1. тааныштыруу
Ар бир компания, атүгүл эң кичинекейи, аутентификация, авторизация жана колдонуучу эсебин (AAA протоколдорунун үй-бүлөсү) талап кылат. Баштапкы этапта, AAA RADIUS, TACACS+ жана DIAMETER сыяктуу протоколдорду колдонуу менен абдан жакшы ишке ашырылат. Бирок, колдонуучулардын жана компаниянын саны өскөн сайын, милдеттердин саны да өсөт: хосттордун жана BYOD түзмөктөрүнүн максималдуу көрүнүшү, көп факторлуу аутентификация, көп деңгээлдүү жетүү саясатын түзүү жана башкалар.
Мындай тапшырмалар үчүн NAC (Network Access Control) классынын чечимдери эң сонун - network access control. арналган макалалардын сериясында (Identity Services Engine) - ички тармактагы колдонуучуларга контексттен кабардар болгон кирүүнү башкарууну камсыз кылуу үчүн NAC чечими, биз чечимдин архитектурасын, камсыздоосун, конфигурациясын жана лицензиясын деталдуу карап чыгабыз.
Cisco ISE сизге төмөнкүлөргө мүмкүндүк берерин кыскача эске сала кетейин:
-
Атайын WLANда конок мүмкүнчүлүгүн тез жана оңой түзүү;
-
BYOD түзмөктөрүн аныктоо (мисалы, кызматкерлердин жумушка алып келген үй компьютерлери);
-
SGT коопсуздук тобунун энбелгилерин колдонуп, домен жана домендик эмес колдонуучулар боюнча коопсуздук саясаттарын борборлоштуруу жана ишке ашыруу );
-
Компьютерлерди орнотулган программалык камсыздоону жана стандарттарга шайкештигин текшерүү (постановка);
-
Акыркы чекиттерди жана тармактык түзүлүштөрдү классификациялоо жана профилдештирүү;
-
Акыркы чекиттин көрүнүүсүн камсыз кылуу;
-
Колдонуучуга негизделген саясатты түзүү үчүн колдонуучулардын кирүү/чыгуу окуяларынын журналдарын, алардын аккаунттарын (идентификациясын) NGFWге жөнөтүү;
-
Cisco StealthWatch менен жергиликтүү түрдө интеграцияланып, коопсуздук инциденттерине катышкан шектүү хостторду карантинге салыңыз ();
-
Жана башка өзгөчөлүктөр AAA серверлери үчүн стандарттуу.
Бул тармактагы кесиптештер буга чейин Cisco ISE жөнүндө жазышкан, ошондуктан мен сизге окууну сунуштайм: ,.
2. архитектура
Identity Services Engine архитектурасында 4 объект (түйүн) бар: башкаруу түйүнү (Policy Administration Node), саясатты бөлүштүрүү түйүнү (Policy Service Node), мониторинг түйүнү (Monitoring Node) жана PxGrid түйүнү (PxGrid Node). Cisco ISE өз алдынча же бөлүштүрүлгөн орнотууда болушу мүмкүн. Standalone версиясында бардык объекттер бир виртуалдык машинада же физикалык серверде (Коопсуз тармак серверлери - SNS) жайгашкан, ал эми Бөлүштүрүлгөн версиясында түйүндөр ар кандай түзмөктөрдө бөлүштүрүлөт.
Policy Administration Node (PAN) бул Cisco ISEде бардык административдик операцияларды аткарууга мүмкүндүк берген талап кылынган түйүн. Ал AAA менен байланышкан бардык система конфигурацияларын иштетет. Бөлүштүрүлгөн конфигурацияда (түйүндөрдү өзүнчө виртуалдык машиналар катары орнотууга болот), каталарга чыдамдуулук үчүн эң көп дегенде эки PAN болушу мүмкүн - Активдүү/Күтүү режими.
Policy Service Node (PSN) - тармакка кирүүнү, абалды, конок мүмкүнчүлүгүн, кардар кызматын камсыздоону жана профилдештирүү мүмкүнчүлүгүн камсыз кылган милдеттүү түйүн. PSN саясатты баалайт жана аны колдонот. Адатта, бир нече PSN орнотулат, өзгөчө бөлүштүрүлгөн конфигурацияда, ашыкча жана бөлүштүрүлгөн иштөө үчүн. Албетте, алар бир секундага аутентификацияланган жана ыйгарым укуктуу кирүү мүмкүнчүлүгүн жоготпоо үчүн бул түйүндөрдү ар кандай сегменттерге орнотууга аракет кылышат.
Мониторинг түйүнү (MnT) - окуя журналдарын, башка түйүндөрдүн журналдарын жана тармактагы саясаттарды сактаган милдеттүү түйүн. MnT түйүнү мониторинг жана көйгөйлөрдү чечүү үчүн өркүндөтүлгөн инструменттерди камсыз кылат, ар кандай маалыматтарды чогултат жана байланыштырат, ошондой эле маанилүү отчетторду берет. Cisco ISE сизге максимум эки MnT түйүнүнө ээ болууга мүмкүндүк берет, ошону менен катага чыдамдуулукту жаратат - Active/Standby режими. Бирок, журналдар жигердүү жана пассивдүү эки түйүн тарабынан чогултулат.
PxGrid түйүнү (PXG) PxGrid протоколун колдонгон түйүн жана PxGridди колдогон башка түзмөктөрдүн ортосундагы байланышты камсыз кылат.
— ар түрдүү сатуучулардын IT жана маалыматтык коопсуздук инфраструктурасынын продуктуларын интеграциялоону камсыз кылган протокол: мониторинг системалары, чабуулдарды аныктоо жана алдын алуу системалары, коопсуздук саясатын башкаруу платформалары жана башка көптөгөн чечимдер. Cisco PxGrid контекстти бир багыттуу же эки багыттуу түрдө көптөгөн платформалар менен API'лерге муктаж болбостон бөлүшүүгө мүмкүндүк берет, ошону менен технологияны иштетет. (SGT тегдери), ANC (Адаптивдүү тармакты башкаруу) саясатын өзгөртүңүз жана колдонуңуз, ошондой эле профилдештирүү жүргүзүңүз - түзмөктүн моделин, OS, жайгашкан жерин жана башкаларын аныктоо.
Жогорку жеткиликтүүлүк конфигурациясында PxGrid түйүндөрү PAN аркылуу түйүндөрдүн ортосундагы маалыматты кайталайт. PAN өчүрүлгөн болсо, PxGrid түйүнү колдонуучулардын аутентификациясын, авторизациясын жана эсепке алууну токтотот.
Төмөндө корпоративдик тармактагы ар кандай Cisco ISE субъекттеринин иштешинин схемалык көрүнүшү келтирилген.
Сүрөт 1. Cisco ISE архитектурасы
3. Талаптар
Cisco ISE көпчүлүк заманбап чечимдер сыяктуу виртуалдык же физикалык түрдө өзүнчө сервер катары ишке ашырылышы мүмкүн.
Cisco ISE программасын иштеткен физикалык түзүлүштөр SNS (Коопсуз тармак сервери) деп аталат. Алар үч моделде келет: SNS-3615, SNS-3655 жана SNS-3695 чакан, орто жана ири бизнес үчүн. 1-таблицада маалымат көрсөтүлгөн SNS.
Таблица 1. Ар кандай масштабдар үчүн SNSтин салыштыруу таблицасы
параметр
SNS 3615 (Чакан)
SNS 3655 (Орто)
SNS 3695 (Чоң)
Өз алдынча орнотууда колдоого алынган акыркы чекиттердин саны
10000
25000
50000
PSN үчүн колдоого алынган акыркы чекиттердин саны
10000
25000
100000
CPU (Intel Xeon 2.10 ГГц)
8 ядро
12 ядро
12 ядро
RAM
32 ГБ (2 x 16 ГБ)
96 ГБ (6 x 16 ГБ)
256 ГБ (16 x 16 ГБ)
HDD
1 x 600 ГБ
4 x 600 ГБ
8 x 600 ГБ
Аппараттык RAID
жок
RAID 10, RAID контроллерунун болушу
RAID 10, RAID контроллерунун болушу
тармак кошки
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Виртуалдык ишке ашырууга келсек, колдоого алынган гипервизорлор VMware ESXi (ESXi 11 үчүн минималдуу VMware версиясы 6.0 сунушталат), Microsoft Hyper-V жана Linux KVM (RHEL 7.0). Ресурстар болжол менен жогорудагы таблицадагыдай же андан көп болушу керек. Бирок, чакан бизнестин виртуалдык машинасына минималдуу талаптар: 2 CPU жыштыгы 2.0 ГГц жана андан жогору, 16 ГБ RAM и 200 GB HDD.
Cisco ISE жайгаштыруунун башка чоо-жайын билүү үчүн кайрылыңыз же , .
4. Орнотуу
Башка Cisco өнүмдөрү сыяктуу эле, ISE бир нече жол менен сыналышы мүмкүн:
-
– алдын ала орнотулган лаборатория макеттеринин булут кызматы (Cisco эсеби талап кылынат);
-
-дан өтүнүч Белгилүү бир программалык камсыздоонун Cisco (өнөктөштөр үчүн ыкмасы). Төмөнкү типтүү сүрөттөмө менен ишти түзөсүз: Продукт түрү [ISE], ISE Программасы [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— бекер пилоттук долбоорду өткөрүү үчүн каалаган ыйгарым укуктуу өнөктөш менен байланышыңыз.
1) Виртуалдык машинаны түзгөндөн кийин, сиз OVA үлгүсүн эмес, ISO файлын сурасаңыз, ISE орнотууну тандоону талап кылган терезе пайда болот. Бул үчүн, логин жана паролдун ордуна " деп жазышыңыз керек.жайгашуу"!
Эскертүү: эгер сиз ISEди OVA үлгүсүнөн орноткон болсоңуз, анда кирүү чоо-жайы admin/MyIseYPass2 (ушул жана башка көптөгөн нерселер расмий түрдө көрсөтүлгөн ).
Сүрөт 2. Cisco ISE орнотуу
2) Андан кийин IP дареги, DNS, NTP жана башкалар сыяктуу талап кылынган талааларды толтуруу керек.
Сүрөт 3. Cisco ISE инициализациясы
3) Андан кийин, аппарат кайра жүктөлөт, жана сиз мурда көрсөтүлгөн IP дареги аркылуу веб-интерфейс аркылуу туташа аласыз.
4-сүрөт. Cisco ISE Web Interface
4) Өтмөктө Башкаруу > Система > Жайгаштыруу кайсы түйүндөр (объекттер) белгилүү бир түзмөктө иштетилгенин тандай аласыз. PxGrid түйүнү бул жерде иштетилген.
Сүрөт 5. Cisco ISE Entity Management
5) Андан кийин өтмөктө Башкаруу > Система > Администрацияга кирүү > тастыктоо Мен сырсөз саясатын, аутентификация ыкмасын (сертификат же сырсөз), каттоо эсебинин жарактуулук мөөнөтүн жана башка орнотууларды орнотууну сунуштайм.
Сүрөт 6. Аутентификация түрүн орнотууСүрөт 7. Сырсөз саясатынын орнотууларыСүрөт 8. Убакыт аяктагандан кийин эсепти өчүрүүнү орнотууСүрөт 9. Каттоо эсебин кулпулоону орнотуу
6) Өтмөктө Башкаруу > Система > Администрацияга кирүү > Администраторлор > Администратор колдонуучулар > Кош жаңы администратор түзө аласыз.
Сүрөт 10. Жергиликтүү Cisco ISE администраторун түзүү
7) Жаңы администратор жаңы топтун же алдын ала аныкталган топтордун бир бөлүгү болушу мүмкүн. Администратор топтору өтмөктөгү бир панелде башкарылат Админ топтору. 2-таблицада ISE администраторлору, алардын укуктары жана ролдору жөнүндө маалымат жалпыланган.
Таблица 2. Cisco ISE администратор топтору, мүмкүндүк алуу деңгээли, уруксаттар жана чектөөлөр
Администратор тобунун аты
уруксат
чектөөлөр
Настройка администратору
Конок жана демөөрчүлүк порталдарын орнотуу, башкаруу жана ыңгайлаштыруу
Саясаттарды өзгөртүү же отчетторду көрүү мүмкүн эмес
Жардам столунун администратору
Негизги панелди, бардык отчетторду, лармдарды жана көйгөйлөрдү чечүү агымдарын көрүү мүмкүнчүлүгү
Сиз отчётторду, ойготкучтарды жана аутентификация журналдарын өзгөртө албайсыз, түзүп же жок кыла албайсыз
Identity Admin
Колдонуучуларды, артыкчылыктарды жана ролдорду башкаруу, журналдарды, отчетторду жана ойготкучтарды көрүү мүмкүнчүлүгү
OS деңгээлинде саясаттарды өзгөртүп же тапшырмаларды аткара албайсыз
MnT Admin
Толук мониторинг, отчеттор, сигналдар, журналдар жана аларды башкаруу
Кандайдыр бир саясатты өзгөртүүгө жөндөмсүз
Тармак түзмөгүнүн администратору
ISE объекттерин түзүүгө жана өзгөртүүгө, журналдарды, отчетторду, башкы панелди көрүү укугу
OS деңгээлинде саясаттарды өзгөртүп же тапшырмаларды аткара албайсыз
Саясат администратору
Бардык саясаттарды толук башкаруу, профилдерди өзгөртүү, орнотуулар, отчетторду көрүү
Каттоо маалыматтары, ISE объекттери менен орнотууларды аткаруу мүмкүн эмес
RBAC администратору
Операциялар өтмөгүндөгү бардык орнотуулар, ANC саясат орнотуулары, отчеттуулукту башкаруу
Сиз ANCден башка саясаттарды өзгөртө албайсыз же OS деңгээлинде тапшырмаларды аткара албайсыз
супер Admin
Бардык жөндөөлөргө, отчеттуулукка жана башкарууга болгон укуктар администратордун эсептик дайындарын жок кылып жана өзгөртө алат
Өзгөртүү мүмкүн эмес, Super Admin тобунан башка профилди жок кылуу
тутум Admin
Операциялар өтмөгүндөгү бардык орнотуулар, тутум орнотууларын башкаруу, ANC саясаты, отчетторду көрүү
Сиз ANCден башка саясаттарды өзгөртө албайсыз же OS деңгээлинде тапшырмаларды аткара албайсыз
Тышкы эс алуу кызматтары (ERS) администратору
Cisco ISE REST API толук мүмкүнчүлүгү
Жергиликтүү колдонуучуларды, хостторду жана коопсуздук топторун авторизациялоо, башкаруу үчүн гана (SG)
Тышкы эс алуу кызматтарынын (ERS) оператору
Cisco ISE REST API окуу уруксаттары
Жергиликтүү колдонуучуларды, хостторду жана коопсуздук топторун авторизациялоо, башкаруу үчүн гана (SG)
Сүрөт 11. Алдын ала аныкталган Cisco ISE администратор топтору
8) Өтмөктө кошумча Авторизация > Уруксаттар > RBAC саясаты Сиз алдын ала аныкталган администраторлордун укуктарын өзгөртө аласыз.
12-сүрөт. Cisco ISE администраторунун Алдын ала коюлган Профиль укуктарын башкаруу
9) Өтмөктө Башкаруу > Система > Орнотуулар Бардык система орнотуулары бар (DNS, NTP, SMTP жана башкалар). Түзмөктү баштапкы инициализациялоо учурунда аларды өткөрүп жиберсеңиз, аларды бул жерден толтурсаңыз болот.
5. жыйынтыктоо
Муну менен биринчи макала аяктайт. Биз Cisco ISE NAC чечиминин натыйжалуулугун, анын архитектурасын, минималдуу талаптарды жана жайылтуу варианттарын жана алгачкы орнотууну талкууладык.
Кийинки макалада биз эсептерди түзүүнү, Microsoft Active Directory менен интеграциялоону жана конок мүмкүнчүлүгүн түзүүнү карайбыз.
Бул тема боюнча суроолоруңуз болсо же продуктуну сынап көрүүгө жардам керек болсо, кайрылыңыз .
Биздин каналдардагы жаңылыктардан кабардар болуңуз (, , , , ).
Source: www.habr.com