🥇Cisco ISE: Вовед, барања, инсталација. Дел 1

1. Вовед

Секоја компанија, дури и најмалата, има потреба од автентикација, овластување и корисничко сметководство (ААА семејство на протоколи). Во почетната фаза, AAA е доста добро имплементирана со користење на протоколи како што се RADIUS, TACACS+ и DIAMETER. Меѓутоа, како што расте бројот на корисници и компанијата, расте и бројот на задачи: максимална видливост на хостовите и уредите BYOD, автентикација со повеќе фактори, креирање политика за пристап на повеќе нивоа и многу повеќе.

За такви задачи, класата на решенија NAC (Network Access Control) е совршена - контрола на пристап до мрежата. Во серијата написи посветени на Cisco ISE (Identity Services Engine) - NAC решение за обезбедување на контрола на пристап свесен за контекст на корисниците на внатрешната мрежа, детално ќе ја разгледаме архитектурата, обезбедувањето, конфигурацијата и лиценцирањето на решението.

Дозволете ми накратко да ве потсетам дека Cisco ISE ви дозволува:

Брзо и лесно креирајте гостин пристап на посветен WLAN;
Откријте BYOD уреди (на пример, домашните компјутери на вработените што ги донеле на работа);
Централизирајте ги и спроведете безбедносни политики низ домен и корисници кои не се домени користејќи етикети за безбедносни групи SGT TrustSec);
Проверете ги компјутерите за инсталиран одреден софтвер и усогласеноста со стандардите (поставување на телото);
Класификација и профилирање на крајната точка и мрежни уреди;
Обезбедете видливост на крајната точка;
Испратете дневници на настани за најавување/одјавување на корисници, нивните сметки (идентитетот) до NGFW за да формирате политика базирана на корисници;
Интегрирајте се природно со Cisco StealthWatch и карантинирајте сомнителни домаќини вклучени во безбедносни инциденти (повеќе);
И други карактеристики стандардни за AAA сервери.

Колегите во индустријата веќе пишуваа за Cisco ISE, па ве советувам да прочитате: Cisco ISE пракса за имплементација, Како да се подготвите за имплементација на Cisco ISE.

2 Архитектура

Архитектурата на Identity Services Engine има 4 ентитети (јазли): управувачки јазол (Policy Administration Node), јазол за дистрибуција на политики (Policy Service Node), мониторинг јазол (Monitoring Node) и PxGrid јазол (PxGrid Node). Cisco ISE може да биде во самостојна или дистрибуирана инсталација. Во самостојната верзија, сите ентитети се наоѓаат на една виртуелна машина или физички сервер (Secure Network Servers - SNS), додека во Distributed верзијата, јазлите се дистрибуираат низ различни уреди.

Јазолот за администрација на политики (PAN) е задолжителен јазол што ви овозможува да ги извршувате сите административни операции на Cisco ISE. Се справува со сите системски конфигурации поврзани со AAA. Во дистрибуирана конфигурација (јазлите може да се инсталираат како посебни виртуелни машини), може да имате максимум два PAN за толеранција на грешки - Активен/Стандби режим.

Политика за сервисен јазол (PSN) е задолжителен јазол кој обезбедува пристап до мрежа, состојба, пристап до гости, обезбедување на услуги на клиентите и профилирање. PSN ја оценува политиката и ја применува. Вообичаено, повеќекратни PSN се инсталирани, особено во дистрибуирана конфигурација, за повеќе излишни и дистрибуирани операции. Се разбира, тие се обидуваат да ги инсталираат овие јазли во различни сегменти за да не ја изгубат способноста да обезбедат автентициран и овластен пристап за секунда.

Мониторинг јазол (MnT) е задолжителен јазол кој складира дневници на настани, дневници на други јазли и политики на мрежата. Јазолот MnT обезбедува напредни алатки за следење и решавање проблеми, собира и корелира различни податоци, а исто така обезбедува значајни извештаи. Cisco ISE ви овозможува да имате максимум два MnT јазли, со што се создава толеранција на грешки - Активен/Стандби режим. Сепак, дневниците се собираат од двата јазли, и активни и пасивни.

PxGrid Node (PXG) е јазол кој го користи протоколот PxGrid и овозможува комуникација помеѓу други уреди кои поддржуваат PxGrid.

PxGrid — протокол кој обезбедува интеграција на инфраструктурни производи за ИТ и информациска безбедност од различни продавачи: системи за следење, системи за откривање и спречување на упади, платформи за управување со безбедносни политики и многу други решенија. Cisco PxGrid ви овозможува да споделувате контекст на еднонасочен или двонасочен начин со многу платформи без потреба од API, со што се овозможува технологијата TrustSec (SGT ознаки), променете ја и применете ја политиката ANC (Adaptive Network Control), како и извршете профилирање - одредување на моделот на уредот, ОС, локацијата и многу повеќе.

Во конфигурација со висока достапност, PxGrid јазлите реплицираат информации помеѓу јазлите преку PAN. Ако PAN-от е оневозможен, јазолот PxGrid престанува да се автентицира, овластува и воведува сметка за корисниците.

Подолу е шематски приказ на работата на различни Cisco ISE ентитети во корпоративна мрежа.

Слика 1. Cisco ISE Architecture

3. Барања

Cisco ISE може да се имплементира, како и повеќето модерни решенија, виртуелно или физички како посебен сервер.

Физичките уреди кои работат на софтверот Cisco ISE се нарекуваат SNS (Secure Network Server). Тие доаѓаат во три модели: SNS-3615, SNS-3655 и SNS-3695 за мали, средни и големи бизниси. Во табела 1 се прикажани информации од податоци СНС.

Табела 1. Споредбена табела на СНС за различни размери

Параметар

SNS 3615 (мал)

SNS 3655 (средно)

SNS 3695 (голем)

Број на поддржани крајни точки во самостојна инсталација

10000

25000

50000

Број на поддржани крајни точки по PSN

10000

25000

100000

Процесор (Intel Xeon 2.10 GHz)

8 јадра

12 јадра

RAM меморија

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

Хардвер RAID

Не

RAID 10, присуство на RAID контролер

Интерфејси на мрежата

2 x 10 Gbase-T

4 x 1 Gbase-T

2 x 10 Gbase-T

4 x 1 Gbase-T

2 x 10 Gbase-T

4 x 1 Gbase-T

Што се однесува до виртуелните имплементации, поддржаните хипервизори се VMware ESXi (се препорачува минимум VMware верзија 11 за ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсите треба да бидат приближно исти како во табелата погоре, или повеќе. Сепак, минималните барања за виртуелна машина за мал бизнис се: 2 процесор со фреквенција од 2.0 GHz и повисока, 16 GB RAM и 200 GB HDD.

За други детали за распоредувањето на Cisco ISE, ве молиме контактирајте нас или да ресурс #1, ресурс #2.

4. Инсталација

Како и повеќето други производи на Cisco, ISE може да се тестира на неколку начини:

dcloud – облак услуга на претходно инсталирани лабораториски распореди (потребна е сметка на Cisco);
Барање GVE – барање од страница Cisco на одреден софтвер (метод за партнери). Вие креирате случај со следниов типичен опис: Тип на производ [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
пилот проект — контактирајте со кој било овластен партнер за да спроведе бесплатен пилот проект.

1) Откако ќе креирате виртуелна машина, ако побаравте ISO датотека, а не OVA шаблон, ќе се појави прозорец во кој ISE бара да изберете инсталација. За да го направите ова, наместо вашето најавување и лозинка, треба да напишете „подесување“!

Забелешка: ако сте распоредиле ISE од шаблон OVA, тогаш деталите за најавување админ/MyIseYPass2 (ова и многу повеќе е наведено во официјалното водич).

Слика 2. Инсталирање на Cisco ISE

2) Потоа треба да ги пополните потребните полиња како што се IP адреса, DNS, NTP и други.

Слика 3. Иницијализирање на Cisco ISE

3) После тоа, уредот ќе се рестартира и ќе можете да се поврзете преку веб-интерфејсот користејќи ја претходно наведената IP адреса.

Слика 4. Веб интерфејс Cisco ISE

4) Во табот Администрација > Систем > Распоредување можете да изберете кои јазли (ентитети) се овозможени на одреден уред. Јазолот PxGrid е овозможен овде.

Слика 5. Cisco ISE Entity Management

5) Потоа во јазичето Администрација > Систем > Пристап до администратор > Проверка Препорачувам да поставите политика за лозинка, метод за автентикација (сертификат или лозинка), датум на истекување на сметката и други поставки.

Слика 6. Поставување тип на автентикацијаСлика 7. Поставки за политиката за лозинкаСлика 8. Поставување на исклучување на сметката по истекот на времетоСлика 9. Поставување заклучување сметка

6) Во табот Администрација > Систем > Администраторски пристап > Администратори > Администратори > Додај можете да креирате нов администратор.

Слика 10. Креирање на локален Cisco ISE администратор

7) Новиот администратор може да биде дел од нова група или веќе однапред дефинирани групи. Администраторските групи се управуваат во истиот панел во јазичето Административни групи. Табелата 2 ги сумира информациите за администраторите на ISE, нивните права и улоги.

Табела 2. Администраторски групи на Cisco ISE, нивоа на пристап, дозволи и ограничувања

Име на администраторска група

Дозволи

Ограничувања

Администратор за приспособување

Поставување портали за гости и спонзори, администрација и прилагодување

Неможност за промена на политиките или прегледување извештаи

Администратор на Helpdesk

Можност за прегледување на главната контролна табла, сите извештаи, ламби и текови за решавање проблеми

Не можете да менувате, креирате или бришете извештаи, аларми и дневници за автентикација

Администратор за идентитет

Управување со корисници, привилегии и улоги, можност за прегледување дневници, извештаи и аларми

Не можете да менувате политики или да извршувате задачи на ниво на ОС

MnT админ

Целосно следење, извештаи, аларми, дневници и нивно управување

Неможност за промена на какви било политики

Администратор на мрежен уред

Права за креирање и менување ISE објекти, прегледување дневници, извештаи, главна контролна табла

Не можете да менувате политики или да извршувате задачи на ниво на ОС

Политика Администратор

Целосно управување со сите политики, менување профили, поставки, прегледување извештаи

Неможност да се извршат поставки со акредитиви, објекти ISE

Администратор на RBAC

Сите поставки во табулаторот „Операции“, поставки за политика на ANC, управување со извештаи

Не можете да менувате други политики освен ANC или да извршувате задачи на ниво на ОС

Супер Админ

Правата на сите поставки, известување и управување, може да ги бришат и менуваат администраторските акредитиви

Не може да се промени, избришете друг профил од групата Супер администратор

Системски администратор

Сите поставки во картичката Операции, управување со системските поставки, политика на ANC, прегледување извештаи

Не можете да менувате други политики освен ANC или да извршувате задачи на ниво на ОС

Надворешни услуги за одмор (ERS) Админ

Целосен пристап до Cisco ISE REST API

Само за овластување, управување со локални корисници, домаќини и безбедносни групи (SG)

Оператор на надворешни RESTful Services (ERS).

Cisco ISE REST API Дозволи за читање

Само за овластување, управување со локални корисници, домаќини и безбедносни групи (SG)

Слика 11. Предефинирани Cisco ISE администраторски групи

8) Изборно во јазичето Овластување > Дозволи > Политика на RBAC Можете да ги уредувате правата на претходно дефинираните администратори.

Слика 12. Управување со правата на претходно поставените профили на администратор на Cisco ISE

9) Во табот Администрација > Систем > Поставки Сите системски поставки се достапни (DNS, NTP, SMTP и други). Можете да ги пополните овде ако сте ги пропуштиле при иницијализацијата на уредот.

5. Заклучок

Ова ја завршува првата статија. Разговаравме за ефективноста на решението Cisco ISE NAC, неговата архитектура, минималните барања и опциите за распоредување и првичната инсталација.

Во следната статија, ќе разгледаме креирање сметки, интегрирање со Microsoft Active Directory и создавање пристап за гости.

Ако имате прашања во врска со оваа тема или ви треба помош за тестирање на производот, ве молиме контактирајте линк.

Останете во тек за ажурирања на нашите канали (Телеграма, Facebook, VK, Блог за TS Solution, Yandex Зен).

Извор: www.habr.com

Cisco ISE: Вовед, барања, инсталација. Дел 1

1. Вовед

2 Архитектура

3. Барања

4. Инсталација

5. Заклучок

Додадете коментар Откажи одговор