1. Оршил
Компани бүр, бүр хамгийн жижиг нь ч гэсэн баталгаажуулалт, зөвшөөрөл, хэрэглэгчийн бүртгэл (AAA гэр бүлийн протокол) шаардлагатай байдаг. Эхний шатанд AAA нь RADIUS, TACACS+, DIAMETER гэх мэт протоколуудыг ашиглан нэлээд сайн хэрэгждэг. Гэсэн хэдий ч хэрэглэгчдийн тоо болон компанийн тоо өсөхийн хэрээр даалгавруудын тоо нэмэгддэг: хостууд болон BYOD төхөөрөмжүүдийн хамгийн их харагдах байдал, олон хүчин зүйлийн баталгаажуулалт, олон түвшний хандалтын бодлогыг бий болгох гэх мэт.
Ийм ажлуудын хувьд NAC (Сүлжээний хандалтын хяналт) ангиллын шийдлүүд төгс төгөлдөр юм - network access control. зориулсан цуврал нийтлэлд (Identity Services Engine) - Дотоод сүлжээн дэх хэрэглэгчдэд контекстийг мэддэг хандалтын хяналтыг хангах NAC шийдэл бөгөөд бид уг шийдлийн архитектур, бэлтгэл, тохиргоо, лицензийг нарийвчлан авч үзэх болно.
Cisco ISE танд дараах боломжийг олгодог гэдгийг товчхон сануулъя.
-
Зориулалтын WLAN дээр зочны хандалтыг хурдан бөгөөд хялбар үүсгэх;
-
BYOD төхөөрөмжүүдийг илрүүлэх (жишээ нь ажилчдын ажилдаа авчирсан гэрийн компьютер);
-
SGT аюулгүй байдлын бүлгийн шошгыг ашиглан домэйн болон домэйн бус хэрэглэгчдэд аюулгүй байдлын бодлогыг төвлөрүүлж, хэрэгжүүлээрэй );
-
Компьютер дээр суулгасан тодорхой программ хангамж, стандартад нийцэж байгаа эсэхийг шалгах (байдал байрлуулах);
-
Төгсгөлийн цэг болон сүлжээний төхөөрөмжүүдийг ангилах, танилцуулах;
-
Төгсгөлийн цэгийн харагдах байдлыг хангах;
-
Хэрэглэгчид нэвтэрсэн/гарсан үйл явдлын бүртгэл, тэдгээрийн бүртгэл (идентификатор)-ыг NGFW руу илгээж, хэрэглэгчдэд суурилсан бодлогыг бүрдүүлэх;
-
Cisco StealthWatch-тай үндсэндээ нэгтгэж, аюулгүй байдлын осолд холбогдсон сэжигтэй хостуудыг хорио цээрлэнэ ();
-
AAA серверүүдийн стандарт бусад функцууд.
Салбарын хамт олон Cisco ISE-ийн талаар аль хэдийн бичсэн байгаа тул би танд уншихыг зөвлөж байна: ,.
2 дугаартай. Архитектур
Identity Services Engine архитектур нь удирдлагын зангилаа (Бодлогын удирдлагын зангилаа), бодлогын түгээлтийн зангилаа (Бодлогын үйлчилгээний зангилаа), хяналтын зангилаа (Хяналтын зангилаа) болон PxGrid зангилаа (PxGrid зангилаа) гэсэн 4 нэгжтэй (зангилаа). Cisco ISE нь бие даасан эсвэл хуваарилагдсан суулгацтай байж болно. Бие даасан хувилбарт бүх аж ахуйн нэгжүүд нэг виртуал машин эсвэл физик сервер (Secure Network Servers - SNS) дээр байрладаг бол Distributed хувилбарт зангилаанууд өөр өөр төхөөрөмжүүдэд тархсан байдаг.
Бодлогын удирдлагын зангилаа (PAN) нь Cisco ISE дээр удирдлагын бүх үйлдлийг гүйцэтгэх боломжийг олгодог шаардлагатай зангилаа юм. Энэ нь AAA-тай холбоотой бүх системийн тохиргоог зохицуулдаг. Тархсан тохиргоонд (зангилааг тусдаа виртуал машин болгон суулгаж болно) та алдааг тэсвэрлэхийн тулд хамгийн ихдээ хоёр PAN-тай байж болно - Идэвхтэй/Стэнд горим.
Бодлогын үйлчилгээний зангилаа (PSN) нь сүлжээний хандалт, төлөв байдал, зочны хандалт, үйлчлүүлэгчийн үйлчилгээ үзүүлэх, профайл үүсгэх боломжийг олгодог заавал байх ёстой зангилаа юм. PSN нь бодлогыг үнэлж, хэрэгжүүлдэг. Ихэвчлэн олон тооны PSN-ийг, ялангуяа хуваарилагдсан тохиргоонд суулгаж, илүү их ачаалалтай, тархсан үйл ажиллагаа явуулдаг. Мэдээжийн хэрэг, эдгээр зангилаануудыг өөр өөр сегментүүдэд суулгахыг оролддог бөгөөд ингэснээр баталгаажсан, зөвшөөрөгдсөн хандалтыг секундын турш алдахгүй байх болно.
Хяналтын зангилаа (MnT) нь сүлжээн дэх үйл явдлын бүртгэл, бусад зангилааны бүртгэл, бодлогыг хадгалдаг заавал байх ёстой зангилаа юм. MnT зангилаа нь хяналт-шинжилгээ, алдааг олж засварлах дэвшилтэт хэрэгслээр хангадаг, янз бүрийн өгөгдлийг цуглуулж, уялдуулдаг, мөн ач холбогдолтой тайлангуудыг өгдөг. Cisco ISE нь танд дээд тал нь хоёр MnT зангилаатай байх боломжийг олгодог бөгөөд ингэснээр алдааг тэсвэрлэх чадварыг бий болгодог - Идэвхтэй / Зогсоолын горим. Гэсэн хэдий ч бүртгэлийг идэвхтэй болон идэвхгүй хоёр зангилаагаар цуглуулдаг.
PxGrid Node (PXG) нь PxGrid протоколыг ашигладаг зангилаа бөгөөд PxGrid-ийг дэмждэг бусад төхөөрөмжүүдийн хооронд харилцах боломжийг олгодог.
- хяналтын систем, халдлагыг илрүүлэх, урьдчилан сэргийлэх систем, аюулгүй байдлын бодлогын удирдлагын платформ болон бусад олон шийдлүүд: янз бүрийн үйлдвэрлэгчдийн мэдээллийн технологийн болон мэдээллийн аюулгүй байдлын дэд бүтцийн бүтээгдэхүүнийг нэгтгэх протокол. Cisco PxGrid нь API ашиглахгүйгээр олон платформтой нэг чиглэлтэй эсвэл хоёр чиглэлтэй контекстийг хуваалцах боломжийг олгодог бөгөөд ингэснээр технологийг идэвхжүүлдэг. (SGT шошго), ANC (Дасан зохицох сүлжээний хяналт) бодлогыг өөрчлөх, хэрэгжүүлэх, түүнчлэн профайл хийх - төхөөрөмжийн загвар, үйлдлийн систем, байршил гэх мэтийг тодорхойлох.
Өндөр хүртээмжтэй тохиргоонд PxGrid зангилаанууд нь PAN дээрх зангилааны хооронд мэдээллийг хуулбарладаг. Хэрэв PAN идэвхгүй бол PxGrid зангилаа нь хэрэглэгчдийг баталгаажуулах, зөвшөөрөл олгох, бүртгэл хийхээ зогсооно.
Корпорацийн сүлжээн дэх өөр өөр Cisco ISE байгууллагуудын үйл ажиллагааны бүдүүвч дүрслэлийг доор харуулав.
Зураг 1. Cisco ISE Architecture
3. Шаардлага
Cisco ISE нь ихэнх орчин үеийн шийдлүүдийн нэгэн адил виртуал болон биет байдлаар тусдаа сервер хэлбэрээр хэрэгжиж болно.
Cisco ISE программ хангамжийг ажиллуулж байгаа физик төхөөрөмжүүдийг SNS (Secure Network Server) гэж нэрлэдэг. Эдгээр нь жижиг, дунд, том бизнесүүдэд зориулагдсан SNS-3615, SNS-3655, SNS-3695 гэсэн гурван загвартай. Хүснэгт 1-ээс авсан мэдээллийг харуулав SNS.
Хүснэгт 1. Янз бүрийн масштабын SNS-ийн харьцуулсан хүснэгт
Үзүүлэлт
SNS 3615 (Жижиг)
SNS 3655 (Дунд)
SNS 3695 (Том)
Бие даасан суулгацын дэмжигдсэн төгсгөлийн цэгүүдийн тоо
10000
25000
50000
PSN тутамд дэмжигдсэн төгсгөлийн цэгүүдийн тоо
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 цөм
12 цөм
12 цөм
RAM
32 ГБ (2 х 16 ГБ)
96 ГБ (6 х 16 ГБ)
256 ГБ (16 х 16 ГБ)
хатуу диск
1 x 600 ГБ
4 x 600 ГБ
8 x 600 ГБ
Тоног төхөөрөмжийн RAID
Ямар ч
RAID 10, RAID хянагч байгаа эсэх
RAID 10, RAID хянагч байгаа эсэх
Сүлжээний интерфейс
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Виртуал хэрэгжүүлэлтийн тухайд, дэмжигдсэн гипервизорууд нь VMware ESXi (ESXi 11-д зориулсан хамгийн бага VMware хувилбар 6.0-ийг санал болгож байна), Microsoft Hyper-V болон Linux KVM (RHEL 7.0) юм. Нөөцүүд нь дээрх хүснэгттэй ойролцоогоор ижил буюу түүнээс дээш байх ёстой. Гэсэн хэдий ч жижиг бизнесийн виртуал машинд тавигдах хамгийн бага шаардлага нь: 2 CPU 2.0 GHz ба түүнээс дээш давтамжтай, 16 GB RAM и 200 ГБ байна HDD.
Cisco ISE-ийн байршуулалтын бусад дэлгэрэнгүй мэдээллийг авна уу эсвэл , .
4. Суурилуулалт
Cisco-ийн бусад ихэнх бүтээгдэхүүний нэгэн адил ISE-г хэд хэдэн аргаар туршиж болно:
-
– Урьдчилан суулгасан лабораторийн байршлын үүлэн үйлчилгээ (Cisco данс шаардлагатай);
-
-аас хүсэлт Тодорхой програм хангамжийн Cisco (хамтрагчдад зориулсан арга). Та дараах ердийн тайлбар бүхий кейс үүсгэнэ: Бүтээгдэхүүний төрөл [ISE], ISE Програм хангамж [ise-2.7.0.356.SPA.x8664], ISE нөхөөс [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— үнэ төлбөргүй туршилтын төсөл хэрэгжүүлэхийн тулд эрх бүхий аль ч түнштэй холбоо барина уу.
1) Виртуал машин үүсгэсний дараа, хэрэв та OVA загвар биш ISO файл хүссэн бол ISE нь суулгац сонгохыг шаарддаг цонх гарч ирнэ. Үүнийг хийхийн тулд та нэвтрэх нэр, нууц үгийнхээ оронд " гэж бичих хэрэгтэй.тохируулах"!
Тайлбар: хэрэв та ISE-г OVA загвараас суулгасан бол нэвтрэх мэдээлэл админ/MyIseYPass2 (энэ болон бусад зүйлийг албан тушаалтанд заасан болно ).
Зураг 2. Cisco ISE суулгаж байна
2) Дараа нь та IP хаяг, DNS, NTP болон бусад шаардлагатай талбаруудыг бөглөх хэрэгтэй.
Зураг 3. Cisco ISE-г эхлүүлж байна
3) Үүний дараа төхөөрөмж дахин ачаалах бөгөөд та өмнө нь заасан IP хаягийг ашиглан вэб интерфэйсээр холбогдох боломжтой болно.
Зураг 4. Cisco ISE вэб интерфэйс
4) Таб дотор Удирдлага > Систем > Байршлуулалт та тодорхой төхөөрөмж дээр аль зангилаа (байгууллага) идэвхжсэнийг сонгож болно. PxGrid зангилаа энд идэвхжсэн.
Зураг 5. Cisco ISE Entity Management
5) Дараа нь таб дээр Удирдлага > Систем > Админ хандалт > Authentication Би нууц үгийн бодлого, баталгаажуулах арга (сертификат эсвэл нууц үг), дансны хүчинтэй байх хугацаа болон бусад тохиргоог хийхийг зөвлөж байна.
Зураг 6. Баталгаажуулах төрлийн тохиргооЗураг 7. Нууц үгийн бодлогын тохиргооЗураг 8. Хугацаа дууссаны дараа бүртгэлийг хаах тохиргоог хийж байнаЗураг 9. Бүртгэлийн түгжээг тохируулах
6) Таб дотор Удирдлага > Систем > Админ хандалт > Администраторууд > Админ хэрэглэгчид > Нэмэх та шинэ администратор үүсгэж болно.
Зураг 10. Орон нутгийн Cisco ISE администраторыг бий болгох
7) Шинэ администраторыг шинэ бүлэг эсвэл урьдчилан тодорхойлсон бүлгүүдийн нэг хэсэг болгож болно. Администраторын бүлгүүдийг таб дээрх ижил самбарт удирддаг Админ бүлгүүд. Хүснэгт 2-т ISE-ийн администраторууд, тэдгээрийн эрх, үүргийн талаарх мэдээллийг нэгтгэн харуулав.
Хүснэгт 2. Cisco ISE администраторын бүлгүүд, хандалтын түвшин, зөвшөөрөл, хязгаарлалт
Администраторын бүлгийн нэр
Зөвшөөрөл
Хязгаарлалтууд
Тохируулах админ
Зочин болон ивээн тэтгэгчийн портал, удирдлага, тохируулга хийх
Бодлого өөрчлөх, тайланг харах боломжгүй
Тусламжийн үйлчилгээний админ
Үндсэн хяналтын самбар, бүх тайлан, дохиолол, алдааг олж засварлах урсгалыг үзэх боломжтой
Та тайлан, дохиолол, баталгаажуулалтын бүртгэлийг өөрчлөх, үүсгэх эсвэл устгах боломжгүй
Identity Admin
Хэрэглэгчид, эрх, үүргийг удирдах, бүртгэл, тайлан, дохиолол харах чадвар
Та үйлдлийн системийн түвшинд бодлогыг өөрчлөх эсвэл даалгавар гүйцэтгэх боломжгүй
MnT Админ
Бүрэн хяналт, тайлан, дохиолол, бүртгэл, тэдгээрийн удирдлага
Аливаа бодлогыг өөрчлөх боломжгүй
Сүлжээний төхөөрөмжийн админ
ISE объект үүсгэх, өөрчлөх, бүртгэл, тайлан, үндсэн самбарыг үзэх эрх
Та үйлдлийн системийн түвшинд бодлогыг өөрчлөх эсвэл даалгавар гүйцэтгэх боломжгүй
Бодлогын админ
Бүх бодлогыг бүрэн удирдах, профайл, тохиргоог өөрчлөх, тайланг үзэх
Итгэмжлэх жуух бичгээр тохиргоо хийх боломжгүй, ISE объект
RBAC админ
Үйлдлийн таб дахь бүх тохиргоо, ANC бодлогын тохиргоо, тайлангийн удирдлага
Та ANC-ээс бусад бодлогыг өөрчлөх эсвэл үйлдлийн системийн түвшинд ажил гүйцэтгэх боломжгүй
Супер Админы
Бүх тохиргоо, тайлагнах, удирдах эрх нь администраторын итгэмжлэлүүдийг устгах, өөрчлөх боломжтой
Өөрчлөх боломжгүй, супер админ бүлгээс өөр профайлыг устгана уу
Системийн админ
Үйлдлийн таб дахь бүх тохиргоо, системийн тохиргоог удирдах, ANC бодлого, тайланг үзэх
Та ANC-ээс бусад бодлогыг өөрчлөх эсвэл үйлдлийн системийн түвшинд ажил гүйцэтгэх боломжгүй
Гадаад RESTful үйлчилгээ (ERS) админ
Cisco ISE REST API-д бүрэн хандах боломжтой
Зөвхөн зөвшөөрөл олгох, орон нутгийн хэрэглэгчид, хостууд болон аюулгүй байдлын бүлгүүдийг удирдах (SG)
Гадаад RESTful үйлчилгээ (ERS) оператор
Cisco ISE REST API унших зөвшөөрөл
Зөвхөн зөвшөөрөл олгох, орон нутгийн хэрэглэгчид, хостууд болон аюулгүй байдлын бүлгүүдийг удирдах (SG)
Зураг 11. Урьдчилан тодорхойлсон Cisco ISE администраторын бүлгүүд
8) Таб дээр нэмэлт Зөвшөөрөл > Зөвшөөрөл > RBAC бодлого Та урьдчилан тодорхойлсон администраторуудын эрхийг засах боломжтой.
Зураг 12. Cisco ISE администраторын урьдчилан тохируулсан профайлын эрхийн менежмент
9) Таб дотор Удирдлага > Систем > Тохиргоо Бүх системийн тохиргоо (DNS, NTP, SMTP болон бусад) боломжтой. Хэрэв та төхөөрөмжийг анх эхлүүлэх явцад алдаа гарсан бол энд бөглөж болно.
5. Дүгнэлт
Үүгээр эхний өгүүллийг дуусгаж байна. Бид Cisco ISE NAC шийдлийн үр нөлөө, түүний архитектур, хамгийн бага шаардлага, байршуулах сонголтууд, анхны суурилуулалтын талаар ярилцлаа.
Дараагийн өгүүллээр бид данс үүсгэх, Microsoft Active Directory-тэй нэгтгэх, зочны хандалтыг бий болгох талаар авч үзэх болно.
Хэрэв танд энэ сэдвийн талаар асуулт байвал эсвэл бүтээгдэхүүнийг туршихад тусламж хэрэгтэй бол холбоо барина уу .
Манай сувгуудын шинэчлэлтүүдийг хүлээж байгаарай (, , , , ).
Эх сурвалж: www.habr.com