1 مقدمه
هر شرکتی، حتی کوچکترین شرکت، نیاز به احراز هویت، مجوز و حسابداری کاربر (خانواده پروتکل های AAA) دارد. در مرحله اولیه، AAA با استفاده از پروتکل هایی مانند RADIUS، TACACS+ و DIAMETER به خوبی پیاده سازی می شود. با این حال، با افزایش تعداد کاربران و شرکت، تعداد وظایف نیز افزایش می یابد: حداکثر دید میزبان ها و دستگاه های BYOD، احراز هویت چند عاملی، ایجاد یک خط مشی دسترسی چند سطحی و موارد دیگر.
برای چنین وظایفی، کلاس راه حل های NAC (کنترل دسترسی شبکه) عالی است - کنترل دسترسی به شبکه. در مجموعه ای از مقالات اختصاص داده شده به (Identity Services Engine) - راه حل NAC برای ارائه کنترل دسترسی آگاه از زمینه به کاربران در شبکه داخلی، نگاهی دقیق به معماری، تهیه، پیکربندی و مجوز راه حل خواهیم داشت.
اجازه دهید به طور خلاصه یادآوری کنم که Cisco ISE به شما اجازه می دهد:
-
به سرعت و به راحتی دسترسی مهمان را در یک WLAN اختصاصی ایجاد کنید.
-
شناسایی دستگاه های BYOD (به عنوان مثال، رایانه های شخصی خانگی کارمندان که آنها به محل کار آورده اند).
-
با استفاده از برچسبهای گروه امنیتی SGT، سیاستهای امنیتی را در میان کاربران دامنه و غیر دامنه متمرکز و اجرا کنید );
-
رایانهها را از نظر نرمافزار نصب شده و مطابقت با استانداردها بررسی کنید.
-
طبقه بندی و مشخصات دستگاه های نقطه پایانی و شبکه.
-
امکان مشاهده نقطه پایانی را فراهم کنید.
-
گزارش رویدادهای ورود/خروج کاربران، حسابهای (هویت) آنها را برای تشکیل یک خطمشی مبتنی بر کاربر به NGFW ارسال کنید.
-
به صورت بومی با Cisco StealthWatch ادغام و میزبان های مشکوک درگیر در حوادث امنیتی را قرنطینه کنید ();
-
و سایر ویژگی های استاندارد برای سرورهای AAA.
همکاران در صنعت قبلاً در مورد Cisco ISE نوشته اند، بنابراین به شما توصیه می کنم بخوانید: ,.
2 معماری
معماری Identity Services Engine دارای 4 نهاد (گره) است: یک گره مدیریت (گره مدیریت سیاست)، یک گره توزیع خط مشی (گره خدمات خط مشی)، یک گره نظارتی (گره نظارت) و یک گره PxGrid (گره PxGrid). Cisco ISE می تواند در یک نصب مستقل یا توزیع شده باشد. در نسخه Standalone، همه موجودیت ها بر روی یک ماشین مجازی یا سرور فیزیکی (Secure Network Servers - SNS) قرار دارند، در حالی که در نسخه Distributed، گره ها در دستگاه های مختلف توزیع می شوند.
گره مدیریت سیاست (PAN) یک گره ضروری است که به شما امکان می دهد تمام عملیات اداری را در Cisco ISE انجام دهید. تمام تنظیمات سیستم مربوط به AAA را کنترل می کند. در یک پیکربندی توزیعشده (گرهها را میتوان به عنوان ماشینهای مجازی جداگانه نصب کرد)، میتوانید حداکثر دو PAN برای تحمل خطا داشته باشید - حالت Active/Standby.
گره سرویس خط مشی (PSN) یک گره اجباری است که دسترسی به شبکه، وضعیت، دسترسی مهمان، ارائه خدمات مشتری و پروفایل را فراهم می کند. PSN خط مشی را ارزیابی می کند و آن را اعمال می کند. به طور معمول، چندین PSN، مخصوصاً در یک پیکربندی توزیعشده، برای عملیات اضافی و توزیعشدهتر نصب میشوند. البته سعی میکنند این گرهها را در سگمنتهای مختلف نصب کنند تا برای ثانیهای امکان دسترسی تایید شده و مجاز را از دست ندهند.
گره مانیتورینگ (MnT) یک گره اجباری است که گزارش رویدادها، گزارشهای سایر گرهها و سیاستها را در شبکه ذخیره میکند. گره MnT ابزارهای پیشرفته ای را برای نظارت و عیب یابی فراهم می کند، داده های مختلف را جمع آوری و مرتبط می کند و همچنین گزارش های معناداری را ارائه می دهد. Cisco ISE به شما امکان می دهد حداکثر دو گره MnT داشته باشید، در نتیجه تحمل خطا را ایجاد کنید - حالت فعال / آماده به کار. با این حال، گزارشها توسط هر دو گره، هم فعال و هم غیرفعال جمعآوری میشوند.
PxGrid Node (PXG) گرهای است که از پروتکل PxGrid استفاده میکند و امکان برقراری ارتباط بین سایر دستگاههایی که از PxGrid پشتیبانی میکنند را فراهم میکند.
- پروتکلی که ادغام محصولات زیرساخت فناوری اطلاعات و امنیت اطلاعات از فروشندگان مختلف را تضمین می کند: سیستم های نظارتی، سیستم های تشخیص نفوذ و پیشگیری، پلت فرم های مدیریت سیاست های امنیتی و بسیاری از راه حل های دیگر. Cisco PxGrid به شما این امکان را می دهد که زمینه را به صورت یک طرفه یا دو طرفه با بسیاری از پلتفرم ها بدون نیاز به API به اشتراک بگذارید و در نتیجه این فناوری را فعال کنید. (برچسبهای SGT)، سیاست ANC (کنترل شبکه تطبیقی) را تغییر داده و اعمال کنید، و همچنین پروفایلسازی را انجام دهید - تعیین مدل دستگاه، سیستمعامل، مکان و موارد دیگر.
در یک پیکربندی با دسترسی بالا، گرههای PxGrid اطلاعات را بین گرهها روی یک PAN تکرار میکنند. اگر PAN غیرفعال باشد، گره PxGrid احراز هویت، مجوزدهی و حسابداری کاربران را متوقف می کند.
در زیر یک نمایش شماتیک از عملکرد موجودیت های مختلف Cisco ISE در یک شبکه شرکتی ارائه شده است.
شکل 1. Cisco ISE Architecture
3. الزامات
Cisco ISE را می توان مانند اکثر راه حل های مدرن به صورت مجازی یا فیزیکی به عنوان یک سرور جداگانه پیاده سازی کرد.
دستگاه های فیزیکی که نرم افزار Cisco ISE را اجرا می کنند SNS (Secure Network Server) نامیده می شوند. آنها در سه مدل ارائه می شوند: SNS-3615، SNS-3655 و SNS-3695 برای مشاغل کوچک، متوسط و بزرگ. جدول 1 اطلاعاتی را نشان می دهد SNS.
جدول 1. جدول مقایسه SNS برای مقیاس های مختلف
پارامتر
SNS 3615 (کوچک)
SNS 3655 (متوسط)
SNS 3695 (بزرگ)
تعداد نقاط پایانی پشتیبانی شده در یک نصب مستقل
10000
25000
50000
تعداد نقاط پایانی پشتیبانی شده در هر PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 هسته
12 هسته
12 هسته
رم
32 گیگابایت (2 x 16 گیگابایت)
96 گیگابایت (6 x 16 گیگابایت)
256 گیگابایت (16 x 16 گیگابایت)
HDD
1*600 گیگابایت
4*600 گیگابایت
8*600 گیگابایت
RAID سخت افزاری
بدون
RAID 10، وجود کنترلر RAID
RAID 10، وجود کنترلر RAID
رابط های شبکه
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
در مورد پیاده سازی مجازی، هایپروایزرهای پشتیبانی شده عبارتند از VMware ESXi (حداقل نسخه VMware 11 برای ESXi 6.0 توصیه می شود)، Microsoft Hyper-V و Linux KVM (RHEL 7.0). منابع باید تقریباً مشابه جدول بالا یا بیشتر باشند. با این حال، حداقل الزامات برای یک ماشین مجازی کسب و کار کوچک عبارتند از: پردازنده 2 با فرکانس 2.0 گیگاهرتز و بالاتر، رم 16 گیگابایت и 200 گیگابایت HDD
برای سایر جزئیات استقرار ISE Cisco، لطفاً تماس بگیرید و یا به , .
4. نصب و راه اندازی
مانند سایر محصولات سیسکو، ISE را می توان به روش های مختلفی آزمایش کرد:
-
– سرویس ابری طرحبندیهای آزمایشگاهی از پیش نصب شده (حساب سیسکو مورد نیاز است).
-
- درخواست از سیسکو از نرم افزارهای خاص (روش برای شرکا). شما یک مورد با شرح معمول زیر ایجاد می کنید: نوع محصول [ISE]، نرم افزار ISE [ise-2.7.0.356.SPA.x8664]، ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664]؛
-
- برای انجام یک پروژه آزمایشی رایگان با هر شریک مجاز تماس بگیرید.
1) پس از ایجاد یک ماشین مجازی، اگر یک فایل ISO و نه یک الگوی OVA درخواست کردید، پنجره ای ظاهر می شود که در آن ISE از شما می خواهد که نصب را انتخاب کنید. برای این کار به جای لاگین و رمز عبور خود باید بنویسید «برپایی"!
توجه: اگر ISE را از الگوی OVA مستقر کرده اید، جزئیات ورود به سیستم admin/MyIseYPass2 (این و خیلی بیشتر در رسمی نشان داده شده است ).
شکل 2. نصب Cisco ISE
2) سپس باید فیلدهای مورد نیاز مانند آدرس IP، DNS، NTP و موارد دیگر را پر کنید.
شکل 3. راه اندازی سیسکو ISE
3) پس از آن، دستگاه راه اندازی مجدد می شود و شما می توانید از طریق رابط وب با استفاده از آدرس IP مشخص شده قبلی متصل شوید.
شکل 4. رابط وب سیسکو ISE
4) در برگه Administration > System > Deployment می توانید انتخاب کنید که کدام گره ها (موجودات) در یک دستگاه خاص فعال شوند. گره PxGrid در اینجا فعال است.
شکل 5. Cisco ISE Entity Management
5) سپس در تب Administration > System > Admin Access > تصدیق توصیه می کنم یک خط مشی رمز عبور، روش احراز هویت (گواهی یا رمز عبور)، تاریخ انقضای حساب و سایر تنظیمات تنظیم کنید.
شکل 6. تنظیم نوع احراز هویتشکل 7. تنظیمات خط مشی رمز عبورشکل 8. تنظیم خاموش شدن حساب پس از انقضای زمانشکل 9. تنظیم قفل حساب
6) در برگه Administration > System > Admin Access > Administrators > Admin Users > Add می توانید یک مدیر جدید ایجاد کنید.
شکل 10. ایجاد یک Cisco Local ISE Administrator
7) مدیر جدید می تواند بخشی از یک گروه جدید یا گروه های از پیش تعریف شده باشد. گروه های مدیر در همان پانل در برگه مدیریت می شوند گروه های مدیریت جدول 2 اطلاعات مربوط به مدیران ISE، حقوق و نقش آنها را خلاصه می کند.
جدول 2. گروههای مدیر ISE Cisco، سطوح دسترسی، مجوزها و محدودیتها
نام گروه مدیر
مجوزها
محدودیت
مدیریت سفارشی سازی
راه اندازی پورتال مهمان و حمایت مالی، مدیریت و سفارشی سازی
عدم توانایی در تغییر خط مشی ها یا مشاهده گزارش ها
مدیریت میز کمک
امکان مشاهده داشبورد اصلی، تمامی گزارشات، لارم ها و جریان های عیب یابی
شما نمی توانید گزارش ها، آلارم ها و گزارش های احراز هویت را تغییر دهید، ایجاد یا حذف کنید
ادمین هویت
مدیریت کاربران، امتیازات و نقشها، امکان مشاهده گزارشها، گزارشها و آلارمها
شما نمی توانید خط مشی ها را تغییر دهید یا وظایفی را در سطح سیستم عامل انجام دهید
مدیریت MnT
نظارت کامل، گزارش ها، آلارم ها، لاگ ها و مدیریت آنها
ناتوانی در تغییر هر سیاست
مدیر دستگاه شبکه
حقوق ایجاد و تغییر اشیاء ISE، مشاهده گزارشها، گزارشها، داشبورد اصلی
شما نمی توانید خط مشی ها را تغییر دهید یا وظایفی را در سطح سیستم عامل انجام دهید
مدیر خط مشی
مدیریت کامل تمام سیاست ها، تغییر پروفایل ها، تنظیمات، مشاهده گزارش ها
ناتوانی در انجام تنظیمات با اعتبار، اشیاء ISE
مدیر RBAC
همه تنظیمات در برگه عملیات، تنظیمات خط مشی ANC، مدیریت گزارش
شما نمی توانید سیاست های دیگری به جز ANC را تغییر دهید یا وظایفی را در سطح سیستم عامل انجام دهید
سوپر مدیر
حقوق کلیه تنظیمات، گزارشدهی و مدیریت، میتواند اعتبار مدیر را حذف و تغییر دهد
امکان تغییر وجود ندارد، نمایه دیگری را از گروه Super Admin حذف کنید
سیستم مدیریت
همه تنظیمات در برگه عملیات، مدیریت تنظیمات سیستم، سیاست ANC، مشاهده گزارشها
شما نمی توانید سیاست های دیگری به جز ANC را تغییر دهید یا وظایفی را در سطح سیستم عامل انجام دهید
مدیریت خدمات خارجی استراحت (ERS).
دسترسی کامل به Cisco ISE REST API
فقط برای مجوز، مدیریت کاربران محلی، میزبان ها و گروه های امنیتی (SG)
اپراتور خدمات خارجی RESTful (ERS).
Cisco ISE REST API مجوزهای خواندن
فقط برای مجوز، مدیریت کاربران محلی، میزبان ها و گروه های امنیتی (SG)
شکل 11. از پیش تعریف شده Cisco ISE Administrator Groups
8) موارد اضافی در برگه مجوز > مجوزها > خط مشی RBAC شما می توانید حقوق مدیران از پیش تعریف شده را ویرایش کنید.
شکل 12. مدیریت حقوق نمایه از پیش تنظیم شده مدیر ISE Cisco
9) در برگه مدیریت > سیستم > تنظیمات تمام تنظیمات سیستم در دسترس هستند (DNS، NTP، SMTP و دیگران). اگر در طول اولیه سازی دستگاه از دست داده اید، می توانید آنها را اینجا پر کنید.
5. نتیجه گیری
این مقاله اول را به پایان می رساند. ما در مورد اثربخشی راه حل Cisco ISE NAC، معماری آن، حداقل الزامات و گزینه های استقرار، و نصب اولیه بحث کردیم.
در مقاله بعدی به ایجاد حساب کاربری، ادغام با Microsoft Active Directory و ایجاد دسترسی مهمان خواهیم پرداخت.
اگر در مورد این موضوع سوالی دارید یا برای آزمایش محصول نیاز به کمک دارید، لطفاً تماس بگیرید .
کانال های ما را برای به روز رسانی دنبال کنید (, , , , ).
منبع: www.habr.com