Cisco ISE: შესავალი, მოთხოვნები, ინსტალაცია. Ნაწილი 1

1. შესავალი

ყველა კომპანიას, თუნდაც ყველაზე პატარას, სჭირდება ავთენტიფიკაცია, ავტორიზაცია და მომხმარებლის აღრიცხვა (AAA პროტოკოლების ოჯახი). საწყის ეტაპზე AAA საკმაოდ კარგად არის დანერგილი პროტოკოლების გამოყენებით, როგორიცაა RADIUS, TACACS+ და DIAMETER. თუმცა, რაც იზრდება მომხმარებელთა და კომპანიის რაოდენობა, იზრდება ამოცანების რაოდენობაც: ჰოსტების და BYOD მოწყობილობების მაქსიმალური ხილვადობა, მრავალფაქტორიანი ავტორიზაცია, მრავალ დონის წვდომის პოლიტიკის შექმნა და მრავალი სხვა.

ასეთი ამოცანებისთვის, NAC (ქსელის წვდომის კონტროლი) გადაწყვეტილებების კლასი შესანიშნავია - ქსელში წვდომის კონტროლი. სტატიების სერიაში, რომელიც ეძღვნება Cisco ISE (Identity Services Engine) - NAC გადაწყვეტა შიდა ქსელში მომხმარებლებისთვის კონტექსტური წვდომის კონტროლის უზრუნველსაყოფად, ჩვენ დეტალურად განვიხილავთ გადაწყვეტის არქიტექტურას, უზრუნველყოფას, კონფიგურაციას და ლიცენზირებას.

მოკლედ შეგახსენებთ, რომ Cisco ISE გაძლევთ საშუალებას:

• სწრაფად და მარტივად შექმენით სტუმრის წვდომა სპეციალურ WLAN-ზე;

• BYOD მოწყობილობების აღმოჩენა (მაგალითად, თანამშრომლების სახლის კომპიუტერები, რომლებიც მათ სამსახურში მიიტანეს);

• უსაფრთხოების პოლიტიკის ცენტრალიზება და დაცვა დომენისა და არადომენის მომხმარებლებში SGT უსაფრთხოების ჯგუფის ლეიბლების გამოყენებით TrustSec);

• შეამოწმეთ კომპიუტერები დაინსტალირებული გარკვეული პროგრამული უზრუნველყოფისა და სტანდარტებთან შესაბამისობისთვის (პოზირება);

• ბოლო წერტილისა და ქსელის მოწყობილობების კლასიფიკაცია და პროფილირება;

• საბოლოო წერტილის ხილვადობის უზრუნველყოფა;

• მომხმარებელზე დაფუძნებული პოლიტიკის ფორმირებისთვის NGFW-ს გაუგზავნეთ მომხმარებელთა შესვლის/გამოსვლის მოვლენების ჟურნალები, მათი ანგარიშები (იდენტურობა);

• ჩაერთეთ Cisco StealthWatch-თან და გააკარანტინეთ საეჭვო მასპინძლები, რომლებიც მონაწილეობენ უსაფრთხოების ინციდენტებში (მეტი);

• და სხვა ფუნქციები სტანდარტული AAA სერვერებისთვის.

ინდუსტრიის კოლეგებმა უკვე დაწერეს Cisco ISE-ს შესახებ, ამიტომ გირჩევთ, წაიკითხოთ: Cisco ISE განხორციელების პრაქტიკა, როგორ მოვემზადოთ Cisco ISE-ის განხორციელებისთვის.

2. არქიტექტურა

Identity Services Engine არქიტექტურას აქვს 4 ერთეული (კვანძი): მართვის კვანძი (Policy Administration Node), პოლიტიკის განაწილების კვანძი (Policy Service Node), მონიტორინგის კვანძი (Monitoring Node) და PxGrid კვანძი (PxGrid Node). Cisco ISE შეიძლება იყოს დამოუკიდებელ ან განაწილებულ ინსტალაციაში. დამოუკიდებელ ვერსიაში ყველა ერთეული განლაგებულია ერთ ვირტუალურ მანქანაზე ან ფიზიკურ სერვერზე (Secure Network Servers - SNS), ხოლო Distributed ვერსიაში კვანძები ნაწილდება სხვადასხვა მოწყობილობებზე.

პოლიტიკის ადმინისტრირების კვანძი (PAN) არის აუცილებელი კვანძი, რომელიც საშუალებას გაძლევთ შეასრულოთ ყველა ადმინისტრაციული ოპერაცია Cisco ISE-ზე. ის ამუშავებს AAA-სთან დაკავშირებულ ყველა სისტემის კონფიგურაციას. განაწილებულ კონფიგურაციაში (კვანძები შეიძლება დამონტაჟდეს როგორც ცალკეული ვირტუალური მანქანები), შეგიძლიათ გქონდეთ მაქსიმუმ ორი PAN შეცდომების ტოლერანტობისთვის - აქტიური/ლოდინის რეჟიმი.

პოლიტიკის სერვისის კვანძი (PSN) არის სავალდებულო კვანძი, რომელიც უზრუნველყოფს ქსელის წვდომას, მდგომარეობას, სტუმრის წვდომას, კლიენტის სერვისის უზრუნველყოფას და პროფილირებას. PSN აფასებს პოლიტიკას და იყენებს მას. როგორც წესი, ინსტალირებულია მრავალი PSN, განსაკუთრებით განაწილებულ კონფიგურაციაში, უფრო ზედმეტი და განაწილებული ოპერაციისთვის. რა თქმა უნდა, ისინი ცდილობენ დააინსტალირონ ეს კვანძები სხვადასხვა სეგმენტში, რათა წამით არ დაკარგონ ავტორიზებული და ავტორიზებული წვდომის შესაძლებლობა.

მონიტორინგის კვანძი (MnT) არის სავალდებულო კვანძი, რომელიც ინახავს მოვლენის ჟურნალებს, სხვა კვანძების ჟურნალებს და პოლიტიკებს ქსელში. MnT კვანძი უზრუნველყოფს მოწინავე ინსტრუმენტებს მონიტორინგისა და პრობლემების აღმოსაფხვრელად, აგროვებს და აკავშირებს სხვადასხვა მონაცემებს და ასევე იძლევა მნიშვნელოვან ანგარიშებს. Cisco ISE გაძლევთ საშუალებას გქონდეთ მაქსიმუმ ორი MnT კვანძი, რითაც შექმნით შეცდომების ტოლერანტობას - აქტიური/ლოდინის რეჟიმი. თუმცა, ჟურნალები გროვდება ორივე კვანძის მიერ, როგორც აქტიური, ასევე პასიური.

PxGrid Node (PXG) არის კვანძი, რომელიც იყენებს PxGrid პროტოკოლს და საშუალებას აძლევს კომუნიკაციას სხვა მოწყობილობებს შორის, რომლებიც მხარს უჭერენ PxGrid-ს.

PxGrid  — პროტოკოლი, რომელიც უზრუნველყოფს IT და ინფორმაციული უსაფრთხოების ინფრასტრუქტურის პროდუქტების ინტეგრაციას სხვადასხვა მომწოდებლებისგან: მონიტორინგის სისტემები, შეჭრის აღმოჩენისა და პრევენციის სისტემები, უსაფრთხოების პოლიტიკის მართვის პლატფორმები და მრავალი სხვა გადაწყვეტა. Cisco PxGrid საშუალებას გაძლევთ გააზიაროთ კონტექსტი ცალმხრივი ან ორმხრივი გზით მრავალ პლატფორმასთან API-ების საჭიროების გარეშე, რითაც ჩართავთ ტექნოლოგიას TrustSec (SGT tags), შეცვალეთ და გამოიყენეთ ANC (Adaptive Network Control) პოლიტიკა, ასევე შეასრულეთ პროფილირება - განსაზღვრეთ მოწყობილობის მოდელი, OS, მდებარეობა და სხვა.

მაღალი ხელმისაწვდომობის კონფიგურაციაში, PxGrid კვანძები იმეორებენ ინფორმაციას კვანძებს შორის PAN-ზე. თუ PAN გამორთულია, PxGrid კვანძი წყვეტს მომხმარებლების ავთენტიფიკაციას, ავტორიზაციას და აღრიცხვას. 

ქვემოთ მოცემულია სხვადასხვა Cisco ISE ერთეულის ფუნქციონირების სქემატური წარმოდგენა კორპორატიულ ქსელში.

სურათი 1. Cisco ISE Architecture

3. მოთხოვნები

Cisco ISE შეიძლება განხორციელდეს, როგორც უმეტესი თანამედროვე გადაწყვეტილებები, ვირტუალურად ან ფიზიკურად, როგორც ცალკე სერვერი. 

ფიზიკურ მოწყობილობებს, რომლებიც მუშაობენ Cisco ISE პროგრამულ უზრუნველყოფას, ეწოდება SNS (Secure Network Server). ისინი გამოდიან სამ მოდელში: SNS-3615, SNS-3655 და SNS-3695 მცირე, საშუალო და დიდი ბიზნესისთვის. ცხრილი 1 აჩვენებს ინფორმაციას მონაცემთა ფურცელი SNS.

ცხრილი 1. SNS-ის შედარების ცხრილი სხვადასხვა მასშტაბისთვის

პარამეტრის

SNS 3615 (პატარა)

SNS 3655 (საშუალო)

SNS 3695 (დიდი)

მხარდაჭერილი საბოლოო წერტილების რაოდენობა დამოუკიდებელ ინსტალაციაში

10000

25000

50000

მხარდაჭერილი საბოლოო წერტილების რაოდენობა PSN-ზე

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 ბირთვი

12 ბირთვი

12 ბირთვი

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

აპარატურა RAID

არარის

RAID 10, RAID კონტროლერის არსებობა

RAID 10, RAID კონტროლერის არსებობა

ქსელის ინტერფეისები

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

ვირტუალურ განხორციელებებთან დაკავშირებით, მხარდაჭერილი ჰიპერვიზორებია VMware ESXi (რეკომენდებულია VMware 11-ის მინიმალური ვერსია ESXi 6.0-ისთვის), Microsoft Hyper-V და Linux KVM (RHEL 7.0). რესურსები უნდა იყოს დაახლოებით იგივე, რაც ზემოთ მოცემულ ცხრილში, ან მეტი. თუმცა, მინიმალური მოთხოვნები მცირე ბიზნესის ვირტუალური მანქანისთვის არის: 2 CPU 2.0 გჰც და მეტი სიხშირით, 16 GB ოპერატიული მეხსიერება и X GB HDD 

Cisco ISE-ის განლაგების სხვა დეტალებისთვის გთხოვთ, დაუკავშირდეთ ჩვენთვის ან რესურსი #1, რესურსი #2.

4. მონტაჟი

Cisco-ს სხვა პროდუქტების უმეტესობის მსგავსად, ISE შეიძლება შემოწმდეს რამდენიმე გზით:

• dcloud – წინასწარ დაინსტალირებული ლაბორატორიული განლაგების ღრუბლოვანი სერვისი (საჭიროა Cisco ანგარიში);

• GVE მოთხოვნა - მოთხოვნა сайта Cisco გარკვეული პროგრამული უზრუნველყოფის (მეთოდი პარტნიორებისთვის). თქვენ ქმნით საქმეს შემდეგი ტიპიური აღწერით: პროდუქტის ტიპი [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE პაჩი [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• საპილოტე პროექტი — დაუკავშირდით ნებისმიერ უფლებამოსილ პარტნიორს უფასო საპილოტე პროექტის განსახორციელებლად.

1) ვირტუალური მანქანის შექმნის შემდეგ, თუ მოითხოვეთ ISO ფაილი და არა OVA შაბლონი, გამოჩნდება ფანჯარა, რომელშიც ISE მოგთხოვთ აირჩიოთ ინსტალაცია. ამისათვის, თქვენი შესვლისა და პაროლის ნაცვლად, უნდა დაწეროთ „setup"!

შენიშვნა: თუ თქვენ განათავსეთ ISE OVA შაბლონიდან, მაშინ შესვლის დეტალები admin/MyIseYPass2 (ეს და ბევრად მეტი მითითებულია ოფიციალურში სახელმძღვანელო).

სურათი 2. Cisco ISE-ის ინსტალაცია

2) შემდეგ თქვენ უნდა შეავსოთ საჭირო ველები, როგორიცაა IP მისამართი, DNS, NTP და სხვა.

სურათი 3. Cisco ISE-ის ინიციალიზაცია

3) ამის შემდეგ, მოწყობილობა გადაიტვირთება და თქვენ შეძლებთ დაკავშირებას ვებ ინტერფეისის საშუალებით ადრე მითითებული IP მისამართის გამოყენებით.

სურათი 4. Cisco ISE ვებ ინტერფეისი

4) ჩანართში ადმინისტრაცია > სისტემა > განლაგება თქვენ შეგიძლიათ აირჩიოთ რომელი კვანძები (ერთეულები) ჩართულია კონკრეტულ მოწყობილობაზე. PxGrid კვანძი აქ ჩართულია.

სურათი 5. Cisco ISE Entity Management

5) შემდეგ ჩანართში ადმინისტრაცია > სისტემა > ადმინისტრატორის წვდომა > აუტენტიფიკაცია გირჩევთ დააყენოთ პაროლის პოლიტიკა, ავთენტიფიკაციის მეთოდი (სერთიფიკატი ან პაროლი), ანგარიშის ვადის გასვლის თარიღი და სხვა პარამეტრები.

სურათი 6. ავთენტიფიკაციის ტიპის პარამეტრისურათი 7. პაროლის პოლიტიკის პარამეტრებინახაზი 8. ანგარიშის დახურვის დაყენება დროის ამოწურვის შემდეგსურათი 9. ანგარიშის დაბლოკვის დაყენება

6) ჩანართში ადმინისტრაცია > სისტემა > ადმინისტრატორის წვდომა > ადმინისტრატორები > ადმინისტრატორის მომხმარებლები > დამატება შეგიძლიათ შექმნათ ახალი ადმინისტრატორი.

სურათი 10. ადგილობრივი Cisco ISE ადმინისტრატორის შექმნა

7) ახალი ადმინისტრატორი შეიძლება გახდეს ახალი ჯგუფის ან უკვე წინასწარ განსაზღვრული ჯგუფების ნაწილი. ადმინისტრატორის ჯგუფები იმართება იმავე პანელში ჩანართში ადმინისტრაციული ჯგუფები. ცხრილი 2 აჯამებს ინფორმაციას ISE ადმინისტრატორების, მათი უფლებებისა და როლების შესახებ.

ცხრილი 2. Cisco ISE ადმინისტრატორის ჯგუფები, წვდომის დონეები, ნებართვები და შეზღუდვები

ადმინისტრატორის ჯგუფის სახელი

ნებართვები

შეზღუდვები

მორგების ადმინისტრატორი

სტუმრებისა და სპონსორების პორტალების დაყენება, ადმინისტრირება და პერსონალიზაცია

პოლიტიკის შეცვლის ან ანგარიშების ნახვის შეუძლებლობა

დახმარების ადმინისტრატორი

ძირითადი დაფის, ყველა მოხსენების, ლარმებისა და პრობლემების მოგვარების ნაკადების ნახვის შესაძლებლობა

თქვენ არ შეგიძლიათ შეცვალოთ, შექმნათ ან წაშალოთ ანგარიშები, სიგნალიზაცია და ავთენტიფიკაციის ჟურნალები

პირადობის ადმინისტრატორი

მომხმარებლების მართვა, პრივილეგიები და როლები, ჟურნალების, მოხსენებების და სიგნალიზაციის ნახვის შესაძლებლობა

თქვენ არ შეგიძლიათ შეცვალოთ პოლიტიკა ან შეასრულოთ ამოცანები OS დონეზე

MnT ადმინი

სრული მონიტორინგი, ანგარიშები, სიგნალიზაცია, ჟურნალები და მათი მართვა

ნებისმიერი პოლიტიკის შეცვლის შეუძლებლობა

ქსელის მოწყობილობის ადმინისტრატორი

ISE ობიექტების შექმნისა და შეცვლის უფლება, ჟურნალების, ანგარიშების, მთავარი დაფის ნახვა

თქვენ არ შეგიძლიათ შეცვალოთ პოლიტიკა ან შეასრულოთ ამოცანები OS დონეზე

პოლიტიკის ადმინისტრატორი

ყველა პოლიტიკის სრული მართვა, პროფილების შეცვლა, პარამეტრები, ანგარიშების ნახვა

პარამეტრების შესრულების შეუძლებლობა რწმუნებათა სიგელებით, ISE ობიექტებით

RBAC ადმინისტრატორი

ყველა პარამეტრი ოპერაციების ჩანართში, ANC პოლიტიკის პარამეტრები, ანგარიშგების მართვა

თქვენ არ შეგიძლიათ შეცვალოთ სხვა პოლიტიკა, გარდა ANC ან შეასრულოთ ამოცანები OS დონეზე

Super Admin

ყველა პარამეტრზე, მოხსენებასა და მენეჯმენტზე უფლებას შეუძლია წაშალოს და შეცვალოს ადმინისტრატორის რწმუნებათა სიგელები

შეცვლა შეუძლებელია, წაშალეთ სხვა პროფილი სუპერ ადმინისტრატორის ჯგუფიდან

სისტემის ადმინისტრატორი

ყველა პარამეტრი ოპერაციების ჩანართში, სისტემის პარამეტრების მართვა, ANC პოლიტიკა, ანგარიშების ნახვა

თქვენ არ შეგიძლიათ შეცვალოთ სხვა პოლიტიკა, გარდა ANC ან შეასრულოთ ამოცანები OS დონეზე

გარე დასვენების სერვისების (ERS) ადმინისტრატორი

სრული წვდომა Cisco ISE REST API-ზე

მხოლოდ ადგილობრივი მომხმარებლების, ჰოსტების და უსაფრთხოების ჯგუფების (SG) ავტორიზაციის, მართვისთვის

გარე RESTful Services (ERS) ოპერატორი

Cisco ISE REST API წაკითხვის ნებართვები

მხოლოდ ადგილობრივი მომხმარებლების, ჰოსტების და უსაფრთხოების ჯგუფების (SG) ავტორიზაციის, მართვისთვის

სურათი 11. წინასწარ განსაზღვრული Cisco ISE ადმინისტრატორის ჯგუფები

8) სურვილისამებრ ჩანართში ავტორიზაცია > ნებართვები > RBAC პოლიტიკა თქვენ შეგიძლიათ შეცვალოთ წინასწარ განსაზღვრული ადმინისტრატორების უფლებები.

სურათი 12. Cisco ISE ადმინისტრატორის წინასწარ დაყენებული პროფილის უფლებების მართვა

9) ჩანართში ადმინისტრაცია > სისტემა > პარამეტრები სისტემის ყველა პარამეტრი ხელმისაწვდომია (DNS, NTP, SMTP და სხვა). თქვენ შეგიძლიათ შეავსოთ ისინი აქ, თუ გამოტოვეთ ისინი მოწყობილობის საწყისი ინიციალიზაციის დროს.

5. დასკვნა

ამით მთავრდება პირველი სტატია. ჩვენ განვიხილეთ Cisco ISE NAC გადაწყვეტის ეფექტურობა, მისი არქიტექტურა, მინიმალური მოთხოვნები და განლაგების ვარიანტები და საწყისი ინსტალაცია.

შემდეგ სტატიაში განვიხილავთ ანგარიშების შექმნას, Microsoft Active Directory-თან ინტეგრაციას და სტუმრების წვდომის შექმნას.

თუ თქვენ გაქვთ შეკითხვები ამ თემაზე ან გჭირდებათ დახმარება პროდუქტის ტესტირებაში, გთხოვთ დაგვიკავშირდეთ ლინკები.

თვალყური ადევნეთ განახლებებს ჩვენს არხებზე (დეპეშა, Facebook, VK, TS Solution ბლოგი, Yandex Zen).

წყარო: www.habr.com