1. Yntroduksje
Elk bedriuw, sels de lytste, hat ferlet fan autentikaasje, autorisaasje en brûkersaccounting (AAA-famylje fan protokollen). Op it earste stadium is AAA frij goed ymplementearre mei protokollen lykas RADIUS, TACACS + en DIAMETER. As it oantal brûkers en it bedriuw lykwols groeit, groeit it oantal taken ek: maksimale sichtberens fan hosts en BYOD-apparaten, multi-factor autentikaasje, it meitsjen fan in multi-level tagongsbelied en folle mear.
Foar sokke taken is de oplossingsklasse NAC (Network Access Control) perfekt - netwurk tagongskontrôle. Yn in rige fan artikels wijd oan (Identity Services Engine) - NAC-oplossing foar it jaan fan kontekstbewuste tagongskontrôle oan brûkers op it ynterne netwurk, wy sille in detaillearre blik nimme op 'e arsjitektuer, foarsjenning, konfiguraasje en lisinsje fan' e oplossing.
Lit my jo koart herinnerje dat Cisco ISE jo kinne:
Fluch en maklik meitsje gast tagong op in tawijd WLAN;
Detect BYOD-apparaten (bygelyks thús-PC's fan meiwurkers dy't se oan it wurk brochten);
Sentralisearje en hanthavenje feiligensbelied oer domein- en net-domeinbrûkers mei SGT-befeiligingsgroepetiketten );
Kontrolearje kompjûters foar bepaalde software ynstalleare en neilibjen fan noarmen (posturing);
Klassifisearje en profilearje einpunt- en netwurkapparaten;
Biede sichtberens fan einpunt;
Stjoer barrenslogboeken fan oanmelden / ôfmelden fan brûkers, har akkounts (identiteit) nei NGFW om in brûker-basearre belied te foarmjen;
Yntegrearje natuerlik mei Cisco StealthWatch en set fertochte hosts yn karantine belutsen by feiligensynsidinten ();
En oare funksjes standert foar AAA-tsjinners.
Kollega's yn 'e sektor hawwe al skreaun oer Cisco ISE, dus ik advisearje jo om te lêzen: ,.
2. Arsjitektuer
De Identity Services Engine-arsjitektuer hat 4 entiteiten (knooppunten): in behearknooppunt (Policy Administration Node), in beliedsdistribúsjeknooppunt (Policy Service Node), in tafersjochknooppunt (Monitoring Node) en in PxGrid-knooppunt (PxGrid Node). Cisco ISE kin wêze yn in standalone of ferspraat ynstallaasje. Yn 'e Standalone ferzje lizze alle entiteiten op ien firtuele masine as fysike tsjinner (Secure Network Servers - SNS), wylst yn' e Distribuearre ferzje de knopen ferdield binne oer ferskate apparaten.
Policy Administration Node (PAN) is in fereaske knooppunt wêrmei jo te fieren alle bestjoerlike operaasjes op Cisco ISE. It behannelet alle systeemkonfiguraasjes yn ferbân mei AAA. Yn in ferspraat konfiguraasje (knooppunten kinne wurde ynstallearre as aparte firtuele masines), kinne jo hawwe maksimaal twa PANs foar skuld tolerânsje - Aktive / Standby modus.
Policy Service Node (PSN) is in ferplichte knooppunt dy't netwurk tagong, steat, gast tagong, klant tsjinstferliening, en profilearring leveret. PSN beoardielet it belied en past it ta. Typysk wurde meardere PSN's ynstalleare, benammen yn in ferspraat konfiguraasje, foar mear oerstallige en ferspraat operaasje. Fansels besykje se dizze knopen yn ferskate segminten te ynstallearjen om de mooglikheid net te ferliezen om autentike en autorisearre tagong foar in sekonde te leverjen.
Monitoring Node (MnT) is in ferplichte knooppunt dat barrens logs, logs fan oare knopen en belied op it netwurk opslaan. De MnT-knooppunt leveret avansearre ark foar tafersjoch en probleemoplossing, sammelet en korrelearret ferskate gegevens, en leveret ek sinfolle rapporten. Cisco ISE kinne jo hawwe maksimaal twa MnT knopen, dêrmei it meitsjen fan skuld tolerânsje - Aktive / Standby modus. Logs wurde lykwols sammele troch beide knooppunten, sawol aktyf as passyf.
PxGrid Node (PXG) is in knooppunt dat it PxGrid-protokol brûkt en kommunikaasje mooglik makket tusken oare apparaten dy't PxGrid stypje.
- in protokol dat soarget foar de yntegraasje fan produkten foar ynfrastruktuer foar IT en ynformaasjefeiligens fan ferskate leveransiers: tafersjochsystemen, systemen foar ynbraakdeteksje en previnsje, platfoarms foar befeiligingsbeliedbehear en in protte oare oplossingen. Cisco PxGrid lit jo kontekst diele op in unidirectional of bidirectional manier mei in protte platfoarms sûnder de needsaak foar API's, wêrtroch de technology mooglik is (SGT-tags), feroarje en tapasse ANC (Adaptive Network Control) belied, lykas ek profilearjen útfiere - it bepalen fan it apparaatmodel, OS, lokaasje, en mear.
Yn in konfiguraasje mei hege beskikberens replikearje PxGrid-knooppunten ynformaasje tusken knopen oer in PAN. As de PAN is útskeakele, stopet de PxGrid-knooppunt mei ferifiearjen, autorisearjen en rekkenjen foar brûkers.
Hjirûnder is in skematyske foarstelling fan 'e wurking fan ferskate Cisco ISE-entiteiten yn in bedriuwsnetwurk.
figuer 1. Cisco ISE Architecture
3. Requirements
Cisco ISE kin wurde ymplementearre, lykas de measte moderne oplossings, firtueel of fysyk as in aparte tsjinner.
Fysike apparaten mei Cisco ISE-software wurde neamd SNS (Secure Network Server). Se komme yn trije modellen: SNS-3615, SNS-3655 en SNS-3695 foar lytse, middelgrutte en grutte bedriuwen. Tabel 1 toant ynformaasje fan SNS.
Tabel 1. Fergeliking tabel fan SNS foar ferskate skalen
Parameter
SNS 3615 (lyts)
SNS 3655 (medium)
SNS 3695 (grut)
Oantal stipe einpunten yn in Standalone ynstallaasje
10000
25000
50000
Oantal einpunten stipe per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kearn
12 kearn
12 kearn
RAAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
gjin
RAID 10, oanwêzigens fan RAID controller
RAID 10, oanwêzigens fan RAID controller
Netwurkynterfaces
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Oangeande firtuele ymplemintaasjes binne de stipe hypervisors VMware ESXi (op syn minst VMware ferzje 11 wurdt oanrikkemandearre foar ESXi 6.0), Microsoft Hyper-V en Linux KVM (RHEL 7.0). De boarnen moatte sawat itselde wêze as yn 'e tabel hjirboppe, of heger. De minimale easken foar firtuele masines foar lytse bedriuwen binne lykwols: 2 CPU mei in frekwinsje fan 2.0 GHz en heger, 16 GB RAM и 200 GB HDD.
Foar oare Cisco ISE ynset details, nim dan kontakt op of oan , .
4. Ynstallaasje
Lykas de measte oare Cisco-produkten, kin ISE op ferskate manieren hifke wurde:
- wolktsjinst fan foarôf ynstalleare laboratoariumlayouts (Cisco-akkount fereaske);
- fersyk fan Cisco fan bepaalde software (metoade foar partners). Jo meitsje in saak mei de folgjende typyske beskriuwing: Produkttype [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
- nim kontakt op mei elke autorisearre partner om in fergees pilotprojekt út te fieren.
1) Nei it meitsjen fan in firtuele masine, as jo in ISO-bestân hawwe oanfrege en net in OVA-sjabloan, sil in finster ferskine wêryn ISE jo fereasket om in ynstallaasje te selektearjen. Om dit te dwaan, moatte jo ynstee fan jo oanmelding en wachtwurd skriuwe "opsette"!
Tink derom: as jo ISE ynset fan OVA-sjabloan, dan de oanmeldgegevens admin/MyIseYPass2 (dit en folle mear is oanjûn yn 'e offisjele ).
figuer 2. Ynstallearje Cisco ISE
2) Dan moatte jo de fereaske fjilden ynfolje lykas IP-adres, DNS, NTP en oaren.
figuer 3. Inisjalisearjen fan Cisco ISE
3) Dêrnei sil it apparaat opnij starte, en jo kinne ferbine fia de webynterface mei it earder oantsjutte IP-adres.
figuer 4. Cisco ISE Web Interface
4) In tab Administration > Systeem > Ynset jo kinne selektearje hokker knopen (entiteiten) binne ynskeakele op in bepaald apparaat. De PxGrid-knooppunt is hjir ynskeakele.
figuer 5. Cisco ISE Entity Management
5) Dan yn tab Behear > Systeem > Behear tagong > ferifikaasje Ik advisearje it ynstellen fan in wachtwurdbelied, autentikaasjemetoade (sertifikaat as wachtwurd), ferfaldatum fan akkount, en oare ynstellingen.
figuer 6. Autentikaasje type ynstelling
figuer 7. Wachtwurd belied ynstellings
figuer 8. It opsetten fan account shutdown nei de tiid ferrint
figuer 9. It opsetten fan account locking
6) In tab Behear > Systeem > Behear tagong > Behearders > Behear brûkers > Taheakje jo kinne in nije behearder oanmeitsje.
figuer 10. It meitsjen fan in lokale Cisco ISE Administrator
7) De nije behearder kin diel makke wurde fan in nije groep of al foarôf definieare groepen. Beheardersgroepen wurde beheard yn itselde paniel yn 'e ljepper Beheardersgroepen. Tabel 2 vat ynformaasje gear oer ISE-behearders, har rjochten en rollen.
tabel 2. Cisco ISE Administrator Groups, tagong nivo, tagongsrjochten en beheinings
Administrator groep namme
Tastimming
Beskikberens
Oanpassing Admin
Opsetten fan gast- en sponsoringportalen, administraasje en maatwurk
Unfermogen om belied te feroarjen of rapporten te besjen
Helpdesk Admin
Mooglikheid om it haaddashboard, alle rapporten, larms en streamen foar probleemoplossing te besjen
Jo kinne rapporten, alaarms en autentikaasjelogs net feroarje, oanmeitsje of wiskje
Identiteit Admin
Behear fan brûkers, privileezjes en rollen, de mooglikheid om logs, rapporten en alaarms te besjen
Jo kinne belied net feroarje of taken op OS-nivo útfiere
MnT Admin
Folsleine tafersjoch, rapporten, alarmen, logs en har behear
Unfermogen om belied te feroarjen
Netwurk Device Admin
Rjochten om ISE-objekten te meitsjen en te feroarjen, logs, rapporten, haaddashboard te besjen
Jo kinne belied net feroarje of taken op OS-nivo útfiere
Belied Admin
Folslein behear fan alle belied, feroarjende profilen, ynstellings, besjen fan rapporten
Unfermogen om ynstellings út te fieren mei bewiisbrieven, ISE-objekten
RBAC Admin
Alle ynstellingen yn it ljepblêd Operaasje, ANC-beliedynstellingen, rapportaazjebehear
Jo kinne net feroarje belied oars as ANC of útfiere taken op it OS nivo
Super admin
Rjochten op alle ynstellings, rapportaazje en behear, kinne wiskje en feroarje administrator bewiisbrieven
Kin net feroarje, wiskje in oar profyl út de Super Admin-groep
System Admin
Alle ynstellingen yn it ljepblêd Operaasje, systeemynstellingen beheare, ANC-belied, rapporten besjen
Jo kinne net feroarje belied oars as ANC of útfiere taken op it OS nivo
Eksterne RESTful Services (ERS) Admin
Folsleine tagong ta de Cisco ISE REST API
Allinich foar autorisaasje, behear fan lokale brûkers, hosts en feiligensgroepen (SG)
Eksterne RESTful Services (ERS) Operator
Cisco ISE REST API Lês tagongsrjochten
Allinich foar autorisaasje, behear fan lokale brûkers, hosts en feiligensgroepen (SG)
figuer 11. Predefined Cisco ISE Administrator Groups
8) Ekstra yn 'e ljepper Autorisaasje> Fergunningen> RBAC-belied Jo kinne de rjochten fan foarôf definieare behearders bewurkje.
figuer 12. Cisco ISE Administrator Preset Profile Rights Management
9) In tab Behear > Systeem > Ynstellings Alle systeemynstellingen binne beskikber (DNS, NTP, SMTP en oaren). Jo kinne se hjir ynfolje as jo se mist hawwe tidens de initialisearring fan it apparaat.
5. Fermelding
Dit konkludearret it earste artikel. Wy besprutsen de effektiviteit fan de Cisco ISE NAC oplossing, syn arsjitektuer, minimum easken en ynset opsjes, en earste ynstallaasje.
Yn it folgjende artikel sille wy sjen nei it meitsjen fan akkounts, yntegrearje mei Microsoft Active Directory, en it meitsjen fan gast tagong.
As jo fragen hawwe oer dit ûnderwerp of help nedich hawwe by it testen fan it produkt, nim dan kontakt op .
Bliuw op 'e hichte foar updates yn ús kanalen (, , , , ).
Boarne: www.habr.com
