1. Réamhrá
Tá gá ag gach cuideachta, fiú an ceann is lú, le fíordheimhniú, údarú agus cuntasaíocht úsáideora (teaghlach AAA de phrótacail). Ag an gcéad chéim, tá AAA curtha i bhfeidhm go measartha maith ag baint úsáide as prótacail mar RADIUS, TACACS+ agus DIAMETER. Mar sin féin, de réir mar a mhéadaíonn líon na n-úsáideoirí agus an chuideachta, fásann líon na dtascanna freisin: infheictheacht uasta na n-óstach agus na bhfeistí BYOD, fíordheimhniú ilfhachtóirí, ag cruthú beartas rochtana il-leibhéil agus i bhfad níos mó.
I gcás tascanna den sórt sin, tá an rang réitigh NAC (Rialú Rochtana Líonra) foirfe - rialú rochtana líonra. I sraith alt atá tiomnaithe do (Inneall Seirbhísí Aitheantais) - Réiteach NAC chun rialú rochtana atá feasach ar an gcomhthéacs a sholáthar d'úsáideoirí ar an ngréasán inmheánach, déanfaimid breathnú mionsonraithe ar ailtireacht, soláthar, cumraíocht agus ceadúnú an réitigh.
Cuir i gcuimhne duit go hachomair go gceadaíonn Cisco ISE duit:
-
Cruthaigh rochtain aoi go tapa agus go héasca ar WLAN tiomnaithe;
-
feistí BYOD a bhrath (mar shampla, ríomhairí pearsanta na bhfostaithe a thug siad chun na hoibre);
-
Beartais slándála a lárú agus a fhorfheidhmiú ar fud úsáideoirí fearainn agus neamh-fhearainn ag baint úsáide as lipéid grúpa slándála SGT );
-
Ríomhairí a sheiceáil le haghaidh bogearraí áirithe atá suiteáilte agus comhlíonadh na gcaighdeán (postú);
-
Críochphointe agus gléasanna líonra a rangú agus a phróifíliú;
-
Infheictheacht críochphointe a sholáthar;
-
Seol logaí imeachtaí de logáil isteach/logáil úsáideoirí, a gcuntais (aitheantais) chuig NGFW chun beartas úsáideora-bhunaithe a fhoirmiú;
-
Comhtháthaigh go dúchais le Cisco StealthWatch agus óstaigh amhrasacha coraintín a bhaineann le teagmhais slándála ();
-
Agus gnéithe eile caighdeánach do fhreastalaithe AAA.
Scríobh comhghleacaithe sa tionscal faoi Cisco ISE cheana féin, mar sin molaim duit léamh: ,.
2. Ailtireacht
Tá 4 eintiteas (nóid) ag ailtireacht Inneall Seirbhísí Aitheantais: nód bainistíochta (Nóid Riaracháin Beartais), nód dáileacháin beartais (Nóid Seirbhíse Beartais), nód monatóireachta (Nóid Monatóireachta) agus nód PxGrid (Nóid PxGrid). Is féidir le Cisco ISE a bheith i suiteáil neamhspleách nó dáilte. Sa leagan Standalone, tá gach aonán suite ar mheaisín fíorúil amháin nó ar fhreastalaí fisiceach (Secure Network Servers - SNS), agus sa leagan Dáilte, déantar na nóid a dháileadh ar fheistí éagsúla.
Nód riachtanach é Nód Riaracháin Beartais (PAN) a ligeann duit gach oibríocht riaracháin a dhéanamh ar Cisco ISE. Láimhseálann sé gach cumraíocht chórais a bhaineann le AAA. I gcumraíocht dháilte (is féidir nóid a shuiteáil mar mheaisíní fíorúla ar leith), is féidir dhá PAN ar a mhéad a bheith agat le haghaidh lamháltais locht - mód Gníomhach / Fuireachas.
Is nód éigeantach é Nód Seirbhíse Beartais (PSN) a sholáthraíonn rochtain líonra, stát, rochtain aoi, soláthar seirbhísí cliant, agus próifíliú. Déanann PSN measúnú ar an mbeartas agus cuireann sé i bhfeidhm é. Go hiondúil, déantar PSNanna iolracha a shuiteáil, go háirithe i gcumraíocht dháilte, le haghaidh oibríochta níos iomarcach agus dáilte. Ar ndóigh, déanann siad iarracht na nóid seo a shuiteáil i ndeighleoga éagsúla ionas nach gcaillfidh siad an cumas rochtain fhíordheimhnithe agus údaraithe a sholáthar ar feadh soicind.
Is nód éigeantach é Nód Monatóireachta (MnT) a stórálann logaí imeachtaí, logaí nóid eile agus polasaithe ar an líonra. Soláthraíonn an nód MnT arduirlisí le haghaidh monatóireachta agus fabhtcheartaithe, bailíonn agus comhghaolaíonn sé sonraí éagsúla, agus cuireann sé tuarascálacha brí ar fáil freisin. Ligeann Cisco ISE duit dhá nód MnT ar a mhéad a bheith agat, rud a chruthaíonn lamháltas lochtanna - mód Gníomhach / Fuireachas. Mar sin féin, bailíonn an dá nóid logs, idir ghníomhach agus éighníomhach.
Is nód é PxGrid Node (PXG) a úsáideann an prótacal PxGrid agus a cheadaíonn cumarsáid idir gléasanna eile a thacaíonn le PxGrid.
— prótacal lena n-áirithítear comhtháthú táirgí bonneagair TF agus slándála faisnéise ó dhíoltóirí éagsúla: córais faireacháin, córais braite agus coiscthe ionsáite, ardáin bhainistíochta beartais slándála agus go leor réitigh eile. Ligeann Cisco PxGrid duit comhthéacs a roinnt ar bhealach aontreoch nó déthreoch le go leor ardán gan gá le APIanna, rud a chumasaíonn an teicneolaíocht (Clibeanna SGT), polasaí ANC (Rialú Líonra Oiriúnaitheach) a athrú agus a chur i bhfeidhm, chomh maith le próifíliú a dhéanamh - ag cinneadh an tsamhail gléas, OS, suíomh, agus níos mó.
I gcumraíocht ard-infhaighteachta, déanann nóid PxGrid faisnéis a mhacasamhlú idir nóid thar PAN. Má tá an PAN díchumasaithe, stopann an nód PxGrid ag fíordheimhniú, ag údarú agus ag cuntasaíocht d’úsáideoirí.
Anseo thíos tá léiriú scéimreach ar oibriú aonáin éagsúla Cisco ISE i líonra corparáideach.
Fíor 1. Ailtireacht Cisco ISE
3. Riachtanais
Is féidir Cisco ISE a chur i bhfeidhm, mar an chuid is mó de na réitigh nua-aimseartha, beagnach nó go fisiciúil mar fhreastalaí ar leith.
Tugtar SNS (Secure Network Server) ar ghléasanna fisiceacha a ritheann bogearraí Cisco ISE. Tagann siad i dtrí mhúnla: SNS-3615, SNS-3655 agus SNS-3695 do ghnóthais bheaga, mheánmhéide agus mhóra. Taispeánann Tábla 1 faisnéis ó SNS.
Tábla 1. Tábla comparáide SNS do scálaí éagsúla
Paraiméadar
SNS 3615 (Beag)
SNS 3655 (Meánach)
SNS 3695 (Mór)
Líon na gcríochphointí tacaithe i suiteáil Neamhspleách
10000
25000
50000
Líon na gcríochphointí tacaithe in aghaidh an PSN
10000
25000
100000
LAP (Intel Xeon 2.10 GHz)
8 chroí
12 chroí
12 chroí
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Raid Crua-earraí
Нет
RAID 10, láithreacht rialtóir RAID
RAID 10, láithreacht rialtóir RAID
Comhéadain líonra
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Maidir le feidhmiú fíorúla, is iad na hypervisors tacaithe ná VMware ESXi (moltar leagan VMware íosta 11 do ESXi 6.0), Microsoft Hyper-V agus Linux KVM (RHEL 7.0). Ba cheart go mbeadh na hacmhainní a bheag nó a mhór mar a chéile agus atá sa tábla thuas, nó níos mó. Mar sin féin, is iad na ceanglais íosta le haghaidh meaisín fíorúil gnó beag: LAP 2 le minicíocht 2.0 GHz agus níos airde, 16 GB RAM и 200 GB HDD.
Le haghaidh sonraí imlonnaithe Cisco ISE eile, déan teagmháil le do thoil nó go , .
4. Suiteáil
Cosúil le formhór na dtáirgí Cisco eile, is féidir ISE a thástáil ar go leor bealaí:
-
– néalseirbhís de leagan amach saotharlainne réamhshuiteáilte (cuntas Cisco ag teastáil);
-
– iarratas ó Cisco bogearraí áirithe (modh do chomhpháirtithe). Cruthaíonn tú cás leis an gcur síos tipiciúil seo a leanas: Cineál táirge [ISE], Bogearraí ISE [ise-2.7.0.356.SPA.x8664], Paiste ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— dul i dteagmháil le haon chomhpháirtí údaraithe chun treoirthionscadal in aisce a sheoladh.
1) Tar éis duit meaisín fíorúil a chruthú, má d'iarr tú comhad ISO agus ní teimpléad OVA, beidh fuinneog aníos ina n-éilíonn ISE duit suiteáil a roghnú. Chun seo a dhéanamh, in ionad do logáil isteach agus do phasfhocal, ba chóir duit scríobh “thus"!
Tabhair faoi deara: má d'imscar tú ISE ó theimpléad OVA, ansin na sonraí logáil isteach admin/MyIseYPass2 (tá sé seo agus i bhfad níos mó le fios san oifigeach ).
Fíor 2. Suiteáil Cisco ISE
2) Ansin ba chóir duit na réimsí riachtanacha a líonadh isteach mar seoladh IP, DNS, NTP agus daoine eile.
Fíor 3. Cisco ISE a thionscnamh
3) Tar éis sin, atosóidh an gléas, agus beidh tú in ann ceangal tríd an gcomhéadan gréasáin ag baint úsáide as an seoladh IP a shonraítear roimhe seo.
Fíor 4. Comhéadan Gréasáin Cisco ISE
4) Sa chluaisín Riarachán > Córas > Imscaradh is féidir leat na nóid (eintitis) atá cumasaithe ar ghléas áirithe a roghnú. Tá an nód PxGrid cumasaithe anseo.
Fíor 5. Cisco Bainistíocht Aonáin ISE
5) Ansin sa chluaisín Riarachán > Córas > Rochtain Riaracháin > Fíordheimhniú Molaim polasaí pasfhocail, modh fíordheimhnithe (teastas nó pasfhocal), dáta éaga an chuntais, agus socruithe eile a bhunú.
Fíor 6. Socrú cineál fíordheimhnitheFíor 7. Socruithe polasaí pasfhocailFíor 8. Múchadh cuntais a shocrú tar éis don am dul in éagFíor 9. Glasáil cuntais a shocrú
6) Sa chluaisín Riarachán > Córas > Rochtain Riaracháin > Riarthóirí > Úsáideoirí Riaracháin > Cuir leis is féidir leat riarthóir nua a chruthú.
Fíor 10. Riarthóir Cisco ISE Áitiúil a Chruthú
7) Is féidir an riarthóir nua a dhéanamh mar chuid de ghrúpa nua nó de ghrúpaí réamhshainithe cheana féin. Bainistítear grúpaí riarthóirí sa phainéal céanna sa chluaisín Grúpaí Riaracháin. Déanann Tábla 2 achoimre ar fhaisnéis faoi riarthóirí ISE, a gcearta agus a róil.
Tábla 2. Grúpaí Riarthóirí Cisco ISE, Leibhéil Rochtana, Ceadanna, agus Srianta
Ainm an ghrúpa riarthóir
Ceadanna
Srianta
Riarachán Saincheaptha
Tairseacha aoi agus urraíochta a bhunú, riarachán agus saincheaptha
Neamhábaltacht chun polasaithe a athrú nó tuarascálacha a fheiceáil
Deasc Chabhrach Riarachán
Cumas chun féachaint ar an príomh-deais, gach tuairisc, larms agus sruthanna fabhtcheartaithe
Ní féidir leat tuairiscí, aláraim ná logaí fíordheimhnithe a athrú, a chruthú ná a scriosadh
Riarachán Aitheantais
Úsáideoirí, pribhléidí agus róil a bhainistiú, an cumas chun breathnú ar logaí, tuarascálacha agus aláraim
Ní féidir leat polasaithe a athrú ná tascanna a dhéanamh ar leibhéal an OS
Riarachán MnT
Monatóireacht iomlán, tuarascálacha, aláraim, logaí agus a mbainistíocht
Neamhábaltacht aon bheartais a athrú
Riarachán Gléas Líonra
Cearta chun oibiachtaí ISE a chruthú agus a athrú, féachaint ar logaí, tuarascálacha, príomh-deais
Ní féidir leat polasaithe a athrú ná tascanna a dhéanamh ar leibhéal an OS
Riarachán Beartais
Bainistíocht iomlán ar gach beartas, próifílí a athrú, socruithe, breathnú ar thuarascálacha
Neamhábaltacht socruithe a dhéanamh le dintiúir, oibiachtaí ISE
Riarachán RBAC
Gach socrú sa chluaisín Oibríochtaí, socruithe beartais ANC, bainistíocht tuairiscithe
Ní féidir leat polasaithe seachas ANC a athrú ná tascanna a dhéanamh ar leibhéal an OS
Super Riarachán
Is féidir le cearta do gach socrú, tuairisciú agus bainistíocht, dintiúir riarthóirí a scriosadh agus a athrú
Ní féidir athrú, scrios próifíl eile ón Sárghrúpa Riaracháin
Córas Riarachán
Gach socrú sa chluaisín Oibríochtaí, socruithe córais a bhainistiú, beartas ANC, breathnú ar thuarascálacha
Ní féidir leat polasaithe seachas ANC a athrú ná tascanna a dhéanamh ar leibhéal an OS
Seirbhísí Seachtracha RESTful (ERS) Riarachán
Rochtain iomlán ar an Cisco ISE REST API
Le haghaidh údarú, bhainistiú úsáideoirí áitiúla, óstaigh agus grúpaí slándála (SG) amháin
Oibreoir Seirbhísí Seachtracha RESTful (ERS).
Cisco ISE REST API Ceadanna Léigh
Le haghaidh údarú, bhainistiú úsáideoirí áitiúla, óstaigh agus grúpaí slándála (SG) amháin
Fíor 11. Grúpaí Riarthóirí Cisco ISE réamhshainithe
8) Extras sa chluaisín Údarú > Ceadanna > Beartas RBAC Is féidir leat cearta riarthóirí réamhshainithe a chur in eagar.
Fíor 12. Bainistíocht Cearta Próifíl Réamhshocraithe Riarthóir Cisco ISE
9) Sa chluaisín Riarachán > Córas > Socruithe Tá gach socrú córais ar fáil (DNS, NTP, SMTP agus eile). Is féidir leat iad a líonadh amach anseo má chaill tú iad le linn thúsú an ghléis.
5. Conclúid
Críochnaíonn sé seo an chéad alt. Phléamar éifeachtacht réiteach Cisco ISE NAC, a ailtireacht, íoscheanglais agus roghanna imlonnaithe, agus suiteáil tosaigh.
Sa chéad alt eile, féachfaimid ar chuntais a chruthú, comhtháthú le Microsoft Active Directory, agus rochtain aoi a chruthú.
Má tá aon cheist agat ar an ábhar seo nó má tá cúnamh uait chun an táirge a thástáil, déan teagmháil le do thoil .
Lean ár gcainéal le haghaidh nuashonruithe (, , , , ).
Foinse: will.com