1. Hyrje
Çdo kompani, qoftë edhe më e vogla, ka nevojë për vërtetim, autorizim dhe kontabilitet të përdoruesit (familja e protokolleve AAA). Në fazën fillestare, AAA zbatohet mjaft mirë duke përdorur protokolle si RADIUS, TACACS+ dhe DIAMETER. Sidoqoftë, me rritjen e numrit të përdoruesve dhe kompanisë, rritet edhe numri i detyrave: dukshmëria maksimale e hosteve dhe pajisjeve BYOD, vërtetimi me shumë faktorë, krijimi i një politike aksesi me shumë nivele dhe shumë më tepër.
Për detyra të tilla, klasa e zgjidhjeve NAC (Network Access Control) është e përsosur - kontrolli i hyrjes në rrjet. Në një seri artikujsh kushtuar (Identity Services Engine) - Zgjidhja NAC për ofrimin e kontrollit të aksesit të vetëdijshëm për kontekstin për përdoruesit në rrjetin e brendshëm, ne do të hedhim një vështrim të detajuar në arkitekturën, sigurimin, konfigurimin dhe licencimin e zgjidhjes.
Më lejoni t'ju kujtoj shkurtimisht se Cisco ISE ju lejon të:
-
Krijoni shpejt dhe me lehtësi akses për mysafirët në një WLAN të dedikuar;
-
Zbulimi i pajisjeve BYOD (për shembull, kompjuterët e shtëpisë së punonjësve që ata sollën në punë);
-
Përqendroni dhe zbatoni politikat e sigurisë në të gjithë përdoruesit e domenit dhe jo-domenit duke përdorur etiketat e grupeve të sigurisë SGT );
-
Kontrolloni kompjuterët për softuer të caktuar të instaluar dhe përputhshmëri me standardet (posturing);
-
Klasifikimi dhe profili i pajisjeve të pikës fundore dhe rrjetit;
-
Siguroni dukshmëri të pikës fundore;
-
Dërgoni regjistrat e ngjarjeve të hyrjes/daljes së përdoruesve, llogaritë e tyre (identitetin) te NGFW për të formuar një politikë të bazuar në përdorues;
-
Integroni në mënyrë të pavarur me Cisco StealthWatch dhe karantinoni hostet e dyshimtë të përfshirë në incidente sigurie ();
-
Dhe veçori të tjera standarde për serverët AAA.
Kolegët në industri kanë shkruar tashmë për Cisco ISE, kështu që ju këshilloj të lexoni: ,.
2. arkitekturë
Arkitektura e Motorit të Shërbimeve të Identitetit ka 4 entitete (nyje): një nyje menaxhimi (Nyja e Administrimit të Politikës), një nyje e shpërndarjes së politikave (Nyja e Shërbimit të Politikës), një nyje monitorimi (Nyja e monitorimit) dhe një nyje PxGrid (Nyja PxGrid). Cisco ISE mund të jetë në një instalim të pavarur ose të shpërndarë. Në versionin Standalone, të gjitha entitetet janë të vendosura në një makinë virtuale ose server fizik (Secure Network Servers - SNS), ndërsa në versionin Distributed, nyjet shpërndahen nëpër pajisje të ndryshme.
Nyja e Administrimit të Politikave (PAN) është një nyje e nevojshme që ju lejon të kryeni të gjitha operacionet administrative në Cisco ISE. Ai trajton të gjitha konfigurimet e sistemit që lidhen me AAA. Në një konfigurim të shpërndarë (nyjet mund të instalohen si makineri virtuale të veçanta), mund të keni maksimum dy PAN për tolerancën e gabimeve - Modaliteti Active/Standby.
Nyja e Shërbimit të Politikave (PSN) është një nyje e detyrueshme që ofron akses në rrjet, gjendjen, aksesin e mysafirëve, ofrimin e shërbimit të klientit dhe profilizimin. PSN vlerëson politikën dhe e zbaton atë. Në mënyrë tipike, instalohen shumë PSN, veçanërisht në një konfigurim të shpërndarë, për funksionim më të tepërt dhe të shpërndarë. Sigurisht, ata përpiqen t'i instalojnë këto nyje në segmente të ndryshme në mënyrë që të mos humbasin aftësinë për të siguruar akses të vërtetuar dhe të autorizuar për një sekondë.
Nyja e monitorimit (MnT) është një nyje e detyrueshme që ruan regjistrat e ngjarjeve, regjistrat e nyjeve të tjera dhe politikat në rrjet. Nyja MnT ofron mjete të avancuara për monitorimin dhe zgjidhjen e problemeve, mbledh dhe ndërlidh të dhëna të ndryshme dhe gjithashtu ofron raporte kuptimplote. Cisco ISE ju lejon të keni një maksimum prej dy nyjeve MnT, duke krijuar kështu tolerancën e gabimeve - modaliteti aktiv/gatishmëri. Sidoqoftë, regjistrat mblidhen nga të dy nyjet, aktive dhe pasive.
Nyja PxGrid (PXG) është një nyje që përdor protokollin PxGrid dhe lejon komunikimin midis pajisjeve të tjera që mbështesin PxGrid.
— një protokoll që siguron integrimin e produkteve të infrastrukturës së IT dhe sigurisë së informacionit nga shitës të ndryshëm: sistemet e monitorimit, sistemet e zbulimit dhe parandalimit të ndërhyrjeve, platformat e menaxhimit të politikave të sigurisë dhe shumë zgjidhje të tjera. Cisco PxGrid ju lejon të ndani kontekstin në një mënyrë të njëanshme ose të dyanshme me shumë platforma pa pasur nevojë për API, duke mundësuar kështu teknologjinë (etiketat SGT), ndryshoni dhe zbatoni politikën ANC (Adaptive Network Control), si dhe kryeni profilizimin - përcaktimin e modelit të pajisjes, OS, vendndodhjen dhe më shumë.
Në një konfigurim me disponueshmëri të lartë, nyjet PxGrid përsërisin informacionin midis nyjeve mbi një PAN. Nëse PAN është i çaktivizuar, nyja PxGrid ndalon autentifikimin, autorizimin dhe llogaritjen e përdoruesve.
Më poshtë është një paraqitje skematike e funksionimit të entiteteve të ndryshme Cisco ISE në një rrjet të korporatës.
Figura 1. Arkitektura Cisco ISE
3. Kërkesat
Cisco ISE mund të zbatohet, si shumica e zgjidhjeve moderne, virtualisht ose fizikisht si një server i veçantë.
Pajisjet fizike që përdorin softuerin Cisco ISE quhen SNS (Secure Network Server). Ato vijnë në tre modele: SNS-3615, SNS-3655 dhe SNS-3695 për bizneset e vogla, të mesme dhe të mëdha. Tabela 1 tregon informacionin nga SNS.
Tabela 1. Tabela krahasuese e SNS për shkallë të ndryshme
Parametër
SNS 3615 (i vogël)
SNS 3655 (Mesatar)
SNS 3695 (i madh)
Numri i pikave fundore të mbështetura në një instalim të pavarur
10000
25000
50000
Numri i pikave fundore të mbështetura për PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 bërthama
12 bërthama
12 bërthama
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Bastisja e pajisjeve
Jo
RAID 10, prania e kontrolluesit RAID
RAID 10, prania e kontrolluesit RAID
Ndërfaqet e rrjetit
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
2 x 10 Gbase-T
4 x 1 Gbase-T
Lidhur me implementimet virtuale, hipervizorët e mbështetur janë VMware ESXi (rekomandohet versioni minimal 11 i VMware për ESXi 6.0), Microsoft Hyper-V dhe Linux KVM (RHEL 7.0). Burimet duhet të jenë afërsisht të njëjta si në tabelën e mësipërme, ose më shumë. Megjithatë, kërkesat minimale për një makinë virtuale të biznesit të vogël janë: 2 CPU me një frekuencë prej 2.0 GHz dhe më të lartë, 16 GB RAM и 200 GB HDD
Për detaje të tjera të vendosjes së Cisco ISE, ju lutemi kontaktoni ose te , .
4. Instalimi
Ashtu si shumica e produkteve të tjera Cisco, ISE mund të testohet në disa mënyra:
-
– shërbimi cloud i paraqitjeve laboratorike të para-instaluara (kërkohet llogaria Cisco);
-
– kërkesë nga Cisco i programeve të caktuara (metodë për partnerët). Ju krijoni një rast me përshkrimin tipik vijues: Lloji i produktit [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— kontaktoni çdo partner të autorizuar për të kryer një projekt pilot falas.
1) Pas krijimit të një makinerie virtuale, nëse keni kërkuar një skedar ISO dhe jo një shabllon OVA, do të shfaqet një dritare në të cilën ISE kërkon që ju të zgjidhni një instalim. Për ta bërë këtë, në vend të hyrjes dhe fjalëkalimit, duhet të shkruani "Setup“!
Shenim: nëse keni vendosur ISE nga shablloni OVA, atëherë detajet e hyrjes admin/MyIseYPass2 (kjo dhe shumë më tepër tregohet në zyrtar ).
Figura 2. Instalimi i Cisco ISE
2) Më pas duhet të plotësoni fushat e kërkuara si adresa IP, DNS, NTP dhe të tjera.
Figura 3. Inicializimi i Cisco ISE
3) Pas kësaj, pajisja do të rindizet dhe ju do të jeni në gjendje të lidheni përmes ndërfaqes në internet duke përdorur adresën IP të specifikuar më parë.
Figura 4. Ndërfaqja e internetit Cisco ISE
4) Në skedën Administrimi > Sistemi > Vendosja ju mund të zgjidhni cilat nyje (entitete) janë të aktivizuara në një pajisje të caktuar. Nyja PxGrid është aktivizuar këtu.
Figura 5. Menaxhimi i Entitetit Cisco ISE
5) Pastaj në skedën Administrata > Sistemi > Qasja e administratorit > Vërtetim Unë rekomandoj konfigurimin e një politike fjalëkalimi, metodën e vërtetimit (certifikatë ose fjalëkalim), datën e skadimit të llogarisë dhe cilësime të tjera.
Figura 6. Cilësimi i llojit të vërtetimitFigura 7. Cilësimet e politikës së fjalëkalimitFigura 8. Vendosja e mbylljes së llogarisë pas skadimit të kohësFigura 9. Vendosja e kyçjes së llogarisë
6) Në skedën Administrata > Sistemi > Qasja në administrator > Administratorët > Përdoruesit e administratorit > Shto mund të krijoni një administrator të ri.
Figura 10. Krijimi i një administratori lokal Cisco ISE
7) Administratori i ri mund të bëhet pjesë e një grupi të ri ose grupeve tashmë të paracaktuara. Grupet e administratorëve menaxhohen në të njëjtin panel në skedën Grupet e Administratorëve. Tabela 2 përmbledh informacionin rreth administratorëve të ISE-së, të drejtat dhe rolet e tyre.
Tabela 2. Grupet e Administratorëve Cisco ISE, Nivelet e Aksesit, Lejet dhe Kufizimet
Emri i grupit të administratorit
Lejet
Kufizimet
Përshtatje Admin
Krijimi i portaleve të miqve dhe sponsorizimeve, administrimi dhe personalizimi
Pamundësia për të ndryshuar politikat ose për të parë raportet
Administratori i Helpdesk
Aftësia për të parë pultin kryesor, të gjitha raportet, alarmet dhe transmetimet e zgjidhjes së problemeve
Ju nuk mund të ndryshoni, krijoni ose fshini raportet, alarmet dhe regjistrat e vërtetimit
Admin Identiteti
Menaxhimi i përdoruesve, privilegjet dhe rolet, aftësia për të parë regjistrat, raportet dhe alarmet
Ju nuk mund të ndryshoni politika ose të kryeni detyra në nivelin e OS
MnT Admin
Monitorim i plotë, raporte, alarme, regjistra dhe menaxhimi i tyre
Pamundësia për të ndryshuar ndonjë politikë
Administratori i pajisjes së rrjetit
Të drejtat për të krijuar dhe ndryshuar objekte ISE, për të parë regjistrat, raportet, panelin kryesor
Ju nuk mund të ndryshoni politika ose të kryeni detyra në nivelin e OS
Administratori i politikës
Menaxhimi i plotë i të gjitha politikave, ndryshimi i profileve, cilësimet, shikimi i raporteve
Pamundësia për të kryer cilësimet me kredencialet, objektet ISE
Administratori i RBAC
Të gjitha cilësimet në skedën Operacionet, cilësimet e politikave ANC, menaxhimi i raportimit
Ju nuk mund të ndryshoni politika të tjera përveç ANC ose të kryeni detyra në nivelin e OS
super Admin
Të drejtat për të gjitha cilësimet, raportimin dhe menaxhimin, mund të fshijnë dhe ndryshojnë kredencialet e administratorit
Nuk mund të ndryshohet, fshihet një profil tjetër nga grupi Super Admin
Administrimi i sistemit
Të gjitha cilësimet në skedën Operacionet, menaxhimi i cilësimeve të sistemit, politika ANC, shikimi i raporteve
Ju nuk mund të ndryshoni politika të tjera përveç ANC ose të kryeni detyra në nivelin e OS
Administratori i Shërbimeve të Jashtme RESTful (ERS).
Qasje e plotë në Cisco ISE REST API
Vetëm për autorizimin, menaxhimin e përdoruesve lokalë, hosteve dhe grupeve të sigurisë (SG)
Operatori i Shërbimeve të Jashtme RESTful (ERS).
Lejet e leximit të Cisco ISE REST API
Vetëm për autorizimin, menaxhimin e përdoruesve lokalë, hosteve dhe grupeve të sigurisë (SG)
Figura 11. Grupet e administratorëve të paracaktuar të Cisco ISE
8) Opsionale në skedën Autorizim > Lejet > Politika RBAC Ju mund të modifikoni të drejtat e administratorëve të paracaktuar.
Figura 12. Menaxhimi i të drejtave të profilit të paracaktuar të administratorit të Cisco ISE
9) Në skedën Administrimi > Sistemi > Cilësimet Të gjitha cilësimet e sistemit janë të disponueshme (DNS, NTP, SMTP dhe të tjerët). Mund t'i plotësoni këtu nëse i keni humbur gjatë inicializimit fillestar të pajisjes.
5. përfundim
Kështu përfundon artikulli i parë. Ne diskutuam efektivitetin e zgjidhjes Cisco ISE NAC, arkitekturën e saj, kërkesat minimale dhe opsionet e vendosjes dhe instalimin fillestar.
Në artikullin vijues, do të shikojmë krijimin e llogarive, integrimin me Microsoft Active Directory dhe krijimin e aksesit të mysafirëve.
Nëse keni pyetje në lidhje me këtë temë ose keni nevojë për ndihmë për testimin e produktit, ju lutemi kontaktoni .
Qëndroni të sintonizuar për përditësimet në kanalet tona (, , , , ).
Burimi: www.habr.com