Jokaisella, jopa pienimmällä, yrityksellä on tarve todennukseen, valtuutukseen ja käyttäjälaskentaan (AAA-protokollaperhe). Alkuvaiheessa AAA on varsin hyvin toteutettu käyttämällä protokollia, kuten RADIUS, TACACS+ ja DIAMETER. Käyttäjien ja yrityksen kasvaessa kuitenkin myös tehtävien määrä kasvaa: isäntien ja BYOD-laitteiden maksimaalinen näkyvyys, monitekijätodennus, monitasoisen pääsykäytännön luominen ja paljon muuta.
Tällaisiin tehtäviin NAC (Network Access Control) -ratkaisut sopivat täydellisesti - verkon pääsynhallinta. Artikkelisarjassa, joka on omistettu Cisco ISE (Identity Services Engine) - NAC-ratkaisu kontekstitietoisen pääsynhallinnan tarjoamiseen sisäisen verkon käyttäjille, tarkastelemme yksityiskohtaisesti ratkaisun arkkitehtuuria, provisiointia, konfigurointia ja lisensointia.
Muistutan teitä lyhyesti siitä, että Cisco ISE:n avulla voit:
Luo nopeasti ja helposti vieraskäyttö omistetussa WLAN-verkossa;
Tunnista BYOD-laitteet (esimerkiksi työntekijöiden töihin tuomat kotitietokoneet);
Keskitä ja pakota suojauskäytännöt toimialueen ja muiden käyttäjien kesken SGT-suojausryhmätunnisteiden avulla TrustSec);
Tarkista, onko tietokoneisiin asennettuja ohjelmistoja ja että ne ovat standardien mukaisia (asetelma);
Luokittele ja profiloi päätepisteet ja verkkolaitteet;
Tarjoa päätepisteen näkyvyys;
Lähetä tapahtumalokit käyttäjien sisään-/uloskirjautumisesta, heidän tilinsä (identiteetti) NGFW:lle käyttäjäpohjaisen käytännön muodostamiseksi;
Integroi natiivisti Cisco StealthWatchin kanssa ja aseta karanteeniin epäilyttävät isännät, jotka ovat mukana tietoturvahäiriöissä (lisää);
Identity Services Engine -arkkitehtuurissa on 4 entiteettiä (solmua): hallintasolmu (Policy Administration Node), politiikan jakelusolmu (Policy Service Node), valvontasolmu (Monitoring Node) ja PxGrid-solmu (PxGrid Node). Cisco ISE voi olla erillinen tai hajautettu asennus. Itsenäisessä versiossa kaikki entiteetit sijaitsevat yhdellä virtuaalikoneella tai fyysisellä palvelimella (Secure Network Servers - SNS), kun taas hajautetussa versiossa solmut on hajautettu eri laitteille.
Policy Administration Node (PAN) on pakollinen solmu, jonka avulla voit suorittaa kaikki hallintatoiminnot Cisco ISE:ssä. Se käsittelee kaikki AAA:han liittyvät järjestelmäkokoonpanot. Hajautetussa kokoonpanossa (solmut voidaan asentaa erillisinä virtuaalikoneena) sinulla voi olla enintään kaksi PAN-osoitetta vikasietoisuutta varten - aktiivinen/valmiustila.
Policy Service Node (PSN) on pakollinen solmu, joka tarjoaa verkkoon pääsyn, tilan, vieraskäytön, asiakaspalvelun tarjoamisen ja profiloinnin. PSN arvioi käytännön ja soveltaa sitä. Tyypillisesti useita PSN:itä asennetaan, erityisesti hajautetussa kokoonpanossa, redundanttimman ja hajautetun toiminnan varmistamiseksi. Tietenkin he yrittävät asentaa nämä solmut eri segmentteihin, jotta he eivät menetä kykyä tarjota todennettua ja valtuutettua pääsyä sekunniksi.
Monitoring Node (MnT) on pakollinen solmu, joka tallentaa tapahtumalokit, muiden solmujen lokit ja käytännöt verkossa. MnT-solmu tarjoaa edistyneitä työkaluja seurantaan ja vianetsintään, kerää ja korreloi erilaisia tietoja sekä tarjoaa myös merkityksellisiä raportteja. Cisco ISE mahdollistaa enintään kahden MnT-solmun käytön, mikä luo vikasietoisuuden - aktiivinen/valmiustila. Molemmat solmut, sekä aktiiviset että passiiviset, keräävät kuitenkin lokeja.
PxGrid Node (PXG) on solmu, joka käyttää PxGrid-protokollaa ja mahdollistaa viestinnän muiden PxGridiä tukevien laitteiden välillä.
PxGrid — protokolla, joka varmistaa eri valmistajien IT- ja tietoturvainfrastruktuurituotteiden integroinnin: valvontajärjestelmät, tunkeutumisen havaitsemis- ja estojärjestelmät, tietoturvapolitiikan hallintaympäristöt ja monet muut ratkaisut. Cisco PxGridin avulla voit jakaa kontekstin yksi- tai kaksisuuntaisesti useiden alustojen kanssa ilman API:ita, mikä mahdollistaa tekniikan TrustSec (SGT-tunnisteet), muuta ja käytä ANC-käytäntöä (Adaptive Network Control) sekä suorita profilointia - laitteen mallin, käyttöjärjestelmän, sijainnin ja muiden määrittämistä.
Korkean käytettävyyden kokoonpanossa PxGrid-solmut replikoivat tietoa solmujen välillä PAN-verkon kautta. Jos PAN on poistettu käytöstä, PxGrid-solmu lopettaa käyttäjien todentamisen, valtuutuksen ja tilityksen.
Alla on kaavamainen esitys eri Cisco ISE -yksiköiden toiminnasta yritysverkossa.
Kuva 1. Cisco ISE -arkkitehtuuri
3. Vaatimukset
Cisco ISE voidaan toteuttaa, kuten useimmat nykyaikaiset ratkaisut, virtuaalisesti tai fyysisesti erillisenä palvelimena.
Fyysisiä laitteita, joissa on Cisco ISE -ohjelmisto, kutsutaan nimellä SNS (Secure Network Server). Niitä on kolme mallia: SNS-3615, SNS-3655 ja SNS-3695 pienille, keskisuurille ja suurille yrityksille. Taulukko 1 näyttää tiedot kohteesta tietolomake SNS.
Taulukko 1. SNS-vertailutaulukko eri asteikoilla
Parametri
SNS 3615 (pieni)
SNS 3655 (Keskitaso)
SNS 3695 (suuri)
Tuettujen päätepisteiden määrä itsenäisessä asennuksessa
10000
25000
50000
Tuettujen päätepisteiden määrä per PSN
10000
25000
100000
Prosessori (Intel Xeon 2.10 GHz)
8 ydintä
12 ydintä
12 ydintä
RAM
32 Gt (2 x 16 Gt)
96 Gt (6 x 16 Gt)
256 Gt (16 x 16 Gt)
HDD
1x600GB
4x600GB
8x600GB
Laitteiston RAID
Ei
RAID 10, RAID-ohjaimen läsnäolo
RAID 10, RAID-ohjaimen läsnäolo
Verkkorajapinnat
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
Mitä tulee virtuaalitoteutuksiin, tuetut hypervisorit ovat VMware ESXi (ESXi 11:lle suositellaan vähintään VMwaren versiota 6.0), Microsoft Hyper-V ja Linux KVM (RHEL 7.0). Resurssien tulee olla suunnilleen samat kuin yllä olevassa taulukossa tai enemmän. Pienyrityksen virtuaalikoneen vähimmäisvaatimukset ovat kuitenkin: CPU 2 taajuudella 2.0 GHz tai enemmän, 16GB RAM и 200 GBHDD.
GVE-pyyntö – pyyntö lähettäjältä paikka Tiettyjen ohjelmistojen Cisco (menetelmä kumppaneille). Luot tapauksen seuraavalla tyypillisellä kuvauksella: Tuotetyyppi [ISE], ISE-ohjelmisto [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilottiprojekti — ota yhteyttä valtuutettuun kumppaniin ilmaisen pilottihankkeen toteuttamiseksi.
1) Jos pyysit virtuaalikoneen luomisen jälkeen ISO-tiedostoa etkä OVA-mallia, näkyviin tulee ikkuna, jossa ISE vaatii sinua valitsemaan asennuksen. Tätä varten sinun tulee kirjoittaa kirjautumistunnuksesi ja salasanasi sijaan "setup“!
Huom: jos otit ISE:n käyttöön OVA-mallista, kirjautumistiedot admin/MyIseYPass2 (tämä ja paljon muuta on ilmoitettu virallisessa opas).
Kuva 2. Cisco ISE:n asennus
2) Sitten sinun tulee täyttää vaaditut kentät, kuten IP-osoite, DNS, NTP ja muut.
Kuva 3. Cisco ISE:n alustus
3) Tämän jälkeen laite käynnistyy uudelleen ja voit muodostaa yhteyden verkkoliittymän kautta käyttämällä aiemmin määritettyä IP-osoitetta.
Kuva 4. Cisco ISE -verkkoliittymä
4) Välilehdellä Hallinta > Järjestelmä > Käyttöönotto voit valita, mitkä solmut (entiteetit) ovat käytössä tietyssä laitteessa. PxGrid-solmu on käytössä täällä.
Kuva 5. Cisco ISE Entity Management
5) Sitten välilehdellä Hallinta > Järjestelmä > Järjestelmänvalvojan käyttöoikeudet >Authentication Suosittelen salasanakäytännön, todennustavan (sertifikaatti tai salasana), tilin vanhenemispäivämäärän ja muiden asetusten määrittämistä.
Kuva 6. Todennustyypin asetusKuva 7. Salasanapolitiikan asetuksetKuva 8. Tilin sulkemisen määrittäminen ajan kuluttuaKuva 9. Tilin lukituksen määrittäminen
6) Välilehdellä Hallinta > Järjestelmä > Järjestelmänvalvojan käyttöoikeudet > Järjestelmänvalvojat > Järjestelmänvalvojat > Lisää voit luoda uuden järjestelmänvalvojan.
Kuva 10. Paikallisen Cisco ISE -järjestelmänvalvojan luominen
7) Uusi ylläpitäjä voidaan tehdä osaksi uutta ryhmää tai jo valmiiksi määritettyjä ryhmiä. Järjestelmänvalvojaryhmiä hallitaan välilehden samassa paneelissa Admin ryhmät. Taulukossa 2 on yhteenveto tiedoista ISE-järjestelmänvalvojista, heidän oikeuksistaan ja rooleistaan.
Taulukko 2. Cisco ISE -järjestelmänvalvojaryhmät, käyttöoikeustasot, käyttöoikeudet ja rajoitukset
Järjestelmänvalvojaryhmän nimi
lupa
Rajoitukset
Mukauttaminen Admin
Vieras- ja sponsorointiportaalien perustaminen, hallinto ja räätälöinti
Kyvyttömyys muuttaa käytäntöjä tai tarkastella raportteja
Helpdesk Admin
Mahdollisuus tarkastella päähallintapaneelia, kaikkia raportteja, hälytyksiä ja vianetsintävirtoja
Et voi muuttaa, luoda tai poistaa raportteja, hälytyksiä ja todennuslokeja
Identity Admin
Käyttäjien, oikeuksien ja roolien hallinta, mahdollisuus tarkastella lokeja, raportteja ja hälytyksiä
Et voi muuttaa käytäntöjä tai suorittaa tehtäviä käyttöjärjestelmätasolla
MnT Admin
Täysi valvonta, raportit, hälytykset, lokit ja niiden hallinta
Kyvyttömyys muuttaa mitään käytäntöjä
Verkkolaitteen järjestelmänvalvoja
Oikeudet luoda ja muuttaa ISE-objekteja, tarkastella lokeja, raportteja, päähallintapaneelia
Et voi muuttaa käytäntöjä tai suorittaa tehtäviä käyttöjärjestelmätasolla
Käytännön järjestelmänvalvoja
Kaikkien käytäntöjen täydellinen hallinta, profiilien, asetusten muuttaminen, raporttien katselu
Kyvyttömyys suorittaa asetuksia valtuustiedoilla, ISE-objekteilla
RBAC-järjestelmänvalvoja
Kaikki Toiminnot-välilehden asetukset, ANC-käytäntöasetukset, raportoinnin hallinta
Et voi muuttaa muita käytäntöjä kuin ANC tai suorittaa tehtäviä käyttöjärjestelmätasolla
Super Admin
Oikeudet kaikkiin asetuksiin, raportointiin ja hallintaan, voivat poistaa ja muuttaa järjestelmänvalvojan tunnistetietoja
Ei voi muuttaa, poista toinen profiili Super Admin -ryhmästä
System Admin
Kaikki Toiminnot-välilehden asetukset, järjestelmäasetusten hallinta, ANC-käytäntö, raporttien katselu
Et voi muuttaa muita käytäntöjä kuin ANC tai suorittaa tehtäviä käyttöjärjestelmätasolla
Kuva 12. Cisco ISE Administrator Preset Profile Rights Management
9) Välilehdellä Hallinta > Järjestelmä > AsetuksetKaikki järjestelmäasetukset ovat käytettävissä (DNS, NTP, SMTP ja muut). Voit täyttää ne täällä, jos olet unohtanut ne laitteen alkuperäisen alustuksen aikana.
5. Päätelmä
Tämä päättää ensimmäisen artikkelin. Keskustelimme Cisco ISE NAC -ratkaisun tehokkuudesta, sen arkkitehtuurista, vähimmäisvaatimuksista ja käyttöönottovaihtoehdoista sekä alkuasennuksesta.
Seuraavassa artikkelissa tarkastellaan tilien luomista, integrointia Microsoft Active Directoryyn ja vieraskäyttöoikeuksien luomista.
Jos sinulla on kysyttävää tästä aiheesta tai tarvitset apua tuotteen testaamiseen, ota yhteyttä linkki.