Cisco ISE: Introdución, requisitos, instalación. Parte 1
1. Introdución
Toda empresa, incluso a máis pequena, ten unha necesidade de autenticación, autorización e contabilidade de usuarios (familia de protocolos AAA). Na fase inicial, AAA está bastante ben implementado mediante protocolos como RADIUS, TACACS+ e DIAMETER. Non obstante, a medida que crece o número de usuarios e a empresa, tamén medra o número de tarefas: máxima visibilidade de hosts e dispositivos BYOD, autenticación multifactorial, creación dunha política de acceso a varios niveis e moito máis.
Para tales tarefas, a clase de solucións NAC (Network Access Control) é perfecta: control de acceso á rede. Nunha serie de artigos dedicados a Cisco ISE (Identity Services Engine) - Solución NAC para proporcionar control de acceso consciente do contexto aos usuarios da rede interna, analizaremos detalladamente a arquitectura, o aprovisionamento, a configuración e a licenza da solución.
Permíteme recordarche brevemente que Cisco ISE permíteche:
Crea de forma rápida e sinxela o acceso para hóspedes nunha WLAN dedicada;
Detectar dispositivos BYOD (por exemplo, os ordenadores domésticos dos empregados que trouxeron ao traballo);
Centralice e aplique as políticas de seguranza en usuarios de dominio e non-dominio mediante as etiquetas do grupo de seguridade SGT TrustSec);
Comprobar nos ordenadores determinado software instalado e o cumprimento dos estándares (postureo);
Clasificar e perfilar os dispositivos de rede e puntos finais;
Proporcionar visibilidade do punto final;
Enviar rexistros de eventos de inicio de sesión/pechada dos usuarios, as súas contas (identidade) a NGFW para formar unha política baseada no usuario;
Intégrese de forma nativa con Cisco StealthWatch e poña en corentena os hosts sospeitosos implicados en incidentes de seguridade (máis);
A arquitectura do motor de servizos de identidade ten 4 entidades (nodos): un nodo de xestión (nodo de administración de políticas), un nodo de distribución de políticas (nodo de servizo de políticas), un nodo de monitorización (nodo de monitorización) e un nodo PxGrid (nodo PxGrid). Cisco ISE pode estar nunha instalación autónoma ou distribuída. Na versión Standalone, todas as entidades están situadas nunha máquina virtual ou nun servidor físico (Secure Network Servers - SNS), mentres que na versión Distribuida, os nodos distribúense en diferentes dispositivos.
O nodo de administración de políticas (PAN) é un nodo necesario que lle permite realizar todas as operacións administrativas en Cisco ISE. Manexa todas as configuracións do sistema relacionadas con AAA. Nunha configuración distribuída (os nodos pódense instalar como máquinas virtuais separadas), pode ter un máximo de dous PAN para tolerancia a fallos: modo activo/en espera.
Nodo de servizo de políticas (PSN) é un nodo obrigatorio que proporciona acceso á rede, estado, acceso para hóspedes, aprovisionamento do servizo ao cliente e creación de perfiles. PSN avalía a política e aplícaa. Normalmente, instálanse varias PSN, especialmente nunha configuración distribuída, para un funcionamento máis redundante e distribuído. Por suposto, intentan instalar estes nodos en distintos segmentos para non perder por un segundo a capacidade de proporcionar acceso autenticado e autorizado.
Monitoring Node (MnT) é un nodo obrigatorio que almacena rexistros de eventos, rexistros doutros nodos e políticas na rede. O nodo MnT ofrece ferramentas avanzadas para supervisar e solucionar problemas, recolle e relaciona varios datos e tamén proporciona informes significativos. Cisco ISE permítelle ter un máximo de dous nodos MnT, creando así tolerancia a fallos: modo activo/en espera. Non obstante, os rexistros son recollidos por ambos os nodos, tanto activos como pasivos.
PxGrid Node (PXG) é un nodo que usa o protocolo PxGrid e permite a comunicación entre outros dispositivos compatibles con PxGrid.
PxGrid — un protocolo que garante a integración de produtos de infraestrutura de seguridade informática e da información de diferentes provedores: sistemas de monitorización, sistemas de detección e prevención de intrusos, plataformas de xestión de políticas de seguridade e moitas outras solucións. Cisco PxGrid permítelle compartir contexto de forma unidireccional ou bidireccional con moitas plataformas sen necesidade de API, habilitando así a tecnoloxía. TrustSec (etiquetas SGT), cambie e aplique a política ANC (Control adaptativo de rede), así como realizar un perfil, determinando o modelo do dispositivo, o sistema operativo, a localización e moito máis.
Nunha configuración de alta dispoñibilidade, os nodos PxGrid replican a información entre nodos a través dun PAN. Se o PAN está desactivado, o nodo PxGrid deixa de autenticar, autorizar e contabilizar os usuarios.
A continuación móstrase unha representación esquemática do funcionamento de diferentes entidades de Cisco ISE nunha rede corporativa.
Figura 1. Arquitectura de Cisco ISE
3. Requisitos
Cisco ISE pódese implementar, como a maioría das solucións modernas, virtual ou físicamente como un servidor separado.
Os dispositivos físicos que executan o software Cisco ISE chámanse SNS (Secure Network Server). Vén en tres modelos: SNS-3615, SNS-3655 e SNS-3695 para pequenas, medianas e grandes empresas. A táboa 1 mostra a información de folla de datos SNS.
Táboa 1. Táboa comparativa de SNS para diferentes escalas
Parámetro
SNS 3615 (pequeno)
SNS 3655 (medio)
SNS 3695 (grande)
Número de puntos finais admitidos nunha instalación autónoma
10000
25000
50000
Número de puntos finais admitidos por PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 núcleos
12 núcleos
12 núcleos
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID de hardware
Non
RAID 10, presenza de controlador RAID
RAID 10, presenza de controlador RAID
Interfaces de rede
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Respecto das implementacións virtuais, os hipervisores admitidos son VMware ESXi (recoméndase a versión mínima de VMware 11 para ESXi 6.0), Microsoft Hyper-V e Linux KVM (RHEL 7.0). Os recursos deben ser aproximadamente os mesmos que na táboa anterior, ou máis. Non obstante, os requisitos mínimos para unha máquina virtual de pequenas empresas son: CPU 2 cunha frecuencia de 2.0 GHz ou superior, 16 GB de RAM и 200 GBDisco duro.
Como a maioría dos outros produtos de Cisco, ISE pódese probar de varias maneiras:
dcloud – servizo na nube de deseños de laboratorio preinstalados (requírese unha conta de Cisco);
Solicitude GVE - solicitude de sitio Cisco de determinado software (método para socios). Crea un caso coa seguinte descrición típica: Tipo de produto [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], parche ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
proxecto piloto — póñase en contacto con calquera socio autorizado para levar a cabo un proxecto piloto gratuíto.
1) Despois de crear unha máquina virtual, se solicitou un ficheiro ISO e non un modelo OVA, aparecerá unha xanela na que ISE esixe que seleccione unha instalación. Para iso, en lugar do teu usuario e contrasinal, debes escribir "instalación"!
Nota: se implantou ISE desde o modelo OVA, entón os detalles de inicio de sesión administrador/MyIseYPass2 (Isto e moito máis está indicado no oficial guía).
Figura 2. Instalación de Cisco ISE
2) A continuación, debes cubrir os campos obrigatorios como enderezo IP, DNS, NTP e outros.
Figura 3. Inicialización de Cisco ISE
3) Despois diso, o dispositivo reiniciarase e poderás conectarte a través da interface web usando o enderezo IP especificado anteriormente.
Figura 4. Interface web de Cisco ISE
4) Nunha pestana Administración > Sistema > Implementación pode seleccionar que nós (entidades) están habilitados nun dispositivo en particular. O nodo PxGrid está activado aquí.
Figura 5. Xestión da entidade Cisco ISE
5) Despois na pestana Administración > Sistema > Acceso administrador >Identificación Recomendo configurar unha política de contrasinais, un método de autenticación (certificado ou contrasinal), data de caducidade da conta e outras opcións.
Figura 6. Configuración do tipo de autenticaciónFigura 7. Configuración da política de contrasinaisFigura 8. Configurar o peche da conta despois de que transcorra o tempoFigura 9. Configurar o bloqueo da conta
6) Nunha pestana Administración > Sistema > Acceso administrador > Administradores > Usuarios administradores > Engadir pode crear un novo administrador.
Figura 10. Creación dun administrador local de Cisco ISE
7) O novo administrador pode formar parte dun novo grupo ou de grupos xa predefinidos. Os grupos de administradores xestionanse no mesmo panel da pestana Grupos Administrativos. A táboa 2 resume a información sobre os administradores de ISE, os seus dereitos e funcións.
Táboa 2. Grupos de administradores de Cisco ISE, niveis de acceso, permisos e restricións
Nome do grupo administrador
Permisos
Restricións
Administrador de personalización
Creación de portais de invitados e patrocinio, administración e personalización
Incapacidade para cambiar as políticas ou ver informes
Administrador de Helpdesk
Capacidade para ver o panel principal, todos os informes, alarmas e fluxos de solución de problemas
Non pode cambiar, crear ou eliminar informes, alarmas e rexistros de autenticación
Administrador de Identidade
Xestionar usuarios, privilexios e roles, a posibilidade de ver rexistros, informes e alarmas
Non pode cambiar as políticas nin realizar tarefas a nivel de SO
Administrador MnT
Monitorización completa, informes, alarmas, rexistros e a súa xestión
Incapacidade para cambiar ningunha política
Administrador de dispositivos de rede
Dereitos para crear e cambiar obxectos ISE, ver rexistros, informes, panel principal
Non pode cambiar as políticas nin realizar tarefas a nivel de SO
Administrador de políticas
Xestión completa de todas as políticas, cambio de perfís, configuración, visualización de informes
Incapacidade para realizar axustes con credenciais, obxectos ISE
Administrador RBAC
Toda a configuración da pestana Operacións, a configuración da política ANC, a xestión de informes
Non pode cambiar políticas que non sexan ANC nin realizar tarefas a nivel de SO
super administrador
Os dereitos sobre toda a configuración, informes e xestión, poden eliminar e cambiar as credenciais do administrador
Non se pode cambiar, elimina outro perfil do grupo de superadministradores
Administrador do sistema
Toda a configuración da pestana Operacións, xestión da configuración do sistema, política ANC, visualización de informes
Non pode cambiar políticas que non sexan ANC nin realizar tarefas a nivel de SO
Admin. de servizos externos RESTful (ERS)
Acceso completo á API REST de Cisco ISE
Só para autorización, xestión de usuarios locais, hosts e grupos de seguridade (SG)
Operador de servizos externos RESTful (ERS).
Permisos de lectura da API REST de Cisco ISE
Só para autorización, xestión de usuarios locais, hosts e grupos de seguridade (SG)
Figura 11. Grupos de administradores de Cisco ISE predefinidos
8) Opcional na pestana Autorización > Permisos > Política RBAC Pode editar os dereitos dos administradores predefinidos.
Figura 12. Xestión de dereitos de perfil predefinido do administrador de Cisco ISE
9) Nunha pestana Administración > Sistema > ConfiguraciónTodas as opcións do sistema están dispoñibles (DNS, NTP, SMTP e outros). Podes enchelos aquí se os perdeches durante a inicialización inicial do dispositivo.
5. Conclusión
Así remata o primeiro artigo. Discutimos a eficacia da solución Cisco ISE NAC, a súa arquitectura, os requisitos mínimos e as opcións de implantación e a instalación inicial.
No seguinte artigo, analizaremos a creación de contas, a integración con Microsoft Active Directory e a creación de acceso para convidados.
Se tes preguntas sobre este tema ou necesitas axuda para probar o produto, ponte en contacto Ligazón.