Cisco ISE: introductie, vereisten, installatie. Deel 1
1. Inleiding
Elk bedrijf, zelfs het kleinste, heeft behoefte aan authenticatie, autorisatie en gebruikersaccounting (AAA-familie van protocollen). In de beginfase is AAA redelijk goed geïmplementeerd met behulp van protocollen zoals RADIUS, TACACS+ en DIAMETER. Naarmate het aantal gebruikers en het bedrijf groeit, groeit echter ook het aantal taken: maximale zichtbaarheid van hosts en BYOD-apparaten, multi-factor authenticatie, het creëren van een toegangsbeleid op meerdere niveaus en nog veel meer.
Voor dergelijke taken is de oplossingsklasse NAC (Network Access Control) perfect: netwerktoegangscontrole. In een reeks artikelen gewijd aan Cisco ISE (Identity Services Engine) - NAC-oplossing voor het bieden van contextbewuste toegangscontrole aan gebruikers op het interne netwerk. We zullen gedetailleerd kijken naar de architectuur, provisioning, configuratie en licentieverlening van de oplossing.
Ik wil u er kort aan herinneren dat u met Cisco ISE het volgende kunt doen:
Creëer snel en eenvoudig gasttoegang op een speciaal WLAN;
BYOD-apparaten detecteren (bijvoorbeeld de thuis-pc's van werknemers die ze naar het werk hebben meegenomen);
Centraliseer en handhaaf het beveiligingsbeleid voor domein- en niet-domeingebruikers met behulp van SGT-beveiligingsgroeplabels TrustSec);
Computers controleren op bepaalde geïnstalleerde software en naleving van normen (houding);
Eindpunt- en netwerkapparaten classificeren en profileren;
Zorg voor zichtbaarheid van eindpunten;
Stuur gebeurtenislogboeken van het in- en uitloggen van gebruikers en hun accounts (identiteit) naar NGFW om een op gebruikers gebaseerd beleid te vormen;
Integreer native met Cisco StealthWatch en plaats verdachte hosts die betrokken zijn bij beveiligingsincidenten in quarantaine (meer);
En andere functies die standaard zijn voor AAA-servers.
De Identity Services Engine-architectuur heeft 4 entiteiten (knooppunten): een beheerknooppunt (Policy Administration Node), een beleidsdistributieknooppunt (Policy Service Node), een monitoringknooppunt (Monitoring Node) en een PxGrid-knooppunt (PxGrid Node). Cisco ISE kan in een zelfstandige of gedistribueerde installatie staan. In de Standalone-versie bevinden alle entiteiten zich op één virtuele machine of fysieke server (Secure Network Servers - SNS), terwijl in de Gedistribueerde versie de knooppunten over verschillende apparaten zijn verdeeld.
Policy Administration Node (PAN) is een vereist knooppunt waarmee u alle beheerbewerkingen op Cisco ISE kunt uitvoeren. Het verwerkt alle systeemconfiguraties met betrekking tot AAA. In een gedistribueerde configuratie (knooppunten kunnen als afzonderlijke virtuele machines worden geïnstalleerd) kunt u maximaal twee PAN's hebben voor fouttolerantie: Actieve/Standby-modus.
Policy Service Node (PSN) is een verplicht knooppunt dat netwerktoegang, status, gasttoegang, clientservicevoorziening en profilering biedt. PSN evalueert het beleid en past dit toe. Meestal worden meerdere PSN's geïnstalleerd, vooral in een gedistribueerde configuratie, voor een meer redundante en gedistribueerde werking. Natuurlijk proberen ze deze knooppunten in verschillende segmenten te installeren om de mogelijkheid om geverifieerde en geautoriseerde toegang te bieden geen seconde te verliezen.
Monitoring Node (MnT) is een verplicht knooppunt dat gebeurtenislogboeken, logboeken van andere knooppunten en beleid op het netwerk opslaat. Het MnT-knooppunt biedt geavanceerde tools voor monitoring en probleemoplossing, verzamelt en correleert verschillende gegevens en biedt ook zinvolle rapporten. Met Cisco ISE kunt u maximaal twee MnT-knooppunten hebben, waardoor fouttolerantie wordt gecreëerd - Actieve/Standby-modus. Er worden echter logboeken verzameld door beide knooppunten, zowel actief als passief.
PxGrid Node (PXG) is een knooppunt dat het PxGrid-protocol gebruikt en communicatie mogelijk maakt tussen andere apparaten die PxGrid ondersteunen.
PxGrid — een protocol dat de integratie garandeert van IT- en informatiebeveiligingsinfrastructuurproducten van verschillende leveranciers: monitoringsystemen, systemen voor inbraakdetectie en -preventie, platforms voor het beheer van beveiligingsbeleid en vele andere oplossingen. Met Cisco PxGrid kunt u context op een unidirectionele of bidirectionele manier delen met veel platforms zonder dat er API's nodig zijn, waardoor de technologie mogelijk wordt gemaakt TrustSec (SGT-tags), wijzig en pas het ANC-beleid (Adaptive Network Control) toe, en voer profilering uit - het bepalen van het apparaatmodel, het besturingssysteem, de locatie en meer.
In een configuratie met hoge beschikbaarheid repliceren PxGrid-knooppunten informatie tussen knooppunten via een PAN. Als de PAN is uitgeschakeld, stopt het PxGrid-knooppunt met het authenticeren, autoriseren en administreren van gebruikers.
Hieronder ziet u een schematische weergave van de werking van verschillende Cisco ISE-entiteiten in een bedrijfsnetwerk.
Figuur 1. Cisco ISE-architectuur
3. Vereisten
Cisco ISE kan, zoals de meeste moderne oplossingen, virtueel of fysiek als aparte server worden geïmplementeerd.
Fysieke apparaten waarop Cisco ISE-software draait, worden SNS (Secure Network Server) genoemd. Ze zijn verkrijgbaar in drie modellen: SNS-3615, SNS-3655 en SNS-3695 voor kleine, middelgrote en grote bedrijven. Tabel 1 toont informatie van data papier SNS.
Tabel 1. Vergelijkingstabel van SNS voor verschillende schalen
Parameter
SNS 3615 (Klein)
SNS 3655 (gemiddeld)
SNS 3695 (Groot)
Aantal ondersteunde eindpunten in een zelfstandige installatie
10000
25000
50000
Aantal ondersteunde eindpunten per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kernen
12 kernen
12 kernen
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
Geen
RAID 10, aanwezigheid van RAID-controller
RAID 10, aanwezigheid van RAID-controller
Netwerk interfaces
2x 10Gbase-T
4x 1Gbase-T
2x 10Gbase-T
4x 1Gbase-T
2x 10Gbase-T
4x 1Gbase-T
Wat betreft virtuele implementaties zijn de ondersteunde hypervisors VMware ESXi (minimaal VMware versie 11 voor ESXi 6.0 wordt aanbevolen), Microsoft Hyper-V en Linux KVM (RHEL 7.0). De hulpbronnen moeten ongeveer hetzelfde zijn als in de bovenstaande tabel, of meer. De minimale vereisten voor een virtuele machine voor kleine bedrijven zijn echter: CPU 2 met een frequentie van 2.0 GHz en hoger, 16 GB RAM и 200 GBHDD.
Neem voor andere details over de Cisco ISE-implementatie contact op met нам of te bron #1, bron #2.
4. Installatie
Net als de meeste andere Cisco-producten kan ISE op verschillende manieren worden getest:
dwolk – cloudservice van vooraf geïnstalleerde laboratoriumlay-outs (Cisco-account vereist);
GVE-aanvraag - aanvraag van сайта Cisco van bepaalde software (methode voor partners). U maakt een case aan met de volgende typische omschrijving: Producttype [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE-patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilootproject — neem contact op met een geautoriseerde partner om een gratis proefproject uit te voeren.
1) Als u na het maken van een virtuele machine een ISO-bestand en geen OVA-sjabloon hebt aangevraagd, verschijnt er een venster waarin ISE vereist dat u een installatie selecteert. Om dit te doen, moet u in plaats van uw gebruikersnaam en wachtwoord schrijven: “setup“!
Opmerking: als u ISE vanuit de OVA-sjabloon hebt geïmplementeerd, dan de inloggegevens admin/MijnIseYPass2 (dit en nog veel meer staat aangegeven in de officiële versie gids).
Figuur 2. Cisco ISE installeren
2) Vervolgens moet u de vereiste velden invullen, zoals IP-adres, DNS, NTP en andere.
Figuur 3. Cisco ISE initialiseren
3) Daarna zal het apparaat opnieuw opstarten en kunt u verbinding maken via de webinterface met behulp van het eerder opgegeven IP-adres.
Figuur 4. Cisco ISE-webinterface
4) Op tabblad Beheer > Systeem > Implementatie u kunt selecteren welke knooppunten (entiteiten) op een bepaald apparaat zijn ingeschakeld. Het PxGrid-knooppunt is hier ingeschakeld.
Figuur 5. Cisco ISE Entiteitsbeheer
5) Vervolgens in tabblad Beheer > Systeem > Beheerderstoegang >authenticatie Ik raad aan een wachtwoordbeleid, authenticatiemethode (certificaat of wachtwoord), vervaldatum van account en andere instellingen in te stellen.
Figuur 6. Instelling voor het authenticatietypeFiguur 7. Instellingen voor wachtwoordbeleidFiguur 8. Accountafsluiting instellen nadat de tijd is verstrekenFiguur 9. Accountvergrendeling instellen
6) Op tabblad Beheer > Systeem > Beheerderstoegang > Beheerders > Beheerders > Toevoegen U kunt een nieuwe beheerder aanmaken.
Figuur 10. Een lokale Cisco ISE-beheerder aanmaken
7) De nieuwe beheerder kan deel uitmaken van een nieuwe groep of van reeds vooraf gedefinieerde groepen. Beheerdergroepen worden beheerd in hetzelfde paneel op het tabblad Beheerdersgroepen. Tabel 2 vat informatie samen over ISE-beheerders, hun rechten en rollen.
Tabel 2. Cisco ISE-beheerdersgroepen, toegangsniveaus, machtigingen en beperkingen
Naam beheerdersgroep
Rechten
Beperkingen
Maatwerk beheerder
Inrichten van gast- en sponsorportalen, administratie en maatwerk
Onvermogen om beleid te wijzigen of rapporten te bekijken
Helpdeskbeheerder
Mogelijkheid om het hoofddashboard, alle rapporten, alarmen en probleemoplossingsstreams te bekijken
U kunt geen rapporten, alarmen en authenticatielogboeken wijzigen, aanmaken of verwijderen
Identiteitsbeheerder
Beheer van gebruikers, rechten en rollen, de mogelijkheid om logs, rapporten en alarmen te bekijken
U kunt geen beleid wijzigen of taken uitvoeren op besturingssysteemniveau
MnT-beheerder
Volledige monitoring, rapporten, alarmen, logs en het beheer ervan
Onvermogen om beleid te wijzigen
Netwerkapparaatbeheerder
Rechten om ISE-objecten aan te maken en te wijzigen, logs, rapporten en hoofddashboard te bekijken
U kunt geen beleid wijzigen of taken uitvoeren op besturingssysteemniveau
Beleidsbeheerder
Volledig beheer van al het beleid, het wijzigen van profielen, instellingen, het bekijken van rapporten
Onvermogen om instellingen uit te voeren met inloggegevens, ISE-objecten
RBAC-beheerder
Alle instellingen op het tabblad Bewerkingen, ANC-beleidsinstellingen, rapportagebeheer
U kunt geen ander beleid dan ANC wijzigen of taken uitvoeren op besturingssysteemniveau
Super Admin
Rechten op alle instellingen, rapportage en beheer, kunnen beheerdersreferenties verwijderen en wijzigen
Kan niet wijzigen, verwijder een ander profiel uit de superbeheerdersgroep
System Admin
Alle instellingen op het tabblad Bewerkingen, systeeminstellingen beheren, ANC-beleid, rapporten bekijken
U kunt geen ander beleid dan ANC wijzigen of taken uitvoeren op besturingssysteemniveau
Externe RESTful Services (ERS)-beheerder
Volledige toegang tot de Cisco ISE REST API
Alleen voor autorisatie, beheer van lokale gebruikers, hosts en beveiligingsgroepen (SG)
Externe RESTful Services (ERS)-operator
Cisco ISE REST API-leesrechten
Alleen voor autorisatie, beheer van lokale gebruikers, hosts en beveiligingsgroepen (SG)
Figuur 11. Vooraf gedefinieerde Cisco ISE-beheerdersgroepen
8) Optioneel op het tabblad Autorisatie > Machtigingen > RBAC-beleid U kunt de rechten van vooraf gedefinieerde beheerders bewerken.
Figuur 12. Beheer van rechten voor vooraf ingesteld Cisco ISE-beheerdersprofiel
9) Op tabblad Beheer > Systeem > InstellingenAlle systeeminstellingen zijn beschikbaar (DNS, NTP, SMTP en andere). U kunt ze hier invullen als u ze tijdens de eerste apparaatinitialisatie hebt gemist.
5. conclusie
Hiermee wordt het eerste artikel afgesloten. We bespraken de effectiviteit van de Cisco ISE NAC-oplossing, de architectuur, de minimale vereisten en implementatieopties, en de initiële installatie.
In het volgende artikel bekijken we het aanmaken van accounts, het integreren met Microsoft Active Directory en het creëren van gasttoegang.
Als u vragen heeft over dit onderwerp of hulp nodig heeft bij het testen van het product, neem dan contact op met link.