1. Pengenalan
Setiap syarikat, walaupun yang terkecil, memerlukan pengesahan, kebenaran dan perakaunan pengguna (keluarga protokol AAA). Pada peringkat awal, AAA dilaksanakan dengan cukup baik menggunakan protokol seperti RADIUS, TACACS+ dan DIAMETER. Walau bagaimanapun, apabila bilangan pengguna dan syarikat bertambah, bilangan tugas juga bertambah: keterlihatan maksimum hos dan peranti BYOD, pengesahan berbilang faktor, mewujudkan dasar akses berbilang peringkat dan banyak lagi.
Untuk tugasan sedemikian, kelas penyelesaian NAC (Kawalan Akses Rangkaian) adalah sempurna - kawalan akses rangkaian. Dalam satu siri artikel yang didedikasikan untuk (Enjin Perkhidmatan Identiti) - Penyelesaian NAC untuk menyediakan kawalan akses peka konteks kepada pengguna pada rangkaian dalaman, kami akan melihat secara terperinci seni bina, peruntukan, konfigurasi dan pelesenan penyelesaian.
Izinkan saya mengingatkan anda secara ringkas bahawa Cisco ISE membolehkan anda:
-
Buat akses tetamu dengan cepat dan mudah pada WLAN khusus;
-
Kesan peranti BYOD (contohnya, PC rumah pekerja yang mereka bawa ke tempat kerja);
-
Memusatkan dan menguatkuasakan dasar keselamatan merentas pengguna domain dan bukan domain menggunakan label kumpulan keselamatan SGT );
-
Semak komputer untuk perisian tertentu yang dipasang dan mematuhi piawaian (posturing);
-
Mengelaskan dan memprofilkan titik akhir dan peranti rangkaian;
-
Menyediakan keterlihatan titik akhir;
-
Hantar log peristiwa log masuk/log keluar pengguna, akaun (identiti) mereka kepada NGFW untuk membentuk dasar berasaskan pengguna;
-
Sepadukan secara asli dengan Cisco StealthWatch dan kuarantin hos yang mencurigakan yang terlibat dalam insiden keselamatan ();
-
Dan ciri standard lain untuk pelayan AAA.
Rakan sekerja dalam industri telah pun menulis tentang Cisco ISE, jadi saya menasihati anda untuk membaca: ,.
2. Seni bina
Seni bina Enjin Perkhidmatan Identiti mempunyai 4 entiti (nod): nod pengurusan (Nod Pentadbiran Polisi), nod pengedaran dasar (Nod Perkhidmatan Polisi), nod pemantauan (Nod Pemantauan) dan nod PxGrid (Nod PxGrid). Cisco ISE boleh berada dalam pemasangan kendiri atau diedarkan. Dalam versi Standalone, semua entiti terletak pada satu mesin maya atau pelayan fizikal (Secure Network Servers - SNS), manakala dalam versi Distributed, nod diedarkan pada peranti yang berbeza.
Nod Pentadbiran Dasar (PAN) ialah nod yang diperlukan yang membolehkan anda melaksanakan semua operasi pentadbiran pada Cisco ISE. Ia mengendalikan semua konfigurasi sistem yang berkaitan dengan AAA. Dalam konfigurasi teragih (nod boleh dipasang sebagai mesin maya yang berasingan), anda boleh mempunyai maksimum dua PAN untuk toleransi kesalahan - Mod Aktif/Sedia.
Nod Perkhidmatan Polisi (PSN) ialah nod wajib yang menyediakan akses rangkaian, keadaan, akses tetamu, penyediaan perkhidmatan pelanggan dan pemprofilan. PSN menilai dasar dan menerapkannya. Biasanya, berbilang PSN dipasang, terutamanya dalam konfigurasi teragih, untuk operasi yang lebih berlebihan dan teragih. Sudah tentu, mereka cuba memasang nod ini dalam segmen yang berbeza supaya tidak kehilangan keupayaan untuk menyediakan akses yang disahkan dan dibenarkan untuk seketika.
Nod Pemantauan (MnT) ialah nod wajib yang menyimpan log peristiwa, log nod lain dan dasar pada rangkaian. Nod MnT menyediakan alat lanjutan untuk memantau dan menyelesaikan masalah, mengumpul dan mengaitkan pelbagai data, dan juga menyediakan laporan yang bermakna. Cisco ISE membolehkan anda mempunyai maksimum dua nod MnT, dengan itu mewujudkan toleransi kesalahan - Mod Aktif/Sedia. Walau bagaimanapun, log dikumpul oleh kedua-dua nod, aktif dan pasif.
Nod PxGrid (PXG) ialah nod yang menggunakan protokol PxGrid dan membenarkan komunikasi antara peranti lain yang menyokong PxGrid.
β protokol yang memastikan penyepaduan IT dan produk infrastruktur keselamatan maklumat daripada vendor berbeza: sistem pemantauan, sistem pengesanan dan pencegahan pencerobohan, platform pengurusan dasar keselamatan dan banyak penyelesaian lain. Cisco PxGrid membolehkan anda berkongsi konteks dalam satu arah atau dua arah dengan banyak platform tanpa memerlukan API, dengan itu membolehkan teknologi (teg SGT), tukar dan gunakan dasar ANC (Kawalan Rangkaian Adaptif), serta melaksanakan pemprofilan - menentukan model peranti, OS, lokasi dan banyak lagi.
Dalam konfigurasi ketersediaan tinggi, nod PxGrid mereplikasi maklumat antara nod melalui PAN. Jika PAN dilumpuhkan, nod PxGrid berhenti mengesahkan, membenarkan dan mengakaunkan pengguna.
Di bawah ialah gambaran skematik operasi entiti Cisco ISE yang berbeza dalam rangkaian korporat.
Rajah 1. Seni Bina Cisco ISE
3. Keperluan
Cisco ISE boleh dilaksanakan, seperti kebanyakan penyelesaian moden, secara maya atau fizikal sebagai pelayan yang berasingan.
Peranti fizikal yang menjalankan perisian Cisco ISE dipanggil SNS (Secure Network Server). Mereka datang dalam tiga model: SNS-3615, SNS-3655 dan SNS-3695 untuk perniagaan kecil, sederhana dan besar. Jadual 1 menunjukkan maklumat daripada SNS.
Jadual 1. Jadual perbandingan SNS untuk skala yang berbeza
Parameter
SNS 3615 (Kecil)
SNS 3655 (Sederhana)
SNS 3695 (Besar)
Bilangan titik akhir yang disokong dalam pemasangan Kendiri
10000
25000
50000
Bilangan titik akhir yang disokong setiap PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 teras
12 teras
12 teras
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID perkakasan
Tiada
RAID 10, kehadiran pengawal RAID
RAID 10, kehadiran pengawal RAID
Antara muka rangkaian
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Mengenai pelaksanaan maya, hipervisor yang disokong ialah VMware ESXi (minimum VMware versi 11 untuk ESXi 6.0 disyorkan), Microsoft Hyper-V dan Linux KVM (RHEL 7.0). Sumber hendaklah lebih kurang sama seperti dalam jadual di atas, atau lebih. Walau bagaimanapun, keperluan minimum untuk mesin maya perniagaan kecil ialah: 2 CPU dengan frekuensi 2.0 GHz dan lebih tinggi, 16 GB RAM ΠΈ 200 GB HDD.
Untuk butiran penggunaan Cisco ISE yang lain, sila hubungi atau kepada , .
4. Pemasangan
Seperti kebanyakan produk Cisco yang lain, ISE boleh diuji dalam beberapa cara:
-
β perkhidmatan awan susun atur makmal pra-pasang (akaun Cisco diperlukan);
-
β permintaan daripada Cisco perisian tertentu (kaedah untuk rakan kongsi). Anda mencipta kes dengan penerangan tipikal berikut: Jenis produk [ISE], Perisian ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
β hubungi mana-mana rakan kongsi yang diberi kuasa untuk menjalankan projek perintis percuma.
1) Selepas mencipta mesin maya, jika anda meminta fail ISO dan bukan templat OVA, tetingkap akan muncul di mana ISE memerlukan anda memilih pemasangan. Untuk melakukan ini, bukannya log masuk dan kata laluan anda, anda harus menulis "persediaan"!
Nota: jika anda menggunakan ISE daripada templat OVA, maka butiran log masuk admin/MyIseYPass2 (ini dan banyak lagi ditunjukkan dalam rasmi ).
Rajah 2. Memasang Cisco ISE
2) Kemudian anda hendaklah mengisi ruangan yang diperlukan seperti alamat IP, DNS, NTP dan lain-lain.
Rajah 3. Memulakan Cisco ISE
3) Selepas itu, peranti akan but semula, dan anda akan dapat menyambung melalui antara muka web menggunakan alamat IP yang dinyatakan sebelum ini.
Rajah 4. Antara Muka Web Cisco ISE
4) Dalam tab Pentadbiran > Sistem > Penyerahan anda boleh memilih nod (entiti) yang didayakan pada peranti tertentu. Nod PxGrid didayakan di sini.
Rajah 5. Pengurusan Entiti Cisco ISE
5) Kemudian dalam tab Pentadbiran > Sistem > Akses Pentadbir > Pengesahan Saya mengesyorkan menyediakan dasar kata laluan, kaedah pengesahan (sijil atau kata laluan), tarikh tamat tempoh akaun dan tetapan lain.
Rajah 6. Tetapan jenis pengesahanRajah 7. Tetapan dasar kata laluanRajah 8. Menyediakan penutupan akaun selepas masa tamatRajah 9. Menyediakan penguncian akaun
6) Dalam tab Pentadbiran > Sistem > Akses Pentadbir > Pentadbir > Pengguna Pentadbir > Tambah anda boleh membuat pentadbir baharu.
Rajah 10. Mencipta Pentadbir Cisco ISE Tempatan
7) Pentadbir baharu boleh dijadikan sebahagian daripada kumpulan baharu atau kumpulan yang telah dipratakrifkan. Kumpulan pentadbir diurus dalam panel yang sama dalam tab Kumpulan Pentadbir. Jadual 2 meringkaskan maklumat tentang pentadbir ISE, hak dan peranan mereka.
Jadual 2. Kumpulan Pentadbir Cisco ISE, Tahap Akses, Kebenaran dan Sekatan
Nama kumpulan pentadbir
Kebenaran
Sekatan
Pentadbir Penyesuaian
Menyediakan portal tetamu dan penajaan, pentadbiran dan penyesuaian
Ketidakupayaan untuk menukar dasar atau melihat laporan
Pentadbir Meja Bantuan
Keupayaan untuk melihat papan pemuka utama, semua laporan, larms dan aliran penyelesaian masalah
Anda tidak boleh menukar, mencipta atau memadam laporan, penggera dan log pengesahan
Pentadbir Identiti
Mengurus pengguna, keistimewaan dan peranan, keupayaan untuk melihat log, laporan dan penggera
Anda tidak boleh menukar dasar atau melaksanakan tugas di peringkat OS
Pentadbir MnT
Pemantauan penuh, laporan, penggera, log dan pengurusannya
Ketidakupayaan untuk mengubah sebarang dasar
Pentadbir Peranti Rangkaian
Hak untuk mencipta dan menukar objek ISE, melihat log, laporan, papan pemuka utama
Anda tidak boleh menukar dasar atau melaksanakan tugas di peringkat OS
Pentadbir Dasar
Pengurusan penuh semua dasar, menukar profil, tetapan, melihat laporan
Ketidakupayaan untuk melaksanakan tetapan dengan bukti kelayakan, objek ISE
Pentadbir RBAC
Semua tetapan dalam tab Operasi, tetapan dasar ANC, pengurusan pelaporan
Anda tidak boleh menukar dasar selain ANC atau melaksanakan tugas di peringkat OS
Super Admin
Hak untuk semua tetapan, pelaporan dan pengurusan, boleh memadam dan menukar bukti kelayakan pentadbir
Tidak boleh menukar, padamkan profil lain daripada kumpulan Pentadbir Super
Sistem Admin
Semua tetapan dalam tab Operasi, mengurus tetapan sistem, dasar ANC, melihat laporan
Anda tidak boleh menukar dasar selain ANC atau melaksanakan tugas di peringkat OS
Pentadbir Perkhidmatan RESTful Luaran (ERS).
Akses penuh kepada Cisco ISE REST API
Hanya untuk kebenaran, pengurusan pengguna tempatan, hos dan kumpulan keselamatan (SG)
Operator Perkhidmatan RESTful Luaran (ERS).
Kebenaran Baca Cisco ISE REST API
Hanya untuk kebenaran, pengurusan pengguna tempatan, hos dan kumpulan keselamatan (SG)
Rajah 11. Kumpulan Pentadbir Cisco ISE Pratakrif
8) Pilihan dalam tab Kebenaran > Kebenaran > Dasar RBAC Anda boleh mengedit hak pentadbir yang dipratentukan.
Rajah 12. Pengurusan Hak Profil Pratetap Pentadbir Cisco ISE
9) Dalam tab Pentadbiran > Sistem > Tetapan Semua tetapan sistem tersedia (DNS, NTP, SMTP dan lain-lain). Anda boleh mengisinya di sini jika anda terlepasnya semasa permulaan peranti awal.
5. Kesimpulannya
Ini menyimpulkan artikel pertama. Kami membincangkan keberkesanan penyelesaian Cisco ISE NAC, seni binanya, keperluan minimum dan pilihan penggunaan serta pemasangan awal.
Dalam artikel seterusnya, kita akan melihat pada mencipta akaun, menyepadukan dengan Microsoft Active Directory dan mencipta akses tetamu.
Jika anda mempunyai soalan tentang topik ini atau memerlukan bantuan untuk menguji produk, sila hubungi .
Nantikan kemas kini dalam saluran kami (, , , , ).
Sumber: www.habr.com