Unggal perusahaan, bahkan anu pangleutikna, peryogi pikeun auténtikasi, otorisasi sareng akuntansi pangguna (kulawarga protokol AAA). Dina tahap awal, AAA cukup dilaksanakeun nganggo protokol sapertos RADIUS, TACACS + sareng DIAMETER. Nanging, nalika jumlah pangguna sareng perusahaan ningkat, jumlah tugas ogé ningkat: pisibilitas maksimal host sareng alat BYOD, auténtikasi multi-faktor, nyiptakeun kawijakan aksés multi-level sareng seueur deui.
Pikeun tugas sapertos kitu, NAC (Network Access Control) kelas solusi sampurna - network access control. Dina runtuyan artikel dedicated ka Cisco ISE (Identity Services Engine) - solusi NAC pikeun nyadiakeun kontrol aksés konteks-sadar pamaké dina jaringan internal, urang bakal nyandak katingal lengkep dina arsitektur, provisioning, konfigurasi jeung lisénsi solusi.
Hayu atuh sakeudeung ngingetan yén Cisco ISE ngidinan Anjeun pikeun:
Gancang jeung gampang nyieun aksés tamu dina WLAN dedicated;
Deteksi alat BYOD (contona, PC imah karyawan anu aranjeunna bawa ka tempat damel);
Sentralisasi sareng ngalaksanakeun kawijakan kaamanan dina domain sareng pangguna non-domain nganggo labél grup kaamanan SGT TrustSec);
Pariksa komputer pikeun software tangtu dipasang tur patuh kana standar (posturing);
Klasifikasi sareng profil titik tungtung sareng alat jaringan;
Nyadiakeun pisibilitas titik tungtung;
Kirim log acara tina logon/logoff pamaké, rekening maranéhanana (identitas) ka NGFW pikeun ngabentuk kawijakan dumasar-pamaké;
Ngahijikeun asli sareng Cisco StealthWatch sareng karantina host anu curiga anu kalibet dina insiden kaamanan (deui);
Arsitéktur Identity Services Engine boga 4 éntitas (titik): titik manajemén (Policy Administration Node), titik distribusi kawijakan (Policy Service Node), titik monitoring (Monitoring Node) sareng titik PxGrid (PxGrid Node). Cisco ISE tiasa dina instalasi mandiri atanapi disebarkeun. Dina versi Mandiri, sadaya éntitas aya dina hiji mesin virtual atanapi server fisik (Server Jaringan Aman - SNS), sedengkeun dina versi Distribusi, titik-titik disebarkeun ka sadaya alat anu béda.
Kawijakan Administrasi titik (PAN) mangrupakeun titik diperlukeun nu ngidinan Anjeun pikeun ngalakukeun sagala operasi administrasi on Cisco ISE. Éta nanganan sadaya konfigurasi sistem anu aya hubunganana sareng AAA. Dina konfigurasi disebarkeun (titik bisa dipasang salaku mesin virtual misah), anjeun tiasa gaduh maksimum dua PAN pikeun kasabaran sesar - Active / Modeu sayaga.
Policy Service Node (PSN) nyaéta titik wajib nu nyadiakeun aksés jaringan, kaayaan, aksés tamu, provisioning layanan klien, sarta profil. PSN ngaevaluasi kawijakan sareng nerapkeunana. Ilaharna, sababaraha PSN dipasang, utamana dina konfigurasi disebarkeun, pikeun operasi leuwih kaleuleuwihan sarta disebarkeun. Tangtosna, aranjeunna nyobian masang titik-titik ieu dina bagéan anu béda supados henteu kaleungitan kamampuan pikeun nyayogikeun aksés anu dioténtikasi sareng otorisasi sadetik.
Monitoring Node (MnT) mangrupikeun titik wajib anu nyimpen log acara, log titik sanés sareng kawijakan dina jaringan. Titik MnT nyayogikeun alat canggih pikeun ngawaskeun sareng ngungkulan, ngumpulkeun sareng ngahubungkeun sababaraha data, sareng ogé nyayogikeun laporan anu bermakna. Cisco ISE ngidinan Anjeun pikeun boga maksimum dua titik MnT, kukituna nyieun kasabaran sesar - Active / Modeu sayaga. Sanajan kitu, log dikumpulkeun ku duanana titik, duanana aktip jeung pasif.
PxGrid Node (PXG) mangrupikeun titik anu nganggo protokol PxGrid sareng ngamungkinkeun komunikasi antara alat-alat sanés anu ngadukung PxGrid.
PxGrid - protokol anu mastikeun integrasi IT sareng produk infrastruktur kaamanan inpormasi ti padagang anu béda: sistem ngawaskeun, sistem deteksi sareng pencegahan intrusion, platform manajemén kawijakan kaamanan sareng seueur solusi anu sanés. Cisco PxGrid ngamungkinkeun anjeun ngabagi kontéks dina cara saarah atanapi dua arah sareng seueur platform tanpa peryogi API, ku kituna ngamungkinkeun téknologi. TrustSec (tag SGT), ngarobah jeung nerapkeun kawijakan ANC (Adaptive Network Control), kitu ogé ngalakukeun profiling - nangtukeun model alat, OS, lokasi, sareng nu sanesna.
Dina konfigurasi kasadiaan tinggi, titik PxGrid ngayakeun réplikasi inpormasi antara titik dina PAN. Lamun PAN ditumpurkeun, titik PxGrid eureun auténtikasi, otorisasina, sarta akuntansi pikeun pamaké.
Di handap ieu ngagambarkeun skéma tina operasi éntitas Cisco ISE béda dina jaringan perusahaan.
angka 1. Cisco ISE Arsitéktur
3. Sarat
Cisco ISE bisa dilaksanakeun, kawas paling solusi modern, ampir atawa fisik salaku server misah.
Alat fisik anu ngajalankeun software Cisco ISE disebut SNS (Secure Network Server). Aranjeunna datangna dina tilu model: SNS-3615, SNS-3655 jeung SNS-3695 keur leutik, sedeng jeung badag usaha. meja 1 nembongkeun informasi ti lembar data SNS.
meja 1. Méja ngabandingkeun SNS pikeun skala béda
parameter
SNS 3615 (Leutik)
SNS 3655 (Sedeng)
SNS 3695 (Gedé)
Jumlah titik tungtung anu dirojong dina pamasangan Mandiri
10000
25000
50000
Jumlah titik tungtung dirojong per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 cores
12 cores
12 cores
Ram
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID Hardware
teu
RAID 10, ayana RAID controller
RAID 10, ayana RAID controller
Sambungan jaringan
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Ngeunaan palaksanaan virtual, hypervisors anu dirojong nyaéta VMware ESXi (Vérsi VMware minimum 11 pikeun ESXi 6.0 disarankeun), Microsoft Hyper-V sareng Linux KVM (RHEL 7.0). Sumberdaya kedah kirang langkung sami sareng dina tabel di luhur, atanapi langkung. Nanging, syarat minimum pikeun mesin virtual usaha leutik nyaéta: 2 CPU kalayan frékuénsi 2.0 GHz sareng langkung luhur, 16 GB RAM и 200 GBHDD.
Sapertos kalolobaan produk Cisco anu sanés, ISE tiasa diuji ku sababaraha cara:
dcloud - jasa awan tata letak laboratorium anu tos dipasang (akun Cisco diperyogikeun);
pamundut GVE – pamundut ti situs Cisco tina software tangtu (metoda pikeun mitra). Anjeun nyieun kasus kalawan pedaran has di handap ieu: Jenis produk [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
proyék pilot - ngahubungan pasangan anu otorisasi pikeun ngalaksanakeun pilot project gratis.
1) Saatos nyiptakeun mesin virtual, upami anjeun naroskeun file ISO sareng sanés template OVA, jandela bakal muncul dimana ISE ngabutuhkeun anjeun milih pamasangan. Jang ngalampahkeun ieu, tinimbang login sareng kecap akses anjeun, anjeun kedah nyerat "disetél"!
Catetan: lamun deployed ISE ti OVA template, lajeng wincik login admin/MyIseYPass2 (ieu sareng seueur deui dituduhkeun dina resmi pituduh).
angka 2. Masang Cisco ISE
2) Teras anjeun kedah ngeusian widang anu diperyogikeun sapertos alamat IP, DNS, NTP sareng anu sanésna.
angka 3. Initializing Cisco ISE
3) Saatos éta, alat bakal reboot, sareng anjeun bakal tiasa nyambungkeun via antarmuka wéb nganggo alamat IP anu parantos disayogikeun.
angka 4. Cisco ISE Web Interface
4) Dina tab Administrasi> Sistem> Panyebaran Anjeun tiasa milih titik mana (éntitas) diaktipkeun dina alat nu tangtu. Titik PxGrid diaktipkeun di dieu.
angka 5. Cisco ISE Éntitas Manajemén
5) Lajeng dina tab Administrasi > Sistem > Aksés Admin >auténtikasi Abdi nyarankeun nyetél kawijakan sandi, metode auténtikasi (sertipikat atanapi kecap akses), tanggal kadaluwarsa akun, sareng setélan sanés.
angka 6. Setélan tipe auténtikasiangka 7. Setélan kawijakan sandiGambar 8. Nyetel shutdown akun sanggeus waktu kadaluwarsaGambar 9. Nyetel ngonci akun
6) Dina tab Administrasi> Sistem> Aksés Admin> Administrator> Pamaké Admin> Tambah Anjeun tiasa nyieun administrator anyar.
angka 10. Nyieun Administrator Cisco ISE Lokal
7) Administrator anyar tiasa janten bagian tina grup énggal atanapi grup anu tos siap. Grup administrator dikokolakeun dina panel anu sami dina tab Grup Admin. Tabel 2 nyimpulkeun inpormasi ngeunaan pangurus ISE, hak sareng kalungguhanana.
meja 2. Cisco ISE Administrator Grup, Tingkat Aksés, Idin, sarta Watesan
Ngaran grup administrator
Idin
larangan
Kustomisasi Admin
Nyetel portal tamu sareng sponsor, administrasi sareng kustomisasi
Henteu mampuh ngarobih kawijakan atanapi ningali laporan
Helpdesk Admin
Kamampuhan pikeun ningali dasbor utama, sadaya laporan, larms sareng aliran ngungkulan
Anjeun teu bisa ngarobah, nyieun atawa mupus laporan, alarm jeung log auténtikasi
Admin Idéntitas
Ngatur pangguna, hak istimewa sareng peran, kamampuan pikeun ningali log, laporan sareng alarm
Anjeun teu tiasa ngarobih kawijakan atanapi ngalaksanakeun tugas dina tingkat OS
Admin MnT
Ngawaskeun pinuh, laporan, alarm, log sareng manajeménna
Henteu mampuh ngarobih kawijakan naon waé
Admin Alat Jaringan
Hak pikeun nyiptakeun sareng ngarobih objék ISE, ningali log, laporan, dasbor utama
Anjeun teu tiasa ngarobih kawijakan atanapi ngalaksanakeun tugas dina tingkat OS
Henteu mampuh nedunan setélan jeung credentials, objék ISE
Admin RBAC
Sadaya setélan dina tab Operasi, setélan kawijakan ANC, manajemén ngalaporkeun
Anjeun teu bisa ngarobah kawijakan lian ti ANC atawa ngalakukeun tugas di tingkat OS
super Admin
Hak ka sadaya setélan, ngalaporkeun sareng manajemén, tiasa mupus sareng ngarobih kredensial administrator
Teu bisa ngarobah, mupus profil sejen ti grup Super Admin
sistim Admin
Sadaya setelan dina tab Operasi, ngatur setelan sistem, kawijakan ANC, nempo laporan
Anjeun teu bisa ngarobah kawijakan lian ti ANC atawa ngalakukeun tugas di tingkat OS
Administrator Layanan RESTful éksternal (ERS).
aksés pinuh ka Cisco ISE sésana API
Ngan pikeun otorisasina, manajemén pangguna lokal, host sareng grup kaamanan (SG)
Éksternal Restful Services (ERS) Operator
Cisco ISE sésana API Baca Idin
Ngan pikeun otorisasina, manajemén pangguna lokal, host sareng grup kaamanan (SG)
angka 11. predefined Cisco ISE Administrator Grup
8) Pilihan dina tab Otorisasina> Idin> Kawijakan RBAC Anjeun tiasa ngédit hak pangurus anu tos disetel.
angka 12. Cisco ISE Administrator Prasetél Manajemén Hak Propil
9) Dina tab Administrasi > Sistem > SetélanSadaya setélan sistem sayogi (DNS, NTP, SMTP sareng anu sanésna). Anjeun tiasa ngeusian aranjeunna di dieu upami anjeun sono kana inisialisasi alat awal.
5. Kacindekan
Ieu nyimpulkeun artikel munggaran. Urang bahas efektivitas solusi Cisco ISE NAC, arsitéktur na, syarat minimum jeung pilihan deployment, sarta instalasi awal.
Dina artikel salajengna, urang bakal ningal nyiptakeun akun, ngahijikeun sareng Microsoft Active Directory, sareng nyiptakeun aksés tamu.
Upami anjeun gaduh patarosan ngeunaan topik ieu atanapi peryogi bantosan pikeun nguji produk, mangga ngahubungi link.