1. 1. Introdução
Toda empresa, mesmo a menor, precisa de autenticação, autorização e contabilidade de usuário (família de protocolos AAA). No estágio inicial, o AAA é bastante bem implementado utilizando protocolos como RADIUS, TACACS+ e DIAMETER. Porém, à medida que o número de usuários e da empresa cresce, o número de tarefas também cresce: visibilidade máxima de hosts e dispositivos BYOD, autenticação multifatorial, criação de uma política de acesso multinível e muito mais.
Para tais tarefas, a classe de soluções NAC (Network Access Control) é perfeita - controle de acesso à rede. Numa série de artigos dedicados (Identity Services Engine) - Solução NAC para fornecer controle de acesso baseado no contexto para usuários na rede interna, daremos uma olhada detalhada na arquitetura, provisionamento, configuração e licenciamento da solução.
Deixe-me lembrá-lo brevemente que o Cisco ISE permite:
-
Crie acesso de convidado de forma rápida e fácil em uma WLAN dedicada;
-
Detectar dispositivos BYOD (por exemplo, PCs domésticos dos funcionários que eles trouxeram para o trabalho);
-
Centralize e aplique políticas de segurança em usuários de domínio e fora do domínio usando rótulos de grupo de segurança SGT );
-
Verifique os computadores quanto a determinados softwares instalados e a conformidade com os padrões (postura);
-
Classificar e criar perfis de endpoint e dispositivos de rede;
-
Fornece visibilidade de endpoint;
-
Enviar logs de eventos de logon/logoff de usuários, suas contas (identidade) para NGFW para formar uma política baseada em usuário;
-
Integre-se nativamente ao Cisco StealthWatch e coloque em quarentena hosts suspeitos envolvidos em incidentes de segurança ();
-
E outros recursos padrão para servidores AAA.
Colegas do setor já escreveram sobre o Cisco ISE, então aconselho você a ler: ,.
2. Arquitetura
A arquitetura do Identity Services Engine possui 4 entidades (nós): um nó de gerenciamento (Nó de Administração de Política), um nó de distribuição de política (Nó de Serviço de Política), um nó de monitoramento (Nó de Monitoramento) e um nó PxGrid (Nó PxGrid). O Cisco ISE pode estar em uma instalação autônoma ou distribuída. Na versão Standalone, todas as entidades estão localizadas em uma máquina virtual ou servidor físico (Secure Network Servers - SNS), enquanto na versão Distribuída, os nós são distribuídos em diferentes dispositivos.
O Policy Administration Node (PAN) é um nó necessário que permite executar todas as operações administrativas no Cisco ISE. Ele lida com todas as configurações do sistema relacionadas ao AAA. Em uma configuração distribuída (os nós podem ser instalados como máquinas virtuais separadas), você pode ter no máximo dois PANs para tolerância a falhas - modo Ativo/Espera.
Policy Service Node (PSN) é um nó obrigatório que fornece acesso à rede, estado, acesso de convidado, provisionamento de serviço de cliente e criação de perfil. A PSN avalia a política e a aplica. Normalmente, vários PSNs são instalados, especialmente em uma configuração distribuída, para uma operação mais redundante e distribuída. Claro, eles tentam instalar esses nós em segmentos diferentes para não perder por um segundo a capacidade de fornecer acesso autenticado e autorizado.
O Nó de Monitoramento (MnT) é um nó obrigatório que armazena logs de eventos, logs de outros nós e políticas na rede. O nó MnT fornece ferramentas avançadas para monitoramento e solução de problemas, coleta e correlaciona vários dados e também fornece relatórios significativos. O Cisco ISE permite que você tenha no máximo dois nós MnT, criando assim tolerância a falhas - modo Ativo/Espera. No entanto, os logs são coletados por ambos os nós, ativos e passivos.
PxGrid Node (PXG) é um nó que utiliza o protocolo PxGrid e permite a comunicação entre outros dispositivos que suportam PxGrid.
— um protocolo que garante a integração de produtos de infraestrutura de TI e de segurança da informação de diferentes fornecedores: sistemas de monitoramento, sistemas de detecção e prevenção de intrusões, plataformas de gerenciamento de políticas de segurança e muitas outras soluções. O Cisco PxGrid permite compartilhar contexto de maneira unidirecional ou bidirecional com muitas plataformas sem a necessidade de APIs, permitindo assim que a tecnologia (tags SGT), alterar e aplicar a política ANC (Adaptive Network Control), bem como realizar perfis - determinando o modelo do dispositivo, sistema operacional, localização e muito mais.
Em uma configuração de alta disponibilidade, os nós PxGrid replicam informações entre nós em um PAN. Se o PAN estiver desabilitado, o nó PxGrid para de autenticar, autorizar e contabilizar os usuários.
Abaixo está uma representação esquemática da operação de diferentes entidades Cisco ISE em uma rede corporativa.
Figura 1. Arquitetura Cisco ISE
3. Requisitos
O Cisco ISE pode ser implementado, como a maioria das soluções modernas, virtual ou fisicamente como um servidor separado.
Os dispositivos físicos que executam o software Cisco ISE são chamados de SNS (Secure Network Server). Eles vêm em três modelos: SNS-3615, SNS-3655 e SNS-3695 para pequenas, médias e grandes empresas. A Tabela 1 mostra informações de SNS.
Tabela 1. Tabela comparativa do SNS para diferentes escalas
Parâmetro
SNS 3615 (Pequeno)
SNS 3655 (Médio)
SNS 3695 (Grande)
Número de endpoints suportados em uma instalação independente
10000
25000
50000
Número de endpoints suportados por PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 núcleos
12 núcleos
12 núcleos
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID de hardware
Não
RAID 10, presença de controlador RAID
RAID 10, presença de controlador RAID
Interfaces de rede
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Em relação às implementações virtuais, os hipervisores suportados são VMware ESXi (recomenda-se no mínimo VMware versão 11 para ESXi 6.0), Microsoft Hyper-V e Linux KVM (RHEL 7.0). Os recursos devem ser aproximadamente os mesmos da tabela acima ou mais. No entanto, os requisitos mínimos para uma máquina virtual para pequenas empresas são: CPU 2 com uma frequência de 2.0 GHz e superior, 16 GB RAM и 200 GB HDD.
Para obter outros detalhes de implantação do Cisco ISE, entre em contato ou para , .
4. Instalação
Como a maioria dos outros produtos Cisco, o ISE pode ser testado de diversas maneiras:
-
– serviço em nuvem de layouts de laboratório pré-instalados (é necessária uma conta Cisco);
-
– pedido de Cisco de determinados softwares (método para parceiros). Você cria um caso com a seguinte descrição típica: Tipo de produto [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Patch ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— entrar em contato com qualquer parceiro autorizado para realizar um projeto piloto gratuito.
1) Depois de criar uma máquina virtual, se você solicitou um arquivo ISO e não um modelo OVA, aparecerá uma janela na qual o ISE solicitará que você selecione uma instalação. Para fazer isso, em vez do seu login e senha, você deve escrever “instalação“!
Nota: se você implantou o ISE a partir do modelo OVA, os detalhes de login administrador/MyIseYPass2 (isso e muito mais está indicado no oficial ).
Figura 2. Instalando o Cisco ISE
2) Em seguida deverá preencher os campos obrigatórios como endereço IP, DNS, NTP e outros.
Figura 3. Inicializando o Cisco ISE
3) Depois disso, o dispositivo será reiniciado e você poderá se conectar através da interface web usando o endereço IP especificado anteriormente.
Figura 4. Interface Web Cisco ISE
4) Na aba Administração > Sistema > Implantação você pode selecionar quais nós (entidades) estão habilitados em um dispositivo específico. O nó PxGrid está habilitado aqui.
Figura 5. Gerenciamento de entidades Cisco ISE
5) Em seguida, na guia Administração > Sistema > Acesso de administrador > Autenticação Recomendo configurar uma política de senha, método de autenticação (certificado ou senha), data de expiração da conta e outras configurações.
Figura 6. Configuração do tipo de autenticaçãoFigura 7. Configurações de política de senhaFigura 8. Configurando o encerramento da conta após o término do tempoFigura 9. Configurando o bloqueio de conta
6) Na aba Administração > Sistema > Acesso de administrador > Administradores > Usuários administradores > Adicionar você pode criar um novo administrador.
Figura 10. Criando um administrador local do Cisco ISE
7) O novo administrador pode fazer parte de um novo grupo ou de grupos já predefinidos. Os grupos de administradores são gerenciados no mesmo painel da guia Grupos de administração. A Tabela 2 resume informações sobre administradores do ISE, seus direitos e funções.
Tabela 2. Grupos de administradores do Cisco ISE, níveis de acesso, permissões e restrições
Nome do grupo de administradores
Permissões
Restrições
Administrador de personalização
Criação de portais de convidados e patrocínios, administração e customização
Incapacidade de alterar políticas ou visualizar relatórios
Administrador de suporte técnico
Capacidade de visualizar o painel principal, todos os relatórios, alarmes e fluxos de solução de problemas
Você não pode alterar, criar ou excluir relatórios, alarmes e logs de autenticação
Administrador de identidade
Gerenciamento de usuários, privilégios e funções, capacidade de visualizar logs, relatórios e alarmes
Você não pode alterar políticas ou executar tarefas no nível do sistema operacional
Administrador MnT
Monitoramento completo, relatórios, alarmes, logs e seu gerenciamento
Incapacidade de alterar quaisquer políticas
Administrador de dispositivos de rede
Direitos para criar e alterar objetos ISE, visualizar logs, relatórios, painel principal
Você não pode alterar políticas ou executar tarefas no nível do sistema operacional
Administrador de políticas
Gerenciamento completo de todas as políticas, alteração de perfis, configurações, visualização de relatórios
Incapacidade de realizar configurações com credenciais, objetos ISE
Administrador do RBAC
Todas as configurações na guia Operações, configurações de política ANC, gerenciamento de relatórios
Você não pode alterar políticas diferentes do ANC ou executar tarefas no nível do sistema operacional
Superadministrador
Direitos a todas as configurações, relatórios e gerenciamento, podem excluir e alterar credenciais de administrador
Não é possível alterar, exclua outro perfil do grupo Super Admin
Sistema de Administração
Todas as configurações na guia Operações, gerenciamento de configurações do sistema, política ANC, visualização de relatórios
Você não pode alterar políticas diferentes do ANC ou executar tarefas no nível do sistema operacional
Administrador externo de serviços RESTful (ERS)
Acesso total à API REST do Cisco ISE
Somente para autorização, gerenciamento de usuários locais, hosts e grupos de segurança (SG)
Operador externo de serviços RESTful (ERS)
Permissões de leitura da API REST do Cisco ISE
Somente para autorização, gerenciamento de usuários locais, hosts e grupos de segurança (SG)
Figura 11. Grupos predefinidos de administradores do Cisco ISE
8) Opcional na aba Autorização > Permissões > Política RBAC Você pode editar os direitos de administradores predefinidos.
Figura 12. Gerenciamento de direitos de perfil predefinido do administrador Cisco ISE
9) Na aba Administração > Sistema > Configurações Todas as configurações do sistema estão disponíveis (DNS, NTP, SMTP e outras). Você pode preenchê-los aqui caso os tenha perdido durante a inicialização do dispositivo.
5. Conclusão
Isso conclui o primeiro artigo. Discutimos a eficácia da solução Cisco ISE NAC, sua arquitetura, requisitos mínimos e opções de implantação e instalação inicial.
No próximo artigo, veremos a criação de contas, a integração com o Microsoft Active Directory e a criação de acesso de convidados.
Se você tiver dúvidas sobre este tópico ou precisar de ajuda para testar o produto, entre em contato .
Fique atento às atualizações em nossos canais (, , , , ).
Fonte: habr.com