1. Ներածություն
Յուրաքանչյուր ընկերություն, նույնիսկ ամենափոքրը, ունի նույնականացման, թույլտվության և օգտագործողի հաշվառման կարիք (AAA արձանագրությունների ընտանիք): Սկզբնական փուլում AAA-ն բավականին լավ է իրականացվում՝ օգտագործելով այնպիսի արձանագրություններ, ինչպիսիք են RADIUS, TACACS+ և DIAMETER: Այնուամենայնիվ, քանի որ օգտատերերի և ընկերության քանակն աճում է, ավելանում է նաև առաջադրանքների քանակը՝ հոսթների և BYOD սարքերի առավելագույն տեսանելիություն, բազմագործոն նույնականացում, բազմաստիճան մուտքի քաղաքականության ստեղծում և շատ ավելին:
Նման առաջադրանքների համար լուծումների NAC (Network Access Control) դասը կատարյալ է՝ ցանցային մուտքի վերահսկում: նվիրված հոդվածաշարում (Identity Services Engine) - NAC լուծում ներքին ցանցի օգտատերերին համատեքստից տեղեկացված մուտքի հսկողություն ապահովելու համար, մենք մանրամասն կանդրադառնանք լուծման ճարտարապետությանը, տրամադրմանը, կազմաձևմանը և լիցենզավորմանը:
Հակիրճ հիշեցնեմ, որ Cisco ISE-ն թույլ է տալիս.
-
Արագ և հեշտությամբ ստեղծեք հյուրի մուտքը հատուկ WLAN-ով;
-
Հայտնաբերել BYOD սարքերը (օրինակ՝ աշխատողների տնային համակարգիչները, որոնք նրանք բերել են աշխատանքի);
-
Կենտրոնացնել և կիրառել անվտանգության քաղաքականությունը տիրույթի և ոչ տիրույթի օգտատերերի միջև՝ օգտագործելով SGT անվտանգության խմբի պիտակները );
-
Ստուգեք համակարգիչները տեղադրված որոշակի ծրագրերի և ստանդարտներին համապատասխանության համար (կեցվածքի տեղադրում);
-
Դասակարգել և պրոֆիլավորել վերջնական կետը և ցանցային սարքերը;
-
Ապահովել վերջնական կետի տեսանելիություն;
-
Օգտատերերի մուտքի/ելքի մասին իրադարձությունների տեղեկամատյանները, նրանց հաշիվները (ինքնությունը) ուղարկել NGFW՝ օգտատերերի վրա հիմնված քաղաքականություն ձևավորելու համար.
-
Ինտեգրվեք Cisco StealthWatch-ի հետ և կարանտինացրեք կասկածելի հյուրընկալողներին, որոնք ներգրավված են անվտանգության միջադեպերում ();
-
Եվ այլ առանձնահատկություններ ստանդարտ AAA սերվերների համար:
Ոլորտի գործընկերներն արդեն գրել են Cisco ISE-ի մասին, ուստի խորհուրդ եմ տալիս կարդալ. ,.
2: Արտարապետություն
Identity Services Engine ճարտարապետությունն ունի 4 միավոր (հանգույց)՝ կառավարման հանգույց (Policy Administration Node), քաղաքականության բաշխման հանգույց (Policy Service Node), մոնիտորինգի հանգույց (Monitoring Node) և PxGrid հանգույց (PxGrid Node): Cisco ISE-ն կարող է լինել ինքնուրույն կամ բաշխված տեղադրման մեջ: Standalone տարբերակում բոլոր սուբյեկտները տեղակայված են մեկ վիրտուալ մեքենայի կամ ֆիզիկական սերվերի վրա (Secure Network Servers - SNS), մինչդեռ բաշխված տարբերակում հանգույցները բաշխվում են տարբեր սարքերում:
Քաղաքականության կառավարման հանգույցը (PAN) պարտադիր հանգույց է, որը թույլ է տալիս կատարել բոլոր վարչական գործողությունները Cisco ISE-ում: Այն կարգավորում է AAA-ի հետ կապված բոլոր համակարգի կոնֆիգուրացիաները: Բաշխված կազմաձևում (հանգույցները կարող են տեղադրվել որպես առանձին վիրտուալ մեքենաներ), դուք կարող եք ունենալ առավելագույնը երկու PAN սխալների հանդուրժողականության համար՝ Active/Standby ռեժիմ:
Քաղաքականության ծառայության հանգույցը (PSN) պարտադիր հանգույց է, որն ապահովում է ցանցի հասանելիություն, վիճակ, հյուրերի մուտք, հաճախորդների սպասարկման ապահովում և պրոֆիլավորում: PSN-ը գնահատում է քաղաքականությունը և կիրառում այն: Սովորաբար, մի քանի PSN-ներ տեղադրվում են, հատկապես բաշխված կոնֆիգուրացիայի մեջ, ավելի ավելորդ և բաշխված շահագործման համար: Իհարկե, նրանք փորձում են այդ հանգույցները տեղադրել տարբեր հատվածներում, որպեսզի վայրկյան անգամ չկորցնեն վավերացված և լիազորված մուտք ապահովելու հնարավորությունը։
Մոնիտորինգի հանգույցը (MnT) պարտադիր հանգույց է, որը պահպանում է իրադարձությունների տեղեկամատյանները, այլ հանգույցների տեղեկամատյանները և ցանցի քաղաքականությունը: MnT հանգույցը ապահովում է առաջադեմ գործիքներ մոնիտորինգի և խնդիրների վերացման համար, հավաքում և փոխկապակցում է տարբեր տվյալներ, ինչպես նաև տրամադրում է բովանդակալից հաշվետվություններ: Cisco ISE-ն թույլ է տալիս ունենալ առավելագույնը երկու MnT հանգույց՝ դրանով իսկ ստեղծելով սխալների հանդուրժողականություն՝ Active/Standby ռեժիմ: Այնուամենայնիվ, տեղեկամատյանները հավաքվում են երկու հանգույցների կողմից, ինչպես ակտիվ, այնպես էլ պասիվ:
PxGrid Node-ը (PXG) հանգույց է, որն օգտագործում է PxGrid արձանագրությունը և թույլ է տալիս հաղորդակցվել այլ սարքերի միջև, որոնք աջակցում են PxGrid-ին:
— արձանագրություն, որն ապահովում է ՏՏ և տեղեկատվական անվտանգության ենթակառուցվածքի արտադրանքի ինտեգրումը տարբեր վաճառողներից՝ մոնիտորինգի համակարգեր, ներխուժման հայտնաբերման և կանխարգելման համակարգեր, անվտանգության քաղաքականության կառավարման հարթակներ և շատ այլ լուծումներ: Cisco PxGrid-ը թույլ է տալիս միակողմանի կամ երկկողմանի համատեքստը կիսել բազմաթիվ հարթակների հետ՝ առանց API-ների անհրաժեշտության, դրանով իսկ հնարավորություն տալով տեխնոլոգիան: (SGT պիտակներ), փոխեք և կիրառեք ANC (Adaptive Network Control) քաղաքականությունը, ինչպես նաև կատարեք պրոֆիլավորում՝ որոշելով սարքի մոդելը, ՕՀ, գտնվելու վայրը և այլն:
Բարձր հասանելիության կոնֆիգուրացիայի դեպքում PxGrid հանգույցները վերարտադրում են տեղեկատվությունը հանգույցների միջև PAN-ի միջոցով: Եթե PAN-ն անջատված է, PxGrid հանգույցը դադարում է նույնականացնել, լիազորել և հաշվառել օգտվողներին:
Ստորև բերված է կորպորատիվ ցանցում Cisco ISE տարբեր կազմակերպությունների գործունեության սխեմատիկ ներկայացում:
Նկար 1. Cisco ISE Architecture
3. Պահանջներ
Cisco ISE-ն կարող է իրականացվել, ինչպես ժամանակակից լուծումների մեծ մասը, վիրտուալ կամ ֆիզիկապես որպես առանձին սերվեր:
Cisco ISE ծրագրաշարով աշխատող ֆիզիկական սարքերը կոչվում են SNS (Secure Network Server): Նրանք գալիս են երեք մոդելներով՝ SNS-3615, SNS-3655 և SNS-3695 փոքր, միջին և խոշոր բիզնեսի համար: Աղյուսակ 1-ում ներկայացված են տեղեկությունները SNS.
Աղյուսակ 1. SNS-ի համեմատական աղյուսակ տարբեր մասշտաբների համար
Parameter
SNS 3615 (Փոքր)
SNS 3655 (միջին)
SNS 3695 (մեծ)
Աջակցվող վերջնակետերի քանակը ինքնուրույն տեղադրման մեջ
10000
25000
50000
Աջակցվող վերջնակետերի քանակը մեկ PSN-ի համար
10000
25000
100000
CPU (Intel Xeon 2.10 ԳՀց)
8 միջուկ
12 միջուկ
12 միջուկ
RAM
32 ԳԲ (2 x 16 ԳԲ)
96 ԳԲ (6 x 16 ԳԲ)
256 ԳԲ (16 x 16 ԳԲ)
HDD
1 x 600 ԳԲ
4 x 600 ԳԲ
8 x 600 ԳԲ
Սարքավորումներ RAID
Ոչ
RAID 10, RAID կարգավորիչի առկայություն
RAID 10, RAID կարգավորիչի առկայություն
Անցի միջերեսներ
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Ինչ վերաբերում է վիրտուալ ներդրմանը, ապա աջակցվող հիպերվիզորներն են VMware ESXi (նվազագույն VMware 11 տարբերակը ESXi 6.0-ի համար խորհուրդ է տրվում), Microsoft Hyper-V և Linux KVM (RHEL 7.0): Ռեսուրսները պետք է լինեն մոտավորապես նույնը, ինչ վերը նշված աղյուսակում կամ ավելին: Այնուամենայնիվ, փոքր բիզնեսի վիրտուալ մեքենայի համար նվազագույն պահանջներն են. 2 պրոցեսոր 2.0 ԳՀց և ավելի հաճախականությամբ, 16 ԳԲ RAM и 200 ԳԲ HDD
Cisco ISE-ի տեղակայման այլ մանրամասների համար դիմեք կամ դեպի , .
4. Տեղադրում
Ինչպես Cisco-ի այլ արտադրանքներից շատերը, ISE-ն կարող է փորձարկվել մի քանի եղանակով.
-
– նախապես տեղադրված լաբորատոր դասավորությունների ամպային ծառայություն (պահանջվում է Cisco հաշիվ);
-
- հարցում Cisco-ի որոշակի ծրագրակազմ (գործընկերների մեթոդ): Դուք ստեղծում եք պատյան հետևյալ բնորոշ նկարագրությամբ. Ապրանքի տեսակը [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— կապվեք ցանկացած լիազորված գործընկերոջ հետ՝ անվճար փորձնական ծրագիր իրականացնելու համար:
1) Վիրտուալ մեքենա ստեղծելուց հետո, եթե պահանջել եք ISO ֆայլ և ոչ թե OVA ձևանմուշ, կբացվի պատուհան, որտեղ ISE-ը պահանջում է, որ դուք ընտրեք տեղադրում: Դա անելու համար ձեր մուտքի և գաղտնաբառի փոխարեն պետք է գրել «մատչ«!
Նշում: եթե դուք տեղադրել եք ISE-ը OVA ձևանմուշից, ապա մուտքի մանրամասները admin/MyIseYPass2 (այս և շատ ավելին նշված է պաշտոնատար անձի մեջ ).
Նկար 2. Cisco ISE-ի տեղադրում
2) Այնուհետև դուք պետք է լրացնեք պահանջվող դաշտերը, ինչպիսիք են IP հասցեն, DNS, NTP և այլն:
Նկար 3. Cisco ISE-ի սկզբնավորումը
3) Դրանից հետո սարքը կվերագործարկվի, և դուք կկարողանաք միանալ վեբ ինտերֆեյսի միջոցով՝ օգտագործելով նախկինում նշված IP հասցեն:
Նկար 4. Cisco ISE վեբ ինտերֆեյս
4) Ներդիրում Կառավարում > Համակարգ > Տեղակայում դուք կարող եք ընտրել, թե որ հանգույցները (սուբյեկտները) միացված են որոշակի սարքի վրա: PxGrid հանգույցը միացված է այստեղ:
Նկար 5. Cisco ISE կազմակերպությունների կառավարում
5) Այնուհետև ներդիրում Ադմինիստրացիա > Համակարգ > Ադմինիստրատորի մուտք > Authentication Ես խորհուրդ եմ տալիս ստեղծել գաղտնաբառի քաղաքականություն, նույնականացման մեթոդ (վկայական կամ գաղտնաբառ), հաշվի գործողության ժամկետը և այլ կարգավորումներ:
Նկար 6. Նույնականացման տիպի կարգավորումՆկար 7. Գաղտնաբառի քաղաքականության կարգավորումներՆկար 8. Ժամանակի ավարտից հետո հաշվի անջատման կարգավորումՆկար 9. Հաշվի կողպման կարգավորում
6) Ներդիրում Ադմինիստրացիա > Համակարգ > Ադմինիստրատորի մուտք > Ադմինիստրատորներ > Ադմինիստրատորի օգտվողներ > Ավելացնել դուք կարող եք ստեղծել նոր ադմինիստրատոր:
Նկար 10. Տեղական Cisco ISE ադմինիստրատորի ստեղծում
7) Նոր ադմինիստրատորը կարող է դառնալ նոր խմբի կամ արդեն նախապես սահմանված խմբերի մաս: Ադմինիստրատորների խմբերը կառավարվում են ներդիրի նույն վահանակում Ադմինիստրատորի խմբեր. Աղյուսակ 2-ում ամփոփված են ISE ադմինիստրատորների, նրանց իրավունքների և դերերի մասին տեղեկությունները:
Աղյուսակ 2. Cisco ISE ադմինիստրատորների խմբեր, մուտքի մակարդակներ, թույլտվություններ և սահմանափակումներ
Ադմինիստրատորի խմբի անունը
Թույլտվություններ
Սահմանափակումները
Անհատականացման ադմինիստրատոր
Հյուրերի և հովանավորչական պորտալների ստեղծում, կառավարում և հարմարեցում
Քաղաքականությունը փոխելու կամ հաշվետվությունները դիտելու անկարողությունը
Helpdesk ադմինիստրատոր
Հիմնական վահանակը, բոլոր հաշվետվությունները, լարերը և անսարքությունների վերացման հոսքերը դիտելու հնարավորություն
Դուք չեք կարող փոխել, ստեղծել կամ ջնջել հաշվետվությունները, ահազանգերը և նույնականացման մատյանները
Ինքնության ադմին
Օգտագործողների, արտոնությունների և դերերի կառավարում, տեղեկամատյաններ, հաշվետվություններ և ահազանգեր դիտելու հնարավորություն
Դուք չեք կարող փոխել քաղաքականությունը կամ կատարել առաջադրանքներ ՕՀ մակարդակում
MnT ադմին
Ամբողջական մոնիտորինգ, հաշվետվություններ, ահազանգեր, տեղեկամատյաններ և դրանց կառավարում
Որևէ քաղաքականություն փոխելու անկարողություն
Ցանցային սարքի ադմինիստրատոր
ISE օբյեկտներ ստեղծելու և փոխելու իրավունքներ, դիտելու տեղեկամատյանները, հաշվետվությունները, հիմնական վահանակը
Դուք չեք կարող փոխել քաղաքականությունը կամ կատարել առաջադրանքներ ՕՀ մակարդակում
Քաղաքականության ադմին
Բոլոր քաղաքականությունների ամբողջական կառավարում, պրոֆիլների, կարգավորումների փոփոխում, հաշվետվությունների դիտում
հավատարմագրերով, ISE օբյեկտներով կարգավորումներ կատարելու անկարողություն
RBAC ադմին
Գործողությունների ներդիրի բոլոր կարգավորումները, ANC քաղաքականության կարգավորումները, հաշվետվությունների կառավարումը
Դուք չեք կարող փոխել այլ քաղաքականություն, բացի ANC-ից կամ կատարել առաջադրանքներ OS մակարդակով
Super Admin
Բոլոր կարգավորումների, հաշվետվությունների և կառավարման իրավունքները կարող են ջնջել և փոխել ադմինիստրատորի հավատարմագրերը
Հնարավոր չէ փոխել, ջնջել մեկ այլ պրոֆիլ Super Admin խմբից
Համակարգի կառավարիչ
Գործողությունների ներդիրի բոլոր կարգավորումները, համակարգի կարգավորումների կառավարում, ANC քաղաքականություն, հաշվետվությունների դիտում
Դուք չեք կարող փոխել այլ քաղաքականություն, բացի ANC-ից կամ կատարել առաջադրանքներ OS մակարդակով
Արտաքին Հանգստացնող Ծառայություններ (ERS) Ադմին
Ամբողջական մուտք դեպի Cisco ISE REST API
Միայն տեղական օգտատերերի, հյուրընկալողների և անվտանգության խմբերի (SG) թույլտվության, կառավարման համար
Արտաքին RESTful Services (ERS) օպերատոր
Cisco ISE REST API-ի ընթերցման թույլտվությունները
Միայն տեղական օգտատերերի, հյուրընկալողների և անվտանգության խմբերի (SG) թույլտվության, կառավարման համար
Նկար 11. Նախապես սահմանված Cisco ISE ադմինիստրատորի խմբեր
8) ներդիրում կամընտիր Թույլտվություն > Թույլտվություններ > RBAC քաղաքականություն Դուք կարող եք խմբագրել նախապես սահմանված ադմինիստրատորների իրավունքները:
Նկար 12. Cisco ISE ադմինիստրատորի Նախադրված պրոֆիլի իրավունքների կառավարում
9) Ներդիրում Կառավարում > Համակարգ > Պարամետրեր Համակարգի բոլոր կարգավորումները հասանելի են (DNS, NTP, SMTP և այլն): Դուք կարող եք դրանք լրացնել այստեղ, եթե դրանք բաց եք թողել սարքի սկզբնական սկզբնավորման ժամանակ:
5. Եզրակացություն
Սա եզրափակում է առաջին հոդվածը: Մենք քննարկեցինք Cisco ISE NAC լուծման արդյունավետությունը, դրա ճարտարապետությունը, նվազագույն պահանջները և տեղակայման տարբերակները և նախնական տեղադրումը:
Հաջորդ հոդվածում մենք կանդրադառնանք հաշիվների ստեղծմանը, Microsoft Active Directory-ի հետ ինտեգրմանը և հյուրերի մուտքի ստեղծմանը:
Եթե այս թեմայի վերաբերյալ հարցեր ունեք կամ արտադրանքի փորձարկման հարցում օգնության կարիք ունեք, դիմեք .
Հետևեք թարմացումներին մեր ալիքներում (, , , , ).
Source: www.habr.com