1. Horudhac
Shirkad kasta, xitaa tan ugu yar, waxay u baahan tahay xaqiijin, oggolaansho iyo xisaabinta isticmaale (AAAA qoyska borotokoolka). Marxaladda hore, AAA si fiican ayaa loo hirgeliyey iyadoo la adeegsanayo borotokoolka sida RADIUS, TACACS+ iyo DIAMETER. Si kastaba ha noqotee, marka tirada isticmaaleyaasha iyo shirkadu ay koraan, tirada hawluhu sidoo kale way koraan: muuqaalka ugu sarreeya ee martigeliyayaasha iyo aaladaha BYOD, xaqiijinta arrimo badan, abuurista siyaasad gelitaanka heerar badan iyo wax ka badan.
Hawlahan oo kale, NAC (Network Access Control) ee fasalka xalalku waa kaamil - kantaroolka gelitaanka shabakada. Maqaallo taxane ah oo loogu talagalay (Mashiinka Adeegyada Aqoonsiga) - Xalka NAC ee bixinta kontoroolka gelitaanka macnaha guud ee isticmaalayaasha shabakada gudaha, waxaanu si faahfaahsan u eegi doonaa qaab dhismeedka, bixinta, qaabaynta iyo shatiga xalka.
Aan si kooban kuu xasuusiyo in Cisco ISE ay kuu ogolaato:
-
Si dhakhso leh oo fudud u abuur gelitaanka martida WLAN go'an;
-
Soo ogow aaladaha BYOD (tusaale ahaan, PC-yada guriga shaqaalaha ee ay shaqada keeneen);
-
Dhexee oo dhaqan geli siyaasadaha amniga guud ahaan isticmaalayaasha domainka iyo kuwa aan domainka ahayn iyadoo la isticmaalayo summada kooxda amniga SGT );
-
Ka hubi kombuyuutarrada qaar ka mid ah software rakibay iyo u hoggaansanaanta heerarka ( dhajinta);
-
Kala saar oo soo bandhig barta dhamaadka iyo aaladaha shabakada;
-
Bixi aragtida barta dhamaadka;
-
U dir diiwaanka dhacdooyinka ee logon/goff ee isticmaalayaasha, akoonadooda (aqoonsigooda) NGFW si ay u sameeyaan siyaasad ku saleysan isticmaale;
-
Ku biir si dhalasho ahaan ah Cisco StealthWatch oo karantiil martigaliyayaasha tuhunka leh ee ku lug leh shilalka amniga);
-
Iyo sifooyinka kale ee caadiga ah ee server-yada AAA.
Asxaabta warshadaha ayaa horay wax uga qoray Cisco ISE, marka waxaan kugula talinayaa inaad akhrido: ,.
2. Dhismaha
Nashqada Injineerka Adeegyada Aqoonsiga waxa uu leeyahay 4 hay'adood (nodes): noodhka maaraynta (Maamulka Siyaasadda), noodhka qaybinta siyaasadda (Node Adeegga Siyaasadda), noodhka la socodka (Monitoring Node) iyo PxGrid noode (PxGrid Node). Cisco ISE waxay ku jiri kartaa rakibid gooni ah ama qaybsan. Nooca Standalone, dhammaan hay'adaha waxay ku yaalliin hal mashiinka farsamada ama server-ka jirka ah (Secure Network Servers - SNS), halka nooca loo qaybiyay, noodhadhka loo qaybiyay qalabyo kala duwan.
Nidaamka Maamulka Nidaamka (PAN) waa noodhka loo baahan yahay kaas oo kuu ogolaanaya inaad ku qabato dhammaan hawlaha maamulka ee Cisco ISE. Waxay maamushaa dhammaan habaynta nidaamka ee la xidhiidha AAA. Qaabaynta la qaybiyey (nodes waxaa lagu rakibi karaa mashiinno farsamo oo kala duwan), waxaad yeelan kartaa ugu badnaan laba PAN-yada loogu talagalay dulqaadka qaladka - Qaabka Firfircoon/Sandby.
Nidaamka Adeegga Node (PSN) waa nood qasab ah oo bixisa marin u helka shabakadda, gobolka, gelitaanka martida, bixinta adeegga macmiilka, iyo xog-ururinta. PSN waxay qiimeysaa siyaasadda oo ay ku dabbaqataa. Caadi ahaan, PSN-yo badan ayaa lagu rakibay, gaar ahaan qaabaynta la qaybiyay, si loo kordhiyo hawl-gal la qaybiyo. Dabcan, waxay isku dayaan in ay ku rakibaan noodhadhkan qaybo kala duwan si aysan u lumin awoodda ay ku bixiyaan helitaanka la xaqiijiyay iyo ogolaanshaha ilbiriqsi.
Korjoogteynta Node (MnT) waa noodhka khasabka ah ee kaydiya diiwaannada dhacdooyinka, logyada noodhadhka kale iyo siyaasadaha shabakada. Noodka MnT wuxuu bixiyaa qalab horumarsan oo loogu talagalay la socodka iyo cilad-baadhista, ururinta iyo ururinta xog kala duwan, iyo sidoo kale waxay bixisaa warbixinno macno leh. Cisco ISE waxay kuu ogolaanaysaa inaad haysato ugu badnaan laba nood oo MnT ah, si ay u abuurto dulqaadka khaladka - Active/Stadby mode. Si kastaba ha ahaatee, lo'da waxaa lagu ururiyaa labada noodes, labadaba firfircoon iyo kuwa dadban.
PxGrid Node (PXG) waa noode adeegsata borotokoolka PxGrid oo u oggolaanaya xidhiidhka ka dhexeeya aaladaha kale ee taageera PxGrid.
- hab-maamuus hubinaya is-dhexgalka IT iyo agabka kaabayaasha amniga macluumaadka ee iibiyayaal kala duwan: nidaamyada kormeerka, ogaanshaha iyo nidaamyada ka hortagga, nidaamyada maaraynta siyaasadda amniga iyo xalal kale oo badan. Cisco PxGrid waxa ay ku ogolanaysaa in aad la wadaagto macnaha guud ee jihayn ama hab laba jiho ah oo aad la wadaagto goobo badan iyada oo aan loo baahnayn API-yada, taas oo awood u siinaysa tignoolajiyada (SGT tags), beddel oo dabaq siyaasadda ANC (Adaptive Network Control), iyo sidoo kale fulinta sifaynta - go'aaminta qaabka qalabka, OS, goobta, iyo in ka badan.
Qaabaynta helitaanka sare, qanjidhada PxGrid waxay ku celceliyaan macluumaadka u dhexeeya noodhka PAN. Haddii PAN uu naafo yahay, noodhka PxGrid wuxuu joojiyaa xaqiijinta, oggolaanshaha, iyo xisaabinta isticmaalayaasha.
Hoos waxaa ku yaal matalaad naqshadeed oo ku saabsan hawlgalka hay'adaha Cisco ISE ee kala duwan ee shabakad shirkadeed.
Jaantuska 1. Cisco ISE Architecture
3. Shuruudaha
Cisco ISE waa la hirgelin karaa, sida xalalka casriga badankooda, si dhab ah ama jidh ahaan server gooni ah.
Aaladaha jireed ee ku shaqeeya software Cisco ISE waxaa loo yaqaan SNS (Secure Network Server). Waxay ku yimaadaan saddex nooc: SNS-3615, SNS-3655 iyo SNS-3695 ganacsiyada yaryar, kuwa dhexe iyo kuwa waaweyn. Shaxda 1 waxay muujinaysaa macluumaadka SNS.
Shaxda 1. Isbarbardhigga shaxda SNS ee miisaanyo kala duwan
Xildhibaan
SNS 3615 (yar)
SNS 3655 ( Dhexdhexaad )
SNS 3695 (weyn)
Tirada bar-dhamaadka la taageeray ee rakibaadda kali ah
10000
25000
50000
Tirada dhibcaha dhamaadka PSN ee la taageeray
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 geesood
12 geesood
12 geesood
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hardware RAID
No
RAID 10, joogitaanka kontaroolaha RAID
RAID 10, joogitaanka kontaroolaha RAID
Xargaha shabakada
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Marka laga hadlayo hirgelinta farsamada, kor-u-qaadayaasha la taageeray waa VMware ESXi (nooca VMware ugu yar 11 ee ESXi 6.0 ayaa lagula talinayaa), Microsoft Hyper-V iyo Linux KVM (RHEL 7.0). Khayraadka waa in ay la mid noqdaan shaxda sare, ama ka badan. Si kastaba ha ahaatee, shuruudaha ugu yar ee mashiinka farsamada ganacsiga yar waa: 2 CPU inta jeer ee 2.0 GHz iyo ka badan, 16 GB RAM ΠΈ 200 GB HDD
Faahfaahinta kale ee meelaynta Cisco ISE, fadlan la xidhiidh ama ku , .
4. Rakibaadda
Sida badeecadaha kale ee Cisco, ISE waxaa lagu tijaabin karaa dhowr siyaabood:
-
- adeegga daruuriga ah ee qaababka shaybaarka ee horay loo rakibay (Akoonka Cisco ayaa loo baahan yahay);
-
- codsi ka yimid Cisco ee software gaar ah (habka wada-hawlgalayaasha). Waxaad u abuurtaa kiis sifaynta caadiga ah ee soo socota: Nooca badeecada [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- la xidhiidh lamaane kasta oo idman si uu u qabto mashruuc tijaabo ah oo bilaash ah.
1) Kadib markaad abuurto mashiinka farsamada, haddii aad codsatay faylka ISO oo aan ahayn qaabka OVA, daaqad ayaa soo bixi doonta taas oo ISE ay kaaga baahan tahay inaad doorato rakibo. Si tan loo sameeyo, halkii aad geli lahayd iyo eraygaaga sirta ah, waa inaad qortaa "Mudanayaashaβ!
Fiiro gaar ah: Haddii aad ka soo dejisay ISE template OVA, ka dibna faahfaahinta gelitaanka admin/MyIseYPass2 (tan iyo wax ka badan ayaa lagu tilmaamay rasmiga ah ).
Jaantuska 2. Ku rakibida Cisco ISE
2) Markaa waa inaad buuxisaa meelaha loo baahan yahay sida IP address, DNS, NTP iyo kuwa kale.
Jaantuska 3. Bilawga Cisco ISE
3) Intaa ka dib, qalabku dib ayuu u bilaabi doonaa, oo waxaad awoodi doontaa inaad ku xirto shabakada internetka adoo isticmaalaya cinwaanka IP-ga ee hore loo cayimay.
Jaantus 4. Cisco ISE Web Interface
4) In tab Maamulka> Nidaamka> Hawlgelinta waxaad dooran kartaa noodeyada (hay'adaha) ee ku shaqeeya qalab gaar ah. Noodka PxGrid waa la furay halkan
Jaantus 5. Maamulka Hay'adda Cisco ISE
5) Ka dibna tabka Maamulka> Nidaamka> Helitaanka Maamulka> HUBINTA Waxaan ku talinayaa in la dejiyo siyaasadda sirta ah, habka xaqiijinta (shahaadada ama erayga sirta ah), taariikhda uu dhacayo akoontiga, iyo dejinta kale.
Jaantus 6. Qaabaynta nooca xaqiijintaJaantus 7. Habaynta siyaasadda sirta ahJaantuska 8. Dejinta xidhitaanka akoontiga ka dib markuu wakhtigu dhacoJaantuska 9. Dejinta qufulka akoonka
6) In tab Maamulka> Nidaamka> Helitaanka Maamulka> Maamulayaasha> Isticmaalayaasha Maamulka> Ku dar waxaad abuuri kartaa maamule cusub.
Jaantuska 10. Abuuritaanka Maamulaha Cisco ISE Local
7) Maamulaha cusub waxaa laga dhigi karaa qayb ka mid ah koox cusub ama kooxo horay loo sii qeexay. Kooxaha maamulka waxa lagu maamulaa isla gole ku jira tab Kooxaha Maamulka Shaxda 2 ayaa soo koobaysa macluumaadka ku saabsan maamulayaasha ISE, xuquuqdooda iyo doorarkooda.
Shaxda 2. Kooxaha Maamulka Cisco ISE, Heerarka Helitaanka, Oggolaanshaha, iyo Xaddidaadaha
Magaca kooxda maamulka
Oggolaanshaha
Xaddidaadda
Maamulaha habaynta
Dejinta goobaha martida iyo kafaala-qaadka, maamulka iyo habaynta
Awood la'aanta in la beddelo siyaasadaha ama la eego warbixinnada
Helpdesk Admin
Awoodda lagu daawado dashboardka ugu muhiimsan, dhammaan warbixinnada, larms iyo durdurrada cillad-bixinta
Ma beddeli kartid, ma abuuri kartid ama ma tirtiri kartid warbixinnada, alaarmiga iyo diiwaannada xaqiijinta
Identity Admin
Maareynta isticmaalayaasha, mudnaanta iyo doorarka, awoodda lagu arko diiwaannada, warbixinnada iyo digniinaha
Ma beddeli kartid siyaasadaha ama ma qaban kartid hawlaha heerka OS
MnT Admin
Kormeer buuxa, warbixino, qaylo-dhaan, qoraallo iyo maamulkooda
Awood la'aanta in la beddelo siyaasad kasta
Maamulaha Aaladda Shabakadda
Xuquuqda abuurista iyo bedelida shayada ISE, fiiri qoraalada, warbixinada, dashboardka ugu muhiimsan
Ma beddeli kartid siyaasadaha ama ma qaban kartid hawlaha heerka OS
Siyaasadda Maamulka
Maamulka buuxa ee dhammaan siyaasadaha, beddelka profiles, dejinta, warbixinaha daawashada
Awood la'aanta in lagu sameeyo dejinta shahaadooyinka, walxaha ISE
Maamulka RBAC
Dhammaan goobaha ku jira tab Operations, dejinta siyaasadda ANC, maamulka warbixinta
Ma beddeli kartid siyaasado aan ahayn ANC ama ma qaban kartid hawlo heerka OS ah
Super Admin
Xuquuqda dhammaan goobaha, warbixinta iyo maamulka, waxay tirtiri karaan oo beddeli karaan aqoonsiga maamulaha
Lama beddeli karo, tirtir astaanta kale ee kooxda Super Admin
System Admin
Dhammaan goobaha ku jira tab Operations, maamulka habaynta nidaamka, siyaasadda ANC, warbixinaha daawashada
Ma beddeli kartid siyaasado aan ahayn ANC ama ma qaban kartid hawlo heerka OS ah
Adeegyada Nasashada ee Dibadda (ERS) Admin
Helitaanka buuxda ee Cisco ISE REST API
Kaliya waxa loogu talagalay oggolaanshaha, maamulka isticmaalayaasha maxalliga ah, martigeliyayaasha iyo kooxaha amniga (SG)
Hawlwadeenka Adeegyada Nasashada ee Dibadda (ERS).
Cisco ISE REST API Ogolaanshaha Akhriska
Kaliya waxa loogu talagalay oggolaanshaha, maamulka isticmaalayaasha maxalliga ah, martigeliyayaasha iyo kooxaha amniga (SG)
Jaantus 11. Kooxaha Maamulka Cisco ISE ee horay loo sii qeexay
8) Ikhtiyaar ah in tab Oggolaanshaha> Ogolaanshaha> Siyaasadda RBAC Waxaad wax ka beddeli kartaa xuquuqda maamulayaasha horay loo sii qeexay.
Jaantus 12. Maamulka Cisco ISE Horudhac Maaraynta Xuquuqda Profile
9) In tab Maamulka> Nidaamka> Goobaha Dhammaan goobaha nidaamka waa la heli karaa (DNS, NTP, SMTP iyo kuwa kale). Waxaad ku buuxin kartaa halkan haddii aad wayday intii lagu jiray bilawga qalabaynta.
5. Gunaanad
Tani waxay ku soo gabagabaynaysaa maqaalkii ugu horeeyay. Waxaan ka wada hadalnay waxtarka xalka Sisiko ISE NAC, qaabdhismeedkiisa, shuruudaha ugu yar iyo xulashooyinka geynta, iyo rakibida bilowga ah.
Maqaalka soo socda, waxaan eegi doonaa abuurista akoonnada, ku biirinta Hagaha Firfircoon ee Microsoft, iyo abuurista gelitaanka martida.
Haddii aad hayso su'aalo ku saabsan mawduucan ama aad u baahan tahay caawimo tijaabinta alaabta, fadlan la xidhiidh .
la soco wixii ku soo kordha kanaaladayada (, , , , ).
Source: www.habr.com