Cisco ISE: Sissejuhatus, nõuded, paigaldus. 1. osa
1. Sissejuhatus
Igal ettevõttel, ka kõige väiksemal, on vajadus autentimise, autoriseerimise ja kasutajaarvestuse järele (AAA protokollide perekond). Algstaadiumis on AAA üsna hästi rakendatud, kasutades selliseid protokolle nagu RADIUS, TACACS+ ja DIAMETER. Kasutajate arvu ja ettevõtte kasvades kasvab aga ka ülesannete hulk: hostide ja BYOD-seadmete maksimaalne nähtavus, mitmefaktoriline autentimine, mitmetasandilise juurdepääsupoliitika loomine ja palju muud.
Selliste ülesannete jaoks sobib NAC (Network Access Control) lahenduste klass - võrgu juurdepääsu kontroll. Artiklite sarjas, mis on pühendatud Cisco ISE (Identity Services Engine) – NAC-lahendus sisevõrgu kasutajatele kontekstiteadliku juurdepääsukontrolli pakkumiseks. Vaatleme üksikasjalikult lahenduse arhitektuuri, pakkumist, konfigureerimist ja litsentsimist.
Lubage mul lühidalt meelde tuletada, et Cisco ISE võimaldab teil:
Saate kiiresti ja lihtsalt luua külaliste juurdepääsu spetsiaalses WLAN-is;
Tuvastage BYOD-seadmed (näiteks töötajate koduarvutid, mis nad tööle kaasa tõid);
Tsentraliseerige ja jõustage turvapoliitikat domeeni ja domeeniväliste kasutajate vahel, kasutades SGT turberühma silte TrustSec);
Kontrollige arvutitesse installitud teatud tarkvara ja vastavust standarditele (posting);
Klassifitseerida ja profiilida lõpp- ja võrguseadmeid;
Pakkuda lõpp-punkti nähtavust;
Saatke kasutajate sisse-/väljalogimise sündmuste logid, nende kontod (identiteet) NGFW-le kasutajapõhise poliitika moodustamiseks;
Integreerige natiivselt Cisco StealthWatchiga ja pange karantiini turvaintsidentidega seotud kahtlased hostid (rohkem);
Identiteediteenuste mootori arhitektuuril on 4 olemit (sõlme): haldussõlm (Policy Administration Node), poliitika jaotussõlm (Policy Service Node), jälgimissõlm (Monitoring Node) ja PxGridi sõlm (PxGrid Node). Cisco ISE võib olla eraldiseisva või hajutatud installina. Standalone versioonis asuvad kõik olemid ühes virtuaalses masinas või füüsilises serveris (Secure Network Servers – SNS), samas kui Distributed versioonis on sõlmed jaotatud erinevate seadmete vahel.
Poliitikahaldussõlm (PAN) on nõutav sõlm, mis võimaldab teil teha kõiki Cisco ISE haldustoiminguid. See haldab kõiki AAA-ga seotud süsteemikonfiguratsioone. Jaotatud konfiguratsioonis (sõlmi saab installida eraldi virtuaalmasinatena) saab veataluvuseks olla maksimaalselt kaks PAN-i – aktiivne/ooterežiim.
Policy Service Node (PSN) on kohustuslik sõlm, mis pakub juurdepääsu võrgule, olekut, külaliste juurdepääsu, klienditeeninduse pakkumist ja profiilide koostamist. PSN hindab poliitikat ja rakendab seda. Tavaliselt installitakse mitu PSN-i, eriti hajutatud konfiguratsioonis, et tagada üleliigsem ja hajutatud töö. Loomulikult püüavad nad installida need sõlmed erinevatesse segmentidesse, et mitte kaotada sekundikski võimalust pakkuda autentitud ja volitatud juurdepääsu.
Monitoring Node (MnT) on kohustuslik sõlm, mis salvestab võrgu sündmuste logid, muude sõlmede logid ja poliitikad. MnT sõlm pakub täiustatud tööriistu jälgimiseks ja tõrkeotsinguks, kogub ja korreleerib erinevaid andmeid ning pakub ka sisukaid aruandeid. Cisco ISE võimaldab teil omada maksimaalselt kahte MnT-sõlme, luues sellega tõrketaluvuse – aktiivne/ooterežiim. Logisid koguvad aga mõlemad sõlmed, nii aktiivsed kui passiivsed.
PxGrid Node (PXG) on sõlm, mis kasutab PxGridi protokolli ja võimaldab suhelda teiste PxGridi toetavate seadmete vahel.
PxGrid — protokoll, mis tagab erinevate tarnijate IT- ja infoturbe infrastruktuuri toodete integreerimise: seiresüsteemid, sissetungimise tuvastamise ja ennetamise süsteemid, turvapoliitika haldusplatvormid ja paljud muud lahendused. Cisco PxGrid võimaldab teil jagada konteksti ühe- või kahesuunaliselt paljude platvormidega ilma API-deta, võimaldades seeläbi tehnoloogiat TrustSec (SGT sildid), muutke ja rakendage ANC (Adaptive Network Control) poliitikat, samuti teostage profileerimist – seadme mudeli, OS-i, asukoha ja muu määramine.
Kõrge kättesaadavusega konfiguratsioonis kordavad PxGridi sõlmed teavet sõlmede vahel PAN-i kaudu. Kui PAN on keelatud, lõpetab PxGridi sõlm kasutajate autentimise, autoriseerimise ja arvestuse.
Allpool on skemaatiline kujutis erinevate Cisco ISE üksuste toimimisest ettevõtte võrgus.
Joonis 1. Cisco ISE arhitektuur
3. Nõuded
Cisco ISE saab realiseerida, nagu enamikku kaasaegseid lahendusi, virtuaalselt või füüsiliselt eraldi serverina.
Füüsilisi seadmeid, mis kasutavad Cisco ISE tarkvara, nimetatakse SNS-iks (Secure Network Server). Neid on kolmes mudelis: SNS-3615, SNS-3655 ja SNS-3695 väikestele, keskmise suurusega ja suurtele ettevõtetele. Tabelis 1 on esitatud teave alates andmeleht SNS.
Tabel 1. SNS-i võrdlustabel erinevate skaalade jaoks
Parameeter
SNS 3615 (väike)
SNS 3655 (keskmine)
SNS 3695 (suur)
Toetatud lõpp-punktide arv eraldiseisvas installis
10000
25000
50000
Toetatud lõpp-punktide arv PSN-i kohta
10000
25000
100000
Protsessor (Intel Xeon 2.10 GHz)
8 südamikku
12 südamikku
12 südamikku
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Riistvara RAID
ei
RAID 10, RAID-kontrolleri olemasolu
RAID 10, RAID-kontrolleri olemasolu
Võrgu liidesed
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Virtuaalsete rakenduste osas on toetatud hüperviisorid VMware ESXi (soovitatav on ESXi 11 jaoks vähemalt VMware versioon 6.0), Microsoft Hyper-V ja Linux KVM (RHEL 7.0). Ressursid peaksid olema ligikaudu samad, mis ülaltoodud tabelis, või rohkem. Väikeettevõtte virtuaalmasina miinimumnõuded on aga järgmised: 2 protsessor sagedusega 2.0 GHz ja rohkem, 16 GB RAM и 200 GBHDD.
GVE taotlus - päring сайта Teatud tarkvara Cisco (meetod partneritele). Loote juhtumi järgmise tüüpilise kirjeldusega: toote tüüp [ISE], ISE tarkvara [ise-2.7.0.356.SPA.x8664], ISE patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilootprojekt — võtke tasuta katseprojekti läbiviimiseks ühendust mis tahes volitatud partneriga.
1) Kui taotlesite pärast virtuaalmasina loomist ISO-faili, mitte OVA-malli, kuvatakse aken, milles ISE nõuab installi valimist. Selleks peaksite oma sisselogimise ja parooli asemel kirjutama "seade“!
Märkus: kui juurutasite ISE OVA mallist, siis sisselogimisandmed admin/MyIseYPass2 (see ja palju muud on märgitud ametlikus giid).
Joonis 2. Cisco ISE installimine
2) Seejärel tuleks täita nõutud väljad nagu IP aadress, DNS, NTP ja teised.
Joonis 3. Cisco ISE lähtestamine
3) Pärast seda seade taaskäivitub ja saate veebiliidese kaudu ühenduse luua, kasutades eelnevalt määratud IP-aadressi.
Joonis 4. Cisco ISE veebiliides
4) Vahekaardil Haldus > Süsteem > Juurutamine saate valida, millised sõlmed (olemid) on konkreetses seadmes lubatud. PxGridi sõlm on siin lubatud.
Joonis 5. Cisco ISE olemihaldus
5) Seejärel vahekaardil Haldus > Süsteem > Administraatori juurdepääs >Autentimine Soovitan seadistada paroolipoliitika, autentimismeetodi (sertifikaat või parool), konto aegumiskuupäeva ja muud sätted.
Joonis 6. Autentimise tüübi seadistusJoonis 7. Paroolipoliitika sättedJoonis 8. Konto sulgemise seadistamine pärast aja möödumistJoonis 9. Konto lukustamise seadistamine
6) Vahekaardil Administreerimine > Süsteem > Administraatori juurdepääs > Administraatorid > Administraatorikasutajad > Lisa saate luua uue administraatori.
Joonis 10. Kohaliku Cisco ISE administraatori loomine
7) Uue administraatori saab teha osaks uuest grupist või juba eelnevalt määratletud gruppidest. Administraatorirühmi hallatakse vahekaardi samal paneelil Administraatori rühmad. Tabel 2 võtab kokku teabe ISE administraatorite, nende õiguste ja rollide kohta.
Tabel 2. Cisco ISE administraatorirühmad, juurdepääsutasemed, õigused ja piirangud
Administraatorirühma nimi
Load
Piirangud
Kohandamise administraator
Külalis- ja sponsorportaalide seadistamine, administreerimine ja kohandamine
Suutmatus muuta eeskirju või vaadata aruandeid
Kasutajatoe administraator
Võimalus vaadata peamist armatuurlauda, kõiki aruandeid, häireid ja tõrkeotsingu vooge
Te ei saa muuta, luua ega kustutada aruandeid, häireid ja autentimisloge
Identiteedi administraator
Kasutajate, õiguste ja rollide haldamine, logide, aruannete ja häirete vaatamise võimalus
Te ei saa OS-i tasemel reegleid muuta ega ülesandeid täita
MnT administraator
Täielik monitooring, aruanded, häired, logid ja nende haldamine
Suutmatus poliitikat muuta
Võrguseadme administraator
Õigused luua ja muuta ISE objekte, vaadata logisid, aruandeid, peamist armatuurlauda
Te ei saa OS-i tasemel reegleid muuta ega ülesandeid täita
Eeskirjade administraator
Kõigi poliitikate täielik haldamine, profiilide muutmine, seaded, aruannete vaatamine
Suutmatus teha sätteid mandaatide ja ISE-objektidega
RBAC administraator
Kõik vahekaardi Toimingud seaded, ANC-poliitika sätted, aruandluse haldus
Te ei saa muuta muid poliitikaid peale ANC ega täita OS-i tasemel toiminguid
Super Admin
Kõigi seadete, aruandluse ja haldamise õigused saavad kustutada ja muuta administraatori mandaate
Ei saa muuta, kustutage Super Admin grupist mõni teine profiil
Süsteemi administraator
Kõik vahekaardi Toimingud seaded, süsteemiseadete haldamine, ANC-poliitika, aruannete vaatamine
Te ei saa muuta muid poliitikaid peale ANC ega täita OS-i tasemel toiminguid
Väliste RESTful Services (ERS) administraator
Täielik juurdepääs Cisco ISE REST API-le
Ainult autoriseerimiseks, kohalike kasutajate, hostide ja turvarühmade (SG) haldamiseks
Väline RESTful Services (ERS) operaator
Cisco ISE REST API lugemisõigused
Ainult autoriseerimiseks, kohalike kasutajate, hostide ja turvarühmade (SG) haldamiseks
Joonis 11. Eelmääratletud Cisco ISE administraatorirühmad
8) Vahekaardil valikuline Autoriseerimine > Õigused > RBAC-poliitika Saate redigeerida eelmääratud administraatorite õigusi.
Joonis 12. Cisco ISE administraatori eelseadistatud profiili õiguste haldus
9) Vahekaardil Haldus > Süsteem > SeadedKõik süsteemisätted on saadaval (DNS, NTP, SMTP ja teised). Saate need siin täita, kui need jäid seadme algse lähtestamise ajal kahe silma vahele.
5. Järeldus
Sellega on esimene artikkel lõpetatud. Arutasime Cisco ISE NAC lahenduse tõhusust, selle arhitektuuri, miinimumnõudeid ja juurutusvõimalusi ning esialgset installimist.
Järgmises artiklis käsitleme kontode loomist, Microsoft Active Directoryga integreerimist ja külaliste juurdepääsu loomist.
Kui teil on selle teema kohta küsimusi või vajate abi toote testimisel, võtke ühendust link.