1. Introduzzjoni
Kull kumpanija, anke l-iżgħar waħda, għandha bżonn ta 'awtentikazzjoni, awtorizzazzjoni u kontabbiltà tal-utent (familja ta' protokolli AAA). Fl-istadju inizjali, l-AAA hija implimentata pjuttost tajjeb bl-użu ta 'protokolli bħal RADIUS, TACACS+ u DIAMETER. Madankollu, hekk kif in-numru ta 'utenti u l-kumpanija jikber, in-numru ta' kompiti jikber ukoll: viżibilità massima ta 'hosts u apparati BYOD, awtentikazzjoni b'ħafna fatturi, ħolqien ta' politika ta 'aċċess f'diversi livelli u ħafna aktar.
Għal kompiti bħal dawn, il-klassi ta 'soluzzjonijiet NAC (Network Access Control) hija perfetta - kontroll ta' aċċess għan-netwerk. F’sensiela ta’ artikli ddedikati lil (Identity Services Engine) - Soluzzjoni NAC biex tipprovdi kontroll ta 'aċċess konxju mill-kuntest lill-utenti fuq in-netwerk intern, se nagħtu ħarsa dettaljata lejn l-arkitettura, il-forniment, il-konfigurazzjoni u l-liċenzjar tas-soluzzjoni.
Ħa nfakkarkom fil-qosor li Cisco ISE jippermettilek li:
-
Oħloq malajr u faċilment aċċess mistieden fuq WLAN iddedikat;
-
Individwaw apparati BYOD (pereżempju, PCs tad-dar tal-impjegati li ġabu għax-xogħol);
-
Iċċentralizza u infurza l-politiki tas-sigurtà fost utenti tad-dominju u mhux tad-dominju billi tuża tikketti tal-gruppi tas-sigurtà SGT );
-
Iċċekkja l-kompjuters għal ċertu softwer installat u l-konformità mal-istandards (posturing);
-
Ikklassifika u tipprofila tagħmir tan-netwerk u endpoint;
-
Ipprovdi viżibilità tal-endpoint;
-
Ibgħat reġistri tal-avvenimenti tal-logon/logoff tal-utenti, il-kontijiet tagħhom (identità) lil NGFW biex tifforma politika bbażata fuq l-utent;
-
Integra b'mod nattiv ma' Cisco StealthWatch u poġġi kwarantina lill-hosts suspettużi involuti f'inċidenti ta' sigurtà ();
-
U karatteristiċi oħra standard għal servers AAA.
Kollegi fl-industrija diġà kitbu dwar Cisco ISE, għalhekk nagħtik parir biex taqra: ,.
2 Arkitettura
L-arkitettura tal-Magna tas-Servizzi tal-Identità għandha 4 entitajiet (nodi): nodu ta’ ġestjoni (Nodu ta’ Amministrazzjoni tal-Politika), nodu ta’ distribuzzjoni tal-politika (Nodu tas-Servizz tal-Politika), nodu ta’ monitoraġġ (Nodu ta’ Monitoraġġ) u nodu PxGrid (Nodu PxGrid). Cisco ISE jista 'jkun f'installazzjoni waħedha jew distribwita. Fil-verżjoni Standalone, l-entitajiet kollha jinsabu fuq magna virtwali waħda jew server fiżiku (Secure Network Servers - SNS), filwaqt li fil-verżjoni Distributed, in-nodi huma mqassma fuq apparati differenti.
Policy Administration Node (PAN) huwa node meħtieġ li jippermettilek twettaq l-operazzjonijiet amministrattivi kollha fuq Cisco ISE. Huwa jimmaniġġja l-konfigurazzjonijiet tas-sistema kollha relatati mal-AAA. F'konfigurazzjoni distribwita (in-nodi jistgħu jiġu installati bħala magni virtwali separati), jista 'jkollok massimu ta' żewġ PANs għat-tolleranza tal-ħsarat - Modalità Attiva/Standby.
Nodu tas-Servizz tal-Politika (PSN) huwa nodu obbligatorju li jipprovdi aċċess għan-netwerk, stat, aċċess għall-mistednin, forniment tas-servizz tal-klijent, u profiling. PSN jevalwa l-politika u japplikaha. Tipikament, PSNs multipli huma installati, speċjalment f'konfigurazzjoni distribwita, għal operazzjoni aktar żejda u distribwita. Naturalment, jippruvaw jinstallaw dawn in-nodi f'segmenti differenti sabiex ma jitilfux il-kapaċità li jipprovdu aċċess awtentikat u awtorizzat għal sekonda.
Monitoring Node (MnT) huwa node obbligatorju li jaħżen zkuk tal-avvenimenti, zkuk ta 'nodi oħra u politiki fuq in-netwerk. In-nodu MnT jipprovdi għodod avvanzati għall-monitoraġġ u s-soluzzjoni tal-problemi, jiġbor u jikkorrelata data varji, u jipprovdi wkoll rapporti sinifikanti. Cisco ISE jippermettilek li jkollok massimu ta 'żewġ nodi MnT, u b'hekk toħloq tolleranza għall-ħsarat - Modalità Attiva/Standby. Madankollu, zkuk jinġabru miż-żewġ nodi, kemm attivi kif ukoll passivi.
PxGrid Node (PXG) huwa node li juża l-protokoll PxGrid u jippermetti komunikazzjoni bejn apparati oħra li jappoġġjaw PxGrid.
— protokoll li jiżgura l-integrazzjoni tal-prodotti tal-infrastruttura tas-sigurtà tal-IT u tal-informazzjoni minn bejjiegħa differenti: sistemi ta’ monitoraġġ, sistemi ta’ skoperta u prevenzjoni tal-intrużjoni, pjattaformi ta’ ġestjoni tal-politika tas-sigurtà u ħafna soluzzjonijiet oħra. Cisco PxGrid jippermettilek taqsam il-kuntest b'mod unidirezzjonali jew bidirezzjonali ma' ħafna pjattaformi mingħajr il-ħtieġa ta' APIs, u b'hekk tippermetti t-teknoloġija. (tags SGT), ibdel u japplika l-politika ANC (Kontroll Adattiv tan-Netwerk), kif ukoll iwettaq profili - tiddetermina l-mudell tal-apparat, OS, post, u aktar.
F'konfigurazzjoni ta 'disponibbiltà għolja, in-nodi PxGrid jirreplikaw l-informazzjoni bejn in-nodi fuq PAN. Jekk il-PAN ikun diżattivat, in-nodu PxGrid jieqaf jawtentika, jawtorizza, u jagħti kont tal-utenti.
Hawn taħt hemm rappreżentazzjoni skematika tal-operat ta' entitajiet differenti ta' Cisco ISE f'netwerk korporattiv.
Figura 1. Arkitettura Cisco ISE
3. Rekwiżiti
Cisco ISE jista 'jiġi implimentat, bħall-biċċa l-kbira tas-soluzzjonijiet moderni, virtwalment jew fiżikament bħala server separat.
Tagħmir fiżiku li jħaddem is-softwer Cisco ISE jissejjaħ SNS (Secure Network Server). Jiġu fi tliet mudelli: SNS-3615, SNS-3655 u SNS-3695 għal negozji żgħar, medji u kbar. Tabella 1 turi informazzjoni minn SNS.
Tabella 1. Tabella ta 'tqabbil ta' SNS għal skali differenti
Parametru
SNS 3615 (Żgħir)
SNS 3655 (Medju)
SNS 3695 (Kbir)
Numru ta' endpoints appoġġjati f'installazzjoni Standalone
10000
25000
50000
Numru ta' endpoints appoġġjati għal kull PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 qlub
12 qlub
12 qlub
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Ħardwer RAID
Nru
RAID 10, preżenza ta 'kontrollur RAID
RAID 10, preżenza ta 'kontrollur RAID
Interfaces tan-netwerk
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Rigward l-implimentazzjonijiet virtwali, l-hypervisors appoġġjati huma VMware ESXi (hija rakkomandata l-verżjoni minima VMware 11 għal ESXi 6.0), Microsoft Hyper-V u Linux KVM (RHEL 7.0). Ir-riżorsi għandhom ikunu bejn wieħed u ieħor l-istess bħal fit-tabella ta' hawn fuq, jew aktar. Madankollu, ir-rekwiżiti minimi għal magna virtwali ta’ negozju żgħir huma: 2 CPUs bi frekwenza ta' 2.0 GHz u ogħla, 16 GB RAM и 200 GB HDD.
Għal dettalji oħra dwar l-iskjerament ta' Cisco ISE, jekk jogħġbok ikkuntattja jew lil , .
4. Installazzjoni
Bħal ħafna mill-prodotti Cisco l-oħra, ISE jista’ jiġi ttestjat b’diversi modi:
-
– servizz cloud ta' layouts tal-laboratorju installati minn qabel (kont Cisco meħtieġ);
-
– talba minn Cisco ta 'ċertu softwer (metodu għall-imsieħba). Inti toħloq każ bid-deskrizzjoni tipika li ġejja: Tip ta' prodott [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Garża ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— ikkuntattja lil kwalunkwe sieħeb awtorizzat biex iwettaq proġett pilota b'xejn.
1) Wara li ħoloq magna virtwali, jekk tlabt fajl ISO u mhux mudell OVA, titfaċċa tieqa li fiha ISE jeħtieġ li tagħżel installazzjoni. Biex tagħmel dan, minflok il-login u l-password tiegħek, għandek tikteb "setup«!
Nota: jekk skjerajt ISE minn mudell OVA, allura d-dettalji tal-login admin/MyIseYPass2 (dan u ħafna aktar huwa indikat fl-uffiċjal ).
Figura 2. Installazzjoni ta 'Cisco ISE
2) Imbagħad għandek timla l-oqsma meħtieġa bħall-indirizz IP, DNS, NTP u oħrajn.
Figura 3. Inizjalizzazzjoni ta 'Cisco ISE
3) Wara dan, it-tagħmir jerġa 'jibda, u tkun tista' tikkonnettja permezz tal-interface tal-web billi tuża l-indirizz IP speċifikat qabel.
Figura 4. Cisco ISE Web Interface
4) Fit-tab Amministrazzjoni > Sistema > Skjerament tista' tagħżel liema nodi (entitajiet) huma attivati fuq apparat partikolari. In-node PxGrid huwa attivat hawn.
Figura 5. Ġestjoni tal-Entità Cisco ISE
5) Imbagħad fit-tab Amministrazzjoni > Sistema > Aċċess Admin > Awtentikazzjoni Nirrakkomanda li twaqqaf politika ta' password, metodu ta' awtentikazzjoni (ċertifikat jew password), data ta' skadenza tal-kont, u settings oħra.
Figura 6. Issettjar tat-tip ta' awtentikazzjoniFigura 7. Issettjar tal-politika tal-passwordFigura 8. Twaqqif tal-għeluq tal-kont wara li jiskadi ż-żmienFigura 9. Twaqqif tal-illokkjar tal-kont
6) Fit-tab Amministrazzjoni > Sistema > Aċċess Admin > Amministraturi > Utenti Admin > Żid tista' toħloq amministratur ġdid.
Figura 10. Il-ħolqien ta' Amministratur ISE ta' Cisco Lokali
7) L-amministratur il-ġdid jista' jsir parti minn grupp ġdid jew minn gruppi diġà predefiniti. Il-gruppi tal-amministraturi huma ġestiti fl-istess panel fit-tab Gruppi Amministraturi. It-Tabella 2 tiġbor fil-qosor l-informazzjoni dwar l-amministraturi tal-ISE, id-drittijiet u r-rwoli tagħhom.
Tabella 2. Gruppi ta 'Amministraturi Cisco ISE, Livelli ta' Aċċess, Permessi, u Restrizzjonijiet
Isem tal-grupp tal-amministratur
Permessi
Restrizzjonijiet
Customization Admin
Twaqqif ta' portali ta' mistiedna u ta' sponsorizzazzjoni, amministrazzjoni u customization
Inabbiltà li tbiddel il-politiki jew tara rapporti
Amministratur tal-Helpdesk
Kapaċità li tara d-dashboard prinċipali, ir-rapporti kollha, larms u flussi ta 'soluzzjoni tal-problemi
Ma tistax tbiddel, toħloq jew tħassar rapporti, allarmi u zkuk tal-awtentikazzjoni
Amministratur tal-Identità
Ġestjoni ta 'utenti, privileġġi u rwoli, l-abbiltà li tara zkuk, rapporti u allarmi
Ma tistax tbiddel il-politiki jew twettaq kompiti fil-livell tal-OS
MnT Admin
Monitoraġġ sħiħ, rapporti, allarmi, zkuk u l-ġestjoni tagħhom
Inabbiltà li tbiddel xi politika
Amministratur tal-Apparat tan-Netwerk
Drittijiet li toħloq u tibdel oġġetti ISE, tara zkuk, rapporti, dashboard prinċipali
Ma tistax tbiddel il-politiki jew twettaq kompiti fil-livell tal-OS
Amministratur tal-Politika
Ġestjoni sħiħa tal-politiki kollha, profili li jinbidlu, settings, rapporti ta 'wiri
Inabbiltà li twettaq settings bil-kredenzjali, oġġetti ISE
Amministratur RBAC
Is-settings kollha fit-tab Operazzjonijiet, settings tal-politika ANC, ġestjoni tar-rappurtar
Ma tistax tbiddel politiki għajr ANC jew twettaq kompiti fil-livell tal-OS
super Admin
Drittijiet għas-settings kollha, rappurtar u ġestjoni, jistgħu jħassru u jibdlu l-kredenzjali tal-amministratur
Ma tistax tbiddel, ħassar profil ieħor mill-grupp Super Admin
Amministratur tas-Sistema
Is-settings kollha fit-tab Operazzjonijiet, il-ġestjoni tas-settings tas-sistema, il-politika tal-ANC, il-wiri tar-rapporti
Ma tistax tbiddel politiki għajr ANC jew twettaq kompiti fil-livell tal-OS
Servizzi RESTful Esterni (ERS) Admin
Aċċess sħiħ għall-API Cisco ISE REST
Għal awtorizzazzjoni, ġestjoni ta' utenti lokali, hosts u gruppi ta' sigurtà (SG) biss
Operatur tas-Servizzi Esterni RESTful (ERS).
Cisco ISE REST API Permessi Aqra
Għal awtorizzazzjoni, ġestjoni ta' utenti lokali, hosts u gruppi ta' sigurtà (SG) biss
Figura 11. Gruppi ta' Amministraturi Cisco ISE predefiniti
8) Fakultattiv fit-tab Awtorizzazzjoni > Permessi > Politika RBAC Tista' teditja d-drittijiet ta' amministraturi predefiniti.
Figura 12. Ġestjoni tad-Drittijiet tal-Profil Issettjat minn qabel tal-Amministratur Cisco ISE
9) Fit-tab Amministrazzjoni > Sistema > Settings Is-settings tas-sistema kollha huma disponibbli (DNS, NTP, SMTP u oħrajn). Tista' timlahom hawn jekk qbiżthom waqt l-inizjalizzazzjoni inizjali tal-apparat.
5. Konklużjoni
Dan jikkonkludi l-ewwel artiklu. Iddiskutejna l-effettività tas-soluzzjoni Cisco ISE NAC, l-arkitettura tagħha, ir-rekwiżiti minimi u l-għażliet ta 'skjerament, u l-installazzjoni inizjali.
Fl-artiklu li jmiss, aħna ser inħarsu lejn il-ħolqien ta 'kontijiet, l-integrazzjoni ma' Microsoft Active Directory, u l-ħolqien ta 'aċċess mistieden.
Jekk għandek mistoqsijiet dwar dan is-suġġett jew teħtieġ għajnuna biex tittestja l-prodott, jekk jogħġbok ikkuntattja .
Oqgħod attent għal aġġornamenti fil-kanali tagħna (, , , , ).
Sors: www.habr.com