Cisco ISE: Ro-ràdh, riatanasan, stàladh. Pàirt 1

1. Ro-ràdh

Tha feum aig a h-uile companaidh, eadhon am fear as lugha, air dearbhadh, ùghdarrachadh agus cunntasachd luchd-cleachdaidh (teaghlach AAA de phròtacalan). Aig a’ chiad ìre, tha AAA air a bhuileachadh gu math le bhith a’ cleachdadh protocolaidhean leithid RADIUS, TACACS + agus DIAMETER. Ach, mar a tha an àireamh de luchd-cleachdaidh agus a 'chompanaidh a' fàs, tha an àireamh de ghnìomhan a 'fàs cuideachd: an fhaicsinneachd as motha de luchd-aoigheachd agus innealan BYOD, dearbhadh ioma-fhactaraidh, cruthachadh poileasaidh ruigsinneachd ioma-ìre agus mòran a bharrachd.

Airson gnìomhan mar seo, tha an clas fuasglaidhean NAC (Smachd Ruigsinneachd Lìonra) foirfe - smachd ruigsinneachd lìonra. Ann an sreath de artaigilean coisrigte do Cisco ISE (Einnsean Seirbheisean Dearbh-aithne) - fuasgladh NAC airson smachd ruigsinneachd mothachail air co-theacsa a thoirt do luchd-cleachdaidh air an lìonra a-staigh, bheir sinn sùil mhionaideach air ailtireachd, solar, rèiteachadh agus ceadachd an fhuasglaidh.

Leig dhomh do chuimhneachadh gu h-aithghearr gu bheil Cisco ISE a’ leigeil leat:

• Cruthaich gu sgiobalta agus gu furasta ruigsinneachd aoighean air WLAN sònraichte;

• Lorg innealan BYOD (mar eisimpleir, PCan dachaigh luchd-obrach a thug iad gu obair);

• Meadhanaich agus cuir an gnìomh poileasaidhean tèarainteachd thar luchd-cleachdaidh fearainn agus neo-àrainn a’ cleachdadh bileagan buidhne tèarainteachd SGT UrrasSec);

• Thoir sùil air coimpiutairean airson bathar-bog sònraichte a chaidh a chuir a-steach agus gèilleadh ri inbhean (posturing);

• Seòrsachadh agus pròifil puing crìochnachaidh agus innealan lìonra;

• Thoir seachad sealladh crìochnachaidh;

• Cuir logaichean tachartais de logadh a-steach / logoff luchd-cleachdaidh, na cunntasan aca (dearbh-aithne) gu NGFW gus poileasaidh stèidhichte air neach-cleachdaidh a chruthachadh;

• Amalachadh gu dùthchasach le Cisco StealthWatch agus luchd-aoigheachd amharasach cuarantain a tha an sàs ann an tachartasan tèarainteachd (barrachd fiosrachaidh);

• Agus feartan eile àbhaisteach airson frithealaichean AAA.

Tha co-obraichean sa ghnìomhachas air sgrìobhadh mu Cisco ISE mu thràth, agus mar sin tha mi a’ toirt comhairle dhut a bhith a’ leughadh: Cleachdadh buileachaidh Cisco ISE, Mar a nì thu ullachadh airson buileachadh Cisco ISE.

2. Ailtireachd

Tha 4 aonadan (nodan) ann an ailtireachd Einnsean Seirbheisean Dearbh-aithne): nód riaghlaidh (Nòd Rianachd Poileasaidh), nód cuairteachaidh poileasaidh (Nòd Seirbheis Poileasaidh), nód sgrùdaidh (Nòd Sgrùdaidh) agus nód PxGrid (PxGrid Node). Faodaidh Cisco ISE a bhith ann an stàladh leis fhèin no air a chuairteachadh. Anns an dreach Standalone, tha a h-uile eintiteas suidhichte air aon inneal brìgheil no frithealaiche corporra (Secure Network Servers - SNS), agus anns an dreach Distributed, tha na nodan air an sgaoileadh thairis air diofar innealan.

Tha Node Rianachd Poileasaidh (PAN) na nód riatanach a leigeas leat gach obair rianachd a dhèanamh air Cisco ISE. Bidh e a’ làimhseachadh a h-uile rèiteachadh siostam co-cheangailte ri AAA. Ann an rèiteachadh sgaoilte (faodar nodan a chuir a-steach mar innealan brìgheil air leth), faodaidh suas ri dà PAN a bhith agad airson fulangas sgàinidhean - modh Gnìomhach / Seasmhach.

Tha Node Seirbheis Poileasaidh (PSN) na nód èigneachail a bheir seachad ruigsinneachd lìonra, stàite, ruigsinneachd aoighean, solar seirbheis teachdaiche, agus pròifil. Bidh PSN a’ measadh a’ phoileasaidh agus ga chur an sàs. Mar as trice, bidh grunn PSNan air an cur a-steach, gu h-àraidh ann an rèiteachadh sgaoilte, airson barrachd obrachaidh gun fheum agus nas sgaoilte. Gu dearbh, bidh iad a ’feuchainn ris na nodan sin a chuir a-steach ann an diofar earrannan gus nach caill iad an comas ruigsinneachd dearbhte agus ùghdarraichte a thoirt seachad airson diog.

Tha Node Sgrùdaidh (MnT) na nód èigneachail a bhios a’ stòradh logaichean tachartais, logaichean nodan eile agus poileasaidhean air an lìonra. Bidh an nód MnT a’ toirt seachad innealan adhartach airson sgrùdadh agus fuasgladh cheistean, a’ cruinneachadh agus a’ ceangal diofar dhàta, agus cuideachd a’ toirt seachad aithisgean brìoghmhor. Leigidh Cisco ISE leat dà nòta MnT aig a’ char as àirde a bhith agad, mar sin a’ cruthachadh fulangas sgàinidhean - modh Gnìomhach/Standby. Ach, tha logaichean air an cruinneachadh leis an dà nod, an dà chuid gnìomhach agus fulangach.

Tha PxGrid Node (PXG) na nód a bhios a’ cleachdadh protocol PxGrid agus a leigeas le conaltradh eadar innealan eile a bheir taic do PxGrid.

PxGrid  - protocol a nì cinnteach gum bi toraidhean bun-structair IT agus tèarainteachd fiosrachaidh air an aonachadh bho dhiofar luchd-reic: siostaman sgrùdaidh, siostaman lorg agus casg sàrachadh, àrd-ùrlaran riaghlaidh poileasaidh tèarainteachd agus mòran fhuasglaidhean eile. Leigidh Cisco PxGrid leat co-theacsa a cho-roinn ann an dòigh aon-stiùiridh no dà-thaobhach le mòran àrd-ùrlaran gun fheum air APIan, agus mar sin a’ comasachadh an teicneòlas UrrasSec (tagaichean SGT), atharraich agus cuir an sàs poileasaidh ANC (Smachd Lìonra Adaptive), a bharrachd air a bhith a’ dèanamh pròifil - a ’dearbhadh modal an uidheim, OS, àite, agus barrachd.

Ann an rèiteachadh ruigsinneachd àrd, bidh nodan PxGrid ag ath-aithris fiosrachadh eadar nodan thairis air PAN. Ma tha am PAN ciorramach, stadaidh an nód PxGrid bho bhith a’ dearbhadh, a’ ceadachadh agus a’ toirt cunntas air luchd-cleachdaidh. 

Gu h-ìosal tha riochdachadh sgeamach de ghnìomhachd diofar bhuidhnean Cisco ISE ann an lìonra corporra.

Figear 1. Ailtireachd Cisco ISE

3. Riatanasan

Faodar Cisco ISE a bhuileachadh, mar a’ mhòr-chuid de fhuasglaidhean an latha an-diugh, cha mhòr no gu corporra mar fhrithealaiche air leth. 

Canar SNS (Secure Network Server) ri innealan corporra a tha a’ ruith bathar-bog Cisco ISE. Bidh iad a 'tighinn ann an trì modalan: SNS-3615, SNS-3655 agus SNS-3695 airson gnìomhachasan beaga, meadhanach agus mòr. Tha Clàr 1 a’ sealltainn fiosrachadh bho dàta SNS.

Clàr 1. Clàr coimeas de SNS airson diofar lannan

Parameter

SNS 3615 (Beag)

SNS 3655 (Meadhanach)

SNS 3695 (mòr)

Àireamh de phuingean crìochnachaidh le taic ann an stàladh Standalone

10000

25000

50000

An àireamh de phuingean crìochnachaidh le taic gach PSN

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 coir

12 coir

12 coir

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

RAID cruaidh

Chan eil

RAID 10, làthaireachd rianadair RAID

RAID 10, làthaireachd rianadair RAID

Eadar-aghaidh lìonra

2 x 10 Gbase-T

4 x 1 Gbase-T 

2 x 10 Gbase-T

4 x 1 Gbase-T 

2 x 10 Gbase-T

4 x 1 Gbase-T

A thaobh buileachadh brìgheil, is iad na hypervisors a tha a’ faighinn taic VMware ESXi (thathas a’ moladh co-dhiù VMware dreach 11 airson ESXi 6.0), Microsoft Hyper-V agus Linux KVM (RHEL 7.0). Bu chòir goireasan a bhith timcheall air an aon rud ris a’ chlàr gu h-àrd, no nas àirde. Ach, is iad seo na riatanasan as ìsle airson innealan brìgheil airson ghnìomhachasan beaga: CPU 2 le tricead 2.0 GHz agus nas àirde, 16 GB de RAM и 200 GB HDD. 

Airson mion-fhiosrachadh eile mu chleachdadh Cisco ISE, cuir fios gu dhuinne no gu goireas #1, goireas #2.

4. Stàladh

Coltach ris a’ mhòr-chuid de thoraidhean Cisco eile, faodar ISE a dhearbhadh ann an grunn dhòighean:

• dcloud - seirbheis sgòthan de dhealbhadh obair-lann ro-stàlaichte (feumar cunntas Cisco);

• Iarrtas GVE - iarrtas bho сайта Cisco bathar-bog sònraichte (modh airson com-pàirtichean). Bidh thu a’ cruthachadh cùis leis an tuairisgeul àbhaisteach a leanas: Seòrsa toraidh [ISE], Bathar-bog ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• pròiseact pìleat - cuir fios gu com-pàirtiche ùghdarraichte sam bith gus pròiseact pìleat an-asgaidh a dhèanamh.

1) Às deidh dhut inneal brìgheil a chruthachadh, ma dh’ iarr thu faidhle ISO agus chan e teamplaid OVA, nochdaidh uinneag anns a bheil ISE ag iarraidh ort stàladh a thaghadh. Gus seo a dhèanamh, an àite do logadh a-steach agus facal-faire, bu chòir dhut sgrìobhadh “Suidhich"!

Note: ma chleachd thu ISE bho theamplaid OVA, an uairsin am mion-fhiosrachadh logaidh a-steach admin/MyIseYPass2 (tha seo agus mòran a bharrachd air a chomharrachadh anns an oifigeach treòir).

Figear 2. A 'stàladh Cisco ISE

2) An uairsin bu chòir dhut na raointean riatanach leithid seòladh IP, DNS, NTP agus feadhainn eile a lìonadh.

Figear 3. A 'tòiseachadh Cisco ISE

3) Às deidh sin, thèid an inneal ath-thòiseachadh, agus bidh e comasach dhut ceangal tron ​​​​eadar-aghaidh lìn a’ cleachdadh an t-seòladh IP a chaidh a shònrachadh roimhe.

Figear 4. Eadar-aghaidh lìn Cisco ISE

4) Ann an tab Rianachd> Siostam> Cleachdadh faodaidh tu taghadh dè na nodan (buidhnean) a tha comasach air inneal sònraichte. Tha an nód PxGrid air a chomasachadh an seo.

Figear 5. Cisco ISE Stiùireadh Aonachd

5) An uairsin ann an tab Rianachd> Siostam> Ruigsinneachd Rianachd> dearbhachaidh Tha mi a’ moladh poileasaidh facal-faire a stèidheachadh, modh dearbhaidh (teisteanas no facal-faire), ceann-latha crìochnachaidh a’ chunntais, agus suidheachaidhean eile.

Figear 6. Suidheachadh seòrsa dearbhaidhFigear 7. Roghainnean poileasaidh facal-faireFigear 8. A 'suidheachadh dùnadh cunntais an dèidh ùine a thighinn gu crìchFigear 9. A 'stèidheachadh glasadh cunntas

6) Ann an tab Rianachd> Siostam> Ruigsinneachd Rianachd> Rianairean> Luchd-cleachdaidh Rianachd> Cuir ris faodaidh tu rianadair ùr a chruthachadh.

Figear 10. A 'cruthachadh Rianadair Cisco ISE Ionadail

7) Faodar an rianadair ùr a dhèanamh na phàirt de bhuidheann ùr no de bhuidhnean ro-mhìnichte mu thràth. Tha buidhnean rianadair air an riaghladh san aon phannal anns an taba Buidhnean Rianachd. Tha Clàr 2 a’ toirt geàrr-chunntas air fiosrachadh mu luchd-rianachd ISE, na còraichean agus na dreuchdan aca.

Clàr 2. Buidhnean Rianachd Cisco ISE, Ìrean Ruigsinneachd, Ceadan, agus Cuingeachaidhean

Ainm buidheann rianaire

Rùintean

Srian

Rianachd Customization

A’ stèidheachadh portalan aoighean is urrasachd, rianachd agus gnàthachadh

Neo-chomas poileasaidhean atharrachadh no coimhead air aithisgean

Rianaire deasg-cuideachaidh

Comas coimhead air a’ phrìomh deas-bhòrd, a h-uile aithisg, rabhaidh agus sruthan fuasglaidh

Chan urrainn dhut aithisgean, rabhaidhean agus logaichean dearbhaidh atharrachadh, a chruthachadh no a sguabadh às

Rianachd Aithne

Stiùirich luchd-cleachdaidh, sochairean agus dreuchdan, an comas coimhead air logaichean, aithisgean agus rabhaidhean

Chan urrainn dhut poileasaidhean atharrachadh no gnìomhan a choileanadh aig ìre an OS

Rianachd MnT

Sgrùdadh iomlan, aithisgean, rabhaidhean, logaichean agus an riaghladh

Neo-chomas poileasaidhean sam bith atharrachadh

Rianadair inneal lìonra

Còraichean airson nithean ISE a chruthachadh agus atharrachadh, coimhead air logaichean, aithisgean, prìomh deas-bhòrd

Chan urrainn dhut poileasaidhean atharrachadh no gnìomhan a choileanadh aig ìre an OS

Rianachd Poileasaidh

Làn riaghladh air a h-uile poileasaidh, ag atharrachadh phròifil, suidheachadh, coimhead air aithisgean

Neo-chomas suidheachaidhean a dhèanamh le teisteanasan, nithean ISE

Rianachd RBAC

A h-uile suidheachadh anns an tab Obrachaidhean, roghainnean poileasaidh ANC, riaghladh aithris

Chan urrainn dhut poileasaidhean atharrachadh a bharrachd air ANC no gnìomhan a choileanadh aig ìre OS

Super Admin

Faodaidh còraichean airson a h-uile suidheachadh, aithris agus riaghladh, teisteanasan rianadair a dhubhadh às agus atharrachadh

Cha ghabh atharrachadh, sguab às pròifil eile bhon bhuidheann Super Admin

Admin rianachd

A h-uile suidheachadh anns an taba Obrachaidhean, a’ riaghladh suidheachadh an t-siostaim, poileasaidh ANC, a’ coimhead aithisgean

Chan urrainn dhut poileasaidhean atharrachadh a bharrachd air ANC no gnìomhan a choileanadh aig ìre OS

Rianachd Seirbheisean RESTful Taobh a-muigh (ERS).

Cothrom slàn air an Cisco ISE REST API

A-mhàin airson cead, riaghladh luchd-cleachdaidh ionadail, luchd-aoigheachd agus buidhnean tèarainteachd (SG)

Gnìomhaiche Seirbheisean RESTful Taobh a-muigh (ERS).

Cisco ISE REST API Leugh ceadan

A-mhàin airson cead, riaghladh luchd-cleachdaidh ionadail, luchd-aoigheachd agus buidhnean tèarainteachd (SG)

Figear 11. Buidhnean rianachd Cisco ISE ro-mhìnichte

8) Roghainneil anns an taba Ùghdarrachadh > Ceadan > Poileasaidh RBAC Faodaidh tu còraichean luchd-rianachd ro-mhìnichte a dheasachadh.

Figear 12. Cisco ISE Administrator Preset Profile Rights Management

9) Ann an tab Rianachd> Siostam> Roghainnean Tha a h-uile suidheachadh siostam ri fhaighinn (DNS, NTP, SMTP agus feadhainn eile). Faodaidh tu an lìonadh an seo ma chaill thu iad aig toiseach tòiseachaidh an uidheim.

5. Co-dhùnadh

Tha seo a’ crìochnachadh a’ chiad artaigil. Bheachdaich sinn air èifeachdas fuasgladh Cisco ISE NAC, an ailtireachd aige, na riatanasan as ìsle agus na roghainnean cleachdaidh, agus an stàladh tùsail.

San ath artaigil, seallaidh sinn ri bhith a’ cruthachadh chunntasan, ag amalachadh le Microsoft Active Directory, agus a’ cruthachadh ruigsinneachd aoighean.

Ma tha ceist sam bith agad mun chuspair seo no ma tha feum agad air cuideachadh ann a bhith a’ dèanamh deuchainn air an toradh, cuir fios thugainn cheangal.

Cum sùil air airson ùrachaidhean anns na seanailean againn (teileagram, Facebook, VK, Blog Fuasgladh TS, Yandex Zen).

Source: www.habr.com