1. Ներածություն
Յուրաքանչյուր ընկերություն, նույնիսկ ամենափոքրը, կարիք ունի իրականացնելու նույնականացում, լիազորում և օգտատիրոջ հաշվառում (AAA արձանագրությունների ընտանիք): Սկզբնական փուլում AAA-ն բավականին լավ է իրականացվում՝ օգտագործելով RADIUS, TACACS+ և DIAMETER જેવા արձանագրություններ։ Սակայն, օգտատերերի և ընկերության թվի աճին զուգընթաց, ավելանում է նաև առաջադրանքների քանակը՝ հոսթերի և BYOD սարքերի առավելագույն տեսանելիություն, բազմագործոն նույնականացում, բազմամակարդակ մուտքի քաղաքականության ստեղծում և շատ ավելին։
NAC (ցանցային մուտքի վերահսկում) լուծումների դասը իդեալական է նման խնդիրների համար։ Նվիրված հոդվածների շարքում (Identity Services Engine) - NAC լուծում՝ ներքին ցանցում օգտատերերին համատեքստից կախված մուտքի վերահսկողություն ապահովելու համար, մենք մանրամասն կքննարկենք լուծման ճարտարապետությունը, մատակարարումը, կարգավորումը և լիցենզավորումը:
Թույլ տվեք համառոտ հիշեցնել ձեզ, որ Cisco ISE-ն թույլ է տալիս ձեզ.
Արագ և հեշտությամբ ստեղծեք հյուրի մուտքը նվիրված WLAN-ում։
Հայտնաբերել BYOD սարքերը (օրինակ՝ աշխատակիցների տնային համակարգիչները, որոնք նրանք բերում են աշխատանքի)։
Կենտրոնացրեք և կիրառեք անվտանգության քաղաքականությունները դոմեյնային և ոչ դոմեյնային օգտատերերի համար՝ օգտագործելով անվտանգության խմբի պիտակներ (SGT): );
Ստուգեք համակարգիչները տեղադրված որոշակի ծրագրաշարի առկայության և ստանդարտներին համապատասխանության համար (դիրքորոշում)։
Դասակարգել և պրոֆիլավորել վերջնակետային և ցանցային սարքերը։
Ապահովել վերջնակետերի տեսանելիությունը։
NGFW-ին տրամադրել օգտատիրոջ մուտքի/ելքի իրադարձությունների գրանցամատյանները և նրանց հաշիվները (ինքնությունը)՝ օգտատիրոջ վրա հիմնված քաղաքականություն ձևավորելու համար։
Տեղականորեն ինտեգրվել Cisco StealthWatch-ի հետ և կարանտինացնել անվտանգության միջադեպերի մեջ ներգրավված կասկածելի հոսթերը ();
Եվ AAA սերվերների այլ ստանդարտ հնարավորություններ։
Արդյունաբերության գործընկերներս արդեն գրել են Cisco ISE-ի մասին, ուստի խորհուրդ եմ տալիս ապագայում կարդալ այն։ ,.
2: Արտարապետություն
Identity Services Engine ճարտարապետությունում կան 4 միավորներ (հանգույցներ)՝ քաղաքականության կառավարման հանգույց, քաղաքականության ծառայության հանգույց, մոնիթորինգի հանգույց և PxGrid հանգույց։ Cisco ISE-ը կարող է տեղադրվել որպես ինքնուրույն կամ բաշխված տեղադրում։ Անկախ տարբերակում բոլոր օբյեկտները տեղակայված են մեկ վիրտուալ մեքենայի կամ ֆիզիկական սերվերի վրա (Secure Network Servers - SNS), մինչդեռ բաշխված տարբերակում հանգույցները բաշխված են տարբեր սարքերի միջև։
Քաղաքականության կառավարման հանգույցը (PAN) պարտադիր հանգույց է, որը հնարավորություն է տալիս իրականացնել Cisco ISE-ի բոլոր վարչական գործողությունները: Այն կարգավորում է AAA-ին վերաբերող բոլոր համակարգային կարգավորումները։ Բաշխված կոնֆիգուրացիայում (հանգույցները կարող են տեղադրվել որպես առանձին վիրտուալ մեքենաներ) դուք կարող եք ունենալ առավելագույնը երկու PAN՝ խափանումների նկատմամբ հանդուրժողականության համար՝ Ակտիվ/Պահպանման ռեժիմ։
Քաղաքականության ծառայության հանգույցը (PSN) պարտադիր հանգույց է, որը տրամադրում է ցանցային մուտք, վիճակի, հյուրի մուտքի տվյալներ, հաճախորդի նախապատրաստում և պրոֆիլավորում: PSN-ը գնահատում է քաղաքականությունը և կիրառում այն։ Սովորաբար, տեղադրվում են մի քանի PSN-ներ, հատկապես բաշխված կոնֆիգուրացիայում, ավելի ավելորդ և բաշխված աշխատանքի համար։ Իհարկե, այս հանգույցները փորձում են տեղադրվել տարբեր հատվածներում, որպեսզի չկորցնեն նույնիսկ մեկ վայրկյանով վավերացված և լիազորված մուտք ապահովելու հնարավորությունը։
Մոնիթորինգի հանգույցը (MnT) պարտադիր հանգույց է, որը պահպանում է իրադարձությունների գրանցամատյանները, այլ հանգույցների գրանցամատյանները և ցանցի քաղաքականությունները։ MnT հանգույցը տրամադրում է առաջադեմ մոնիթորինգի և խնդիրների լուծման գործիքներ, հավաքում և համեմատում է տարբեր տվյալներ և տրամադրում է իմաստալից հաշվետվություններ։ Cisco ISE-ը թույլ է տալիս առավելագույնը երկու MnT հանգույց, այդպիսով ստեղծելով խափանումների նկատմամբ հանդուրժողականություն՝ Ակտիվ/Պահպանման ռեժիմ։ Այնուամենայնիվ, գրանցամատյանները հավաքվում են ինչպես ակտիվ, այնպես էլ պասիվ հանգույցների կողմից։
PxGrid հանգույցը (PXG) հանգույց է, որը իրականացնում է PxGrid արձանագրությունը և ապահովում է կապ PxGrid-ը աջակցող այլ սարքերի միջև։
— արձանագրություն, որը ապահովում է տարբեր մատակարարների ՏՏ և տեղեկատվական անվտանգության ենթակառուցվածքային արտադրանքի ինտեգրումը. մոնիթորինգի համակարգեր, ներխուժումների հայտնաբերման և կանխարգելման համակարգեր, անվտանգության քաղաքականության կառավարման հարթակներ և շատ այլ լուծումներ։ Cisco PxGrid-ը հնարավորություն է տալիս համատեքստային փոխանակում կատարել միակողմանի կամ երկկողմանի ռեժիմով բազմաթիվ հարթակների հետ՝ առանց API-ի անհրաժեշտության, այդպիսով հնարավորություն տալով օգտագործել տեխնոլոգիան։ (SGT պիտակներ), փոխել և կիրառել ANC (հարմարվողական ցանցի կառավարում) քաղաքականությունը, ինչպես նաև կատարել պրոֆիլավորում՝ որոշելով սարքի մոդելը, օպերացիոն համակարգը, գտնվելու վայրը և այլն։
Բարձր մատչելիության կոնֆիգուրացիայում PxGrid հանգույցները կրկնօրինակում են տեղեկատվությունը հանգույցների միջև PAN-ի միջոցով։ Եթե PAN-ը անջատված է, PxGrid հանգույցը այլևս չի նույնականացնի, չի լիազորի կամ չի հաշիվ տա օգտատերերին։
Ստորև ներկայացված է սխեմատիկ պատկերը, թե ինչպես են տարբեր Cisco ISE միավորները գործում կորպորատիվ ցանցում:
Նկար 1. Cisco ISE ճարտարապետություն
3. Պահանջներ
Cisco ISE-ն կարող է տեղակայվել, ինչպես ժամանակակից լուծումների մեծ մասը, վիրտուալ կամ ֆիզիկապես որպես առանձին սերվեր։
Cisco ISE ծրագրակազմով տեղադրված ֆիզիկական սարքերը կոչվում են SNS (Secure Network Server): Դրանք գալիս են երեք մոդելով՝ SNS-3615, SNS-3655 և SNS-3695՝ փոքր, միջին և խոշոր բիզնեսների համար։ Աղյուսակ 1-ը ներկայացնում է տեղեկատվություն Սոցիալական ցանցեր
Աղյուսակ 1. Սոցիալական ցանցերի համեմատական աղյուսակ տարբեր մասշտաբների համար
Parameter
SNS 3615 (Փոքր)
SNS 3655 (Միջին)
SNS 3695 (Մեծ)
Աջակցվող վերջնական սարքերի քանակը ինքնուրույն տեղադրման մեջ
10000
25000
50000
Յուրաքանչյուր PSN-ի համար աջակցվող վերջնակետերի քանակը
10000
25000
100000
Պրոցեսոր (Intel Xeon 2.10 GHz)
8 միջուկ
12 միջուկ
12 միջուկ
RAM
32 ԳԲ (2 x 16 ԳԲ)
96 ԳԲ (6 x 16 ԳԲ)
256 ԳԲ (16 x 16 ԳԲ)
HDD
1 x 600 ԳԲ
4 x 600 ԳԲ
8 x 600 ԳԲ
Սարքավորումների RAID
Ոչ
RAID 10, RAID կառավարիչ հասանելի է
RAID 10, RAID կառավարիչ հասանելի է
Անցի միջերեսներ
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 պրոցեսոր 2.0 ԳՀց և ավելի հաճախականությամբ, 16 ԳԲ օպերատիվ հիշողություն и 200 ԳԲ HDD
Cisco ISE տեղակայման վերաբերյալ լրացուցիչ տեղեկությունների համար, խնդրում ենք դիմել կամ դեպի , .
4. Տեղադրում
Ինչպես Cisco-ի մյուս արտադրանքի մեծ մասը, ISE-ն կարող է փորձարկվել մի քանի եղանակով.
– նախապես տեղադրված լաբորատոր դասավորությունների ամպային ծառայություն (պահանջվում է Cisco հաշիվ);
- խնդրանքով Cisco-ի հատուկ ծրագրակազմ (մեթոդ գործընկերների համար): Դուք ստեղծում եք հետևյալ տիպիկ նկարագրությամբ դեպք՝ Արտադրանքի տեսակ [ISE], ISE Ծրագրային ապահովում [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
- Կապվեք ցանկացած լիազորված գործընկերոջ հետ՝ անվճար փորձնական նախագիծ իրականացնելու համար։
1) Վիրտուալ մեքենա ստեղծելուց հետո, եթե դուք խնդրել եք ISO ֆայլ, այլ ոչ թե OVA ձևանմուշ, կտեսնեք պատուհան, որտեղ ISE-ն պահանջում է, որ դուք ընտրեք տեղադրումը։ Դա անելու համար, մուտքանուն և գաղտնաբառի փոխարեն, պետք է գրել «մատչ«!
Նշում: Եթե ISE-ն տեղակայել եք OVA ձևանմուշից, ապա մուտքի տվյալները admin / MyIseYPass2 (սա և շատ ավելին նշված է պաշտոնական ).
Նկար 2. Cisco ISE-ի տեղադրում
2) Այնուհետև պետք է լրացնեք պարտադիր դաշտերը, ինչպիսիք են IP հասցեն, DNS-ը, NTP-ն և այլն։
Նկար 3. Cisco ISE-ի նախնականացում
3) Դրանից հետո սարքը կվերագործարկվի, և դուք կկարողանաք միանալ վեբ ինտերֆեյսի միջոցով նախկինում նշված IP հասցեին։
Նկար 4. Cisco ISE վեբ ինտերֆեյս
4) Ներդիրում Վարչակազմ > Համակարգ > Տեղակայում Դուք կարող եք ընտրել, թե որ հանգույցներն (էլեմենտները) են միացված որոշակի սարքի վրա։ PxGrid հանգույցը միացված է այստեղ։
Նկար 5. Cisco ISE միավորների կառավարում
5) Այնուհետև ներդիրում Վարչակազմ > Համակարգ > Ադմինիստրատորի մուտք > Authentication Խորհուրդ եմ տալիս կարգավորել գաղտնաբառի քաղաքականությունը, նույնականացման մեթոդը (վկայական կամ գաղտնաբառ), հաշվի ժամկետի ավարտը և այլ կարգավորումներ։
Նկար 6. Նույնականացման տեսակի կարգավորում
Նկար 7. Գաղտնաբառի քաղաքականության կարգավորումներ
Նկար 8. Հաշվի անջատման կարգավորումը ժամանակի ավարտից հետո
Նկար 9. Հաշվի արգելափակման կարգավորում
6) Ներդիրում Վարչակազմ > Համակարգ > Ադմինիստրատորի մուտք > Ադմինիստրատորներ > Ադմինիստրատոր օգտատերեր > Ավելացնել Դուք կարող եք ստեղծել նոր ադմինիստրատոր։
Նկար 10. Cisco ISE տեղական ադմինիստրատորի ստեղծում
7) Նոր ադմինիստրատորը կարող է դառնալ նոր խմբի կամ նախապես սահմանված խմբերի անդամ։ Ադմինիստրատորների խմբերի կառավարումն իրականացվում է նույն վահանակում՝ ներդիրում Ադմինիստրատորի խմբեր։ Աղյուսակ 2-ը ամփոփում է ISE ադմինիստրատորների, նրանց իրավունքների և դերերի մասին տեղեկատվությունը:
Աղյուսակ 2. Cisco ISE ադմինիստրատորների խմբերը, մուտքի մակարդակները, թույլտվությունները և սահմանափակումները
Ադմինիստրատորների խմբի անունը
Թույլտվություններ
Սահմանափակումները
Անհատականացման ադմինիստրատոր
Հյուրերի և հովանավորների պորտալների ստեղծում, կառավարում և անհատականացում
Քաղաքականությունը փոխելու, հաշվետվությունները դիտելու անկարողություն
Օգնության ծառայության ադմինիստրատոր
Հիմնական վահանակը, բոլոր հաշվետվությունները, ազդանշանները և խնդիրների լուծման հոսքերը դիտելու հնարավորություն
Դուք չեք կարող փոփոխել, ստեղծել կամ ջնջել հաշվետվություններ, ահազանգեր կամ նույնականացման գրանցամատյաններ։
Անձնագրերի ադմինիստրատոր
Կառավարեք օգտատերերին, արտոնությունները և դերերը, դիտեք գրանցամատյանները, հաշվետվությունները և ահազանգերը
Դուք չեք կարող փոխել քաղաքականությունները կամ կատարել առաջադրանքներ ՕՀ մակարդակում։
MnT Ադմինիստրատոր
Լրիվ մոնիթորինգ, հաշվետվություններ, ահազանգեր, գրանցամատյաններ և կառավարում
Հնարավոր չէ փոխել որևէ քաղաքականություն
Ցանցային սարքի ադմինիստրատոր
ISE օբյեկտներ ստեղծելու, փոփոխելու, գրանցամատյաններ, հաշվետվություններ, գլխավոր վահանակ դիտելու իրավունքներ
Դուք չեք կարող փոխել քաղաքականությունները կամ կատարել առաջադրանքներ ՕՀ մակարդակում։
Քաղաքականության ադմինիստրատոր
Բոլոր քաղաքականությունների լիակատար վերահսկողություն, պրոֆիլների փոփոխություն, կարգավորումներ, հաշվետվությունների դիտում
Անհնար է կատարել կարգավորումներ հավատարմագրերով, ISE օբյեկտներով
RBAC-ի ադմինիստրատոր
Բոլոր կարգավորումները «Գործողություններ» ներդիրում, ANC քաղաքականության կարգավորումներ, հաշվետվությունների կառավարում
Դուք չեք կարող փոխել ANC-ից բացի այլ քաղաքականություններ, կատարել առաջադրանքներ OS մակարդակում։
Super Admin
Բոլոր կարգավորումների, հաշվետվությունների և կառավարման իրավունքները, կարող են ջնջել և փոխել ադմինիստրատորի լիազորագրերը
Հնարավոր չէ խմբագրել կամ ջնջել մյուս պրոֆիլը Super Admin խմբից
Համակարգի ադմինիստրատոր
Բոլոր կարգավորումները «Գործողություններ» ներդիրում, համակարգի կարգավորումների կառավարում, ANC քաղաքականություն, հաշվետվությունների դիտում
Դուք չեք կարող փոխել ANC-ից բացի այլ քաղաքականություններ, կատարել առաջադրանքներ OS մակարդակում։
Արտաքին RESTful ծառայությունների (ERS) ադմինիստրատոր
Cisco ISE REST API-ին լրիվ մուտք
Միայն լիազորման համար, տեղական օգտատերերի, հոսթերի և անվտանգության խմբերի (SG) կառավարում
Արտաքին RESTful ծառայությունների (ERS) օպերատոր
Cisco ISE REST API-ի ընթերցման թույլտվություններ
Միայն լիազորման համար, տեղական օգտատերերի, հոսթերի և անվտանգության խմբերի (SG) կառավարում
Նկար 11. Cisco ISE-ի նախապես սահմանված ադմինիստրատորների խմբեր
8) ներդիրում կամընտիր Հաստատում > Թույլտվություններ > RBAC քաղաքականություն Դուք կարող եք խմբագրել նախապես տեղադրված ադմինիստրատորների իրավունքները։
Նկար 12. Cisco ISE-ի նախապես սահմանված ադմինիստրատորի պրոֆիլի իրավունքների կառավարում
9) Ներդիրում Վարչակազմ > Համակարգ > Կարգավորումներ Բոլոր համակարգի կարգավորումները հասանելի են (DNS, NTP, SMTP և այլն): Դուք կարող եք լրացնել դրանք այստեղ, եթե բաց եք թողել դրանք սարքի սկզբնական կարգավորման ժամանակ։
5. Եզրակացություն
Սա եզրափակում է առաջին հոդվածը։ Մենք քննարկեցինք Cisco ISE NAC լուծման արդյունավետությունը, դրա ճարտարապետությունը, նվազագույն պահանջները և տեղակայման տարբերակները, ինչպես նաև նախնական տեղադրումը։
Հաջորդ հոդվածում մենք կանդրադառնանք հաշիվների ստեղծմանը, Microsoft Active Directory-ի հետ ինտեգրմանը և հյուրի մուտքի հնարավորությունների ստեղծմանը։
Եթե այս թեմայի վերաբերյալ հարցեր ունեք կամ արտադրանքի փորձարկման հարցում օգնության կարիք ունեք, դիմեք .
Հետևեք թարմացումներին մեր ալիքներում (, , , , ).
Source: www.habr.com
