🥇Cisco ISE: sissejuhatus, nõuded, installimine. 1. osa

1. Sissejuhatus

Igal ettevõttel, ka kõige väiksemal, on vajadus autentimise, autoriseerimise ja kasutajaarvestuse järele (AAA protokollide perekond). Algstaadiumis on AAA üsna hästi rakendatud, kasutades selliseid protokolle nagu RADIUS, TACACS+ ja DIAMETER. Kasutajate arvu ja ettevõtte kasvades kasvab aga ka ülesannete hulk: hostide ja BYOD-seadmete maksimaalne nähtavus, mitmefaktoriline autentimine, mitmetasandilise juurdepääsupoliitika loomine ja palju muud.

Selliste ülesannete jaoks sobib NAC (Network Access Control) lahenduste klass - võrgu juurdepääsu kontroll. Artiklite sarjas, mis on pühendatud Cisco ISE (Identity Services Engine) – NAC-lahendus sisevõrgu kasutajatele kontekstiteadliku juurdepääsukontrolli pakkumiseks. Vaatleme üksikasjalikult lahenduse arhitektuuri, pakkumist, konfigureerimist ja litsentsimist.

Lubage mul lühidalt meelde tuletada, et Cisco ISE võimaldab teil:

Saate kiiresti ja lihtsalt luua külaliste juurdepääsu spetsiaalses WLAN-is;
Tuvastage BYOD-seadmed (näiteks töötajate koduarvutid, mis nad tööle kaasa tõid);
Tsentraliseerige ja jõustage turvapoliitikat domeeni ja domeeniväliste kasutajate vahel, kasutades SGT turberühma silte TrustSec);
Kontrollige arvutitesse installitud teatud tarkvara ja vastavust standarditele (posting);
Klassifitseerida ja profiilida lõpp- ja võrguseadmeid;
Pakkuda lõpp-punkti nähtavust;
Saatke kasutajate sisse-/väljalogimise sündmuste logid, nende kontod (identiteet) NGFW-le kasutajapõhise poliitika moodustamiseks;
Integreerige natiivselt Cisco StealthWatchiga ja pange karantiini turvaintsidentidega seotud kahtlased hostid (rohkem);
Ja muud AAA-serverite standardsed funktsioonid.

Tööstuse kolleegid on Cisco ISE-st juba kirjutanud, seega soovitan teil lugeda: Cisco ISE juurutamise praktika, Kuidas valmistuda Cisco ISE juurutamiseks.

2. arhitektuur

Identiteediteenuste mootori arhitektuuril on 4 olemit (sõlme): haldussõlm (Policy Administration Node), poliitika jaotussõlm (Policy Service Node), jälgimissõlm (Monitoring Node) ja PxGridi sõlm (PxGrid Node). Cisco ISE võib olla eraldiseisva või hajutatud installina. Standalone versioonis asuvad kõik olemid ühes virtuaalses masinas või füüsilises serveris (Secure Network Servers – SNS), samas kui Distributed versioonis on sõlmed jaotatud erinevate seadmete vahel.

Poliitikahaldussõlm (PAN) on nõutav sõlm, mis võimaldab teil teha kõiki Cisco ISE haldustoiminguid. See haldab kõiki AAA-ga seotud süsteemikonfiguratsioone. Jaotatud konfiguratsioonis (sõlmi saab installida eraldi virtuaalmasinatena) saab veataluvuseks olla maksimaalselt kaks PAN-i – aktiivne/ooterežiim.

Policy Service Node (PSN) on kohustuslik sõlm, mis pakub juurdepääsu võrgule, olekut, külaliste juurdepääsu, klienditeeninduse pakkumist ja profiilide koostamist. PSN hindab poliitikat ja rakendab seda. Tavaliselt installitakse mitu PSN-i, eriti hajutatud konfiguratsioonis, et tagada üleliigsem ja hajutatud töö. Loomulikult püüavad nad installida need sõlmed erinevatesse segmentidesse, et mitte kaotada sekundikski võimalust pakkuda autentitud ja volitatud juurdepääsu.

Monitoring Node (MnT) on kohustuslik sõlm, mis salvestab võrgu sündmuste logid, muude sõlmede logid ja poliitikad. MnT sõlm pakub täiustatud tööriistu jälgimiseks ja tõrkeotsinguks, kogub ja korreleerib erinevaid andmeid ning pakub ka sisukaid aruandeid. Cisco ISE võimaldab teil omada maksimaalselt kahte MnT-sõlme, luues sellega tõrketaluvuse – aktiivne/ooterežiim. Logisid koguvad aga mõlemad sõlmed, nii aktiivsed kui passiivsed.

PxGrid Node (PXG) on sõlm, mis kasutab PxGridi protokolli ja võimaldab suhelda teiste PxGridi toetavate seadmete vahel.

PxGrid — protokoll, mis tagab erinevate tarnijate IT- ja infoturbe infrastruktuuri toodete integreerimise: seiresüsteemid, sissetungimise tuvastamise ja ennetamise süsteemid, turvapoliitika haldusplatvormid ja paljud muud lahendused. Cisco PxGrid võimaldab teil jagada konteksti ühe- või kahesuunaliselt paljude platvormidega ilma API-deta, võimaldades seeläbi tehnoloogiat TrustSec (SGT sildid), muutke ja rakendage ANC (Adaptive Network Control) poliitikat, samuti teostage profileerimist – seadme mudeli, OS-i, asukoha ja muu määramine.

Kõrge kättesaadavusega konfiguratsioonis kordavad PxGridi sõlmed teavet sõlmede vahel PAN-i kaudu. Kui PAN on keelatud, lõpetab PxGridi sõlm kasutajate autentimise, autoriseerimise ja arvestuse.

Allpool on skemaatiline kujutis erinevate Cisco ISE üksuste toimimisest ettevõtte võrgus.

Joonis 1. Cisco ISE arhitektuur

3. Nõuded

Cisco ISE saab realiseerida, nagu enamikku kaasaegseid lahendusi, virtuaalselt või füüsiliselt eraldi serverina.

Füüsilisi seadmeid, mis kasutavad Cisco ISE tarkvara, nimetatakse SNS-iks (Secure Network Server). Neid on kolmes mudelis: SNS-3615, SNS-3655 ja SNS-3695 väikestele, keskmise suurusega ja suurtele ettevõtetele. Tabelis 1 on esitatud teave alates andmeleht SNS.

Tabel 1. SNS-i võrdlustabel erinevate skaalade jaoks

Parameeter

SNS 3615 (väike)

SNS 3655 (keskmine)

SNS 3695 (suur)

Toetatud lõpp-punktide arv eraldiseisvas installis

10000

25000

50000

Toetatud lõpp-punktide arv PSN-i kohta

10000

25000

100000

Protsessor (Intel Xeon 2.10 GHz)

8 südamikku

12 südamikku

RAM

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

Riistvara RAID

RAID 10, RAID-kontrolleri olemasolu

Võrgu liidesed

2 x 10Gbase-T

4 x 1Gbase-T

2 x 10Gbase-T

4 x 1Gbase-T

2 x 10Gbase-T

4 x 1Gbase-T

Virtuaalsete implementatsioonide osas on toetatud hüperviisorid VMware ESXi (ESXi 6.0 jaoks on soovitatav vähemalt VMware versioon 11), Microsoft Hyper-V ja Linux KVM (RHEL 7.0). Ressursid peaksid olema ligikaudu samad või kõrgemad kui ülaltoodud tabelis. Väikeettevõtete minimaalsed virtuaalmasina nõuded on aga järgmised: 2 protsessor sagedusega 2.0 GHz ja rohkem, 16 GB RAM и 200 GB HDD.

Muude Cisco ISE juurutamise üksikasjade saamiseks võtke ühendust meile või ressurss nr 1, ressurss nr 2.

4. Paigaldamine

Nagu enamikku teisi Cisco tooteid, saab ISE-d testida mitmel viisil:

dcloud – eelinstallitud laboriplaanide pilveteenus (vajalik Cisco konto);
GVE taotlus - päring сайта Teatud tarkvara Cisco (meetod partneritele). Loote juhtumi järgmise tüüpilise kirjeldusega: toote tüüp [ISE], ISE tarkvara [ise-2.7.0.356.SPA.x8664], ISE patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilootprojekt — võtke tasuta katseprojekti läbiviimiseks ühendust mis tahes volitatud partneriga.

1) Kui taotlesite pärast virtuaalmasina loomist ISO-faili, mitte OVA-malli, kuvatakse aken, milles ISE nõuab installi valimist. Selleks peaksite oma sisselogimise ja parooli asemel kirjutama "seade“!

Märkus: kui juurutasite ISE OVA mallist, siis sisselogimisandmed admin/MyIseYPass2 (see ja palju muud on märgitud ametlikus giid).

Joonis 2. Cisco ISE installimine

2) Seejärel tuleks täita nõutud väljad nagu IP aadress, DNS, NTP ja teised.

Joonis 3. Cisco ISE lähtestamine

3) Pärast seda seade taaskäivitub ja saate veebiliidese kaudu ühenduse luua, kasutades eelnevalt määratud IP-aadressi.

Joonis 4. Cisco ISE veebiliides

4) Vahekaardil Haldus > Süsteem > Juurutamine saate valida, millised sõlmed (olemid) on konkreetses seadmes lubatud. PxGridi sõlm on siin lubatud.

Joonis 5. Cisco ISE olemihaldus

5) Seejärel vahekaardil Haldus > Süsteem > Administraatori juurdepääs > Autentimine Soovitan seadistada paroolipoliitika, autentimismeetodi (sertifikaat või parool), konto aegumiskuupäeva ja muud sätted.

Joonis 6. Autentimise tüübi seadistusJoonis 7. Paroolipoliitika sättedJoonis 8. Konto sulgemise seadistamine pärast aja möödumistJoonis 9. Konto lukustamise seadistamine

6) Vahekaardil Administreerimine > Süsteem > Administraatori juurdepääs > Administraatorid > Administraatorikasutajad > Lisa saate luua uue administraatori.

Joonis 10. Kohaliku Cisco ISE administraatori loomine

7) Uue administraatori saab teha osaks uuest grupist või juba eelnevalt määratletud gruppidest. Administraatorirühmi hallatakse vahekaardi samal paneelil Administraatori rühmad. Tabel 2 võtab kokku teabe ISE administraatorite, nende õiguste ja rollide kohta.

Tabel 2. Cisco ISE administraatorirühmad, juurdepääsutasemed, õigused ja piirangud

Administraatorirühma nimi

Load

Piirangud

Kohandamise administraator

Külalis- ja sponsorportaalide seadistamine, administreerimine ja kohandamine

Suutmatus muuta eeskirju või vaadata aruandeid

Kasutajatoe administraator

Võimalus vaadata peamist armatuurlauda, kõiki aruandeid, häireid ja tõrkeotsingu vooge

Te ei saa muuta, luua ega kustutada aruandeid, häireid ja autentimisloge

Identiteedi administraator

Kasutajate, õiguste ja rollide haldamine, logide, aruannete ja häirete vaatamise võimalus

Te ei saa OS-i tasemel reegleid muuta ega ülesandeid täita

MnT administraator

Täielik monitooring, aruanded, häired, logid ja nende haldamine

Suutmatus poliitikat muuta

Võrguseadme administraator

Õigused luua ja muuta ISE objekte, vaadata logisid, aruandeid, peamist armatuurlauda

Te ei saa OS-i tasemel reegleid muuta ega ülesandeid täita

Eeskirjade administraator

Kõigi poliitikate täielik haldamine, profiilide muutmine, seaded, aruannete vaatamine

Suutmatus teha sätteid mandaatide ja ISE-objektidega

RBAC administraator

Kõik vahekaardi Toimingud seaded, ANC-poliitika sätted, aruandluse haldus

Te ei saa muuta muid poliitikaid peale ANC ega täita OS-i tasemel toiminguid

Super Admin

Kõigi seadete, aruandluse ja haldamise õigused saavad kustutada ja muuta administraatori mandaate

Ei saa muuta, kustutage Super Admin grupist mõni teine profiil

Süsteemi administraator

Kõik vahekaardi Toimingud seaded, süsteemiseadete haldamine, ANC-poliitika, aruannete vaatamine

Te ei saa muuta muid poliitikaid peale ANC ega täita OS-i tasemel toiminguid

Väliste RESTful Services (ERS) administraator

Täielik juurdepääs Cisco ISE REST API-le

Ainult autoriseerimiseks, kohalike kasutajate, hostide ja turvarühmade (SG) haldamiseks

Väline RESTful Services (ERS) operaator

Cisco ISE REST API lugemisõigused

Ainult autoriseerimiseks, kohalike kasutajate, hostide ja turvarühmade (SG) haldamiseks

Joonis 11. Eelmääratletud Cisco ISE administraatorirühmad

8) Vahekaardil valikuline Autoriseerimine > Õigused > RBAC-poliitika Saate redigeerida eelmääratud administraatorite õigusi.

Joonis 12. Cisco ISE administraatori eelseadistatud profiili õiguste haldus

9) Vahekaardil Haldus > Süsteem > Seaded Kõik süsteemisätted on saadaval (DNS, NTP, SMTP ja teised). Saate need siin täita, kui need jäid seadme algse lähtestamise ajal kahe silma vahele.

5. Järeldus

Sellega on esimene artikkel lõpetatud. Arutasime Cisco ISE NAC lahenduse tõhusust, selle arhitektuuri, miinimumnõudeid ja juurutusvõimalusi ning esialgset installimist.

Järgmises artiklis käsitleme kontode loomist, Microsoft Active Directoryga integreerimist ja külaliste juurdepääsu loomist.

Kui teil on selle teema kohta küsimusi või vajate abi toote testimisel, võtke ühendust link.

Olge kursis meie kanalite uudistega (Telegramm, Facebook, VK, TS lahenduste ajaveeb, Yandex Zen).

Allikas: www.habr.com