in quarantena l'ospiti sospetti implicati in incidenti di sicurezza ();
-
E altre caratteristiche standard per i servitori AAA.
I culleghi di l'industria anu digià scrittu annantu à Cisco ISE, cusì vi cunsigliu di leghje: ,.
2. Architettura
L'architettura di l'Identity Services Engine hà 4 entità (nodi): un nodu di gestione (Node di Amministrazione di Politiche), un nodu di distribuzione di pulitica (Node di serviziu di pulitica), un nodu di monitoraghju (Node di Monitoring) è un nodu PxGrid (Node PxGrid). Cisco ISE pò esse in una installazione standalone o distribuita. In a versione Standalone, tutte l'entità sò situate nantu à una macchina virtuale o un servitore fisicu (Servitori di Rete Secure - SNS), mentre chì in a versione Distribuita, i nodi sò distribuiti in diversi dispositi.
Policy Administration Node (PAN) hè un nodu necessariu chì vi permette di fà tutte l'operazioni amministrative nantu à Cisco ISE. Gestisce tutte e cunfigurazioni di u sistema ligati à AAA. In una cunfigurazione distribuita (i nodi ponu esse installati cum'è macchine virtuali separati), pudete avè un massimu di dui PAN per a tolleranza di difetti - Modu attivu / Standby.
Policy Service Node (PSN) hè un node ubligatoriu chì furnisce l'accessu à a rete, u statu, l'accessu di l'ospiti, l'approvvigionamentu di u serviziu di u cliente è u prufilu. PSN valuta a pulitica è l'applica. Di genere, parechji PSN sò stallati, in particulare in una cunfigurazione distribuita, per una operazione più redundante è distribuita. Di sicuru, pruvate d'installà sti nodi in diversi segmenti per ùn perde a capacità di furnisce l'accessu autenticatu è autorizatu per un secondu.
Monitoring Node (MnT) hè un node obligatoriu chì guarda i logs d'avvenimenti, logs di altri nodi è pulitiche in a reta. U node MnT furnisce strumenti avanzati per u monitoraghju è a risoluzione di i prublemi, raccoglie è correlate diverse dati, è furnisce ancu rapporti significativi. Cisco ISE permette di avè un massimu di dui nodi MnT, per quessa, creanu a tolleranza di difetti - Modu attivu / Standby. Tuttavia, i logs sò cullati da i dui nodi, sia attivi sia passivi.
PxGrid Node (PXG) hè un node chì usa u protocolu PxGrid è permette a cumunicazione trà altri dispositi chì supportanu PxGrid.
- un protokollu chì assicura l'integrazione di i prudutti di l'infrastruttura di sicurezza di l'informatica è di l'infurmazioni da diversi venditori: sistemi di monitoraghju, sistemi di rilevazione è prevenzione di intrusioni, piattaforme di gestione di pulitica di sicurezza è parechje altre soluzioni. Cisco PxGrid vi permette di sparte u cuntestu in una manera unidirezionale o bidirezionale cù parechje piattaforme senza bisognu di API, permettendu cusì a tecnulugia. (Tags SGT), cambiate è applicà a pulitica ANC (Controllu di a Rete Adattativa), è ancu eseguisce profiling - determinendu u mudellu di u dispositivu, OS, locu, è più.
In una cunfigurazione d'alta dispunibilità, i nodi PxGrid replicanu l'infurmazioni trà i nodi nantu à un PAN. Se u PAN hè disattivatu, u node PxGrid ferma l'autentificazione, l'autorizazione è a cuntabilità per l'utilizatori.
A sottu hè una rappresentazione schematica di l'operazione di e diverse entità Cisco ISE in una reta corporativa.
Figura 1. Architettura Cisco ISE
3. Requisiti
Cisco ISE pò esse implementatu, cum'è a maiò parte di e soluzioni muderne, virtualmente o fisicamente cum'è un servitore separatu.
I dispositi fisichi chì eseguenu u software Cisco ISE sò chjamati SNS (Secure Network Server). Veninu in trè mudelli: SNS-3615, SNS-3655 è SNS-3695 per i picculi, mediani è grandi imprese. A Tabella 1 mostra l'infurmazioni da SNS.
Table 1. Table paragunata di SNS per diverse scale
Parameter
SNS 3615 (Picculu)
SNS 3655 (mediu)
SNS 3695 (grande)
Numero di endpoint supportati in una installazione Standalone
10000
25000
50000
Numero di endpoint supportati per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID hardware
No
RAID 10, presenza di controller RAID
RAID 10, presenza di controller RAID
Interfaces di rete
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
In quantu à l'implementazioni virtuali, l'ipervisori supportati sò VMware ESXi (si consiglia una versione minima di VMware 11 per ESXi 6.0), Microsoft Hyper-V è Linux KVM (RHEL 7.0). Risorse deve esse apprussimatamente listessi cum'è in a tavula sopra, o più. Tuttavia, i requisiti minimi per una macchina virtuale di picculi imprese sò: CPU 2 cù una frequenza di 2.0 GHz è più altu, 16 GB di RAM и 200 GB HDD.
Per altri dettagli di implementazione di Cisco ISE, cuntattate o à , .
4. Installazione
Cum'è a maiò parte di l'altri prudutti Cisco, ISE pò esse pruvatu in parechje manere:
-
- serviziu cloud di layout di laboratoriu preinstallatu (cuntu Cisco necessariu);
-
- dumanda da Cisco di certu software (metudu per i partenarii). Crea un casu cù a seguente descrizzione tipica: Tipu di produttu [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Patch ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- cuntattate qualsiasi partenariu autorizatu per fà un prughjettu pilotu gratuitu.
1) Dopu avè creatu una macchina virtuale, se avete dumandatu un schedariu ISO è micca un mudellu OVA, una finestra apparirà in quale ISE richiede di selezziunà una installazione. Per fà questu, invece di u vostru login è password, duvete scrive "istituisci"!
Nutate bè: se avete implementatu ISE da u mudellu OVA, allora i dati di login admin/MyIseYPass2 (questu è assai più hè indicatu in u ufficiale ).
Figura 2. Installazione di Cisco ISE
2) Allora duvete compie i campi necessarii cum'è l'indirizzu IP, DNS, NTP è altri.
Figura 3. Initializing Cisco ISE
3) Dopu à quessa, u dispusitivu hà da reboot, è tù sarè capaci di cunnette vi via l 'interfaccia web utilizendu l 'indirizzu IP prima specificata.
Figura 4. Cisco ISE Web Interface
4) In tab Amministrazione> Sistema> Impiegazione pudete selezziunà quali nodi (entità) sò attivati in un dispositivu particulari. U node PxGrid hè attivatu quì.
Figura 5. Cisco ISE Entity Management
5) Allora in tabulazione Amministrazione> Sistema> Accessu Admin> prucedimentu Aghju cunsigliatu per stabilisce una pulitica di password, un metudu di autentificazione (certificatu o password), data di scadenza di u contu è altre paràmetri.
Figura 6. Configurazione di u tipu d'autentificazioneFigura 7. Paràmetri di pulitica di passwordFigura 8. Configurazione di l'arrestu di u contu dopu à u tempuFigura 9. Stabbilimentu di u bloccu di u contu
6) In tab Administration > System > Admin Access > Administrators > Admin Users > Add pudete creà un novu amministratore.
Figura 10. Crià un Amministratore Local Cisco ISE
7) U novu amministratore pò esse fattu parte di un novu gruppu o gruppi digià predefiniti. I gruppi di amministratori sò amministrati in u stessu pannellu in a tabulazione Gruppi Admin. A Tabella 2 riassume l'infurmazioni nantu à l'amministratori ISE, i so diritti è i so roli.
Table 2. Cisco ISE Administrator Groups, Access Levels, Permissions, and Restrictions
U nome di u gruppu di l'amministratore
Risuluzzioni
Restrictions
Admin di persunalizazione
Configurazione di portali d'ospiti è di sponsorizazione, amministrazione è persunalizazione
Incapacità di cambià e pulitiche o di vede i rapporti
Amministratore di Helpdesk
Capacità di vede u dashboard principale, tutti i rapporti, larmi è flussi di risoluzione di prublemi
Ùn pudete micca cambià, creà o sguassà rapporti, allarmi è logs di autentificazione
Amministratore di l'identità
Gestisce l'utilizatori, i privilegii è i roli, a capacità di vede logs, rapporti è alarmi
Ùn pudete micca cambià e pulitiche o eseguisce attività à u livellu di u SO
Mnt Admin
Monitoraghju cumpletu, rapporti, allarmi, logs è a so gestione
Incapacità di cambià ogni pulitica
Amministratore di u dispositivu di rete
I diritti per creà è cambià l'uggetti ISE, vede logs, rapporti, dashboard principale
Ùn pudete micca cambià e pulitiche o eseguisce attività à u livellu di u SO
Politica Admin
Gestione cumpleta di tutte e pulitiche, cambià i profili, paràmetri, vede rapporti
Incapacità di realizà paràmetri cù credenziali, oggetti ISE
Amministratore RBAC
Tutti i paràmetri in a tabulazione Operazioni, paràmetri di pulitica ANC, gestione di rapportu
Ùn pudete micca cambià e pulitiche altru ch'è ANC o eseguisce attività à u livellu di u SO
Super Admin
I diritti à tutti i paràmetri, rapportu è gestione, ponu sguassà è cambià e credenziali di l'amministratore
Ùn pò micca cambià, sguassate un altru prufilu da u gruppu Super Admin
Sistema Admin
Tutti i paràmetri in a tabulazione Operazioni, a gestione di i paràmetri di u sistema, a pulitica ANC, a visualizazione di i rapporti
Ùn pudete micca cambià e pulitiche altru ch'è ANC o eseguisce attività à u livellu di u SO
Servizi esterni RESTful (ERS) Admin
Accès complet à l'API Cisco ISE REST
Solu per l'autorizazione, a gestione di l'utilizatori lucali, l'ospiti è i gruppi di sicurità (SG)
Operatore di servizii RESTful esterni (ERS).
Cisco ISE REST API Read Permissions
Solu per l'autorizazione, a gestione di l'utilizatori lucali, l'ospiti è i gruppi di sicurità (SG)
Figura 11. Cisco ISE Administrator Groups predefiniti
8) Opzionale in a tabulazione Authorization> Permissions> RBAC Policy Pudete edità i diritti di amministratori predefiniti.
Figura 12. Cisco ISE Administrator Preset Profile Rights Management
9) In tab Administration> System> Settings Tutti i paràmetri di u sistema sò dispunibili (DNS, NTP, SMTP è altri). Pudete cumpricà quì s'è vo li mancava durante l'inizializazione iniziale di u dispusitivu.
5. Chjave
Questu cuncludi u primu articulu. Avemu discututu l'efficacità di a suluzione Cisco ISE NAC, a so architettura, i requisiti minimi è l'opzioni di implementazione, è a stallazione iniziale.
In u prossimu articulu, guardemu a creazione di cunti, l'integrazione cù Microsoft Active Directory, è a creazione di l'accessu d'ospiti.
Sì avete dumande nantu à questu tema o avete bisognu di aiutu per pruvà u pruduttu, per piacè cuntattate .
State sintonizzati per l'aghjurnamenti in i nostri canali (, , , , ).
Source: www.habr.com