ProHoster > Π‘Π»ΠΎΠ³ > administratio > Cisco ISE: Introductio, requisita, installation. Pars I

Cisco ISE: Introductio, requisita, installation. Pars I

Cisco ISE: Introductio, requisita, installation. Pars I

1. introduction

Omnis societas, etiam minima, opus authenticas, licentias et ratio usoris habet (AAA protocolla familiae). In initio, AAA satis bene protocolla utens ut RADIUS, TACACS+ et DIAMETROS. Tamen, ut numerus utentium et societas crescit, numerus negotiorum etiam augetur: maxima visio exercituum et BYOD machinis, multi-factorum authenticas, multi- gradatim accessum consilium et multo magis creans.

Pro talibus muneribus, NAC (Access Control Network) genus solutionum perfectum est - accessum retis imperium. In ordine vasa dicata Cisco ISE (Identity Services Engine) - NAC solutionem ad praebendas contextus conscios accessus moderandi utentibus in retis internis, accuratam inspiciemus architecturae, provisionis, configurationis ac licentiae solutionis capiemus.

Breviter te admoneam ut Cisco ISE permittat;

  • Celeriter et facile hospitem accessum creo in WLAN sacrato;

  • Deprehendere cogitationes BYOD (exempli gratia, PCs conductorum domus quas ad opus perduxerunt);

  • Centralize et exigendi securitatis rationes per domain et non-usores utendo SGT securitatis coetus pittacia TrustSec);

  • Perscriptio computatoria pro quibusdam programmatibus inauguratus et cum signis obsequio (posturing);

  • Indicate et profile endpoint et retis machinas;

  • Praebere endpoint visibilitatem;

  • Acta mitte logon/logoff usorum, rationes eorum (identitatem) ad NGFW ut consilium usoris substructum formant;

  • Integrate native cum Cisco StealthWatch et quarantinae exercitus suspecti in incidentibus securitatibus implicatae (magis);

  • Et alia signa vexillum pro AAA servientibus.

Collegae de Cisco industria iam scripserant ISE, sic legendum censeo; Cisco ISE exsecutionem usu, Quomodo praeparet Cisco ISE exsequendam.

2. Architecture

The Identity Services Engine architectura has 4 entia (nodis): administratio nodi (Policy Administration Node), consilium distributio nodi (nodi Policy), nodi monitoring (Node monitoring) et nodi PxGrid (Node PxGrid). Cisco ISE in standalone esse vel institutionem distribui potest. In versione Standalone, omnia entia in una virtuali machina seu corporis server (Secure Network Servers - SNS), dum in versione distributa sunt, nodi per varias machinas distribuuntur.

Consilium administrationis Node (PAN) est nodi requisiti qui te permittit ut omnes operationes administrativas in Cisco ISE perficias. Omnes configurationes systematis ad AAA pertinentes tractat. In configuratione distributa (nodi machinis virtualibus separatis institui possunt), maximum habere potes pro culpa tolerantiae duarum patellarum - Active/Sto modo.

Nodus servitii Policy (PSN) est nodi mandatorius qui aditum retis, statum, hospitem accessum praebet, ministerium clientis commeatus et profiling. PSN aestimat consilium et applicat. De more, multiple PSNs instituuntur, praesertim in figura distributa, ad operationem redundantem et distributam. Utique has nodos in diversis segmentis instituere conantur, ne facultatem amittant ad alterum accessum authenticum et authenticum praebendi.

Nodus magna (MnT) est nodi mandatorius qui eventus res praebet, tigna aliorum nodi et agendi in retis. Nodus MnT instrumenta provecta praebet ad vigilantiam et sollicitudinem, collectas et varias notitias correlat, ac etiam relationes significantes praebet. Cisco ISE permittit te maximam duarum nodis mnT habere, inde culpam tolerantiae creantis - Active/Sto modo. Sed tigna tam nodis tam activa quam passivis colliguntur.

Nodus PxGrid (PXG) est nodi qui protocollo PxGrid utitur et communicationem praebet inter alias machinis quae PxGrid sustinent.

PxGrid  - protocollum quod efficit integrationem IT et informationes securitatis infrastructurae res e diversis venditoribus: systemata vigilantia, intrusio deprehensio et systemata praeventionis, consilium securitatis suggestuum administrationis et multae aliae solutiones. Cisco PxGrid permittit te contextum communicare modo unidirectionali vel bidirectionali cum multis suggestis sine necessitate APIs, ut technologiam efficiat. TrustSec (SGT tags), mutatio et applica ANC (Retis Adaptivos Imperium) consilium, tum profiling - in fabrica exemplar, OS, locum, et plura.

In magna promptitudinis configuratione, nodi PxGrid informationes inter nodi per PAN replicant. Si PAN debilis est, nodi PxGrid desinit authenticare, permittendo et rationem usorum. 

Infra repraesentatio schematica est operationis diversorum Cisco ISE entium in network corporatum.

Cisco ISE: Introductio, requisita, installation. Pars IFigure 1. Cisco ISE Architecture

3. Requisita

Cisco ISE perfici potest, sicut solutiones maxime modernae, virtualiter vel physice sicut ministrator separatus. 

Corporis fabrica cursus Cisco ISE software vocantur SNS (Servo Secure Network). In tribus exemplaribus veniunt: SNS-3615, SNS-3655 et SNS-3695 pro parvis, mediis et magnis negotiis. Tabula 1 ostendit notitia e* datasheet SNS.

Mensa 1. Mensa comparatio SNS pro diversis squamis

parametri

SNS 3615 (Parvus)

SNS 3655 (Medium)

SNS 3695 (Large)

Numerus suscepit terminos in Standalone institutionem

10000

25000

50000

Numerus suscepit terminos per PSN

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

VI metretas

VI metretas

VI metretas

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

hardware INCURSUS

No

INCURSUS X, praesentia RID moderatoris

INCURSUS X, praesentia RID moderatoris

network interfaces

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Circa exsecutiones virtuales hypervisores fulti sunt VMware ESXi (versio minimum VMware 11 pro ESXi 6.0 commendatur), Microsoft Hyper-V et Linux KVM (RHEL 7.0). Facultates fere easdem esse debent ac in tabula supra, vel plures. Attamen minimae requisita ad parvam machinam virtualis negotii sunt: 2 CPU cum frequentia 2.0 GHz et superiori; 16 GB RAM ΠΈ 200 MB HDD. 

Aliae Cisco ISE singula instruere, pete contactum Π½Π°ΠΌ aut resource # I ", resource # I ".

4. Institutionem

Sicut pleraque alia producta Cisco, ISE pluribus modis explorari potest;

  • dcloud - nubes servitii pre-installed officinarum layout (Cisco ratio postulabat);

  • GVE petitionem - petitio ex site Cisco cuiusdam programmatis (ratio pro sociis). Causam creas cum sequenti descriptione typica: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • gubernator project - contactum aliquem socium authenticum ad liberum gubernatorem project.

1) Post virtualem machinam creando, si limam ISO petis et non OVA template, fenestra pop up erit in qua ISE institutionem deligi te postulat. Ad hoc faciendum, pro aperiendo clavo et clavo, scribere debes "Setup"!

Note: si ex OVA template ISE explicuit, deinde details login admin/MyIseYPass2 hoc et multo magis in officiali dux).

Cisco ISE: Introductio, requisita, installation. Pars IFigura 2. Installing Cisco ISE

2) Tunc implebis in agris quaesitis ut IP oratio, DNS, NTP et cetera.

Cisco ISE: Introductio, requisita, installation. Pars IFigura 3. Initializing Cisco ISE

3) Post hoc fabrica reboot et coniungere per interfaciei interreti poteris uti IP inscriptione praelibata.

Cisco ISE: Introductio, requisita, installation. Pars IFigure 4. Cisco ISE Interface

4) In tab Administratio > Ratio > instruere eligere potes quae nodi (entia) certo artificio valeant. Nodus PxGrid hic datur.

Cisco ISE: Introductio, requisita, installation. Pars IFigure 5. Cisco ISE Entity Management

III) deinde in tab Administration > System > Admin Access > authenticitate Commendo consilium tesseram erigendi, methodum authenticas (testimonium vel tesseram), propter diem exspirationis et alia loca.

Cisco ISE: Introductio, requisita, installation. Pars IFigure 6. authenticas genus occasumCisco ISE: Introductio, requisita, installation. Pars IFigure 7. Password consilium occasusCisco ISE: Introductio, requisita, installation. Pars IFigure 8. Occasus rationem shutdown post tempus expiratCisco ISE: Introductio, requisita, installation. Pars IFigure 9. Profecti sunt propter densis

6) In tab Administratio> Ratio> Administrator Access> Administratores> Users> Add novum administratorem creare potes.

Cisco ISE: Introductio, requisita, installation. Pars IFigura 10. Locus Cisco ISE Administrator

7) Novus administrator emittere potest novam coetus vel iam praefinitos circulos. Administratores coetus in eadem tabula tractantur in tab Admin Societates. Tabula II compendiat informationes de administratoribus ISE, eorum iuribus et muneribus.

Mensa 2. Cisco ISE Administrator Societates, Accessus Graduum, Permissionum ac Cohibitionum

Administrator group name

permission

modum

Fusce malesuada

Hospes et patrocinio portas, administrationem et css

Impotentia ad mutare consilia vel visum tradit

Admin Helpdesk

Facultas principales ashboardday speculandi, omnes rumores, larmes et fluenta fermentum

Non potes mutare, creare vel delere relationes, terrores et authenticas acta

Admin Identity

Administrandi utentes, privilegia et munera, facultatem ad exploranda omnia, rumores et terrores

Non potes mutare consilia vel opera praestare in OS gradu

MnT Admin

Magna vigilantia, nuntia, terrores, tigna et eorum procuratio

Impotentia mutare aliqua consilia

Admin Network Fabrica

Iura creandi et mutandi ISE obiecta, inspicienda, nuntia, ashboardday principalis

Non potes mutare consilia vel opera praestare in OS gradu

Consilium Admin

Plena omnium rerum administratio, variae perfiles, occasus, relationes inspiciendae

Non posse conficere occasus cum documentorum, ISE obiecti

RBAC Admin

Omnes occasus in Operations tab, ANC consilium occasus, referens administratione

Non potes mutare consilia praeter ANC vel officia praestare in OS gradu

Super Maecenas et ipsum

Iura omnibus fundis, renuntiationibus et administratione, documentorum administrator delere et mutare possunt

Mutare non potest, aliam profile delere ex Super Admin group

Administrator

Omnes occasus in Operations tab, ratio uncinis administrandi, ANC consilium, relationes inspiciendas

Non potes mutare consilia praeter ANC vel officia praestare in OS gradu

Admin

Cisco ISE CETERA plenus accessus ad API

Tantum ad concessionem, administrationem locorum utentium, exercituum et sodalitatum securitatis (SG)

Externi INQUISITOR Services (ERS) Operator

Cisco ISE CETERA API Read Permissionibus

Tantum ad concessionem, administrationem locorum utentium, exercituum et sodalitatum securitatis (SG)

Cisco ISE: Introductio, requisita, installation. Pars IFigura 11. Praedefinitum Cisco ISE Administratoris Groups

8) Extras in tab LICENTIA> Permissionibus> RBAC Policy Praefinitorum administratorum iura recensere potes.

Cisco ISE: Introductio, requisita, installation. Pars IFigure 12. Cisco ISE Administrator Preset Profile Rights Management

9) In tab Administration> Ratio> Occasus Omnes uncinis systematis in promptu sunt (DNS, NTP, SMTP et alii). Eas hic implere potes si eos in initiali initializatione machinatus desiderabas.

5. conclusioni

Hic concludit primum articulum. Discutimus efficaciam solutionis Cisco ISE NAC, eius architecturae, minimarum requisitorum et optionum instruere, ac institutionem initialem.

In proximo articulo rationes creandi spectabimus, cum Microsoft Active Directory integrantes et hospitem accessum creabimus.

Si quas quaestiones in hoc loco habes vel auxilium require in probatione operis, pete contactum Link.

Manete modulatum pro updates in canalibus nostris (TelegramFacebookVKTS Solutio Blogrhoncus Yandex).

Source: www.habr.com