1. Uvod
Vsako podjetje, tudi najmanjše, potrebuje avtentikacijo, avtorizacijo in obračunavanje uporabnikov (AAA družina protokolov). Na začetni stopnji je AAA precej dobro implementiran z uporabo protokolov, kot so RADIUS, TACACS+ in DIAMETER. Z rastjo števila uporabnikov in podjetja pa raste tudi število opravil: največja vidnost gostiteljev in BYOD naprav, večfaktorska avtentikacija, ustvarjanje večnivojske politike dostopa in še veliko več.
Za takšne naloge je kot nalašč primeren razred rešitev NAC (Network Access Control) – nadzor dostopa do omrežja. V seriji člankov, posvečenih (Identity Services Engine) - rešitev NAC za zagotavljanje kontekstno zaznavanega nadzora dostopa uporabnikom v internem omrežju, podrobno si bomo ogledali arhitekturo, zagotavljanje, konfiguracijo in licenciranje rešitve.
Naj vas na kratko spomnim, da vam Cisco ISE omogoča:
-
Hitro in preprosto ustvarite dostop za goste v namenskem WLAN-ju;
-
Zaznajte naprave BYOD (na primer domače osebne računalnike zaposlenih, ki so jih prinesli v službo);
-
Centralizirajte in uveljavljajte varnostne politike med domenskimi in nedomenskimi uporabniki z uporabo oznak varnostne skupine SGT );
-
Preverite računalnike glede nameščene določene programske opreme in skladnosti s standardi (postavljanje);
-
Klasificirati in profilirati končne točke in omrežne naprave;
-
Zagotovite vidnost končne točke;
-
Pošiljanje dnevnikov dogodkov prijave/odjave uporabnikov, njihovih računov (identitete) v NGFW, da se oblikuje pravilnik, ki temelji na uporabniku;
-
Izvorno integrirajte s Cisco StealthWatch in postavite v karanteno sumljive gostitelje, vpletene v varnostne incidente ();
-
In druge funkcije, standardne za strežnike AAA.
Kolegi v industriji so že pisali o Cisco ISE, zato vam svetujem, da preberete: ,.
2. Arhitektura
Arhitektura Identity Services Engine ima 4 entitete (vozlišča): upravljalno vozlišče (Policy Administration Node), vozlišče za distribucijo pravilnika (Policy Service Node), vozlišče za spremljanje (Monitoring Node) in vozlišče PxGrid (PxGrid Node). Cisco ISE je lahko v samostojni ali porazdeljeni namestitvi. V različici Standalone se vse entitete nahajajo na enem virtualnem stroju ali fizičnem strežniku (Secure Network Servers - SNS), medtem ko so v različici Distributed vozlišča razporejena po različnih napravah.
Vozlišče za upravljanje pravilnikov (PAN) je obvezno vozlišče, ki vam omogoča izvajanje vseh skrbniških operacij na Cisco ISE. Upravlja vse sistemske konfiguracije, povezane z AAA. V porazdeljeni konfiguraciji (vozlišča je mogoče namestiti kot ločene navidezne stroje) imate lahko največ dva PAN-ja za toleranco napak – aktivni/pripravljeni način.
Policy Service Node (PSN) je obvezno vozlišče, ki zagotavlja omrežni dostop, stanje, dostop za goste, zagotavljanje storitev odjemalca in profiliranje. PSN oceni politiko in jo uporabi. Običajno je nameščenih več PSN-jev, zlasti v porazdeljeni konfiguraciji, za bolj redundantno in porazdeljeno delovanje. Seveda poskušajo ta vozlišča namestiti v različne segmente, da ne bi niti za trenutek izgubili zmožnosti zagotavljanja overjenega in avtoriziranega dostopa.
Nadzorno vozlišče (MnT) je obvezno vozlišče, ki shranjuje dnevnike dogodkov, dnevnike drugih vozlišč in politike v omrežju. Vozlišče MnT ponuja napredna orodja za spremljanje in odpravljanje težav, zbira in povezuje različne podatke ter zagotavlja smiselna poročila. Cisco ISE vam omogoča, da imate največ dve vozlišči MnT, s čimer ustvarite toleranco za napake - aktivni/pripravljeni način. Vendar pa dnevnike zbirata obe vozlišči, tako aktivna kot pasivna.
Vozlišče PxGrid (PXG) je vozlišče, ki uporablja protokol PxGrid in omogoča komunikacijo med drugimi napravami, ki podpirajo PxGrid.
— protokol, ki zagotavlja integracijo infrastrukturnih izdelkov IT in informacijske varnosti različnih proizvajalcev: sistemi za spremljanje, sistemi za zaznavanje in preprečevanje vdorov, platforme za upravljanje varnostnih politik in številne druge rešitve. Cisco PxGrid vam omogoča enosmerno ali dvosmerno skupno rabo konteksta z mnogimi platformami brez potrebe po API-jih, kar omogoča uporabo tehnologije (oznake SGT), spreminjanje in uporaba pravilnika ANC (Adaptive Network Control) ter izvajanje profiliranja – določanje modela naprave, OS, lokacije itd.
V konfiguraciji z visoko razpoložljivostjo vozlišča PxGrid podvajajo informacije med vozlišči preko PAN. Če je PAN onemogočen, vozlišče PxGrid preneha preverjati pristnost, avtorizirati in obračunavati uporabnike.
Spodaj je shematski prikaz delovanja različnih entitet Cisco ISE v omrežju podjetja.
Slika 1. Arhitektura Cisco ISE
3. Zahteve
Cisco ISE je mogoče implementirati, tako kot večino sodobnih rešitev, virtualno ali fizično kot ločen strežnik.
Fizične naprave, ki uporabljajo programsko opremo Cisco ISE, se imenujejo SNS (Secure Network Server). Na voljo so v treh modelih: SNS-3615, SNS-3655 in SNS-3695 za mala, srednja in velika podjetja. Tabela 1 prikazuje podatke iz SNS.
Tabela 1. Primerjalna tabela SNS za različne lestvice
Parameter
SNS 3615 (majhen)
SNS 3655 (srednje)
SNS 3695 (velika)
Število podprtih končnih točk v samostojni namestitvi
10000
25000
50000
Število podprtih končnih točk na PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 jeder
12 jeder
12 jeder
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Strojna oprema RAID
Št
RAID 10, prisotnost krmilnika RAID
RAID 10, prisotnost krmilnika RAID
Omrežni vmesniki
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Kar zadeva virtualne izvedbe, so podprti hipervizorji VMware ESXi (priporočena je najmanj različica VMware 11 za ESXi 6.0), Microsoft Hyper-V in Linux KVM (RHEL 7.0). Viri naj bodo približno enaki kot v zgornji tabeli ali več. Vendar pa so minimalne zahteve za virtualni stroj za mala podjetja: CPU 2 s frekvenco 2.0 GHz in več, 16 GB RAM и 200 GB Trdi disk.
Za druge podrobnosti o uvajanju Cisco ISE se obrnite na ali do , .
4. Namestitev
Tako kot večino drugih izdelkov Cisco je tudi ISE mogoče testirati na več načinov:
-
– storitev v oblaku vnaprej nameščenih laboratorijskih postavitev (potreben Cisco račun);
-
– zahteva od Cisco določene programske opreme (način za partnerje). Ustvarite primer z naslednjim tipičnim opisom: vrsta izdelka [ISE], programska oprema ISE [ise-2.7.0.356.SPA.x8664], popravek ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— kontaktirajte katerega koli pooblaščenega partnerja za izvedbo brezplačnega pilotnega projekta.
1) Če ste po ustvarjanju virtualnega stroja zahtevali datoteko ISO in ne predloge OVA, se bo pojavilo okno, v katerem bo ISE zahteval, da izberete namestitev. Če želite to narediti, namesto prijave in gesla napišite »nastavitev"!
Opomba: če ste razmestili ISE iz predloge OVA, potem podrobnosti za prijavo admin/MyIseYPass2 (to in še veliko več je navedeno v uradnem ).
Slika 2. Namestitev Cisco ISE
2) Nato morate izpolniti zahtevana polja, kot so naslov IP, DNS, NTP in druga.
Slika 3. Inicializacija Cisco ISE
3) Po tem se bo naprava znova zagnala, vi pa se boste lahko povezali prek spletnega vmesnika z uporabo predhodno določenega naslova IP.
Slika 4. Spletni vmesnik Cisco ISE
4) V zavihku Skrbništvo > Sistem > Uvajanje lahko izberete, katera vozlišča (entitete) so omogočena na določeni napravi. Tukaj je omogočeno vozlišče PxGrid.
Slika 5. Cisco ISE Entity Management
5) Nato v zavihku Skrbništvo > Sistem > Skrbniški dostop > Preverjanje pristnosti Priporočam, da nastavite politiko gesel, način preverjanja pristnosti (certifikat ali geslo), datum poteka računa in druge nastavitve.
Slika 6. Nastavitev vrste avtentikacijeSlika 7. Nastavitve politike geselSlika 8. Nastavitev zaustavitve računa po preteku časaSlika 9. Nastavitev zaklepanja računa
6) V zavihku Skrbništvo > Sistem > Skrbniški dostop > Skrbniki > Skrbniški uporabniki > Dodaj lahko ustvarite novega skrbnika.
Slika 10. Ustvarjanje lokalnega skrbnika Cisco ISE
7) Nov skrbnik lahko postane del nove skupine ali že vnaprej določenih skupin. Skrbniške skupine se upravljajo na isti plošči v zavihku Skrbniške skupine. Tabela 2 povzema informacije o skrbnikih ISE, njihovih pravicah in vlogah.
Tabela 2. Skupine skrbnikov Cisco ISE, ravni dostopa, dovoljenja in omejitve
Ime skrbniške skupine
Dovoljenja
Omejitve
Administrator prilagajanja
Postavitev gostujočih in sponzorskih portalov, administracija in prilagajanje
Nezmožnost spreminjanja pravilnikov ali ogleda poročil
Skrbnik službe za pomoč uporabnikom
Možnost ogleda glavne nadzorne plošče, vseh poročil, alarmov in tokov za odpravljanje težav
Ne morete spreminjati, ustvarjati ali brisati poročil, alarmov in dnevnikov preverjanja pristnosti
Skrbnik identitete
Upravljanje uporabnikov, privilegijev in vlog, možnost ogleda dnevnikov, poročil in alarmov
Ne morete spreminjati pravilnikov ali izvajati nalog na ravni OS
MnT Admin
Popoln nadzor, poročila, alarmi, dnevniki in njihovo upravljanje
Nezmožnost spreminjanja politik
Skrbnik omrežne naprave
Pravice za ustvarjanje in spreminjanje objektov ISE, ogled dnevnikov, poročil, glavne nadzorne plošče
Ne morete spreminjati pravilnikov ali izvajati nalog na ravni OS
Skrbnik pravilnika
Popolno upravljanje vseh politik, spreminjanje profilov, nastavitev, ogled poročil
Nezmožnost izvajanja nastavitev s poverilnicami, predmeti ISE
RBAC Admin
Vse nastavitve v zavihku Operacije, nastavitve pravilnika ANC, upravljanje poročanja
Ne morete spremeniti drugih pravilnikov razen ANC ali izvajati nalog na ravni OS
Super Admin
Pravice do vseh nastavitev, poročanja in upravljanja, lahko izbrišete in spremenite skrbniške poverilnice
Ni mogoče spremeniti, izbrišite drug profil iz skupine Super Admin
Sistemski skrbnik
Vse nastavitve v zavihku Operacije, upravljanje sistemskih nastavitev, politika ANC, ogled poročil
Ne morete spremeniti drugih pravilnikov razen ANC ali izvajati nalog na ravni OS
Skrbnik zunanjih storitev RESTful (ERS).
Popoln dostop do Cisco ISE REST API
Samo za avtorizacijo, upravljanje lokalnih uporabnikov, gostiteljev in varnostnih skupin (SG)
Zunanji operater storitev RESTful (ERS).
Dovoljenja za branje Cisco ISE REST API
Samo za avtorizacijo, upravljanje lokalnih uporabnikov, gostiteljev in varnostnih skupin (SG)
Slika 11. Vnaprej določene skrbniške skupine Cisco ISE
8) Dodatki v zavihku Pooblastilo > Dovoljenja > Pravilnik RBAC Urejate lahko pravice vnaprej določenih skrbnikov.
Slika 12. Upravljanje pravic prednastavljenega profila Cisco ISE Administrator
9) V zavihku Skrbništvo > Sistem > Nastavitve Na voljo so vse sistemske nastavitve (DNS, NTP, SMTP in druge). Tukaj jih lahko izpolnite, če ste jih spregledali med prvo inicializacijo naprave.
5. Zaključek
S tem se zaključi prvi članek. Razpravljali smo o učinkovitosti rešitve Cisco ISE NAC, njeni arhitekturi, minimalnih zahtevah in možnostih uvedbe ter začetni namestitvi.
V naslednjem članku si bomo ogledali ustvarjanje računov, integracijo z Microsoft Active Directory in ustvarjanje dostopa za goste.
Če imate kakršna koli vprašanja o tej temi ali potrebujete pomoč pri testiranju izdelka, se obrnite na .
Spremljajte novosti na naših kanalih (, , , , ).
Vir: www.habr.com