1. Fampidirana
Ny orinasa tsirairay, na dia ny kely indrindra aza, dia mila fanamarinana, fanomezan-dàlana ary kaonty mpampiasa (fianakaviana protocols AAA). Amin'ny dingana voalohany, ny AAA dia ampiharina tsara amin'ny fampiasana protocols toy ny RADIUS, TACACS + ary DIAMETER. Na izany aza, rehefa mitombo ny isan'ny mpampiasa sy ny orinasa dia mitombo ihany koa ny isan'ny asa: ny fahitana ambony indrindra amin'ny mpampiantrano sy ny fitaovana BYOD, ny fanamarinana marobe, ny famoronana politikam-pidirana amin'ny ambaratonga maro sy ny maro hafa.
Ho an'ny asa toy izany dia tonga lafatra ny kilasy NAC (Network Access Control) - fanaraha-maso ny fidirana amin'ny tambajotra. Ao amin'ny andian-dahatsoratra natokana ho an'ny (Identity Services Engine) - Vahaolana NAC amin'ny fanomezana fanaraha-maso ny fidirana amin'ny teny manodidina ho an'ny mpampiasa ao amin'ny tambajotra anatiny, hojerentsika amin'ny antsipiriany ny maritrano, ny famatsiana, ny fanamafisana ary ny fahazoan-dàlana amin'ny vahaolana.
Mamelà ahy hampahatsiahy anao fohifohy fa ny Cisco ISE dia mamela anao:
-
Mamorona fidiran'ny vahiny haingana sy mora amin'ny WLAN voatokana;
-
Fantaro ny fitaovana BYOD (ohatra, ny PC an-tranon'ny mpiasa izay nentiny niasa);
-
Ampifanitsio sy ampiharo ny politikam-piarovana manerana ny sehatra sy ny mpampiasa tsy miankina amin'ny fampiasana etikety vondrona fiarovana SGT );
-
Hamarino ny solosaina misy rindrambaiko napetraka sy mifanaraka amin'ny fenitra (posturing);
-
Manasokajy sy manasokajy ny endpoint sy ny fitaovana tambajotra;
-
Manome fahitana amin'ny endpoint;
-
Alefaso any amin'ny NGFW ny diarin'ny hetsika misy ny logon/logoff an'ny mpampiasa, ny kaontiny (identité) mba hamoronana politika mifototra amin'ny mpampiasa;
-
Ampifandraiso amin'ny Cisco StealthWatch sy ireo mpampiantrano mampiahiahy voarohirohy amin'ny tranga fiarovana ();
-
Ary endri-javatra hafa mahazatra ho an'ny mpizara AAA.
Ny mpiara-miasa amin'ny indostria dia efa nanoratra momba ny Cisco ISE, ka manoro hevitra anao aho hamaky: ,.
2. maritrano
Ny maritrano Identity Services Engine dia manana singa 4 (node): node fitantanana (Node Fitantanana ny Politika), node fitsinjarana politika (Node Service Politique), node fanaraha-maso (Node Fanaraha-maso) ary node PxGrid (Node PxGrid). Cisco ISE dia mety amin'ny fametrahana tokana na zaraina. Ao amin'ny kinova Standalone, ny sampana rehetra dia miorina amin'ny milina virtoaly iray na mpizara ara-batana (Secure Network Servers - SNS), raha ao amin'ny version Distributed kosa dia mizara amin'ny fitaovana samihafa ny node.
Policy Administration Node (PAN) dia node ilaina izay ahafahanao manao ny asa fitantanana rehetra ao amin'ny Cisco ISE. Izy io no mitantana ny rafitra rehetra mifandraika amin'ny AAA. Amin'ny fizarazarana (azo apetraka ho milina virtoaly misaraka ny node), azonao atao ny manana PAN roa farafahakeliny ho an'ny fandeferana diso - Active/Standby mode.
Policy Service Node (PSN) dia node tsy maintsy atao izay manome fidirana amin'ny tambajotra, fanjakana, fidirana amin'ny vahiny, fanomezana serivisy mpanjifa, ary profiling. Ny PSN dia manombana ny politika ary mampihatra izany. Amin'ny ankapobeny, PSN maromaro no apetraka, indrindra amin'ny fizarazarana, ho an'ny fampandehanana miverimberina sy mizarazara. Mazava ho azy fa manandrana mametraka ireo nodes ireo amin'ny sehatra samihafa izy ireo mba tsy hanary ny fahafahana manome fidirana azo antoka sy nahazo alalana mandritra ny segondra iray.
Ny Monitoring Node (MnT) dia node tsy maintsy mitahiry ny diarin'ny hetsika, ny diarin'ny node hafa ary ny politika ao amin'ny tambajotra. Ny node MnT dia manome fitaovana avo lenta amin'ny fanaraha-maso sy famahana olana, manangona sy mampifandray ireo angona isan-karazany, ary manome tatitra manan-danja ihany koa. Ny Cisco ISE dia ahafahanao manana node MnT roa ambony indrindra, ka mamorona fandeferana diso - Active/Standby mode. Na izany aza, ny logs dia angonin'ny nodes roa, na mavitrika na passive.
PxGrid Node (PXG) dia node mampiasa ny protocol PxGrid ary mamela ny fifandraisana eo amin'ny fitaovana hafa izay manohana ny PxGrid.
— protocole miantoka ny fampidirana ireo vokatra fotodrafitrasa momba ny fiarovana ny informatika sy ny fampahalalam-baovao avy amin'ireo mpivarotra samihafa: rafitra fanaraha-maso, rafitra fanaraha-maso sy fisorohana ny fidirana, sehatra fitantanana politika momba ny fiarovana ary vahaolana maro hafa. Ny Cisco PxGrid dia ahafahanao mizara ny teny manodidina amin'ny fomba tokana na roa amin'ny sehatra maro tsy mila API, ka mahatonga ny teknolojia (SGT tags), manova sy mampihatra ny politikan'ny ANC (Adaptive Network Control), ary manatanteraka profiling - mamaritra ny modely fitaovana, OS, toerana, sy ny maro hafa.
Amin'ny fanefena avo lenta, ny nodes PxGrid dia mamerina ny vaovao eo anelanelan'ny node amin'ny PAN. Raha toa ka kilemaina ny PAN, ny node PxGrid dia mijanona amin'ny fanamarinana, fanomezan-dàlana ary kaonty ho an'ny mpampiasa.
Ity ambany ity ny fanehoana an-tsary momba ny fiasan'ny sampan-draharaha Cisco ISE samihafa amin'ny tambajotran'orinasa.
Sary 1. Architecture Cisco ISE
3. fepetra takiana
Ny Cisco ISE dia azo ampiharina, toy ny ankamaroan'ny vahaolana maoderina, amin'ny ankapobeny na ara-batana ho mpizara misaraka.
Ny fitaovana ara-batana mandeha amin'ny rindrambaiko Cisco ISE dia antsoina hoe SNS (Secure Network Server). Misy modely telo izy ireo: SNS-3615, SNS-3655 ary SNS-3695 ho an'ny orinasa madinika, antonony ary lehibe. Ny tabilao 1 dia mampiseho fampahalalana avy amin'ny SNS.
Tabilao 1. Tabilao fampitahana ny SNS ho an'ny mizana samihafa
fikirana
SNS 3615 (Kely)
SNS 3655 (Medium)
SNS 3695 (lehibe)
Isan'ny teboka farany tohana amin'ny fametrahana mitokana
10000
25000
50000
Isan'ny teboka farany tohana isaky ny PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kozy
12 kozy
12 kozy
ram
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Hardware
No
RAID 10, fisian'ny RAID controller
RAID 10, fisian'ny RAID controller
Fifandraisana amin'ny tambajotra
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Mikasika ny fampiharana virtoaly, ny hypervisors tohanana dia VMware ESXi (farafaharatsiny VMware version 11 ho an'ny ESXi 6.0 no soso-kevitra), Microsoft Hyper-V ary Linux KVM (RHEL 7.0). Ny loharanon-karena dia tokony ho mitovy amin'ny tabilao etsy ambony, na mihoatra. Na izany aza, ny fepetra kely indrindra ho an'ny milina virtoaly orinasa madinika dia: CPU 2 miaraka amin'ny matetika 2.0 GHz ary ambony kokoa, 16 GB RAM и 200 GB HDD.
Raha mila fanazavana fanampiny momba ny fametrahana Cisco ISE dia mifandraisa azafady na to , .
4. Fametrahana
Tahaka ny ankamaroan'ny vokatra Cisco hafa, ny ISE dia azo andrana amin'ny fomba maro:
-
- serivisy rahona amin'ny laminasa laboratoara efa napetraka (takina ny kaonty Cisco);
-
- fangatahana avy amin'ny Cisco amin'ny rindrambaiko sasany (fomba ho an'ny mpiara-miombon'antoka). Mamorona tranga misy ireto famaritana mahazatra manaraka ireto ianao: Karazana vokatra [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- Mifandraisa amin'izay mpiara-miombon'antoka nahazo alalana hanao tetik'asa mpanamory maimaim-poana.
1) Rehefa avy namorona milina virtoaly ianao, raha nangataka fisie ISO ianao fa tsy môdely OVA, dia hipoitra ny varavarankely iray izay ilain'ny ISE anao hisafidy fametrahana. Mba hanaovana izany, raha tokony ho ny fidirana sy ny tenimiafinao dia tokony hanoratra "hametraka"!
Fanamarihana: raha nametraka ISE avy amin'ny maodely OVA ianao, dia ny antsipirian'ny fidirana admin/MyIseYPass2 (ity sy ny maro hafa dia aseho ao amin'ny ofisialy ).
Sary 2. Fametrahana Cisco ISE
2) Avy eo dia tokony hameno ny saha ilaina toy ny adiresy IP, DNS, NTP sy ny hafa.
Sary 3. Fanombohana ny Cisco ISE
3) Rehefa afaka izany, ny fitaovana dia reboot, ary ianao dia ho afaka ny mifandray amin'ny alalan'ny Internet interface tsara mampiasa ny adiresy IP voalaza teo aloha.
Sary 4. Cisco ISE Web Interface
4) Ao amin'ny tabilao Administration> System> Deployment azonao atao ny misafidy izay nodes (entité) alefa amin'ny fitaovana iray manokana. Ny node PxGrid dia alefa eto.
Sary 5. Cisco ISE Entity Management
5) Avy eo amin'ny tabilao Fitantanana > Rafitra > fidirana Admin > fanamarinana Manoro hevitra aho ny hametraka politikan'ny tenimiafina, fomba fanamarinana (certificat na tenimiafina), daty lany daty ary toe-javatra hafa.
Sary 6. Fametrahana karazana fanamarinanaSary 7. Fikirana politikan'ny tenimiafinaSary 8. Fametrahana fanakatonana kaonty rehefa tapitra ny fotoanaSary 9. Fametrahana ny fanakatonana kaonty
6) Ao amin'ny tabilao Fitantanana> Rafitra> Fidirana Admin> Administrators> Mpampiasa Admin> Add afaka mamorona mpitantana vaovao ianao.
Sary 10. Famoronana mpitantana Cisco ISE eo an-toerana
7) Ny mpitantana vaovao dia azo atao ao anatin'ny vondrona vaovao na vondrona efa voafaritra mialoha. Ny vondrona mpitantana dia mitantana ao amin'ny tontonana mitovy amin'ny tabilao Admin Groups. Ny tabilao 2 dia mamintina ny vaovao momba ny mpitantana ny ISE, ny zony ary ny andraikiny.
Tabilao 2. Vondrona Mpitantana Cisco ISE, Ambaratonga fidirana, Fahazoan-dalana ary Fameperana
Anaran'ny vondrona mpitantana
alalana
fameperana
Customization Admin
Fametrahana vavahadin'ny vahiny sy mpanohana, fitantanana ary fanamboarana
Tsy fahafahana manova politika na mijery tatitra
Helpdesk Admin
Ny fahafahana mijery ny dashboard lehibe, ny tatitra rehetra, ny larms ary ny famahana olana
Tsy afaka manova, mamorona na mamafa tatitra, fanairana ary diarin'ny fanamarinana ianao
Identity Admin
Mitantana mpampiasa, tombontsoa sy andraikitra, fahafahana mijery logs, tatitra ary fanairana
Tsy afaka manova politika na manao asa amin'ny ambaratonga OS ianao
MnT Admin
Fanaraha-maso feno, tatitra, fanairana, logs ary ny fitantanana azy ireo
Tsy fahafahana manova politika
Admin fitaovana tambajotra
Zo hamorona sy hanova zavatra ISE, mijery logs, tatitra, dashboard lehibe
Tsy afaka manova politika na manao asa amin'ny ambaratonga OS ianao
Mpitantana politika
Fitantanana feno ny politika rehetra, ny fanovana ny mombamomba, ny toe-javatra, ny fijerena tatitra
Ny tsy fahafahana manao fikandrana miaraka amin'ny fahazoan-dàlana, zavatra ISE
RBAC Admin
Ny toe-javatra rehetra ao amin'ny tabilao Operations, toe-javatra politika ANC, fitantanana ny tatitra
Tsy afaka manova politika ankoatra ny ANC ianao na manao asa amin'ny ambaratonga OS
Super Admin
Ny zo amin'ny toe-javatra rehetra, ny tatitra ary ny fitantanana, dia afaka mamafa sy manova ny mombamomba ny mpitantana
Tsy azo ovaina, fafao ny mombamomba hafa ao amin'ny vondrona Super Admin
System Admin
Fikirana rehetra ao amin'ny tabilao Operations, fitantanana ny rafitra rafitra, politika ANC, fijerena tatitra
Tsy afaka manova politika ankoatra ny ANC ianao na manao asa amin'ny ambaratonga OS
Mpitantana serivisy RESTful ivelany (ERS).
Fidirana feno amin'ny Cisco ISE REST API
Ho an'ny fanomezan-dàlana, fitantanana ny mpampiasa eo an-toerana, mpampiantrano ary vondrona fiarovana (SG)
Opérateur External RESTful Services (ERS).
Cisco ISE REST API fahazoan-dàlana hamaky
Ho an'ny fanomezan-dàlana, fitantanana ny mpampiasa eo an-toerana, mpampiantrano ary vondrona fiarovana (SG)
Sary 11. Vondrona mpitantana Cisco ISE efa voafaritra mialoha
8) Azo atao ao amin'ny tabilao Fanomezana alalana > Fahazoan-dalana > Politika RBAC Azonao atao ny manova ny zon'ny mpitantana efa voafaritra mialoha.
Sary 12. Cisco ISE Administrator Preset Profile Rights Management
9) Ao amin'ny tabilao Administration> System> Settings Ny firafitry ny rafitra rehetra dia misy (DNS, NTP, SMTP sy ny hafa). Azonao atao ny mameno azy ireo eto raha tsy mahita azy ireo ianao nandritra ny fanombohana ny fitaovana voalohany.
5. Fehiny
Izany no mamarana ny lahatsoratra voalohany. Niresaka momba ny fahombiazan'ny vahaolana Cisco ISE NAC izahay, ny maritranony, ny fepetra faran'izay kely indrindra ary ny safidy fametrahana, ary ny fametrahana voalohany.
Ao amin'ny lahatsoratra manaraka dia hijery ny famoronana kaonty, ny fampidirana amin'ny Microsoft Active Directory, ary ny famoronana fidirana amin'ny vahiny.
Raha manana fanontaniana momba ity lohahevitra ity ianao na mila fanampiana amin'ny fitiliana ny vokatra dia mifandraisa azafady .
Araho hatrany ny fanavaozana ao amin'ny fantsonay (, , , , ).
Source: www.habr.com