Cisco ISE: Inngangur, kröfur, uppsetning. 1. hluti
1. Inngangur
Sérhvert fyrirtæki, jafnvel það minnsta, hefur þörf fyrir auðkenningu, heimild og notendabókhald (AAA-samskiptareglur). Á upphafsstigi er AAA nokkuð vel útfært með því að nota samskiptareglur eins og RADIUS, TACACS+ og DIAMETER. Hins vegar, eftir því sem notendum og fyrirtækinu fjölgar, fjölgar verkefnum líka: hámarkssýnileiki gestgjafa og BYOD tækja, fjölþátta auðkenningar, að búa til fjölþrepa aðgangsstefnu og margt fleira.
Fyrir slík verkefni er NAC (Network Access Control) flokkurinn af lausnum fullkominn - netaðgangsstýring. Í röð greina tileinkað Cisco ISE (Identity Services Engine) - NAC lausn til að veita notendum á innra netinu samhengismeðvitaða aðgangsstýringu, við munum skoða arkitektúr, útvegun, uppsetningu og leyfisveitingu lausnarinnar ítarlega.
Leyfðu mér að minna þig stuttlega á að Cisco ISE gerir þér kleift að:
Búðu til gestaaðgang fljótt og auðveldlega á sérstöku þráðlausu staðarneti;
Finndu BYOD tæki (til dæmis heimilistölvur starfsmanna sem þeir komu með í vinnuna);
Miðstýrðu og framfylgdu öryggisreglum þvert á lénsnotendur og notendur utan léns með því að nota SGT öryggishópamerki TrustSec);
Athugaðu tölvur fyrir tiltekinn hugbúnað sem er uppsettur og samræmi við staðla (staða);
Flokka og gera grein fyrir endapunkti og netbúnaði;
Veita sýnileika endapunkta;
Senda atburðaskrár um innskráningu/útskráningu notenda, reikninga þeirra (auðkenni) til NGFW til að mynda notendatengda stefnu;
Samþættu innbyggt með Cisco StealthWatch og settu grunsamlega gestgjafa sem taka þátt í öryggisatvikum í sóttkví (meira);
Identity Services Engine arkitektúrinn hefur 4 einingar (hnúta): stjórnunarhnút (Policy Administration Node), stefnudreifingarhnút (Policy Service Node), vöktunarhnút (Monitoring Node) og PxGrid hnút (PxGrid Node). Cisco ISE getur verið í sjálfstæðri eða dreifðri uppsetningu. Í sjálfstæðu útgáfunni eru allar einingar staðsettar á einni sýndarvél eða líkamlegum netþjóni (Secure Network Servers - SNS), en í dreifðu útgáfunni er hnútunum dreift á mismunandi tæki.
Policy Administration Node (PAN) er nauðsynlegur hnútur sem gerir þér kleift að framkvæma allar stjórnunaraðgerðir á Cisco ISE. Það sér um allar kerfisstillingar sem tengjast AAA. Í dreifðri uppsetningu (hægt að setja upp hnúta sem aðskildar sýndarvélar) geturðu haft að hámarki tvö PAN fyrir bilanaþol - Virk/Biðstaða.
Policy Service Node (PSN) er lögboðinn hnútur sem veitir netaðgang, ástand, gestaaðgang, útvegun viðskiptavina og prófílgreiningu. PSN metur stefnuna og beitir henni. Venjulega eru mörg PSN sett upp, sérstaklega í dreifðri uppsetningu, fyrir óþarfa og dreifðari aðgerð. Auðvitað reyna þeir að setja upp þessa hnúta í mismunandi hlutum til að missa ekki getu til að veita staðfestan og viðurkenndan aðgang í eina sekúndu.
Vöktunarhnútur (MnT) er lögboðinn hnút sem geymir atburðaskrár, skrár yfir aðra hnúta og stefnur á netinu. MnT hnúturinn veitir háþróuð verkfæri til að fylgjast með og bilanaleit, safnar og tengir ýmis gögn og veitir einnig þýðingarmiklar skýrslur. Cisco ISE gerir þér kleift að hafa að hámarki tvo MnT hnúta og skapar þar með bilanaþol - Virkur/biðhamur. Hins vegar er annálum safnað af báðum hnútum, bæði virkum og óvirkum.
PxGrid Node (PXG) er hnútur sem notar PxGrid samskiptareglur og gerir samskipti milli annarra tækja sem styðja PxGrid.
PxGrid — siðareglur sem tryggir samþættingu upplýsingatækni- og upplýsingaöryggisinnviðavara frá mismunandi söluaðilum: eftirlitskerfi, uppgötvunar- og varnarkerfi fyrir innbrot, stjórnunarkerfi öryggisstefnu og margar aðrar lausnir. Cisco PxGrid gerir þér kleift að deila samhengi í einstefnu eða tvíátta með mörgum kerfum án þess að þurfa API, og gerir þannig tæknina kleift TrustSec (SGT tags), breyttu og beittu ANC (Adaptive Network Control) stefnu, sem og framkvæma prófílgreiningu - ákvarða gerð tækisins, stýrikerfi, staðsetningu og fleira.
Í uppsetningu með mikilli framboði endurtaka PxGrid hnútar upplýsingar milli hnúta yfir PAN. Ef PAN er óvirkt hættir PxGrid hnúturinn að auðkenna, heimila og gera bókhald fyrir notendur.
Hér að neðan er skýringarmynd af rekstri mismunandi Cisco ISE aðila í fyrirtækjaneti.
Mynd 1. Cisco ISE arkitektúr
3. Kröfur
Cisco ISE er hægt að útfæra, eins og flestar nútímalausnir, nánast eða líkamlega sem sérstakan netþjón.
Líkamleg tæki sem keyra Cisco ISE hugbúnað kallast SNS (Secure Network Server). Þeir koma í þremur gerðum: SNS-3615, SNS-3655 og SNS-3695 fyrir lítil, meðalstór og stór fyrirtæki. Tafla 1 sýnir upplýsingar frá gagnablað SNS.
Tafla 1. Samanburðartafla SNS fyrir mismunandi mælikvarða
Viðfang
SNS 3615 (lítið)
SNS 3655 (miðlungs)
SNS 3695 (stór)
Fjöldi studdra endapunkta í sjálfstæðri uppsetningu
10000
25000
50000
Fjöldi studdra endapunkta á hvert PSN
10000
25000
100000
Örgjörvi (Intel Xeon 2.10 GHz)
8 kjarna
12 kjarna
12 kjarna
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID vélbúnaðar
No
RAID 10, tilvist RAID stjórnandi
RAID 10, tilvist RAID stjórnandi
Netviðmót
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Varðandi sýndarútfærslur eru studdu hypervisors VMware ESXi (mælt er með lágmarks VMware útgáfu 11 fyrir ESXi 6.0), Microsoft Hyper-V og Linux KVM (RHEL 7.0). Tilföng ættu að vera um það bil þau sömu og í töflunni hér að ofan, eða meira. Hins vegar eru lágmarkskröfur fyrir sýndarvél fyrir lítil fyrirtæki: 2 CPU með tíðni 2.0 GHz og hærri, 16 GB vinnsluminni и 200 GBHDD.
Fyrir aðrar upplýsingar um uppsetningu Cisco ISE, vinsamlegast hafðu samband til okkar eða til úrræði #1, úrræði #2.
4. Uppsetning
Eins og flestar aðrar Cisco vörur er hægt að prófa ISE á nokkra vegu:
dský – skýjaþjónusta fyrir uppsettar rannsóknarstofuuppsetningar (Cisco reikningur krafist);
GVE beiðni - beiðni frá síða Cisco af ákveðnum hugbúnaði (aðferð fyrir samstarfsaðila). Þú býrð til mál með eftirfarandi dæmigerða lýsingu: Vörutegund [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
tilraunaverkefni — hafðu samband við hvaða viðurkennda samstarfsaðila sem er til að framkvæma ókeypis tilraunaverkefni.
1) Eftir að hafa búið til sýndarvél, ef þú baðst um ISO skrá en ekki OVA sniðmát, birtist gluggi þar sem ISE krefst þess að þú veljir uppsetningu. Til að gera þetta, í stað notandanafns og lykilorðs, ættir þú að skrifa "skipulag“!
Ath: ef þú notaðir ISE frá OVA sniðmáti, þá eru innskráningarupplýsingarnar admin/MyIseYPass2 (þetta og margt fleira er tilgreint í opinberu leiðarvísir).
Mynd 2. Uppsetning Cisco ISE
2) Þá ættir þú að fylla út nauðsynlega reiti eins og IP tölu, DNS, NTP og fleira.
Mynd 3. Frumstilling Cisco ISE
3) Eftir það mun tækið endurræsa og þú munt geta tengst í gegnum vefviðmótið með því að nota áður tilgreinda IP tölu.
Mynd 4. Cisco ISE vefviðmót
4) Í flipa Stjórnun > Kerfi > Uppsetning þú getur valið hvaða hnútar (einingar) eru virkjaðir á tilteknu tæki. PxGrid hnúturinn er virkur hér.
Mynd 5. Cisco ISE Entity Management
5) Síðan í flipa Stjórnun > Kerfi > Aðgangur stjórnanda >Auðkenning Ég mæli með að setja upp lykilorðastefnu, auðkenningaraðferð (vottorð eða lykilorð), gildistíma reiknings og aðrar stillingar.
Mynd 6. Authentication type stillingMynd 7. Stillingar lykilorðastefnuMynd 8. Uppsetning á lokun reiknings eftir að tíminn rennur útMynd 9. Uppsetning reikningslæsingar
6) Í flipa Stjórnun > Kerfi > Aðgangur stjórnanda > Stjórnendur > Stjórnendur notendur > Bæta við þú getur búið til nýjan stjórnanda.
Mynd 10. Að búa til staðbundinn Cisco ISE stjórnanda
7) Nýja stjórnandann getur verið hluti af nýjum hópi eða þegar fyrirfram skilgreindum hópum. Stjórnandahópum er stjórnað á sama spjaldi í flipanum Stjórnunarhópar. Í töflu 2 eru teknar saman upplýsingar um stjórnendur ISE, réttindi þeirra og hlutverk.
Tafla 2. Cisco ISE stjórnendahópar, aðgangsstig, heimildir og takmarkanir
Nafn stjórnandahóps
Leyfi
Takmarkanir
Aðlögunarstjóri
Uppsetning gesta- og styrktargátta, umsýsla og aðlögun
Vanhæfni til að breyta stefnu eða skoða skýrslur
Stjórnandi þjónustuver
Geta til að skoða aðal mælaborðið, allar skýrslur, larms og bilanaleitarstrauma
Þú getur ekki breytt, búið til eða eytt skýrslum, viðvörunum og auðkenningarskrám
Identity Admin
Stjórna notendum, forréttindum og hlutverkum, getu til að skoða annála, skýrslur og viðvörun
Þú getur ekki breytt stefnum eða framkvæmt verkefni á stýrikerfisstigi
MnT stjórnandi
Fullt eftirlit, skýrslur, viðvörun, logs og stjórnun þeirra
Vanhæfni til að breyta neinni stefnu
Stjórnandi nettækja
Réttindi til að búa til og breyta ISE hlutum, skoða logs, skýrslur, aðal mælaborði
Þú getur ekki breytt stefnum eða framkvæmt verkefni á stýrikerfisstigi
Stefna stjórnandi
Full stjórnun á öllum stefnum, breyttum prófílum, stillingum, skoðun á skýrslum
Vanhæfni til að framkvæma stillingar með skilríkjum, ISE hlutum
RBAC stjórnandi
Allar stillingar á flipanum Aðgerðir, ANC stefnustillingar, skýrslustjórnun
Þú getur ekki breytt stefnum öðrum en ANC eða framkvæmt verkefni á stýrikerfisstigi
Super Admin
Réttindi til allra stillinga, skýrslugerðar og stjórnun, geta eytt og breytt skilríkjum stjórnanda
Get ekki breytt, eyddu öðrum prófíl úr ofurstjórnandahópnum
Kerfisstjóri
Allar stillingar á Rekstur flipanum, stjórnun kerfisstillinga, ANC stefnu, skoða skýrslur
Þú getur ekki breytt stefnum öðrum en ANC eða framkvæmt verkefni á stýrikerfisstigi
Ytri RESTful Services (ERS) Admin
Fullur aðgangur að Cisco ISE REST API
Aðeins fyrir heimild, stjórnun staðbundinna notenda, gestgjafa og öryggishópa (SG)
Ytri RESTful Services (ERS) rekstraraðili
Lesheimildir Cisco ISE REST API
Aðeins fyrir heimild, stjórnun staðbundinna notenda, gestgjafa og öryggishópa (SG)
Mynd 11. Forskilgreind Cisco ISE Administrator Groups
8) Aukaatriði í flipanum Heimild > Leyfi > RBAC stefna Þú getur breytt réttindum fyrirfram skilgreindra stjórnenda.
Mynd 12. Cisco ISE Administrator Forstillt prófílsréttindastjórnun
9) Í flipa Stjórnun > Kerfi > StillingarAllar kerfisstillingar eru tiltækar (DNS, NTP, SMTP og fleiri). Þú getur fyllt þær út hér ef þú misstir af þeim við upphaflega frumstillingu tækisins.
5. Niðurstaða
Þar með lýkur fyrstu greininni. Við ræddum skilvirkni Cisco ISE NAC lausnarinnar, arkitektúr hennar, lágmarkskröfur og dreifingarvalkosti og fyrstu uppsetningu.
Í næstu grein munum við skoða að búa til reikninga, samþætta við Microsoft Active Directory og búa til gestaaðgang.
Ef þú hefur einhverjar spurningar um þetta efni eða þarft aðstoð við að prófa vöruna, vinsamlegast hafðu samband tengill.