ProHoster > Blog > Stjórnsýsla > Cisco ISE: Inngangur, kröfur, uppsetning. 1. hluti

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hluti

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hluti

1. Inngangur

Sérhvert fyrirtæki, jafnvel það minnsta, hefur þörf fyrir auðkenningu, heimild og notendabókhald (AAA-samskiptareglur). Á upphafsstigi er AAA nokkuð vel útfært með því að nota samskiptareglur eins og RADIUS, TACACS+ og DIAMETER. Hins vegar, eftir því sem notendum og fyrirtækinu fjölgar, fjölgar verkefnum líka: hámarkssýnileiki gestgjafa og BYOD tækja, fjölþátta auðkenningar, að búa til fjölþrepa aðgangsstefnu og margt fleira.

Fyrir slík verkefni er NAC (Network Access Control) flokkurinn af lausnum fullkominn - netaðgangsstýring. Í röð greina tileinkað Cisco ISE (Identity Services Engine) - NAC lausn til að veita notendum á innra netinu samhengismeðvitaða aðgangsstýringu, við munum skoða arkitektúr, útvegun, uppsetningu og leyfisveitingu lausnarinnar ítarlega.

Leyfðu mér að minna þig stuttlega á að Cisco ISE gerir þér kleift að:

  • Búðu til gestaaðgang fljótt og auðveldlega á sérstöku þráðlausu staðarneti;

  • Finndu BYOD tæki (til dæmis heimilistölvur starfsmanna sem þeir komu með í vinnuna);

  • Miðstýrðu og framfylgdu öryggisreglum þvert á lénsnotendur og notendur utan léns með því að nota SGT öryggishópamerki TrustSec);

  • Athugaðu tölvur fyrir tiltekinn hugbúnað sem er uppsettur og samræmi við staðla (staða);

  • Flokka og gera grein fyrir endapunkti og netbúnaði;

  • Veita sýnileika endapunkta;

  • Senda atburðaskrár um innskráningu/útskráningu notenda, reikninga þeirra (auðkenni) til NGFW til að mynda notendatengda stefnu;

  • Samþættu innbyggt með Cisco StealthWatch og settu grunsamlega gestgjafa sem taka þátt í öryggisatvikum í sóttkví (meira);

  • Og aðrir eiginleikar staðall fyrir AAA netþjóna.

Samstarfsmenn í greininni hafa þegar skrifað um Cisco ISE, svo ég ráðlegg þér að lesa: Cisco ISE framkvæmd framkvæmd, Hvernig á að undirbúa sig fyrir innleiðingu Cisco ISE.

2. Arkitektúr

Identity Services Engine arkitektúrinn hefur 4 einingar (hnúta): stjórnunarhnút (Policy Administration Node), stefnudreifingarhnút (Policy Service Node), vöktunarhnút (Monitoring Node) og PxGrid hnút (PxGrid Node). Cisco ISE getur verið í sjálfstæðri eða dreifðri uppsetningu. Í sjálfstæðu útgáfunni eru allar einingar staðsettar á einni sýndarvél eða líkamlegum netþjóni (Secure Network Servers - SNS), en í dreifðu útgáfunni er hnútunum dreift á mismunandi tæki.

Policy Administration Node (PAN) er nauðsynlegur hnútur sem gerir þér kleift að framkvæma allar stjórnunaraðgerðir á Cisco ISE. Það sér um allar kerfisstillingar sem tengjast AAA. Í dreifðri uppsetningu (hægt að setja upp hnúta sem aðskildar sýndarvélar) geturðu haft að hámarki tvö PAN fyrir bilanaþol - Virk/Biðstaða.

Policy Service Node (PSN) er lögboðinn hnútur sem veitir netaðgang, ástand, gestaaðgang, útvegun viðskiptavina og prófílgreiningu. PSN metur stefnuna og beitir henni. Venjulega eru mörg PSN sett upp, sérstaklega í dreifðri uppsetningu, fyrir óþarfa og dreifðari aðgerð. Auðvitað reyna þeir að setja upp þessa hnúta í mismunandi hlutum til að missa ekki getu til að veita staðfestan og viðurkenndan aðgang í eina sekúndu.

Vöktunarhnútur (MnT) er lögboðinn hnút sem geymir atburðaskrár, skrár yfir aðra hnúta og stefnur á netinu. MnT hnúturinn veitir háþróuð verkfæri til að fylgjast með og bilanaleit, safnar og tengir ýmis gögn og veitir einnig þýðingarmiklar skýrslur. Cisco ISE gerir þér kleift að hafa að hámarki tvo MnT hnúta og skapar þar með bilanaþol - Virkur/biðhamur. Hins vegar er annálum safnað af báðum hnútum, bæði virkum og óvirkum.

PxGrid Node (PXG) er hnútur sem notar PxGrid samskiptareglur og gerir samskipti milli annarra tækja sem styðja PxGrid.

PxGrid  — siðareglur sem tryggir samþættingu upplýsingatækni- og upplýsingaöryggisinnviðavara frá mismunandi söluaðilum: eftirlitskerfi, uppgötvunar- og varnarkerfi fyrir innbrot, stjórnunarkerfi öryggisstefnu og margar aðrar lausnir. Cisco PxGrid gerir þér kleift að deila samhengi í einstefnu eða tvíátta með mörgum kerfum án þess að þurfa API, og gerir þannig tæknina kleift TrustSec (SGT tags), breyttu og beittu ANC (Adaptive Network Control) stefnu, sem og framkvæma prófílgreiningu - ákvarða gerð tækisins, stýrikerfi, staðsetningu og fleira.

Í uppsetningu með mikilli framboði endurtaka PxGrid hnútar upplýsingar milli hnúta yfir PAN. Ef PAN er óvirkt hættir PxGrid hnúturinn að auðkenna, heimila og gera bókhald fyrir notendur. 

Hér að neðan er skýringarmynd af rekstri mismunandi Cisco ISE aðila í fyrirtækjaneti.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 1. Cisco ISE arkitektúr

3. Kröfur

Cisco ISE er hægt að útfæra, eins og flestar nútímalausnir, nánast eða líkamlega sem sérstakan netþjón. 

Líkamleg tæki sem keyra Cisco ISE hugbúnað kallast SNS (Secure Network Server). Þeir koma í þremur gerðum: SNS-3615, SNS-3655 og SNS-3695 fyrir lítil, meðalstór og stór fyrirtæki. Tafla 1 sýnir upplýsingar frá gagnablað SNS.

Tafla 1. Samanburðartafla SNS fyrir mismunandi mælikvarða

Viðfang

SNS 3615 (lítið)

SNS 3655 (miðlungs)

SNS 3695 (stór)

Fjöldi studdra endapunkta í sjálfstæðri uppsetningu

10000

25000

50000

Fjöldi studdra endapunkta á hvert PSN

10000

25000

100000

Örgjörvi (Intel Xeon 2.10 GHz)

8 kjarna

12 kjarna

12 kjarna

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

RAID vélbúnaðar

No

RAID 10, tilvist RAID stjórnandi

RAID 10, tilvist RAID stjórnandi

Netviðmót

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Varðandi sýndarútfærslur eru studdu hypervisors VMware ESXi (mælt er með lágmarks VMware útgáfu 11 fyrir ESXi 6.0), Microsoft Hyper-V og Linux KVM (RHEL 7.0). Tilföng ættu að vera um það bil þau sömu og í töflunni hér að ofan, eða meira. Hins vegar eru lágmarkskröfur fyrir sýndarvél fyrir lítil fyrirtæki: 2 CPU með tíðni 2.0 GHz og hærri, 16 GB vinnsluminni и 200 GB HDD. 

Fyrir aðrar upplýsingar um uppsetningu Cisco ISE, vinsamlegast hafðu samband til okkar eða til úrræði #1, úrræði #2.

4. Uppsetning

Eins og flestar aðrar Cisco vörur er hægt að prófa ISE á nokkra vegu:

  • dský – skýjaþjónusta fyrir uppsettar rannsóknarstofuuppsetningar (Cisco reikningur krafist);

  • GVE beiðni - beiðni frá síða Cisco af ákveðnum hugbúnaði (aðferð fyrir samstarfsaðila). Þú býrð til mál með eftirfarandi dæmigerða lýsingu: Vörutegund [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • tilraunaverkefni — hafðu samband við hvaða viðurkennda samstarfsaðila sem er til að framkvæma ókeypis tilraunaverkefni.

1) Eftir að hafa búið til sýndarvél, ef þú baðst um ISO skrá en ekki OVA sniðmát, birtist gluggi þar sem ISE krefst þess að þú veljir uppsetningu. Til að gera þetta, í stað notandanafns og lykilorðs, ættir þú að skrifa "skipulag“!

Ath: ef þú notaðir ISE frá OVA sniðmáti, þá eru innskráningarupplýsingarnar admin/MyIseYPass2 (þetta og margt fleira er tilgreint í opinberu leiðarvísir).

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 2. Uppsetning Cisco ISE

2) Þá ættir þú að fylla út nauðsynlega reiti eins og IP tölu, DNS, NTP og fleira.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 3. Frumstilling Cisco ISE

3) Eftir það mun tækið endurræsa og þú munt geta tengst í gegnum vefviðmótið með því að nota áður tilgreinda IP tölu.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 4. Cisco ISE vefviðmót

4) Í flipa Stjórnun > Kerfi > Uppsetning þú getur valið hvaða hnútar (einingar) eru virkjaðir á tilteknu tæki. PxGrid hnúturinn er virkur hér.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 5. Cisco ISE Entity Management

5) Síðan í flipa Stjórnun > Kerfi > Aðgangur stjórnanda > Auðkenning Ég mæli með að setja upp lykilorðastefnu, auðkenningaraðferð (vottorð eða lykilorð), gildistíma reiknings og aðrar stillingar.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 6. Authentication type stillingCisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 7. Stillingar lykilorðastefnuCisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 8. Uppsetning á lokun reiknings eftir að tíminn rennur útCisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 9. Uppsetning reikningslæsingar

6) Í flipa Stjórnun > Kerfi > Aðgangur stjórnanda > Stjórnendur > Stjórnendur notendur > Bæta við þú getur búið til nýjan stjórnanda.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 10. Að búa til staðbundinn Cisco ISE stjórnanda

7) Nýja stjórnandann getur verið hluti af nýjum hópi eða þegar fyrirfram skilgreindum hópum. Stjórnandahópum er stjórnað á sama spjaldi í flipanum Stjórnunarhópar. Í töflu 2 eru teknar saman upplýsingar um stjórnendur ISE, réttindi þeirra og hlutverk.

Tafla 2. Cisco ISE stjórnendahópar, aðgangsstig, heimildir og takmarkanir

Nafn stjórnandahóps

Leyfi

Takmarkanir

Aðlögunarstjóri

Uppsetning gesta- og styrktargátta, umsýsla og aðlögun

Vanhæfni til að breyta stefnu eða skoða skýrslur

Stjórnandi þjónustuver

Geta til að skoða aðal mælaborðið, allar skýrslur, larms og bilanaleitarstrauma

Þú getur ekki breytt, búið til eða eytt skýrslum, viðvörunum og auðkenningarskrám

Identity Admin

Stjórna notendum, forréttindum og hlutverkum, getu til að skoða annála, skýrslur og viðvörun

Þú getur ekki breytt stefnum eða framkvæmt verkefni á stýrikerfisstigi

MnT stjórnandi

Fullt eftirlit, skýrslur, viðvörun, logs og stjórnun þeirra

Vanhæfni til að breyta neinni stefnu

Stjórnandi nettækja

Réttindi til að búa til og breyta ISE hlutum, skoða logs, skýrslur, aðal mælaborði

Þú getur ekki breytt stefnum eða framkvæmt verkefni á stýrikerfisstigi

Stefna stjórnandi

Full stjórnun á öllum stefnum, breyttum prófílum, stillingum, skoðun á skýrslum

Vanhæfni til að framkvæma stillingar með skilríkjum, ISE hlutum

RBAC stjórnandi

Allar stillingar á flipanum Aðgerðir, ANC stefnustillingar, skýrslustjórnun

Þú getur ekki breytt stefnum öðrum en ANC eða framkvæmt verkefni á stýrikerfisstigi

Super Admin

Réttindi til allra stillinga, skýrslugerðar og stjórnun, geta eytt og breytt skilríkjum stjórnanda

Get ekki breytt, eyddu öðrum prófíl úr ofurstjórnandahópnum

Kerfisstjóri

Allar stillingar á Rekstur flipanum, stjórnun kerfisstillinga, ANC stefnu, skoða skýrslur

Þú getur ekki breytt stefnum öðrum en ANC eða framkvæmt verkefni á stýrikerfisstigi

Ytri RESTful Services (ERS) Admin

Fullur aðgangur að Cisco ISE REST API

Aðeins fyrir heimild, stjórnun staðbundinna notenda, gestgjafa og öryggishópa (SG)

Ytri RESTful Services (ERS) rekstraraðili

Lesheimildir Cisco ISE REST API

Aðeins fyrir heimild, stjórnun staðbundinna notenda, gestgjafa og öryggishópa (SG)

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 11. Forskilgreind Cisco ISE Administrator Groups

8) Aukaatriði í flipanum Heimild > Leyfi > RBAC stefna Þú getur breytt réttindum fyrirfram skilgreindra stjórnenda.

Cisco ISE: Inngangur, kröfur, uppsetning. 1. hlutiMynd 12. Cisco ISE Administrator Forstillt prófílsréttindastjórnun

9) Í flipa Stjórnun > Kerfi > Stillingar Allar kerfisstillingar eru tiltækar (DNS, NTP, SMTP og fleiri). Þú getur fyllt þær út hér ef þú misstir af þeim við upphaflega frumstillingu tækisins.

5. Niðurstaða

Þar með lýkur fyrstu greininni. Við ræddum skilvirkni Cisco ISE NAC lausnarinnar, arkitektúr hennar, lágmarkskröfur og dreifingarvalkosti og fyrstu uppsetningu.

Í næstu grein munum við skoða að búa til reikninga, samþætta við Microsoft Active Directory og búa til gestaaðgang.

Ef þú hefur einhverjar spurningar um þetta efni eða þarft aðstoð við að prófa vöruna, vinsamlegast hafðu samband tengill.

Fylgstu með uppfærslum á rásum okkar (TelegramFacebookVKTS lausnarbloggYandex Zen).

Heimild: www.habr.com

Bæta við athugasemd