1. Sarrera
Enpresa bakoitzak, txikienak ere, autentifikazioa, baimena eta erabiltzaileen kontabilitatea (AAA protokoloen familia) beharra dauka. Hasierako fasean, AAA nahiko ondo inplementatuta dago RADIUS, TACACS+ eta DIAMETER bezalako protokoloak erabiliz. Hala ere, erabiltzaile kopurua eta enpresa hazi ahala, zereginen kopurua ere hazten da: ostalari eta BYOD gailuen ikusgarritasun handiena, faktore anitzeko autentifikazioa, maila anitzeko sarbide-politika sortzea eta askoz gehiago.
Horrelako zereginetarako, NAC (Network Access Control) soluzioen klasea ezin hobea da - sareko sarbidea kontrola. Honi eskainitako artikulu sorta batean (Identity Services Engine) - NAC irtenbidea barne sareko erabiltzaileei testuinguruaren araberako sarbide-kontrola eskaintzeko, irtenbidearen arkitekturari, hornidurari, konfigurazioari eta lizentziari buruzko xehetasunak aztertuko ditugu.
Labur-labur gogorarazten dizut Cisco ISEk aukera ematen dizula:
-
Sortu azkar eta erraz gonbidatuentzako sarbidea WLAN dedikatu batean;
-
Detektatu BYOD gailuak (adibidez, lanera eraman dituzten langileen etxeko ordenagailuak);
-
Zentralizatu eta betearazi segurtasun-politikak domeinuko eta domeinurik gabeko erabiltzaileen artean SGT segurtasun-taldeen etiketak erabiliz );
-
Egiaztatu ordenagailuetan software jakin batzuk instalatuta dauden eta estandarrak betetzen dituzten (posturatzea);
-
Sailkatu eta profilatu amaierako puntuak eta sareko gailuak;
-
Amaierako ikusgarritasuna eskaintzea;
-
Bidali erabiltzaileen saioaren/amaieraren gertaeren erregistroak, haien kontuak (identitatea) NGFWra, erabiltzaileetan oinarritutako politika osatzeko;
-
Integratu natiboki Cisco StealthWatch-ekin eta jarri segurtasun-gordetan parte hartzen duten ostalari susmagarriak berrogeialdian ();
-
Eta beste ezaugarri estandarrak AAA zerbitzarietarako.
Industriako lankideek dagoeneko idatzi dute Cisco ISEri buruz, beraz, irakurtzea gomendatzen dizut: ,.
2. arkitektura
Identity Services Engine arkitekturak 4 entitate (nodo) ditu: kudeaketa-nodo bat (Policy Administration Node), politika-banaketa-nodo bat (Policy Service Node), monitorizazio-nodo bat (Monitoring Node) eta PxGrid nodo bat (PxGrid Node). Cisco ISE instalazio autonomoan edo banatuan egon daiteke. Standalone bertsioan, entitate guztiak makina birtual edo zerbitzari fisiko batean daude (Sare Seguru Zerbitzariak - SNS), eta Banatutako bertsioan, berriz, nodoak gailu ezberdinetan banatzen dira.
Policy Administration Node (PAN) Cisco ISE-n administrazio-eragiketa guztiak egiteko aukera ematen duen beharrezko nodo bat da. AAArekin lotutako sistemaren konfigurazio guztiak kudeatzen ditu. Banatutako konfigurazio batean (nodoak makina birtual bereizi gisa instalatu daitezke), gehienez bi PAN izan ditzakezu akatsen tolerantziarako - Aktibo/Esan modua.
Politika-zerbitzu-nodoa (PSN) sarerako sarbidea, egoera, gonbidatuentzako sarbidea, bezero-zerbitzua hornitzea eta profilak eskaintzen dituen derrigorrezko nodo bat da. PSNk politika ebaluatzen du eta aplikatzen du. Normalean, hainbat PSN instalatzen dira, batez ere banatutako konfigurazio batean, funtzionamendu erredundante eta banatuagorako. Jakina, nodo hauek segmentu ezberdinetan instalatzen saiatzen dira, autentifikatu eta baimendutako sarbidea segundo batez ez galtzeko.
Monitoring Node (MnT) gertaeren erregistroak, beste nodoen erregistroak eta sarean politikak gordetzen dituen derrigorrezko nodo bat da. MnT nodoak monitorizazio eta arazoak konpontzeko tresna aurreratuak eskaintzen ditu, hainbat datu biltzen eta erlazionatzen ditu eta txosten esanguratsuak ere eskaintzen ditu. Cisco ISE-k gehienez bi MnT nodo izatea ahalbidetzen du, horrela akatsen tolerantzia sortuz - Aktibo/Esan modua. Hala ere, erregistroak bi nodoek biltzen dituzte, aktibo zein pasiboek.
PxGrid Node (PXG) PxGrid protokoloa erabiltzen duen eta PxGrid onartzen duten beste gailu batzuen arteko komunikazioa ahalbidetzen duen nodo bat da.
β saltzaile ezberdinen informatika eta informazioaren segurtasuneko azpiegituren produktuen integrazioa bermatzen duen protokoloa: monitorizazio sistemak, intrusioak detektatzeko eta prebenitzeko sistemak, segurtasun politikak kudeatzeko plataformak eta beste hainbat irtenbide. Cisco PxGrid-ek testuingurua norabide bakarrean edo bi norabidean partekatzeko aukera ematen dizu plataforma askorekin APIrik beharrik gabe, eta horrela teknologia gaituz. (SGT etiketak), aldatu eta aplikatu ANC (Adaptive Network Control) politika, baita profilak egitea ere - gailuaren eredua, OS, kokapena eta abar zehaztea.
Erabilgarritasun handiko konfigurazio batean, PxGrid nodoek nodoen arteko informazioa erreplikatzen dute PAN baten bidez. PAN desgaituta badago, PxGrid nodoak erabiltzaileak autentifikatzeari, baimentzeari eta kontabilizatzeari uzten dio.
Jarraian, sare korporatibo batean Cisco ISE entitate ezberdinen funtzionamenduaren irudikapen eskematiko bat dago.
1. Irudia. Cisco ISE Arkitektura
3. Baldintzak
Cisco ISE inplementatu daiteke, soluzio modernoenak bezala, birtualki edo fisikoki zerbitzari bereizi gisa.
Cisco ISE softwarea exekutatzen duten gailu fisikoei SNS (Secure Network Server) deitzen zaie. Hiru modelotan daude: SNS-3615, SNS-3655 eta SNS-3695 enpresa txiki, ertain eta handientzat. 1. taulan informazioa agertzen da SNS.
1. taula. SNSen konparazio taula eskala ezberdinetarako
Parametroa
SNS 3615 (txikia)
SNS 3655 (ertaina)
SNS 3695 (handia)
Instalazio autonomo batean onartzen diren amaiera-puntu kopurua
10000
25000
50000
Onartutako amaierako puntu kopurua PSN bakoitzeko
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 nukleo
12 nukleo
12 nukleo
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
No
RAID 10, RAID kontroladorearen presentzia
RAID 10, RAID kontroladorearen presentzia
Sareko interfazeak
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Inplementazio birtualei dagokienez, onartzen diren hipervisoreak VMware ESXi dira (gutxienez ESXi 11rako VMware 6.0 bertsioa gomendatzen da), Microsoft Hyper-V eta Linux KVM (RHEL 7.0). Baliabideek goiko taulan agertzen diren berdinak edo gehiago izan behar dute. Hala ere, negozio txikiko makina birtual baterako gutxieneko baldintzak hauek dira: CPU 2 2.0 GHz-ko eta goragoko maiztasunarekin, 16 GB RAM ΠΈ 200 GB HDD.
Cisco ISE inplementatzeko beste xehetasun batzuk lortzeko, jarri harremanetan edo , .
4. Instalazioa
Cisco-ren beste produktu gehienak bezala, ISE hainbat modutan probatu daiteke:
-
β Aurrez instalatutako laborategi-diseinuen hodeiko zerbitzua (Cisco kontua behar da);
-
β eskaera Software jakin batzuen Cisco (bazkideentzako metodoa). Kasu bat sortzen duzu deskribapen tipiko honekin: Produktu mota [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE adabakia [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
β jarri harremanetan baimendutako edozein bazkiderekin doako proiektu pilotu bat egiteko.
1) Makina birtual bat sortu ondoren, ISO fitxategi bat eskatu baduzu eta ez OVA txantiloi bat, leiho bat agertuko da eta bertan ISEk instalazio bat hautatzea eskatzen dizu. Horretarako, zure saio-hasiera eta pasahitzaren ordez, idatzi beharko zenuke "konfigurazioa"!
Oharra: OVA txantiloitik ISE zabaldu baduzu, orduan saioa hasteko xehetasunak admin/MyIseYPass2 (hau eta askoz gehiago ofizialean adierazten da ).
2. Irudia Cisco ISE instalatzea
2) Ondoren, beharrezko eremuak bete behar dituzu, hala nola IP helbidea, DNS, NTP eta beste.
3. irudia. Cisco ISE hasieratzen
3) Horren ondoren, gailua berrabiaraziko da, eta web interfazearen bidez konektatu ahal izango zara aurrez zehaztutako IP helbidea erabiliz.
4. Irudia Cisco ISE Web Interfazea
4) Fitxa batean Administrazioa > Sistema > Inplementazioa gailu jakin batean zein nodo (entitate) gaituta dauden hauta dezakezu. PxGrid nodoa gaituta dago hemen.
5. Irudia. Cisco ISE Entitateen Kudeaketa
5) Ondoren, fitxan Administrazioa > Sistema > Admin sarbidea > Autentifikazio Pasahitzen politika, autentifikazio metodoa (ziurtagiria edo pasahitza), kontuaren iraungitze data eta beste ezarpen batzuk konfiguratzea gomendatzen dut.
6. Irudia. Autentifikazio motaren ezarpena7. Irudia Pasahitzen politikaren ezarpenak8. Irudia. Kontua ixtea konfiguratzea denbora igaro ondoren9. irudia. Kontuaren blokeoa konfiguratzea
6) Fitxa batean Administrazioa > Sistema > Admin sarbidea > Administratzaileak > Administratzaile erabiltzaileak > Gehitu administratzaile berri bat sor dezakezu.
10. Irudia. Tokiko Cisco ISE Administratzaile bat sortzea
7) Administratzaile berria talde berri baten edo aurrez zehaztutako taldeen parte izan daiteke. Administratzaile taldeak fitxako panel berean kudeatzen dira Admin Taldeak. 2. taulak ISEko administratzaileei, haien eskubideei eta eginkizunei buruzko informazioa laburbiltzen du.
2. Taula. Cisco ISE Administratzaile Taldeak, Sarbide Mailak, Baimenak eta Murrizketak
Administratzaile taldearen izena
baimena
Murrizketak
Pertsonalizazioa Admin
Gonbidatuen eta babesleen atariak konfiguratzea, administrazioa eta pertsonalizazioa
Gidalerroak aldatzeko edo txostenak ikusteko ezintasuna
Laguntza mahaiko administratzailea
Arbel nagusia, txosten guztiak, alarmak eta arazoak konpontzeko korronteak ikusteko gaitasuna
Ezin duzu aldatu, sortu edo ezabatu txostenak, alarmak eta autentifikazio-erregistroak
Identitate Administratzailea
Erabiltzaileak, pribilegioak eta rolak kudeatzea, erregistroak, txostenak eta alarmak ikusteko gaitasuna
Ezin duzu politikak aldatu edo zereginik egin sistema eragilearen mailan
Mnt Admin
Jarraipen osoa, txostenak, alarmak, erregistroak eta horien kudeaketa
Edozein politika aldatzeko ezintasuna
Sareko gailuen administratzailea
ISE objektuak sortzeko eta aldatzeko eskubideak, erregistroak ikusteko, txostenak, panel nagusia
Ezin duzu politikak aldatu edo zereginik egin sistema eragilearen mailan
Politika administratzailea
Politika guztien kudeaketa osoa, profilak aldatzea, ezarpenak, txostenak ikustea
Kredentzialekin, ISE objektuekin ezarpenak egiteko ezintasuna
RBAC Admin
Eragiketak fitxako ezarpen guztiak, ANC politikaren ezarpenak, txostenen kudeaketa
Ezin duzu ANC ez den politikak aldatu edo zereginik egin sistema eragilearen mailan
Super Admin
Ezarpen, txosten eta kudeaketa guztien eskubideek administratzailearen kredentzialak ezabatu eta alda ditzakete
Ezin da aldatu, ezabatu beste profil bat Super Admin taldetik
Sistemaren Admin
Eragiketak fitxako ezarpen guztiak, sistemaren ezarpenak kudeatzea, ANC politika, txostenak ikustea
Ezin duzu ANC ez den politikak aldatu edo zereginik egin sistema eragilearen mailan
Kanpoko RESTful Zerbitzuak (ERS) Admin
Cisco ISE REST APIrako sarbide osoa
Tokiko erabiltzaileen, ostalarien eta segurtasun taldeen (SG) baimentzeko, kudeatzeko soilik
Kanpoko RESTful Zerbitzuak (ERS) operadorea
Cisco ISE REST APIa irakurtzeko baimenak
Tokiko erabiltzaileen, ostalarien eta segurtasun taldeen (SG) baimentzeko, kudeatzeko soilik
11. Irudia. Aurredefinitutako Cisco ISE Administratzaile Taldeak
8) Gehigarriak fitxan Baimena > Baimenak > RBAC politika Aurrez definitutako administratzaileen eskubideak edita ditzakezu.
12. Irudia. Cisco ISE Administrator Aurrez ezarritako profilaren eskubideen kudeaketa
9) Fitxa batean Administrazioa > Sistema > Ezarpenak Sistemaren ezarpen guztiak eskuragarri daude (DNS, NTP, SMTP eta beste). Hemen bete ditzakezu gailuaren hasierako hasierako garaian galdu badituzu.
5. Ondorioa
Honek amaitzen du lehen artikulua. Cisco ISE NAC irtenbidearen eraginkortasunaz, bere arkitekturaz, gutxieneko eskakizunez eta inplementazio-aukerez eta hasierako instalazioaz eztabaidatu genuen.
Hurrengo artikuluan, kontuak sortzea, Microsoft Active Directory-rekin integratzea eta gonbidatuen sarbidea sortzea aztertuko dugu.
Gai honi buruzko galderarik baduzu edo produktua probatzeko laguntza behar baduzu, jarri harremanetan .
Egon adi gure kanaletako eguneraketak (, , , , ).
Iturria: www.habr.com