Cisco ISE: Ievads, prasības, uzstādīšana. 1. daļa

1. Ievads

Katram uzņēmumam, pat vismazākajam, ir nepieciešama autentifikācija, autorizācija un lietotāju uzskaite (AAA protokolu saime). Sākotnējā posmā AAA ir diezgan labi ieviests, izmantojot tādus protokolus kā RADIUS, TACACS+ un DIAMETER. Taču, pieaugot lietotāju un uzņēmuma skaitam, pieaug arī uzdevumu skaits: maksimāla saimnieku un BYOD ierīču redzamība, daudzfaktoru autentifikācija, daudzlīmeņu piekļuves politikas veidošana un daudz kas cits.

Šādiem uzdevumiem lieliski piemērota NAC (Network Access Control) risinājumu klase – tīkla piekļuves kontrole. Rakstu sērijā, kas veltīta Cisco ISE (Identity Services Engine) - NAC risinājums konteksta apzinātas piekļuves kontroles nodrošināšanai lietotājiem iekšējā tīklā, mēs detalizēti apskatīsim risinājuma arhitektūru, nodrošināšanu, konfigurāciju un licencēšanu.

Ļaujiet man īsi atgādināt, ka Cisco ISE ļauj:

• Ātri un vienkārši izveidojiet viesu piekļuvi īpašā WLAN tīklā;

• Atklāt BYOD ierīces (piemēram, darbinieku mājas datorus, ko viņi atnesa uz darbu);

• Centralizējiet un ieviesiet drošības politikas domēna un ārpusdomēna lietotājiem, izmantojot SGT drošības grupu etiķetes TrustSec);

• Pārbaudiet, vai datoros nav instalēta noteikta programmatūra un vai tie atbilst standartiem (posting);

• Klasificēt un profilēt galapunkta un tīkla ierīces;

• Nodrošina galapunkta redzamību;

• Sūtīt uz NGFW lietotāju pieteikšanās/atteikšanās notikumu žurnālus, viņu kontus (identitāti), lai izveidotu uz lietotāju balstītu politiku;

• Integrējieties ar Cisco StealthWatch un ievietojiet karantīnā aizdomīgos saimniekus, kas iesaistīti drošības incidentos (vairāk);

• Un citas AAA serveru standarta funkcijas.

Nozares kolēģi jau ir rakstījuši par Cisco ISE, tāpēc iesaku izlasīt: Cisco ISE ieviešanas prakse, Kā sagatavoties Cisco ISE ieviešanai.

2. arhitektūra

Identity Services Engine arhitektūrai ir 4 entītijas (mezgli): pārvaldības mezgls (politikas administrēšanas mezgls), politikas izplatīšanas mezgls (policy Service Node), pārraudzības mezgls (monitoring Node) un PxGrid mezgls (PxGrid Node). Cisco ISE var būt atsevišķa vai izplatīta instalācija. Savrupajā versijā visas entītijas atrodas vienā virtuālajā mašīnā vai fiziskajā serverī (Secure Network Servers — SNS), savukārt Distributed versijā mezgli ir sadalīti pa dažādām ierīcēm.

Politikas administrēšanas mezgls (PAN) ir obligāts mezgls, kas ļauj veikt visas administratīvās darbības Cisco ISE. Tas apstrādā visas sistēmas konfigurācijas, kas saistītas ar AAA. Sadalītā konfigurācijā (mezglus var instalēt kā atsevišķas virtuālās mašīnas) kļūdu pielaidei var būt ne vairāk kā divi PAN — aktīvais/gaidstāves režīms.

Politikas pakalpojumu mezgls (PSN) ir obligāts mezgls, kas nodrošina piekļuvi tīklam, stāvokli, viesa piekļuvi, klientu pakalpojumu nodrošināšanu un profilēšanu. PSN novērtē politiku un piemēro to. Parasti tiek instalēti vairāki PSN, īpaši izkliedētā konfigurācijā, lai nodrošinātu vairāk lieku un sadalītu darbību. Protams, viņi cenšas šos mezglus uzstādīt dažādos segmentos, lai ne mirkli nezaudētu iespēju nodrošināt autentificētu un autorizētu piekļuvi.

Uzraudzības mezgls (MnT) ir obligāts mezgls, kas tīklā glabā notikumu žurnālus, citu mezglu žurnālus un politikas. MnT mezgls nodrošina uzlabotus rīkus uzraudzībai un problēmu novēršanai, apkopo un korelē dažādus datus, kā arī nodrošina jēgpilnus pārskatus. Cisco ISE ļauj jums izmantot ne vairāk kā divus MnT mezglus, tādējādi radot kļūdu toleranci — aktīvais/gaidstāves režīms. Tomēr žurnālus apkopo abi mezgli — gan aktīvie, gan pasīvie.

PxGrid Node (PXG) ir mezgls, kas izmanto PxGrid protokolu un ļauj sazināties starp citām ierīcēm, kas atbalsta PxGrid.

PxGrid  — protokols, kas nodrošina dažādu piegādātāju IT un informācijas drošības infrastruktūras produktu integrāciju: uzraudzības sistēmas, ielaušanās atklāšanas un novēršanas sistēmas, drošības politikas pārvaldības platformas un daudzi citi risinājumi. Cisco PxGrid ļauj koplietot kontekstu vienvirziena vai divvirzienu veidā ar daudzām platformām, neizmantojot API, tādējādi ļaujot izmantot tehnoloģiju. TrustSec (SGT tagi), mainiet un pielietojiet ANC (Adaptive Network Control) politiku, kā arī veiciet profilēšanu – ierīces modeļa, OS, atrašanās vietas noteikšanu u.c.

Augstas pieejamības konfigurācijā PxGrid mezgli replicē informāciju starp mezgliem, izmantojot PAN. Ja PAN ir atspējots, PxGrid mezgls pārtrauc lietotāju autentifikāciju, autorizāciju un uzskaiti. 

Tālāk ir shematisks attēlojums dažādu Cisco ISE entītiju darbībai korporatīvajā tīklā.

1. attēls. Cisco ISE arhitektūra

3. Prasības

Cisco ISE, tāpat kā lielāko daļu mūsdienu risinājumu, var ieviest virtuāli vai fiziski kā atsevišķu serveri. 

Fiziskās ierīces, kurās darbojas Cisco ISE programmatūra, sauc par SNS (Secure Network Server). Tiem ir trīs modeļi: SNS-3615, SNS-3655 un SNS-3695 maziem, vidējiem un lieliem uzņēmumiem. 1. tabulā parādīta informācija no datu lapas SNS.

1. tabula. SNS salīdzināšanas tabula dažādiem mērogiem

Parametrs

SNS 3615 (mazs)

SNS 3655 (vidējs)

SNS 3695 (liels)

Atbalstīto galapunktu skaits savrupā instalācijā

10000

25000

50000

Atbalstīto galapunktu skaits vienā PSN

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 serdeņi

12 serdeņi

12 serdeņi

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1x600 GB

4x600 GB

8x600 GB

Aparatūras RAID

Nē

RAID 10, RAID kontrollera klātbūtne

RAID 10, RAID kontrollera klātbūtne

Tīkla saskarnes

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Attiecībā uz virtuālajām implementācijām atbalstītie hipervizori ir VMware ESXi (ieteicama vismaz VMware versija 11 ESXi 6.0), Microsoft Hyper-V un Linux KVM (RHEL 7.0). Resursiem ir jābūt aptuveni tādiem pašiem kā iepriekš tabulā vai vairāk. Tomēr minimālās prasības mazo uzņēmumu virtuālajai mašīnai ir: CPU 2 ar frekvenci 2.0 GHz un augstāku, 16 GB RAM и 200 GB HDD. 

Lai iegūtu citu informāciju par Cisco ISE izvietošanu, lūdzu, sazinieties mums vai uz resurss #1, resurss #2.

4. Uzstādīšana

Tāpat kā lielāko daļu citu Cisco produktu, ISE var pārbaudīt vairākos veidos:

• dcloud – iepriekš instalētu laboratorijas izkārtojumu mākoņpakalpojums (nepieciešams Cisco konts);

• GVE pieprasījums – pieprasījums no сайта Noteiktas programmatūras Cisco (metode partneriem). Jūs izveidojat lietu ar šādu tipisku aprakstu: Produkta veids [ISE], ISE programmatūra [ise-2.7.0.356.SPA.x8664], ISE ielāps [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• pilotprojekts — sazinieties ar jebkuru pilnvarotu partneri, lai veiktu bezmaksas izmēģinājuma projektu.

1) Pēc virtuālās mašīnas izveidošanas, ja pieprasījāt ISO failu, nevis OVA veidni, tiks parādīts logs, kurā ISE pieprasa atlasīt instalāciju. Lai to izdarītu, pieteikumvārda un paroles vietā jums vajadzētu ierakstīt “iestatīšana“!

Piezīme: ja izvietojāt ISE no OVA veidnes, tad pieteikšanās informācija admin/MyIseYPass2 (tas un daudz kas cits ir norādīts oficiālajā vadīt).

2. attēls. Cisco ISE instalēšana

2) Pēc tam jāaizpilda nepieciešamie lauki, piemēram, IP adrese, DNS, NTP un citi.

3. attēls. Cisco ISE inicializācija

3) Pēc tam ierīce tiks restartēta, un jūs varēsiet izveidot savienojumu, izmantojot tīmekļa saskarni, izmantojot iepriekš norādīto IP adresi.

4. attēls. Cisco ISE tīmekļa saskarne

4) Cilnē Administrēšana > Sistēma > Izvietošana varat atlasīt, kuri mezgli (entītijas) ir iespējoti konkrētā ierīcē. Šeit ir iespējots PxGrid mezgls.

5. attēls. Cisco ISE entītiju pārvaldība

5) Pēc tam cilnē Administrēšana > Sistēma > Administratora piekļuve > Autentifikācija Iesaku iestatīt paroles politiku, autentifikācijas metodi (sertifikātu vai paroli), konta derīguma termiņu un citus iestatījumus.

6. attēls. Autentifikācijas veida iestatījums7. attēls. Paroles politikas iestatījumi8. attēls. Konta izslēgšanas iestatīšana pēc laika beigām9. attēls. Konta bloķēšanas iestatīšana

6) Cilnē Administrēšana > Sistēma > Administratora piekļuve > Administratori > Administratīvie lietotāji > Pievienot varat izveidot jaunu administratoru.

10. attēls. Vietējā Cisco ISE administratora izveide

7) Jauno administratoru var iekļaut jaunas grupas vai jau iepriekš definētu grupu sastāvā. Administratoru grupas tiek pārvaldītas tajā pašā cilnes panelī Administratoru grupas. 2. tabulā ir apkopota informācija par ISE administratoriem, viņu tiesībām un lomām.

2. tabula. Cisco ISE administratoru grupas, piekļuves līmeņi, atļaujas un ierobežojumi

Administratoru grupas nosaukums

Atļaujas

Ierobežojumi

Pielāgošanas administrators

Viesu un sponsorēšanas portālu izveide, administrēšana un pielāgošana

Nespēja mainīt politikas vai skatīt pārskatus

Palīdzības dienesta administrators

Iespēja skatīt galveno informācijas paneli, visus ziņojumus, trauksmes signālus un problēmu novēršanas straumes

Jūs nevarat mainīt, izveidot vai dzēst atskaites, trauksmes signālus un autentifikācijas žurnālus

Identitātes administrators

Lietotāju, privilēģiju un lomu pārvaldība, iespēja skatīt žurnālus, atskaites un trauksmes signālus

Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī

MnT administrators

Pilna uzraudzība, atskaites, trauksmes signāli, žurnāli un to vadība

Nespēja mainīt nekādas politikas

Tīkla ierīces administrators

Tiesības izveidot un mainīt ISE objektus, skatīt žurnālus, atskaites, galveno informācijas paneli

Jūs nevarat mainīt politikas vai veikt uzdevumus OS līmenī

Politikas administrators

Pilnīga visu politiku pārvaldība, mainot profilus, iestatījumus, apskatot pārskatus

Nespēja veikt iestatījumus ar akreditācijas datiem, ISE objektiem

RBAC administrators

Visi iestatījumi cilnē Darbības, ANC politikas iestatījumi, pārskatu pārvaldība

Jūs nevarat mainīt citas politikas, izņemot ANC, vai veikt uzdevumus OS līmenī

Super Admin

Tiesības uz visiem iestatījumiem, ziņošanu un pārvaldību, var dzēst un mainīt administratora akreditācijas datus

Nevar mainīt, dzēst citu profilu no grupas Super Admin

Sistēma Admin

Visi iestatījumi cilnē Darbības, sistēmas iestatījumu pārvaldība, ANC politika, pārskatu skatīšana

Jūs nevarat mainīt citas politikas, izņemot ANC, vai veikt uzdevumus OS līmenī

Ārējo RESTful pakalpojumu (ERS) administrators

Pilnīga piekļuve Cisco ISE REST API

Tikai autorizācijai, vietējo lietotāju, saimniekdatoru un drošības grupu (SG) pārvaldībai

Ārējais RESTful pakalpojumu (ERS) operators

Cisco ISE REST API lasīšanas atļaujas

Tikai autorizācijai, vietējo lietotāju, saimniekdatoru un drošības grupu (SG) pārvaldībai

11. attēls. Iepriekš definētas Cisco ISE administratoru grupas

8) Cilnē nav obligāti Autorizācija > Atļaujas > RBAC politika Varat rediģēt iepriekš definētu administratoru tiesības.

12. attēls. Cisco ISE administratora iepriekš iestatītā profila tiesību pārvaldība

9) Cilnē Administrēšana > Sistēma > Iestatījumi Ir pieejami visi sistēmas iestatījumi (DNS, NTP, SMTP un citi). Varat tos aizpildīt šeit, ja esat tos palaidis garām ierīces sākotnējās inicializācijas laikā.

5. Secinājums

Tas noslēdz pirmo rakstu. Mēs apspriedām Cisco ISE NAC risinājuma efektivitāti, tā arhitektūru, minimālās prasības un izvietošanas iespējas, kā arī sākotnējo instalēšanu.

Nākamajā rakstā mēs apskatīsim kontu izveidi, integrāciju ar Microsoft Active Directory un viesa piekļuves izveidi.

Ja jums ir jautājumi par šo tēmu vai nepieciešama palīdzība produkta testēšanā, lūdzu, sazinieties saite.

Sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com