1. Introduksjon
Hvert selskap, selv det minste, har behov for autentisering, autorisasjon og brukerregnskap (AAA-familie av protokoller). I det innledende stadiet er AAA ganske godt implementert ved å bruke protokoller som RADIUS, TACACS+ og DIAMETER. Men etter hvert som antallet brukere og selskapet vokser, vokser også antallet oppgaver: maksimal synlighet for verter og BYOD-enheter, multifaktorautentisering, opprettelse av en tilgangspolicy på flere nivåer og mye mer.
For slike oppgaver er NAC (Network Access Control)-klassen av løsninger perfekt – nettverkstilgangskontroll. I en serie artikler dedikert til (Identity Services Engine) - NAC-løsning for å gi kontekstbevisst tilgangskontroll til brukere på det interne nettverket, vi vil ta en detaljert titt på arkitektur, klargjøring, konfigurasjon og lisensiering av løsningen.
La meg kort minne deg på at Cisco ISE lar deg:
-
Skap raskt og enkelt gjestetilgang på et dedikert WLAN;
-
Oppdag BYOD-enheter (for eksempel ansattes hjemme-PCer som de tok med på jobb);
-
Sentraliser og håndhev sikkerhetspolicyer på tvers av domene- og ikke-domenebrukere ved å bruke SGT-sikkerhetsgruppeetiketter );
-
Sjekk datamaskinene for å se om det er installert programvare og samsvar med standarder (posturing);
-
Klassifiser og profiler endepunkt- og nettverksenheter;
-
Gi endepunktsynlighet;
-
Send hendelseslogger for pålogging/avlogging av brukere, deres kontoer (identitet) til NGFW for å danne en brukerbasert policy;
-
Integrer naturlig med Cisco StealthWatch og sett mistenkelige verter som er involvert i sikkerhetshendelser i karantene ();
-
Og andre funksjoner som er standard for AAA-servere.
Kolleger i bransjen har allerede skrevet om Cisco ISE, så jeg anbefaler deg å lese: ,.
2. arkitektur
Identity Services Engine-arkitekturen har 4 enheter (noder): en administrasjonsnode (Policy Administration Node), en policydistribusjonsnode (Policy Service Node), en overvåkingsnode (Monitoring Node) og en PxGrid node (PxGrid Node). Cisco ISE kan være i en frittstående eller distribuert installasjon. I den frittstående versjonen er alle enheter plassert på én virtuell maskin eller fysisk server (Secure Network Servers - SNS), mens i den distribuerte versjonen er nodene fordelt på ulike enheter.
Policy Administration Node (PAN) er en nødvendig node som lar deg utføre alle administrative operasjoner på Cisco ISE. Den håndterer alle systemkonfigurasjoner relatert til AAA. I en distribuert konfigurasjon (noder kan installeres som separate virtuelle maskiner) kan du ha maksimalt to PAN-er for feiltoleranse - Aktiv/Standby-modus.
Policy Service Node (PSN) er en obligatorisk node som gir nettverkstilgang, tilstand, gjestetilgang, klargjøring av klienttjenester og profilering. PSN evaluerer retningslinjene og bruker den. Vanligvis er flere PSN-er installert, spesielt i en distribuert konfigurasjon, for mer redundant og distribuert drift. Selvfølgelig prøver de å installere disse nodene i forskjellige segmenter for ikke å miste muligheten til å gi autentisert og autorisert tilgang et sekund.
Monitoring Node (MnT) er en obligatorisk node som lagrer hendelseslogger, logger over andre noder og policyer på nettverket. MnT-noden gir avanserte verktøy for overvåking og feilsøking, samler inn og korrelerer ulike data, og gir også meningsfulle rapporter. Cisco ISE lar deg ha maksimalt to MnT-noder, og skaper dermed feiltoleranse - Aktiv/Standby-modus. Logger blir imidlertid samlet inn av begge noder, både aktive og passive.
PxGrid Node (PXG) er en node som bruker PxGrid-protokollen og tillater kommunikasjon mellom andre enheter som støtter PxGrid.
— en protokoll som sikrer integrasjon av IT- og informasjonssikkerhetsinfrastrukturprodukter fra forskjellige leverandører: overvåkingssystemer, inntrengningsdeteksjons- og forebyggingssystemer, administrasjonsplattformer for sikkerhetspolitikk og mange andre løsninger. Cisco PxGrid lar deg dele kontekst på en ensrettet eller toveis måte med mange plattformer uten behov for APIer, og muliggjør dermed teknologien (SGT-tagger), endre og ta i bruk ANC (Adaptive Network Control) policy, samt utfør profilering – bestemme enhetsmodell, OS, plassering og mer.
I en konfigurasjon med høy tilgjengelighet replikerer PxGrid-noder informasjon mellom noder over et PAN. Hvis PAN er deaktivert, slutter PxGrid-noden autentisering, autorisering og regnskap for brukere.
Nedenfor er en skjematisk representasjon av driften til forskjellige Cisco ISE-enheter i et bedriftsnettverk.
Figur 1. Cisco ISE-arkitektur
3. Krav
Cisco ISE kan implementeres, som de fleste moderne løsninger, virtuelt eller fysisk som en egen server.
Fysiske enheter som kjører Cisco ISE-programvare kalles SNS (Secure Network Server). De kommer i tre modeller: SNS-3615, SNS-3655 og SNS-3695 for små, mellomstore og store bedrifter. Tabell 1 viser informasjon fra SNS.
Tabell 1. Sammenligningstabell for SNS for ulike skalaer
Parameter
SNS 3615 (liten)
SNS 3655 (medium)
SNS 3695 (stor)
Antall støttede endepunkter i en frittstående installasjon
10000
25000
50000
Antall støttede endepunkter per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kjerner
12 kjerner
12 kjerner
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Maskinvare RAID
Ikke
RAID 10, tilstedeværelse av RAID-kontroller
RAID 10, tilstedeværelse av RAID-kontroller
Nettverksgrensesnitt
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Når det gjelder virtuelle implementeringer, er de støttede hypervisorene VMware ESXi (minimum VMware versjon 11 for ESXi 6.0 anbefales), Microsoft Hyper-V og Linux KVM (RHEL 7.0). Ressursene bør være omtrent de samme som i tabellen ovenfor, eller mer. Imidlertid er minimumskravene for en virtuell maskin for små bedrifter: 2 CPU med en frekvens på 2.0 GHz og høyere, 16 GB RAM и 200 GB HDD.
For andre Cisco ISE-distribusjonsdetaljer, vennligst kontakt eller til , .
4. Installasjon
Som de fleste andre Cisco-produkter kan ISE testes på flere måter:
-
– skytjeneste av forhåndsinstallerte laboratorieoppsett (Cisco-konto kreves);
-
– forespørsel fra Cisco av viss programvare (metode for partnere). Du oppretter en sak med følgende typiske beskrivelse: Produkttype [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— kontakt en autorisert partner for å gjennomføre et gratis pilotprosjekt.
1) Etter å ha opprettet en virtuell maskin, hvis du ba om en ISO-fil og ikke en OVA-mal, dukker det opp et vindu der ISE krever at du velger en installasjon. For å gjøre dette, i stedet for pålogging og passord, bør du skrive "oppsett"!
Merk: hvis du implementerte ISE fra OVA-mal, så påloggingsdetaljene admin/MyIseYPass2 (dette og mye mer er angitt i den offisielle ).
Figur 2. Installere Cisco ISE
2) Deretter bør du fylle ut de nødvendige feltene som IP-adresse, DNS, NTP og andre.
Figur 3. Initialisering av Cisco ISE
3) Etter det vil enheten starte på nytt, og du vil kunne koble til via nettgrensesnittet med den tidligere spesifiserte IP-adressen.
Figur 4. Cisco ISE Web Interface
4) I en fane Administrasjon > System > Implementering du kan velge hvilke noder (entiteter) som er aktivert på en bestemt enhet. PxGrid-noden er aktivert her.
Figur 5. Cisco ISE Entity Management
5) Så i fanen Administrasjon > System > Administratortilgang > Autentisering Jeg anbefaler å sette opp en passordpolicy, autentiseringsmetode (sertifikat eller passord), kontoutløpsdato og andre innstillinger.
Figur 6. Innstilling for autentiseringstypeFigur 7. Innstillinger for passordpolicyFigur 8. Sette opp kontoavslutning etter utløpet av tidenFigur 9. Sette opp kontolåsing
6) I en fane Administrasjon > System > Admintilgang > Administratorer > Administratorbrukere > Legg til du kan opprette en ny administrator.
Figur 10. Opprette en lokal Cisco ISE-administrator
7) Den nye administratoren kan gjøres til en del av en ny gruppe eller allerede forhåndsdefinerte grupper. Administratorgrupper administreres i samme panel i fanen Administratorgrupper. Tabell 2 oppsummerer informasjon om ISE-administratorer, deres rettigheter og roller.
Tabell 2. Cisco ISE-administratorgrupper, tilgangsnivåer, tillatelser og begrensninger
Administratorgruppenavn
tillatelse
Restriksjoner
Tilpasningsadmin
Sette opp gjeste- og sponsorportaler, administrasjon og tilpasning
Manglende evne til å endre retningslinjer eller se rapporter
Helpdesk Admin
Evne til å se hoveddashbordet, alle rapporter, larmer og feilsøkingsstrømmer
Du kan ikke endre, opprette eller slette rapporter, alarmer og autentiseringslogger
Identitetsadministrator
Administrere brukere, privilegier og roller, muligheten til å se logger, rapporter og alarmer
Du kan ikke endre policyer eller utføre oppgaver på OS-nivå
MnT Admin
Full overvåking, rapporter, alarmer, logger og deres håndtering
Manglende evne til å endre noen retningslinjer
Nettverksenhetsadministrator
Rettigheter til å opprette og endre ISE-objekter, se logger, rapporter, hoveddashbord
Du kan ikke endre policyer eller utføre oppgaver på OS-nivå
Policy Admin
Full administrasjon av alle retningslinjer, endring av profiler, innstillinger, visning av rapporter
Manglende evne til å utføre innstillinger med legitimasjon, ISE-objekter
RBAC Admin
Alle innstillinger i fanen Drift, ANC-policyinnstillinger, rapporteringsadministrasjon
Du kan ikke endre andre retningslinjer enn ANC eller utføre oppgaver på OS-nivå
Super Admin
Rettigheter til alle innstillinger, rapportering og administrasjon, kan slette og endre administratorlegitimasjon
Kan ikke endre, slett en annen profil fra Super Admin-gruppen
Systemadministrator
Alle innstillinger i fanen Drift, administrering av systeminnstillinger, ANC-policy, visning av rapporter
Du kan ikke endre andre retningslinjer enn ANC eller utføre oppgaver på OS-nivå
Eksterne RESTful Services (ERS) Admin
Full tilgang til Cisco ISE REST API
Kun for autorisasjon, administrasjon av lokale brukere, verter og sikkerhetsgrupper (SG)
Ekstern operatør for RESTful Services (ERS).
Cisco ISE REST API lesetillatelser
Kun for autorisasjon, administrasjon av lokale brukere, verter og sikkerhetsgrupper (SG)
Figur 11. Forhåndsdefinerte Cisco ISE-administratorgrupper
8) Valgfritt i fanen Autorisasjon > Tillatelser > RBAC-policy Du kan redigere rettighetene til forhåndsdefinerte administratorer.
Figur 12. Forhåndsinnstilt administrasjon av profilrettigheter for Cisco ISE Administrator
9) I en fane Administrasjon > System > Innstillinger Alle systeminnstillinger er tilgjengelige (DNS, NTP, SMTP og andre). Du kan fylle dem ut her hvis du gikk glipp av dem under den første initialiseringen av enheten.
5. Konklusjon
Dette avslutter den første artikkelen. Vi diskuterte effektiviteten til Cisco ISE NAC-løsningen, dens arkitektur, minimumskrav og distribusjonsalternativer og innledende installasjon.
I den neste artikkelen skal vi se på å opprette kontoer, integrere med Microsoft Active Directory og opprette gjestetilgang.
Hvis du har spørsmål om dette emnet eller trenger hjelp til å teste produktet, vennligst kontakt .
Følg med for oppdateringer i våre kanaler (, , , , ).
Kilde: www.habr.com