1. Ro-ràdh
Tha feum aig a h-uile companaidh, eadhon am fear as lugha, air dearbhadh, ùghdarrachadh agus cunntasachd luchd-cleachdaidh (teaghlach AAA de phròtacalan). Aig a’ chiad ìre, tha AAA air a bhuileachadh gu math le bhith a’ cleachdadh protocolaidhean leithid RADIUS, TACACS + agus DIAMETER. Ach, mar a tha an àireamh de luchd-cleachdaidh agus a 'chompanaidh a' fàs, tha an àireamh de ghnìomhan a 'fàs cuideachd: an fhaicsinneachd as motha de luchd-aoigheachd agus innealan BYOD, dearbhadh ioma-fhactaraidh, cruthachadh poileasaidh ruigsinneachd ioma-ìre agus mòran a bharrachd.
Airson gnìomhan mar seo, tha an clas fuasglaidhean NAC (Smachd Ruigsinneachd Lìonra) foirfe - smachd ruigsinneachd lìonra. Ann an sreath de artaigilean coisrigte do (Einnsean Seirbheisean Dearbh-aithne) - fuasgladh NAC airson smachd ruigsinneachd mothachail air co-theacsa a thoirt do luchd-cleachdaidh air an lìonra a-staigh, bheir sinn sùil mhionaideach air ailtireachd, solar, rèiteachadh agus ceadachd an fhuasglaidh.
Leig dhomh do chuimhneachadh gu h-aithghearr gu bheil Cisco ISE a’ leigeil leat:
-
Cruthaich gu sgiobalta agus gu furasta ruigsinneachd aoighean air WLAN sònraichte;
-
Lorg innealan BYOD (mar eisimpleir, PCan dachaigh luchd-obrach a thug iad gu obair);
-
Meadhanaich agus cuir an gnìomh poileasaidhean tèarainteachd thar luchd-cleachdaidh fearainn agus neo-àrainn a’ cleachdadh bileagan buidhne tèarainteachd SGT );
-
Thoir sùil air coimpiutairean airson bathar-bog sònraichte a chaidh a chuir a-steach agus gèilleadh ri inbhean (posturing);
-
Seòrsachadh agus pròifil puing crìochnachaidh agus innealan lìonra;
-
Thoir seachad sealladh crìochnachaidh;
-
Cuir logaichean tachartais de logadh a-steach / logoff luchd-cleachdaidh, na cunntasan aca (dearbh-aithne) gu NGFW gus poileasaidh stèidhichte air neach-cleachdaidh a chruthachadh;
-
Amalachadh gu dùthchasach le Cisco StealthWatch agus luchd-aoigheachd amharasach cuarantain a tha an sàs ann an tachartasan tèarainteachd ();
-
Agus feartan eile àbhaisteach airson frithealaichean AAA.
Tha co-obraichean sa ghnìomhachas air sgrìobhadh mu Cisco ISE mu thràth, agus mar sin tha mi a’ toirt comhairle dhut a bhith a’ leughadh: ,.
2. Ailtireachd
Tha 4 aonadan (nodan) ann an ailtireachd Einnsean Seirbheisean Dearbh-aithne): nód riaghlaidh (Nòd Rianachd Poileasaidh), nód cuairteachaidh poileasaidh (Nòd Seirbheis Poileasaidh), nód sgrùdaidh (Nòd Sgrùdaidh) agus nód PxGrid (PxGrid Node). Faodaidh Cisco ISE a bhith ann an stàladh leis fhèin no air a chuairteachadh. Anns an dreach Standalone, tha a h-uile eintiteas suidhichte air aon inneal brìgheil no frithealaiche corporra (Secure Network Servers - SNS), agus anns an dreach Distributed, tha na nodan air an sgaoileadh thairis air diofar innealan.
Tha Node Rianachd Poileasaidh (PAN) na nód riatanach a leigeas leat gach obair rianachd a dhèanamh air Cisco ISE. Bidh e a’ làimhseachadh a h-uile rèiteachadh siostam co-cheangailte ri AAA. Ann an rèiteachadh sgaoilte (faodar nodan a chuir a-steach mar innealan brìgheil air leth), faodaidh suas ri dà PAN a bhith agad airson fulangas sgàinidhean - modh Gnìomhach / Seasmhach.
Tha Node Seirbheis Poileasaidh (PSN) na nód èigneachail a bheir seachad ruigsinneachd lìonra, stàite, ruigsinneachd aoighean, solar seirbheis teachdaiche, agus pròifil. Bidh PSN a’ measadh a’ phoileasaidh agus ga chur an sàs. Mar as trice, bidh grunn PSNan air an cur a-steach, gu h-àraidh ann an rèiteachadh sgaoilte, airson barrachd obrachaidh gun fheum agus nas sgaoilte. Gu dearbh, bidh iad a ’feuchainn ris na nodan sin a chuir a-steach ann an diofar earrannan gus nach caill iad an comas ruigsinneachd dearbhte agus ùghdarraichte a thoirt seachad airson diog.
Tha Node Sgrùdaidh (MnT) na nód èigneachail a bhios a’ stòradh logaichean tachartais, logaichean nodan eile agus poileasaidhean air an lìonra. Bidh an nód MnT a’ toirt seachad innealan adhartach airson sgrùdadh agus fuasgladh cheistean, a’ cruinneachadh agus a’ ceangal diofar dhàta, agus cuideachd a’ toirt seachad aithisgean brìoghmhor. Leigidh Cisco ISE leat dà nòta MnT aig a’ char as àirde a bhith agad, mar sin a’ cruthachadh fulangas sgàinidhean - modh Gnìomhach/Standby. Ach, tha logaichean air an cruinneachadh leis an dà nod, an dà chuid gnìomhach agus fulangach.
Tha PxGrid Node (PXG) na nód a bhios a’ cleachdadh protocol PxGrid agus a leigeas le conaltradh eadar innealan eile a bheir taic do PxGrid.
- protocol a nì cinnteach gum bi toraidhean bun-structair IT agus tèarainteachd fiosrachaidh air an aonachadh bho dhiofar luchd-reic: siostaman sgrùdaidh, siostaman lorg agus casg sàrachadh, àrd-ùrlaran riaghlaidh poileasaidh tèarainteachd agus mòran fhuasglaidhean eile. Leigidh Cisco PxGrid leat co-theacsa a cho-roinn ann an dòigh aon-stiùiridh no dà-thaobhach le mòran àrd-ùrlaran gun fheum air APIan, agus mar sin a’ comasachadh an teicneòlas (tagaichean SGT), atharraich agus cuir an sàs poileasaidh ANC (Smachd Lìonra Adaptive), a bharrachd air a bhith a’ dèanamh pròifil - a ’dearbhadh modal an uidheim, OS, àite, agus barrachd.
Ann an rèiteachadh ruigsinneachd àrd, bidh nodan PxGrid ag ath-aithris fiosrachadh eadar nodan thairis air PAN. Ma tha am PAN ciorramach, stadaidh an nód PxGrid bho bhith a’ dearbhadh, a’ ceadachadh agus a’ toirt cunntas air luchd-cleachdaidh.
Gu h-ìosal tha riochdachadh sgeamach de ghnìomhachd diofar bhuidhnean Cisco ISE ann an lìonra corporra.
Figear 1. Ailtireachd Cisco ISE
3. Riatanasan
Faodar Cisco ISE a bhuileachadh, mar a’ mhòr-chuid de fhuasglaidhean an latha an-diugh, cha mhòr no gu corporra mar fhrithealaiche air leth.
Canar SNS (Secure Network Server) ri innealan corporra a tha a’ ruith bathar-bog Cisco ISE. Bidh iad a 'tighinn ann an trì modalan: SNS-3615, SNS-3655 agus SNS-3695 airson gnìomhachasan beaga, meadhanach agus mòr. Tha Clàr 1 a’ sealltainn fiosrachadh bho SNS.
Clàr 1. Clàr coimeas de SNS airson diofar lannan
Parameter
SNS 3615 (Beag)
SNS 3655 (Meadhanach)
SNS 3695 (mòr)
Àireamh de phuingean crìochnachaidh le taic ann an stàladh Standalone
10000
25000
50000
An àireamh de phuingean crìochnachaidh le taic gach PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 coir
12 coir
12 coir
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID cruaidh
Chan eil
RAID 10, làthaireachd rianadair RAID
RAID 10, làthaireachd rianadair RAID
Eadar-aghaidh lìonra
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
A thaobh buileachadh brìgheil, is e na hypervisors le taic VMware ESXi (tha dreach VMware as ìsle 11 airson ESXi 6.0 air a mholadh), Microsoft Hyper-V agus Linux KVM (RHEL 7.0). Bu chòir goireasan a bhith timcheall air an aon rud ris a’ chlàr gu h-àrd, no barrachd. Ach, is e na riatanasan as ìsle airson inneal brìgheil gnìomhachas beag: CPU 2 le tricead 2.0 GHz agus nas àirde, 16 GB de RAM и 200 GB HDD.
Airson mion-fhiosrachadh eile mu chleachdadh Cisco ISE, cuir fios gu no gu , .
4. Stàladh
Coltach ris a’ mhòr-chuid de thoraidhean Cisco eile, faodar ISE a dhearbhadh ann an grunn dhòighean:
-
- seirbheis sgòthan de dhealbhadh obair-lann ro-stàlaichte (feumar cunntas Cisco);
-
- iarrtas bho Cisco bathar-bog sònraichte (modh airson com-pàirtichean). Bidh thu a’ cruthachadh cùis leis an tuairisgeul àbhaisteach a leanas: Seòrsa toraidh [ISE], Bathar-bog ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- cuir fios gu com-pàirtiche ùghdarraichte sam bith gus pròiseact pìleat an-asgaidh a dhèanamh.
1) Às deidh dhut inneal brìgheil a chruthachadh, ma dh’ iarr thu faidhle ISO agus chan e teamplaid OVA, nochdaidh uinneag anns a bheil ISE ag iarraidh ort stàladh a thaghadh. Gus seo a dhèanamh, an àite do logadh a-steach agus facal-faire, bu chòir dhut sgrìobhadh “Suidhich"!
Note: ma chleachd thu ISE bho theamplaid OVA, an uairsin am mion-fhiosrachadh logaidh a-steach admin/MyIseYPass2 (tha seo agus mòran a bharrachd air a chomharrachadh anns an oifigeach ).
Figear 2. A 'stàladh Cisco ISE
2) An uairsin bu chòir dhut na raointean riatanach leithid seòladh IP, DNS, NTP agus feadhainn eile a lìonadh.
Figear 3. A 'tòiseachadh Cisco ISE
3) Às deidh sin, thèid an inneal ath-thòiseachadh, agus bidh e comasach dhut ceangal tron eadar-aghaidh lìn a’ cleachdadh an t-seòladh IP a chaidh a shònrachadh roimhe.
Figear 4. Eadar-aghaidh lìn Cisco ISE
4) Ann an tab Rianachd> Siostam> Cleachdadh faodaidh tu taghadh dè na nodan (buidhnean) a tha comasach air inneal sònraichte. Tha an nód PxGrid air a chomasachadh an seo.
Figear 5. Cisco ISE Stiùireadh Aonachd
5) An uairsin ann an tab Rianachd> Siostam> Ruigsinneachd Rianachd> dearbhachaidh Tha mi a’ moladh poileasaidh facal-faire a stèidheachadh, modh dearbhaidh (teisteanas no facal-faire), ceann-latha crìochnachaidh a’ chunntais, agus suidheachaidhean eile.
Figear 6. Suidheachadh seòrsa dearbhaidhFigear 7. Roghainnean poileasaidh facal-faireFigear 8. A 'suidheachadh dùnadh cunntais an dèidh ùine a thighinn gu crìchFigear 9. A 'stèidheachadh glasadh cunntas
6) Ann an tab Rianachd> Siostam> Ruigsinneachd Rianachd> Rianairean> Luchd-cleachdaidh Rianachd> Cuir ris faodaidh tu rianadair ùr a chruthachadh.
Figear 10. A 'cruthachadh Rianadair Cisco ISE Ionadail
7) Faodar an rianadair ùr a dhèanamh na phàirt de bhuidheann ùr no de bhuidhnean ro-mhìnichte mu thràth. Tha buidhnean rianadair air an riaghladh san aon phannal anns an taba Buidhnean Rianachd. Tha Clàr 2 a’ toirt geàrr-chunntas air fiosrachadh mu luchd-rianachd ISE, na còraichean agus na dreuchdan aca.
Clàr 2. Buidhnean Rianachd Cisco ISE, Ìrean Ruigsinneachd, Ceadan, agus Cuingeachaidhean
Ainm buidheann rianaire
Rùintean
Srian
Rianachd Customization
A’ stèidheachadh portalan aoighean is urrasachd, rianachd agus gnàthachadh
Neo-chomas poileasaidhean atharrachadh no coimhead air aithisgean
Rianaire deasg-cuideachaidh
Comas coimhead air a’ phrìomh deas-bhòrd, a h-uile aithisg, rabhaidh agus sruthan fuasglaidh
Chan urrainn dhut aithisgean, rabhaidhean agus logaichean dearbhaidh atharrachadh, a chruthachadh no a sguabadh às
Rianachd Aithne
Stiùirich luchd-cleachdaidh, sochairean agus dreuchdan, an comas coimhead air logaichean, aithisgean agus rabhaidhean
Chan urrainn dhut poileasaidhean atharrachadh no gnìomhan a choileanadh aig ìre an OS
Rianachd MnT
Sgrùdadh iomlan, aithisgean, rabhaidhean, logaichean agus an riaghladh
Neo-chomas poileasaidhean sam bith atharrachadh
Rianadair inneal lìonra
Còraichean airson nithean ISE a chruthachadh agus atharrachadh, coimhead air logaichean, aithisgean, prìomh deas-bhòrd
Chan urrainn dhut poileasaidhean atharrachadh no gnìomhan a choileanadh aig ìre an OS
Rianachd Poileasaidh
Làn riaghladh air a h-uile poileasaidh, ag atharrachadh phròifil, suidheachadh, coimhead air aithisgean
Neo-chomas suidheachaidhean a dhèanamh le teisteanasan, nithean ISE
Rianachd RBAC
A h-uile suidheachadh anns an tab Obrachaidhean, roghainnean poileasaidh ANC, riaghladh aithris
Chan urrainn dhut poileasaidhean atharrachadh a bharrachd air ANC no gnìomhan a choileanadh aig ìre OS
Super Admin
Faodaidh còraichean airson a h-uile suidheachadh, aithris agus riaghladh, teisteanasan rianadair a dhubhadh às agus atharrachadh
Cha ghabh atharrachadh, sguab às pròifil eile bhon bhuidheann Super Admin
Admin rianachd
A h-uile suidheachadh anns an taba Obrachaidhean, a’ riaghladh suidheachadh an t-siostaim, poileasaidh ANC, a’ coimhead aithisgean
Chan urrainn dhut poileasaidhean atharrachadh a bharrachd air ANC no gnìomhan a choileanadh aig ìre OS
Rianachd Seirbheisean RESTful Taobh a-muigh (ERS).
Cothrom slàn air an Cisco ISE REST API
A-mhàin airson cead, riaghladh luchd-cleachdaidh ionadail, luchd-aoigheachd agus buidhnean tèarainteachd (SG)
Gnìomhaiche Seirbheisean RESTful Taobh a-muigh (ERS).
Cisco ISE REST API Leugh ceadan
A-mhàin airson cead, riaghladh luchd-cleachdaidh ionadail, luchd-aoigheachd agus buidhnean tèarainteachd (SG)
Figear 11. Buidhnean rianachd Cisco ISE ro-mhìnichte
8) Roghainneil anns an taba Ùghdarrachadh > Ceadan > Poileasaidh RBAC Faodaidh tu còraichean luchd-rianachd ro-mhìnichte a dheasachadh.
Figear 12. Cisco ISE Administrator Preset Profile Rights Management
9) Ann an tab Rianachd> Siostam> Roghainnean Tha a h-uile suidheachadh siostam ri fhaighinn (DNS, NTP, SMTP agus feadhainn eile). Faodaidh tu an lìonadh an seo ma chaill thu iad aig toiseach tòiseachaidh an uidheim.
5. Co-dhùnadh
Tha seo a’ crìochnachadh a’ chiad artaigil. Bheachdaich sinn air èifeachdas fuasgladh Cisco ISE NAC, an ailtireachd aige, na riatanasan as ìsle agus na roghainnean cleachdaidh, agus an stàladh tùsail.
San ath artaigil, seallaidh sinn ri bhith a’ cruthachadh chunntasan, ag amalachadh le Microsoft Active Directory, agus a’ cruthachadh ruigsinneachd aoighean.
Ma tha ceist sam bith agad mun chuspair seo no ma tha feum agad air cuideachadh ann a bhith a’ dèanamh deuchainn air an toradh, cuir fios thugainn .
Cum sùil air airson ùrachaidhean anns na seanailean againn (, , , , ).
Source: www.habr.com