1. Pambuka
Saben perusahaan, sanajan sing paling cilik, mbutuhake otentikasi, wewenang lan akuntansi pangguna (kulawarga protokol AAA). Ing tataran wiwitan, AAA cukup diimplementasikake kanthi nggunakake protokol kayata RADIUS, TACACS + lan DIAMETER. Nanging, nalika jumlah pangguna lan perusahaan saya tambah akeh, jumlah tugas uga saya tambah: visibilitas maksimal host lan piranti BYOD, otentikasi multi-faktor, nggawe kebijakan akses multi-level lan liya-liyane.
Kanggo tugas kasebut, solusi kelas NAC (Network Access Control) sampurna - kontrol akses jaringan. Ing seri artikel darmabakti kanggo (Mesin Layanan Identitas) - solusi NAC kanggo nyedhiyakake kontrol akses sing ngerti konteks kanggo pangguna ing jaringan internal, kita bakal nliti arsitektur, provisioning, konfigurasi lan lisensi solusi kasebut.
Ayo kula ngelingake sampeyan yen Cisco ISE ngidini sampeyan:
-
Cepet lan gampang nggawe akses tamu ing WLAN darmabakti;
-
Ndeteksi piranti BYOD (contone, PC omah karyawan sing digawa menyang kantor);
-
Sentralisasi lan ngetrapake kabijakan keamanan ing pangguna domain lan non-domain nggunakake label grup keamanan SGT );
-
Priksa komputer kanggo piranti lunak tartamtu sing diinstal lan tundhuk karo standar (posturing);
-
Klasifikasi lan profil endpoint lan piranti jaringan;
-
Nyedhiyakake visibilitas titik pungkasan;
-
Kirim log acara log / logoff pangguna, akun (identitas) menyang NGFW kanggo mbentuk kabijakan adhedhasar pangguna;
-
Integrasi asli karo Cisco StealthWatch lan karantina sarwa curiga sing melu insiden keamanan ();
-
Lan fitur liyane standar kanggo server AAA.
Kolega ing industri wis nulis babagan Cisco ISE, mula aku menehi saran supaya maca: ,.
2. Arsitektur
Arsitektur Identity Services Engine nduweni 4 entitas (node): simpul manajemen (Node Administrasi Kebijakan), simpul distribusi kebijakan (Node Layanan Kebijakan), simpul pemantauan (Node Pemantauan) lan simpul PxGrid (Node PxGrid). Cisco ISE bisa ing instalasi dewekan utawa mbagekke. Ing versi Standalone, kabeh entitas dumunung ing siji mesin virtual utawa server fisik (Secure Network Servers - SNS), nalika ing versi Distributed, node disebarake ing macem-macem piranti.
Node Administrasi Kebijakan (PAN) minangka simpul sing dibutuhake sing ngidini sampeyan nindakake kabeh operasi administratif ing Cisco ISE. Nangani kabeh konfigurasi sistem related kanggo AAA. Ing konfigurasi mbagekke (simpul bisa diinstal minangka mesin virtual kapisah), sampeyan bisa duwe maksimum loro PAN kanggo toleransi fault - Active / Mode siyaga.
Policy Service Node (PSN) minangka simpul wajib sing nyedhiyakake akses jaringan, negara, akses tamu, provisioning layanan klien, lan profiling. PSN ngevaluasi kebijakan kasebut lan ngetrapake. Biasane, sawetara PSN dipasang, utamane ing konfigurasi sing disebarake, kanggo operasi sing luwih akeh lan disebarake. Mesthine, dheweke nyoba nginstal simpul kasebut ing macem-macem segmen supaya ora kelangan kemampuan kanggo nyedhiyakake akses sing sah lan otentikasi sedhela.
Monitoring Node (MnT) minangka simpul wajib sing nyimpen log acara, log simpul liyane lan kabijakan ing jaringan. Node MnT nyedhiyakake alat canggih kanggo ngawasi lan ngatasi masalah, ngumpulake lan nggandhengake macem-macem data, lan uga menehi laporan sing migunani. Cisco ISE ngidini sampeyan duwe maksimal rong kelenjar MnT, saΓ©ngga nggawe toleransi fault - mode Aktif / Siyaga. Nanging, log diklumpukake dening loro simpul, loro aktif lan pasif.
PxGrid Node (PXG) minangka simpul sing nggunakake protokol PxGrid lan ngidini komunikasi antarane piranti liyane sing ndhukung PxGrid.
β protokol sing njamin integrasi produk infrastruktur keamanan IT lan informasi saka macem-macem vendor: sistem pemantauan, sistem deteksi lan pencegahan intrusi, platform manajemen kebijakan keamanan lan akeh solusi liyane. Cisco PxGrid ngidini sampeyan nuduhake konteks kanthi cara siji-arah utawa loro-arah kanthi akeh platform tanpa perlu API, saΓ©ngga bisa nggawe teknologi kasebut. (tags SGT), ngganti lan ngetrapake kabijakan ANC (Adaptive Network Control), uga nindakake profiling - nemtokake model piranti, OS, lokasi, lan liya-liyane.
Ing konfigurasi kasedhiyan dhuwur, simpul PxGrid niru informasi antarane simpul liwat PAN. Yen PAN dipateni, simpul PxGrid bakal mandheg ngotentikasi, menehi wewenang, lan nyathet pangguna.
Ing ngisor iki minangka perwakilan skematis saka operasi entitas Cisco ISE sing beda ing jaringan perusahaan.
Gambar 1. Arsitektur Cisco ISE
3. Syarat
Cisco ISE bisa dipun ginakaken, kaya paling solusi modern, sakbenere utawa fisik minangka server kapisah.
Piranti fisik sing nganggo piranti lunak Cisco ISE diarani SNS (Secure Network Server). Padha teka ing telung model: SNS-3615, SNS-3655 lan SNS-3695 kanggo bisnis cilik, medium lan gedhe. Tabel 1 nuduhake informasi saka SNS.
Tabel 1. Tabel perbandingan SNS kanggo skala sing beda
Parameter
SNS 3615 (cilik)
SNS 3655 (Sedheng)
SNS 3695 (Gedhe)
Jumlah titik pungkasan sing didhukung ing instalasi Mandiri
10000
25000
50000
Jumlah endpoint sing didhukung saben PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 iron
12 iron
12 iron
Ram
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Hardware
Ora
RAID 10, ngarsane RAID controller
RAID 10, ngarsane RAID controller
Antarmuka jaringan
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Babagan implementasi virtual, hypervisor sing didhukung yaiku VMware ESXi (minimal VMware versi 11 kanggo ESXi 6.0 dianjurake), Microsoft Hyper-V lan Linux KVM (RHEL 7.0). Sumber daya kudu kira-kira padha karo tabel ing ndhuwur, utawa luwih. Nanging, syarat minimal kanggo mesin virtual bisnis cilik yaiku: 2 CPU kanthi frekuensi 2.0 GHz lan luwih dhuwur, 16 GB RAM ΠΈ 200 GB HDD.
Kanggo rincian panyebaran Cisco ISE liyane, hubungi utawa kanggo , .
4. Instalasi
Kaya produk Cisco liyane, ISE bisa diuji kanthi sawetara cara:
-
- layanan maya tata letak laboratorium sing wis diinstal (perlu akun Cisco);
-
β panjalukan saka Cisco lunak tartamtu (cara kanggo partners). Sampeyan nggawe kasus kanthi katrangan khas ing ngisor iki: Jinis produk [ISE], Piranti Lunak ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- hubungi mitra sing sah kanggo nindakake proyek pilot gratis.
1) Sawise nggawe mesin virtual, yen sampeyan njaluk file ISO lan dudu cithakan OVA, jendhela bakal muncul ing ngendi ISE mbutuhake sampeyan milih instalasi. Kanggo nindakake iki, tinimbang mlebu lan sandhi, sampeyan kudu nulis "persiyapan"!
Wigati: yen sampeyan masang ISE saka cithakan OVA, banjur rincian login admin/MyIseYPass2 (iki lan akeh liyane dituduhake ing resmi ).
Figure 2. Nginstal Cisco ISE
2) Banjur sampeyan kudu ngisi kolom sing dibutuhake kayata alamat IP, DNS, NTP lan liya-liyane.
Figure 3. Initializing Cisco ISE
3) Sawise iku, piranti bakal urip maneh, lan sampeyan bakal bisa nyambung liwat antarmuka web nggunakake alamat IP sing wis ditemtokake sadurunge.
Gambar 4. Cisco ISE Web Interface
4) Ing tab Administrasi> Sistem> Penyebaran sampeyan bisa milih node (entitas) sing diaktifake ing piranti tartamtu. Node PxGrid diaktifake ing kene.
Figure 5. Manajemen Entitas Cisco ISE
5) Banjur ing tab Administrasi > Sistem > Akses Admin > bukti asli Aku nyaranake nyiyapake kabijakan sandi, cara otentikasi (sertifikat utawa sandhi), tanggal kadaluwarsa akun, lan setelan liyane.
Gambar 6. Setelan jinis otentikasiGambar 7. Setelan kabijakan sandhiGambar 8. Nyetel mati akun sawise wektu kadaluwarsaGambar 9. Nyetel ngunci akun
6) Ing tab Administrasi> Sistem> Akses Admin> Administrator> Pangguna Admin> Tambah sampeyan bisa nggawe administrator anyar.
Figure 10. Nggawe Administrator Cisco ISE Local
7) Administrator anyar bisa dadi bagΓ©an saka grup anyar utawa grup sing wis ditemtokake. Grup administrator dikelola ing panel sing padha ing tab Grup Admin. Tabel 2 ngringkes informasi babagan administrator ISE, hak lan perane.
Tabel 2. Grup Administrator Cisco ISE, Tingkat Akses, Ijin, lan Watesan
Jeneng grup administrator
Ijin
Watesan
Kustomisasi Admin
Nyetel portal tamu lan sponsor, administrasi lan kustomisasi
Ora bisa ngganti kabijakan utawa ndeleng laporan
Helpdesk Admin
Kemampuan kanggo ndeleng dashboard utama, kabeh laporan, larms lan stream ngatasi masalah
Sampeyan ora bisa ngganti, nggawe utawa mbusak laporan, weker lan log otentikasi
Identitas Admin
Ngatur pangguna, hak istimewa lan peran, kemampuan kanggo ndeleng log, laporan lan weker
Sampeyan ora bisa ngganti kabijakan utawa nindakake tugas ing tingkat OS
Admin MNT
Ngawasi lengkap, laporan, weker, log lan manajemen
Ora bisa ngganti kabijakan apa wae
Admin Piranti Jaringan
Hak kanggo nggawe lan ngganti obyek ISE, ndeleng log, laporan, dashboard utama
Sampeyan ora bisa ngganti kabijakan utawa nindakake tugas ing tingkat OS
Admin Kawicaksanan
Manajemen lengkap kabeh kabijakan, ngganti profil, setelan, ndeleng laporan
Ora bisa nindakake setelan kanthi kapercayan, obyek ISE
Admin RBAC
Kabeh setelan ing tab Operasi, setelan kabijakan ANC, manajemen laporan
Sampeyan ora bisa ngganti kabijakan saliyane ANC utawa nindakake tugas ing tingkat OS
Super Admin
Hak kanggo kabeh setelan, laporan lan manajemen, bisa mbusak lan ngganti kredensial administrator
Ora bisa ngganti, mbusak profil liyane saka grup Super Admin
Admin sistem
Kabeh setelan ing tab Operasi, ngatur setelan sistem, kabijakan ANC, ndeleng laporan
Sampeyan ora bisa ngganti kabijakan saliyane ANC utawa nindakake tugas ing tingkat OS
Administrator Layanan RESTful Eksternal (ERS).
Akses lengkap kanggo Cisco ISE REST API
Mung kanggo wewenang, manajemen pangguna lokal, host lan grup keamanan (SG)
Operator Layanan RESTful Eksternal (ERS).
Cisco ISE REST API Ijin Waca
Mung kanggo wewenang, manajemen pangguna lokal, host lan grup keamanan (SG)
Figure 11. Predefined Cisco ISE Administrator Groups
8) Opsional ing tab Wewenang > Idin > Kebijakan RBAC Sampeyan bisa ngowahi hak administrator sing wis ditemtokake.
Gambar 12. Cisco ISE Administrator Preset Profile Rights Management
9) Ing tab Administrasi > Sistem > Setelan Kabeh setelan sistem kasedhiya (DNS, NTP, SMTP lan liya-liyane). Sampeyan bisa ngisi kene yen sampeyan ora kejawab nalika wiwitan wiwitan piranti.
5. Kesimpulan
Iki rampung artikel pisanan. We rembugan efektifitas saka solusi Cisco ISE NAC, arsitektur sawijining, syarat minimal lan opsi penyebaran prajurit, lan instalasi dhisikan.
Ing artikel sabanjure, kita bakal ndeleng nggawe akun, nggabungake karo Microsoft Active Directory, lan nggawe akses tamu.
Yen sampeyan duwe pitakon babagan topik iki utawa butuh bantuan kanggo nyoba produk, hubungi .
Tetep dirungokake kanggo nganyari ing saluran kita (, , , , ).
Source: www.habr.com