Každá společnost, i ta nejmenší, potřebuje autentizaci, autorizaci a účtování uživatelů (rodina protokolů AAA). V počáteční fázi je AAA docela dobře implementováno pomocí protokolů jako RADIUS, TACACS+ a DIAMETER. S rostoucím počtem uživatelů a společnosti však roste i počet úkolů: maximální viditelnost hostitelů a zařízení BYOD, vícefaktorová autentizace, vytváření politiky víceúrovňového přístupu a mnoho dalšího.
Pro takové úlohy je perfektní třída řešení NAC (Network Access Control) - řízení přístupu k síti. V sérii článků věnovaných Cisco ISE (Identity Services Engine) - řešení NAC pro poskytování kontextového řízení přístupu uživatelům v interní síti, podrobně se podíváme na architekturu, zřizování, konfiguraci a licencování řešení.
Dovolte mi krátce připomenout, že Cisco ISE vám umožňuje:
Rychle a snadno vytvořte přístup pro hosty na vyhrazené WLAN;
Detekce zařízení BYOD (například domácí počítače zaměstnanců, které si přinesli do práce);
Centralizujte a vynucujte zásady zabezpečení napříč doménami i uživateli mimo doménu pomocí štítků skupin zabezpečení SGT TrustSec);
Zkontrolujte, zda je v počítačích nainstalovaný určitý software a zda jsou v souladu s normami (posuzování);
Klasifikujte a profilujte koncová a síťová zařízení;
Zajistěte viditelnost koncového bodu;
Odesílat protokoly událostí přihlášení/odhlášení uživatelů, jejich účtů (identity) do NGFW za účelem vytvoření politiky založené na uživateli;
Nativní integrace s Cisco StealthWatch a karanténa podezřelých hostitelů zapojených do bezpečnostních incidentů (více);
Architektura Identity Services Engine má 4 entity (uzly): uzel pro správu (Uzel správy zásad), uzel pro distribuci zásad (uzel služeb zásad), uzel monitorování (uzel monitorování) a uzel PxGrid (uzel PxGrid). Cisco ISE může být v samostatné nebo distribuované instalaci. Ve verzi Standalone jsou všechny entity umístěny na jednom virtuálním počítači nebo fyzickém serveru (Secure Network Servers - SNS), zatímco ve verzi Distributed jsou uzly distribuovány na různá zařízení.
Policy Administration Node (PAN) je povinný uzel, který umožňuje provádět všechny administrativní operace na Cisco ISE. Zvládá všechny systémové konfigurace související s AAA. V distribuované konfiguraci (uzly mohou být instalovány jako samostatné virtuální stroje) můžete mít maximálně dvě čísla PAN pro odolnost proti chybám – režim Active/Standby.
Policy Service Node (PSN) je povinný uzel, který poskytuje síťový přístup, stav, přístup pro hosty, poskytování klientských služeb a profilování. PSN vyhodnotí politiku a aplikuje ji. Obvykle je instalováno více PSN, zejména v distribuované konfiguraci, pro redundantní a distribuovaný provoz. Samozřejmě se snaží tyto uzly instalovat do různých segmentů, aby ani na vteřinu neztratili možnost poskytovat ověřený a autorizovaný přístup.
Monitorovací uzel (MnT) je povinný uzel, který ukládá protokoly událostí, protokoly ostatních uzlů a zásady v síti. Uzel MnT poskytuje pokročilé nástroje pro monitorování a odstraňování problémů, shromažďuje a koreluje různá data a také poskytuje smysluplné zprávy. Cisco ISE vám umožňuje mít maximálně dva uzly MnT, čímž vytváří odolnost proti chybám – režim Active/Standby. Protokoly shromažďují oba uzly, aktivní i pasivní.
PxGrid Node (PXG) je uzel, který využívá protokol PxGrid a umožňuje komunikaci mezi ostatními zařízeními podporujícími PxGrid.
PxGrid — protokol, který zajišťuje integraci produktů infrastruktury IT a bezpečnosti informací od různých výrobců: monitorovací systémy, systémy detekce a prevence narušení, platformy pro správu bezpečnostní politiky a mnoho dalších řešení. Cisco PxGrid vám umožňuje sdílet kontext jednosměrným nebo obousměrným způsobem s mnoha platformami bez potřeby API, čímž umožňuje technologii TrustSec (značky SGT), měnit a aplikovat politiku ANC (Adaptive Network Control) a také provádět profilování – určování modelu zařízení, OS, umístění a další.
V konfiguraci s vysokou dostupností uzly PxGrid replikují informace mezi uzly přes PAN. Pokud je PAN deaktivováno, uzel PxGrid přestane ověřovat, autorizovat a účtovat uživatele.
Níže je schematicky znázorněno fungování různých entit Cisco ISE v podnikové síti.
Obrázek 1. Architektura Cisco ISE
3. Požadavky
Cisco ISE lze implementovat jako většinu moderních řešení virtuálně nebo fyzicky jako samostatný server.
Fyzická zařízení se softwarem Cisco ISE se nazývají SNS (Secure Network Server). Dodávají se ve třech modelech: SNS-3615, SNS-3655 a SNS-3695 pro malé, střední a velké podniky. Tabulka 1 ukazuje informace z datový list SNS.
Tabulka 1. Srovnávací tabulka SNS pro různá měřítka
Parametr
SNS 3615 (malý)
SNS 3655 (střední)
SNS 3695 (velký)
Počet podporovaných koncových bodů v samostatné instalaci
10000
25000
50000
Počet podporovaných koncových bodů na PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 jader
12 jader
12 jader
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardwarový RAID
Ne
RAID 10, přítomnost řadiče RAID
RAID 10, přítomnost řadiče RAID
Síťová rozhraní
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Pokud jde o virtuální implementace, podporované hypervizory jsou VMware ESXi (doporučuje se minimálně VMware verze 11 pro ESXi 6.0), Microsoft Hyper-V a Linux KVM (RHEL 7.0). Zdroje by měly být přibližně stejné jako v tabulce výše nebo více. Minimální požadavky na virtuální stroj pro malé firmy jsou však: CPU 2 s frekvencí 2.0 GHz a vyšší, 16 GB RAM и 200 GBHDD.
Pro další podrobnosti o nasazení Cisco ISE kontaktujte nás nebo do zdroj #1, zdroj #2.
4. Instalace
Stejně jako většinu ostatních produktů Cisco lze ISE testovat několika způsoby:
dcloud – cloudová služba předinstalovaných laboratorních uspořádání (vyžadován účet Cisco);
žádost GVE – žádost od сайта Cisco určitého softwaru (metoda pro partnery). Vytvoříte případ s následujícím typickým popisem: Typ produktu [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilotní projekt — kontaktujte kteréhokoli autorizovaného partnera za účelem provedení bezplatného pilotního projektu.
1) Po vytvoření virtuálního stroje, pokud jste požadovali soubor ISO a ne šablonu OVA, vyskočí okno, ve kterém ISE vyžaduje, abyste vybrali instalaci. Chcete-li to provést, místo svého přihlašovacího jména a hesla byste měli napsat „Nastavení“!
Poznámka: pokud jste nasadili ISE ze šablony OVA, pak přihlašovací údaje admin/MyIseYPass2 (toto a mnohem více je uvedeno v oficiálním průvodce).
Obrázek 2. Instalace Cisco ISE
2) Poté byste měli vyplnit požadovaná pole, jako je IP adresa, DNS, NTP a další.
Obrázek 3. Inicializace Cisco ISE
3) Poté se zařízení restartuje a budete se moci připojit přes webové rozhraní pomocí dříve zadané IP adresy.
Obrázek 4. Webové rozhraní Cisco ISE
4) V tab Administrace > Systém > Nasazení můžete vybrat, které uzly (entity) jsou na konkrétním zařízení povoleny. Zde je povolen uzel PxGrid.
Obrázek 5. Cisco ISE Entity Management
5) Poté v tab Administrace > Systém > Přístup správce >Ověřování Doporučuji nastavit politiku hesel, způsob ověřování (certifikát nebo heslo), datum vypršení platnosti účtu a další nastavení.
Obrázek 6. Nastavení typu autentizaceObrázek 7. Nastavení zásad heslaObrázek 8. Nastavení vypnutí účtu po uplynutí časuObrázek 9. Nastavení uzamčení účtu
6) V tab Administrace > Systém > Admin Access > Administrátoři > Admin Users > Přidat můžete vytvořit nového správce.
Obrázek 10. Vytvoření místního správce Cisco ISE
7) Nový správce může být součástí nové skupiny nebo již předdefinovaných skupin. Skupiny administrátorů se spravují na stejném panelu na kartě Administrátorské skupiny. Tabulka 2 shrnuje informace o správcích ISE, jejich právech a rolích.
Tabulka 2. Skupiny správců Cisco ISE, úrovně přístupu, oprávnění a omezení
Název skupiny administrátorů
Oprávnění
Omezení
Správce přizpůsobení
Nastavení hostujících a sponzorských portálů, administrace a přizpůsobení
Nemožnost měnit zásady nebo zobrazovat sestavy
Administrátor helpdesku
Schopnost zobrazit hlavní panel, všechny zprávy, alarmy a toky řešení problémů
Nemůžete měnit, vytvářet ani mazat zprávy, alarmy a protokoly ověřování
Správce identity
Správa uživatelů, oprávnění a rolí, možnost prohlížení protokolů, zpráv a alarmů
Nemůžete měnit zásady ani provádět úlohy na úrovni operačního systému
Správce MnT
Plné monitorování, zprávy, alarmy, protokoly a jejich správa
Neschopnost změnit jakékoli zásady
Správce síťových zařízení
Práva vytvářet a měnit ISE objekty, prohlížet protokoly, sestavy, hlavní dashboard
Nemůžete měnit zásady ani provádět úlohy na úrovni operačního systému
Správce zásad
Kompletní správa všech zásad, změna profilů, nastavení, prohlížení reportů
Nemožnost provést nastavení pomocí přihlašovacích údajů, objektů ISE
Správce RBAC
Všechna nastavení na kartě Operace, nastavení zásad ANC, správa výkazů
Nemůžete měnit jiné zásady než ANC nebo provádět úkoly na úrovni operačního systému
Superadministrátor
Práva na všechna nastavení, hlášení a správu, mohou mazat a měnit přihlašovací údaje správce
Nelze změnit, smazat jiný profil ze skupiny Super Admin
Systémový administrátor
Všechna nastavení na kartě Operace, správa nastavení systému, zásada ANC, prohlížení zpráv
Nemůžete měnit jiné zásady než ANC nebo provádět úkoly na úrovni operačního systému
Správce externích služeb RESTful Services (ERS).
Plný přístup k Cisco ISE REST API
Pouze pro autorizaci, správu místních uživatelů, hostitelů a bezpečnostních skupin (SG)
Externí operátor RESTful Services (ERS).
Oprávnění ke čtení Cisco ISE REST API
Pouze pro autorizaci, správu místních uživatelů, hostitelů a bezpečnostních skupin (SG)
Obrázek 11. Předdefinované skupiny správců Cisco ISE
8) Volitelné v záložce Autorizace > Oprávnění > Zásady RBAC Můžete upravit práva předdefinovaných správců.
Obrázek 12. Cisco ISE Administrator Preset Profile Rights Management
9) V tab Administrace > Systém > NastaveníK dispozici jsou všechna systémová nastavení (DNS, NTP, SMTP a další). Zde je můžete vyplnit, pokud jste je přehlédli při úvodní inicializaci zařízení.
5. Závěr
Tím končí první článek. Probrali jsme efektivitu řešení Cisco ISE NAC, jeho architekturu, minimální požadavky a možnosti nasazení a počáteční instalaci.
V příštím článku se podíváme na vytváření účtů, integraci s Microsoft Active Directory a vytváření přístupu pro hosty.
Pokud máte dotazy k tomuto tématu nebo potřebujete pomoc s testováním produktu, kontaktujte nás odkaz.