Katram uzÅÄmumam, pat vismazÄkajam, ir nepiecieÅ”ama autentifikÄcija, autorizÄcija un lietotÄju uzskaite (AAA protokolu saime). SÄkotnÄjÄ posmÄ AAA ir diezgan labi ieviests, izmantojot tÄdus protokolus kÄ RADIUS, TACACS+ un DIAMETER. TaÄu, pieaugot lietotÄju un uzÅÄmuma skaitam, pieaug arÄ« uzdevumu skaits: maksimÄla saimnieku un BYOD ierÄ«Äu redzamÄ«ba, daudzfaktoru autentifikÄcija, daudzlÄ«meÅu piekļuves politikas veidoÅ”ana un daudz kas cits.
Å Ädiem uzdevumiem lieliski piemÄrota NAC (Network Access Control) risinÄjumu klase ā tÄ«kla piekļuves kontrole. Rakstu sÄrijÄ, kas veltÄ«ta Cisco ISE (Identity Services Engine) - NAC risinÄjums konteksta apzinÄtas piekļuves kontroles nodroÅ”inÄÅ”anai lietotÄjiem iekÅ”ÄjÄ tÄ«klÄ, mÄs detalizÄti apskatÄ«sim risinÄjuma arhitektÅ«ru, nodroÅ”inÄÅ”anu, konfigurÄciju un licencÄÅ”anu.
Ä»aujiet man Ä«si atgÄdinÄt, ka Cisco ISE ļauj:
Ätri un vienkÄrÅ”i izveidojiet viesu piekļuvi Ä«paÅ”Ä WLAN tÄ«klÄ;
AtklÄt BYOD ierÄ«ces (piemÄram, darbinieku mÄjas datorus, ko viÅi atnesa uz darbu);
CentralizÄjiet un ieviesiet droŔības politikas domÄna un ÄrpusdomÄna lietotÄjiem, izmantojot SGT droŔības grupu etiÄ·etes TrustSec);
PÄrbaudiet, vai datoros nav instalÄta noteikta programmatÅ«ra un vai tie atbilst standartiem (posting);
KlasificÄt un profilÄt galapunkta un tÄ«kla ierÄ«ces;
NodroŔina galapunkta redzamību;
SÅ«tÄ«t uz NGFW lietotÄju pieteikÅ”anÄs/atteikÅ”anÄs notikumu žurnÄlus, viÅu kontus (identitÄti), lai izveidotu uz lietotÄju balstÄ«tu politiku;
IntegrÄjieties ar Cisco StealthWatch un ievietojiet karantÄ«nÄ aizdomÄ«gos saimniekus, kas iesaistÄ«ti droŔības incidentos (vairÄk);
Identity Services Engine arhitektÅ«rai ir 4 entÄ«tijas (mezgli): pÄrvaldÄ«bas mezgls (politikas administrÄÅ”anas mezgls), politikas izplatÄ«Å”anas mezgls (policy Service Node), pÄrraudzÄ«bas mezgls (monitoring Node) un PxGrid mezgls (PxGrid Node). Cisco ISE var bÅ«t atseviŔķa vai izplatÄ«ta instalÄcija. SavrupajÄ versijÄ visas entÄ«tijas atrodas vienÄ virtuÄlajÄ maŔīnÄ vai fiziskajÄ serverÄ« (Secure Network Servers ā SNS), savukÄrt Distributed versijÄ mezgli ir sadalÄ«ti pa dažÄdÄm ierÄ«cÄm.
Politikas administrÄÅ”anas mezgls (PAN) ir obligÄts mezgls, kas ļauj veikt visas administratÄ«vÄs darbÄ«bas Cisco ISE. Tas apstrÄdÄ visas sistÄmas konfigurÄcijas, kas saistÄ«tas ar AAA. SadalÄ«tÄ konfigurÄcijÄ (mezglus var instalÄt kÄ atseviŔķas virtuÄlÄs maŔīnas) kļūdu pielaidei var bÅ«t ne vairÄk kÄ divi PAN ā aktÄ«vais/gaidstÄves režīms.
Politikas pakalpojumu mezgls (PSN) ir obligÄts mezgls, kas nodroÅ”ina piekļuvi tÄ«klam, stÄvokli, viesa piekļuvi, klientu pakalpojumu nodroÅ”inÄÅ”anu un profilÄÅ”anu. PSN novÄrtÄ politiku un piemÄro to. Parasti tiek instalÄti vairÄki PSN, Ä«paÅ”i izkliedÄtÄ konfigurÄcijÄ, lai nodroÅ”inÄtu vairÄk lieku un sadalÄ«tu darbÄ«bu. Protams, viÅi cenÅ”as Å”os mezglus uzstÄdÄ«t dažÄdos segmentos, lai ne mirkli nezaudÄtu iespÄju nodroÅ”inÄt autentificÄtu un autorizÄtu piekļuvi.
UzraudzÄ«bas mezgls (MnT) ir obligÄts mezgls, kas tÄ«klÄ glabÄ notikumu žurnÄlus, citu mezglu žurnÄlus un politikas. MnT mezgls nodroÅ”ina uzlabotus rÄ«kus uzraudzÄ«bai un problÄmu novÄrÅ”anai, apkopo un korelÄ dažÄdus datus, kÄ arÄ« nodroÅ”ina jÄgpilnus pÄrskatus. Cisco ISE ļauj jums izmantot ne vairÄk kÄ divus MnT mezglus, tÄdÄjÄdi radot kļūdu toleranci ā aktÄ«vais/gaidstÄves režīms. TomÄr žurnÄlus apkopo abi mezgli ā gan aktÄ«vie, gan pasÄ«vie.
PxGrid Node (PXG) ir mezgls, kas izmanto PxGrid protokolu un ļauj sazinÄties starp citÄm ierÄ«cÄm, kas atbalsta PxGrid.
PxGrid ā protokols, kas nodroÅ”ina dažÄdu piegÄdÄtÄju IT un informÄcijas droŔības infrastruktÅ«ras produktu integrÄciju: uzraudzÄ«bas sistÄmas, ielauÅ”anÄs atklÄÅ”anas un novÄrÅ”anas sistÄmas, droŔības politikas pÄrvaldÄ«bas platformas un daudzi citi risinÄjumi. Cisco PxGrid ļauj koplietot kontekstu vienvirziena vai divvirzienu veidÄ ar daudzÄm platformÄm, neizmantojot API, tÄdÄjÄdi ļaujot izmantot tehnoloÄ£iju. TrustSec (SGT tagi), mainiet un pielietojiet ANC (Adaptive Network Control) politiku, kÄ arÄ« veiciet profilÄÅ”anu ā ierÄ«ces modeļa, OS, atraÅ”anÄs vietas noteikÅ”anu u.c.
Augstas pieejamÄ«bas konfigurÄcijÄ PxGrid mezgli replicÄ informÄciju starp mezgliem, izmantojot PAN. Ja PAN ir atspÄjots, PxGrid mezgls pÄrtrauc lietotÄju autentifikÄciju, autorizÄciju un uzskaiti.
TÄlÄk ir shematisks attÄlojums dažÄdu Cisco ISE entÄ«tiju darbÄ«bai korporatÄ«vajÄ tÄ«klÄ.
1. attÄls. Cisco ISE arhitektÅ«ra
3. Prasības
Cisco ISE, tÄpat kÄ lielÄko daļu mÅ«sdienu risinÄjumu, var ieviest virtuÄli vai fiziski kÄ atseviŔķu serveri.
FiziskÄs ierÄ«ces, kurÄs darbojas Cisco ISE programmatÅ«ra, sauc par SNS (Secure Network Server). Tiem ir trÄ«s modeļi: SNS-3615, SNS-3655 un SNS-3695 maziem, vidÄjiem un lieliem uzÅÄmumiem. 1. tabulÄ parÄdÄ«ta informÄcija no datu lapas SNS.
1. tabula. SNS salÄ«dzinÄÅ”anas tabula dažÄdiem mÄrogiem
Parametrs
SNS 3615 (mazs)
SNS 3655 (vidÄjs)
SNS 3695 (liels)
AtbalstÄ«to galapunktu skaits savrupÄ instalÄcijÄ
10000
25000
50000
AtbalstÄ«to galapunktu skaits vienÄ PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 serdeÅi
12 serdeÅi
12 serdeÅi
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
Aparatūras RAID
NÄ
RAID 10, RAID kontrollera klÄtbÅ«tne
RAID 10, RAID kontrollera klÄtbÅ«tne
TÄ«kla saskarnes
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
AttiecÄ«bÄ uz virtuÄlajÄm implementÄcijÄm atbalstÄ«tie hipervizori ir VMware ESXi (ieteicama vismaz VMware versija 11 ESXi 6.0), Microsoft Hyper-V un Linux KVM (RHEL 7.0). Resursiem ir jÄbÅ«t aptuveni tÄdiem paÅ”iem kÄ iepriekÅ” tabulÄ vai vairÄk. TomÄr minimÄlÄs prasÄ«bas mazo uzÅÄmumu virtuÄlajai maŔīnai ir: CPU 2 ar frekvenci 2.0 GHz un augstÄku, 16 GB RAM Šø 200 GBHDD.
Lai iegÅ«tu citu informÄciju par Cisco ISE izvietoÅ”anu, lÅ«dzu, sazinieties mums vai uz resurss #1, resurss #2.
4. UzstÄdÄ«Å”ana
TÄpat kÄ lielÄko daļu citu Cisco produktu, ISE var pÄrbaudÄ«t vairÄkos veidos:
GVE pieprasÄ«jums ā pieprasÄ«jums no ŃŠ°Š¹ŃŠ° Noteiktas programmatÅ«ras Cisco (metode partneriem). JÅ«s izveidojat lietu ar Å”Ädu tipisku aprakstu: Produkta veids [ISE], ISE programmatÅ«ra [ise-2.7.0.356.SPA.x8664], ISE ielÄps [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilotprojekts ā sazinieties ar jebkuru pilnvarotu partneri, lai veiktu bezmaksas izmÄÄ£inÄjuma projektu.
1) PÄc virtuÄlÄs maŔīnas izveidoÅ”anas, ja pieprasÄ«jÄt ISO failu, nevis OVA veidni, tiks parÄdÄ«ts logs, kurÄ ISE pieprasa atlasÄ«t instalÄciju. Lai to izdarÄ«tu, pieteikumvÄrda un paroles vietÄ jums vajadzÄtu ierakstÄ«t āiestatÄ«Å”anaā!
PiezÄ«me: ja izvietojÄt ISE no OVA veidnes, tad pieteikÅ”anÄs informÄcija admin/MyIseYPass2 (tas un daudz kas cits ir norÄdÄ«ts oficiÄlajÄ vadÄ«t).
2. attÄls. Cisco ISE instalÄÅ”ana
2) PÄc tam jÄaizpilda nepiecieÅ”amie lauki, piemÄram, IP adrese, DNS, NTP un citi.
3. attÄls. Cisco ISE inicializÄcija
3) PÄc tam ierÄ«ce tiks restartÄta, un jÅ«s varÄsiet izveidot savienojumu, izmantojot tÄ«mekļa saskarni, izmantojot iepriekÅ” norÄdÄ«to IP adresi.
4. attÄls. Cisco ISE tÄ«mekļa saskarne
4) CilnÄ AdministrÄÅ”ana > SistÄma > IzvietoÅ”ana varat atlasÄ«t, kuri mezgli (entÄ«tijas) ir iespÄjoti konkrÄtÄ ierÄ«cÄ. Å eit ir iespÄjots PxGrid mezgls.
5. attÄls. Cisco ISE entÄ«tiju pÄrvaldÄ«ba
5) PÄc tam cilnÄ AdministrÄÅ”ana > SistÄma > Administratora piekļuve >AutentifikÄcija Iesaku iestatÄ«t paroles politiku, autentifikÄcijas metodi (sertifikÄtu vai paroli), konta derÄ«guma termiÅu un citus iestatÄ«jumus.
6. attÄls. AutentifikÄcijas veida iestatÄ«jums7. attÄls. Paroles politikas iestatÄ«jumi8. attÄls. Konta izslÄgÅ”anas iestatÄ«Å”ana pÄc laika beigÄm9. attÄls. Konta bloÄ·ÄÅ”anas iestatÄ«Å”ana
6) CilnÄ AdministrÄÅ”ana > SistÄma > Administratora piekļuve > Administratori > AdministratÄ«vie lietotÄji > Pievienot varat izveidot jaunu administratoru.
10. attÄls. VietÄjÄ Cisco ISE administratora izveide
7) Jauno administratoru var iekļaut jaunas grupas vai jau iepriekÅ” definÄtu grupu sastÄvÄ. Administratoru grupas tiek pÄrvaldÄ«tas tajÄ paÅ”Ä cilnes panelÄ« Administratoru grupas. 2. tabulÄ ir apkopota informÄcija par ISE administratoriem, viÅu tiesÄ«bÄm un lomÄm.
2. tabula. Cisco ISE administratoru grupas, piekļuves lÄ«meÅi, atļaujas un ierobežojumi
Administratoru grupas nosaukums
Atļaujas
Ierobežojumi
PielÄgoÅ”anas administrators
Viesu un sponsorÄÅ”anas portÄlu izveide, administrÄÅ”ana un pielÄgoÅ”ana
NespÄja mainÄ«t politikas vai skatÄ«t pÄrskatus
Palīdzības dienesta administrators
IespÄja skatÄ«t galveno informÄcijas paneli, visus ziÅojumus, trauksmes signÄlus un problÄmu novÄrÅ”anas straumes
JÅ«s nevarat mainÄ«t, izveidot vai dzÄst atskaites, trauksmes signÄlus un autentifikÄcijas žurnÄlus
IdentitÄtes administrators
LietotÄju, privilÄÄ£iju un lomu pÄrvaldÄ«ba, iespÄja skatÄ«t žurnÄlus, atskaites un trauksmes signÄlus
Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī
MnT administrators
Pilna uzraudzÄ«ba, atskaites, trauksmes signÄli, žurnÄli un to vadÄ«ba
NespÄja mainÄ«t nekÄdas politikas
Tīkla ierīces administrators
TiesÄ«bas izveidot un mainÄ«t ISE objektus, skatÄ«t žurnÄlus, atskaites, galveno informÄcijas paneli
Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī
Politikas administrators
PilnÄ«ga visu politiku pÄrvaldÄ«ba, mainot profilus, iestatÄ«jumus, apskatot pÄrskatus
NespÄja veikt iestatÄ«jumus ar akreditÄcijas datiem, ISE objektiem
RBAC administrators
Visi iestatÄ«jumi cilnÄ DarbÄ«bas, ANC politikas iestatÄ«jumi, pÄrskatu pÄrvaldÄ«ba
JÅ«s nevarat mainÄ«t citas politikas, izÅemot ANC, vai veikt uzdevumus OS lÄ«menÄ«
Super Admin
TiesÄ«bas uz visiem iestatÄ«jumiem, ziÅoÅ”anu un pÄrvaldÄ«bu, var dzÄst un mainÄ«t administratora akreditÄcijas datus
Nevar mainÄ«t, dzÄst citu profilu no grupas Super Admin