1. מבוא
לכל חברה, אפילו הקטנה ביותר, יש צורך באימות, הרשאה וחשבון משתמש (משפחת פרוטוקולים AAA). בשלב הראשוני, AAA מיושם היטב באמצעות פרוטוקולים כגון RADIUS, TACACS+ ו-DIAMETER. עם זאת, ככל שמספר המשתמשים והחברה גדלים, גדל גם מספר המשימות: נראות מקסימלית של מארחים ומכשירי BYOD, אימות רב-גורמי, יצירת מדיניות גישה רב-שכבתית ועוד ועוד.
עבור משימות כאלה, סוג הפתרונות של NAC (בקרת גישה לרשת) הוא מושלם - בקרת גישה לרשת. בסדרת מאמרים המוקדשת ל (Identity Services Engine) - פתרון NAC לאספקת בקרת גישה מודעת להקשר למשתמשים ברשת הפנימית, אנו נסתכל מפורטת על הארכיטקטורה, ההקצאה, התצורה והרישוי של הפתרון.
הרשה לי להזכיר לך בקצרה ש-Cisco ISE מאפשר לך:
צור במהירות ובקלות גישת אורח ב-WLAN ייעודי;
זיהוי התקני BYOD (לדוגמה, מחשבים ביתיים של עובדים שהם הביאו לעבודה);
רכז ואכיף מדיניות אבטחה על פני משתמשי דומיין ומשתמשים שאינם דומיינים באמצעות תוויות קבוצת אבטחה SGT );
בדוק אם יש תוכנות מסוימות המותקנות במחשבים ותאימות לתקנים (העמדה);
סיווג ופרופיל התקני נקודת קצה ורשת;
לספק נראות של נקודות קצה;
שלח יומני אירועים של כניסה/יציאה של משתמשים, חשבונותיהם (זהותם) ל-NGFW כדי ליצור מדיניות מבוססת משתמש;
השתלב באופן טבעי עם Cisco StealthWatch והסגר מארחים חשודים המעורבים באירועי אבטחה ();
ותכונות אחרות סטנדרטיות עבור שרתי AAA.
עמיתים בתעשייה כבר כתבו על Cisco ISE, אז אני ממליץ לך לקרוא: ,.
2. אדריכלות
לארכיטקטורת Identity Services Engine יש 4 ישויות (צמתים): צומת ניהול (Policy Administration Node), צומת הפצת מדיניות (Policy Service Node), צומת ניטור (Monitoring Node) וצומת PxGrid (PxGrid Node). Cisco ISE יכול להיות בהתקנה עצמאית או מבוזרת. בגרסת ה-Standalone, כל הישויות ממוקמות במכונה וירטואלית אחת או בשרת פיזי (Secure Network Servers - SNS), בעוד שבגרסה ה-Distributed, הצמתים מפוזרים על פני מכשירים שונים.
צומת ניהול מדיניות (PAN) הוא צומת נדרש המאפשר לך לבצע את כל פעולות הניהול ב-Cisco ISE. הוא מטפל בכל תצורות המערכת הקשורות ל-AAA. בתצורה מבוזרת (ניתן להתקין צמתים כמכונות וירטואליות נפרדות), אתה יכול לקבל לכל היותר שני PAN לסובלנות תקלות - מצב פעיל/המתנה.
Policy Service Node (PSN) הוא צומת חובה המספק גישה לרשת, מצב, גישה לאורחים, אספקת שירות לקוחות ופרופיל. PSN מעריך את המדיניות ומיישם אותה. בדרך כלל, מספר PSNs מותקנים, במיוחד בתצורה מבוזרת, לפעולה מיותרת ומפוזרת יותר. כמובן, הם מנסים להתקין את הצמתים הללו במקטעים שונים כדי לא לאבד את היכולת לספק גישה מאומתת ומורשית לשנייה.
צומת ניטור (MnT) הוא צומת חובה המאחסן יומני אירועים, יומנים של צמתים אחרים ומדיניות ברשת. צומת MnT מספק כלים מתקדמים לניטור ופתרון תקלות, אוסף ואוסף נתונים שונים וכן מספק דוחות משמעותיים. Cisco ISE מאפשר לך להחזיק לכל היותר שני צמתים MnT, ובכך ליצור סובלנות לתקלות - מצב פעיל/המתנה. עם זאת, יומנים נאספים על ידי שני הצמתים, הן פעילים והן פסיביים.
PxGrid Node (PXG) הוא צומת המשתמש בפרוטוקול PxGrid ומאפשר תקשורת בין מכשירים אחרים התומכים ב-PxGrid.
— פרוטוקול המבטיח שילוב של מוצרי תשתיות IT ואבטחת מידע מספקים שונים: מערכות ניטור, מערכות זיהוי ומניעת פריצות, פלטפורמות לניהול מדיניות אבטחה ופתרונות רבים אחרים. Cisco PxGrid מאפשר לך לשתף הקשר בצורה חד כיוונית או דו כיוונית עם פלטפורמות רבות ללא צורך בממשקי API, ובכך לאפשר את הטכנולוגיה (תגיות SGT), שנה והחלת מדיניות ANC (Adaptive Network Control) וכן ביצוע פרופילים - קביעת דגם המכשיר, מערכת ההפעלה, המיקום ועוד.
בתצורת זמינות גבוהה, צמתי PxGrid משכפלים מידע בין צמתים דרך PAN. אם ה-PAN מושבת, הצומת PxGrid מפסיק את האימות, ההרשאה והחשבון עבור משתמשים.
להלן ייצוג סכמטי של פעולתם של ישויות שונות של Cisco ISE ברשת ארגונית.
איור 1. ארכיטקטורת ISE של Cisco
3. דרישות
ניתן ליישם את Cisco ISE, כמו רוב הפתרונות המודרניים, באופן וירטואלי או פיזי כשרת נפרד.
מכשירים פיזיים המריצים תוכנת Cisco ISE נקראים SNS (שרת רשת מאובטח). הם מגיעים בשלושה דגמים: SNS-3615, SNS-3655 ו-SNS-3695 לעסקים קטנים, בינוניים וגדולים. טבלה 1 מציגה מידע מ SNS.
טבלה 1. טבלת השוואה של SNS עבור סולמות שונים
פרמטר
SNS 3615 (קטן)
SNS 3655 (בינוני)
SNS 3695 (גדול)
מספר נקודות הקצה הנתמכות בהתקנה עצמאית
10000
25000
50000
מספר נקודות הקצה הנתמכות לכל PSN
10000
25000
100000
מעבד (Intel Xeon 2.10 GHz)
8 ליבות
12 ליבות
12 ליבות
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID חומרה
לא
RAID 10, נוכחות של בקר RAID
RAID 10, נוכחות של בקר RAID
ממשקי רשת
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
בנוגע ליישומים וירטואליים, ההיפר-ויזורים הנתמכים הם VMware ESXi (מומלץ להשתמש ב-VMware גרסה 11 לפחות עבור ESXi 6.0), Microsoft Hyper-V ו- Linux KVM (RHEL 7.0). המשאבים צריכים להיות בערך כמו בטבלה לעיל, או יותר. עם זאת, דרישות המינימום של מכונות וירטואליות לעסקים קטנים הן: מעבד 2 עם תדר של 2.0 GHz ומעלה, 16 ג'יגה זיכרון RAM и 200 GB HDD.
לפרטי פריסה אחרים של Cisco ISE, אנא צור קשר או ל , .
4. התקנה
כמו רוב מוצרי Cisco האחרים, ניתן לבדוק את ISE בכמה דרכים:
- שירות ענן של פריסות מעבדה מותקנות מראש (דרוש חשבון סיסקו);
- בקשה מ סיסקו של תוכנות מסוימות (שיטה לשותפים). אתה יוצר מקרה עם התיאור הטיפוסי הבא: סוג מוצר [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], תיקון ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
- צור קשר עם כל שותף מורשה לביצוע פרויקט פיילוט בחינם.
1) לאחר יצירת מכונה וירטואלית, אם ביקשת קובץ ISO ולא תבנית OVA, יקפוץ חלון שבו ISE דורש ממך לבחור התקנה. לשם כך, במקום הכניסה והסיסמה שלך, עליך לכתוב "התקנה"!
הערה: אם פרסת ISE מתבנית OVA, אז פרטי הכניסה admin/MyIseYPass2 (זה ועוד הרבה יותר מצוין ברשמי ).
איור 2. התקנת Cisco ISE
2) לאחר מכן עליך למלא את השדות הנדרשים כגון כתובת IP, DNS, NTP ואחרים.
איור 3. אתחול Cisco ISE
3) לאחר מכן, המכשיר יאתחל מחדש, ותוכלו להתחבר דרך ממשק האינטרנט באמצעות כתובת ה-IP שצוינה קודם לכן.
איור 4. ממשק אינטרנט של Cisco ISE
4) בכרטיסייה ניהול > מערכת > פריסה אתה יכול לבחור אילו צמתים (ישויות) מופעלים במכשיר מסוים. הצומת PxGrid מופעל כאן.
איור 5. ניהול ישויות של Cisco ISE
5) ואז בכרטיסייה ניהול > מערכת > גישת מנהל > אימות אני ממליץ להגדיר מדיניות סיסמאות, שיטת אימות (תעודה או סיסמה), תאריך תפוגה של החשבון והגדרות אחרות.
איור 6. הגדרת סוג אימות
איור 7. הגדרות מדיניות סיסמה
איור 8. הגדרת כיבוי חשבון לאחר תום הזמן
איור 9. הגדרת נעילת חשבון
6) בכרטיסייה ניהול > מערכת > גישת מנהל מערכת > מנהלי מערכת > משתמשי ניהול > הוסף אתה יכול ליצור מנהל חדש.
איור 10. יצירת מנהל מערכת מקומי של Cisco ISE
7) המנהל החדש יכול להיות חלק מקבוצה חדשה או קבוצות שכבר מוגדרות מראש. קבוצות מנהלים מנוהלות באותו חלונית בכרטיסייה קבוצות ניהול. טבלה 2 מסכמת מידע על מנהלי ISE, זכויותיהם ותפקידיהם.
טבלה 2. קבוצות מנהלי מערכת של Cisco ISE, רמות גישה, הרשאות והגבלות
שם קבוצת מנהל
הרשאות
הגבלות
מנהל התאמה אישית
הקמת פורטלי אורחים וחסויות, ניהול והתאמה אישית
חוסר יכולת לשנות מדיניות או להציג דוחות
מנהל דלפק עזרה
יכולת להציג את לוח המחוונים הראשי, כל הדוחות, הלחצים וזרמים לפתרון בעיות
אינך יכול לשנות, ליצור או למחוק דוחות, התראות ויומני אימות
מנהל זהות
ניהול משתמשים, הרשאות ותפקידים, יכולת צפייה ביומנים, דוחות ואזעקות
לא ניתן לשנות מדיניות או לבצע משימות ברמת מערכת ההפעלה
מנהל MnT
ניטור מלא, דוחות, אזעקות, יומנים וניהולם
חוסר יכולת לשנות מדיניות כלשהי
מנהל מכשיר רשת
זכויות ליצירה ושינוי של אובייקטי ISE, צפייה ביומנים, דוחות, לוח מחוונים ראשי
לא ניתן לשנות מדיניות או לבצע משימות ברמת מערכת ההפעלה
מנהל מדיניות
ניהול מלא של כל המדיניות, שינוי פרופילים, הגדרות, צפייה בדוחות
חוסר יכולת לבצע הגדרות עם אישורים, אובייקטי ISE
מנהל RBAC
כל ההגדרות בלשונית תפעול, הגדרות מדיניות ANC, ניהול דיווחים
אינך יכול לשנות מדיניות מלבד ANC או לבצע משימות ברמת מערכת ההפעלה
משתמש-על
זכויות לכל ההגדרות, הדיווח והניהול, יכולות למחוק ולשנות את אישורי מנהל המערכת
לא ניתן לשנות, מחק פרופיל אחר מקבוצת Super Admin
מנהל מערכת
כל ההגדרות בלשונית תפעול, ניהול הגדרות מערכת, מדיניות ANC, צפייה בדוחות
אינך יכול לשנות מדיניות מלבד ANC או לבצע משימות ברמת מערכת ההפעלה
מנהל RESTful Services (ERS) חיצוני
גישה מלאה ל-Cisco ISE REST API
רק להרשאה, ניהול של משתמשים מקומיים, מארחים וקבוצות אבטחה (SG)
מפעיל חיצוני של RESTful Services (ERS).
הרשאות קריאה של Cisco ISE REST API
רק להרשאה, ניהול של משתמשים מקומיים, מארחים וקבוצות אבטחה (SG)
איור 11. קבוצות מנהלי מערכת של Cisco ISE מוגדרות מראש
8) אופציונלי בלשונית הרשאה > הרשאות > מדיניות RBAC אתה יכול לערוך את הזכויות של מנהלי מערכת מוגדרים מראש.
איור 12. ניהול זכויות פרופיל מוגדר מראש של Cisco ISE Administrator
9) בכרטיסייה ניהול > מערכת > הגדרות כל הגדרות המערכת זמינות (DNS, NTP, SMTP ואחרות). אתה יכול למלא אותם כאן אם פספסת אותם במהלך אתחול המכשיר הראשוני.
5. מסקנה
בכך מסתיים המאמר הראשון. דנו ביעילותו של פתרון Cisco ISE NAC, הארכיטקטורה שלו, דרישות המינימום ואפשרויות הפריסה וההתקנה הראשונית.
במאמר הבא, נבחן יצירת חשבונות, שילוב עם Microsoft Active Directory ויצירת גישת אורח.
אם יש לך שאלות בנושא זה או שאתה זקוק לעזרה בבדיקת המוצר, אנא צור קשר .
הישאר מעודכן לעדכונים בערוצים שלנו (, , , , ).
מקור: www.habr.com
