Cisco ISE: מבוא, דרישות, התקנה. חלק 1

1. מבוא

לכל חברה, אפילו הקטנה ביותר, יש צורך באימות, הרשאה וחשבון משתמש (משפחת פרוטוקולים AAA). בשלב הראשוני, AAA מיושם היטב באמצעות פרוטוקולים כגון RADIUS, TACACS+ ו-DIAMETER. עם זאת, ככל שמספר המשתמשים והחברה גדלים, גדל גם מספר המשימות: נראות מקסימלית של מארחים ומכשירי BYOD, אימות רב-גורמי, יצירת מדיניות גישה רב-שכבתית ועוד ועוד.

עבור משימות כאלה, סוג הפתרונות של NAC (בקרת גישה לרשת) הוא מושלם - בקרת גישה לרשת. בסדרת מאמרים המוקדשת ל Cisco ISE (Identity Services Engine) - פתרון NAC לאספקת בקרת גישה מודעת להקשר למשתמשים ברשת הפנימית, אנו נסתכל מפורטת על הארכיטקטורה, ההקצאה, התצורה והרישוי של הפתרון.

הרשה לי להזכיר לך בקצרה ש-Cisco ISE מאפשר לך:

• צור במהירות ובקלות גישת אורח ב-WLAN ייעודי;

• זיהוי התקני BYOD (לדוגמה, מחשבים ביתיים של עובדים שהם הביאו לעבודה);

• רכז ואכיף מדיניות אבטחה על פני משתמשי דומיין ומשתמשים שאינם דומיינים באמצעות תוויות קבוצת אבטחה SGT TrustSec);

• בדוק אם יש תוכנות מסוימות המותקנות במחשבים ותאימות לתקנים (העמדה);

• סיווג ופרופיל התקני נקודת קצה ורשת;

• לספק נראות של נקודות קצה;

• שלח יומני אירועים של כניסה/יציאה של משתמשים, חשבונותיהם (זהותם) ל-NGFW כדי ליצור מדיניות מבוססת משתמש;

• השתלב באופן טבעי עם Cisco StealthWatch והסגר מארחים חשודים המעורבים באירועי אבטחה (יותר);

• ותכונות אחרות סטנדרטיות עבור שרתי AAA.

עמיתים בתעשייה כבר כתבו על Cisco ISE, אז אני ממליץ לך לקרוא: תרגול יישום Cisco ISE, כיצד להתכונן ליישום Cisco ISE.

2. אדריכלות

לארכיטקטורת Identity Services Engine יש 4 ישויות (צמתים): צומת ניהול (Policy Administration Node), צומת הפצת מדיניות (Policy Service Node), צומת ניטור (Monitoring Node) וצומת PxGrid (PxGrid Node). Cisco ISE יכול להיות בהתקנה עצמאית או מבוזרת. בגרסת ה-Standalone, כל הישויות ממוקמות במכונה וירטואלית אחת או בשרת פיזי (Secure Network Servers - SNS), בעוד שבגרסה ה-Distributed, הצמתים מפוזרים על פני מכשירים שונים.

צומת ניהול מדיניות (PAN) הוא צומת נדרש המאפשר לך לבצע את כל פעולות הניהול ב-Cisco ISE. הוא מטפל בכל תצורות המערכת הקשורות ל-AAA. בתצורה מבוזרת (ניתן להתקין צמתים כמכונות וירטואליות נפרדות), אתה יכול לקבל לכל היותר שני PAN לסובלנות תקלות - מצב פעיל/המתנה.

Policy Service Node (PSN) הוא צומת חובה המספק גישה לרשת, מצב, גישה לאורחים, אספקת שירות לקוחות ופרופיל. PSN מעריך את המדיניות ומיישם אותה. בדרך כלל, מספר PSNs מותקנים, במיוחד בתצורה מבוזרת, לפעולה מיותרת ומפוזרת יותר. כמובן, הם מנסים להתקין את הצמתים הללו במקטעים שונים כדי לא לאבד את היכולת לספק גישה מאומתת ומורשית לשנייה.

צומת ניטור (MnT) הוא צומת חובה המאחסן יומני אירועים, יומנים של צמתים אחרים ומדיניות ברשת. צומת MnT מספק כלים מתקדמים לניטור ופתרון תקלות, אוסף ואוסף נתונים שונים וכן מספק דוחות משמעותיים. Cisco ISE מאפשר לך להחזיק לכל היותר שני צמתים MnT, ובכך ליצור סובלנות לתקלות - מצב פעיל/המתנה. עם זאת, יומנים נאספים על ידי שני הצמתים, הן פעילים והן פסיביים.

PxGrid Node (PXG) הוא צומת המשתמש בפרוטוקול PxGrid ומאפשר תקשורת בין מכשירים אחרים התומכים ב-PxGrid.

PxGrid  — פרוטוקול המבטיח שילוב של מוצרי תשתיות IT ואבטחת מידע מספקים שונים: מערכות ניטור, מערכות זיהוי ומניעת פריצות, פלטפורמות לניהול מדיניות אבטחה ופתרונות רבים אחרים. Cisco PxGrid מאפשר לך לשתף הקשר בצורה חד כיוונית או דו כיוונית עם פלטפורמות רבות ללא צורך בממשקי API, ובכך לאפשר את הטכנולוגיה TrustSec (תגיות SGT), שנה והחלת מדיניות ANC (Adaptive Network Control) וכן ביצוע פרופילים - קביעת דגם המכשיר, מערכת ההפעלה, המיקום ועוד.

בתצורת זמינות גבוהה, צמתי PxGrid משכפלים מידע בין צמתים דרך PAN. אם ה-PAN מושבת, הצומת PxGrid מפסיק את האימות, ההרשאה והחשבון עבור משתמשים. 

להלן ייצוג סכמטי של פעולתם של ישויות שונות של Cisco ISE ברשת ארגונית.

איור 1. ארכיטקטורת ISE של Cisco

3. דרישות

ניתן ליישם את Cisco ISE, כמו רוב הפתרונות המודרניים, באופן וירטואלי או פיזי כשרת נפרד. 

מכשירים פיזיים המריצים תוכנת Cisco ISE נקראים SNS (שרת רשת מאובטח). הם מגיעים בשלושה דגמים: SNS-3615, SNS-3655 ו-SNS-3695 לעסקים קטנים, בינוניים וגדולים. טבלה 1 מציגה מידע מ טופס מידע SNS.

טבלה 1. טבלת השוואה של SNS עבור סולמות שונים

פרמטר

SNS 3615 (קטן)

SNS 3655 (בינוני)

SNS 3695 (גדול)

מספר נקודות הקצה הנתמכות בהתקנה עצמאית

10000

25000

50000

מספר נקודות הקצה הנתמכות לכל PSN

10000

25000

100000

מעבד (Intel Xeon 2.10 GHz)

8 ליבות

12 ליבות

12 ליבות

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

RAID חומרה

לא

RAID 10, נוכחות של בקר RAID

RAID 10, נוכחות של בקר RAID

ממשקי רשת

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

לגבי יישומים וירטואליים, ההיפרוויזורים הנתמכים הם VMware ESXi (מומלצת מינימום VMware גרסה 11 עבור ESXi 6.0), Microsoft Hyper-V ו-Linux KVM (RHEL 7.0). המשאבים צריכים להיות בערך כמו בטבלה למעלה, או יותר. עם זאת, הדרישות המינימליות עבור מכונה וירטואלית לעסקים קטנים הן: מעבד 2 עם תדר של 2.0 GHz ומעלה, 16 ג'יגה זיכרון RAM и 200 GB HDD. 

לפרטי פריסה אחרים של Cisco ISE, אנא צור קשר אותנו או ל משאב מס' 1, משאב מס' 2.

4. התקנה

כמו רוב מוצרי Cisco האחרים, ניתן לבדוק את ISE בכמה דרכים:

• dcloud - שירות ענן של פריסות מעבדה מותקנות מראש (דרוש חשבון סיסקו);

• בקשת GVE - בקשה מ сайта סיסקו של תוכנות מסוימות (שיטה לשותפים). אתה יוצר מקרה עם התיאור הטיפוסי הבא: סוג מוצר [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], תיקון ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• פרויקט פיילוט - צור קשר עם כל שותף מורשה לביצוע פרויקט פיילוט בחינם.

1) לאחר יצירת מכונה וירטואלית, אם ביקשת קובץ ISO ולא תבנית OVA, יקפוץ חלון שבו ISE דורש ממך לבחור התקנה. לשם כך, במקום הכניסה והסיסמה שלך, עליך לכתוב "התקנה"!

הערה: אם פרסת ISE מתבנית OVA, אז פרטי הכניסה admin/MyIseYPass2 (זה ועוד הרבה יותר מצוין ברשמי להנחות).

איור 2. התקנת Cisco ISE

2) לאחר מכן עליך למלא את השדות הנדרשים כגון כתובת IP, DNS, NTP ואחרים.

איור 3. אתחול Cisco ISE

3) לאחר מכן, המכשיר יאתחל מחדש, ותוכלו להתחבר דרך ממשק האינטרנט באמצעות כתובת ה-IP שצוינה קודם לכן.

איור 4. ממשק אינטרנט של Cisco ISE

4) בכרטיסייה ניהול > מערכת > פריסה אתה יכול לבחור אילו צמתים (ישויות) מופעלים במכשיר מסוים. הצומת PxGrid מופעל כאן.

איור 5. ניהול ישויות של Cisco ISE

5) ואז בכרטיסייה ניהול > מערכת > גישת מנהל > אימות אני ממליץ להגדיר מדיניות סיסמאות, שיטת אימות (תעודה או סיסמה), תאריך תפוגה של החשבון והגדרות אחרות.

איור 6. הגדרת סוג אימותאיור 7. הגדרות מדיניות סיסמהאיור 8. הגדרת כיבוי חשבון לאחר תום הזמןאיור 9. הגדרת נעילת חשבון

6) בכרטיסייה ניהול > מערכת > גישת מנהל מערכת > מנהלי מערכת > משתמשי ניהול > הוסף אתה יכול ליצור מנהל חדש.

איור 10. יצירת מנהל מערכת מקומי של Cisco ISE

7) המנהל החדש יכול להיות חלק מקבוצה חדשה או קבוצות שכבר מוגדרות מראש. קבוצות מנהלים מנוהלות באותו חלונית בכרטיסייה קבוצות ניהול. טבלה 2 מסכמת מידע על מנהלי ISE, זכויותיהם ותפקידיהם.

טבלה 2. קבוצות מנהלי מערכת של Cisco ISE, רמות גישה, הרשאות והגבלות

שם קבוצת מנהל

הרשאות

הגבלות

מנהל התאמה אישית

הקמת פורטלי אורחים וחסויות, ניהול והתאמה אישית

חוסר יכולת לשנות מדיניות או להציג דוחות

מנהל דלפק עזרה

יכולת להציג את לוח המחוונים הראשי, כל הדוחות, הלחצים וזרמים לפתרון בעיות

אינך יכול לשנות, ליצור או למחוק דוחות, התראות ויומני אימות

מנהל זהות

ניהול משתמשים, הרשאות ותפקידים, יכולת צפייה ביומנים, דוחות ואזעקות

לא ניתן לשנות מדיניות או לבצע משימות ברמת מערכת ההפעלה

מנהל MnT

ניטור מלא, דוחות, אזעקות, יומנים וניהולם

חוסר יכולת לשנות מדיניות כלשהי

מנהל מכשיר רשת

זכויות ליצירה ושינוי של אובייקטי ISE, צפייה ביומנים, דוחות, לוח מחוונים ראשי

לא ניתן לשנות מדיניות או לבצע משימות ברמת מערכת ההפעלה

מנהל מדיניות

ניהול מלא של כל המדיניות, שינוי פרופילים, הגדרות, צפייה בדוחות

חוסר יכולת לבצע הגדרות עם אישורים, אובייקטי ISE

מנהל RBAC

כל ההגדרות בלשונית תפעול, הגדרות מדיניות ANC, ניהול דיווחים

אינך יכול לשנות מדיניות מלבד ANC או לבצע משימות ברמת מערכת ההפעלה

משתמש-על

זכויות לכל ההגדרות, הדיווח והניהול, יכולות למחוק ולשנות את אישורי מנהל המערכת

לא ניתן לשנות, מחק פרופיל אחר מקבוצת Super Admin

מנהל מערכת

כל ההגדרות בלשונית תפעול, ניהול הגדרות מערכת, מדיניות ANC, צפייה בדוחות

אינך יכול לשנות מדיניות מלבד ANC או לבצע משימות ברמת מערכת ההפעלה

מנהל RESTful Services (ERS) חיצוני

גישה מלאה ל-Cisco ISE REST API

רק להרשאה, ניהול של משתמשים מקומיים, מארחים וקבוצות אבטחה (SG)

מפעיל חיצוני של RESTful Services (ERS).

הרשאות קריאה של Cisco ISE REST API

רק להרשאה, ניהול של משתמשים מקומיים, מארחים וקבוצות אבטחה (SG)

איור 11. קבוצות מנהלי מערכת של Cisco ISE מוגדרות מראש

8) אופציונלי בלשונית הרשאה > הרשאות > מדיניות RBAC אתה יכול לערוך את הזכויות של מנהלי מערכת מוגדרים מראש.

איור 12. ניהול זכויות פרופיל מוגדר מראש של Cisco ISE Administrator

9) בכרטיסייה ניהול > מערכת > הגדרות כל הגדרות המערכת זמינות (DNS, NTP, SMTP ואחרות). אתה יכול למלא אותם כאן אם פספסת אותם במהלך אתחול המכשיר הראשוני.

5. מסקנה

בכך מסתיים המאמר הראשון. דנו ביעילותו של פתרון Cisco ISE NAC, הארכיטקטורה שלו, דרישות המינימום ואפשרויות הפריסה וההתקנה הראשונית.

במאמר הבא, נבחן יצירת חשבונות, שילוב עם Microsoft Active Directory ויצירת גישת אורח.

אם יש לך שאלות בנושא זה או שאתה זקוק לעזרה בבדיקת המוצר, אנא צור קשר קשר.

הישאר מעודכן לעדכונים בערוצים שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS, יאנדקס זן).

מקור: www.habr.com