1. Pendahuluan
Setiap perusahaan, bahkan perusahaan terkecil sekalipun, memiliki kebutuhan akan otentikasi, otorisasi, dan akuntansi pengguna (keluarga protokol AAA). Pada tahap awal, AAA diimplementasikan dengan cukup baik menggunakan protokol seperti RADIUS, TACACS+ dan DIAMETER. Namun, seiring bertambahnya jumlah pengguna dan perusahaan, jumlah tugas juga bertambah: visibilitas maksimum host dan perangkat BYOD, otentikasi multi-faktor, pembuatan kebijakan akses multi-level, dan banyak lagi.
Untuk tugas seperti itu, kelas solusi NAC (Kontrol Akses Jaringan) sangat cocok - kontrol akses jaringan. Dalam serangkaian artikel yang didedikasikan untuk (Mesin Layanan Identitas) - Solusi NAC untuk menyediakan kontrol akses sadar konteks kepada pengguna di jaringan internal, kami akan melihat secara mendetail arsitektur, penyediaan, konfigurasi, dan lisensi solusi tersebut.
Izinkan saya mengingatkan Anda secara singkat bahwa Cisco ISE memungkinkan Anda untuk:
-
Membuat akses tamu dengan cepat dan mudah pada WLAN khusus;
-
Mendeteksi perangkat BYOD (misalnya, PC rumah karyawan yang mereka bawa ke kantor);
-
Sentralisasikan dan terapkan kebijakan keamanan di seluruh pengguna domain dan non-domain menggunakan label grup keamanan SGT );
-
Periksa komputer untuk perangkat lunak tertentu yang diinstal dan kepatuhan terhadap standar (postur);
-
Mengklasifikasikan dan membuat profil titik akhir dan perangkat jaringan;
-
Memberikan visibilitas titik akhir;
-
Kirim log peristiwa logon/logoff pengguna, akun mereka (identitas) ke NGFW untuk membentuk kebijakan berbasis pengguna;
-
Integrasikan secara asli dengan Cisco StealthWatch dan karantina host mencurigakan yang terlibat dalam insiden keamanan ();
-
Dan fitur lainnya standar untuk server AAA.
Rekan-rekan di industri sudah menulis tentang Cisco ISE, jadi saya menyarankan Anda untuk membaca: ,.
2. Arsitektur
Arsitektur Mesin Layanan Identitas memiliki 4 entitas (node): simpul manajemen (Node Administrasi Kebijakan), simpul distribusi kebijakan (Node Layanan Kebijakan), simpul pemantauan (Node Pemantauan), dan simpul PxGrid (Node PxGrid). Cisco ISE dapat dalam instalasi mandiri atau terdistribusi. Dalam versi Standalone, semua entitas berlokasi di satu mesin virtual atau server fisik (Server Jaringan Aman - SNS), sedangkan dalam versi Terdistribusi, node didistribusikan ke perangkat yang berbeda.
Node Administrasi Kebijakan (PAN) adalah node wajib yang memungkinkan Anda melakukan semua operasi administratif pada Cisco ISE. Ini menangani semua konfigurasi sistem yang terkait dengan AAA. Dalam konfigurasi terdistribusi (node ββdapat diinstal sebagai mesin virtual terpisah), Anda dapat memiliki maksimal dua PAN untuk toleransi kesalahan - Mode Aktif/Siaga.
Node Layanan Kebijakan (PSN) adalah node wajib yang menyediakan akses jaringan, status, akses tamu, penyediaan layanan klien, dan pembuatan profil. PSN mengevaluasi kebijakan tersebut dan menerapkannya. Biasanya, beberapa PSN dipasang, terutama dalam konfigurasi terdistribusi, untuk operasi yang lebih redundan dan terdistribusi. Tentu saja, mereka mencoba memasang node ini di segmen yang berbeda agar tidak kehilangan kemampuan untuk memberikan akses yang diautentikasi dan diotorisasi sedetik pun.
Node Pemantauan (MnT) adalah node wajib yang menyimpan log peristiwa, log node lain, dan kebijakan di jaringan. Node MnT menyediakan alat canggih untuk memantau dan memecahkan masalah, mengumpulkan dan menghubungkan berbagai data, dan juga memberikan laporan yang bermakna. Cisco ISE memungkinkan Anda memiliki maksimal dua node MnT, sehingga menciptakan toleransi kesalahan - Mode Aktif/Siaga. Namun, log dikumpulkan oleh kedua node, baik aktif maupun pasif.
PxGrid Node (PXG) adalah node yang menggunakan protokol PxGrid dan memungkinkan komunikasi antar perangkat lain yang mendukung PxGrid.
β protokol yang memastikan integrasi produk infrastruktur keamanan TI dan informasi dari vendor yang berbeda: sistem pemantauan, sistem deteksi dan pencegahan intrusi, platform manajemen kebijakan keamanan, dan banyak solusi lainnya. Cisco PxGrid memungkinkan Anda berbagi konteks secara searah atau dua arah dengan banyak platform tanpa memerlukan API, sehingga memungkinkan teknologi tersebut (Tag SGT), mengubah dan menerapkan kebijakan ANC (Kontrol Jaringan Adaptif), serta melakukan pembuatan profil - menentukan model perangkat, OS, lokasi, dan lainnya.
Dalam konfigurasi ketersediaan tinggi, node PxGrid mereplikasi informasi antar node melalui PAN. Jika PAN dinonaktifkan, node PxGrid berhenti mengautentikasi, mengotorisasi, dan menghitung pengguna.
Di bawah ini adalah representasi skematis dari pengoperasian berbagai entitas Cisco ISE dalam jaringan perusahaan.
Gambar 1. Arsitektur Cisco ISE
3. Persyaratan
Cisco ISE dapat diimplementasikan, seperti kebanyakan solusi modern, secara virtual atau fisik sebagai server terpisah.
Perangkat fisik yang menjalankan perangkat lunak Cisco ISE disebut SNS (Secure Network Server). Mereka hadir dalam tiga model: SNS-3615, SNS-3655 dan SNS-3695 untuk usaha kecil, menengah dan besar. Tabel 1 menunjukkan informasi dari SNS.
Tabel 1. Tabel perbandingan SNS untuk skala yang berbeda
Parameter
SNS 3615 (Kecil)
SNS 3655 (Sedang)
SNS 3695 (Besar)
Jumlah titik akhir yang didukung dalam instalasi Mandiri
10000
25000
50000
Jumlah titik akhir yang didukung per PSN
10000
25000
100000
CPU (Intel Xeon 2.10GHz)
8 core
12 core
12 core
RAM
32GB (2x16GB)
96GB (6x16GB)
256GB (16x16GB)
HDD
1x600 GB
4x600 GB
8x600 GB
RAID perangkat keras
Tidak
RAID 10, kehadiran pengontrol RAID
RAID 10, kehadiran pengontrol RAID
Antarmuka jaringan
2x10Gbase-T
4x1Gbase-T
2x10Gbase-T
4x1Gbase-T
2x10Gbase-T
4x1Gbase-T
Mengenai implementasi virtual, hypervisor yang didukung adalah VMware ESXi (disarankan minimal VMware versi 11 untuk ESXi 6.0), Microsoft Hyper-V, dan Linux KVM (RHEL 7.0). Sumber daya harus kurang lebih sama seperti pada tabel di atas, atau lebih. Namun, persyaratan minimum untuk mesin virtual bisnis kecil adalah: CPU 2 dengan frekuensi 2.0 GHz dan lebih tinggi, RAM 16GB ΠΈ 200 GB HDD
Untuk detail penerapan Cisco ISE lainnya, silakan hubungi atau untuk , .
4. Instalasi
Seperti kebanyakan produk Cisco lainnya, ISE dapat diuji dengan beberapa cara:
-
β layanan cloud tata letak laboratorium yang sudah diinstal sebelumnya (diperlukan akun Cisco);
-
β permintaan dari Cisco perangkat lunak tertentu (metode untuk mitra). Anda membuat kasus dengan deskripsi umum berikut: Jenis produk [ISE], Perangkat Lunak ISE [ise-2.7.0.356.SPA.x8664], Patch ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
β menghubungi mitra resmi mana pun untuk melakukan proyek percontohan gratis.
1) Setelah membuat mesin virtual, jika Anda meminta file ISO dan bukan template OVA, sebuah jendela akan muncul di mana ISE mengharuskan Anda memilih instalasi. Untuk melakukan ini, alih-alih login dan kata sandi Anda, Anda harus menulis βpenyiapanβ!
Catatan: jika Anda menyebarkan ISE dari template OVA, maka detail loginnya admin/MyIseYPass2 (ini dan banyak lagi ditunjukkan dalam pejabat ).
Gambar 2. Menginstal Cisco ISE
2) Kemudian Anda harus mengisi kolom yang wajib diisi seperti alamat IP, DNS, NTP dan lain-lain.
Gambar 3. Inisialisasi Cisco ISE
3) Setelah itu, perangkat akan reboot dan Anda akan dapat terhubung melalui antarmuka web menggunakan alamat IP yang ditentukan sebelumnya.
Gambar 4. Antarmuka Web Cisco ISE
4) Di tab Administrasi > Sistem > Penerapan Anda dapat memilih node (entitas) mana yang diaktifkan pada perangkat tertentu. Node PxGrid diaktifkan di sini.
Gambar 5. Manajemen Entitas Cisco ISE
5) Kemudian di tab Administrasi > Sistem > Akses Admin > Otentikasi Saya sarankan untuk mengatur kebijakan kata sandi, metode otentikasi (sertifikat atau kata sandi), tanggal kedaluwarsa akun, dan pengaturan lainnya.
Gambar 6. Pengaturan jenis otentikasiGambar 7. Pengaturan kebijakan kata sandiGambar 8. Menyiapkan penutupan akun setelah waktu habisGambar 9. Menyiapkan penguncian akun
6) Di tab Administrasi > Sistem > Akses Admin > Administrator > Pengguna Admin > Tambah Anda dapat membuat administrator baru.
Gambar 10. Membuat Administrator ISE Cisco Lokal
7) Pengurus baru dapat dijadikan bagian dari grup baru atau grup yang sudah ditentukan sebelumnya. Grup administrator dikelola di panel yang sama di tab Grup Admin. Tabel 2 merangkum informasi tentang administrator ISE, hak dan peran mereka.
Tabel 2. Grup Administrator Cisco ISE, Tingkat Akses, Izin, dan Pembatasan
Nama grup administrator
Izin
Pembatasan
Admin Kustomisasi
Menyiapkan portal tamu dan sponsor, administrasi dan penyesuaian
Ketidakmampuan untuk mengubah kebijakan atau melihat laporan
Admin Meja Bantuan
Kemampuan untuk melihat dasbor utama, semua laporan, peringatan, dan aliran pemecahan masalah
Anda tidak dapat mengubah, membuat atau menghapus laporan, alarm, dan log autentikasi
Admin Identitas
Mengelola pengguna, hak istimewa dan peran, kemampuan untuk melihat log, laporan, dan alarm
Anda tidak dapat mengubah kebijakan atau melakukan tugas di tingkat OS
Admin Min
Pemantauan penuh, laporan, alarm, log dan manajemennya
Ketidakmampuan untuk mengubah kebijakan apa pun
Admin Perangkat Jaringan
Hak untuk membuat dan mengubah objek ISE, melihat log, laporan, dashboard utama
Anda tidak dapat mengubah kebijakan atau melakukan tugas di tingkat OS
Admin Kebijakan
Manajemen penuh atas semua kebijakan, mengubah profil, pengaturan, melihat laporan
Ketidakmampuan untuk melakukan pengaturan dengan kredensial, objek ISE
Admin RBAC
Semua pengaturan di tab Operasi, pengaturan kebijakan ANC, manajemen pelaporan
Anda tidak dapat mengubah kebijakan selain ANC atau melakukan tugas di tingkat OS
Super Admin
Hak atas semua pengaturan, pelaporan dan manajemen, dapat menghapus dan mengubah kredensial administrator
Tidak dapat mengubah, hapus profil lain dari grup Admin Super
Sistem Admin
Semua pengaturan di tab Operasi, pengelolaan pengaturan sistem, kebijakan ANC, melihat laporan
Anda tidak dapat mengubah kebijakan selain ANC atau melakukan tugas di tingkat OS
Admin Layanan RESTful Eksternal (ERS).
Akses penuh ke Cisco ISE REST API
Hanya untuk otorisasi, pengelolaan pengguna lokal, host, dan grup keamanan (SG)
Operator Layanan RESTful Eksternal (ERS).
Izin Baca Cisco ISE REST API
Hanya untuk otorisasi, pengelolaan pengguna lokal, host, dan grup keamanan (SG)
Gambar 11. Grup Administrator Cisco ISE yang telah ditentukan sebelumnya
8) Opsional di tab Otorisasi > Izin > Kebijakan RBAC Anda dapat mengedit hak administrator yang telah ditentukan sebelumnya.
Gambar 12. Manajemen Hak Profil Preset Administrator Cisco ISE
9) Di tab Administrasi > Sistem > Pengaturan Semua pengaturan sistem tersedia (DNS, NTP, SMTP dan lainnya). Anda dapat mengisinya di sini jika Anda melewatkannya saat inisialisasi awal perangkat.
5. Kesimpulan
Ini menyimpulkan artikel pertama. Kami membahas efektivitas solusi Cisco ISE NAC, arsitekturnya, persyaratan minimum dan opsi penerapan, serta instalasi awal.
Pada artikel berikutnya, kita akan melihat cara membuat akun, mengintegrasikan dengan Microsoft Active Directory, dan membuat akses tamu.
Jika Anda memiliki pertanyaan tentang topik ini atau memerlukan bantuan untuk menguji produk, silakan hubungi .
Nantikan pembaruan di saluran kami (, , , , ).
Sumber: www.habr.com