ProHoster > Blog > Administrasi > Cisco ISE: bubuka, sarat, instalasi. Bagian 1

Cisco ISE: bubuka, sarat, instalasi. Bagian 1

Cisco ISE: bubuka, sarat, instalasi. Bagian 1

1. Pambuka

Unggal perusahaan, bahkan anu pangleutikna, peryogi pikeun auténtikasi, otorisasi sareng akuntansi pangguna (kulawarga protokol AAA). Dina tahap awal, AAA cukup dilaksanakeun nganggo protokol sapertos RADIUS, TACACS + sareng DIAMETER. Nanging, nalika jumlah pangguna sareng perusahaan ningkat, jumlah tugas ogé ningkat: pisibilitas maksimal host sareng alat BYOD, auténtikasi multi-faktor, nyiptakeun kawijakan aksés multi-level sareng seueur deui.

Pikeun tugas sapertos kitu, NAC (Network Access Control) kelas solusi sampurna - network access control. Dina runtuyan artikel dedicated ka Cisco ISE (Identity Services Engine) - solusi NAC pikeun nyadiakeun kontrol aksés konteks-sadar pamaké dina jaringan internal, urang bakal nyandak katingal lengkep dina arsitektur, provisioning, konfigurasi jeung lisénsi solusi.

Hayu atuh sakeudeung ngingetan yén Cisco ISE ngidinan Anjeun pikeun:

  • Gancang jeung gampang nyieun aksés tamu dina WLAN dedicated;

  • Deteksi alat BYOD (contona, PC imah karyawan anu aranjeunna bawa ka tempat damel);

  • Sentralisasi sareng ngalaksanakeun kawijakan kaamanan dina domain sareng pangguna non-domain nganggo labél grup kaamanan SGT TrustSec);

  • Pariksa komputer pikeun software tangtu dipasang tur patuh kana standar (posturing);

  • Klasifikasi sareng profil titik tungtung sareng alat jaringan;

  • Nyadiakeun pisibilitas titik tungtung;

  • Kirim log acara tina logon/logoff pamaké, rekening maranéhanana (identitas) ka NGFW pikeun ngabentuk kawijakan dumasar-pamaké;

  • Ngahijikeun asli sareng Cisco StealthWatch sareng karantina host anu curiga anu kalibet dina insiden kaamanan (deui);

  • Jeung fitur sejenna standar pikeun server AAA.

Kolega di industri parantos nyerat ngeunaan Cisco ISE, janten kuring mamatahan anjeun maca: prakték palaksanaan Cisco ISE, Kumaha Nyiapkeun pikeun Cisco ISE Palaksanaan.

2. Arsitéktur

Arsitéktur Identity Services Engine boga 4 éntitas (titik): titik manajemén (Policy Administration Node), titik distribusi kawijakan (Policy Service Node), titik monitoring (Monitoring Node) sareng titik PxGrid (PxGrid Node). Cisco ISE tiasa dina instalasi mandiri atanapi disebarkeun. Dina versi Mandiri, sadaya éntitas aya dina hiji mesin virtual atanapi server fisik (Server Jaringan Aman - SNS), sedengkeun dina versi Distribusi, titik-titik disebarkeun ka sadaya alat anu béda.

Kawijakan Administrasi titik (PAN) mangrupakeun titik diperlukeun nu ngidinan Anjeun pikeun ngalakukeun sagala operasi administrasi on Cisco ISE. Éta nanganan sadaya konfigurasi sistem anu aya hubunganana sareng AAA. Dina konfigurasi disebarkeun (titik bisa dipasang salaku mesin virtual misah), anjeun tiasa gaduh maksimum dua PAN pikeun kasabaran sesar - Active / Modeu sayaga.

Policy Service Node (PSN) nyaéta titik wajib nu nyadiakeun aksés jaringan, kaayaan, aksés tamu, provisioning layanan klien, sarta profil. PSN ngaevaluasi kawijakan sareng nerapkeunana. Ilaharna, sababaraha PSN dipasang, utamana dina konfigurasi disebarkeun, pikeun operasi leuwih kaleuleuwihan sarta disebarkeun. Tangtosna, aranjeunna nyobian masang titik-titik ieu dina bagéan anu béda supados henteu kaleungitan kamampuan pikeun nyayogikeun aksés anu dioténtikasi sareng otorisasi sadetik.

Monitoring Node (MnT) mangrupikeun titik wajib anu nyimpen log acara, log titik sanés sareng kawijakan dina jaringan. Titik MnT nyayogikeun alat canggih pikeun ngawaskeun sareng ngungkulan, ngumpulkeun sareng ngahubungkeun sababaraha data, sareng ogé nyayogikeun laporan anu bermakna. Cisco ISE ngidinan Anjeun pikeun boga maksimum dua titik MnT, kukituna nyieun kasabaran sesar - Active / Modeu sayaga. Sanajan kitu, log dikumpulkeun ku duanana titik, duanana aktip jeung pasif.

PxGrid Node (PXG) mangrupikeun titik anu nganggo protokol PxGrid sareng ngamungkinkeun komunikasi antara alat-alat sanés anu ngadukung PxGrid.

PxGrid  - protokol anu mastikeun integrasi IT sareng produk infrastruktur kaamanan inpormasi ti padagang anu béda: sistem ngawaskeun, sistem deteksi sareng pencegahan intrusion, platform manajemén kawijakan kaamanan sareng seueur solusi anu sanés. Cisco PxGrid ngamungkinkeun anjeun ngabagi kontéks dina cara saarah atanapi dua arah sareng seueur platform tanpa peryogi API, ku kituna ngamungkinkeun téknologi. TrustSec (tag SGT), ngarobah jeung nerapkeun kawijakan ANC (Adaptive Network Control), kitu ogé ngalakukeun profiling - nangtukeun model alat, OS, lokasi, sareng nu sanesna.

Dina konfigurasi kasadiaan tinggi, titik PxGrid ngayakeun réplikasi inpormasi antara titik dina PAN. Lamun PAN ditumpurkeun, titik PxGrid eureun auténtikasi, otorisasina, sarta akuntansi pikeun pamaké. 

Di handap ieu ngagambarkeun skéma tina operasi éntitas Cisco ISE béda dina jaringan perusahaan.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 1. Cisco ISE Arsitéktur

3. Sarat

Cisco ISE bisa dilaksanakeun, kawas paling solusi modern, ampir atawa fisik salaku server misah. 

Alat fisik anu ngajalankeun software Cisco ISE disebut SNS (Secure Network Server). Aranjeunna datangna dina tilu model: SNS-3615, SNS-3655 jeung SNS-3695 keur leutik, sedeng jeung badag usaha. meja 1 nembongkeun informasi ti lembar data SNS.

meja 1. Méja ngabandingkeun SNS pikeun skala béda

parameter

SNS 3615 (Leutik)

SNS 3655 (Sedeng)

SNS 3695 (Gedé)

Jumlah titik tungtung anu dirojong dina pamasangan Mandiri

10000

25000

50000

Jumlah titik tungtung dirojong per PSN

10000

25000

100000

CPU (Intel Xeon 2.10 GHz)

8 cores

12 cores

12 cores

Ram 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

RAID Hardware

teu

RAID 10, ayana RAID controller

RAID 10, ayana RAID controller

Sambungan jaringan

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Ngeunaan palaksanaan virtual, hypervisors anu dirojong nyaéta VMware ESXi (Vérsi VMware minimum 11 pikeun ESXi 6.0 disarankeun), Microsoft Hyper-V sareng Linux KVM (RHEL 7.0). Sumberdaya kedah kirang langkung sami sareng dina tabel di luhur, atanapi langkung. Nanging, syarat minimum pikeun mesin virtual usaha leutik nyaéta: 2 CPU kalayan frékuénsi 2.0 GHz sareng langkung luhur, 16 GB RAM и 200 GB HDD. 

Pikeun detil deployment Cisco ISE séjén, mangga ngahubungan urang atanapi ka sumberdaya #1, sumberdaya #2.

4. Pamasangan

Sapertos kalolobaan produk Cisco anu sanés, ISE tiasa diuji ku sababaraha cara:

  • dcloud - jasa awan tata letak laboratorium anu tos dipasang (akun Cisco diperyogikeun);

  • pamundut GVE – pamundut ti situs Cisco tina software tangtu (metoda pikeun mitra). Anjeun nyieun kasus kalawan pedaran has di handap ieu: Jenis produk [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • proyék pilot - ngahubungan pasangan anu otorisasi pikeun ngalaksanakeun pilot project gratis.

1) Saatos nyiptakeun mesin virtual, upami anjeun naroskeun file ISO sareng sanés template OVA, jandela bakal muncul dimana ISE ngabutuhkeun anjeun milih pamasangan. Jang ngalampahkeun ieu, tinimbang login sareng kecap akses anjeun, anjeun kedah nyerat "disetél"!

Catetan: lamun deployed ISE ti OVA template, lajeng wincik login admin/MyIseYPass2 (ieu sareng seueur deui dituduhkeun dina resmi pituduh).

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 2. Masang Cisco ISE

2) Teras anjeun kedah ngeusian widang anu diperyogikeun sapertos alamat IP, DNS, NTP sareng anu sanésna.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 3. Initializing Cisco ISE

3) Saatos éta, alat bakal reboot, sareng anjeun bakal tiasa nyambungkeun via antarmuka wéb nganggo alamat IP anu parantos disayogikeun.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 4. Cisco ISE Web Interface

4) Dina tab Administrasi> Sistem> Panyebaran Anjeun tiasa milih titik mana (éntitas) diaktipkeun dina alat nu tangtu. Titik PxGrid diaktipkeun di dieu.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 5. Cisco ISE Éntitas Manajemén

5) Lajeng dina tab Administrasi > Sistem > Aksés Admin > auténtikasi Abdi nyarankeun nyetél kawijakan sandi, metode auténtikasi (sertipikat atanapi kecap akses), tanggal kadaluwarsa akun, sareng setélan sanés.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 6. Setélan tipe auténtikasiCisco ISE: bubuka, sarat, instalasi. Bagian 1angka 7. Setélan kawijakan sandiCisco ISE: bubuka, sarat, instalasi. Bagian 1Gambar 8. Nyetel shutdown akun sanggeus waktu kadaluwarsaCisco ISE: bubuka, sarat, instalasi. Bagian 1Gambar 9. Nyetel ngonci akun

6) Dina tab Administrasi> Sistem> Aksés Admin> Administrator> Pamaké Admin> Tambah Anjeun tiasa nyieun administrator anyar.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 10. Nyieun Administrator Cisco ISE Lokal

7) Administrator anyar tiasa janten bagian tina grup énggal atanapi grup anu tos siap. Grup administrator dikokolakeun dina panel anu sami dina tab Grup Admin. Tabel 2 nyimpulkeun inpormasi ngeunaan pangurus ISE, hak sareng kalungguhanana.

meja 2. Cisco ISE Administrator Grup, Tingkat Aksés, Idin, sarta Watesan

Ngaran grup administrator

Idin

larangan

Kustomisasi Admin

Nyetel portal tamu sareng sponsor, administrasi sareng kustomisasi

Henteu mampuh ngarobih kawijakan atanapi ningali laporan

Helpdesk Admin

Kamampuhan pikeun ningali dasbor utama, sadaya laporan, larms sareng aliran ngungkulan

Anjeun teu bisa ngarobah, nyieun atawa mupus laporan, alarm jeung log auténtikasi

Admin Idéntitas

Ngatur pangguna, hak istimewa sareng peran, kamampuan pikeun ningali log, laporan sareng alarm

Anjeun teu tiasa ngarobih kawijakan atanapi ngalaksanakeun tugas dina tingkat OS

Admin MnT

Ngawaskeun pinuh, laporan, alarm, log sareng manajeménna

Henteu mampuh ngarobih kawijakan naon waé

Admin Alat Jaringan

Hak pikeun nyiptakeun sareng ngarobih objék ISE, ningali log, laporan, dasbor utama

Anjeun teu tiasa ngarobih kawijakan atanapi ngalaksanakeun tugas dina tingkat OS

Admin Kawijakan

Manajemén pinuh sadaya kawijakan, ngarobih profil, setélan, ningali laporan

Henteu mampuh nedunan setélan jeung credentials, objék ISE

Admin RBAC

Sadaya setélan dina tab Operasi, setélan kawijakan ANC, manajemén ngalaporkeun

Anjeun teu bisa ngarobah kawijakan lian ti ANC atawa ngalakukeun tugas di tingkat OS

super Admin

Hak ka sadaya setélan, ngalaporkeun sareng manajemén, tiasa mupus sareng ngarobih kredensial administrator

Teu bisa ngarobah, mupus profil sejen ti grup Super Admin

sistim Admin

Sadaya setelan dina tab Operasi, ngatur setelan sistem, kawijakan ANC, nempo laporan

Anjeun teu bisa ngarobah kawijakan lian ti ANC atawa ngalakukeun tugas di tingkat OS

Administrator Layanan RESTful éksternal (ERS).

aksés pinuh ka Cisco ISE sésana API

Ngan pikeun otorisasina, manajemén pangguna lokal, host sareng grup kaamanan (SG)

Éksternal Restful Services (ERS) Operator

Cisco ISE sésana API Baca Idin

Ngan pikeun otorisasina, manajemén pangguna lokal, host sareng grup kaamanan (SG)

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 11. predefined Cisco ISE Administrator Grup

8) Pilihan dina tab Otorisasina> Idin> Kawijakan RBAC Anjeun tiasa ngédit hak pangurus anu tos disetel.

Cisco ISE: bubuka, sarat, instalasi. Bagian 1angka 12. Cisco ISE Administrator Prasetél Manajemén Hak Propil

9) Dina tab Administrasi > Sistem > Setélan Sadaya setélan sistem sayogi (DNS, NTP, SMTP sareng anu sanésna). Anjeun tiasa ngeusian aranjeunna di dieu upami anjeun sono kana inisialisasi alat awal.

5. Kacindekan

Ieu nyimpulkeun artikel munggaran. Urang bahas efektivitas solusi Cisco ISE NAC, arsitéktur na, syarat minimum jeung pilihan deployment, sarta instalasi awal.

Dina artikel salajengna, urang bakal ningal nyiptakeun akun, ngahijikeun sareng Microsoft Active Directory, sareng nyiptakeun aksés tamu.

Upami anjeun gaduh patarosan ngeunaan topik ieu atanapi peryogi bantosan pikeun nguji produk, mangga ngahubungi link.

Tetep katala pikeun apdet dina saluran kami (telegramFacebookVKTS Solusi BlogYandex.Zen).

sumber: www.habr.com

Tambahkeun komentar