Cisco ISE: Bevezetés, követelmények, telepítés. 1. rész
1. Bevezetés
Minden vállalatnak, még a legkisebbnek is szüksége van hitelesítésre, engedélyezésre és felhasználói elszámolásra (AAA protokollcsalád). A kezdeti szakaszban az AAA meglehetősen jól implementált olyan protokollok használatával, mint a RADIUS, TACACS+ és DIAMETER. A felhasználók és a cég számának növekedésével azonban a feladatok száma is nő: a gazdagépek és BYOD eszközök maximális láthatósága, többtényezős hitelesítés, többszintű hozzáférési szabályzat létrehozása és még sok más.
Az ilyen feladatokra a NAC (Network Access Control) osztályú megoldások tökéletesek - hálózati hozzáférés-vezérlés. Ennek szentelt cikksorozatban Cisco ISE (Identity Services Engine) - NAC-megoldás környezettudatos hozzáférés-vezérlés biztosítására a belső hálózat felhasználói számára, részletesen áttekintjük a megoldás architektúráját, kiépítését, konfigurációját és licencelését.
Hadd emlékeztessem röviden, hogy a Cisco ISE lehetővé teszi:
Gyorsan és egyszerűen létrehozhat vendég hozzáférést egy dedikált WLAN-on;
A BYOD eszközök észlelése (például az alkalmazottak otthoni számítógépe, amelyet munkába hoztak);
Központosítsa és érvényesítse a biztonsági házirendeket a tartományi és nem tartományi felhasználók között az SGT biztonsági csoportcímkék használatával TrustSec);
Ellenőrizze a számítógépeken, hogy vannak-e telepítve bizonyos szoftverek, és megfelelnek-e a szabványoknak (pozíció);
Végpont és hálózati eszközök osztályozása és profilozása;
Végpont láthatóságának biztosítása;
A felhasználók bejelentkezési/kijelentkezési eseménynaplóinak elküldése, fiókjaik (identitásuk) az NGFW-nek, hogy felhasználói alapú házirendet alkossanak;
Natívan integrálható a Cisco StealthWatch szolgáltatással, és karanténba helyezheti a biztonsági incidensekben érintett gyanús gazdagépeket (több);
És egyéb, az AAA szerverekhez szabványos funkciók.
Az Identity Services Engine architektúra 4 entitást (csomópontot) tartalmaz: egy felügyeleti csomópontot (Policy Administration Node), egy házirend-elosztási csomópontot (Policy Service Node), egy megfigyelési csomópontot (Monitoring Node) és egy PxGrid csomópontot (PxGrid Node). A Cisco ISE lehet önálló vagy elosztott telepítés. Az önálló változatban az összes entitás egy virtuális gépen vagy fizikai szerveren található (Secure Network Servers – SNS), míg az elosztott változatban a csomópontok különböző eszközök között vannak elosztva.
A Policy Administration Node (PAN) egy kötelező csomópont, amely lehetővé teszi az összes adminisztrációs művelet végrehajtását a Cisco ISE rendszeren. Kezeli az AAA-val kapcsolatos összes rendszerkonfigurációt. Elosztott konfigurációban (a csomópontok külön virtuális gépként telepíthetők) legfeljebb két PAN-t használhat a hibatűréshez - Aktív/Készenléti mód.
A Policy Service Node (PSN) egy kötelező csomópont, amely hálózati hozzáférést, állapot-, vendég-hozzáférést, ügyfélszolgáltatás-kiépítést és profilalkotást biztosít. A PSN kiértékeli a szabályzatot és alkalmazza azt. Általában több PSN-t telepítenek, különösen elosztott konfigurációban, a redundánsabb és elosztottabb működés érdekében. Természetesen megpróbálják ezeket a csomópontokat különböző szegmensekben telepíteni, hogy egy másodpercre se veszítsék el a hitelesített és engedélyezett hozzáférést.
A Monitoring Node (MnT) egy kötelező csomópont, amely eseménynaplókat, más csomópontok naplóit és házirendeket tárolja a hálózaton. Az MnT csomópont fejlett eszközöket biztosít a megfigyeléshez és a hibaelhárításhoz, összegyűjti és korrelálja a különböző adatokat, valamint értelmes jelentéseket is biztosít. A Cisco ISE legfeljebb két MnT csomópontot tesz lehetővé, ezáltal hibatűrést biztosít – Aktív/Készenléti mód. A naplókat azonban mindkét csomópont gyűjti, mind az aktív, mind a passzív.
A PxGrid Node (PXG) egy olyan csomópont, amely a PxGrid protokollt használja, és lehetővé teszi a kommunikációt más, PxGridet támogató eszközök között.
PxGrid — egy protokoll, amely biztosítja a különböző gyártók informatikai és információbiztonsági infrastrukturális termékeinek integrációját: megfigyelőrendszerek, behatolásészlelő és -megelőzési rendszerek, biztonságpolitikai menedzsment platformok és sok más megoldás. A Cisco PxGrid lehetővé teszi a kontextus egyirányú vagy kétirányú megosztását számos platformmal anélkül, hogy API-kra lenne szükség, ezáltal lehetővé téve a technológiát. TrustSec (SGT-címkék), módosíthatja és alkalmazhatja az ANC (Adaptive Network Control) házirendet, valamint profilalkotást végezhet – az eszköz modelljének, operációs rendszerének, helyének és egyebeknek a meghatározása.
Magas rendelkezésre állású konfigurációban a PxGrid csomópontok replikálják az információkat a csomópontok között egy PAN-on keresztül. Ha a PAN le van tiltva, a PxGrid csomópont leállítja a felhasználók hitelesítését, engedélyezését és elszámolását.
Az alábbiakban a különböző Cisco ISE entitások működésének vázlatos ábrázolása látható egy vállalati hálózatban.
1. ábra: Cisco ISE architektúra
3. Követelmények
A Cisco ISE a legtöbb modern megoldáshoz hasonlóan virtuálisan vagy fizikailag is megvalósítható külön szerverként.
A Cisco ISE szoftvert futtató fizikai eszközöket SNS-nek (Secure Network Server) hívják. Három modellben kaphatók: SNS-3615, SNS-3655 és SNS-3695 kis-, közép- és nagyvállalatok számára. Az 1. táblázat a következőtől származó információkat tartalmazza adatlap SNS.
1. táblázat: SNS összehasonlító táblázat különböző skálákhoz
Paraméter
SNS 3615 (kicsi)
SNS 3655 (közepes)
SNS 3695 (nagy)
A támogatott végpontok száma egy önálló telepítésben
10000
25000
50000
Támogatott végpontok száma PSN-enként
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 mag
12 mag
12 mag
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
Hardver RAID
Nincs
RAID 10, RAID vezérlő jelenléte
RAID 10, RAID vezérlő jelenléte
Hálózati interfészek
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
Ami a virtuális implementációkat illeti, a támogatott hipervizorok a VMware ESXi (minimum VMware 11-es verziója ajánlott az ESXi 6.0-hoz), a Microsoft Hyper-V és a Linux KVM (RHEL 7.0). Az erőforrásoknak megközelítőleg azonosnak kell lenniük a fenti táblázatban szereplővel, vagy többnek kell lenniük. A kisvállalati virtuális gépekkel szemben támasztott minimális követelmények azonban a következők: 2 CPU 2.0 GHz-es vagy nagyobb frekvenciával, 16 GB RAM и 200 GBHDD.
A Cisco ISE telepítésével kapcsolatos egyéb részletekért forduljon a következőhöz nekünk vagy forrás #1, forrás #2.
4. Telepítés
A legtöbb Cisco termékhez hasonlóan az ISE is többféleképpen tesztelhető:
dcloud – előre telepített laboratóriumi elrendezések felhőszolgáltatása (Cisco fiók szükséges);
GVE kérés – kérés tőle hely Bizonyos szoftverek Cisco-ja (módszer partnerek számára). Létrehoz egy esetet a következő jellemző leírással: Terméktípus [ISE], ISE szoftver [ise-2.7.0.356.SPA.x8664], ISE javítás [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
demó projekt — vegye fel a kapcsolatot bármely felhatalmazott partnerrel egy ingyenes kísérleti projekt lebonyolítása érdekében.
1) A virtuális gép létrehozása után, ha ISO-fájlt kért, és nem OVA-sablont, felugrik egy ablak, amelyben az ISE megköveteli a telepítés kiválasztását. Ehhez bejelentkezési neve és jelszava helyett a következőt kell írnia:felépítés"!
Megjegyzés: ha az ISE-t OVA-sablonból telepítette, akkor a bejelentkezési adatokat admin/MyIseYPass2 (ez és még sok más a hivatalosban van feltüntetve útmutató).
2. ábra: A Cisco ISE telepítése
2) Ezután töltse ki a szükséges mezőket, például IP-cím, DNS, NTP és mások.
3. ábra: A Cisco ISE inicializálása
3) Ezt követően a készülék újraindul, és a webes felületen keresztül lehet csatlakozni a korábban megadott IP címen.
4. ábra: Cisco ISE webes felület
4) A lapon Adminisztráció > Rendszer > Telepítés kiválaszthatja, hogy egy adott eszközön mely csomópontok (entitások) legyenek engedélyezve. A PxGrid csomópont itt engedélyezve van.
5. ábra: Cisco ISE Entity Management
5) Majd a lapon Adminisztráció > Rendszer > Rendszergazdai hozzáférés >Hitelesítés Azt javaslom, hogy állítson be jelszóházirendet, hitelesítési módot (tanúsítvány vagy jelszó), fiók lejárati dátumát és egyéb beállításokat.
6. ábra A hitelesítés típusának beállítása7. ábra Jelszóházirend-beállítások8. ábra: Fiókleállás beállítása idő lejárta után9. ábra Számlazárolás beállítása
6) A lapon Adminisztráció > Rendszer > Rendszergazdai hozzáférés > Rendszergazdák > Rendszergazda felhasználók > Hozzáadás létrehozhat egy új rendszergazdát.
10. ábra: Helyi Cisco ISE adminisztrátor létrehozása
7) Az új adminisztrátor egy új csoport vagy már előre meghatározott csoport részévé tehető. Az adminisztrátori csoportok kezelése a lap ugyanazon paneljén történik Admin csoportok. A 2. táblázat összefoglalja az ISE-rendszergazdákról, jogaikról és szerepköreikről szóló információkat.
2. táblázat: Cisco ISE adminisztrátori csoportok, hozzáférési szintek, engedélyek és korlátozások
Rendszergazdai csoport neve
engedély
Korlátozások
Testreszabás Admin
Vendég- és szponzori portálok felállítása, adminisztráció és testreszabás
Képtelenség módosítani az irányelveket vagy megtekinteni a jelentéseket
Helpdesk Admin
Képes megtekinteni a fő irányítópultot, az összes jelentést, riasztást és hibaelhárítási adatfolyamot
Nem módosíthat, hozhat létre vagy törölhet jelentéseket, riasztásokat és hitelesítési naplókat
Identity Admin
Felhasználók, jogosultságok és szerepkörök kezelése, naplók, jelentések és riasztások megtekintésének lehetősége
Nem módosíthatja a házirendeket és nem hajthat végre feladatokat az operációs rendszer szintjén
MnT Admin
Teljes körű felügyelet, jelentések, riasztások, naplók és ezek kezelése
Képtelenség megváltoztatni bármely irányelvet
Hálózati eszköz adminisztrátora
ISE objektumok létrehozásának és módosításának joga, naplók, jelentések, fő irányítópult megtekintése
Nem módosíthatja a házirendeket és nem hajthat végre feladatokat az operációs rendszer szintjén
Házirend Adminisztrátor
Az összes házirend teljes körű kezelése, profilok, beállítások módosítása, jelentések megtekintése
Nem lehet beállításokat végrehajtani hitelesítő adatokkal, ISE objektumokkal
RBAC Admin
Minden beállítás a Műveletek lapon, ANC házirend beállításai, jelentéskezelés
Az ANC-n kívül más házirendeket nem módosíthat, és nem hajthat végre feladatokat az operációs rendszer szintjén
Super Admin
Az összes beállításhoz, jelentéskészítéshez és kezeléshez való jog, törölheti és módosíthatja a rendszergazdai hitelesítő adatokat
Nem módosítható, törölhet másik profilt a kiemelt rendszergazda csoportból
Rendszer Admin
Minden beállítás a Műveletek lapon, a rendszerbeállítások kezelése, az ANC-házirend, a jelentések megtekintése
Az ANC-n kívül más házirendeket nem módosíthat, és nem hajthat végre feladatokat az operációs rendszer szintjén
Külső RESTful Services (ERS) Admin
Teljes hozzáférés a Cisco ISE REST API-hoz
Csak helyi felhasználók, gazdagépek és biztonsági csoportok (SG) engedélyezésére, kezelésére
Külső RESTful Services (ERS) üzemeltető
Cisco ISE REST API olvasási engedélyek
Csak helyi felhasználók, gazdagépek és biztonsági csoportok (SG) engedélyezésére, kezelésére
11. ábra: Előre meghatározott Cisco ISE adminisztrátori csoportok
8) Nem kötelező a lapon Engedélyezés > Engedélyek > RBAC házirend Módosíthatja az előre meghatározott rendszergazdák jogait.
12. ábra: Cisco ISE adminisztrátori előre beállított profiljog-kezelés
9) A lapon Adminisztráció > Rendszer > BeállításokMinden rendszerbeállítás elérhető (DNS, NTP, SMTP és mások). Itt töltheti ki őket, ha az eszköz kezdeti inicializálása során kihagyta őket.
5. következtetés
Ezzel véget is ért az első cikk. Megbeszéltük a Cisco ISE NAC megoldás hatékonyságát, architektúráját, a minimális követelményeket és a telepítési lehetőségeket, valamint a kezdeti telepítést.
A következő cikkben a fiókok létrehozásával, a Microsoft Active Directoryval való integrációval és a vendég hozzáférés létrehozásával foglalkozunk.
Ha kérdése van a témával kapcsolatban, vagy segítségre van szüksége a termék teszteléséhez, forduljon hozzánk link.