1. Enkonduko
Ĉiu kompanio, eĉ la plej malgranda, bezonas aŭtentikigon, rajtigon kaj uzantan kontadon (AAA-familio de protokoloj). En la komenca etapo, AAA estas sufiĉe bone efektivigita uzante protokolojn kiel RADIUS, TACACS+ kaj DIAMETRO. Tamen, kiel la nombro da uzantoj kaj la firmao kreskas, la nombro da taskoj ankaŭ kreskas: maksimuma videbleco de gastigantoj kaj BYOD-aparatoj, multfaktora aŭtentigo, kreado de plurnivela alirpolitiko kaj multe pli.
Por tiaj taskoj, la klaso de solvoj NAC (Network Access Control) estas perfekta - reta alirkontrolo. En serio de artikoloj dediĉitaj al (Identity Services Engine) - NAC-solvo por provizi kuntekstan alirkontrolon al uzantoj en la interna reto, ni detale rigardos la arkitekturon, provizon, agordon kaj licencadon de la solvo.
Mi mallonge memorigu vin, ke Cisco ISE permesas al vi:
-
Rapide kaj facile kreu gastan aliron sur dediĉita WLAN;
-
Detekti BYOD-aparatojn (ekzemple hejmaj komputiloj de dungitoj, kiujn ili alportis al laboro);
-
Centraligu kaj devigu sekurecpolitikojn trans domajnaj kaj ne-domajnaj uzantoj uzante sekurecgrupojn de SGT );
-
Kontrolu komputilojn por certa programaro instalita kaj konformeco al normoj (postulado);
-
Klasifiku kaj profilu finpunktojn kaj retajn aparatojn;
-
Provizu finpunkton videblecon;
-
Sendu okazaĵprotokolojn de ensaluto/elsaluto de uzantoj, iliaj kontoj (identeco) al NGFW por formi uzant-bazitan politikon;
-
Integriĝu denaske kun Cisco StealthWatch kaj kvarantenu suspektindajn gastigantojn implikitajn en sekurecaj okazaĵoj ();
-
Kaj aliaj funkcioj normaj por AAA-serviloj.
Kolegoj en la industrio jam skribis pri Cisco ISE, do mi konsilas vin legi: ,.
2 Arkitekturo
La Identity Services Engine-arkitekturo havas 4 unuojn (nodoj): administradnodo (Policy Administration Node), politika distribua nodo (Policy Service Node), monitoradnodo (Monitoring Node) kaj PxGrid nodo (PxGrid Node). Cisco ISE povas esti en memstara aŭ distribuita instalaĵo. En la Sendependa versio, ĉiuj estaĵoj situas sur unu virtuala maŝino aŭ fizika servilo (Secure Network Servers - SNS), dum en la Distribuita versio, la nodoj estas distribuitaj tra malsamaj aparatoj.
Policy Administration Node (PAN) estas postulata nodo, kiu ebligas al vi plenumi ĉiujn administrajn operaciojn sur Cisco ISE. Ĝi pritraktas ĉiujn sistemajn agordojn rilatajn al AAA. En distribuita agordo (nodoj povas esti instalitaj kiel apartaj virtualaj maŝinoj), vi povas havi maksimume du PAN-ojn por erartoleremo - Aktiva/Vendanta reĝimo.
Policy Service Node (PSN) estas deviga nodo kiu disponigas retaliron, ŝtaton, gastan aliron, klientservan provizon kaj profiladon. PSN taksas la politikon kaj aplikas ĝin. Tipe, multoblaj PSNoj estas instalitaj, precipe en distribuita konfiguracio, por pli redunda kaj distribuita operacio. Kompreneble, ili provas instali ĉi tiujn nodojn en malsamaj segmentoj por ne perdi la kapablon provizi aŭtentikigitan kaj rajtigitan aliron por sekundo.
Monitoring Node (MnT) estas deviga nodo, kiu stokas eventoprotokolojn, protokolojn de aliaj nodoj kaj politikojn en la reto. La MnT-nodo disponigas altnivelajn ilojn por monitorado kaj solvi problemojn, kolektas kaj korelacias diversajn datumojn, kaj ankaŭ provizas signifajn raportojn. Cisco ISE permesas al vi havi maksimume du MnT-nodojn, tiel kreante misfunkciadon - Aktiva/Vendanta reĝimo. Tamen, tagaloj estas kolektitaj de ambaŭ nodoj, kaj aktivaj kaj pasivaj.
PxGrid Nodo (PXG) estas nodo kiu uzas la PxGrid protokolon kaj permesas komunikadon inter aliaj aparatoj kiuj subtenas PxGrid.
— protokolo, kiu certigas la integriĝon de IT- kaj informsekurecaj infrastrukturaj produktoj de malsamaj vendistoj: monitoraj sistemoj, entrudiĝdetekto kaj preventaj sistemoj, sekurecpolitikaj administradplatformoj kaj multaj aliaj solvoj. Cisco PxGrid permesas kunhavigi kuntekston en unudirekta aŭ dudirekta maniero kun multaj platformoj sen bezono de APIoj, tiel ebligante la uzon de teknologio. (SGT-etikedoj), ŝanĝu kaj apliku ANC (Adaptive Network Control) politikon, kaj ankaŭ plenumu profiladon - determini la aparatan modelon, OS, lokon, kaj pli.
En alta havebleca agordo, PxGrid-nodoj reproduktas informojn inter nodoj super PAN. Se la PAN estas malŝaltita, la PxGrid-nodo ĉesas aŭtentikigi, rajtigi kaj kalkuli uzantojn.
Malsupre estas skema reprezentado de la funkciado de malsamaj Cisco ISE-unuoj en kompania reto.
Figuro 1. Cisco ISE-Arkitekturo
3. Postuloj
Cisco ISE povas esti efektivigita, kiel plej modernaj solvoj, virtuale aŭ fizike kiel aparta servilo.
Fizikaj aparatoj funkciantaj Cisco ISE-programaro estas nomitaj SNS (Secure Network Server). Ili venas en tri modeloj: SNS-3615, SNS-3655 kaj SNS-3695 por malgrandaj, mezaj kaj grandaj entreprenoj. Tablo 1 montras informojn de SNS.
Tabelo 1. Kompara tablo de SNS por malsamaj skaloj
Parametro
SNS 3615 (Malgranda)
SNS 3655 (meza)
SNS 3695 (Granda)
Nombro da subtenataj finpunktoj en Sendependa instalado
10000
25000
50000
Nombro da subtenataj finpunktoj per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kernoj
12 kernoj
12 kernoj
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Aparataro RAID
Neniu
RAID 10, ĉeesto de RAID-regilo
RAID 10, ĉeesto de RAID-regilo
Retaj interfacoj
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Koncerne virtualajn realigojn, la subtenataj hiperviziiloj estas VMware ESXi (minimuma VMware versio 11 por ESXi 6.0 estas rekomendita), Microsoft Hyper-V kaj Linukso KVM (RHEL 7.0). Rimedoj devus esti proksimume samaj kiel en la supra tabelo, aŭ pli. Tamen, la minimumaj postuloj por malgranda komerca virtuala maŝino estas: 2-CPU kun frekvenco de 2.0 GHz kaj pli alta, 16 GB RAM и 200 GB HDD.
Por aliaj detaloj pri deplojo de Cisco ISE, bonvolu kontakti aŭ al , .
4. Instalado
Kiel la plej multaj aliaj Cisco-produktoj, ISE povas esti testita laŭ pluraj manieroj:
-
- nuba servo de antaŭinstalitaj laboratoriaj aranĝoj (Cisco-konto necesas);
-
– peto de Cisco de certa programaro (metodo por partneroj). Vi kreas kazon kun la sekva tipa priskribo: Produkta tipo [ISE], ISE-Programaro [ise-2.7.0.356.SPA.x8664], ISE-Fakaĵo [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— kontaktu iun ajn rajtigitan partneron por fari senpagan pilotprojekton.
1) Post kreado de virtuala maŝino, se vi petis ISO-dosieron kaj ne OVA-ŝablonon, aperos fenestro, en kiu ISE postulas, ke vi elektu instalaĵon. Por fari tion, anstataŭ via ensaluto kaj pasvorto, vi devus skribi "agordi"!
Notu: se vi deplojis ISE de OVA-ŝablono, tiam la ensalutaj detaloj admin/MyIseYPass2 (ĉi tio kaj multe pli estas indikitaj en la oficiala ).
Figuro 2. Instalado de Cisco ISE
2) Tiam vi devus plenigi la postulatajn kampojn kiel IP-adreso, DNS, NTP kaj aliaj.
Figuro 3. Inicialigante Cisco ISE
3) Post tio, la aparato rekomencos, kaj vi povos konektiĝi per la retinterfaco uzante la antaŭe specifitan IP-adreson.
Figuro 4. Cisco ISE Web Interface
4) En langeto Administrado > Sistemo > Deplojo vi povas elekti kiuj nodoj (unuoj) estas ebligitaj sur aparta aparato. La nodo PxGrid estas ebligita ĉi tie.
Figuro 5. Cisco ISE Entity Management
5) Tiam en langeto Administrado > Sistemo > Administra Aliro > aŭtentokontrolo Mi rekomendas agordi pasvortpolitikon, aŭtentikigmetodon (atestilo aŭ pasvorton), kontan limdaton kaj aliajn agordojn.
Figuro 6. Agordo de tipo de aŭtentikigoFiguro 7. Agordoj pri pasvortaj politikojFiguro 8. Agordi konton-halton post kiam tempo eksvalidiĝasFiguro 9. Agordi konton-ŝlosadon
6) En langeto Administrado > Sistemo > Administra Aliro > Administrantoj > Administraj Uzantoj > Aldoni vi povas krei novan administranton.
Figuro 10. Krei Lokan Cisco ISE-Administranton
7) La nova administranto povas esti parto de nova grupo aŭ jam antaŭdifinitaj grupoj. Administrantgrupoj estas administritaj en la sama panelo en la langeto Administraj Grupoj. Tablo 2 resumas informojn pri ISE-administrantoj, iliaj rajtoj kaj roloj.
Tablo 2. Grupoj de Administrantoj de Cisco ISE, Alirniveloj, Permesoj kaj Limigoj
Administra grupo nomo
Permesoj
Restriktoj
Personigo Admin
Agordo de gastoj kaj sponsoradportaloj, administrado kaj personigo
Nekapablo ŝanĝi politikojn aŭ vidi raportojn
Helpdekadministranto
Kapablo vidi la ĉefan panelon, ĉiujn raportojn, alarmojn kaj solvajn fluojn
Vi ne povas ŝanĝi, krei aŭ forigi raportojn, alarmojn kaj aŭtentigajn protokolojn
Administranto de Identeco
Administri uzantojn, privilegiojn kaj rolojn, la kapablo vidi protokolojn, raportojn kaj alarmojn
Vi ne povas ŝanĝi politikojn aŭ plenumi taskojn ĉe OS-nivelo
Administranto de MnT
Plena monitorado, raportoj, alarmoj, protokoloj kaj ilia administrado
Nekapablo ŝanĝi ajnajn politikojn
Administranto de Reta Aparato
Rajtoj krei kaj ŝanĝi ISE-objektojn, vidi protokolojn, raportojn, ĉefa panelo
Vi ne povas ŝanĝi politikojn aŭ plenumi taskojn ĉe OS-nivelo
Politiko Admin
Plena administrado de ĉiuj politikoj, ŝanĝado de profiloj, agordoj, rigardado de raportoj
Nekapablo plenumi agordojn kun akreditaĵoj, ISE-objektoj
Administranto de RBAC
Ĉiuj agordoj en la langeto Operacioj, ANC-politikaj agordoj, raporta administrado
Vi ne povas ŝanĝi politikojn krom ANC aŭ plenumi taskojn ĉe OS-nivelo
Super Admin
Rajtoj al ĉiuj agordoj, raportado kaj administrado, povas forigi kaj ŝanĝi administrantajn akreditaĵojn
Ne povas ŝanĝi, forigu alian profilon el la grupo de Super Admin
Sistema Admin
Ĉiuj agordoj en la langeto Operacioj, administrado de sistemaj agordoj, ANC-politiko, rigardado de raportoj
Vi ne povas ŝanĝi politikojn krom ANC aŭ plenumi taskojn ĉe OS-nivelo
Administranto de Eksteraj RESTful Servoj (ERS).
Plena aliro al la Cisco ISE REST API
Nur por rajtigo, administrado de lokaj uzantoj, gastigantoj kaj sekurecaj grupoj (SG)
Eksteraj RESTful Servoj (ERS) Funkciigisto
Cisco ISE REST API Legaj Permesoj
Nur por rajtigo, administrado de lokaj uzantoj, gastigantoj kaj sekurecaj grupoj (SG)
Figuro 11. Antaŭdifinitaj Cisco ISE Administrator Groups
8) Kromaĵoj en la langeto Rajtigo > Permesoj > RBAC-Politiko Vi povas redakti la rajtojn de antaŭdifinitaj administrantoj.
Figuro 12. Administranto de Cisco ISE-Prestarigita Profila Administrado de Rajtoj
9) En langeto Administrado > Sistemo > Agordoj Ĉiuj sistemaj agordoj disponeblas (DNS, NTP, SMTP kaj aliaj). Vi povas plenigi ilin ĉi tie se vi maltrafis ilin dum la komenca aparato-komenciĝo.
5. Konkludo
Ĉi tio finas la unuan artikolon. Ni diskutis la efikecon de la Cisco ISE NAC-solvo, ĝia arkitekturo, minimumaj postuloj kaj disfaldaj elektoj kaj komenca instalado.
En la sekva artikolo, ni rigardos krei kontojn, integri kun Microsoft Active Directory kaj krei gastan aliron.
Se vi havas demandojn pri ĉi tiu temo aŭ bezonas helpon por provi la produkton, bonvolu kontakti .
Restu agordita por ĝisdatigoj en niaj kanaloj (, , , , ).
fonto: www.habr.com