1. Aféierung
All Firma, och déi klengst, huet e Besoin fir Authentifikatioun, Autorisatioun a Benotzerkonten (AAA Famill vu Protokoller). An der éischter Etapp ass AAA zimlech gutt implementéiert mat Protokoller wéi RADIUS, TACACS + an DIAMETER. Wéi och ëmmer, wéi d'Zuel vun de Benotzer an d'Firma wiisst, wiisst d'Zuel vun den Aufgaben och: maximal Visibilitéit vu Hosten an BYOD-Geräter, Multi-Faktor Authentifikatioun, Schafe vun enger Multi-Level Access Politik a vill méi.
Fir sou Aufgaben ass d'NAC (Network Access Control) Klass vu Léisungen perfekt - Netzzougang Kontroll. An enger Serie vun Artikelen gewidmet fir (Identitéit Services Engine) - NAC Léisung fir eng suergt Kontext-bewosst Zougang Kontroll fir Benotzer op der intern Reseau, mir wäerten en detailléierte Bléck op d'Architektur huelen, Dispositioun, Configuratioun an Lizenz vun der Léisung.
Loosst mech Iech kuerz drun erënneren datt Cisco ISE Iech erlaabt:
Schnell an einfach erstellen Gaascht Zougang op engem speziellen WLAN;
Entdeckt BYOD-Geräter (zum Beispill d'Haus-PCs vun de Mataarbechter, déi se op d'Aarbecht bruecht hunn);
Zentraliséieren an ëmsetzen Sécherheetspolitik iwwer Domain an Net-Domain Benotzer mat SGT Sécherheetsgrupp Etiketten );
Iwwerpréift Computeren fir bestëmmte Software installéiert an Konformitéit mat Normen (posturing);
Klassifizéieren a profiléieren Endpunkt an Netzwierkgeräter;
Gitt Endpunkt Visibilitéit;
Schécken Event Logbicher vun Login / Logoff vun Benotzer, hir Konten (Identitéit) ze NGFW eng Benotzer-baséiert Politik ze Form;
Integréiert natiirlech mat Cisco StealthWatch a verdächteg Hosten involvéiert a Sécherheetsinfällen am Quarantän ();
An aner Funktiounen Standard fir AAA Serveren.
Kollegen an der Industrie hu schonn iwwer Cisco ISE geschriwwen, also roden ech Iech ze liesen: ,.
2. Architektur
D'Identity Services Engine Architektur huet 4 Entitéiten (Node): e Management Node (Policy Administration Node), e Politik Verdeelung Node (Policy Service Node), e Monitoring Node (Monitoring Node) an e PxGrid Node (PxGrid Node). Cisco ISE kann an engem Standalone oder verdeelt Installatioun ginn. An der Standalone Versioun sinn all Entitéiten op enger virtueller Maschinn oder physescher Server (Secure Network Servers - SNS) lokaliséiert, wärend an der Distributed Versioun sinn d'Noden iwwer verschidden Apparater verdeelt.
Politik Administration Node (PAN) ass eng néideg Node datt Dir all administrativ Operatiounen op Cisco ISE ze Leeschtunge erlaabt. Et geréiert all Systemkonfiguratiounen am Zesummenhang mat AAA. An engem verdeelt Configuratioun (Node kann als separat virtuell Maschinnen installéiert ginn), Dir kënnt maximal zwee PAN fir Feeler Toleranz hunn - Aktiv / Standby Modus.
Policy Service Node (PSN) ass en obligatoresche Node deen Netzzougang, Staat, Gaascht Zougang, Client Service Dispositioun, a Profiling ubitt. PSN evaluéiert d'Politik an applizéiert se. Typesch gi verschidde PSNs installéiert, besonnesch an enger verdeeler Konfiguratioun, fir méi iwwerflësseg a verdeelt Operatioun. Natierlech probéieren se dës Noden a verschiddene Segmenter z'installéieren fir net d'Fäegkeet ze verléieren fir authentifizéiert an autoriséiert Zougang fir eng Sekonn ze bidden.
Monitoring Node (MnT) ass en obligatoresche Node deen Event Logbicher, Logbicher vun aneren Noden a Politiken am Netz späichert. De MnT Node bitt fortgeschratt Tools fir Iwwerwaachung an Troubleshooting, sammelt a korreléiert verschidde Donnéeën, a bitt och sënnvoll Berichter. Cisco ISE erlaabt Iech e Maximum vun zwee MnT Wirbelen ze hunn, an domat Schold Toleranz schafen - Aktiv / Standby Modus. Wéi och ëmmer, Logbicher gi vu béide Wirbelen gesammelt, souwuel aktiv a passiv.
PxGrid Node (PXG) ass en Node deen de PxGrid Protokoll benotzt an erlaabt Kommunikatioun tëscht aneren Apparater déi PxGrid ënnerstëtzen.
- e Protokoll deen d'Integratioun vun IT an Informatiounssécherheetsinfrastrukturprodukter vu verschiddene Verkeefer garantéiert: Iwwerwaachungssystemer, Intrusiounserkennung a Präventiounssystemer, Sécherheetspolitik Management Plattformen a vill aner Léisungen. Cisco PxGrid erlaabt Iech Kontext an enger unidirektionaler oder bidirektionaler Manéier mat ville Plattformen ze deelen ouni de Besoin fir APIen, an doduerch d'Benotzung vun Technologie erlaabt (SGT Tags), änneren an applizéiert ANC (Adaptive Network Control) Politik, wéi och Profiler maachen - Bestëmmung vum Apparatmodell, OS, Standuert, a méi.
An enger Konfiguratioun mat héijer Disponibilitéit replizéieren PxGrid Noden Informatioun tëscht Noden iwwer e PAN. Wann de PAN deaktivéiert ass, stoppt de PxGrid Node d'Authentifikatioun, d'Autorisatioun an d'Rechnung fir d'Benotzer.
Drënner ass eng schematesch Duerstellung vun der Operatioun vu verschiddene Cisco ISE Entitéiten an engem Firmennetz.
Figur 1. Cisco ISE Architektur
3. Ufuerderunge
Cisco ISE kann ëmgesat ginn, wéi déi meescht modern Léisungen, virtuell oder kierperlech als separat Server.
Kierperlech Apparater déi Cisco ISE Software lafen, ginn SNS (Secure Network Server) genannt. Si kommen an dräi Modeller: SNS-3615, SNS-3655 an SNS-3695 fir kleng, mëttel a grouss Betriber. Dësch 1 weist Informatiounen aus SNS.
Dësch 1. Verglach Dësch vun SNS fir verschidde Skalen
Parameter
SNS 3615 (Kleng)
SNS 3655 (Mëttel)
SNS 3695 (Grouss)
Zuel vun ënnerstëtzten Endpunkter an enger Standalone Installatioun
10000
25000
50000
Zuel vun ënnerstëtzt Endpunkte pro PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
Ram
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
Nee
RAID 10, Präsenz vun RAID Controller
RAID 10, Präsenz vun RAID Controller
Network Schnëttplazen
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Wat virtuell Implementatiounen ugeet, sinn déi ënnerstëtzt Hypervisoren VMware ESXi (op d'mannst VMware Versioun 11 gëtt fir ESXi 6.0 recommandéiert), Microsoft Hyper-V an Linux KVM (RHEL 7.0). D'Ressourcen sollten ongeféier d'selwecht sinn wéi an der Tabell uewen, oder méi héich. Déi minimal Ufuerderunge fir virtuell Maschinnen fir kleng Betriber sinn awer: 2 CPU mat enger Frequenz vun 2.0 GHz a méi héich, 16 GB RAM и 200 GB HDD.
Fir aner Cisco ISE Détachement Detailer, weg Kontakt oder un , .
4. Installatioun
Wéi déi meescht aner Cisco Produkter, kann ISE op verschidde Weeër getest ginn:
- Cloud Service vun pre-installéiert Labo Layouten (Cisco Kont erfuerderlech);
- Ufro vun Cisco vun bestëmmte Software (Method fir Partner). Dir erstellt e Fall mat der folgender typescher Beschreiwung: Produkttyp [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664; an.
- kontaktéiert all autoriséierte Partner fir e gratis Pilotprojet ze maachen.
1) Nodeems Dir eng virtuell Maschinn erstallt hutt, wann Dir eng ISO-Datei gefrot hutt an net eng OVA-Schabloun, kënnt eng Fënster op an där ISE erfuerdert datt Dir eng Installatioun wielt. Fir dëst ze maachen, amplaz vun Ärem Login a Passwuert, sollt Dir schreiwen "ageriicht"!
Opgepasst: wann Dir ISE aus OVA Schabloun ofgesat hutt, dann d'Login Detailer admin/MyIseYPass2 (dëst a vill méi gëtt am offiziellen uginn ).
Figur 2. Installatioun Cisco ISE
2) Da sollt Dir déi erfuerderlech Felder ausfëllen wéi IP Adress, DNS, NTP an anerer.
Figur 3. Initialiséieren Cisco ISE
3) Duerno wäert den Apparat nei starten, an Dir kënnt iwwer d'Webinterface verbannen mat der virdru spezifizéierter IP Adress.
Figur 4. Cisco ISE Web Interface
4) An der Tab Administration > System > Deployment Dir kënnt auswielen wéi eng Noden (Entitéiten) op engem bestëmmten Apparat aktivéiert sinn. De PxGrid Node ass hei aktivéiert.
Figur 5. Cisco ISE Entitéit Management
5) Dann an Tab Administration > System > Admin Access > Validatioun Ech recommandéieren eng Passwuertpolitik, d'Authentifikatiounsmethod (Zertifikat oder Passwuert), de Verfallsdatum vum Kont an aner Astellungen opzestellen.
Figur 6. Authentifikatioun Typ Astellung
Figur 7. Passwuert Politik Astellunge
Figur 8. Astelle Kont zougemaach no Zäit ofgelaaf
Figur 9. Astelle Kont Spär
6) An der Tab Administration > System > Admin Access > Administrateuren > Admin Benotzer > Add Dir kënnt en neien Administrateur erstellen.
Figur 10. Schafen eng lokal Cisco ISE Administrator
7) Den neien Administrateur kann Deel vun enger neier Grupp oder scho virdefinéiert Gruppen gemaach ginn. Administratorgruppen ginn am selwechte Panel an der Tab geréiert Admin Gruppen. Table 2 resüméiert Informatioun iwwer ISE Administrateuren, hir Rechter a Rollen.
Dësch 2. Cisco ISE Administrator Gruppen, Zougang Niveauen, Permissiounen a Restriktiounen
Administrator Grupp Numm
Permissiounen
Restriktiounen
Personnalisatioun Admin
Ariichten Gaascht- a Sponsoring Portaler, Administratioun an Personnalisatioun
Onméiglechkeet Politik ze änneren oder Berichter ze gesinn
Helpdesk Admin
D'Kapazitéit fir den Haaptdashboard ze gesinn, all Berichter, Larm an Troubleshooting Streams
Dir kënnt Berichter, Alarmer an Authentifikatiounsprotokoller net änneren, erstellen oder läschen
Identitéit Admin
Verwalte Benotzer, Privilegien a Rollen, d'Fäegkeet Logbicher, Berichter an Alarmer ze gesinn
Dir kënnt d'Politik net änneren oder Aufgaben um OS Niveau maachen
MnT Admin
Voll Iwwerwaachung, Berichter, Alarmer, Logbicher an hir Gestioun
Onméiglechkeet all Politik ze änneren
Network Device Admin
Rechter fir ISE Objekter ze kreéieren an z'änneren, Logbicher, Berichter, Haaptdashboard ze gesinn
Dir kënnt d'Politik net änneren oder Aufgaben um OS Niveau maachen
Politik Admin
Voll Gestioun vun all Politik, Ännerung Profiler, Astellungen, ukuckt Berichter
Onméiglechkeet Astellunge mat Umeldungsinformatiounen auszeféieren, ISE Objekter
RBAC Admin
All Astellungen an der Operatioun Tab, ANC Politik Astellungen, Berichterstattung
Dir kënnt keng Politik anescht wéi ANC änneren oder Aufgaben um OS Niveau ausféieren
Super Kalennerwoch
Rechter op all Astellungen, Berichterstattung a Gestioun, kënnen d'Administrateur Umeldungsinformatiounen läschen an änneren
Kann net änneren, läscht en anere Profil aus der Super Admin Grupp
System Kalennerwoch
All Astellungen an der Operatiouns Tab, Gestioun System Astellungen, ANC Politik, Berichter kucken
Dir kënnt keng Politik anescht wéi ANC änneren oder Aufgaben um OS Niveau ausféieren
Extern RESTful Services (ERS) Admin
Voll Zougang zu der Cisco ISE REST API
Nëmme fir Autorisatioun, Gestioun vu lokale Benotzer, Hosten a Sécherheetsgruppen (SG)
Extern RESTful Services (ERS) Bedreiwer
Cisco ISE REST API Liesen Permissiounen
Nëmme fir Autorisatioun, Gestioun vu lokale Benotzer, Hosten a Sécherheetsgruppen (SG)
Figur 11. Predefinéiert Cisco ISE Administrator Gruppen
8) Fakultativ am Tab Autorisatioun> Permissiounen> RBAC Politik Dir kënnt d'Rechter vu virdefinéierte Administrateuren änneren.
Figur 12. Cisco ISE Administrator Preset Profil Rechter Management
9) An der Tab Administration > System > Astellungen All System Astellunge sinn verfügbar (DNS, NTP, SMTP an anerer). Dir kënnt se hei ausfëllen wann Dir se während der initialer Gerätinitialiséierung verpasst hutt.
5. Konklusioun
Dëst schléisst den éischten Artikel. Mir diskutéiert d'Effizienz vun der Cisco ISE NAC Léisung, seng Architektur, Minimum Ufuerderunge an Détachement Optiounen, an initial Installatioun.
Am nächsten Artikel kucke mir op d'Erstelle vu Konten, d'Integratioun mat Microsoft Active Directory, an d'Erstelle vu Gaascht Zougang.
Wann Dir Froen iwwer dëst Thema hutt oder Hëllef braucht beim Testen vum Produkt, da kontaktéiert w.e.g .
Bleift ofgeschloss fir Updates an eise Kanäl (, , , , ).
Source: will.com
