Cisco ISE: Entwodiksyon, kondisyon, enstalasyon. Pati 1
NAN. Entwodiksyon
Chak konpayi, menm pi piti a, gen yon bezwen pou otantifikasyon, otorizasyon ak kontablite itilizatè (AAA fanmi pwotokòl). Nan premye etap la, AAA byen aplike lè l sèvi avèk pwotokòl tankou RADIUS, TACACS + ak DYAMET. Sepandan, kòm kantite itilizatè yo ak konpayi an ap grandi, kantite travay yo ap grandi tou: maksimòm vizibilite nan lame ak aparèy BYOD, otantifikasyon milti-faktè, kreye yon politik aksè milti-nivo ak plis ankò.
Pou travay sa yo, klas solisyon NAC (Network Access Control) pafè - kontwòl aksè rezo. Nan yon seri de atik dedye a Cisco ISE (Motè Sèvis Idantite) - NAC solisyon pou bay itilizatè kontèks kontwòl aksè nan rezo entèn la, nou pral pran yon gade detaye sou achitekti, pwovizyon, konfigirasyon ak lisans nan solisyon an.
Kite m 'fè w sonje yon ti tan ke Cisco ISE pèmèt ou:
Byen vit ak fasil kreye aksè envite sou yon WLAN devwe;
Detekte aparèy BYOD (pa egzanp, òdinatè lakay anplwaye yo ke yo pote nan travay);
Santralize ak aplike règleman sekirite atravè domèn ak itilizatè ki pa domèn lè l sèvi avèk etikèt gwoup sekirite SGT TrustSec);
Tcheke òdinatè yo pou sèten lojisyèl enstale ak konfòmite ak estanda (posturing);
Klasifye ak pwofil pwen final ak aparèy rezo;
Bay pwen final vizibilite;
Voye mòso evènman yo nan koneksyon / dekonekte itilizatè yo, kont yo (idantite) bay NGFW pou fòme yon politik ki baze sou itilizatè;
Entegre natif natal ak Cisco StealthWatch ak karantèn tout moun ki sispèk ki enplike nan ensidan sekirite yo (plis);
Achitekti Identity Services Engine a gen 4 antite (nœuds): yon nœud jesyon (nœuds administrasyon politik), yon nœud distribisyon politik (nœud sèvis politik), yon nœud siveyans (nœuds siveyans) ak yon nœud PxGrid (nœud PxGrid). Cisco ISE ka nan yon enstalasyon otonòm oswa distribye. Nan vèsyon otonòm, tout antite yo sitiye sou yon machin vityèl oswa yon sèvè fizik (Secure Network Servers - SNS), pandan y ap nan vèsyon an Distribiye, nœuds yo distribye atravè diferan aparèy.
Policy Administration Node (PAN) se yon ne obligatwa ki pèmèt ou fè tout operasyon administratif sou Cisco ISE. Li okipe tout konfigirasyon sistèm ki gen rapò ak AAA. Nan yon konfigirasyon distribiye (nœuds yo ka enstale kòm machin vityèl separe), ou ka gen yon maksimòm de PAN pou tolerans fay - mòd aktif / Standby.
Policy Service Node (PSN) se yon ne obligatwa ki bay aksè rezo, eta, aksè envite, pwovizyon sèvis kliyan, ak profilage. PSN evalye politik la epi aplike li. Tipikman, plizyè PSN yo enstale, espesyalman nan yon konfigirasyon distribye, pou plis redondants ak distribye operasyon. Natirèlman, yo eseye enstale nœuds sa yo nan diferan segman pou yo pa pèdi kapasite nan bay aksè otantifye ak otorize pou yon dezyèm fwa.
Monitoring Node (MnT) se yon ne obligatwa ki estoke mòso bwa evènman, mòso bwa lòt nœuds ak règleman sou rezo a. Nœud MnT a bay zouti avanse pou kontwole ak depanaj, kolekte ak korelasyon divès done, epi tou li bay rapò ki gen sans. Cisco ISE pèmèt ou gen yon maksimòm de nœuds MnT, kidonk kreye tolerans fay - mòd aktif/standby. Sepandan, mòso bwa yo kolekte pa tou de nœuds, tou de aktif ak pasif.
PxGrid Node (PXG) se yon ne ki sèvi ak pwotokòl PxGrid epi ki pèmèt kominikasyon ant lòt aparèy ki sipòte PxGrid.
PxGrid — yon pwotokòl ki asire entegrasyon IT ak pwodwi enfrastrikti sekirite enfòmasyon ki soti nan diferan fournisseurs: sistèm siveyans, deteksyon entrizyon ak sistèm prevansyon, platfòm jesyon politik sekirite ak anpil lòt solisyon. Cisco PxGrid pèmèt ou pataje kontèks nan yon fason inidireksyon oswa bidireksyon ak anpil platfòm san yo pa bezwen API, kidonk pèmèt teknoloji a. TrustSec (SGT tags), chanje epi aplike politik ANC (Adaptive Network Control), osi byen ke fè pwofil - detèmine modèl aparèy la, OS, kote, ak plis ankò.
Nan yon konfigirasyon disponiblite segondè, nœuds PxGrid repwodui enfòmasyon ant nœuds sou yon PAN. Si PAN a enfim, ne PxGrid la sispann otantifye, otorize, ak kontablite pou itilizatè yo.
Anba a se yon reprezantasyon schematic nan operasyon an nan diferan antite Cisco ISE nan yon rezo antrepriz.
Figi 1. Achitekti Cisco ISE
3. Kondisyon
Cisco ISE ka aplike, tankou pifò solisyon modèn, nòmalman oswa fizikman kòm yon sèvè separe.
Aparèy fizik ki kouri lojisyèl Cisco ISE yo rele SNS (Secure Network Server). Yo vini nan twa modèl: SNS-3615, SNS-3655 ak SNS-3695 pou ti, mwayen ak gwo biznis. Tablo 1 montre enfòmasyon ki soti nan datasheet SNS.
Tablo 1. Tablo konparezon SNS pou diferan echèl
Paramèt
SNS 3615 (Ti)
SNS 3655 (Mwayen)
SNS 3695 (Gwo)
Kantite pwen final ki sipòte nan yon enstalasyon otonòm
10000
25000
50000
Kantite pwen final ki sipòte pou chak PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 nwayo
12 nwayo
12 nwayo
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Materyèl
Pa gen
ATAK 10, prezans kontwolè ATAK
ATAK 10, prezans kontwolè ATAK
Rezo interfaces
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Konsènan aplikasyon vityèl, hypervisors sipòte yo se VMware ESXi (minimòm VMware vèsyon 11 pou ESXi 6.0 rekòmande), Microsoft Hyper-V ak Linux KVM (RHEL 7.0). Resous yo ta dwe apeprè menm jan ak nan tablo ki anwo a, oswa plis. Sepandan, kondisyon minimòm yo pou yon machin vityèl ti biznis yo se: NOUVO CPU ak yon frekans 2.0 GHz ak pi wo, 16 GB RAM и 200 GBHDD.
demann GVE – demann soti nan sit Cisco nan sèten lojisyèl (metòd pou patnè). Ou kreye yon ka ak deskripsyon tipik sa a: Kalite pwodwi [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pwojè pilòt — kontakte nenpòt patnè otorize pou fè yon pwojè pilòt gratis.
1) Apre ou fin kreye yon machin vityèl, si ou mande yon fichye ISO epi yo pa yon modèl OVA, yon fenèt ap parèt kote ISE mande pou w chwazi yon enstalasyon. Pou fè sa, olye pou yo login ak modpas ou, ou ta dwe ekri "konfigirasyon"!
Remak: si ou te deplwaye ISE soti nan OVA modèl, Lè sa a, detay yo konekte admin/MyIseYPass2 (sa a ak plis ankò endike nan ofisyèl la gid).
Figi 2. Enstale Cisco ISE
2) Lè sa a, ou ta dwe ranpli nan jaden obligatwa yo tankou adrès IP, DNS, NTP ak lòt moun.
Figi 3. Inisyalize Cisco ISE
3) Apre sa, aparèy la pral rdemare, epi ou yo pral kapab konekte atravè koòdone entènèt la lè l sèvi avèk adrès la IP espesifye deja.
Figi 4. Entèfas Web Cisco ISE
4) Nan tab Administrasyon > Sistèm > Deplwaman ou ka chwazi ki nœuds (antite) ki pèmèt sou yon aparèy patikilye. Nœud PxGrid la aktive isit la.
Figi 5. Jesyon antite Cisco ISE
5) Lè sa a, nan tab Administrasyon > Sistèm > Aksè Admin >Otantifikasyon Mwen rekòmande mete yon politik modpas, metòd otantifikasyon (sètifika oswa modpas), dat ekspirasyon kont, ak lòt paramèt.
Figi 6. Anviwònman kalite otantifikasyonFigi 7. Paramèt politik modpasFigi 8. Mete kanpe kont fèmen apre tan ekspireFigi 9. Mete kanpe bloke kont
6) Nan tab Administrasyon > Sistèm > Aksè Admin > Administratè > Itilizatè Admin > Ajoute ou ka kreye yon nouvo administratè.
Figi 10. Kreye yon Administratè lokal Cisco ISE
7) Nouvo administratè a ka fè pati yon nouvo gwoup oswa gwoup deja predefini. Gwoup administratè yo jere nan menm panèl la nan tab la Gwoup Admin. Tablo 2 rezime enfòmasyon sou administratè ISE yo, dwa yo ak wòl yo.
Tablo 2. Gwoup Administratè Cisco ISE, Nivo Aksè, Otorizasyon, ak Restriksyon
Non gwoup administratè
Otorizasyon
Restriksyon yo
Personnalisation Admin
Mete kanpe pòtay envite ak parennaj, administrasyon ak personnalisation
Enkapasite pou chanje politik oswa wè rapò yo
Admin biwo èd
Kapasite pou wè tablodbò prensipal la, tout rapò, larms ak kouran depanaj
Ou pa kapab chanje, kreye oswa efase rapò, alam ak mòso bwa otantifikasyon
Admin idantite
Jere itilizatè, privilèj ak wòl, kapasite nan wè mòso bwa, rapò ak alam
Ou pa ka chanje règleman oswa fè travay nan nivo OS
Mnt Admin
Siveyans konplè, rapò, alam, mòso bwa ak jesyon yo
Enkapasite pou chanje okenn politik
Admin Aparèy Rezo
Dwa pou kreye ak chanje objè ISE, gade mòso bwa, rapò, tablodbò prensipal la
Ou pa ka chanje règleman oswa fè travay nan nivo OS
Admin politik
Jesyon konplè sou tout politik, chanje pwofil, anviwònman, gade rapò
Enkapasite yo fè anviwònman ak kalifikasyon, objè ISE
RBAC Admin
Tout paramèt nan tab Operasyon yo, paramèt politik ANC, jesyon rapò
Ou pa ka chanje règleman lòt pase ANC oswa fè travay nan nivo OS
Super Admin
Dwa sou tout paramèt, rapò ak jesyon, ka efase ak chanje kalifikasyon administratè yo
Pa ka chanje, efase yon lòt pwofil nan gwoup Super Admin
Admin sistèm
Tout paramèt nan tab Operasyon yo, jere paramèt sistèm yo, politik ANC, gade rapò yo
Ou pa ka chanje règleman lòt pase ANC oswa fè travay nan nivo OS
Sèvis Ekstèn RESTful (ERS) Admin
Aksè konplè a Cisco ISE REST API la
Sèlman pou otorizasyon, jesyon itilizatè lokal yo, lame ak gwoup sekirite (SG)
Operatè Ekstèn Sèvis RESTful (ERS).
Cisco ISE REST API otorizasyon lekti
Sèlman pou otorizasyon, jesyon itilizatè lokal yo, lame ak gwoup sekirite (SG)
Figi 11. Gwoup Administratè Cisco ISE predefini
8) Si ou vle nan tab la Otorizasyon > Otorizasyon > Règleman RBAC Ou ka modifye dwa administratè predefini yo.
Figi 12. Jesyon Dwa Profile Prereglaj Administratè Cisco ISE
9) Nan tab Administrasyon > Sistèm > AnviwònmanTout paramèt sistèm yo disponib (DNS, NTP, SMTP ak lòt moun). Ou ka ranpli yo isit la si ou rate yo pandan inisyalizasyon aparèy inisyal la.
5. Konklizyon
Sa a konkli premye atik la. Nou te diskite sou efikasite solisyon Cisco ISE NAC a, achitekti li yo, kondisyon minimòm ak opsyon deplwaman, ak premye enstalasyon.
Nan pwochen atik la, nou pral gade nan kreye kont, entegre ak Microsoft Active Directory, ak kreye aksè envite.
Si w gen kesyon sou sijè sa a oswa ou bezwen èd pou teste pwodwi a, tanpri kontakte lyen.