Mae angen i bob cwmni, hyd yn oed yr un lleiaf, ddilysu, awdurdodi a chyfrifyddu defnyddwyr (teulu protocolau AAA). Yn y cam cychwynnol, mae AAA yn cael ei weithredu'n eithaf da gan ddefnyddio protocolau fel RADIUS, TACACS+ a DIAMETER. Fodd bynnag, wrth i nifer y defnyddwyr a'r cwmni dyfu, mae nifer y tasgau hefyd yn cynyddu: gwelededd mwyaf gwesteiwyr a dyfeisiau BYOD, dilysu aml-ffactor, creu polisi mynediad aml-lefel a llawer mwy.
Ar gyfer tasgau o'r fath, mae dosbarth atebion NAC (Rheoli Mynediad Rhwydwaith) yn berffaith - rheoli mynediad rhwydwaith. Mewn cyfres o erthyglau sy'n ymroddedig i Cisco ISE (Injan Gwasanaethau Hunaniaeth) - Ateb NAC ar gyfer darparu rheolaeth mynediad sy'n ymwybodol o gyd-destun i ddefnyddwyr ar y rhwydwaith mewnol, byddwn yn edrych yn fanwl ar bensaernïaeth, darpariaeth, cyfluniad a thrwyddedu'r datrysiad.
Gadewch imi eich atgoffa'n fyr bod Cisco ISE yn caniatáu ichi:
Creu mynediad i westeion yn gyflym ac yn hawdd ar WLAN pwrpasol;
Canfod dyfeisiau BYOD (er enghraifft, cyfrifiaduron personol y gweithwyr y daethant â hwy i'r gwaith);
Canoli a gorfodi polisïau diogelwch ar draws defnyddwyr parth a rhai nad ydynt yn rhan o'r parth gan ddefnyddio labeli grŵp diogelwch SGT TrustSec);
Gwirio cyfrifiaduron ar gyfer meddalwedd penodol sydd wedi'i osod a chydymffurfiaeth â safonau (ystumio);
Dosbarthu a phroffilio diweddbwynt a dyfeisiau rhwydwaith;
Darparu gwelededd pwynt terfyn;
Anfon logiau digwyddiadau o fewngofnodi/allgofnodi defnyddwyr, eu cyfrifon (hunaniaeth) i NGFW i ffurfio polisi sy'n seiliedig ar ddefnyddwyr;
Integreiddio'n frodorol gyda Cisco StealthWatch a gwesteiwyr amheus cwarantîn sy'n ymwneud â digwyddiadau diogelwch (mwy);
A nodweddion eraill safonol ar gyfer gweinyddwyr AAA.
Mae gan bensaernïaeth y Peiriant Gwasanaethau Hunaniaeth 4 endid (nodau): nod rheoli (Nôd Gweinyddu Polisi), nod dosbarthu polisi (Nôd Gwasanaeth Polisi), nod monitro (Nôd Monitro) a nod PxGrid (Nôd PxGrid). Gall Cisco ISE fod mewn gosodiad annibynnol neu ddosbarthedig. Yn y fersiwn Standalone, mae pob endid wedi'i leoli ar un peiriant rhithwir neu weinydd corfforol (Gweinyddwyr Rhwydwaith Diogel - SNS), tra yn y fersiwn Dosbarthedig, mae'r nodau'n cael eu dosbarthu ar draws gwahanol ddyfeisiau.
Mae Nod Gweinyddu Polisi (PAN) yn nod gofynnol sy'n eich galluogi i gyflawni'r holl weithrediadau gweinyddol ar Cisco ISE. Mae'n ymdrin â holl gyfluniadau system sy'n gysylltiedig ag AAA. Mewn cyfluniad dosbarthedig (gellir gosod nodau fel peiriannau rhithwir ar wahân), gallwch gael uchafswm o ddau PAN ar gyfer goddef diffygion - modd Actif / Wrth Gefn.
Mae Polisi Gwasanaeth Node (PSN) yn nod gorfodol sy'n darparu mynediad rhwydwaith, cyflwr, mynediad gwestai, darparu gwasanaeth cleient, a phroffilio. Mae PSN yn gwerthuso'r polisi ac yn ei gymhwyso. Yn nodweddiadol, mae PSNs lluosog yn cael eu gosod, yn enwedig mewn cyfluniad dosbarthedig, ar gyfer gweithrediad mwy segur a gwasgaredig. Wrth gwrs, maen nhw'n ceisio gosod y nodau hyn mewn gwahanol segmentau er mwyn peidio â cholli'r gallu i ddarparu mynediad dilys ac awdurdodedig am eiliad.
Mae Nod Monitro (MnT) yn nod gorfodol sy'n storio logiau digwyddiadau, logiau nodau eraill a pholisïau ar y rhwydwaith. Mae'r nod MnT yn darparu offer datblygedig ar gyfer monitro a datrys problemau, yn casglu ac yn cydberthyn data amrywiol, ac mae hefyd yn darparu adroddiadau ystyrlon. Mae Cisco ISE yn caniatáu ichi gael uchafswm o ddau nod MnT, a thrwy hynny greu goddefgarwch nam - modd Actif / Wrth Gefn. Fodd bynnag, cesglir logiau gan y ddau nod, yn weithredol ac yn oddefol.
Mae PxGrid Node (PXG) yn nod sy'n defnyddio'r protocol PxGrid ac yn caniatáu cyfathrebu rhwng dyfeisiau eraill sy'n cefnogi PxGrid.
PxGrid - protocol sy'n sicrhau integreiddio cynhyrchion seilwaith TG a diogelwch gwybodaeth gan wahanol werthwyr: systemau monitro, systemau canfod ac atal ymyrraeth, llwyfannau rheoli polisi diogelwch a llawer o atebion eraill. Mae Cisco PxGrid yn caniatáu ichi rannu cyd-destun mewn modd un cyfeiriad neu ddeugyfeiriad gyda llawer o lwyfannau heb fod angen APIs, a thrwy hynny alluogi'r dechnoleg TrustSec (tagiau SGT), newid a chymhwyso polisi ANC (Rheoli Rhwydwaith Addasol), yn ogystal â pherfformio proffilio - pennu model y ddyfais, OS, lleoliad, a mwy.
Mewn cyfluniad argaeledd uchel, mae nodau PxGrid yn dyblygu gwybodaeth rhwng nodau dros PAN. Os yw'r PAN yn anabl, mae'r nod PxGrid yn stopio dilysu, awdurdodi a chyfrifo defnyddwyr.
Isod mae cynrychiolaeth sgematig o weithrediad gwahanol endidau Cisco ISE mewn rhwydwaith corfforaethol.
Ffigur 1. Pensaernïaeth Cisco ISE
3. Gofynion
Gellir gweithredu Cisco ISE, fel y mwyafrif o atebion modern, yn rhithwir neu'n gorfforol fel gweinydd ar wahân.
Gelwir dyfeisiau ffisegol sy'n rhedeg meddalwedd Cisco ISE yn SNS (Secure Network Server). Maent yn dod mewn tri model: SNS-3615, SNS-3655 a SNS-3695 ar gyfer busnesau bach, canolig a mawr. Mae Tabl 1 yn dangos gwybodaeth o Taflen data SNS.
Tabl 1. Tabl cymharu SNS ar gyfer gwahanol raddfeydd
Paramedr
SNS 3615 (Bach)
SNS 3655 (Canolig)
SNS 3695 (mawr)
Nifer y pwyntiau terfyn a gefnogir mewn gosodiad Standalone
10000
25000
50000
Nifer y pwyntiau terfyn a gefnogir fesul PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 craidd
12 craidd
12 craidd
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Caledwedd
Dim
RAID 10, presenoldeb rheolydd RAID
RAID 10, presenoldeb rheolydd RAID
Rhyngwynebau rhwydwaith
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
O ran gweithrediadau rhithwir, y hypervisors a gefnogir yw VMware ESXi (argymhellir isafswm fersiwn VMware 11 ar gyfer ESXi 6.0), Microsoft Hyper-V a Linux KVM (RHEL 7.0). Dylai adnoddau fod tua'r un peth ag yn y tabl uchod, neu fwy. Fodd bynnag, y gofynion sylfaenol ar gyfer peiriant rhithwir busnes bach yw: CPU 2 gydag amledd o 2.0 GHz ac uwch, 16 GB RAM и 200 GBHDD.
Fel y mwyafrif o gynhyrchion Cisco eraill, gellir profi ISE mewn sawl ffordd:
dcloud – gwasanaeth cwmwl o gynlluniau labordy wedi'u gosod ymlaen llaw (angen cyfrif Cisco);
Cais GVE - cais gan safle Cisco o rai meddalwedd (dull ar gyfer partneriaid). Rydych chi'n creu achos gyda'r disgrifiad nodweddiadol canlynol: Math o gynnyrch [ISE], Meddalwedd ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
prosiect peilot — cysylltu ag unrhyw bartner awdurdodedig i gynnal prosiect peilot am ddim.
1) Ar ôl creu peiriant rhithwir, os gwnaethoch ofyn am ffeil ISO ac nid templed OVA, bydd ffenestr yn ymddangos lle mae ISE yn gofyn ichi ddewis gosodiad. I wneud hyn, yn lle eich mewngofnodi a chyfrinair, dylech ysgrifennu “setup"!
Nodyn: os gwnaethoch chi ddefnyddio ISE o dempled OVA, yna'r manylion mewngofnodi gweinyddol/MyIseYPass2 (nodir hyn a llawer mwy yn y swyddog tywys).
Ffigur 2. Gosod Cisco ISE
2) Yna dylech lenwi'r meysydd gofynnol fel cyfeiriad IP, DNS, NTP ac eraill.
Ffigur 3. Cychwyn Cisco ISE
3) Ar ôl hynny, bydd y ddyfais yn ailgychwyn, a byddwch yn gallu cysylltu trwy'r rhyngwyneb gwe gan ddefnyddio'r cyfeiriad IP a nodwyd yn flaenorol.
Ffigur 4. Rhyngwyneb Gwe Cisco ISE
4) Mewn tab Gweinyddu > System > Defnyddio gallwch ddewis pa nodau (endidau) sydd wedi'u galluogi ar ddyfais benodol. Mae'r nod PxGrid wedi'i alluogi yma.
Ffigur 5. Cisco Rheoli Endid ISE
5) Yna yn y tab Gweinyddu > System > Mynediad Gweinyddol >Dilysu Rwy'n argymell sefydlu polisi cyfrinair, dull dilysu (tystysgrif neu gyfrinair), dyddiad dod i ben y cyfrif, a gosodiadau eraill.
Ffigur 6. Gosodiad math dilysuFfigur 7. Gosodiadau polisi cyfrinairFfigur 8. Sefydlu cau cyfrifon ar ôl i amser ddod i benFfigur 9. Sefydlu cloi cyfrif
6) Mewn tab Gweinyddu > System > Mynediad Gweinyddol > Gweinyddwyr > Defnyddwyr Gweinyddol > Ychwanegu gallwch greu gweinyddwr newydd.
Ffigur 10. Creu Gweinyddwr Cisco ISE Lleol
7) Gellir gwneud y gweinyddwr newydd yn rhan o grŵp newydd neu grwpiau sydd eisoes wedi'u diffinio ymlaen llaw. Rheolir grwpiau gweinyddwyr yn yr un panel yn y tab Grwpiau Gweinyddol. Mae Tabl 2 yn crynhoi gwybodaeth am weinyddwyr ISE, eu hawliau a'u rolau.
Tabl 2. Grwpiau Gweinyddwyr Cisco ISE, Lefelau Mynediad, Caniatâd, a Chyfyngiadau
Enw grŵp gweinyddwr
Caniatadau
Cyfyngiadau
Gweinyddu Personoli
Sefydlu pyrth gwesteion a nawdd, gweinyddu ac addasu
Anallu i newid polisïau neu weld adroddiadau
Gweinyddwr y Ddesg Gymorth
Y gallu i weld y prif ddangosfwrdd, yr holl adroddiadau, larmau a ffrydiau datrys problemau
Ni allwch newid, creu na dileu adroddiadau, larymau a logiau dilysu
Gweinyddiaeth Hunaniaeth
Rheoli defnyddwyr, breintiau a rolau, y gallu i weld logiau, adroddiadau a larymau
Ni allwch newid polisïau na chyflawni tasgau ar lefel OS
Gweinyddiaeth MnT
Monitro llawn, adroddiadau, larymau, logiau a'u rheolaeth
Anallu i newid unrhyw bolisïau
Gweinyddwr Dyfais Rhwydwaith
Hawliau i greu a newid gwrthrychau ISE, gweld logiau, adroddiadau, prif ddangosfwrdd
Ni allwch newid polisïau na chyflawni tasgau ar lefel OS
Gweinyddol Polisi
Rheolaeth lawn o'r holl bolisïau, newid proffiliau, gosodiadau, gwylio adroddiadau
Anallu i berfformio gosodiadau gyda chymwysterau, gwrthrychau ISE
Gweinyddol RBAC
Pob gosodiad yn y tab Gweithrediadau, gosodiadau polisi ANC, rheoli adroddiadau
Ni allwch newid polisïau heblaw ANC na chyflawni tasgau ar lefel OS
Super Gweinyddol
Gall hawliau i bob lleoliad, adrodd a rheoli, ddileu a newid manylion gweinyddwr
Methu newid, dilëwch broffil arall o'r grŵp Gweinyddol Super
Gweinyddu'r System
Pob gosodiad yn y tab Gweithrediadau, rheoli gosodiadau system, polisi ANC, gweld adroddiadau
Ni allwch newid polisïau heblaw ANC na chyflawni tasgau ar lefel OS
Gweinyddol Gwasanaethau RESTful Allanol (ERS).
Mynediad llawn i'r Cisco ISE REST API
Dim ond ar gyfer awdurdodi, rheoli defnyddwyr lleol, gwesteiwyr a grwpiau diogelwch (SG)
Gweithredwr Gwasanaethau RESTful Allanol (ERS).
Cisco ISE REST API Caniatâd Darllen
Dim ond ar gyfer awdurdodi, rheoli defnyddwyr lleol, gwesteiwyr a grwpiau diogelwch (SG)
Ffigur 11. Grwpiau Gweinyddwyr Cisco ISE Rhagosodol
8) Extras yn y tab Awdurdodiad > Caniatâd > Polisi RBAC Gallwch olygu hawliau gweinyddwyr a ddiffiniwyd ymlaen llaw.
Ffigur 12. Cisco Gweinyddwr ISE Proffil Rheoli Hawliau Rhagosodedig
9) Mewn tab Gweinyddu > System > GosodiadauMae pob gosodiad system ar gael (DNS, NTP, SMTP ac eraill). Gallwch eu llenwi yma os gwnaethoch eu methu yn ystod cychwyniad cychwynnol y ddyfais.
5. Casgliad
Mae hyn yn cloi'r erthygl gyntaf. Buom yn trafod effeithiolrwydd datrysiad Cisco ISE NAC, ei bensaernïaeth, y gofynion sylfaenol a'r opsiynau lleoli, a'r gosodiad cychwynnol.
Yn yr erthygl nesaf, byddwn yn edrych ar greu cyfrifon, integreiddio â Microsoft Active Directory, a chreu mynediad gwestai.
Os oes gennych unrhyw gwestiynau ar y pwnc hwn neu os oes angen cymorth arnoch i brofi'r cynnyrch, cysylltwch â cyswllt.