1 Introduccion
Toda empresa, incluso la más pequeña, necesita autenticación, autorización y contabilidad de usuarios (familia de protocolos AAA). En la etapa inicial, AAA se implementa bastante bien utilizando protocolos como RADIUS, TACACS+ y DIAMETER. Sin embargo, a medida que crece el número de usuarios y la empresa, también crece el número de tareas: máxima visibilidad de hosts y dispositivos BYOD, autenticación multifactor, creación de una política de acceso multinivel y mucho más.
Para tales tareas, la clase de soluciones NAC (Network Access Control) es perfecta: control de acceso a la red. En una serie de artículos dedicados a (Identity Services Engine): solución NAC para proporcionar control de acceso contextual a los usuarios en la red interna. Analizaremos detalladamente la arquitectura, el aprovisionamiento, la configuración y la licencia de la solución.
Permítanme recordarles brevemente que Cisco ISE le permite:
-
Cree rápida y fácilmente acceso de invitados en una WLAN dedicada;
-
Detectar dispositivos BYOD (por ejemplo, las PC domésticas de los empleados que trajeron al trabajo);
-
Centralice y aplique políticas de seguridad entre usuarios de dominio y fuera de dominio utilizando etiquetas de grupo de seguridad SGT );
-
Revisar las computadoras para ver si hay cierto software instalado y si cumplen con los estándares (posturas);
-
Clasificar y perfilar dispositivos de red y terminales;
-
Proporcionar visibilidad de terminales;
-
Enviar registros de eventos de inicio y cierre de sesión de los usuarios, sus cuentas (identidad) a NGFW para formar una política basada en el usuario;
-
Integre de forma nativa con Cisco StealthWatch y ponga en cuarentena los hosts sospechosos involucrados en incidentes de seguridad ();
-
Y otras características estándar para servidores AAA.
Los colegas de la industria ya han escrito sobre Cisco ISE, por lo que les aconsejo que lean: ,.
2 Arquitectura
La arquitectura de Identity Services Engine tiene 4 entidades (nodos): un nodo de gestión (Policy Administration Node), un nodo de distribución de políticas (Policy Service Node), un nodo de monitoreo (Monitoring Node) y un nodo PxGrid (PxGrid Node). Cisco ISE puede estar en una instalación independiente o distribuida. En la versión Independiente, todas las entidades están ubicadas en una máquina virtual o servidor físico (Servidores de Red Segura - SNS), mientras que en la versión Distribuida, los nodos se distribuyen en diferentes dispositivos.
El Nodo de administración de políticas (PAN) es un nodo requerido que le permite realizar todas las operaciones administrativas en Cisco ISE. Maneja todas las configuraciones del sistema relacionadas con AAA. En una configuración distribuida (los nodos se pueden instalar como máquinas virtuales independientes), puede tener un máximo de dos PAN para tolerancia a fallos: modo activo/en espera.
El nodo de servicio de políticas (PSN) es un nodo obligatorio que proporciona acceso a la red, estado, acceso de invitados, aprovisionamiento de servicios al cliente y creación de perfiles. PSN evalúa la política y la aplica. Normalmente, se instalan varias PSN, especialmente en una configuración distribuida, para un funcionamiento más redundante y distribuido. Eso sí, intentan instalar estos nodos en diferentes segmentos para no perder ni un segundo la capacidad de proporcionar acceso autenticado y autorizado.
El Nodo de Monitoreo (MnT) es un nodo obligatorio que almacena registros de eventos, registros de otros nodos y políticas en la red. El nodo MnT proporciona herramientas avanzadas para monitorear y solucionar problemas, recopila y correlaciona diversos datos y también proporciona informes significativos. Cisco ISE le permite tener un máximo de dos nodos MnT, creando así tolerancia a fallas: modo activo/en espera. Sin embargo, ambos nodos, tanto activos como pasivos, recopilan registros.
PxGrid Node (PXG) es un nodo que utiliza el protocolo PxGrid y permite la comunicación entre otros dispositivos que admiten PxGrid.
— un protocolo que garantiza la integración de productos de infraestructura de seguridad de la información y TI de diferentes proveedores: sistemas de monitoreo, sistemas de detección y prevención de intrusiones, plataformas de gestión de políticas de seguridad y muchas otras soluciones. Cisco PxGrid le permite compartir contexto de manera unidireccional o bidireccional con muchas plataformas sin necesidad de API, permitiendo así el uso de tecnología. (etiquetas SGT), cambiar y aplicar la política ANC (Control de red adaptable), así como realizar perfiles, determinando el modelo del dispositivo, el sistema operativo, la ubicación y más.
En una configuración de alta disponibilidad, los nodos PxGrid replican información entre nodos a través de un PAN. Si el PAN está deshabilitado, el nodo PxGrid deja de autenticar, autorizar y contabilizar a los usuarios.
A continuación se muestra una representación esquemática del funcionamiento de diferentes entidades de Cisco ISE en una red corporativa.
Figura 1. Arquitectura de Cisco ISE
3. Requisitos
Cisco ISE se puede implementar, como la mayoría de las soluciones modernas, de forma virtual o física como un servidor independiente.
Los dispositivos físicos que ejecutan el software Cisco ISE se denominan SNS (Secure Network Server). Vienen en tres modelos: SNS-3615, SNS-3655 y SNS-3695 para pequeñas, medianas y grandes empresas. La tabla 1 muestra información de S.N.S.
Tabla 1. Tabla comparativa del SNS para diferentes escalas
Parámetro
SNS 3615 (pequeño)
SNS 3655 (Medio)
SNS 3695 (Grande)
Número de puntos finales admitidos en una instalación independiente
10000
25000
50000
Número de puntos finales admitidos por PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 núcleos
12 núcleos
12 núcleos
RAM
32 GB (2 de 16 GB)
96 GB (6 de 16 GB)
256 GB (16 de 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID de hardware
No
RAID 10, presencia de controlador RAID
RAID 10, presencia de controlador RAID
Interfaces de red
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
En cuanto a las implementaciones virtuales, los hipervisores compatibles son VMware ESXi (se recomienda la versión mínima de VMware 11 para ESXi 6.0), Microsoft Hyper-V y Linux KVM (RHEL 7.0). Los recursos deben ser aproximadamente los mismos que en la tabla anterior, o más. Sin embargo, los requisitos mínimos para una máquina virtual para pequeñas empresas son: CPU 2 con una frecuencia de 2.0 GHz y superior, 16GB RAM и 200 GB HDD.
Para obtener otros detalles de implementación de Cisco ISE, comuníquese con o a , .
4. Instalación
Como la mayoría de los demás productos de Cisco, ISE se puede probar de varias maneras:
-
– servicio en la nube de diseños de laboratorio preinstalados (se requiere cuenta de Cisco);
-
- solicitud de Cisco de determinado software (método para socios). Se crea un caso con la siguiente descripción típica: Tipo de producto [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Parche ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— póngase en contacto con cualquier socio autorizado para realizar un proyecto piloto gratuito.
1) Después de crear una máquina virtual, si solicitó un archivo ISO y no una plantilla OVA, aparecerá una ventana en la que ISE le pedirá que seleccione una instalación. Para ello, en lugar de tu nombre de usuario y contraseña, deberás escribir “Configure"!
Nota: Si implementó ISE desde la plantilla OVA, entonces los detalles de inicio de sesión administrador/MyIseYPass2 (esto y mucho más está indicado en el oficial ).
Figura 2. Instalación de Cisco ISE
2) Luego deberás completar los campos obligatorios como dirección IP, DNS, NTP y otros.
Figura 3. Inicialización de Cisco ISE
3) Después de eso, el dispositivo se reiniciará y podrá conectarse a través de la interfaz web utilizando la dirección IP especificada anteriormente.
Figura 4. Interfaz web de Cisco ISE
4) En pestaña Administración > Sistema > Implementación puede seleccionar qué nodos (entidades) están habilitados en un dispositivo en particular. El nodo PxGrid está habilitado aquí.
Figura 5. Gestión de entidades de Cisco ISE
5) Luego en la pestaña Administración > Sistema > Acceso de administrador > Autenticación Recomiendo configurar una política de contraseñas, un método de autenticación (certificado o contraseña), una fecha de vencimiento de la cuenta y otras configuraciones.
Figura 6. Configuración del tipo de autenticaciónFigura 7. Configuración de la política de contraseñasFigura 8. Configurar el cierre de la cuenta después de que expire el tiempoFigura 9. Configurar el bloqueo de cuenta
6) En pestaña Administración > Sistema > Acceso de administrador > Administradores > Usuarios administradores > Agregar puedes crear un nuevo administrador.
Figura 10. Creación de un administrador local de Cisco ISE
7) El nuevo administrador puede formar parte de un nuevo grupo o de grupos ya predefinidos. Los grupos de administradores se administran en el mismo panel en la pestaña Grupos de administración. La Tabla 2 resume la información sobre los administradores de ISE, sus derechos y funciones.
Tabla 2. Grupos de administradores, niveles de acceso, permisos y restricciones de Cisco ISE
Nombre del grupo de administradores
Permisos
restricciones
Administrador de personalización
Configuración, administración y personalización de portales de invitados y patrocinio.
Incapacidad para cambiar políticas o ver informes
Administrador del servicio de asistencia
Capacidad para ver el panel principal, todos los informes, alarmas y flujos de solución de problemas.
No puede cambiar, crear ni eliminar informes, alarmas y registros de autenticación.
Administrador de identidad
Administrar usuarios, privilegios y roles, la capacidad de ver registros, informes y alarmas
No puede cambiar políticas ni realizar tareas a nivel del sistema operativo
Administrador de MT
Monitoreo completo, informes, alarmas, logs y su gestión.
Incapacidad para cambiar cualquier política.
Administrador de dispositivos de red
Derechos para crear y cambiar objetos ISE, ver registros, informes, panel principal
No puede cambiar políticas ni realizar tareas a nivel del sistema operativo
Administrador de políticas
Gestión completa de todas las políticas, cambio de perfiles, configuraciones, visualización de informes.
Incapacidad para realizar configuraciones con credenciales y objetos ISE
Administrador de RBAC
Todas las configuraciones en la pestaña Operaciones, configuración de políticas de ANC, gestión de informes
No puede cambiar políticas que no sean ANC ni realizar tareas a nivel del sistema operativo
Súper Administrador
Derechos a todas las configuraciones, informes y administración, pueden eliminar y cambiar las credenciales de administrador.
No se puede cambiar, elimine otro perfil del grupo de superadministrador
System Admin
Todas las configuraciones en la pestaña Operaciones, administración de la configuración del sistema, política de ANC, visualización de informes
No puede cambiar políticas que no sean ANC ni realizar tareas a nivel del sistema operativo
Administrador de servicios RESTful externos (ERS)
Acceso completo a la API REST de Cisco ISE
Sólo para autorización, gestión de usuarios locales, hosts y grupos de seguridad (SG)
Operador externo de servicios RESTful (ERS)
Permisos de lectura de la API REST de Cisco ISE
Sólo para autorización, gestión de usuarios locales, hosts y grupos de seguridad (SG)
Figura 11. Grupos de administradores de Cisco ISE predefinidos
8) Opcional en la pestaña Autorización > Permisos > Política RBAC Puede editar los derechos de administradores predefinidos.
Figura 12. Gestión de derechos de perfil preestablecido del administrador de Cisco ISE
9) En pestaña Administración > Sistema > Configuración Todas las configuraciones del sistema están disponibles (DNS, NTP, SMTP y otras). Puede completarlos aquí si se los perdió durante la inicialización inicial del dispositivo.
5. Заключение
Con esto concluye el primer artículo. Discutimos la efectividad de la solución Cisco ISE NAC, su arquitectura, requisitos mínimos y opciones de implementación, e instalación inicial.
En el siguiente artículo, veremos cómo crear cuentas, integrarlas con Microsoft Active Directory y crear acceso para invitados.
Si tiene preguntas sobre este tema o necesita ayuda para probar el producto, comuníquese con .
Estén atentos a las actualizaciones en nuestros canales (, , , , ).
Fuente: habr.com