Svaka tvrtka, čak i ona najmanja, ima potrebu za autentifikacijom, autorizacijom i korisničkim računovodstvom (AAA obitelj protokola). U početnoj fazi, AAA je prilično dobro implementiran korištenjem protokola kao što su RADIUS, TACACS+ i DIAMETER. Međutim, kako raste broj korisnika i tvrtke, raste i broj zadataka: maksimalna vidljivost hostova i BYOD uređaja, višefaktorska autentifikacija, kreiranje politike pristupa na više razina i još mnogo toga.
Za takve zadatke savršena je klasa rješenja NAC (Network Access Control) - kontrola pristupa mreži. U nizu članaka posvećenih Cisco ISE (Identity Services Engine) - NAC rješenje za pružanje kontekstno svjesne kontrole pristupa korisnicima na internoj mreži, detaljno ćemo pogledati arhitekturu, pružanje, konfiguraciju i licenciranje rješenja.
Dopustite mi da vas ukratko podsjetim da vam Cisco ISE omogućuje:
Brzo i jednostavno stvorite pristup za goste na namjenskom WLAN-u;
Otkrijte BYOD uređaje (na primjer, kućna računala zaposlenika koja su donijeli na posao);
Centralizirajte i nametnite sigurnosna pravila za korisnike domene i korisnike koji nisu u domeni koristeći oznake sigurnosne grupe SGT TrustSec);
Provjerite računala za instaliranje određenog softvera i usklađenost sa standardima (postavljanje);
Klasificirati i profilirati krajnje točke i mrežne uređaje;
Osigurati vidljivost krajnje točke;
Pošaljite zapise događaja o prijavi/odjavi korisnika, njihove račune (identitet) u NGFW kako biste formirali politiku temeljenu na korisniku;
Izvorno se integrirajte s Cisco StealthWatch i stavite u karantenu sumnjive hostove uključene u sigurnosne incidente (više);
Arhitektura Identity Services Engine ima 4 entiteta (čvora): upravljački čvor (Policy Administration Node), čvor za distribuciju pravila (Policy Service Node), nadzorni čvor (Monitoring Node) i PxGrid čvor (PxGrid Node). Cisco ISE može biti u samostalnoj ili distribuiranoj instalaciji. U verziji Standalone svi entiteti se nalaze na jednom virtualnom računalu ili fizičkom poslužitelju (Secure Network Servers - SNS), dok su u verziji Distributed čvorovi raspoređeni po različitim uređajima.
Policy Administration Node (PAN) je potreban čvor koji vam omogućuje izvođenje svih administrativnih operacija na Cisco ISE. Obrađuje sve konfiguracije sustava povezane s AAA. U distribuiranoj konfiguraciji (čvorovi se mogu instalirati kao odvojeni virtualni strojevi), možete imati najviše dva PAN-a za toleranciju grešaka - aktivni/pripravni način rada.
Policy Service Node (PSN) je obavezni čvor koji pruža pristup mreži, stanje, pristup gosta, pružanje usluge klijenta i profiliranje. PSN procjenjuje politiku i primjenjuje je. Obično se instalira više PSN-ova, posebno u distribuiranoj konfiguraciji, radi redundantnijeg i distribuiranijeg rada. Naravno, te čvorove pokušavaju instalirati u različite segmente kako ni na sekundu ne bi izgubili mogućnost autentificiranog i autoriziranog pristupa.
Nadzorni čvor (MnT) je obvezni čvor koji pohranjuje zapise događaja, zapise drugih čvorova i pravila na mreži. MnT čvor pruža napredne alate za praćenje i rješavanje problema, prikuplja i povezuje različite podatke, a također pruža smislena izvješća. Cisco ISE vam omogućuje da imate najviše dva MnT čvora, čime se stvara tolerancija na pogreške - Aktivan/Standby način rada. Međutim, zapisnike prikupljaju oba čvora, i aktivni i pasivni.
PxGrid čvor (PXG) je čvor koji koristi PxGrid protokol i omogućuje komunikaciju između drugih uređaja koji podržavaju PxGrid.
PxGrid — protokol koji osigurava integraciju infrastrukturnih proizvoda IT i informacijske sigurnosti različitih dobavljača: sustavi za nadzor, sustavi za otkrivanje i prevenciju upada, platforme za upravljanje sigurnosnom politikom i mnoga druga rješenja. Cisco PxGrid omogućuje vam dijeljenje konteksta na jednosmjeran ili dvosmjeran način s mnogim platformama bez potrebe za API-jima, čime se omogućuje tehnologija TrustSec (SGT oznake), promijeniti i primijeniti ANC (Adaptive Network Control) politiku, kao i izvršiti profiliranje - određivanje modela uređaja, OS-a, lokacije i više.
U konfiguraciji visoke dostupnosti, PxGrid čvorovi repliciraju informacije između čvorova preko PAN-a. Ako je PAN onemogućen, PxGrid čvor prestaje s autentifikacijom, autorizacijom i obračunom za korisnike.
Dolje je shematski prikaz rada različitih Cisco ISE entiteta u korporativnoj mreži.
Slika 1. Cisco ISE arhitektura
3. Zahtjevi
Cisco ISE može se implementirati, kao i većina modernih rješenja, virtualno ili fizički kao zasebni poslužitelj.
Fizički uređaji koji koriste Cisco ISE softver nazivaju se SNS (Secure Network Server). Dolaze u tri modela: SNS-3615, SNS-3655 i SNS-3695 za male, srednje i velike tvrtke. Tablica 1 prikazuje podatke iz podatkovna tablica SNS.
Tablica 1. Tablica usporedbe SNS-a za različite ljestvice
Parametar
SNS 3615 (mali)
SNS 3655 (srednji)
SNS 3695 (veliki)
Broj podržanih krajnjih točaka u samostalnoj instalaciji
10000
25000
50000
Broj podržanih krajnjih točaka po PSN-u
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 jezgri
12 jezgri
12 jezgri
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardverski RAID
Ne
RAID 10, prisutnost RAID kontrolera
RAID 10, prisutnost RAID kontrolera
Mrežna sučelja
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Što se tiče virtualnih implementacija, podržani hipervizori su VMware ESXi (preporučuje se minimalno VMware verzija 11 za ESXi 6.0), Microsoft Hyper-V i Linux KVM (RHEL 7.0). Resursi bi trebali biti približno isti kao u gornjoj tablici ili više. Međutim, minimalni zahtjevi za virtualni stroj male tvrtke su: CPU 2 s frekvencijom od 2.0 GHz i više, 16 GB RAM-a и 200 GBHDD.
Za ostale pojedinosti o implementaciji Cisco ISE obratite se nama Ili do resurs #1, resurs #2.
4. Instalacija
Kao i većina ostalih Cisco proizvoda, ISE se može testirati na nekoliko načina:
dcloud – usluga u oblaku unaprijed instaliranih laboratorijskih izgleda (potreban Cisco račun);
GVE zahtjev – zahtjev od сайта Cisco određenog softvera (metoda za partnere). Stvarate slučaj sa sljedećim tipičnim opisom: Vrsta proizvoda [ISE], ISE softver [ise-2.7.0.356.SPA.x8664], ISE zakrpa [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
projekt pilota — obratite se bilo kojem ovlaštenom partneru za provođenje besplatnog pilot projekta.
1) Nakon stvaranja virtualnog stroja, ako ste zatražili ISO datoteku, a ne OVA predložak, pojavit će se prozor u kojem ISE zahtijeva da odaberete instalaciju. Da biste to učinili, umjesto prijave i lozinke, trebali biste napisati "postava"!
Napomena: ako ste implementirali ISE iz OVA predloška, onda podatke za prijavu admin/MyIseYPass2 (ovo i mnogo više navedeno je u službenom vodič).
Slika 2. Instalacija Cisco ISE
2) Zatim trebate ispuniti potrebna polja kao što su IP adresa, DNS, NTP i druga.
Slika 3. Inicijalizacija Cisco ISE
3) Nakon toga, uređaj će se ponovno pokrenuti, a vi ćete se moći povezati putem web sučelja koristeći prethodno navedenu IP adresu.
Slika 4. Cisco ISE web sučelje
4) U tab Administracija > Sustav > Implementacija možete odabrati koji su čvorovi (entiteti) omogućeni na određenom uređaju. Ovdje je omogućen čvor PxGrid.
Slika 5. Cisco ISE Entity Management
5) Zatim u tab Administracija > Sustav > Administratorski pristup >Ovjera Preporučujem postavljanje pravila za lozinke, metode provjere autentičnosti (certifikat ili lozinka), datuma isteka računa i drugih postavki.
Slika 6. Postavka tipa provjere autentičnostiSlika 7. Postavke politike lozinkeSlika 8. Postavljanje gašenja računa nakon isteka vremenaSlika 9. Postavljanje zaključavanja računa
6) U tab Administracija > Sustav > Administratorski pristup > Administratori > Administratorski korisnici > Dodaj možete stvoriti novog administratora.
Slika 10. Stvaranje lokalnog Cisco ISE administratora
7) Novi administrator može biti dio nove grupe ili već unaprijed definiranih grupa. Grupama administratora upravlja se na istoj ploči u kartici Administratorske grupe. Tablica 2 sažima informacije o ISE administratorima, njihovim pravima i ulogama.
Tablica 2. Grupe Cisco ISE administratora, razine pristupa, dopuštenja i ograničenja
Naziv grupe administratora
dozvole
Ograničenja
Administrator prilagodbe
Postavljanje portala za goste i sponzorstva, administracija i prilagodba
Nemogućnost promjene pravila ili pregleda izvješća
Administrator službe za pomoć
Mogućnost pregleda glavne nadzorne ploče, svih izvješća, alarma i tokova za rješavanje problema
Ne možete mijenjati, stvarati ili brisati izvješća, alarme i zapisnike provjere autentičnosti
Administrator identiteta
Upravljanje korisnicima, privilegijama i ulogama, mogućnost pregledavanja zapisa, izvješća i alarma
Ne možete mijenjati pravila ili izvršavati zadatke na razini OS-a
MnT Admin
Potpuni nadzor, izvješća, alarmi, zapisnici i njihovo upravljanje
Nemogućnost promjene bilo koje politike
Administrator mrežnog uređaja
Prava za stvaranje i promjenu ISE objekata, pregled dnevnika, izvješća, glavne nadzorne ploče
Ne možete mijenjati pravila ili izvršavati zadatke na razini OS-a
Administrator pravila
Potpuno upravljanje svim pravilima, mijenjanje profila, postavki, pregled izvješća
Nemogućnost izvođenja postavki s vjerodajnicama, ISE objektima
RBAC Admin
Sve postavke na kartici Operacije, postavke ANC politike, upravljanje izvješćima
Ne možete mijenjati pravila osim ANC-a ili izvršavati zadatke na razini OS-a
Super Admin
Prava na sve postavke, izvješćivanje i upravljanje, mogu brisati i mijenjati administratorske vjerodajnice
Nije moguće promijeniti, izbrišite drugi profil iz grupe super administratora
Administrator sustava
Sve postavke u kartici Operacije, upravljanje postavkama sustava, ANC politika, pregled izvješća
Ne možete mijenjati pravila osim ANC-a ili izvršavati zadatke na razini OS-a
Administrator vanjskih RESTful usluga (ERS).
Potpuni pristup Cisco ISE REST API-ju
Samo za autorizaciju, upravljanje lokalnim korisnicima, hostovima i sigurnosnim grupama (SG)
Vanjski operater RESTful usluga (ERS).
Cisco ISE REST API Dozvole za čitanje
Samo za autorizaciju, upravljanje lokalnim korisnicima, hostovima i sigurnosnim grupama (SG)
Slika 11. Unaprijed definirane grupe Cisco ISE administratora
8) Izborno u kartici Autorizacija > Dozvole > Pravila RBAC Možete urediti prava unaprijed definiranih administratora.
Slika 12. Cisco ISE Administrator Preset Profile Management Rights
9) U tab Administracija > Sustav > PostavkeDostupne su sve postavke sustava (DNS, NTP, SMTP i druge). Ovdje ih možete ispuniti ako ste ih propustili tijekom početne inicijalizacije uređaja.
5. zaključak
Time je prvi članak završen. Razgovarali smo o učinkovitosti rješenja Cisco ISE NAC, njegovoj arhitekturi, minimalnim zahtjevima i mogućnostima postavljanja te početnoj instalaciji.
U sljedećem ćemo članku pogledati stvaranje računa, integraciju s Microsoft Active Directoryjem i stvaranje pristupa za goste.
Ako imate pitanja o ovoj temi ili trebate pomoć pri testiranju proizvoda, obratite se link.