1. Wprowadzenie
Każda firma, nawet najmniejsza, potrzebuje uwierzytelniania, autoryzacji i rozliczania użytkowników (rodzina protokołów AAA). Na początkowym etapie AAA jest całkiem dobrze implementowane przy użyciu protokołów takich jak RADIUS, TACACS+ i DIAMETER. Jednak wraz ze wzrostem liczby użytkowników i firmy rośnie również liczba zadań: maksymalna widoczność hostów i urządzeń BYOD, uwierzytelnianie wieloskładnikowe, tworzenie wielopoziomowej polityki dostępu i wiele więcej.
Do takich zadań doskonale sprawdza się klasa rozwiązań NAC (Network Access Control) – kontrola dostępu do sieci. W serii artykułów poświęconych (Identity Services Engine) - rozwiązanie NAC zapewniające kontekstową kontrolę dostępu użytkownikom w sieci wewnętrznej, szczegółowo przyjrzymy się architekturze, udostępnieniu, konfiguracji i licencjonowaniu rozwiązania.
Przypomnę krótko, że Cisco ISE umożliwia:
-
Szybko i łatwo utwórz dostęp dla gości w dedykowanej sieci WLAN;
-
Wykryj urządzenia BYOD (na przykład domowe komputery pracowników, które przynieśli do pracy);
-
Scentralizuj i egzekwuj zasady bezpieczeństwa w domenie i użytkownikach spoza domeny, korzystając z etykiet grup zabezpieczeń SGT );
-
Sprawdź komputery pod kątem zainstalowanego oprogramowania i zgodności ze standardami (pozowanie);
-
Klasyfikuj i profiluj urządzenia końcowe i sieciowe;
-
Zapewnij widoczność punktów końcowych;
-
Wysyłaj dzienniki zdarzeń logowania/wylogowywania użytkowników, ich kont (tożsamości) do NGFW w celu utworzenia polityki opartej na użytkownikach;
-
Zintegruj natywnie z Cisco StealthWatch i poddaj kwarantannie podejrzane hosty biorące udział w incydentach bezpieczeństwa ();
-
Oraz inne funkcje standardowe dla serwerów AAA.
O Cisco ISE pisali już koledzy z branży, dlatego radzę przeczytać: ,.
2. Architektura
Architektura Identity Services Engine składa się z 4 jednostek (węzłów): węzeł zarządzania (węzeł administrowania politykami), węzeł dystrybucji zasad (węzeł usługi zasad), węzeł monitorowania (węzeł monitorowania) i węzeł PxGrid (węzeł PxGrid). Cisco ISE może być instalacją samodzielną lub rozproszoną. W wersji Standalone wszystkie podmioty zlokalizowane są na jednej maszynie wirtualnej lub serwerze fizycznym (Secure Network Servers – SNS), natomiast w wersji Distributed węzły są rozproszone na różnych urządzeniach.
Węzeł administrowania zasadami (PAN) to wymagany węzeł, który umożliwia wykonywanie wszystkich operacji administracyjnych w Cisco ISE. Obsługuje wszystkie konfiguracje systemu związane z AAA. W konfiguracji rozproszonej (węzły można instalować jako oddzielne maszyny wirtualne) można mieć maksymalnie dwie sieci PAN w celu zapewnienia odporności na awarie — tryb Aktywny/Gotowość.
Węzeł usługi zasad (PSN) to obowiązkowy węzeł zapewniający dostęp do sieci, stan, dostęp dla gości, świadczenie usług klienckich i profilowanie. PSN ocenia tę politykę i ją stosuje. Zwykle instaluje się wiele sieci PSN, zwłaszcza w konfiguracji rozproszonej, w celu zapewnienia bardziej nadmiarowego i rozproszonego działania. Oczywiście starają się instalować te węzły w różnych segmentach, aby ani na sekundę nie stracić możliwości zapewnienia uwierzytelnionego i autoryzowanego dostępu.
Węzeł monitorujący (MnT) to obowiązkowy węzeł przechowujący dzienniki zdarzeń, dzienniki innych węzłów i zasady w sieci. Węzeł MnT zapewnia zaawansowane narzędzia do monitorowania i rozwiązywania problemów, gromadzi i koreluje różne dane, a także zapewnia przydatne raporty. Cisco ISE pozwala na posiadanie maksymalnie dwóch węzłów MnT, tworząc w ten sposób odporność na awarie - tryb Aktywny/Gotowość. Jednak logi zbierane są przez oba węzły, zarówno aktywne, jak i pasywne.
PxGrid Node (PXG) to węzeł korzystający z protokołu PxGrid i umożliwiający komunikację pomiędzy innymi urządzeniami obsługującymi PxGrid.
— protokół zapewniający integrację produktów infrastruktury IT i bezpieczeństwa informacji różnych dostawców: systemów monitorowania, systemów wykrywania i zapobiegania włamaniom, platform zarządzania polityką bezpieczeństwa i wielu innych rozwiązań. Cisco PxGrid umożliwia współdzielenie kontekstu w sposób jednokierunkowy lub dwukierunkowy z wieloma platformami bez potrzeby stosowania interfejsów API, umożliwiając w ten sposób technologię (tagi SGT), zmieniać i stosować politykę ANC (Adaptive Network Control), a także przeprowadzać profilowanie – określanie modelu urządzenia, systemu operacyjnego, lokalizacji i nie tylko.
W konfiguracji o wysokiej dostępności węzły PxGrid replikują informacje między węzłami za pośrednictwem sieci PAN. Jeśli sieć PAN jest wyłączona, węzeł PxGrid przestaje uwierzytelniać, autoryzować i rozliczać użytkowników.
Poniżej znajduje się schematyczne przedstawienie działania różnych podmiotów Cisco ISE w sieci korporacyjnej.
Rysunek 1. Architektura Cisco ISE
3. Wymagania
Cisco ISE można wdrożyć, jak większość nowoczesnych rozwiązań, wirtualnie lub fizycznie jako osobny serwer.
Urządzenia fizyczne, na których działa oprogramowanie Cisco ISE, nazywane są SNS (Secure Network Server). Występują w trzech modelach: SNS-3615, SNS-3655 i SNS-3695 dla małych, średnich i dużych firm. Tabela 1 przedstawia informacje z SNS.
Tabela 1. Tabela porównawcza SNS dla różnych skal
Parametr
SNS 3615 (mały)
SNS 3655 (średni)
SNS 3695 (duży)
Liczba obsługiwanych punktów końcowych w instalacji autonomicznej
10000
25000
50000
Liczba obsługiwanych punktów końcowych na PSN
10000
25000
100000
Procesor (Intel Xeon 2.10 GHz)
8 rdzeni
12 rdzeni
12 rdzeni
RAM
32 GB (2x16 GB)
96 GB (6x16 GB)
256 GB (16x16 GB)
HDD
1x600 GB
4x600 GB
8x600 GB
Sprzętowa macierz RAID
Nie
RAID 10, obecność kontrolera RAID
RAID 10, obecność kontrolera RAID
Interfejsy sieciowe
2x 10Gbase-T
4x 1Gbase-T
2x 10Gbase-T
4x 1Gbase-T
2x 10Gbase-T
4x 1Gbase-T
Jeśli chodzi o wdrożenia wirtualne, obsługiwanymi hypervisorami są VMware ESXi (zalecana jest minimalna wersja VMware 11 dla ESXi 6.0), Microsoft Hyper-V i Linux KVM (RHEL 7.0). Zasoby powinny być w przybliżeniu takie same jak w powyższej tabeli lub większe. Jednak minimalne wymagania dla maszyny wirtualnej dla małych firm są następujące: CPU 2 o częstotliwości 2.0 GHz i wyższej, 16GB RAMu и 200 GB HDD.
Aby uzyskać szczegółowe informacje na temat wdrożenia Cisco ISE, skontaktuj się z nami lub , .
4. Instalacja
Podobnie jak większość innych produktów Cisco, ISE można przetestować na kilka sposobów:
-
– usługa w chmurze preinstalowanych układów laboratoryjnych (wymagane konto Cisco);
-
– prośba od Cisco określonego oprogramowania (metoda dla partnerów). Tworzysz sprawę z następującym typowym opisem: Typ produktu [ISE], Oprogramowanie ISE [ise-2.7.0.356.SPA.x8664], łatka ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— skontaktuj się z dowolnym autoryzowanym partnerem w celu przeprowadzenia bezpłatnego projektu pilotażowego.
1) Po utworzeniu maszyny wirtualnej, jeśli zażądałeś pliku ISO, a nie szablonu OVA, pojawi się okno, w którym ISE wymaga wybrania instalacji. W tym celu zamiast loginu i hasła należy wpisać „ustawienie“!
Uwaga: jeśli wdrożyłeś ISE z szablonu OVA, to dane logowania administrator/MyIseYPass2 (to i wiele więcej jest wskazane w oficjalnym ).
Rysunek 2. Instalowanie Cisco ISE
2) Następnie należy wypełnić wymagane pola takie jak adres IP, DNS, NTP i inne.
Rysunek 3. Inicjowanie Cisco ISE
3) Następnie urządzenie uruchomi się ponownie i będziesz mógł połączyć się za pośrednictwem interfejsu internetowego, korzystając z wcześniej określonego adresu IP.
Rysunek 4. Interfejs sieciowy Cisco ISE
4) W zakładce Administracja > System > Wdrożenie możesz wybrać, które węzły (jednostki) są włączone na konkretnym urządzeniu. Węzeł PxGrid jest tutaj włączony.
Rysunek 5. Zarządzanie jednostkami Cisco ISE
5) Następnie w tab Administracja > System > Dostęp administratora > Uwierzytelnianie Zalecam skonfigurowanie polityki haseł, metody uwierzytelniania (certyfikat lub hasło), daty wygaśnięcia konta i innych ustawień.
Rysunek 6. Ustawienie typu uwierzytelnieniaRysunek 7. Ustawienia polityki hasełRysunek 8. Konfigurowanie zamknięcia konta po upływie czasuRysunek 9. Konfigurowanie blokowania konta
6) W zakładce Administracja > System > Dostęp administracyjny > Administratorzy > Użytkownicy administracyjni > Dodaj możesz utworzyć nowego administratora.
Rysunek 10. Tworzenie lokalnego administratora Cisco ISE
7) Nowego administratora można przyłączyć do nowej grupy lub już zdefiniowanych grup. Zarządzanie grupami administratorów odbywa się w tym samym panelu w zakładce Grupy administracyjne. Tabela 2 podsumowuje informacje o administratorach ISE, ich prawach i rolach.
Tabela 2. Grupy administratorów Cisco ISE, poziomy dostępu, uprawnienia i ograniczenia
Nazwa grupy administratorów
Uprawnienia
Ograniczenia
Administrator personalizacji
Konfigurowanie portali dla gości i sponsorów, administracja i personalizacja
Brak możliwości zmiany zasad lub przeglądania raportów
Administrator Helpdesku
Możliwość przeglądania głównego panelu, wszystkich raportów, alarmów i strumieni rozwiązywania problemów
Nie można zmieniać, tworzyć ani usuwać raportów, alarmów i dzienników uwierzytelniania
Administrator tożsamości
Zarządzanie użytkownikami, uprawnieniami i rolami, możliwość przeglądania logów, raportów i alarmów
Nie można zmieniać polityk ani wykonywać zadań na poziomie systemu operacyjnego
Administrator MnT
Pełny monitoring, raporty, alarmy, logi i zarządzanie nimi
Brak możliwości zmiany jakichkolwiek zasad
Administrator urządzeń sieciowych
Prawa do tworzenia i zmiany obiektów ISE, przeglądania logów, raportów, głównego dashboardu
Nie można zmieniać polityk ani wykonywać zadań na poziomie systemu operacyjnego
Administrator zasad
Pełne zarządzanie wszystkimi politykami, zmiana profili, ustawień, przeglądanie raportów
Niemożność wykonania ustawień przy użyciu poświadczeń, obiektów ISE
Administrator RBAC
Wszystkie ustawienia w zakładce Operacje, ustawienia polityki ANC, zarządzanie raportami
Nie można zmieniać polityk innych niż ANC ani wykonywać zadań na poziomie systemu operacyjnego
Superadministrator
Prawa do wszystkich ustawień, raportowania i zarządzania, mogą usuwać i zmieniać poświadczenia administratora
Nie można zmienić, usuń kolejny profil z grupy Super Admin
Administrator systemu
Wszystkie ustawienia w zakładce Operacje, zarządzanie ustawieniami systemu, polityką ANC, przeglądanie raportów
Nie można zmieniać polityk innych niż ANC ani wykonywać zadań na poziomie systemu operacyjnego
Administrator zewnętrznych usług RESTful (ERS).
Pełny dostęp do interfejsu API REST Cisco ISE
Tylko do autoryzacji, zarządzania lokalnymi użytkownikami, hostami i grupami bezpieczeństwa (SG)
Zewnętrzny operator usług RESTful (ERS).
Uprawnienia do odczytu interfejsu API Cisco ISE REST
Tylko do autoryzacji, zarządzania lokalnymi użytkownikami, hostami i grupami bezpieczeństwa (SG)
Rysunek 11. Wstępnie zdefiniowane grupy administratorów Cisco ISE
8) Opcjonalne w zakładce Autoryzacja > Uprawnienia > Zasady RBAC Możesz edytować uprawnienia predefiniowanych administratorów.
Rysunek 12. Zarządzanie wstępnie ustawionymi uprawnieniami do profilu administratora Cisco ISE
9) W zakładce Administracja > System > Ustawienia Dostępne są wszystkie ustawienia systemowe (DNS, NTP, SMTP i inne). Możesz je wypełnić tutaj, jeśli je pominąłeś podczas początkowej inicjalizacji urządzenia.
5. Wniosek
Na tym kończy się pierwszy artykuł. Omówiliśmy skuteczność rozwiązania Cisco ISE NAC, jego architekturę, minimalne wymagania i możliwości wdrożenia oraz wstępną instalację.
W następnym artykule przyjrzymy się tworzeniu kont, integracji z Microsoft Active Directory i tworzeniu dostępu dla gości.
Jeśli masz pytania dotyczące tego tematu lub potrzebujesz pomocy w testowaniu produktu, prosimy o kontakt .
Bądź na bieżąco z aktualizacjami na naszych kanałach (, , , , ).
Źródło: www.habr.com