1. Εισαγωγή
Κάθε εταιρεία, ακόμη και η πιο μικρή, έχει ανάγκη για έλεγχο ταυτότητας, εξουσιοδότηση και λογιστική χρήστη (οικογένεια πρωτοκόλλων AAA). Στο αρχικό στάδιο, το AAA υλοποιείται αρκετά καλά χρησιμοποιώντας πρωτόκολλα όπως RADIUS, TACACS+ και DIAMETER. Ωστόσο, καθώς αυξάνεται ο αριθμός των χρηστών και της εταιρείας, αυξάνεται και ο αριθμός των εργασιών: μέγιστη ορατότητα κεντρικών υπολογιστών και συσκευών BYOD, έλεγχος ταυτότητας πολλαπλών παραγόντων, δημιουργία πολιτικής πρόσβασης πολλαπλών επιπέδων και πολλά άλλα.
Για τέτοιες εργασίες, η κατηγορία λύσεων NAC (Network Access Control) είναι τέλεια - έλεγχος πρόσβασης δικτύου. Σε μια σειρά άρθρων αφιερωμένη σε (Identity Services Engine) - Λύση NAC για την παροχή ελέγχου πρόσβασης με επίγνωση του περιβάλλοντος σε χρήστες στο εσωτερικό δίκτυο, θα εξετάσουμε λεπτομερώς την αρχιτεκτονική, την παροχή, τη διαμόρφωση και την αδειοδότηση της λύσης.
Επιτρέψτε μου να σας υπενθυμίσω εν συντομία ότι το Cisco ISE σας επιτρέπει:
-
Δημιουργήστε γρήγορα και εύκολα πρόσβαση επισκέπτη σε ένα αποκλειστικό WLAN.
-
Ανίχνευση συσκευών BYOD (για παράδειγμα, οικιακούς υπολογιστές υπαλλήλων που έφεραν στη δουλειά).
-
Συγκεντρώστε και επιβάλλετε πολιτικές ασφαλείας σε χρήστες τομέα και μη τομέα χρησιμοποιώντας ετικέτες ομάδων ασφαλείας SGT );
-
Ελέγξτε τους υπολογιστές για συγκεκριμένο λογισμικό εγκατεστημένο και τη συμμόρφωση με τα πρότυπα (στάρισμα).
-
Ταξινόμηση και προφίλ συσκευών τελικού σημείου και δικτύου.
-
Παροχή ορατότητας τελικού σημείου.
-
Αποστολή αρχείων καταγραφής συμβάντων σύνδεσης/αποσύνδεσης των χρηστών, των λογαριασμών τους (ταυτότητα) στο NGFW για να σχηματιστεί μια πολιτική που βασίζεται σε χρήστες.
-
Ενσωματώστε εγγενώς με το Cisco StealthWatch και βάλτε σε καραντίνα ύποπτους οικοδεσπότες που εμπλέκονται σε συμβάντα ασφαλείας ();
-
Και άλλες τυπικές δυνατότητες για διακομιστές AAA.
Συνάδελφοι στον κλάδο έχουν ήδη γράψει για το Cisco ISE, γι' αυτό σας συμβουλεύω να διαβάσετε: ,.
2. Αρχιτεκτονική
Η αρχιτεκτονική του Identity Services Engine έχει 4 οντότητες (κόμβους): έναν κόμβο διαχείρισης (Policy Administration Node), έναν κόμβο διανομής πολιτικής (Policy Service Node), έναν κόμβο παρακολούθησης (Monitoring Node) και έναν PxGrid Node (PxGrid Node). Το Cisco ISE μπορεί να είναι σε αυτόνομη ή κατανεμημένη εγκατάσταση. Στην αυτόνομη έκδοση, όλες οι οντότητες βρίσκονται σε μία εικονική μηχανή ή φυσικό διακομιστή (Secure Network Servers - SNS), ενώ στην έκδοση Distributed, οι κόμβοι κατανέμονται σε διαφορετικές συσκευές.
Ο κόμβος διαχείρισης πολιτικής (PAN) είναι ένας απαραίτητος κόμβος που σας επιτρέπει να εκτελείτε όλες τις διαχειριστικές λειτουργίες στο Cisco ISE. Διαχειρίζεται όλες τις διαμορφώσεις συστήματος που σχετίζονται με το AAA. Σε μια κατανεμημένη διαμόρφωση (οι κόμβοι μπορούν να εγκατασταθούν ως ξεχωριστές εικονικές μηχανές), μπορείτε να έχετε το πολύ δύο PAN για ανοχή σφαλμάτων - Κατάσταση Ενεργής/Αναμονής.
Ο κόμβος υπηρεσίας πολιτικής (PSN) είναι ένας υποχρεωτικός κόμβος που παρέχει πρόσβαση στο δίκτυο, κατάσταση, πρόσβαση επισκέπτη, παροχή υπηρεσιών πελάτη και δημιουργία προφίλ. Το PSN αξιολογεί την πολιτική και την εφαρμόζει. Συνήθως, εγκαθίστανται πολλαπλά PSN, ειδικά σε μια κατανεμημένη διαμόρφωση, για πιο περιττή και κατανεμημένη λειτουργία. Φυσικά, προσπαθούν να εγκαταστήσουν αυτούς τους κόμβους σε διαφορετικά τμήματα, ώστε να μην χάσουν τη δυνατότητα να παρέχουν πιστοποιημένη και εξουσιοδοτημένη πρόσβαση για ένα δευτερόλεπτο.
Ο κόμβος παρακολούθησης (MnT) είναι ένας υποχρεωτικός κόμβος που αποθηκεύει αρχεία καταγραφής συμβάντων, αρχεία καταγραφής άλλων κόμβων και πολιτικές στο δίκτυο. Ο κόμβος MnT παρέχει προηγμένα εργαλεία για παρακολούθηση και αντιμετώπιση προβλημάτων, συλλέγει και συσχετίζει διάφορα δεδομένα και παρέχει επίσης σημαντικές αναφορές. Το Cisco ISE σάς επιτρέπει να έχετε το πολύ δύο κόμβους MnT, δημιουργώντας έτσι ανοχή σφαλμάτων - Κατάσταση ενεργού/αναμονής. Ωστόσο, τα αρχεία καταγραφής συλλέγονται και από τους δύο κόμβους, ενεργητικούς και παθητικούς.
Ο Κόμβος PxGrid (PXG) είναι ένας κόμβος που χρησιμοποιεί το πρωτόκολλο PxGrid και επιτρέπει την επικοινωνία μεταξύ άλλων συσκευών που υποστηρίζουν το PxGrid.
— ένα πρωτόκολλο που διασφαλίζει την ενοποίηση προϊόντων υποδομής πληροφορικής και ασφάλειας πληροφοριών από διαφορετικούς προμηθευτές: συστήματα παρακολούθησης, συστήματα ανίχνευσης και πρόληψης εισβολών, πλατφόρμες διαχείρισης πολιτικής ασφαλείας και πολλές άλλες λύσεις. Το Cisco PxGrid σάς επιτρέπει να μοιράζεστε το περιβάλλον με τρόπο μονής ή αμφίδρομης κατεύθυνσης με πολλές πλατφόρμες χωρίς την ανάγκη για API, επιτρέποντας έτσι την τεχνολογία (ετικέτες SGT), αλλάξτε και εφαρμόστε την πολιτική ANC (Adaptive Network Control), καθώς και πραγματοποιήστε δημιουργία προφίλ - προσδιορίζοντας το μοντέλο της συσκευής, το λειτουργικό σύστημα, την τοποθεσία και άλλα.
Σε μια διαμόρφωση υψηλής διαθεσιμότητας, οι κόμβοι PxGrid αναπαράγουν πληροφορίες μεταξύ κόμβων μέσω ενός PAN. Εάν το PAN είναι απενεργοποιημένο, ο κόμβος PxGrid σταματά τον έλεγχο ταυτότητας, την εξουσιοδότηση και τη λογιστική για τους χρήστες.
Παρακάτω είναι μια σχηματική αναπαράσταση της λειτουργίας διαφορετικών οντοτήτων Cisco ISE σε ένα εταιρικό δίκτυο.
Εικόνα 1. Αρχιτεκτονική Cisco ISE
3. Απαιτήσεις
Το Cisco ISE μπορεί να εφαρμοστεί, όπως οι περισσότερες σύγχρονες λύσεις, εικονικά ή φυσικά ως ξεχωριστός διακομιστής.
Οι φυσικές συσκευές που εκτελούν λογισμικό Cisco ISE ονομάζονται SNS (Secure Network Server). Διατίθενται σε τρία μοντέλα: SNS-3615, SNS-3655 και SNS-3695 για μικρές, μεσαίες και μεγάλες επιχειρήσεις. Ο Πίνακας 1 δείχνει πληροφορίες από SNS.
Πίνακας 1. Συγκριτικός πίνακας SNS για διαφορετικές κλίμακες
Παράμετρος
SNS 3615 (Μικρό)
SNS 3655 (Μεσαίο)
SNS 3695 (Μεγάλο)
Αριθμός υποστηριζόμενων τελικών σημείων σε μια αυτόνομη εγκατάσταση
10000
25000
50000
Αριθμός υποστηριζόμενων τελικών σημείων ανά PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 πυρήνες
12 πυρήνες
12 πυρήνες
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID υλικού
Όχι
RAID 10, παρουσία ελεγκτή RAID
RAID 10, παρουσία ελεγκτή RAID
Διεπαφές δικτύου
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Σε ό,τι αφορά τις εικονικές υλοποιήσεις, οι υποστηριζόμενοι hypervisors είναι VMware ESXi (συνιστάται ελάχιστη έκδοση VMware 11 για ESXi 6.0), Microsoft Hyper-V και Linux KVM (RHEL 7.0). Οι πόροι πρέπει να είναι περίπου οι ίδιοι όπως στον παραπάνω πίνακα ή περισσότεροι. Ωστόσο, οι ελάχιστες απαιτήσεις για μια εικονική μηχανή μικρών επιχειρήσεων είναι: CPU 2 με συχνότητα 2.0 GHz και άνω, 16 GB RAM и 200 GB HDD.
Για άλλες λεπτομέρειες ανάπτυξης Cisco ISE, επικοινωνήστε ή σε , .
4. Εγκατάσταση
Όπως τα περισσότερα άλλα προϊόντα Cisco, το ISE μπορεί να ελεγχθεί με διάφορους τρόπους:
-
– υπηρεσία cloud προεγκατεστημένων διατάξεων εργαστηρίου (απαιτείται λογαριασμός Cisco).
-
– αίτημα από Cisco συγκεκριμένου λογισμικού (μέθοδος για συνεργάτες). Δημιουργείτε μια θήκη με την ακόλουθη τυπική περιγραφή: Τύπος προϊόντος [ISE], Λογισμικό ISE [ise-2.7.0.356.SPA.x8664], Ενημερωμένη έκδοση κώδικα ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— επικοινωνήστε με οποιονδήποτε εξουσιοδοτημένο εταίρο για τη διεξαγωγή ενός δωρεάν πιλοτικού έργου.
1) Μετά τη δημιουργία μιας εικονικής μηχανής, εάν ζητήσατε ένα αρχείο ISO και όχι ένα πρότυπο OVA, θα εμφανιστεί ένα παράθυρο στο οποίο το ISE απαιτεί να επιλέξετε μια εγκατάσταση. Για να το κάνετε αυτό, αντί για τη σύνδεση και τον κωδικό πρόσβασής σας, θα πρέπει να γράψετε "setup"!
Σημείωση: εάν αναπτύξατε το ISE από το πρότυπο OVA, τότε τα στοιχεία σύνδεσης admin/MyIseYPass2 (αυτό και πολλά άλλα αναφέρονται στο επίσημο ).
Εικόνα 2. Εγκατάσταση του Cisco ISE
2) Στη συνέχεια θα πρέπει να συμπληρώσετε τα απαιτούμενα πεδία όπως διεύθυνση IP, DNS, NTP και άλλα.
Εικόνα 3. Εκκίνηση του Cisco ISE
3) Μετά από αυτό, η συσκευή θα επανεκκινήσει και θα μπορείτε να συνδεθείτε μέσω της διεπαφής Ιστού χρησιμοποιώντας την προηγουμένως καθορισμένη διεύθυνση IP.
Εικόνα 4. Διεπαφή Ιστού Cisco ISE
4) Στην καρτέλα Διαχείριση > Σύστημα > Ανάπτυξη μπορείτε να επιλέξετε ποιοι κόμβοι (οντότητες) είναι ενεργοποιημένοι σε μια συγκεκριμένη συσκευή. Ο κόμβος PxGrid είναι ενεργοποιημένος εδώ.
Εικόνα 5. Διαχείριση οντοτήτων Cisco ISE
5) Στη συνέχεια στην καρτέλα Διαχείριση > Σύστημα > Πρόσβαση διαχειριστή > Πιστοποίηση Συνιστώ να ορίσετε μια πολιτική κωδικού πρόσβασης, μια μέθοδο ελέγχου ταυτότητας (πιστοποιητικό ή κωδικό πρόσβασης), ημερομηνία λήξης λογαριασμού και άλλες ρυθμίσεις.
Εικόνα 6. Ρύθμιση τύπου ελέγχου ταυτότηταςΕικόνα 7. Ρυθμίσεις πολιτικής κωδικού πρόσβασηςΕικόνα 8. Ρύθμιση τερματισμού λογαριασμού μετά τη λήξη του χρόνουΕικόνα 9. Ρύθμιση κλειδώματος λογαριασμού
6) Στην καρτέλα Διαχείριση > Σύστημα > Πρόσβαση διαχειριστή > Διαχειριστές > Χρήστες διαχειριστή > Προσθήκη μπορείτε να δημιουργήσετε έναν νέο διαχειριστή.
Εικόνα 10. Δημιουργία τοπικού διαχειριστή Cisco ISE
7) Ο νέος διαχειριστής μπορεί να γίνει μέρος μιας νέας ομάδας ή ήδη προκαθορισμένων ομάδων. Η διαχείριση των ομάδων διαχειριστών γίνεται στον ίδιο πίνακα στην καρτέλα Ομάδες Διαχειριστή. Ο Πίνακας 2 συνοψίζει πληροφορίες σχετικά με τους διαχειριστές ISE, τα δικαιώματα και τους ρόλους τους.
Πίνακας 2. Ομάδες διαχειριστών Cisco ISE, επίπεδα πρόσβασης, δικαιώματα και περιορισμοί
Όνομα ομάδας διαχειριστή
Άδειες
Περιορισμοί
Διαχειριστής προσαρμογής
Ρύθμιση πυλών επισκεπτών και χορηγιών, διαχείριση και προσαρμογή
Αδυναμία αλλαγής πολιτικών ή προβολής αναφορών
Helpdesk Admin
Δυνατότητα προβολής του κύριου πίνακα εργαλείων, όλων των αναφορών, των larms και των ροών αντιμετώπισης προβλημάτων
Δεν μπορείτε να αλλάξετε, να δημιουργήσετε ή να διαγράψετε αναφορές, συναγερμούς και αρχεία καταγραφής ελέγχου ταυτότητας
Διαχειριστής Ταυτότητας
Διαχείριση χρηστών, προνομίων και ρόλων, δυνατότητα προβολής αρχείων καταγραφής, αναφορών και συναγερμών
Δεν μπορείτε να αλλάξετε πολιτικές ή να εκτελέσετε εργασίες σε επίπεδο λειτουργικού συστήματος
MnT Διαχειρ
Πλήρης παρακολούθηση, αναφορές, συναγερμοί, αρχεία καταγραφής και διαχείρισή τους
Αδυναμία αλλαγής οποιασδήποτε πολιτικής
Διαχειριστής συσκευής δικτύου
Δικαιώματα δημιουργίας και αλλαγής αντικειμένων ISE, προβολή αρχείων καταγραφής, αναφορών, κύριος πίνακας εργαλείων
Δεν μπορείτε να αλλάξετε πολιτικές ή να εκτελέσετε εργασίες σε επίπεδο λειτουργικού συστήματος
Διαχειριστής πολιτικής
Πλήρης διαχείριση όλων των πολιτικών, αλλαγή προφίλ, ρυθμίσεις, προβολή αναφορών
Αδυναμία εκτέλεσης ρυθμίσεων με διαπιστευτήρια, αντικείμενα ISE
Διαχειριστής RBAC
Όλες οι ρυθμίσεις στην καρτέλα Λειτουργίες, ρυθμίσεις πολιτικής ANC, διαχείριση αναφορών
Δεν μπορείτε να αλλάξετε πολιτικές εκτός από το ANC ή να εκτελέσετε εργασίες σε επίπεδο λειτουργικού συστήματος
Σούπερ διαχειριστή
Τα δικαιώματα για όλες τις ρυθμίσεις, την αναφορά και τη διαχείριση, μπορούν να διαγράψουν και να αλλάξουν τα διαπιστευτήρια διαχειριστή
Δεν είναι δυνατή η αλλαγή, διαγραφή άλλου προφίλ από την ομάδα Super Admin
Διαχείριση συστήματος
Όλες οι ρυθμίσεις στην καρτέλα Λειτουργίες, διαχείριση ρυθμίσεων συστήματος, πολιτική ANC, προβολή αναφορών
Δεν μπορείτε να αλλάξετε πολιτικές εκτός από το ANC ή να εκτελέσετε εργασίες σε επίπεδο λειτουργικού συστήματος
Διαχειριστής Εξωτερικών Υπηρεσιών RESTful (ERS)
Πλήρης πρόσβαση στο Cisco ISE REST API
Μόνο για εξουσιοδότηση, διαχείριση τοπικών χρηστών, κεντρικών υπολογιστών και ομάδων ασφαλείας (SG)
Χειριστής Εξωτερικών Υπηρεσιών RESTful (ERS).
Δικαιώματα ανάγνωσης Cisco ISE REST API
Μόνο για εξουσιοδότηση, διαχείριση τοπικών χρηστών, κεντρικών υπολογιστών και ομάδων ασφαλείας (SG)
Εικόνα 11. Προκαθορισμένες ομάδες διαχειριστών Cisco ISE
8) Προαιρετικό στην καρτέλα Εξουσιοδότηση > Δικαιώματα > Πολιτική RBAC Μπορείτε να επεξεργαστείτε τα δικαιώματα προκαθορισμένων διαχειριστών.
Εικόνα 12. Διαχείριση δικαιωμάτων προφίλ προκαθορισμένου προφίλ διαχειριστή Cisco ISE
9) Στην καρτέλα Διαχείριση > Σύστημα > Ρυθμίσεις Όλες οι ρυθμίσεις συστήματος είναι διαθέσιμες (DNS, NTP, SMTP και άλλες). Μπορείτε να τα συμπληρώσετε εδώ αν τα χάσατε κατά την αρχική προετοιμασία της συσκευής.
5. Συμπέρασμα
Αυτό ολοκληρώνει το πρώτο άρθρο. Συζητήσαμε την αποτελεσματικότητα της λύσης Cisco ISE NAC, την αρχιτεκτονική της, τις ελάχιστες απαιτήσεις και τις επιλογές ανάπτυξης και την αρχική εγκατάσταση.
Στο επόμενο άρθρο, θα εξετάσουμε τη δημιουργία λογαριασμών, την ενοποίηση με το Microsoft Active Directory και τη δημιουργία πρόσβασης επισκέπτη.
Εάν έχετε ερωτήσεις σχετικά με αυτό το θέμα ή χρειάζεστε βοήθεια για τη δοκιμή του προϊόντος, επικοινωνήστε .
Μείνετε συντονισμένοι για ενημερώσεις στα κανάλια μας (, , , , ).
Πηγή: www.habr.com