Cisco ISE: Introduktion, krav, installation. Del 1
1. Introduktion
Hver virksomhed, selv den mindste, har et behov for autentificering, autorisation og brugerregnskab (AAA-familie af protokoller). I den indledende fase er AAA ganske godt implementeret ved hjælp af protokoller som RADIUS, TACACS+ og DIAMETER. Men efterhånden som antallet af brugere og virksomheden vokser, vokser antallet af opgaver også: maksimal synlighed af værter og BYOD-enheder, multi-faktor-autentificering, oprettelse af en adgangspolitik på flere niveauer og meget mere.
Til sådanne opgaver er NAC (Network Access Control) klassen af løsninger perfekt - netværksadgangskontrol. I en række artikler dedikeret til Cisco ISE (Identity Services Engine) - NAC-løsning til at give kontekstbevidst adgangskontrol til brugere på det interne netværk, vi vil tage et detaljeret kig på arkitekturen, leveringen, konfigurationen og licenseringen af løsningen.
Lad mig kort minde dig om, at Cisco ISE giver dig mulighed for at:
Opret hurtigt og nemt gæsteadgang på et dedikeret WLAN;
Registrer BYOD-enheder (f.eks. medarbejdernes hjemme-pc'er, som de havde med på arbejde);
Centraliser og håndhæv sikkerhedspolitikker på tværs af domæne- og ikke-domænebrugere ved hjælp af SGT-sikkerhedsgruppeetiketter TrustSec);
Tjek computere for bestemt software installeret og overensstemmelse med standarder (posturing);
Klassificering og profilering af slutpunkts- og netværksenheder;
Giv slutpunktssynlighed;
Send hændelseslogfiler for logon/logoff af brugere, deres konti (identitet) til NGFW for at danne en brugerbaseret politik;
Integrer indbygget med Cisco StealthWatch, og sæt mistænkelige værter involveret i sikkerhedshændelser i karantæne (mere);
Identity Services Engine-arkitekturen har 4 entiteter (knudepunkter): en administrationsknude (Policy Administration Node), en politikfordelingsknude (Policy Service Node), en overvågningsknude (Monitoring Node) og en PxGrid node (PxGrid Node). Cisco ISE kan være i en selvstændig eller distribueret installation. I Standalone-versionen er alle entiteter placeret på én virtuel maskine eller fysisk server (Secure Network Servers - SNS), mens i den distribuerede version er noderne fordelt på tværs af forskellige enheder.
Policy Administration Node (PAN) er en påkrævet node, der giver dig mulighed for at udføre alle administrative handlinger på Cisco ISE. Den håndterer alle systemkonfigurationer relateret til AAA. I en distribueret konfiguration (noder kan installeres som separate virtuelle maskiner), kan du maksimalt have to PAN'er til fejltolerance - Aktiv/Standby-tilstand.
Policy Service Node (PSN) er en obligatorisk node, der giver netværksadgang, tilstand, gæsteadgang, levering af klienttjenester og profilering. PSN evaluerer politikken og anvender den. Typisk installeres flere PSN'er, især i en distribueret konfiguration, for mere redundant og distribueret drift. Selvfølgelig forsøger de at installere disse noder i forskellige segmenter for ikke at miste evnen til at give autentificeret og autoriseret adgang et sekund.
Monitoring Node (MnT) er en obligatorisk node, der gemmer hændelseslogfiler, logfiler for andre noder og politikker på netværket. MnT-knuden leverer avancerede værktøjer til overvågning og fejlfinding, indsamler og korrelerer forskellige data og giver også meningsfulde rapporter. Cisco ISE giver dig mulighed for at have maksimalt to MnT-noder, og derved skabes fejltolerance - Aktiv/Standby-tilstand. Logfiler indsamles dog af begge noder, både aktive og passive.
PxGrid Node (PXG) er en node, der bruger PxGrid-protokollen og tillader kommunikation mellem andre enheder, der understøtter PxGrid.
PxGrid — en protokol, der sikrer integrationen af it- og informationssikkerhedsinfrastrukturprodukter fra forskellige leverandører: overvågningssystemer, indtrængendetekterings- og forebyggelsessystemer, platforme til administration af sikkerhedspolitik og mange andre løsninger. Cisco PxGrid giver dig mulighed for at dele kontekst på en ensrettet eller tovejs måde med mange platforme uden behov for API'er, hvilket muliggør teknologien TrustSec (SGT-tags), ændre og anvende ANC (Adaptive Network Control) politik, samt udføre profilering - bestemme enhedsmodel, OS, placering og mere.
I en konfiguration med høj tilgængelighed replikerer PxGrid-noder information mellem knudepunkter over et PAN. Hvis PAN er deaktiveret, stopper PxGrid-noden med at godkende, godkende og tage højde for brugere.
Nedenfor er en skematisk fremstilling af driften af forskellige Cisco ISE-enheder i et virksomhedsnetværk.
Figur 1. Cisco ISE-arkitektur
3. Krav
Cisco ISE kan implementeres, som de fleste moderne løsninger, virtuelt eller fysisk som en separat server.
Fysiske enheder, der kører Cisco ISE-software, kaldes SNS (Secure Network Server). De kommer i tre modeller: SNS-3615, SNS-3655 og SNS-3695 til små, mellemstore og store virksomheder. Tabel 1 viser oplysninger fra datablad SNS.
Tabel 1. Sammenligningstabel for SNS for forskellige skalaer
Parameter
SNS 3615 (lille)
SNS 3655 (medium)
SNS 3695 (stor)
Antal understøttede endepunkter i en selvstændig installation
10000
25000
50000
Antal understøttede endepunkter pr. PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kerner
12 kerner
12 kerner
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
Nej
RAID 10, tilstedeværelse af RAID-controller
RAID 10, tilstedeværelse af RAID-controller
Netværksgrænseflader
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Med hensyn til virtuelle implementeringer er de understøttede hypervisorer VMware ESXi (minimum VMware version 11 til ESXi 6.0 anbefales), Microsoft Hyper-V og Linux KVM (RHEL 7.0). Ressourcer skal være omtrent de samme som i tabellen ovenfor eller mere. Dog er minimumskravene for en virtuel maskine til små virksomheder: CPU 2 med en frekvens på 2.0 GHz og højere, 16 GB RAM и 200 GBHDD.
Som de fleste andre Cisco-produkter kan ISE testes på flere måder:
dcloud – cloud-service af præinstallerede laboratorielayouts (Cisco-konto påkrævet);
GVE anmodning – anmodning fra сайта Cisco af bestemt software (metode for partnere). Du opretter en sag med følgende typiske beskrivelse: Produkttype [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilot projekt — Kontakt enhver autoriseret partner for at gennemføre et gratis pilotprojekt.
1) Efter oprettelse af en virtuel maskine, hvis du har anmodet om en ISO-fil og ikke en OVA-skabelon, vil der poppe et vindue op, hvor ISE kræver, at du vælger en installation. For at gøre dette, i stedet for dit login og adgangskode, skal du skrive "setup“!
Note: hvis du implementerede ISE fra OVA-skabelon, så loginoplysningerne admin/MyIseYPass2 (dette og meget mere er angivet i den officielle guide).
Figur 2. Installation af Cisco ISE
2) Så skal du udfylde de påkrævede felter såsom IP-adresse, DNS, NTP og andre.
Figur 3. Initialisering af Cisco ISE
3) Derefter genstarter enheden, og du vil være i stand til at oprette forbindelse via webgrænsefladen ved hjælp af den tidligere angivne IP-adresse.
Figur 4. Cisco ISE Web Interface
4) I fanen Administration > System > Implementering du kan vælge, hvilke noder (enheder) der er aktiveret på en bestemt enhed. PxGrid-noden er aktiveret her.
Figur 5. Cisco ISE Entity Management
5) Derefter i fanen Administration > System > Adminadgang >Godkendelse Jeg anbefaler, at du opsætter en adgangskodepolitik, godkendelsesmetode (certifikat eller adgangskode), kontoudløbsdato og andre indstillinger.
Figur 6. Indstilling af godkendelsestypeFigur 7. Indstillinger for adgangskodepolitikFigur 8. Opsætning af kontolukning efter udløb af tidenFigur 9. Opsætning af kontolås
6) I fanen Administration > System > Adminadgang > Administratorer > Adminbrugere > Tilføj du kan oprette en ny administrator.
Figur 10. Oprettelse af en lokal Cisco ISE-administrator
7) Den nye administrator kan gøres til en del af en ny gruppe eller allerede foruddefinerede grupper. Administratorgrupper administreres i det samme panel på fanen Administratorgrupper. Tabel 2 opsummerer oplysninger om ISE-administratorer, deres rettigheder og roller.
Tabel 2. Cisco ISE-administratorgrupper, adgangsniveauer, tilladelser og begrænsninger
Administratorgruppenavn
Tilladelser
Begrænsninger
Tilpasningsadmin
Opsætning af gæste- og sponsorportaler, administration og tilpasning
Manglende evne til at ændre politikker eller se rapporter
Helpdesk Admin
Mulighed for at se det primære dashboard, alle rapporter, larmer og fejlfindingsstrømme
Du kan ikke ændre, oprette eller slette rapporter, alarmer og autentificeringslogfiler
Identitetsadministrator
Håndtering af brugere, privilegier og roller, mulighed for at se logfiler, rapporter og alarmer
Du kan ikke ændre politikker eller udføre opgaver på OS-niveau
MnT Admin
Fuld overvågning, rapporter, alarmer, logfiler og deres styring
Manglende evne til at ændre nogen politikker
Netværksenhedsadministrator
Rettigheder til at oprette og ændre ISE-objekter, se logfiler, rapporter, hoveddashboard
Du kan ikke ændre politikker eller udføre opgaver på OS-niveau
Politik Admin
Fuld styring af alle politikker, ændring af profiler, indstillinger, visning af rapporter
Manglende evne til at udføre indstillinger med legitimationsoplysninger, ISE-objekter
RBAC Admin
Alle indstillinger på fanen Operationer, ANC-politikindstillinger, rapporteringsstyring
Du kan ikke ændre andre politikker end ANC eller udføre opgaver på OS-niveau
Super Admin
Rettigheder til alle indstillinger, rapportering og administration, kan slette og ændre administratoroplysninger
Kan ikke ændres, slet en anden profil fra Super Admin-gruppen
System Admin
Alle indstillinger på fanen Operations, administration af systemindstillinger, ANC-politik, visning af rapporter
Du kan ikke ændre andre politikker end ANC eller udføre opgaver på OS-niveau
Eksterne RESTful Services (ERS) Admin
Fuld adgang til Cisco ISE REST API
Kun til autorisation, administration af lokale brugere, værter og sikkerhedsgrupper (SG)
Ekstern RESTful Services-operatør (ERS).
Cisco ISE REST API læsetilladelser
Kun til autorisation, administration af lokale brugere, værter og sikkerhedsgrupper (SG)
8) Valgfrit i fanen Autorisation > Tilladelser > RBAC-politik Du kan redigere foruddefinerede administratorers rettigheder.
Figur 12. Forudindstillet styring af profilrettigheder for Cisco ISE Administrator
9) I fanen Administration > System > IndstillingerAlle systemindstillinger er tilgængelige (DNS, NTP, SMTP og andre). Du kan udfylde dem her, hvis du gik glip af dem under den første initialisering af enheden.
5. Konklusion
Dette afslutter den første artikel. Vi diskuterede effektiviteten af Cisco ISE NAC-løsningen, dens arkitektur, minimumskrav og implementeringsmuligheder og indledende installation.
I den næste artikel vil vi se på oprettelse af konti, integration med Microsoft Active Directory og oprettelse af gæsteadgang.
Hvis du har spørgsmål om dette emne eller har brug for hjælp til at teste produktet, så kontakt venligst link.