Každá spoločnosť, aj tá najmenšia, potrebuje autentifikáciu, autorizáciu a účtovníctvo používateľov (rodina protokolov AAA). V počiatočnom štádiu je AAA celkom dobre implementované pomocou protokolov ako RADIUS, TACACS+ a DIAMETER. S rastom počtu používateľov a spoločnosti však rastie aj počet úloh: maximálna viditeľnosť hostiteľov a zariadení BYOD, viacfaktorová autentifikácia, vytváranie politiky viacúrovňového prístupu a mnohé ďalšie.
Na takéto úlohy sa výborne hodí trieda riešení NAC (Network Access Control) – riadenie prístupu k sieti. V sérii článkov venovaných Cisco ISE (Identity Services Engine) - riešenie NAC pre poskytovanie kontextového riadenia prístupu používateľom vo vnútornej sieti, podrobne sa pozrieme na architektúru, poskytovanie, konfiguráciu a licencovanie riešenia.
Dovoľte mi stručne pripomenúť, že Cisco ISE vám umožňuje:
Rýchlo a jednoducho vytvorte prístup pre hostí na vyhradenej sieti WLAN;
Detekovať zariadenia BYOD (napríklad domáce počítače zamestnancov, ktoré si priniesli do práce);
Centralizujte a presadzujte bezpečnostné politiky naprieč doménovými a nedoménovými používateľmi pomocou štítkov bezpečnostných skupín SGT TrustSec);
Skontrolujte, či je v počítačoch nainštalovaný určitý softvér a či sú v súlade s normami (pozície);
Klasifikujte a profilujte koncové a sieťové zariadenia;
Poskytnite viditeľnosť koncového bodu;
Posielajte denníky udalostí prihlásenia/odhlásenia používateľov, ich účtov (identity) do NGFW, aby ste vytvorili politiku založenú na používateľoch;
Natívne integrujte s Cisco StealthWatch a umiestnite do karantény podozrivých hostiteľov zapojených do bezpečnostných incidentov (RїRѕRґSЂRѕR ± RЅRμRμ);
Architektúra Identity Services Engine má 4 entity (uzly): riadiaci uzol (Policy Administration Node), uzol distribúcie politiky (Policy Service Node), monitorovací uzol (Monitoring Node) a PxGrid uzol (PxGrid Node). Cisco ISE môže byť v samostatnej alebo distribuovanej inštalácii. Vo verzii Standalone sú všetky entity umiestnené na jednom virtuálnom stroji alebo fyzickom serveri (Secure Network Servers - SNS), zatiaľ čo vo verzii Distributed sú uzly distribuované na rôznych zariadeniach.
Policy Administration Node (PAN) je povinný uzol, ktorý vám umožňuje vykonávať všetky administratívne operácie na Cisco ISE. Zvláda všetky systémové konfigurácie súvisiace s AAA. V distribuovanej konfigurácii (uzly môžu byť inštalované ako samostatné virtuálne stroje) môžete mať maximálne dve čísla PAN pre odolnosť voči chybám – režim Active/Standby.
Policy Service Node (PSN) je povinný uzol, ktorý poskytuje sieťový prístup, stav, hosťovský prístup, poskytovanie klientskych služieb a profilovanie. PSN vyhodnocuje politiku a uplatňuje ju. Typicky sú nainštalované viaceré PSN, najmä v distribuovanej konfigurácii, kvôli redundantnej a distribuovanej prevádzke. Samozrejme, že sa snažia nainštalovať tieto uzly do rôznych segmentov, aby ani na sekundu nestratili schopnosť poskytovať overený a autorizovaný prístup.
Monitorovací uzol (MnT) je povinný uzol, ktorý ukladá protokoly udalostí, protokoly iných uzlov a politiky v sieti. Uzol MnT poskytuje pokročilé nástroje na monitorovanie a riešenie problémov, zhromažďuje a porovnáva rôzne údaje a tiež poskytuje zmysluplné správy. Cisco ISE vám umožňuje mať maximálne dva uzly MnT, čím vytvára odolnosť voči chybám – režim Active/Standby. Záznamy však zbierajú oba uzly, aktívne aj pasívne.
PxGrid Node (PXG) je uzol, ktorý využíva protokol PxGrid a umožňuje komunikáciu medzi ostatnými zariadeniami, ktoré podporujú PxGrid.
PxGrid — protokol, ktorý zabezpečuje integráciu produktov infraštruktúry IT a informačnej bezpečnosti od rôznych dodávateľov: monitorovacie systémy, systémy detekcie a prevencie narušenia, platformy na riadenie bezpečnostnej politiky a mnoho ďalších riešení. Cisco PxGrid vám umožňuje zdieľať kontext jednosmerným alebo obojsmerným spôsobom s mnohými platformami bez potreby API, čím umožňuje technológiu TrustSec (značky SGT), meniť a aplikovať politiku ANC (Adaptive Network Control), ako aj vykonávať profilovanie – určovanie modelu zariadenia, OS, polohy a pod.
V konfigurácii s vysokou dostupnosťou uzly PxGrid replikujú informácie medzi uzlami cez PAN. Ak je PAN zakázaný, uzol PxGrid prestane autentifikovať, autorizovať a účtovať používateľov.
Nižšie je schematické znázornenie fungovania rôznych entít Cisco ISE v podnikovej sieti.
Obrázok 1. Architektúra Cisco ISE
3. Požiadavky
Cisco ISE je možné implementovať, ako väčšina moderných riešení, virtuálne alebo fyzicky ako samostatný server.
Fyzické zariadenia so softvérom Cisco ISE sa nazývajú SNS (Secure Network Server). Dodávajú sa v troch modeloch: SNS-3615, SNS-3655 a SNS-3695 pre malé, stredné a veľké podniky. Tabuľka 1 zobrazuje informácie z dátový hárok SNS.
Tabuľka 1. Porovnávacia tabuľka SNS pre rôzne škály
Parameter
SNS 3615 (malé)
SNS 3655 (stredná)
SNS 3695 (veľký)
Počet podporovaných koncových bodov v samostatnej inštalácii
10000
25000
50000
Počet podporovaných koncových bodov na PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 jadier
12 jadier
12 jadier
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardvérové RAID
Nie
RAID 10, prítomnosť radiča RAID
RAID 10, prítomnosť radiča RAID
Sieťové rozhrania
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Čo sa týka virtuálnych implementácií, podporované hypervízory sú VMware ESXi (odporúča sa minimálna verzia VMware 11 pre ESXi 6.0), Microsoft Hyper-V a Linux KVM (RHEL 7.0). Zdroje by mali byť približne rovnaké ako v tabuľke vyššie alebo viac. Minimálne požiadavky na virtuálny stroj pre malé podniky sú však: 2 XNUMX CPU s frekvenciou 2.0 GHz a vyššou, 16 GB RAM и 200 GBHDD
Pre ďalšie podrobnosti o nasadení Cisco ISE kontaktujte nám alebo k zdroj #1, zdroj #2.
4. Inštalácia
Ako väčšina ostatných produktov Cisco, aj ISE možno testovať niekoľkými spôsobmi:
žiadosť GVE – žiadosť od site Cisco určitého softvéru (metóda pre partnerov). Vytvoríte prípad s nasledujúcim typickým popisom: Typ produktu [ISE], Softvér ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilotný projekt — kontaktujte ktoréhokoľvek autorizovaného partnera, aby vykonal bezplatný pilotný projekt.
1) Ak ste po vytvorení virtuálneho počítača požadovali súbor ISO a nie šablónu OVA, zobrazí sa okno, v ktorom ISE vyžaduje výber inštalácie. Ak to chcete urobiť, namiesto svojho prihlasovacieho mena a hesla by ste mali napísať „nastavenie"!
Poznámka: ak ste nasadili ISE zo šablóny OVA, potom prihlasovacie údaje admin/MyIseYPass2 (toto a oveľa viac je uvedené v oficiálnom sprievodca).
Obrázok 2. Inštalácia Cisco ISE
2) Potom by ste mali vyplniť povinné polia ako IP adresa, DNS, NTP a iné.
Obrázok 3. Inicializácia Cisco ISE
3) Potom sa zariadenie reštartuje a budete sa môcť pripojiť cez webové rozhranie pomocou predtým zadanej adresy IP.
Obrázok 4. Webové rozhranie Cisco ISE
4) Na karte Správa > Systém > Nasadenie môžete vybrať, ktoré uzly (entity) sú povolené na konkrétnom zariadení. Tu je povolený uzol PxGrid.
Obrázok 5. Správa entít Cisco ISE
5) Potom v tab Správa > Systém > Správcovský prístup >Overovanie Odporúčam nastaviť politiku hesiel, spôsob autentifikácie (certifikát alebo heslo), dátum vypršania platnosti účtu a ďalšie nastavenia.
Obrázok 6. Nastavenie typu autentifikácieObrázok 7. Nastavenia politiky hesielObrázok 8. Nastavenie vypnutia účtu po uplynutí časuObrázok 9. Nastavenie uzamknutia účtu
6) Na karte Správa > Systém > Správcovský prístup > Správcovia > Správcovskí používatelia > Pridať môžete vytvoriť nového správcu.
Obrázok 10. Vytvorenie lokálneho správcu Cisco ISE
7) Nový administrátor môže byť súčasťou novej skupiny alebo už preddefinovaných skupín. Skupiny správcov sa spravujú na rovnakom paneli na karte Správcovské skupiny. Tabuľka 2 sumarizuje informácie o administrátoroch ISE, ich právach a rolách.
Tabuľka 2. Skupiny administrátorov Cisco ISE, úrovne prístupu, povolenia a obmedzenia
Názov skupiny administrátorov
dovolenia
Obmedzenie
Správca prispôsobenia
Nastavenie hosťovských a sponzorských portálov, administrácia a prispôsobenie
Nemožnosť zmeniť zásady alebo zobraziť prehľady
Administrátor helpdesku
Schopnosť zobraziť hlavný panel, všetky správy, alarmy a toky na riešenie problémov
Hlásenia, alarmy a protokoly overovania nemôžete meniť, vytvárať ani odstraňovať
Správca identity
Správa používateľov, privilégií a rolí, možnosť prezerania protokolov, správ a alarmov
Nemôžete meniť politiky ani vykonávať úlohy na úrovni OS
Správca MnT
Plné monitorovanie, správy, alarmy, protokoly a ich správa
Neschopnosť zmeniť akúkoľvek politiku
Správca sieťového zariadenia
Práva vytvárať a meniť ISE objekty, prezerať denníky, zostavy, hlavný dashboard
Nemôžete meniť politiky ani vykonávať úlohy na úrovni OS
Správca pravidiel
Úplná správa všetkých politík, zmena profilov, nastavení, prezeranie prehľadov
Nemožnosť vykonať nastavenia s povereniami, objektmi ISE
Správca RBAC
Všetky nastavenia na karte Operácie, nastavenia politiky ANC, správa výkazov
Nemôžete meniť politiky okrem ANC ani vykonávať úlohy na úrovni OS
Superadministrátor
Práva na všetky nastavenia, prehľady a správu, môžu mazať a meniť prihlasovacie údaje správcu
Nedá sa zmeniť, odstráňte iný profil zo skupiny Super Admin
Systémový administrátor
Všetky nastavenia na karte Operácie, správa nastavení systému, politika ANC, prezeranie správ
Nemôžete meniť politiky okrem ANC ani vykonávať úlohy na úrovni OS
Správca externých služieb RESTful Services (ERS).
Úplný prístup k Cisco ISE REST API
Len na autorizáciu, správu miestnych používateľov, hostiteľov a bezpečnostných skupín (SG)
Externý operátor RESTful Services (ERS).
Povolenia na čítanie rozhrania Cisco ISE REST API
Len na autorizáciu, správu miestnych používateľov, hostiteľov a bezpečnostných skupín (SG)
Obrázok 11. Preddefinované skupiny administrátorov Cisco ISE
8) Voliteľné v záložke Autorizácia > Povolenia > Politika RBAC Môžete upraviť práva preddefinovaných správcov.
Obrázok 12. Správa prednastavených práv profilu správcu Cisco ISE
9) Na karte Správa > Systém > NastaveniaDostupné sú všetky systémové nastavenia (DNS, NTP, SMTP a iné). Tu ich môžete vyplniť, ak ste ich nestihli pri úvodnej inicializácii zariadenia.
5. záver
Týmto sa končí prvý článok. Diskutovali sme o efektivite riešenia Cisco ISE NAC, jeho architektúre, minimálnych požiadavkách a možnostiach nasadenia a prvotnej inštalácii.
V ďalšom článku sa pozrieme na vytváranie účtov, integráciu s Microsoft Active Directory a vytváranie prístupu pre hostí.
Ak máte otázky k tejto téme alebo potrebujete pomoc s testovaním produktu, kontaktujte nás odkaz.