Cisco ISE: Įvadas, reikalavimai, diegimas. 1 dalis
1. Įvadas
Kiekviena įmonė, net ir mažiausia, turi autentifikavimo, autorizavimo ir vartotojų apskaitos (AAA protokolų šeima) poreikį. Pradiniame etape AAA yra gana gerai įdiegta naudojant tokius protokolus kaip RADIUS, TACACS+ ir DIAMETER. Tačiau augant vartotojų ir įmonės skaičiui, auga ir užduočių skaičius: maksimalus hostų ir BYOD įrenginių matomumas, kelių faktorių autentifikavimas, kelių lygių prieigos politikos kūrimas ir daug daugiau.
Tokioms užduotims atlikti puikiai tinka NAC (Network Access Control) klasės sprendimai – tinklo prieigos kontrolė. Straipsnių serijoje, skirtoje Cisco ISE (Identity Services Engine) – NAC sprendimas, skirtas teikti kontekstinę prieigos kontrolę vartotojams vidiniame tinkle, išsamiai apžvelgsime sprendimo architektūrą, aprūpinimą, konfigūraciją ir licencijavimą.
Trumpai priminsiu, kad Cisco ISE leidžia:
Greitai ir lengvai sukurkite svečių prieigą prie tam skirto WLAN;
Aptikti BYOD įrenginius (pavyzdžiui, darbuotojų namų kompiuterius, kuriuos jie atsinešė į darbą);
Centralizuokite ir vykdykite saugos politiką domeno ir ne domeno naudotojams naudodami SGT saugos grupių etiketes TrustSec);
Patikrinkite, ar kompiuteriuose įdiegta tam tikra programinė įranga ir ar jie atitinka standartus (posting);
Klasifikuoti ir profiliuoti galinio taško ir tinklo įrenginius;
Suteikti galutinio taško matomumą;
Siųsti naudotojų prisijungimo/atsijungimo įvykių žurnalus, jų paskyras (tapatybę) į NGFW, kad būtų suformuota vartotoju pagrįsta politika;
Integruokite į „Cisco StealthWatch“ ir karantinuokite įtartinus pagrindinius kompiuterius, susijusius su saugumo incidentais (daugiau);
Identity Services Engine architektūroje yra 4 objektai (mazgai): valdymo mazgas (politikos administravimo mazgas), politikos paskirstymo mazgas (politikos paslaugų mazgas), stebėjimo mazgas (stebėjimo mazgas) ir PxGrid mazgas (PxGrid Node). „Cisco ISE“ gali būti atskira arba paskirstyta. Atskira versija visi subjektai yra vienoje virtualioje mašinoje arba fiziniame serveryje (Secure Network Servers – SNS), o paskirstytoje versijoje mazgai yra paskirstyti skirtinguose įrenginiuose.
Politikos administravimo mazgas (PAN) yra būtinas mazgas, leidžiantis atlikti visas administracines operacijas Cisco ISE. Jis tvarko visas sistemos konfigūracijas, susijusias su AAA. Paskirstytoje konfigūracijoje (mazgai gali būti diegiami kaip atskiros virtualios mašinos) galite turėti ne daugiau kaip du PAN, kad būtų galima toleruoti gedimus - Aktyvus / budėjimo režimas.
Politikos paslaugų mazgas (PSN) yra privalomas mazgas, suteikiantis prieigą prie tinklo, būseną, svečio prieigą, klientų aptarnavimo teikimą ir profiliavimą. PSN įvertina politiką ir ją taiko. Paprastai įdiegiami keli PSN, ypač paskirstytoje konfigūracijoje, kad būtų užtikrintas perteklinis ir paskirstytas veikimas. Žinoma, jie stengiasi šiuos mazgus diegti skirtinguose segmentuose, kad nė sekundei neprarastų galimybės suteikti autentifikuotą ir įgaliotą prieigą.
Stebėjimo mazgas (MnT) yra privalomas mazgas, kuriame tinkle saugomi įvykių žurnalai, kitų mazgų žurnalai ir strategijos. MnT mazgas teikia pažangius stebėjimo ir trikčių šalinimo įrankius, renka ir lygina įvairius duomenis, taip pat teikia reikšmingas ataskaitas. „Cisco ISE“ leidžia turėti ne daugiau kaip du MnT mazgus, taip sukuriant atsparumą gedimams – aktyvųjį / budėjimo režimą. Tačiau žurnalus renka abu mazgai – tiek aktyvūs, tiek pasyvūs.
PxGrid Node (PXG) yra mazgas, kuris naudoja PxGrid protokolą ir leidžia palaikyti ryšį tarp kitų įrenginių, palaikančių PxGrid.
PxGrid — protokolas, užtikrinantis skirtingų tiekėjų IT ir informacijos saugumo infrastruktūros produktų integravimą: stebėjimo sistemas, įsibrovimų aptikimo ir prevencijos sistemas, saugumo politikos valdymo platformas ir daugybę kitų sprendimų. Cisco PxGrid leidžia dalytis kontekstu vienakrypčiu arba dvikrypčiu būdu su daugeliu platformų, nereikalaujant API, taip įgalinant technologiją. TrustSec (SGT žymės), keisti ir taikyti ANC (Adaptive Network Control) politiką, taip pat atlikti profiliavimą – nustatyti įrenginio modelį, OS, vietą ir kt.
Esant aukšto pasiekiamumo konfigūracijai, PxGrid mazgai atkartoja informaciją tarp mazgų per PAN. Jei PAN išjungtas, PxGrid mazgas nustoja autentifikuoti, suteikti įgaliojimus ir atsiskaityti už vartotojus.
Žemiau yra schematiškai pavaizduotas skirtingų Cisco ISE objektų veikimas įmonės tinkle.
1 pav. Cisco ISE architektūra
3. Reikalavimai
Cisco ISE, kaip ir dauguma šiuolaikinių sprendimų, gali būti įdiegta virtualiai arba fiziškai kaip atskiras serveris.
Fiziniai įrenginiai, kuriuose veikia Cisco ISE programinė įranga, vadinami SNS (saugiu tinklo serveriu). Jų yra trijų modelių: SNS-3615, SNS-3655 ir SNS-3695 mažoms, vidutinėms ir didelėms įmonėms. 1 lentelėje pateikta informacija iš duomenų lapas SNS.
1 lentelė. Skirtingų skalių SNS palyginimo lentelė
Parametras
SNS 3615 (mažas)
SNS 3655 (vidutinis)
SNS 3695 (didelis)
Palaikomų galinių taškų skaičius atskirame diegime
10000
25000
50000
Palaikomų galinių taškų skaičius vienam PSN
10000
25000
100000
CPU („Intel Xeon 2.10 GHz“)
8 branduoliai
12 branduoliai
12 branduoliai
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
Aparatinės įrangos RAID
Ne
RAID 10, RAID valdiklio buvimas
RAID 10, RAID valdiklio buvimas
Tinklo sąsajos
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Kalbant apie virtualius diegimus, palaikomi hipervizoriai yra VMware ESXi (rekomenduojama bent 11 VMware versija ESXi 6.0), Microsoft Hyper-V ir Linux KVM (RHEL 7.0). Ištekliai turėtų būti maždaug tokie patys, kaip ir aukščiau esančioje lentelėje, arba daugiau. Tačiau minimalūs reikalavimai smulkaus verslo virtualiajai mašinai yra šie: CPU 2 kurių dažnis yra 2.0 GHz ir didesnis, 16 GB RAM и 200 GBHDD.
Norėdami gauti daugiau informacijos apie Cisco ISE diegimą, susisiekite mums arba į šaltinis #1, šaltinis #2.
4. Montavimas
Kaip ir daugumą kitų Cisco produktų, ISE galima išbandyti keliais būdais:
GVE prašymas – prašymas iš svetainė Tam tikros programinės įrangos Cisco (metodas partneriams). Sukuriate atvejį su tokiu tipiniu aprašymu: Produkto tipas [ISE], ISE programinė įranga [ise-2.7.0.356.SPA.x8664], ISE pataisa [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664 m.];
bandomasis projektas — susisiekite su bet kuriuo įgaliotu partneriu, kad jis atliktų nemokamą bandomąjį projektą.
1) Jei sukūrę virtualią mašiną paprašėte ISO failo, o ne OVA šablono, pasirodys langas, kuriame ISE reikalauja pasirinkti diegimą. Norėdami tai padaryti, vietoj prisijungimo vardo ir slaptažodžio turėtumėte parašyti „nustatymas"!
Pastaba: jei įdiegėte ISE iš OVA šablono, tada prisijungimo duomenys admin / MyIseYPass2 (tai ir daug daugiau nurodyta oficialiame vadovas).
2 pav. Cisco ISE diegimas
2) Tada turėtumėte užpildyti reikiamus laukus, tokius kaip IP adresas, DNS, NTP ir kt.
3 pav. Cisco ISE inicijavimas
3) Po to įrenginys persikraus ir galėsite prisijungti per žiniatinklio sąsają naudodami anksčiau nurodytą IP adresą.
4 pav. Cisco ISE žiniatinklio sąsaja
4) Skirtuke Administravimas > Sistema > Diegimas galite pasirinkti, kurie mazgai (subjektai) yra įjungti konkrečiame įrenginyje. Čia įjungtas PxGrid mazgas.
5 pav. Cisco ISE objektų valdymas
5) Tada skirtuke Administravimas > Sistema > Administratoriaus prieiga >Atpažinimas Rekomenduoju nustatyti slaptažodžio politiką, autentifikavimo metodą (sertifikatą arba slaptažodį), paskyros galiojimo pabaigos datą ir kitus nustatymus.
6 pav. Autentifikavimo tipo nustatymas7 pav. Slaptažodžio politikos nustatymai8 pav. Paskyros išjungimo, pasibaigus laikui, nustatymas9 pav. Paskyros užrakinimo nustatymas
6) Skirtuke Administravimas > Sistema > Administratoriaus prieiga > Administratoriai > Administratoriai > Pridėti galite sukurti naują administratorių.
10 pav. Vietinio Cisco ISE administratoriaus kūrimas
7) Naujasis administratorius gali būti įtrauktas į naują grupę arba jau iš anksto nustatytas grupes. Administratorių grupės tvarkomos tame pačiame skirtuko skydelyje Administratoriaus grupės. 2 lentelėje apibendrinta informacija apie ISE administratorius, jų teises ir vaidmenis.
2 lentelė. Cisco ISE administratoriaus grupės, prieigos lygiai, teisės ir apribojimai
Administratoriaus grupės pavadinimas
Leidimai
Apribojimai
Tinkinimo administratorius
Svečių ir rėmėjų portalų kūrimas, administravimas ir pritaikymas
Neįmanoma pakeisti politikos ar peržiūrėti ataskaitų
Pagalbos tarnybos administratorius
Galimybė peržiūrėti pagrindinį prietaisų skydelį, visas ataskaitas, signalus ir trikčių šalinimo srautus
Negalite keisti, kurti ar ištrinti ataskaitų, aliarmų ir autentifikavimo žurnalų
Tapatybės administratorius
Vartotojų, privilegijų ir vaidmenų valdymas, galimybė peržiūrėti žurnalus, ataskaitas ir aliarmus
Negalite keisti politikos ar atlikti užduočių OS lygiu
MnT administratorius
Pilnas stebėjimas, ataskaitos, aliarmai, žurnalai ir jų valdymas
Nesugebėjimas pakeisti jokios politikos
Tinklo įrenginio administratorius
Teisės kurti ir keisti ISE objektus, peržiūrėti žurnalus, ataskaitas, pagrindinį prietaisų skydelį
Negalite keisti politikos ar atlikti užduočių OS lygiu
Politikos administratorius
Visas politikos valdymas, profilių keitimas, nustatymai, ataskaitų peržiūra
Neįmanoma atlikti nustatymų su kredencialais, ISE objektais
RBAC administratorius
Visi nustatymai skirtuke Operacijos, ANC politikos nustatymai, ataskaitų valdymas
Negalite keisti kitų nei ANC strategijų arba atlikti užduočių OS lygiu
Super Administratorius
Teisės į visus nustatymus, ataskaitų teikimą ir valdymą, gali ištrinti ir keisti administratoriaus kredencialus
Negalima pakeisti, ištrinti kitą profilį iš Super Admin grupės
Sistemos administratorius
Visi nustatymai skirtuke Operacijos, sistemos nustatymų valdymas, ANC politika, ataskaitų peržiūra
Negalite keisti kitų nei ANC strategijų arba atlikti užduočių OS lygiu
Išorinių RESTful paslaugų (ERS) administratorius
Visiška prieiga prie Cisco ISE REST API
Tik vietinių naudotojų, prieglobų ir saugos grupių (SG) autorizacijai, valdymui
Išorinis RESTful paslaugų (ERS) operatorius
Cisco ISE REST API skaitymo leidimai
Tik vietinių naudotojų, prieglobų ir saugos grupių (SG) autorizacijai, valdymui
11 pav. Iš anksto nustatytos Cisco ISE administratoriaus grupės
8) Neprivaloma skirtuke Autorizacija > Leidimai > RBAC politika Galite redaguoti iš anksto nustatytų administratorių teises.
12 pav. Cisco ISE administratoriaus iš anksto nustatytų profilių teisių valdymas
9) Skirtuke Administravimas > Sistema > NustatymaiGalimi visi sistemos nustatymai (DNS, NTP, SMTP ir kiti). Galite juos užpildyti čia, jei praleidote pradinio įrenginio inicijavimo metu.
5. Išvada
Taip baigiamas pirmasis straipsnis. Aptarėme Cisco ISE NAC sprendimo efektyvumą, jo architektūrą, minimalius reikalavimus ir diegimo parinktis bei pradinį diegimą.
Kitame straipsnyje apžvelgsime paskyrų kūrimą, integravimą su Microsoft Active Directory ir svečio prieigos kūrimą.
Jei turite klausimų šia tema arba reikia pagalbos bandant produktą, susisiekite nuoroda.