1. Introducere
Fiecare companie, chiar și cea mai mică, are nevoie de autentificare, autorizare și contabilitate utilizator (familia de protocoale AAA). În stadiul inițial, AAA este destul de bine implementat folosind protocoale precum RADIUS, TACACS+ și DIAMETER. Cu toate acestea, pe măsură ce numărul de utilizatori și compania crește, crește și numărul de sarcini: vizibilitate maximă a gazdelor și dispozitivelor BYOD, autentificare multi-factor, crearea unei politici de acces pe mai multe niveluri și multe altele.
Pentru astfel de sarcini, clasa de soluții NAC (Network Access Control) este perfectă - controlul accesului la rețea. Într-o serie de articole dedicate (Identity Services Engine) - Soluție NAC pentru furnizarea de control al accesului conștient de context utilizatorilor din rețeaua internă, vom arunca o privire detaliată asupra arhitecturii, aprovizionării, configurării și licențierii soluției.
Permiteți-mi să vă reamintesc pe scurt că Cisco ISE vă permite să:
-
Creați rapid și ușor acces pentru oaspeți pe un WLAN dedicat;
-
Detectați dispozitivele BYOD (de exemplu, computerele de acasă ale angajaților pe care le-au adus la serviciu);
-
Centralizați și aplicați politicile de securitate pentru utilizatorii de domeniu și non-domenii folosind etichetele grupurilor de securitate SGT );
-
Verificați computerele pentru anumite programe instalate și conformitatea cu standardele (posture);
-
Clasificați și profilați dispozitivele terminale și de rețea;
-
Oferă vizibilitate la punctul final;
-
Trimiteți jurnalele de evenimente de conectare/deconectare a utilizatorilor, conturile acestora (identitatea) către NGFW pentru a forma o politică bazată pe utilizatori;
-
Integrați nativ cu Cisco StealthWatch și plasați în carantină gazdele suspecte implicate în incidente de securitate ();
-
Și alte caracteristici standard pentru serverele AAA.
Colegii din industrie au scris deja despre Cisco ISE, așa că vă sfătuiesc să citiți: ,.
2. arhitectură
Arhitectura Identity Services Engine are 4 entități (noduri): un nod de management (Policy Administration Node), un nod de distribuție a politicilor (Policy Service Node), un nod de monitorizare (Monitoring Node) și un nod PxGrid (PxGrid Node). Cisco ISE poate fi într-o instalare autonomă sau distribuită. În versiunea Standalone, toate entitățile sunt situate pe o singură mașină virtuală sau pe un server fizic (Secure Network Servers - SNS), în timp ce în versiunea Distributed, nodurile sunt distribuite pe diferite dispozitive.
Nodul de administrare a politicilor (PAN) este un nod obligatoriu care vă permite să efectuați toate operațiunile administrative pe Cisco ISE. Se ocupă de toate configurațiile de sistem legate de AAA. Într-o configurație distribuită (nodurile pot fi instalate ca mașini virtuale separate), puteți avea maximum două PAN-uri pentru toleranță la erori - modul Activ/Standby.
Policy Service Node (PSN) este un nod obligatoriu care oferă acces la rețea, stare, acces pentru oaspeți, furnizare de servicii pentru clienți și profilare. PSN evaluează politica și o aplică. De obicei, sunt instalate mai multe PSN-uri, în special într-o configurație distribuită, pentru o funcționare mai redundantă și distribuită. Desigur, ei încearcă să instaleze aceste noduri în diferite segmente pentru a nu pierde capacitatea de a oferi acces autentificat și autorizat pentru o secundă.
Nodul de monitorizare (MnT) este un nod obligatoriu care stochează jurnalele de evenimente, jurnalele altor noduri și politicile din rețea. Nodul MnT oferă instrumente avansate pentru monitorizare și depanare, colectează și corelează diverse date și oferă, de asemenea, rapoarte semnificative. Cisco ISE vă permite să aveți maximum două noduri MnT, creând astfel toleranță la erori - modul Activ/Standby. Cu toate acestea, jurnalele sunt colectate de ambele noduri, atât active, cât și pasive.
PxGrid Node (PXG) este un nod care utilizează protocolul PxGrid și permite comunicarea între alte dispozitive care acceptă PxGrid.
— un protocol care asigură integrarea produselor IT și a infrastructurii de securitate a informațiilor de la diferiți furnizori: sisteme de monitorizare, sisteme de detectare și prevenire a intruziunilor, platforme de management al politicii de securitate și multe alte soluții. Cisco PxGrid vă permite să partajați context într-o manieră unidirecțională sau bidirecțională cu multe platforme fără a fi nevoie de API-uri, permițând astfel tehnologia (etichete SGT), modificați și aplicați politica ANC (Control adaptiv al rețelei), precum și efectuați profilarea - determinând modelul dispozitivului, sistemul de operare, locația și multe altele.
Într-o configurație de înaltă disponibilitate, nodurile PxGrid reproduc informații între noduri printr-un PAN. Dacă PAN-ul este dezactivat, nodul PxGrid oprește autentificarea, autorizarea și contabilizarea utilizatorilor.
Mai jos este o reprezentare schematică a funcționării diferitelor entități Cisco ISE într-o rețea corporativă.
Figura 1. Arhitectura Cisco ISE
3. Cerințe
Cisco ISE poate fi implementat, ca majoritatea soluțiilor moderne, virtual sau fizic ca un server separat.
Dispozitivele fizice care rulează software-ul Cisco ISE se numesc SNS (Secure Network Server). Sunt disponibile în trei modele: SNS-3615, SNS-3655 și SNS-3695 pentru întreprinderile mici, mijlocii și mari. Tabelul 1 prezintă informații de la SNS.
Tabelul 1. Tabelul de comparație al SNS pentru diferite scale
Parametru
SNS 3615 (mic)
SNS 3655 (mediu)
SNS 3695 (mare)
Numărul de puncte finale acceptate într-o instalare autonomă
10000
25000
50000
Numărul de puncte finale acceptate per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 miezuri
12 miezuri
12 miezuri
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID hardware
Nu
RAID 10, prezența controlerului RAID
RAID 10, prezența controlerului RAID
Interfețe de rețea
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
În ceea ce privește implementările virtuale, hipervizoarele acceptate sunt VMware ESXi (se recomandă versiunea minimă VMware 11 pentru ESXi 6.0), Microsoft Hyper-V și Linux KVM (RHEL 7.0). Resursele ar trebui să fie aproximativ aceleași ca în tabelul de mai sus sau mai multe. Cu toate acestea, cerințele minime pentru o mașină virtuală de afaceri mici sunt: 2 CPU cu o frecvență de 2.0 GHz și mai mare, 16 GB RAM и 200 GB HDD.
Pentru alte detalii despre implementarea Cisco ISE, vă rugăm să contactați sau la , .
4. Instalare
La fel ca majoritatea altor produse Cisco, ISE poate fi testat în mai multe moduri:
-
– serviciu cloud de layout-uri de laborator preinstalate (este necesar un cont Cisco);
-
- o cerere de la Cisco a anumitor programe (metoda pentru parteneri). Creați un caz cu următoarea descriere tipică: Tip produs [ISE], Software ISE [ise-2.7.0.356.SPA.x8664], Patch ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— contactați orice partener autorizat pentru a realiza un proiect pilot gratuit.
1) După crearea unei mașini virtuale, dacă ați solicitat un fișier ISO și nu un șablon OVA, va apărea o fereastră în care ISE vă solicită să selectați o instalare. Pentru a face acest lucru, în loc de autentificare și parola, ar trebui să scrieți „configurarea„!
Nota: dacă ați implementat ISE din șablonul OVA, atunci detaliile de conectare admin/MyIseYPass2 (acest lucru și multe altele sunt indicate în oficial ).
Figura 2. Instalarea Cisco ISE
2) Apoi ar trebui să completați câmpurile necesare, cum ar fi adresa IP, DNS, NTP și altele.
Figura 3. Inițializarea Cisco ISE
3) După aceea, dispozitivul se va reporni și vă veți putea conecta prin interfața web folosind adresa IP specificată anterior.
Figura 4. Interfața web Cisco ISE
4) În tab Administrare > Sistem > Implementare puteți selecta ce noduri (entități) sunt activate pe un anumit dispozitiv. Nodul PxGrid este activat aici.
Figura 5. Cisco ISE Entity Management
5) Apoi în tab Administrare > Sistem > Acces admin > Autentificare Recomand să configurați o politică de parole, o metodă de autentificare (certificat sau parolă), data de expirare a contului și alte setări.
Figura 6. Setarea tipului de autentificareFigura 7. Setările politicii de parolăFigura 8. Configurarea închiderii contului după expirarea timpuluiFigura 9. Configurarea blocării contului
6) În tab Administrare > Sistem > Acces admin > Administratori > Utilizatori admin > Adăugați puteți crea un nou administrator.
Figura 10. Crearea unui administrator local Cisco ISE
7) Noul administrator poate fi făcut parte dintr-un grup nou sau grupuri deja predefinite. Grupurile de administratori sunt gestionate în același panou din filă Grupuri de administrare. Tabelul 2 rezumă informații despre administratorii ISE, drepturile și rolurile acestora.
Tabelul 2. Grupuri de administratori Cisco ISE, niveluri de acces, permisiuni și restricții
Numele grupului de administrator
permisiune
Restricții
Personalizare Administrator
Configurare portaluri de invitați și sponsorizare, administrare și personalizare
Imposibilitatea de a modifica politicile sau de a vizualiza rapoarte
Administrator Helpdesk
Abilitatea de a vizualiza tabloul de bord principal, toate rapoartele, alarmele și fluxurile de depanare
Nu puteți modifica, crea sau șterge rapoarte, alarme și jurnale de autentificare
Administrator de identitate
Gestionarea utilizatorilor, privilegiilor și rolurilor, abilitatea de a vizualiza jurnalele, rapoartele și alarmele
Nu puteți modifica politicile sau efectua sarcini la nivel de sistem de operare
Administratorul MnT
Monitorizare completă, rapoarte, alarme, jurnalele și gestionarea acestora
Incapacitatea de a schimba orice politică
Administrator dispozitiv de rețea
Drepturi de a crea și modifica obiecte ISE, de a vizualiza jurnalele, rapoartele, tabloul de bord principal
Nu puteți modifica politicile sau efectua sarcini la nivel de sistem de operare
Administratorul politicii
Gestionarea completă a tuturor politicilor, modificarea profilurilor, setărilor, vizualizarea rapoartelor
Incapacitatea de a efectua setări cu acreditări, obiecte ISE
Administrator RBAC
Toate setările din fila Operațiuni, setările politicii ANC, gestionarea raportării
Nu puteți modifica alte politici decât ANC sau nu puteți efectua sarcini la nivel de sistem de operare
super-Admin
Drepturile la toate setările, raportarea și managementul, pot șterge și modifica acreditările de administrator
Nu se poate modifica, șterge alt profil din grupul de superadministratori
Sistem Admin
Toate setările din fila Operațiuni, gestionarea setărilor sistemului, politica ANC, vizualizarea rapoartelor
Nu puteți modifica alte politici decât ANC sau nu puteți efectua sarcini la nivel de sistem de operare
Servicii externe RESTful (ERS) Administrator
Acces complet la API-ul Cisco ISE REST
Doar pentru autorizare, gestionarea utilizatorilor locali, gazdelor și grupurilor de securitate (SG)
Operator de servicii externe RESTful (ERS).
Permisiuni de citire Cisco ISE REST API
Doar pentru autorizare, gestionarea utilizatorilor locali, gazdelor și grupurilor de securitate (SG)
Figura 11. Grupuri de administratori Cisco ISE predefinite
8) Opțional în filă Autorizare > Permisiuni > Politică RBAC Puteți edita drepturile administratorilor predefiniti.
Figura 12. Administrator Cisco ISE Administrator Preset Profile Rights Management
9) În tab Administrare > Sistem > Setări Toate setările sistemului sunt disponibile (DNS, NTP, SMTP și altele). Le puteți completa aici dacă le-ați omis în timpul inițializării inițiale a dispozitivului.
5. concluzie
Astfel se încheie primul articol. Am discutat despre eficacitatea soluției Cisco ISE NAC, arhitectura acesteia, cerințele minime și opțiunile de implementare și instalarea inițială.
În articolul următor, ne vom uita la crearea conturilor, integrarea cu Microsoft Active Directory și crearea accesului pentru oaspeți.
Dacă aveți întrebări despre acest subiect sau aveți nevoie de ajutor pentru testarea produsului, vă rugăm să contactați .
Rămâneți pe fază pentru actualizări pe canalele noastre (, , , , ).
Sursa: www.habr.com