1. Ievads
Katram uzņēmumam, pat vismazākajam, ir nepieciešama autentifikācija, autorizācija un lietotāju uzskaite (AAA protokolu saime). Sākotnējā posmā AAA ir diezgan labi ieviests, izmantojot tādus protokolus kā RADIUS, TACACS+ un DIAMETER. Taču, pieaugot lietotāju un uzņēmuma skaitam, pieaug arī uzdevumu skaits: maksimāla saimnieku un BYOD ierīču redzamība, daudzfaktoru autentifikācija, daudzlīmeņu piekļuves politikas veidošana un daudz kas cits.
Šādiem uzdevumiem lieliski piemērota NAC (Network Access Control) risinājumu klase – tīkla piekļuves kontrole. Rakstu sērijā, kas veltīta (Identity Services Engine) - NAC risinājums konteksta apzinātas piekļuves kontroles nodrošināšanai lietotājiem iekšējā tīklā, mēs detalizēti apskatīsim risinājuma arhitektūru, nodrošināšanu, konfigurāciju un licencēšanu.
Ļaujiet man īsi atgādināt, ka Cisco ISE ļauj:
Ātri un vienkārši izveidojiet viesu piekļuvi īpašā WLAN tīklā;
Atklāt BYOD ierīces (piemēram, darbinieku mājas datorus, ko viņi atnesa uz darbu);
Centralizējiet un ieviesiet drošības politikas domēna un ārpusdomēna lietotājiem, izmantojot SGT drošības grupu etiķetes );
Pārbaudiet, vai datoros nav instalēta noteikta programmatūra un vai tie atbilst standartiem (posting);
Klasificēt un profilēt galapunkta un tīkla ierīces;
Nodrošina galapunkta redzamību;
Sūtīt uz NGFW lietotāju pieteikšanās/atteikšanās notikumu žurnālus, viņu kontus (identitāti), lai izveidotu uz lietotāju balstītu politiku;
Integrējieties ar Cisco StealthWatch un ievietojiet karantīnā aizdomīgos saimniekus, kas iesaistīti drošības incidentos ();
Un citas AAA serveru standarta funkcijas.
Nozares kolēģi jau ir rakstījuši par Cisco ISE, tāpēc iesaku izlasīt: ,.
2. arhitektūra
Identity Services Engine arhitektūrai ir 4 entītijas (mezgli): pārvaldības mezgls (politikas administrēšanas mezgls), politikas izplatīšanas mezgls (policy Service Node), pārraudzības mezgls (monitoring Node) un PxGrid mezgls (PxGrid Node). Cisco ISE var būt atsevišķa vai izplatīta instalācija. Savrupajā versijā visas entītijas atrodas vienā virtuālajā mašīnā vai fiziskajā serverī (Secure Network Servers — SNS), savukārt Distributed versijā mezgli ir sadalīti pa dažādām ierīcēm.
Politikas administrēšanas mezgls (PAN) ir obligāts mezgls, kas ļauj veikt visas administratīvās darbības Cisco ISE. Tas apstrādā visas sistēmas konfigurācijas, kas saistītas ar AAA. Sadalītā konfigurācijā (mezglus var instalēt kā atsevišķas virtuālās mašīnas) kļūdu pielaidei var būt ne vairāk kā divi PAN — aktīvais/gaidstāves režīms.
Politikas pakalpojumu mezgls (PSN) ir obligāts mezgls, kas nodrošina piekļuvi tīklam, stāvokli, viesa piekļuvi, klientu pakalpojumu nodrošināšanu un profilēšanu. PSN novērtē politiku un piemēro to. Parasti tiek instalēti vairāki PSN, īpaši izkliedētā konfigurācijā, lai nodrošinātu vairāk lieku un sadalītu darbību. Protams, viņi cenšas šos mezglus uzstādīt dažādos segmentos, lai ne mirkli nezaudētu iespēju nodrošināt autentificētu un autorizētu piekļuvi.
Uzraudzības mezgls (MnT) ir obligāts mezgls, kas tīklā glabā notikumu žurnālus, citu mezglu žurnālus un politikas. MnT mezgls nodrošina uzlabotus rīkus uzraudzībai un problēmu novēršanai, apkopo un korelē dažādus datus, kā arī nodrošina jēgpilnus pārskatus. Cisco ISE ļauj jums izmantot ne vairāk kā divus MnT mezglus, tādējādi radot kļūdu toleranci — aktīvais/gaidstāves režīms. Tomēr žurnālus apkopo abi mezgli — gan aktīvie, gan pasīvie.
PxGrid Node (PXG) ir mezgls, kas izmanto PxGrid protokolu un ļauj sazināties starp citām ierīcēm, kas atbalsta PxGrid.
— protokols, kas nodrošina dažādu piegādātāju IT un informācijas drošības infrastruktūras produktu integrāciju: uzraudzības sistēmas, ielaušanās atklāšanas un novēršanas sistēmas, drošības politikas pārvaldības platformas un daudzi citi risinājumi. Cisco PxGrid ļauj koplietot kontekstu vienvirziena vai divvirzienu veidā ar daudzām platformām, neizmantojot API, tādējādi ļaujot izmantot tehnoloģiju. (SGT tagi), mainiet un pielietojiet ANC (Adaptive Network Control) politiku, kā arī veiciet profilēšanu – ierīces modeļa, OS, atrašanās vietas noteikšanu u.c.
Augstas pieejamības konfigurācijā PxGrid mezgli replicē informāciju starp mezgliem, izmantojot PAN. Ja PAN ir atspējots, PxGrid mezgls pārtrauc lietotāju autentifikāciju, autorizāciju un uzskaiti.
Tālāk ir shematisks attēlojums dažādu Cisco ISE entītiju darbībai korporatīvajā tīklā.
1. attēls. Cisco ISE arhitektūra
3. Prasības
Cisco ISE, tāpat kā lielāko daļu mūsdienu risinājumu, var ieviest virtuāli vai fiziski kā atsevišķu serveri.
Fiziskās ierīces, kurās darbojas Cisco ISE programmatūra, sauc par SNS (Secure Network Server). Tiem ir trīs modeļi: SNS-3615, SNS-3655 un SNS-3695 maziem, vidējiem un lieliem uzņēmumiem. 1. tabulā parādīta informācija no SNS.
1. tabula. SNS salīdzināšanas tabula dažādiem mērogiem
Parametrs
SNS 3615 (mazs)
SNS 3655 (vidējs)
SNS 3695 (liels)
Atbalstīto galapunktu skaits savrupā instalācijā
10000
25000
50000
Atbalstīto galapunktu skaits vienā PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 serdeņi
12 serdeņi
12 serdeņi
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
Aparatūras RAID
Nē
RAID 10, RAID kontrollera klātbūtne
RAID 10, RAID kontrollera klātbūtne
Tīkla saskarnes
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Runājot par virtuālajām ieviešanām, atbalstītie hipervizori ir VMware ESXi (ESXi 6.0 ieteicams vismaz VMware 11. versija), Microsoft Hyper-V un Linux KVM (RHEL 7.0). Resursiem jābūt aptuveni tādiem pašiem kā iepriekš tabulā norādītajiem vai augstākiem. Tomēr minimālās virtuālās mašīnas prasības mazajiem uzņēmumiem ir šādas: CPU 2 ar frekvenci 2.0 GHz un augstāku, 16 GB RAM и 200 GB HDD.
Lai iegūtu citu informāciju par Cisco ISE izvietošanu, lūdzu, sazinieties vai uz , .
4. Uzstādīšana
Tāpat kā lielāko daļu citu Cisco produktu, ISE var pārbaudīt vairākos veidos:
– iepriekš instalētu laboratorijas izkārtojumu mākoņpakalpojums (nepieciešams Cisco konts);
– pieprasījums no Noteiktas programmatūras Cisco (metode partneriem). Jūs izveidojat lietu ar šādu tipisku aprakstu: Produkta veids [ISE], ISE programmatūra [ise-2.7.0.356.SPA.x8664], ISE ielāps [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
— sazinieties ar jebkuru pilnvarotu partneri, lai veiktu bezmaksas izmēģinājuma projektu.
1) Pēc virtuālās mašīnas izveidošanas, ja pieprasījāt ISO failu, nevis OVA veidni, tiks parādīts logs, kurā ISE pieprasa atlasīt instalāciju. Lai to izdarītu, pieteikumvārda un paroles vietā jums vajadzētu ierakstīt “iestatīšana“!
Piezīme: ja izvietojāt ISE no OVA veidnes, tad pieteikšanās informācija admin/MyIseYPass2 (tas un daudz kas cits ir norādīts oficiālajā ).
2. attēls. Cisco ISE instalēšana
2) Pēc tam jāaizpilda nepieciešamie lauki, piemēram, IP adrese, DNS, NTP un citi.
3. attēls. Cisco ISE inicializācija
3) Pēc tam ierīce tiks restartēta, un jūs varēsiet izveidot savienojumu, izmantojot tīmekļa saskarni, izmantojot iepriekš norādīto IP adresi.
4. attēls. Cisco ISE tīmekļa saskarne
4) Cilnē Administrēšana > Sistēma > Izvietošana varat atlasīt, kuri mezgli (entītijas) ir iespējoti konkrētā ierīcē. Šeit ir iespējots PxGrid mezgls.
5. attēls. Cisco ISE entītiju pārvaldība
5) Pēc tam cilnē Administrēšana > Sistēma > Administratora piekļuve > Autentifikācija Iesaku iestatīt paroles politiku, autentifikācijas metodi (sertifikātu vai paroli), konta derīguma termiņu un citus iestatījumus.
6. attēls. Autentifikācijas veida iestatījums
7. attēls. Paroles politikas iestatījumi
8. attēls. Konta izslēgšanas iestatīšana pēc laika beigām
9. attēls. Konta bloķēšanas iestatīšana
6) Cilnē Administrēšana > Sistēma > Administratora piekļuve > Administratori > Administratīvie lietotāji > Pievienot varat izveidot jaunu administratoru.
10. attēls. Vietējā Cisco ISE administratora izveide
7) Jauno administratoru var iekļaut jaunas grupas vai jau iepriekš definētu grupu sastāvā. Administratoru grupas tiek pārvaldītas tajā pašā cilnes panelī Administratoru grupas. 2. tabulā ir apkopota informācija par ISE administratoriem, viņu tiesībām un lomām.
2. tabula. Cisco ISE administratoru grupas, piekļuves līmeņi, atļaujas un ierobežojumi
Administratoru grupas nosaukums
Atļaujas
Ierobežojumi
Pielāgošanas administrators
Viesu un sponsorēšanas portālu izveide, administrēšana un pielāgošana
Nespēja mainīt politikas vai skatīt pārskatus
Palīdzības dienesta administrators
Iespēja skatīt galveno informācijas paneli, visus ziņojumus, trauksmes signālus un problēmu novēršanas straumes
Jūs nevarat mainīt, izveidot vai dzēst atskaites, trauksmes signālus un autentifikācijas žurnālus
Identitātes administrators
Lietotāju, privilēģiju un lomu pārvaldība, iespēja skatīt žurnālus, atskaites un trauksmes signālus
Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī
MnT administrators
Pilna uzraudzība, atskaites, trauksmes signāli, žurnāli un to vadība
Nespēja mainīt nekādas politikas
Tīkla ierīces administrators
Tiesības izveidot un mainīt ISE objektus, skatīt žurnālus, atskaites, galveno informācijas paneli
Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī
Politikas administrators
Pilnīga visu politiku pārvaldība, mainot profilus, iestatījumus, apskatot pārskatus
Nespēja veikt iestatījumus ar akreditācijas datiem, ISE objektiem
RBAC administrators
Visi iestatījumi cilnē Darbības, ANC politikas iestatījumi, pārskatu pārvaldība
Jūs nevarat mainīt citas politikas, izņemot ANC, vai veikt uzdevumus OS līmenī
Super Admin
Tiesības uz visiem iestatījumiem, ziņošanu un pārvaldību, var dzēst un mainīt administratora akreditācijas datus
Nevar mainīt, dzēst citu profilu no grupas Super Admin
Sistēma Admin
Visi iestatījumi cilnē Darbības, sistēmas iestatījumu pārvaldība, ANC politika, pārskatu skatīšana
Jūs nevarat mainīt citas politikas, izņemot ANC, vai veikt uzdevumus OS līmenī
Ārējo RESTful pakalpojumu (ERS) administrators
Pilnīga piekļuve Cisco ISE REST API
Tikai autorizācijai, vietējo lietotāju, saimniekdatoru un drošības grupu (SG) pārvaldībai
Ārējais RESTful pakalpojumu (ERS) operators
Cisco ISE REST API lasīšanas atļaujas
Tikai autorizācijai, vietējo lietotāju, saimniekdatoru un drošības grupu (SG) pārvaldībai
11. attēls. Iepriekš definētas Cisco ISE administratoru grupas
8) Cilnē nav obligāti Autorizācija > Atļaujas > RBAC politika Varat rediģēt iepriekš definētu administratoru tiesības.
12. attēls. Cisco ISE administratora iepriekš iestatītā profila tiesību pārvaldība
9) Cilnē Administrēšana > Sistēma > Iestatījumi Ir pieejami visi sistēmas iestatījumi (DNS, NTP, SMTP un citi). Varat tos aizpildīt šeit, ja esat tos palaidis garām ierīces sākotnējās inicializācijas laikā.
5. Secinājums
Tas noslēdz pirmo rakstu. Mēs apspriedām Cisco ISE NAC risinājuma efektivitāti, tā arhitektūru, minimālās prasības un izvietošanas iespējas, kā arī sākotnējo instalēšanu.
Nākamajā rakstā mēs apskatīsim kontu izveidi, integrāciju ar Microsoft Active Directory un viesa piekļuves izveidi.
Ja jums ir jautājumi par šo tēmu vai nepieciešama palīdzība produkta testēšanā, lūdzu, sazinieties .
Sekojiet jaunumiem mūsu kanālos (, , , , ).
Avots: www.habr.com
