1. introduzione
Ogni azienda, anche la più piccola, ha bisogno di autenticazione, autorizzazione e contabilità degli utenti (famiglia di protocolli AAA). Nella fase iniziale, AAA è implementato abbastanza bene utilizzando protocolli come RADIUS, TACACS+ e DIAMETER. Tuttavia, man mano che cresce il numero di utenti e di azienda, cresce anche il numero di compiti: massima visibilità degli host e dei dispositivi BYOD, autenticazione a più fattori, creazione di una policy di accesso multilivello e molto altro ancora.
Per tali compiti, la classe di soluzioni NAC (Network Access Control) è perfetta: controllo dell'accesso alla rete. In una serie di articoli dedicati a (Identity Services Engine) - Soluzione NAC per fornire un controllo degli accessi sensibile al contesto agli utenti sulla rete interna, daremo uno sguardo dettagliato all'architettura, al provisioning, alla configurazione e alla licenza della soluzione.
Ti ricordo brevemente che Cisco ISE ti permette di:
-
Crea rapidamente e facilmente l'accesso ospite su una WLAN dedicata;
-
Rilevare i dispositivi BYOD (ad esempio, i PC domestici dei dipendenti che hanno portato al lavoro);
-
Centralizza e applica le policy di sicurezza tra utenti di dominio e non di dominio utilizzando le etichette dei gruppi di sicurezza SGT );
-
Controllare i computer per verificare la presenza di determinati software installati e la conformità agli standard (posture);
-
Classificare e profilare endpoint e dispositivi di rete;
-
Fornire visibilità sugli endpoint;
-
Inviare registri eventi di accesso/disconnessione degli utenti, i loro account (identità) a NGFW per formare una politica basata sull'utente;
-
Integra in modo nativo con Cisco StealthWatch e metti in quarantena gli host sospetti coinvolti in incidenti di sicurezza ();
-
E altre funzionalità standard per i server AAA.
I colleghi del settore hanno già scritto di Cisco ISE, quindi ti consiglio di leggere: ,.
2. architettura
L'architettura di Identity Services Engine ha 4 entità (nodi): un nodo di gestione (Policy Administration Node), un nodo di distribuzione delle policy (Policy Service Node), un nodo di monitoraggio (Monitoring Node) e un nodo PxGrid (PxGrid Node). Cisco ISE può essere installato in modo autonomo o distribuito. Nella versione Standalone, tutte le entità si trovano su una macchina virtuale o server fisico (Secure Network Servers - SNS), mentre nella versione Distribuita i nodi sono distribuiti su diversi dispositivi.
Policy Administration Node (PAN) è un nodo obbligatorio che consente di eseguire tutte le operazioni amministrative su Cisco ISE. Gestisce tutte le configurazioni di sistema relative ad AAA. In una configurazione distribuita (i nodi possono essere installati come macchine virtuali separate), è possibile avere un massimo di due PAN per la tolleranza agli errori - modalità Attivo/Standby.
Policy Service Node (PSN) è un nodo obbligatorio che fornisce accesso alla rete, stato, accesso guest, provisioning del servizio client e profilazione. PSN valuta la politica e la applica. In genere, vengono installati più PSN, soprattutto in una configurazione distribuita, per un funzionamento più ridondante e distribuito. Naturalmente, cercano di installare questi nodi in segmenti diversi per non perdere nemmeno per un secondo la capacità di fornire un accesso autenticato e autorizzato.
Monitoring Node (MnT) è un nodo obbligatorio che archivia registri eventi, registri di altri nodi e policy sulla rete. Il nodo MnT fornisce strumenti avanzati per il monitoraggio e la risoluzione dei problemi, raccoglie e correla vari dati e fornisce anche report significativi. Cisco ISE consente di avere un massimo di due nodi MnT, creando così tolleranza ai guasti - modalità Attiva/Standby. Tuttavia, i log vengono raccolti da entrambi i nodi, sia attivi che passivi.
PxGrid Node (PXG) è un nodo che utilizza il protocollo PxGrid e consente la comunicazione tra altri dispositivi che supportano PxGrid.
— un protocollo che garantisce l'integrazione di prodotti IT e di infrastrutture di sicurezza delle informazioni di diversi fornitori: sistemi di monitoraggio, sistemi di rilevamento e prevenzione delle intrusioni, piattaforme di gestione delle politiche di sicurezza e molte altre soluzioni. Cisco PxGrid consente di condividere il contesto in modo unidirezionale o bidirezionale con molte piattaforme senza la necessità di API, abilitando così la tecnologia (tag SGT), modificare e applicare la policy ANC (Adaptive Network Control), nonché eseguire la profilazione, determinando il modello del dispositivo, il sistema operativo, la posizione e altro ancora.
In una configurazione ad alta disponibilità, i nodi PxGrid replicano le informazioni tra i nodi su una PAN. Se il PAN è disabilitato, il nodo PxGrid interrompe l'autenticazione, l'autorizzazione e la contabilizzazione degli utenti.
Di seguito è riportata una rappresentazione schematica del funzionamento delle diverse entità Cisco ISE in una rete aziendale.
Figura 1. Architettura Cisco ISE
3. Requisiti
Cisco ISE può essere implementato, come la maggior parte delle soluzioni moderne, virtualmente o fisicamente come server separato.
I dispositivi fisici che eseguono il software Cisco ISE sono chiamati SNS (Secure Network Server). Sono disponibili in tre modelli: SNS-3615, SNS-3655 e SNS-3695 per le piccole, medie e grandi imprese. La tabella 1 mostra le informazioni da SNS.
Tabella 1. Tabella comparativa dei SNS per diverse scale
Parametro
SNS 3615 (piccolo)
SNS 3655 (medio)
SNS 3695 (grande)
Numero di endpoint supportati in un'installazione autonoma
10000
25000
50000
Numero di endpoint supportati per PSN
10000
25000
100000
Processore (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
RAM
32 GB (2x16 GB)
96 GB (6x16 GB)
256 GB (16x16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
RAID hardware
No
RAID 10, presenza del controller RAID
RAID 10, presenza del controller RAID
Interfacce di rete
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Per quanto riguarda le implementazioni virtuali, gli hypervisor supportati sono VMware ESXi (si consiglia la versione minima di VMware 11 per ESXi 6.0), Microsoft Hyper-V e Linux KVM (RHEL 7.0). Le risorse dovrebbero essere più o meno le stesse della tabella sopra, o più. Tuttavia, i requisiti minimi per una macchina virtuale per piccole imprese sono: CPU 2 con una frequenza di 2.0 GHz e superiore, RAM da 16GB и 200 GB HDD.
Per altri dettagli sull'implementazione di Cisco ISE, contattare o a , .
4. Installazione
Come la maggior parte degli altri prodotti Cisco, ISE può essere testato in diversi modi:
-
– servizio cloud dei layout di laboratorio preinstallati (è richiesto un account Cisco);
-
- richiesta da Cisco di alcuni software (metodo per i partner). Crei un caso con la seguente descrizione tipica: Tipo di prodotto [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Patch ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— contattare qualsiasi partner autorizzato per condurre un progetto pilota gratuito.
1) Dopo aver creato una macchina virtuale, se hai richiesto un file ISO e non un modello OVA, apparirà una finestra in cui ISE richiede di selezionare un'installazione. Per fare questo, invece del tuo login e password, dovresti scrivere “flessibile.“!
Nota: se hai distribuito ISE dal modello OVA, i dettagli di accesso admin/MyIseYPass2 (questo e molto altro è indicato nel documento ufficiale ).
Figura 2. Installazione di Cisco ISE
2) Quindi dovresti compilare i campi richiesti come indirizzo IP, DNS, NTP e altri.
Figura 3. Inizializzazione di Cisco ISE
3) Successivamente, il dispositivo si riavvierà e sarà possibile connettersi tramite l'interfaccia web utilizzando l'indirizzo IP specificato in precedenza.
Figura 4. Interfaccia Web Cisco ISE
4) Nella tab Amministrazione > Sistema > Distribuzione è possibile selezionare quali nodi (entità) sono abilitati su un particolare dispositivo. Il nodo PxGrid è abilitato qui.
Figura 5. Gestione delle entità Cisco ISE
5) Quindi nella scheda Amministrazione > Sistema > Accesso amministratore > Autenticazione Ti consiglio di impostare una policy relativa alla password, un metodo di autenticazione (certificato o password), una data di scadenza dell'account e altre impostazioni.
Figura 6. Impostazione del tipo di autenticazioneFigura 7. Impostazioni dei criteri di passwordFigura 8. Impostazione della chiusura dell'account allo scadere del tempoFigura 9. Impostazione del blocco dell'account
6) Nella tab Amministrazione > Sistema > Accesso amministratore > Amministratori > Utenti amministratori > Aggiungi puoi creare un nuovo amministratore.
Figura 10. Creazione di un amministratore Cisco ISE locale
7) Il nuovo amministratore può essere inserito in un nuovo gruppo o in gruppi già predefiniti. I gruppi di amministratori sono gestiti nello stesso pannello nella scheda Gruppi di amministrazione. La tabella 2 riassume le informazioni sugli amministratori ISE, i loro diritti e ruoli.
Tabella 2. Gruppi di amministratori, livelli di accesso, autorizzazioni e restrizioni di Cisco ISE
Nome del gruppo di amministratori
autorizzazione
Restrizioni
Amministrazione personalizzazione
Configurazione di portali per ospiti e sponsorizzazioni, amministrazione e personalizzazione
Impossibilità di modificare le policy o visualizzare report
Amministratore dell'Helpdesk
Possibilità di visualizzare la dashboard principale, tutti i report, gli allarmi e i flussi di risoluzione dei problemi
Non è possibile modificare, creare o eliminare report, allarmi e registri di autenticazione
Amministrazione identità
Gestione utenti, privilegi e ruoli, possibilità di visualizzare log, report e allarmi
Non è possibile modificare le policy o eseguire attività a livello del sistema operativo
Amministratore MnT
Monitoraggio completo, report, allarmi, log e loro gestione
Impossibilità di modificare qualsiasi politica
Amministratore dispositivo di rete
Diritti per creare e modificare oggetti ISE, visualizzare registri, report, dashboard principale
Non è possibile modificare le policy o eseguire attività a livello del sistema operativo
Amministratore delle norme
Gestione completa di tutte le policy, modifica profili, impostazioni, visualizzazione report
Impossibilità di effettuare impostazioni con credenziali, oggetti ISE
Amministratore RBAC
Tutte le impostazioni nella scheda Operazioni, impostazioni dei criteri ANC, gestione dei report
Non è possibile modificare policy diverse da ANC o eseguire attività a livello del sistema operativo
Super Admin
I diritti su tutte le impostazioni, reporting e gestione possono eliminare e modificare le credenziali dell'amministratore
Impossibile modificare, elimina un altro profilo dal gruppo Super Admin
Admin di sistema
Tutte le impostazioni nella scheda Operazioni, gestione delle impostazioni di sistema, criteri ANC, visualizzazione dei report
Non è possibile modificare policy diverse da ANC o eseguire attività a livello del sistema operativo
Amministrazione servizi RESTful (ERS) esterni
Accesso completo all'API REST Cisco ISE
Solo per autorizzazione, gestione di utenti locali, host e gruppi di sicurezza (SG)
Operatore esterno di servizi RESTful (ERS).
Autorizzazioni di lettura dell'API REST Cisco ISE
Solo per autorizzazione, gestione di utenti locali, host e gruppi di sicurezza (SG)
Figura 11. Gruppi di amministratori Cisco ISE predefiniti
8) Opzionale nella tab Autorizzazione > Autorizzazioni > Criterio RBAC È possibile modificare i diritti degli amministratori predefiniti.
Figura 12. Gestione dei diritti del profilo preimpostato dell'amministratore Cisco ISE
9) Nella tab Amministrazione > Sistema > Impostazioni Sono disponibili tutte le impostazioni di sistema (DNS, NTP, SMTP e altre). Puoi compilarli qui se li hai persi durante l'inizializzazione iniziale del dispositivo.
5. Заключение
Questo conclude il primo articolo. Abbiamo discusso dell'efficacia della soluzione Cisco ISE NAC, della sua architettura, dei requisiti minimi, delle opzioni di distribuzione e dell'installazione iniziale.
Nel prossimo articolo esamineremo la creazione di account, l'integrazione con Microsoft Active Directory e la creazione dell'accesso ospite.
Se hai domande su questo argomento o hai bisogno di aiuto per testare il prodotto, contatta .
Resta sintonizzato per gli aggiornamenti nei nostri canali (, , , , ).
Fonte: habr.com