1. Кіріспе
Әрбір компания, тіпті ең кішісі де, аутентификация, авторизация және пайдаланушы есебін қажет етеді (AAA протоколдар тобы). Бастапқы кезеңде AAA RADIUS, TACACS+ және DIAMETER сияқты хаттамаларды қолдану арқылы өте жақсы жүзеге асырылады. Дегенмен, пайдаланушылар мен компанияның саны өскен сайын, тапсырмалар саны да өседі: хосттар мен BYOD құрылғыларының максималды көрінуі, көп факторлы аутентификация, көп деңгейлі қол жеткізу саясатын құру және т.б.
Мұндай тапсырмалар үшін NAC (Network Access Control) класс шешімдері тамаша - желіге кіруді басқару. арналған мақалалар топтамасында (Identity Services Engine) - ішкі желідегі пайдаланушыларға мәтінмәндік қатынасты басқаруды қамтамасыз етуге арналған NAC шешімі, біз шешімнің архитектурасын, қамтамасыз етілуін, конфигурациясын және лицензиялауын егжей-тегжейлі қарастырамыз.
Cisco ISE сізге мыналарды жасауға мүмкіндік беретінін қысқаша еске сала кетейін:
-
Арнайы WLAN желісінде қонақтарға қолжетімділікті жылдам және оңай жасаңыз;
-
BYOD құрылғыларын анықтау (мысалы, қызметкерлердің жұмысқа әкелген үйдегі компьютерлері);
-
SGT қауіпсіздік тобы белгілерін пайдаланып, домен және домендік емес пайдаланушылар арасында қауіпсіздік саясаттарын орталықтандырыңыз және бекітіңіз );
-
Компьютерлерді орнатылған белгілі бір бағдарламалық қамтамасыз етуді және стандарттарға сәйкестігін тексеру (постановка);
-
Соңғы нүкте мен желілік құрылғыларды жіктеу және профильдеу;
-
Соңғы нүктенің көрінуін қамтамасыз ету;
-
Пайдаланушыға негізделген саясатты қалыптастыру үшін пайдаланушылардың кіру/шығу оқиғалары журналдарын, олардың тіркелгілерін (идентификаторларын) NGFW-ге жіберу;
-
Cisco StealthWatch бағдарламасымен жергілікті түрде біріктіріңіз және қауіпсіздік оқиғаларына қатысы бар күдікті хосттарды карантинге қойыңыз ();
-
AAA серверлері үшін стандартты басқа мүмкіндіктер.
Саладағы әріптестер Cisco ISE туралы жазған, сондықтан мен сізге оқуға кеңес беремін: ,.
2. Сәулет
Identity Services Engine архитектурасында 4 нысан (түйін) бар: басқару түйіні (Policy Administration Node), саясатты тарату түйіні (Policy Service Node), мониторинг түйіні (Monitoring Node) және PxGrid түйіні (PxGrid Node). Cisco ISE дербес немесе таратылған орнатуда болуы мүмкін. Оқшау нұсқада барлық нысандар бір виртуалды машинада немесе физикалық серверде (Secure Network Servers - SNS) орналасқан, ал Бөлінген нұсқада түйіндер әртүрлі құрылғыларға таратылады.
Policy Administration Node (PAN) — Cisco ISE жүйесінде барлық әкімшілік әрекеттерді орындауға мүмкіндік беретін қажетті түйін. Ол AAA қатысты барлық жүйе конфигурацияларын өңдейді. Бөлінген конфигурацияда (түйіндерді бөлек виртуалды машиналар ретінде орнатуға болады), сізде ақауларға төзімділік үшін ең көбі екі PAN болуы мүмкін - Белсенді/Күту режимі.
Policy Service Node (PSN) - желіге кіруді, күйді, қонаққа кіруді, клиенттік қызметті қамтамасыз етуді және профильді құруды қамтамасыз ететін міндетті түйін. PSN саясатты бағалайды және оны қолданады. Әдетте, артық және бөлінген жұмыс үшін бірнеше PSN орнатылады, әсіресе бөлінген конфигурацияда. Әрине, олар бір секундқа аутентификацияланған және рұқсат етілген қол жеткізу мүмкіндігін жоғалтпау үшін бұл түйіндерді әртүрлі сегменттерге орнатуға тырысады.
Мониторинг түйіні (MnT) – оқиғалар журналдарын, басқа түйіндердің журналдарын және желідегі саясаттарды сақтайтын міндетті түйін. MnT түйіні бақылау және ақаулықтарды жою үшін кеңейтілген құралдарды қамтамасыз етеді, әртүрлі деректерді жинайды және өзара байланыстырады, сонымен қатар маңызды есептер береді. Cisco ISE максимум екі MnT түйініне ие болуға мүмкіндік береді, осылайша ақауларға төзімділік жасайды - Белсенді/Күту режимі. Дегенмен, журналдар белсенді және пассивті екі түйін арқылы жиналады.
PxGrid түйіні (PXG) PxGrid протоколын қолданатын және PxGrid қолдайтын басқа құрылғылар арасында байланыс орнатуға мүмкіндік беретін түйін болып табылады.
— әртүрлі жеткізушілердің АТ және ақпараттық қауіпсіздік инфрақұрылымының өнімдерінің интеграциясын қамтамасыз ететін хаттама: бақылау жүйелері, шабуылдарды анықтау және алдын алу жүйелері, қауіпсіздік саясатын басқару платформалары және басқа да көптеген шешімдер. Cisco PxGrid контекстті API интерфейстерін қажет етпестен көптеген платформалармен бір бағытты немесе екі бағытты түрде бөлісуге мүмкіндік береді, осылайша технологияны қосады. (SGT тегтері), ANC (бейімделетін желіні басқару) саясатын өзгертіңіз және қолданыңыз, сонымен қатар профильді орындаңыз - құрылғы үлгісін, ОЖ, орналасқан жерін және т.б. анықтау.
Жоғары қолжетімділік конфигурациясында PxGrid түйіндері PAN арқылы түйіндер арасында ақпаратты қайталайды. PAN өшірілсе, PxGrid түйіні пайдаланушыларды аутентификациялауды, авторизациялауды және есепке алуды тоқтатады.
Төменде корпоративтік желідегі әртүрлі Cisco ISE нысандарының жұмысының схемалық көрінісі берілген.
Сурет 1. Cisco ISE архитектурасы
3. Талаптар
Cisco ISE көптеген заманауи шешімдер сияқты виртуалды немесе физикалық түрде жеке сервер ретінде іске асырылуы мүмкін.
Cisco ISE бағдарламалық құралымен жұмыс істейтін физикалық құрылғылар SNS (Secure Network Server) деп аталады. Олар үш үлгіде келеді: шағын, орта және ірі бизнеске арналған SNS-3615, SNS-3655 және SNS-3695. 1-кестеде ақпарат берілген SNS.
Кесте 1. Әртүрлі масштабтар үшін SNS салыстыру кестесі
Параметр
SNS 3615 (кіші)
SNS 3655 (орташа)
SNS 3695 (үлкен)
Оқшау орнатудағы қолдау көрсетілетін соңғы нүктелердің саны
10000
25000
50000
PSN үшін қолдау көрсетілетін соңғы нүктелер саны
10000
25000
100000
Орталық процессор (Intel Xeon 2.10 ГГц)
8 ядро
12 ядро
12 ядро
Жедел Жадтау Құрылғысы
32 ГБ (2 x 16 ГБ)
96 ГБ (6 x 16 ГБ)
256 ГБ (16 x 16 ГБ)
HDD
1 x 600 ГБ
4 x 600 ГБ
8 x 600 ГБ
Аппараттық RAID
жоқ
RAID 10, RAID контроллерінің болуы
RAID 10, RAID контроллерінің болуы
Желілік интерфейстер
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Виртуалды іске асыруға қатысты, қолдау көрсетілетін гипервизорлар VMware ESXi (ESXi 11 үшін ең аз VMware нұсқасы 6.0 ұсынылады), Microsoft Hyper-V және Linux KVM (RHEL 7.0). Ресурстар жоғарыдағы кестедегідей немесе одан да көп болуы керек. Дегенмен, шағын бизнес виртуалды машинасына қойылатын минималды талаптар: 2 процессоры 2.0 ГГц және одан жоғары жиілікте, 16 ГБ жедел жады и 200 Гб HDD.
Cisco ISE қолданудың басқа мәліметтерін алу үшін хабарласыңыз немесе , .
4. Орнату
Көптеген басқа Cisco өнімдері сияқты, ISE бірнеше жолмен тексерілуі мүмкін:
-
– алдын ала орнатылған зертханалық макеттердің бұлттық қызметі (Cisco тіркелгісі қажет);
-
– сұраныс Белгілі бір бағдарламалық құралдың Cisco (серіктестерге арналған әдіс). Келесі типтік сипаттамасы бар істі жасайсыз: Өнім түрі [ISE], ISE бағдарламалық құралы [ise-2.7.0.356.SPA.x8664], ISE патч [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— тегін пилоттық жобаны жүргізу үшін кез келген уәкілетті серіктеске хабарласыңыз.
1) Виртуалды машинаны жасағаннан кейін, OVA үлгісін емес, ISO файлын сұраған болсаңыз, ISE орнатуды таңдауды талап ететін терезе пайда болады. Ол үшін логин мен парольдің орнына «орнату"!
Ескертпе: егер сіз ISE-ді OVA үлгісінен орналастырсаңыз, онда кіру мәліметтері admin/MyIseYPass2 (осы және тағы басқалар ресми түрде көрсетілген ).
Сурет 2. Cisco ISE орнату
2) Содан кейін IP мекенжайы, DNS, NTP және т.б. сияқты қажетті өрістерді толтыру керек.
Сурет 3. Cisco ISE инициализациясы
3) Осыдан кейін құрылғы қайта жүктеледі және сіз бұрын көрсетілген IP мекенжайын пайдаланып веб-интерфейс арқылы қосыла аласыз.
Сурет 4. Cisco ISE веб-интерфейсі
4) қойындыда Әкімшілік > Жүйе > Орналастыру белгілі бір құрылғыда қандай түйіндердің (нысандардың) қосылғанын таңдауға болады. PxGrid түйіні осы жерде қосылған.
Сурет 5. Cisco ISE Entity Management
5) Содан кейін қойындыда Әкімшілік > Жүйе > Әкімші қатынасы > Аутентификация Мен құпия сөз саясатын, аутентификация әдісін (сертификат немесе құпия сөз), есептік жазбаның жарамдылық мерзімін және басқа параметрлерді орнатуды ұсынамын.
Сурет 6. Аутентификация түрінің параметріСурет 7. Құпиясөз саясаты параметрлеріСурет 8. Уақыт аяқталғаннан кейін есептік жазбаны өшіруді орнатуСурет 9. Есептік жазбаны құлыптауды орнату
6) қойындыда Әкімшілік > Жүйе > Әкімші қатынасы > Әкімшілер > Әкімші пайдаланушылары > Қосу жаңа әкімші жасай аласыз.
Сурет 10. Жергілікті Cisco ISE әкімшісін құру
7) Жаңа әкімші жаңа топтың немесе алдын ала анықталған топтардың бөлігі болуы мүмкін. Әкімші топтары қойындыдағы бір панельде басқарылады Әкімші топтары. 2-кестеде ISE әкімшілері, олардың құқықтары мен рөлдері туралы ақпарат жинақталған.
Кесте 2. Cisco ISE әкімші топтары, кіру деңгейлері, рұқсаттар және шектеулер
Әкімші тобының аты
Рұқсаттар
Шектеулер
Теңшеу әкімшісі
Қонақ және демеушілік порталдарын орнату, басқару және теңшеу
Саясаттарды өзгерту немесе есептерді қарау мүмкін емес
Анықтама үстелінің әкімшісі
Негізгі бақылау тақтасын, барлық есептерді, лармдарды және ақаулықтарды жою ағындарын көру мүмкіндігі
Есептерді, дабылдарды және аутентификация журналдарын өзгерту, жасау немесе жою мүмкін емес
Identity Admin
Пайдаланушыларды, артықшылықтар мен рөлдерді басқару, журналдарды, есептерді және дабылдарды көру мүмкіндігі
Операциялық жүйе деңгейінде саясаттарды өзгерту немесе тапсырмаларды орындау мүмкін емес
MnT Admin
Толық мониторинг, есептер, дабылдар, журналдар және оларды басқару
Кез келген саясатты өзгерту мүмкін емес
Желілік құрылғы әкімшісі
ISE нысандарын жасауға және өзгертуге, журналдарды, есептерді, негізгі бақылау тақтасын қарау құқығы
Операциялық жүйе деңгейінде саясаттарды өзгерту немесе тапсырмаларды орындау мүмкін емес
Саясат әкімшісі
Барлық саясаттарды толық басқару, профильдерді, параметрлерді өзгерту, есептерді қарау
Тіркелгі деректерімен, ISE нысандарымен параметрлерді орындау мүмкін емес
RBAC әкімшісі
Операциялар қойындысындағы барлық параметрлер, ANC саясат параметрлері, есептерді басқару
ANC саясатынан басқа саясаттарды өзгерте алмайсыз немесе ОЖ деңгейінде тапсырмаларды орындай алмайсыз
Super Admin
Барлық параметрлерге, есеп беруге және басқаруға құқықтар әкімші тіркелгі деректерін жоя және өзгерте алады
Өзгерту мүмкін емес, Super Admin тобынан басқа профильді жойыңыз
Жүйелік әкімші
Операциялар қойындысындағы барлық параметрлер, жүйе параметрлерін басқару, ANC саясаты, есептерді қарау
ANC саясатынан басқа саясаттарды өзгерте алмайсыз немесе ОЖ деңгейінде тапсырмаларды орындай алмайсыз
Сыртқы RESTful Services (ERS) әкімшісі
Cisco ISE REST API интерфейсіне толық қол жеткізу
Тек авторизация, жергілікті пайдаланушыларды, хосттарды және қауіпсіздік топтарын басқару үшін (SG)
Сыртқы RESTful Services (ERS) операторы
Cisco ISE REST API оқу рұқсаттары
Тек авторизация, жергілікті пайдаланушыларды, хосттарды және қауіпсіздік топтарын басқару үшін (SG)
Сурет 11. Алдын ала анықталған Cisco ISE әкімші топтары
8) Қойындыда қосымша Авторизация > Рұқсаттар > RBAC саясаты Алдын ала анықталған әкімшілердің құқықтарын өңдеуге болады.
Сурет 12. Cisco ISE әкімшісінің алдын ала орнатылған профиль құқықтарын басқару
9) қойындыда Әкімшілік > Жүйе > Параметрлер Барлық жүйе параметрлері қол жетімді (DNS, NTP, SMTP және т.б.). Құрылғыны бастапқы іске қосу кезінде оларды өткізіп алсаңыз, оларды осында толтыруға болады.
5. Қорытынды
Осымен бірінші мақала аяқталады. Біз Cisco ISE NAC шешімінің тиімділігін, оның архитектурасын, ең төменгі талаптарды және орналастыру нұсқаларын және бастапқы орнатуды талқыладық.
Келесі мақалада біз тіркелгілерді жасауды, Microsoft Active Directory қызметімен біріктіруді және қонақтарға кіруді жасауды қарастырамыз.
Осы тақырып бойынша сұрақтарыңыз болса немесе өнімді сынауға көмек қажет болса, хабарласыңыз .
Біздің арналардағы жаңартуларды күтіңіз (, , , , ).
Ақпарат көзі: www.habr.com