1. ααα ααααΈααααΎα
ααααααααα»αα αα»αααΆααα’αα ααΌααααΈαααααα»αα αα»αααΌα αααα»αααααΆααααααΌαααΆααααααΆααααΆααααααααααΆαα ααΆαα’αα»ααααΆα αα·ααααααααα’αααααααΎααααΆαα (AAA family of protocols)α αα ααααΆααααΆαααααΌα AAA ααααΌαααΆαα’αα»αααααααΆαααα’αααααααΎαα·ααΈααΆαααΌα ααΆ RADIUS, TACACS+ αα·α DIAMETER α αααααΆαααΆαααΆααααα αα ααααααα ααα½αα’αααααααΎααααΆαα αα·ααααα»αα αα»αααΎαα‘αΎα α ααα½ααααα·α αα ααΆαααααΎαα‘αΎααααααα ααααααΆαααΎαααΎαα’αα·ααααΆαααααΆαααΈα αα·αα§ααααα BYOD ααΆααααααααααΆαααα α»αααααΆ ααΆααααααΎααααααΆαααα αΌαααααΎα αααΎαααααα·α αα·αα αααΎααααα
αααααΆαααα·α
αα
ααΆααααααα ααααΆαα NAC (Network Access Control) αααααααααααΆαααΊααα’α₯αααα
αα - network access control α αα
αααα»ααααααΈααα’αααααα§αααα·αααα
αααα»αααΌαααααΉαα’ααααααααααααααΆ Cisco ISE α’αα»ααααΆαα±ααα’ααα:
-
αααααΎαααΆαα αΌαααααΎααΆαααααααΆααααΆααα αα αα·αααΆααααα½ααα ααΎ WLAN αα·αααα
-
ααααΎαα§ααααα BYOD (α§ααΆα ααα αα»αααααΌααααααααααααα·αααα·αααααα½αααααΆαααΆααααα ααααΎααΆα);
-
αααααΌααααα»α αα·αα’αα»αααααααααΆααααα»ααααα·ααΆααα ααΌααΆααα’αααααααΎααααΆααααα αα·ααα·ααααααα αααααααΎααααΆααααα»ααα»ααααα·ααΆα SGT
TrustSec ); -
αα·αα·ααααα»αααααΌααααααααΆαααααααα·ααΈαα½αα ααα½ααααααΆαααα‘αΎα αα·αααΆαα’αα»αααααΆααααααααΆα (ααΆαααΆααααΈααΆαα);
-
α αΆααααααΆαα αα·ααααααααα·ααΌα α ααα»α αααα αα αα·αα§ααααααααααΆα;
-
αααααααααααΆαααΎαααΎαα ααα»α αααα αα;
-
ααααΎαααααα ααα»ααααΉαααα·ααΆαααααααΆαα αΌα/αα·αα’αααααααΎααααΆαα ααααΈαααααα½ααα (α’ααααααααΆα) αα NGFW ααΎααααΈαααααΎααααααΆαααααα’ααααΎα’αααααααΎααααΆααα
-
αα½ααααα αΌαααΎαααααΎαααΆαα½α Cisco StealthWatch αα·αααΆααα±αααα ααΆα ααααα‘ααααΈααααΌααααΆαααΈααα½αα±αααααααααααααΆαααααααααΉαα§ααααααα·α ααα»αα»ααααα·ααΆα (
ααααααΆααααααα ); -
αα·ααααααααα·ααααααααααααααααααΆααααααΆαααααΆαααΈααα AAA α
αα αααα·ααα
αααα»αα§ααααΆα αααααααααΆαααααααα½α
α αΎαα’αααΈ Cisco ISE ααΌα
αααααααα»αααααΆαα’αααα±ααα’αΆαα
2 α ααααΆαααααααα
ααααΆαααααααα Identity Services Engine ααΆα 4 entities (nodes)α ααααΆααααααααααα (Policy Administration Node) ααααΆααα ααα αΆααααααΆααα (Policy Service Node) ααααΆαααααα½ααα·αα·ααα (Monitoring Node) αα·α PxGrid node (PxGrid Node)α Cisco ISE α’αΆα αααα·ααα αααα»αααΆαααα‘αΎαααΆα ααααα‘αα α¬α ααα αΆαα αα αααα»ααααα Standalone α’αααααΆαααΆααα’ααααΆαααΈααΆαααα ααΎαααΆαααΈααα·αααα·ααα½α α¬αααΆαααΈαααααΆααααααα (Secure Network Servers - SNS) ααααααααααα αααα»ααααα Distributed ααααΆααααααΌαααΆαα ααα αΆαααΆαα§αααααααααααααααΆα
Policy Administration Node (PAN) ααΊααΆααααΆαααααααααΌαααΆααααα’αα»ααααΆαα±ααα’αααααααΎααααα·ααααα·ααΆαααααααΆαααΆααα’αααα ααΎ Cisco ISE α ααΆαααααααααααΆαααααααα ααΆααααααααααααααααααΆααα’αααααααΆααααααΉα AAA α αα αααα»αααΆαααααααα ααΆααααααααα ααα αΆα (ααααΆααα’αΆα ααααΌαααΆαααα‘αΎαααΆαααΆαααΈααα·αααα·αααΆα ααααα‘αα) α’αααα’αΆα ααΆα PAN α’αα·ααααΆααΈααααααΆααααΆαα’ααα±αααα α»α - ααααααααα/αααα αΆαα
Policy Service Node (PSN) ααΊααΆααααΆααα αΆαααΆα αααααααααααΌαααΆαα αΌαααααΎαααααΆα αααα ααΆαα αΌαααααΎααΆααααα ααΆααααααααααΆα’αα·αα·αα αα·αααΆααααααΎαααααααα PSN ααΆαααααααααααΆααα αα·αα’αα»ααααααΆα ααΆααααααΆ PSNs α αααΎαααααΌαααΆαααα‘αΎα ααΆαα·ααααα αααα»αααΆαααααααα ααΆααααααααα ααα αΆα αααααΆααααααα·ααααα·ααΆαααααααααααΌαααΆαααα ααα αα·αα ααα αΆαα ααΆααΆααα·αααΆαα αα½αααααααΆααΆαααα‘αΎαααααΆααααΆααααααα αααα»αααααααααααα ααΎααααΈαα»αα±ααααΆααααααααααααΆααααα»αααΆααααααααΌαααΆαα αΌαααααΎαααααΆααααααααααΆαα αα·αα’αα»ααααΆααααα»ααααααααα½ααα·ααΆααΈα
ααααΆαααααα½ααα·αα·ααα (MnT) ααΊααΆααααΆααα αΆαααΆα αααααααααΆαα»ααααααα ααα»ααααΉαααα·ααΆααα αααααα ααα»ααααααΆαααααααααα αα·ααααααΆααααα ααΎαααααΆαα ααααΆαα MnT αααααααΌαα§αααααααααα·αααααααααααΆααααΆααααα½ααα·αα·ααα αα·ααααααααΆααααα αΆ αααααΌα αα·αααΆαααααα·αααααααααααα α αΎααααααΆαααααααααΌααααΆαααΆαααααααΆαα’αααααααααααα Cisco ISE α’αα»ααααΆαα±ααα’αααααΆαααααΆαα MnT α’αα·ααααΆααΈα αααα ααα»ααααααααΎαααΆαα’ααα±αααα α»α - ααααααααα/αααα αΆαα αααααΆαααΆαααΆααααα αααααα ααα»ααααΌαααΆααααααΌααααααααΆααααΆααααΈα ααΆααααααα αα·αα’ααααα
ααααΆαα PxGrid (PXG) ααΊααΆααααΆαααααααααΎαα·ααΈααΆα PxGrid αα·αα’αα»ααααΆαα±ααααααΆαααααααααΆαα§ααααααααααααααααααΆαααα PxGrid α
αα αααα»αααΆαααααααααααΆαααααα·αααααα ααααΆαα PxGrid α ααααααααααΆααααΆαααααΆααααΎ PAN α ααααα·αααΎ PAN ααααΌαααΆααα·α ααααΆαα PxGrid ααααααααΆααααααααααΆαα ααΆαααααααα·αααα· αα·αααααααααααααΆααα’αααααααΎααααΆααα
ααΆαααααααααααΊααΆααΆαααααΆαααΆαααααααΆαααααααααα·ααααα·ααΆαααα’αααααΆα Cisco ISE αααααααααΆαα αααα»ααααααΆαααΆααΈααααααα½αα
ααΌαααΆαααΈ 1. ααααΆαααααααα Cisco ISE
α₯.α’. αααααΌαααΆα
Cisco ISE α’αΆα βααααΌαβααΆαβα’αα»ααααβααΌα βααΆβαααααβααααΆαβααααΎαβααΆαβα αααΎα ααααΎαβααβα¬βααΆβααΌαααααβααΆβαααΆαααΈαβααβααΆα αβαααβα‘ααα
α§αααααααΆαααΆααααααααΎαααΆααααααα·ααΈ Cisco ISE ααααΌαααΆαααα α
ααΆ SNS (Secure Network Server)α αα½αααΆααΆαααΈαααΌαααα SNS-3615, SNS-3655 αα·α SNS-3695 αααααΆααα’αΆααΈαααααααααΆαααΌα
ααααα αα·αααα ααΆααΆαααΈ 1 αααα αΆαααααααΆαααΈ
ααΆααΆαααΈ 1. ααΆααΆααααααααα SNS αααααΆααααΆαααααααΆαααααααααααΆ
αααΆαααΆαααααα
SNS 3615 (ααΌα )
SNS 3655 (ααααα)
SNS 3695 (αα)
α ααα½αααα ααα»α αααα αααααααΆαααΆαααααα αααα»αααΆαααα‘αΎαα―αααΆααα
10000
25000
50000
α ααα½αααα ααα»α αααα αααααααΆαααααααα»ααα½α PSN
10000
25000
100000
αααΈααΈααΌ (Intel Xeon 2.10 GHz)
8 ααααΌα
12 ααααΌα
12 ααααΌα
α’αααβα αα αΆα
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 ααΈααΆαα
4 x 600 ααΈααΆαα
8 x 600 ααΈααΆαα
RAID αααααααΉα
ααααΆα
RAID 10 ααααααΆαααααα§ααααααααααΆ RAID
RAID 10 ααααααΆαααααα§ααααααααααΆ RAID
α ααα»α αααααΆαααααααΆαα
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
ααΆααααααΉαααΆαα’αα»αααααα·αααα·α α’ααααααα½ααα·αα·αααααααααααααΆααααααΊ VMware ESXi (α’αααααααΆ VMware αααα 11 αααααΆαα ESXi 6.0 ααααΌαααΆαααααΆα) Microsoft Hyper-V αα·α Linux KVM (RHEL 7.0) α ααααΆααα½αααααΆααααα αΆαααααα ααααΌα αααα»αααΆααΆαααΆαααΎ α¬α αααΎαααΆααααα ααααααΆαααΆααααα αααααΌαααΆαα’αααααααΆαααααΆαααααΆαααΈααα·αααα·αα’αΆααΈαααααααααΆαααΌα ααΊα αααΈααΈααΌ 2 ααΆαα½αααΉαααααααα 2.0 GHz αα·ααααααααΆαααα RAM ααα α 16 GB ΠΈ 200 GB HDD α
αααααΆααααααααΆααααα’α·αα’αααΈααΆαααΆαααααααΆα Cisco ISE αααααααα ααΌαααΆαααα
4. ααΆαααα‘αΎα
ααΌα ααα·ααα Cisco ααααααααααα ISE α’αΆα ααααΌαααΆαααΆαααααααΆααα·ααΈααΆα αααΎαα
-
dcloud - ααααΆαααααααααααααααΈααα·ααααααααααΆαααα‘αΎαααΆαα»α (ααΆαααΆαααααΈαααΈααααΌ); -
ααααΎ GVE - ααααΎαα»αααΈααααααααααΆα αααΈααααΌαααααααα·ααΈααΆααααΆαα (αα·ααΈααΆααααααααααΆααααααΌ) α α’ααααααααΎαααααΈααΆαα½αααΉαααΆααα·αααααΆααααααΆααΌα ααΆααααααα ααααααααα·ααα [ISE] αααααα·ααΈ ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x86ααααΆα α’α α‘α‘]; -
ααααααααΆααααα β ααΆααααααααΌαααααΆαααΆαα’αα»ααααΆα ααΎααααΈα’αα»ααααααααααααΆαααααα₯ααα·αααααα
1) αααααΆααααΈαααααΎααααΆαααΈααα·αααα·α ααααα·αααΎα’αααααΆαααααΎαα»αα―αααΆα ISO αα·ααα·ααααααΆααααΌ OVA ααα αααα’α½α ααΉαααα α‘αΎαααα ISE αααααΌαα±ααα’αααααααΎαααΎαααΆαααα‘αΎαα ααΎααααΈααααΎααΌα αααα αααα½αα±ααααΆαα αΌα αα·αααΆααααααααΆααααααα’ααα α’ααααα½αααααααα βααΆαααα‘αΎαβ!
α
αααΆα: ααααα·αααΎα’αααααΆαααΆαααααααΆα ISE ααΈααααΌ OVA αααααααααΆααααα’α·αααααΆαα
αΌα α’αααααααααααα/MyIseYPass2 (ααααα·αα
αααΎααααααααΌαααΆαα
ααα’α»ααααα αΆααα
αααα»αααααΌαααΆα
ααΌαααΆαααΈ 2. ααΆαααα‘αΎα Cisco ISE
2) αααααΆααααα’ααααα½αααααααααααα»αααΆααααααααΌαααΆαααΌα ααΆα’αΆααααααΆα IP, DNS, NTP αα·αααααααααα
ααΌαααΆαααΈ 3. ααΆαα αΆααααααΎαααααΎαααΆα Cisco ISE
3) αααααΆααααΈααα α§αααααααΉαα αΆααααααΎαα‘αΎααα·α α αΎαα’αααααΉαα’αΆα ααααΆααααΆααααα ααα»α αααααΆαααααααΆααααααααΎα’αΆααααααΆα IP αααααΆααααααΆααααΈαα»αα
ααΌαααΆαααΈ 4. Cisco ISE Web Interface
4) αα αααα»αααααΆαα ααααααΆα > αααααααα > ααΆαααΆαααααααΆα α’αααα’αΆα ααααΎαααΎαααααΆααααΆαα½α (α’αααααΆα) ααααΌαααΆαααΎααα ααΎα§αααααααΆααααΆαααα½αα ααααΆαα PxGrid ααααΌαααΆαααΎααα ααΈαααα
ααΌαααΆαααΈ 5. Cisco ISE Entity Management
5) αααααΆαααααα αααα»αααααΆαα ααααααΆα > αααααααα > ααΆαα αΌαααααΎα’αααααααααααα > ααΆααααααααααΆααααΆαααααΉαααααΌα αααα»αααΌαααααΆαα±αααααα ααααααΆαααααΆααααααααΆαα αα·ααΈααΆααααααααααααααΆαα (αα·ααααΆαααααα α¬ααΆααααααααΆαα) ααΆαααα·α αααααα»ααααααααααΈ αα·αααΆααααααααααααααα
ααΌαααΆαααΈ 6. ααΆααααααααααααααΆααααααααααΆααααΌαααΆαααΈ 7. ααΆαααααααααααΆαααααΆααααααααΆααααΌαααΆαααΈ 8. ααΆαααα‘αΎαααΆααα·αααααΈαααααΆααααΈαααααααΆαα»ααααααααΌαααΆαααΈ 9. ααΆαααα‘αΎαααΆαα αΆααααααααΈ
6) αα αααα»αααααΆαα ααααααΆα > αααααααα > ααΆαα αΌαααααΎα’αααααααααααα > α’αααααααααααα > α’αααααααααααα > αααααα α’αααα’αΆα αααααΎαα’ααααααααααααααααΈα
ααΌαααΆαααΈ 10. ααΆααααααΎα Local Cisco ISE Administrator
7) α’ααααααααααααααααΈα’αΆα ααααΌαααΆααααααΎαααΆααααααααααα»αααααΈ α¬αααα»ααααααΆααααααααΆαα»ααα½α α αΎαα αααα»αα’ααααααααααααααααΌαααΆαααααααααααα αααα»ααααααααΌα ααααΆαα αααα»αααααΆαα αααα»αα’ααααααααααααα ααΆααΆαααΈ 2 ααααααααααααΆαα’αααΈα’αααααααααααα ISE αα·αααα· αα·ααα½ααΆααΈαααααα½αααα
ααΆααΆα 2. αααα»αα’αααααααααααα Cisco ISE ααααα·αα αΌαααααΎ ααΆαα’αα»ααααΆα αα·αααΆαααΉααααααΉα
ααααααααα»αα’αααααααααααα
ααΆαα’αα»ααααΆα
ααΆαααΉααααα·α
α’ααααααααααααααααΌαααΆααααα
ααΆαααα‘αΎααα·αααααααααα αα·αααΆαα§ααααααα ααΆαααααααααα αα·αααΆαααααΌαααΆααααα
α’αααααααΆααααα»αααΆαααααΆααααααΌαααααααααΆα α¬ααΎααααΆαααΆααα
Helpdesk α’αααααααααααα
αααααααΆααααα»αααΆαααΎαααααΆααααααααααααα αααΆαααΆαααααΆααα’αα larms αα·αααΆααααααααΆααααα αΆααααααΈα
α’ααααα·αα’αΆα ααααΆααααααΌα αααααΎα α¬αα»ααααΆαααΆααα ααΆαααΌαααααΉα αα·ααααααα ααα»ααΆααααααααααΆααααΆαααα
α’ααααααααααααα’ααααααααΆα
ααΆααααααααααα’αααααααΎααααΆαα αα·αααα· αα·ααα½ααΆααΈ αααααααΆααααα»αααΆαααΎααααααα ααα» αααΆαααΆααα αα·αααΆαααΌαααααΉα
α’ααααα·αα’αΆα ααααΆααααααΌααααααΆααα α¬α’αα»αααααα·α αα ααΆααα ααααα·α OS ααΆαααα
α’αααααααααααα MnT
ααΆααααα½ααα·αα·ααααααααα αααΆαααΆααα ααΆαααΌαααααΉα αααααα ααα» αα·αααΆαααααααααααααααα½αααα
α’αααααααΆααααα»αααΆαααααΆααααααΌαααααααααΆαααΆαα½αα
α’ααααααααααααα§ααααααααααΆα
αα·αααα·αααα»αααΆααααααΎα αα·αααααΆααααααΌαααααα» ISE ααΎααααααα ααα» αααΆαααΆααα ααααΆααααααααααααα
α’ααααα·αα’αΆα ααααΆααααααΌααααααΆααα α¬α’αα»αααααα·α αα ααΆααα ααααα·α OS ααΆαααα
α’ααααααααααααααααααααΆα
ααΆαααααααααααααααααααααααΆαααααΆααα’αα ααΆαααααΆααααααΌααααααα ααΆαααααα ααΆαααΎααααΆαααΆααα
α’αααααααΆααααα»αααΆαα’αα»ααααααΆααααααααΆαα½αααααααΆαα’ααααααααΆαααααα» ISE
α’αααααααααααα RBAC
ααΆααααααααΆααα’αααα αααα»αααααΆααααααα·ααααα·ααΆα ααΆαααααααααααΆααα ANC ααΆααααααααααααΆαααΆαααΆααα
α’ααααα·αα’αΆα ααααΆααααααΌααααααΆααααααα ααΈ ANC α¬α’αα»αααααα·α αα ααΆααα ααααα·α OS ααΆαααα
α’ααααααααααααααΆααααααα
αα·αααα·α ααααααΆαααααα ααΆαααΆαααΆααα αα·αααΆααααααααααααΆααα’αα α’αΆα αα»α αα·αααααΆααααααΌααα·αα·ααααααΆααα’αααααααααααα
αα·αβα’αΆα βααααΆααβααααΌβα, αα»αβαααααααα·ααΌαβαααααβαααβααΈβαααα»α Super Admin
ααααααααααααααααα
ααΆααααααααΆααα’αααα αααα»αααααΆααααααα·ααααα·ααΆα ααΆααααααααααααΆαααααααααααααα αααααΆααα ANC ααΆαααΎααααΆαααΆααα
α’ααααα·αα’αΆα ααααΆααααααΌααααααΆααααααα ααΈ ANC α¬α’αα»αααααα·α αα ααΆααα ααααα·α OS ααΆαααα
ααααΆαααααααααΆαααΆααααα (ERS) α’αααααααααααα
ααΆαα αΌαααααΎαααΆααααααααα ααΆαα Cisco ISE REST API
αααααΆααααααΆαα’αα»ααααΆα ααΆααααααααααα’αααααααΎααααΆαααααα»ααααα»α αααΆαααΈα αα·ααααα»ααα»ααααα·ααΆα (SG)
ααααα·ααααα·ααααααΆαααααααααΆαααΆααααα (ERS)
Cisco ISE REST API α’αΆαααΆαα’αα»ααααΆα
αααααΆααααααΆαα’αα»ααααΆα ααΆααααααααααα’αααααααΎααααΆαααααα»ααααα»α αααΆαααΈα αα·ααααα»ααα»ααααα·ααΆα (SG)
ααΌαααΆαααΈ 11. αααα»αα’αααααααααααα Cisco ISE αααααΆααααααααΆαα»α
8) ααααα α α·ααααα αααα»αααααΆαα ααΆαα’αα»ααααΆα > ααΆαα’αα»ααααΆα > αααααΆααα RBAC α’αααα’αΆα ααααααα½ααα·αααα·ααααα’αααααααααααααααααΆααααααααΆαα»αα
ααΌαααΆαααΈ 12. Cisco ISE Administrator αααααααΆαα»α ααΆαααααααααααα·αααα·αααααα
9) αα αααα»αααααΆαα ααΆαααααααααα > αααααααα > ααΆαααααα ααΆααααααααααααααααΆααα’ααααΆα (DNS, NTP, SMTP αα·αααααααααα)α α’αααα’αΆα αααααααΆαα ααΈααα ααααα·αααΎα’αααααααΆαααΆα’αα‘α»ααααα αΆααααααΎαα§αααααααααΌαα
5 α ααα ααααΈααααα·ααααΆα
ααααααα ααα’αααααααΈαα½αα ααΎαααΆααα·ααΆααααΆα’αααΈααααα·αααααΆααααααααααααΆα Cisco ISE NAC ααααΆααααααααααααααΆ αααααΌαααΆαα’αααααααΆ αα·ααααααΎαααααΆαααααΎααααΆαα αα·αααΆαααα‘αΎαααααΌαα
αα αααα»αα’ααααααααααΆαα ααΎαααΉααα·αα·αααααΎαααΆααααααΎαααααΈ αα½ααααα αΌαααΆαα½α Microsoft Active Directory αα·αααΆααααααΎαααΆαα αΌαααααΎααΆαααααα
ααααα·αααΎα’αααααΆααααα½αα’αααΈαααααΆαααααα α¬ααααΌαααΆααααα½ααααα»αααΆαααΆαααααααα·ααα ααΌαααΆαααα
αααα
αΆαααααααΆαααααΈααα
αααα»αααα»αααα·αααααααΎα (
ααααα: www.habr.com