Saben perusahaan, sanajan sing paling cilik, mbutuhake otentikasi, wewenang lan akuntansi pangguna (kulawarga protokol AAA). Ing tataran wiwitan, AAA cukup diimplementasikake kanthi nggunakake protokol kayata RADIUS, TACACS + lan DIAMETER. Nanging, nalika jumlah pangguna lan perusahaan saya tambah akeh, jumlah tugas uga saya tambah: visibilitas maksimal host lan piranti BYOD, otentikasi multi-faktor, nggawe kebijakan akses multi-level lan liya-liyane.
Kanggo tugas kasebut, solusi kelas NAC (Network Access Control) sampurna - kontrol akses jaringan. Ing seri artikel darmabakti kanggo Cisco ISE (Mesin Layanan Identitas) - solusi NAC kanggo nyedhiyakake kontrol akses sing ngerti konteks kanggo pangguna ing jaringan internal, kita bakal nliti arsitektur, provisioning, konfigurasi lan lisensi solusi kasebut.
Ayo kula ngelingake sampeyan yen Cisco ISE ngidini sampeyan:
Cepet lan gampang nggawe akses tamu ing WLAN darmabakti;
Ndeteksi piranti BYOD (contone, PC omah karyawan sing digawa menyang kantor);
Sentralisasi lan ngetrapake kabijakan keamanan ing pangguna domain lan non-domain nggunakake label grup keamanan SGT TrustSec);
Priksa komputer kanggo piranti lunak tartamtu sing diinstal lan tundhuk karo standar (posturing);
Klasifikasi lan profil endpoint lan piranti jaringan;
Nyedhiyakake visibilitas titik pungkasan;
Kirim log acara log / logoff pangguna, akun (identitas) menyang NGFW kanggo mbentuk kabijakan adhedhasar pangguna;
Integrasi asli karo Cisco StealthWatch lan karantina sarwa curiga sing melu insiden keamanan (luwih akeh info);
Arsitektur Identity Services Engine nduweni 4 entitas (node): simpul manajemen (Node Administrasi Kebijakan), simpul distribusi kebijakan (Node Layanan Kebijakan), simpul pemantauan (Node Pemantauan) lan simpul PxGrid (Node PxGrid). Cisco ISE bisa ing instalasi dewekan utawa mbagekke. Ing versi Standalone, kabeh entitas dumunung ing siji mesin virtual utawa server fisik (Secure Network Servers - SNS), nalika ing versi Distributed, node disebarake ing macem-macem piranti.
Node Administrasi Kebijakan (PAN) minangka simpul sing dibutuhake sing ngidini sampeyan nindakake kabeh operasi administratif ing Cisco ISE. Nangani kabeh konfigurasi sistem related kanggo AAA. Ing konfigurasi mbagekke (simpul bisa diinstal minangka mesin virtual kapisah), sampeyan bisa duwe maksimum loro PAN kanggo toleransi fault - Active / Mode siyaga.
Policy Service Node (PSN) minangka simpul wajib sing nyedhiyakake akses jaringan, negara, akses tamu, provisioning layanan klien, lan profiling. PSN ngevaluasi kebijakan kasebut lan ngetrapake. Biasane, sawetara PSN dipasang, utamane ing konfigurasi sing disebarake, kanggo operasi sing luwih akeh lan disebarake. Mesthine, dheweke nyoba nginstal simpul kasebut ing macem-macem segmen supaya ora kelangan kemampuan kanggo nyedhiyakake akses sing sah lan otentikasi sedhela.
Ing konfigurasi kasedhiyan dhuwur, simpul PxGrid niru informasi antarane simpul liwat PAN. Yen PAN dipateni, simpul PxGrid bakal mandheg ngotentikasi, menehi wewenang, lan nyathet pangguna.
Ing ngisor iki minangka perwakilan skematis saka operasi entitas Cisco ISE sing beda ing jaringan perusahaan.
Gambar 1. Arsitektur Cisco ISE
3. Syarat
Cisco ISE bisa dipun ginakaken, kaya paling solusi modern, sakbenere utawa fisik minangka server kapisah.
Piranti fisik sing nganggo piranti lunak Cisco ISE diarani SNS (Secure Network Server). Padha teka ing telung model: SNS-3615, SNS-3655 lan SNS-3695 kanggo bisnis cilik, medium lan gedhe. Tabel 1 nuduhake informasi saka lembar data SNS.
Tabel 1. Tabel perbandingan SNS kanggo skala sing beda
Parameter
SNS 3615 (cilik)
SNS 3655 (Sedheng)
SNS 3695 (Gedhe)
Jumlah titik pungkasan sing didhukung ing instalasi Mandiri
10000
25000
50000
Jumlah endpoint sing didhukung saben PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 iron
12 iron
12 iron
Ram
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Hardware
Ora
RAID 10, ngarsane RAID controller
RAID 10, ngarsane RAID controller
Antarmuka jaringan
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Babagan implementasi virtual, hypervisor sing didhukung yaiku VMware ESXi (minimal VMware versi 11 kanggo ESXi 6.0 dianjurake), Microsoft Hyper-V lan Linux KVM (RHEL 7.0). Sumber daya kudu kira-kira padha karo tabel ing ndhuwur, utawa luwih. Nanging, syarat minimal kanggo mesin virtual bisnis cilik yaiku: 2 CPU kanthi frekuensi 2.0 GHz lan luwih dhuwur, 16 GB RAM ΠΈ 200 GBHDD.
Kaya produk Cisco liyane, ISE bisa diuji kanthi sawetara cara:
dcloud - layanan maya tata letak laboratorium sing wis diinstal (perlu akun Cisco);
panjalukan GVE β panjalukan saka situs Cisco lunak tartamtu (cara kanggo partners). Sampeyan nggawe kasus kanthi katrangan khas ing ngisor iki: Jinis produk [ISE], Piranti Lunak ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
proyek pilot - hubungi mitra sing sah kanggo nindakake proyek pilot gratis.
1) Sawise nggawe mesin virtual, yen sampeyan njaluk file ISO lan dudu cithakan OVA, jendhela bakal muncul ing ngendi ISE mbutuhake sampeyan milih instalasi. Kanggo nindakake iki, tinimbang mlebu lan sandhi, sampeyan kudu nulis "persiyapan"!
Wigati: yen sampeyan masang ISE saka cithakan OVA, banjur rincian login admin/MyIseYPass2 (iki lan akeh liyane dituduhake ing resmi panuntun).
Figure 2. Nginstal Cisco ISE
2) Banjur sampeyan kudu ngisi kolom sing dibutuhake kayata alamat IP, DNS, NTP lan liya-liyane.
Figure 3. Initializing Cisco ISE
3) Sawise iku, piranti bakal urip maneh, lan sampeyan bakal bisa nyambung liwat antarmuka web nggunakake alamat IP sing wis ditemtokake sadurunge.
Gambar 4. Cisco ISE Web Interface
4) Ing tab Administrasi> Sistem> Penyebaran sampeyan bisa milih node (entitas) sing diaktifake ing piranti tartamtu. Node PxGrid diaktifake ing kene.
Figure 5. Manajemen Entitas Cisco ISE
5) Banjur ing tab Administrasi > Sistem > Akses Admin >bukti asli Aku nyaranake nyiyapake kabijakan sandi, cara otentikasi (sertifikat utawa sandhi), tanggal kadaluwarsa akun, lan setelan liyane.
Gambar 6. Setelan jinis otentikasiGambar 7. Setelan kabijakan sandhiGambar 8. Nyetel mati akun sawise wektu kadaluwarsaGambar 9. Nyetel ngunci akun
6) Ing tab Administrasi> Sistem> Akses Admin> Administrator> Pangguna Admin> Tambah sampeyan bisa nggawe administrator anyar.
Sampeyan ora bisa ngganti kabijakan saliyane ANC utawa nindakake tugas ing tingkat OS
Administrator Layanan RESTful Eksternal (ERS).
Akses lengkap kanggo Cisco ISE REST API
Mung kanggo wewenang, manajemen pangguna lokal, host lan grup keamanan (SG)
Operator Layanan RESTful Eksternal (ERS).
Cisco ISE REST API Ijin Waca
Mung kanggo wewenang, manajemen pangguna lokal, host lan grup keamanan (SG)
Figure 11. Predefined Cisco ISE Administrator Groups
8) Opsional ing tab Wewenang > Idin > Kebijakan RBAC Sampeyan bisa ngowahi hak administrator sing wis ditemtokake.
Gambar 12. Cisco ISE Administrator Preset Profile Rights Management
9) Ing tab Administrasi > Sistem > SetelanKabeh setelan sistem kasedhiya (DNS, NTP, SMTP lan liya-liyane). Sampeyan bisa ngisi kene yen sampeyan ora kejawab nalika wiwitan wiwitan piranti.
5. Kesimpulan
Iki rampung artikel pisanan. We rembugan efektifitas saka solusi Cisco ISE NAC, arsitektur sawijining, syarat minimal lan opsi penyebaran prajurit, lan instalasi dhisikan.
Ing artikel sabanjure, kita bakal ndeleng nggawe akun, nggabungake karo Microsoft Active Directory, lan nggawe akses tamu.
Yen sampeyan duwe pitakon babagan topik iki utawa butuh bantuan kanggo nyoba produk, hubungi link.