1. Introduction
Chaque entreprise, même la plus petite, a besoin d'authentification, d'autorisation et de comptabilité des utilisateurs (famille de protocoles AAA). Au stade initial, l'AAA est assez bien mis en œuvre à l'aide de protocoles tels que RADIUS, TACACS+ et DIAMETER. Cependant, à mesure que le nombre d'utilisateurs et d'entreprise augmente, le nombre de tâches augmente également : visibilité maximale des hôtes et des appareils BYOD, authentification multifacteur, création d'une politique d'accès multi-niveaux et bien plus encore.
Pour de telles tâches, la classe de solutions NAC (Network Access Control) est parfaite - contrôle d'accès au réseau. Dans une série d'articles consacrés à (Identity Services Engine) - Solution NAC permettant de fournir un contrôle d'accès contextuel aux utilisateurs sur le réseau interne, nous examinerons en détail l'architecture, le provisionnement, la configuration et les licences de la solution.
Permettez-moi de vous rappeler brièvement que Cisco ISE vous permet de :
-
Créez rapidement et facilement un accès invité sur un WLAN dédié ;
-
Détecter les appareils BYOD (par exemple, les ordinateurs personnels des employés qu'ils ont amenés au travail) ;
-
Centralisez et appliquez les politiques de sécurité entre les utilisateurs du domaine et hors domaine à l'aide des étiquettes de groupe de sécurité SGT. );
-
Vérifier les ordinateurs pour certains logiciels installés et le respect des normes (posture);
-
Classer et profiler les points finaux et les périphériques réseau ;
-
Fournir une visibilité sur les points finaux ;
-
Envoyer les journaux d'événements de connexion/déconnexion des utilisateurs, de leurs comptes (identité) à NGFW pour former une politique basée sur l'utilisateur ;
-
Intégrez nativement à Cisco StealthWatch et mettez en quarantaine les hôtes suspects impliqués dans des incidents de sécurité ();
-
Et d'autres fonctionnalités standard pour les serveurs AAA.
Des collègues de l'industrie ont déjà écrit sur Cisco ISE, je vous conseille donc de lire : ,.
2. architecture
L'architecture Identity Services Engine comporte 4 entités (nœuds) : un nœud de gestion (Policy Administration Node), un nœud de distribution de politiques (Policy Service Node), un nœud de surveillance (Monitoring Node) et un nœud PxGrid (PxGrid Node). Cisco ISE peut être dans une installation autonome ou distribuée. Dans la version autonome, toutes les entités sont situées sur une machine virtuelle ou un serveur physique (Secure Network Servers - SNS), tandis que dans la version distribuée, les nœuds sont répartis sur différents appareils.
Le nœud d'administration de politiques (PAN) est un nœud requis qui vous permet d'effectuer toutes les opérations administratives sur Cisco ISE. Il gère toutes les configurations système liées à AAA. Dans une configuration distribuée (les nœuds peuvent être installés en tant que machines virtuelles distinctes), vous pouvez disposer d'un maximum de deux PAN pour la tolérance aux pannes - mode Actif/Veille.
Le nœud de service de politique (PSN) est un nœud obligatoire qui fournit l'accès au réseau, l'état, l'accès invité, la fourniture du service client et le profilage. Le PSN évalue la politique et l'applique. En règle générale, plusieurs PSN sont installés, en particulier dans une configuration distribuée, pour un fonctionnement plus redondant et distribué. Bien entendu, ils essaient d'installer ces nœuds dans différents segments afin de ne pas perdre une seconde la possibilité de fournir un accès authentifié et autorisé.
Le nœud de surveillance (MnT) est un nœud obligatoire qui stocke les journaux d'événements, les journaux d'autres nœuds et les politiques du réseau. Le nœud MnT fournit des outils avancés de surveillance et de dépannage, collecte et corrèle diverses données et fournit également des rapports significatifs. Cisco ISE vous permet d'avoir un maximum de deux nœuds MnT, créant ainsi une tolérance aux pannes - mode Actif/Veille. Cependant, les journaux sont collectés par les deux nœuds, actifs et passifs.
PxGrid Node (PXG) est un nœud qui utilise le protocole PxGrid et permet la communication entre d'autres appareils prenant en charge PxGrid.
— un protocole qui assure l'intégration de produits d'infrastructure informatique et de sécurité de l'information de différents fournisseurs : systèmes de surveillance, systèmes de détection et de prévention des intrusions, plateformes de gestion des politiques de sécurité et bien d'autres solutions. Cisco PxGrid vous permet de partager le contexte de manière unidirectionnelle ou bidirectionnelle avec de nombreuses plates-formes sans avoir besoin d'API, permettant ainsi à la technologie (balises SGT), modifiez et appliquez la politique ANC (Adaptive Network Control), ainsi qu'effectuez le profilage - en déterminant le modèle de l'appareil, le système d'exploitation, l'emplacement, etc.
Dans une configuration haute disponibilité, les nœuds PxGrid répliquent les informations entre les nœuds sur un PAN. Si le PAN est désactivé, le nœud PxGrid cesse d'authentifier, d'autoriser et de comptabiliser les utilisateurs.
Vous trouverez ci-dessous une représentation schématique du fonctionnement de différentes entités Cisco ISE dans un réseau d'entreprise.
Figure 1. Architecture Cisco ISE
3. Exigences
Cisco ISE peut être implémenté, comme la plupart des solutions modernes, virtuellement ou physiquement en tant que serveur distinct.
Les appareils physiques exécutant le logiciel Cisco ISE sont appelés SNS (Secure Network Server). Ils se déclinent en trois modèles : SNS-3615, SNS-3655 et SNS-3695 pour les petites, moyennes et grandes entreprises. Le tableau 1 présente les informations de SRS.
Tableau 1. Tableau comparatif des SNS pour différentes échelles
Paramètre
SNS 3615 (Petit)
SNS 3655 (Moyen)
SNS 3695 (grand)
Nombre de points de terminaison pris en charge dans une installation autonome
10000
25000
50000
Nombre de points de terminaison pris en charge par PSN
10000
25000
100000
Processeur (Intel Xeon 2.10 GHz)
8 cœurs
12 cœurs
12 cœurs
RAM
32 Go (2 x 16 Go)
96 Go (6 x 16 Go)
256 Go (16 x 16 Go)
HDD
1 x 600 Go
4 x 600 Go
8 x 600 Go
RAID matériel
Aucun
RAID 10, présence de contrôleur RAID
RAID 10, présence de contrôleur RAID
Interfaces réseau
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Concernant les implémentations virtuelles, les hyperviseurs pris en charge sont VMware ESXi (la version minimale de VMware 11 pour ESXi 6.0 est recommandée), Microsoft Hyper-V et Linux KVM (RHEL 7.0). Les ressources doivent être à peu près les mêmes que celles du tableau ci-dessus, voire plus. Cependant, la configuration minimale requise pour une machine virtuelle pour petite entreprise est : CPU 2 avec une fréquence de 2.0 GHz et plus, 16 Go de RAM и 200 GB HDD.
Pour d'autres détails sur le déploiement de Cisco ISE, veuillez contacter ou à , .
4. Installation
Comme la plupart des autres produits Cisco, ISE peut être testé de plusieurs manières :
-
– service cloud de configurations de laboratoire préinstallées (compte Cisco requis) ;
-
- demande de Cisco de certains logiciels (méthode pour les partenaires). Vous créez un cas avec la description typique suivante : Type de produit [ISE], Logiciel ISE [ise-2.7.0.356.SPA.x8664], correctif ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664] ;
-
— contacter tout partenaire agréé pour réaliser un projet pilote gratuit.
1) Après avoir créé une machine virtuelle, si vous avez demandé un fichier ISO et non un modèle OVA, une fenêtre apparaîtra dans laquelle ISE vous demandera de sélectionner une installation. Pour ce faire, à la place de votre login et mot de passe, vous devez écrire «installation« !
Note: si vous avez déployé ISE à partir du modèle OVA, les informations de connexion admin/MonIseYPass2 (cela et bien plus encore est indiqué dans le rapport officiel ).
Figure 2. Installation de Cisco ISE
2) Ensuite, vous devez remplir les champs obligatoires tels que l'adresse IP, DNS, NTP et autres.
Figure 3. Initialisation de Cisco ISE
3) Après cela, l'appareil redémarrera et vous pourrez vous connecter via l'interface Web en utilisant l'adresse IP précédemment spécifiée.
Figure 4. Interface Web de Cisco ISE
4) Dans l'onglet Administration > Système > Déploiement vous pouvez sélectionner quels nœuds (entités) sont activés sur un appareil particulier. Le nœud PxGrid est activé ici.
Figure 5. Gestion des entités Cisco ISE
5) Puis dans l'onglet Administration > Système > Accès administrateur > Authentification Je recommande de configurer une politique de mot de passe, une méthode d'authentification (certificat ou mot de passe), une date d'expiration du compte et d'autres paramètres.
Figure 6. Paramètre du type d'authentificationFigure 7. Paramètres de stratégie de mot de passeFigure 8. Configuration de la fermeture du compte après l'expiration du délaiFigure 9. Configuration du verrouillage du compte
6) Dans l'onglet Administration > Système > Accès administrateur > Administrateurs > Utilisateurs administrateurs > Ajouter vous pouvez créer un nouvel administrateur.
Figure 10. Création d'un administrateur Cisco ISE local
7) Le nouvel administrateur peut faire partie d'un nouveau groupe ou de groupes déjà prédéfinis. Les groupes d'administrateurs sont gérés dans le même panneau dans l'onglet Groupes d'administrateurs. Le tableau 2 résume les informations sur les administrateurs ISE, leurs droits et rôles.
Tableau 2. Groupes d'administrateurs Cisco ISE, niveaux d'accès, autorisations et restrictions
Nom du groupe d'administrateurs
Les permissions
Restrictions
Administrateur de personnalisation
Mise en place de portails invités et parrainages, administration et personnalisation
Impossibilité de modifier les politiques ou d'afficher les rapports
Administrateur du service d'assistance
Possibilité d'afficher le tableau de bord principal, tous les rapports, alarmes et flux de dépannage
Vous ne pouvez pas modifier, créer ou supprimer des rapports, des alarmes et des journaux d'authentification
Administrateur d'identité
Gestion des utilisateurs, des privilèges et des rôles, possibilité d'afficher les journaux, les rapports et les alarmes
Vous ne pouvez pas modifier les politiques ni effectuer de tâches au niveau du système d'exploitation
Administrateur MnT
Surveillance complète, rapports, alarmes, journaux et leur gestion
Incapacité de modifier les politiques
Administrateur de périphérique réseau
Droits pour créer et modifier des objets ISE, afficher les journaux, les rapports, le tableau de bord principal
Vous ne pouvez pas modifier les politiques ni effectuer de tâches au niveau du système d'exploitation
Administrateur des politiques
Gestion complète de toutes les politiques, modification des profils, paramètres, affichage des rapports
Impossibilité d'effectuer des réglages avec les informations d'identification, les objets ISE
Administrateur RBAC
Tous les paramètres de l'onglet Opérations, paramètres de la politique ANC, gestion des rapports
Vous ne pouvez pas modifier les politiques autres que ANC ou effectuer des tâches au niveau du système d'exploitation
Super Admin
Les droits sur tous les paramètres, rapports et gestion, peuvent supprimer et modifier les informations d'identification de l'administrateur.
Modification impossible, supprimez un autre profil du groupe Super Administrateur
Administrateur système
Tous les paramètres dans l'onglet Opérations, gestion des paramètres système, politique ANC, affichage des rapports
Vous ne pouvez pas modifier les politiques autres que ANC ou effectuer des tâches au niveau du système d'exploitation
Administrateur des services RESTful externes (ERS)
Accès complet à l'API REST Cisco ISE
Uniquement pour l'autorisation, la gestion des utilisateurs locaux, des hôtes et des groupes de sécurité (SG)
Opérateur de services RESTful externes (ERS)
Autorisations de lecture de l'API REST Cisco ISE
Uniquement pour l'autorisation, la gestion des utilisateurs locaux, des hôtes et des groupes de sécurité (SG)
Figure 11. Groupes d'administrateurs Cisco ISE prédéfinis
8) Facultatif dans l'onglet Autorisation > Autorisations > Stratégie RBAC Vous pouvez modifier les droits des administrateurs prédéfinis.
Figure 12. Gestion des droits de profil prédéfini de l'administrateur Cisco ISE
9) Dans l'onglet Administration > Système > Paramètres Tous les paramètres système sont disponibles (DNS, NTP, SMTP et autres). Vous pouvez les remplir ici si vous les avez manqués lors de l'initialisation initiale de l'appareil.
5. Заключение
Ceci conclut le premier article. Nous avons discuté de l'efficacité de la solution Cisco ISE NAC, de son architecture, de la configuration minimale requise, des options de déploiement et de l'installation initiale.
Dans le prochain article, nous examinerons la création de comptes, l'intégration à Microsoft Active Directory et la création d'un accès invité.
Si vous avez des questions sur ce sujet ou si vous avez besoin d'aide pour tester le produit, veuillez contacter .
Restez à l'affût des mises à jour sur nos chaînes (, , , , ).
Source: habr.com