1. Einleitung
Jedes Unternehmen, auch das kleinste, benötigt Authentifizierung, Autorisierung und Benutzerabrechnung (AAA-Protokollfamilie). In der Anfangsphase ist AAA mithilfe von Protokollen wie RADIUS, TACACS+ und DIAMETER recht gut implementiert. Doch mit der Zahl der Nutzer und des Unternehmens wächst auch die Zahl der Aufgaben: maximale Sichtbarkeit von Hosts und BYOD-Geräten, Multi-Faktor-Authentifizierung, Erstellung einer mehrstufigen Zugriffsrichtlinie und vieles mehr.
Für solche Aufgaben ist die Lösungsklasse NAC (Network Access Control) perfekt – Network Access Control. In einer Reihe von Artikeln gewidmet (Identity Services Engine) – NAC-Lösung zur Bereitstellung kontextbezogener Zugriffskontrolle für Benutzer im internen Netzwerk. Wir werden einen detaillierten Blick auf die Architektur, Bereitstellung, Konfiguration und Lizenzierung der Lösung werfen.
Ich möchte Sie kurz daran erinnern, dass Sie mit Cisco ISE Folgendes tun können:
-
Erstellen Sie schnell und einfach einen Gastzugang in einem dedizierten WLAN.
-
Erkennen Sie BYOD-Geräte (z. B. Heim-PCs von Mitarbeitern, die sie zur Arbeit mitgebracht haben);
-
Zentralisieren und erzwingen Sie Sicherheitsrichtlinien für Domänen- und Nicht-Domänenbenutzer mithilfe von SGT-Sicherheitsgruppenbezeichnungen );
-
Überprüfen Sie Computer auf bestimmte installierte Software und die Einhaltung von Standards (Posturing);
-
Endpunkt- und Netzwerkgeräte klassifizieren und profilieren;
-
Sorgen Sie für Endpunkttransparenz;
-
Senden Sie Ereignisprotokolle der Anmeldung/Abmeldung von Benutzern und ihrer Konten (Identität) an NGFW, um eine benutzerbasierte Richtlinie zu erstellen.
-
Integrieren Sie nativ mit Cisco StealthWatch und isolieren Sie verdächtige Hosts, die an Sicherheitsvorfällen beteiligt sind ();
-
Und weitere Standardfunktionen für AAA-Server.
Kollegen aus der Branche haben bereits über Cisco ISE geschrieben, daher rate ich Ihnen zu lesen: ,.
2. Architektur
Die Identity Services Engine-Architektur verfügt über 4 Einheiten (Knoten): einen Verwaltungsknoten (Policy Administration Node), einen Richtlinienverteilungsknoten (Policy Service Node), einen Überwachungsknoten (Monitoring Node) und einen PxGrid-Knoten (PxGrid Node). Cisco ISE kann in einer eigenständigen oder verteilten Installation ausgeführt werden. In der Standalone-Version befinden sich alle Entitäten auf einer virtuellen Maschine oder einem physischen Server (Secure Network Servers – SNS), während in der Distributed-Version die Knoten auf verschiedene Geräte verteilt sind.
Der Policy Administration Node (PAN) ist ein erforderlicher Knoten, der es Ihnen ermöglicht, alle Verwaltungsvorgänge auf Cisco ISE durchzuführen. Es verwaltet alle Systemkonfigurationen im Zusammenhang mit AAA. In einer verteilten Konfiguration (Knoten können als separate virtuelle Maschinen installiert werden) können Sie aus Fehlertoleranzgründen maximal zwei PANs haben – Aktiv/Standby-Modus.
Policy Service Node (PSN) ist ein obligatorischer Knoten, der Netzwerkzugriff, Status, Gastzugriff, Client-Service-Bereitstellung und Profilerstellung bereitstellt. PSN bewertet die Richtlinie und wendet sie an. Typischerweise werden mehrere PSNs installiert, insbesondere in einer verteilten Konfiguration, um einen redundanteren und verteilteren Betrieb zu ermöglichen. Natürlich versuchen sie, diese Knoten in verschiedenen Segmenten zu installieren, um nicht für eine Sekunde die Fähigkeit zu verlieren, authentifizierten und autorisierten Zugriff bereitzustellen.
Monitoring Node (MnT) ist ein obligatorischer Knoten, der Ereignisprotokolle, Protokolle anderer Knoten und Richtlinien im Netzwerk speichert. Der MnT-Knoten stellt erweiterte Tools zur Überwachung und Fehlerbehebung bereit, sammelt und sortiert verschiedene Daten und stellt außerdem aussagekräftige Berichte bereit. Mit Cisco ISE können Sie maximal zwei MnT-Knoten haben und so Fehlertoleranz schaffen – Aktiv/Standby-Modus. Protokolle werden jedoch von beiden Knoten erfasst, sowohl vom aktiven als auch vom passiven.
PxGrid Node (PXG) ist ein Knoten, der das PxGrid-Protokoll verwendet und die Kommunikation zwischen anderen Geräten ermöglicht, die PxGrid unterstützen.
– ein Protokoll, das die Integration von IT- und Informationssicherheitsinfrastrukturprodukten verschiedener Anbieter gewährleistet: Überwachungssysteme, Systeme zur Erkennung und Verhinderung von Eindringlingen, Plattformen zur Verwaltung von Sicherheitsrichtlinien und viele andere Lösungen. Mit Cisco PxGrid können Sie den Kontext unidirektional oder bidirektional mit vielen Plattformen teilen, ohne dass APIs erforderlich sind, und ermöglichen so die Technologie (SGT-Tags), ANC-Richtlinien (Adaptive Network Control) ändern und anwenden sowie Profilerstellung durchführen – Bestimmen des Gerätemodells, des Betriebssystems, des Standorts und mehr.
In einer Hochverfügbarkeitskonfiguration replizieren PxGrid-Knoten Informationen zwischen Knoten über ein PAN. Wenn die PAN deaktiviert ist, stoppt der PxGrid-Knoten die Authentifizierung, Autorisierung und Abrechnung von Benutzern.
Nachfolgend finden Sie eine schematische Darstellung des Betriebs verschiedener Cisco ISE-Einheiten in einem Unternehmensnetzwerk.
Abbildung 1. Cisco ISE-Architektur
3. Anforderungen
Cisco ISE kann, wie die meisten modernen Lösungen, virtuell oder physisch als separater Server implementiert werden.
Physische Geräte, auf denen die Cisco ISE-Software ausgeführt wird, werden als SNS (Secure Network Server) bezeichnet. Sie sind in drei Modellen erhältlich: SNS-3615, SNS-3655 und SNS-3695 für kleine, mittlere und große Unternehmen. Tabelle 1 zeigt Informationen von SNS.
Tabelle 1. Vergleichstabelle von SNS für verschiedene Maßstäbe
Parameter
SNS 3615 (Klein)
SNS 3655 (Mittel)
SNS 3695 (Groß)
Anzahl der unterstützten Endpunkte in einer Standalone-Installation
10000
25000
50000
Anzahl der unterstützten Endpunkte pro PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 Kerne
12 Kerne
12 Kerne
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware-RAID
Nein
RAID 10, Vorhandensein eines RAID-Controllers
RAID 10, Vorhandensein eines RAID-Controllers
Netzwerkschnittstellen
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
In Bezug auf virtuelle Implementierungen sind die unterstützten Hypervisoren VMware ESXi (mindestens VMware Version 11 für ESXi 6.0 wird empfohlen), Microsoft Hyper-V und Linux KVM (RHEL 7.0). Die Ressourcen sollten ungefähr die gleichen sein wie in der Tabelle oben oder mehr. Die Mindestanforderungen für eine virtuelle Maschine für kleine Unternehmen sind jedoch: CPU 2 mit einer Frequenz von 2.0 GHz und höher, 16 GB Arbeitsspeicher и 200 GB Festplatte.
Für weitere Details zur Cisco ISE-Bereitstellung wenden Sie sich bitte an oder zu , .
4. Installation
Wie die meisten anderen Cisco-Produkte kann ISE auf verschiedene Arten getestet werden:
-
– Cloud-Service vorinstallierter Laborlayouts (Cisco-Konto erforderlich);
-
- Anfrage von Cisco bestimmter Software (Methode für Partner). Sie erstellen einen Fall mit der folgenden typischen Beschreibung: Produkttyp [ISE], ISE-Software [ise-2.7.0.356.SPA.x8664], ISE-Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— Kontaktieren Sie einen autorisierten Partner, um ein kostenloses Pilotprojekt durchzuführen.
1) Wenn Sie nach dem Erstellen einer virtuellen Maschine eine ISO-Datei und keine OVA-Vorlage angefordert haben, wird ein Fenster angezeigt, in dem ISE Sie zur Auswahl einer Installation auffordert. Dazu sollten Sie anstelle Ihres Logins und Passworts „schreiben“Setup„!
Hinweis: Wenn Sie ISE über die OVA-Vorlage bereitgestellt haben, dann die Anmeldedaten admin/MyIseYPass2 (Dies und vieles mehr ist im offiziellen angegeben ).
Abbildung 2. Installation von Cisco ISE
2) Anschließend sollten Sie die erforderlichen Felder wie IP-Adresse, DNS, NTP und andere ausfüllen.
Abbildung 3. Cisco ISE wird initialisiert
3) Danach wird das Gerät neu gestartet und Sie können sich über die Weboberfläche mit der zuvor angegebenen IP-Adresse verbinden.
Abbildung 4. Cisco ISE-Webschnittstelle
4) In Tab Verwaltung > System > Bereitstellung Sie können auswählen, welche Knoten (Entitäten) auf einem bestimmten Gerät aktiviert sind. Der PxGrid-Knoten wird hier aktiviert.
Abbildung 5. Cisco ISE Entity Management
5) Dann in Tab Verwaltung > System > Admin-Zugriff > Authentifizierung Ich empfehle die Einrichtung einer Passwortrichtlinie, einer Authentifizierungsmethode (Zertifikat oder Passwort), eines Kontoablaufdatums und anderer Einstellungen.
Abbildung 6. Einstellung des AuthentifizierungstypsAbbildung 7. Einstellungen der PasswortrichtlinieAbbildung 8. Einrichten der Kontoschließung nach Ablauf der ZeitAbbildung 9. Kontosperre einrichten
6) In Tab Verwaltung > System > Admin-Zugriff > Administratoren > Admin-Benutzer > Hinzufügen Sie können einen neuen Administrator erstellen.
Abbildung 10. Erstellen eines lokalen Cisco ISE-Administrators
7) Der neue Administrator kann Teil einer neuen Gruppe oder bereits vordefinierter Gruppen werden. Administratorgruppen werden im selben Bereich auf der Registerkarte verwaltet Admin-Gruppen. Tabelle 2 fasst Informationen zu ISE-Administratoren, ihren Rechten und Rollen zusammen.
Tabelle 2. Cisco ISE-Administratorgruppen, Zugriffsebenen, Berechtigungen und Einschränkungen
Name der Administratorgruppe
Berechtigungen
Einschränkungen
Anpassungsadministrator
Einrichtung von Gast- und Sponsorenportalen, Verwaltung und Anpassung
Es ist nicht möglich, Richtlinien zu ändern oder Berichte anzuzeigen
Helpdesk-Administrator
Möglichkeit, das Haupt-Dashboard, alle Berichte, Alarme und Fehlerbehebungsströme anzuzeigen
Sie können keine Berichte, Alarme und Authentifizierungsprotokolle ändern, erstellen oder löschen
Identitätsadministrator
Verwalten von Benutzern, Berechtigungen und Rollen sowie die Möglichkeit, Protokolle, Berichte und Alarme anzuzeigen
Sie können auf Betriebssystemebene keine Richtlinien ändern oder Aufgaben ausführen
MnT-Administrator
Vollständige Überwachung, Berichte, Alarme, Protokolle und deren Verwaltung
Keine Möglichkeit, Richtlinien zu ändern
Netzwerkgeräteadministrator
Rechte zum Erstellen und Ändern von ISE-Objekten, zum Anzeigen von Protokollen, Berichten und zum Haupt-Dashboard
Sie können auf Betriebssystemebene keine Richtlinien ändern oder Aufgaben ausführen
Richtlinienadministrator
Vollständige Verwaltung aller Richtlinien, Ändern von Profilen, Einstellungen, Anzeigen von Berichten
Es können keine Einstellungen mit Anmeldeinformationen und ISE-Objekten vorgenommen werden
RBAC-Administrator
Alle Einstellungen auf der Registerkarte „Operationen“, ANC-Richtlinieneinstellungen, Berichtsverwaltung
Sie können keine anderen Richtlinien als ANC ändern oder Aufgaben auf Betriebssystemebene ausführen
Super Admin
Rechte für alle Einstellungen, Berichte und Verwaltung, können Administratoranmeldeinformationen löschen und ändern
Kann nicht geändert werden. Löschen Sie ein anderes Profil aus der Superadministratorgruppe
System Admin
Alle Einstellungen auf der Registerkarte „Vorgänge“, Verwaltung der Systemeinstellungen, ANC-Richtlinie, Anzeige von Berichten
Sie können keine anderen Richtlinien als ANC ändern oder Aufgaben auf Betriebssystemebene ausführen
Externer RESTful Services (ERS)-Administrator
Vollständiger Zugriff auf die Cisco ISE REST API
Nur für Autorisierung, Verwaltung lokaler Benutzer, Hosts und Sicherheitsgruppen (SG)
Externer RESTful Services (ERS)-Operator
Leseberechtigungen für die Cisco ISE REST API
Nur für Autorisierung, Verwaltung lokaler Benutzer, Hosts und Sicherheitsgruppen (SG)
Abbildung 11. Vordefinierte Cisco ISE-Administratorgruppen
8) Optional in der Registerkarte Autorisierung > Berechtigungen > RBAC-Richtlinie Sie können die Rechte vordefinierter Administratoren bearbeiten.
Abbildung 12. Cisco ISE Administrator Preset Profile Rights Management
9) In Tab Verwaltung > System > Einstellungen Alle Systemeinstellungen sind verfügbar (DNS, NTP, SMTP und andere). Sie können diese hier ausfüllen, falls Sie sie bei der Erstinitialisierung des Geräts verpasst haben.
5. Заключение
Damit ist der erste Artikel abgeschlossen. Wir besprachen die Wirksamkeit der Cisco ISE NAC-Lösung, ihre Architektur, Mindestanforderungen und Bereitstellungsoptionen sowie die Erstinstallation.
Im nächsten Artikel befassen wir uns mit der Erstellung von Konten, der Integration in Microsoft Active Directory und der Einrichtung eines Gastzugangs.
Wenn Sie Fragen zu diesem Thema haben oder Hilfe beim Testen des Produkts benötigen, wenden Sie sich bitte an .
Bleiben Sie dran für Updates in unseren Kanälen (, , , , ).
Source: habr.com