Cisco ISE: Introduktion, krav, installation. Del 1
1. Introduktion
Varje företag, även det minsta, har ett behov av autentisering, auktorisering och användarredovisning (AAA-protokollfamiljen). I det inledande skedet är AAA ganska väl implementerad med protokoll som RADIUS, TACACS+ och DIAMETER. Men i takt med att antalet användare och företaget växer, växer också antalet uppgifter: maximal synlighet för värdar och BYOD-enheter, multifaktorautentisering, skapande av en åtkomstpolicy på flera nivåer och mycket mer.
För sådana uppgifter är NAC (Network Access Control)-klassen av lösningar perfekt - nätverksåtkomstkontroll. I en serie artiklar tillägnad Cisco ISE (Identity Services Engine) - NAC-lösning för att tillhandahålla kontextmedveten åtkomstkontroll till användare på det interna nätverket, vi kommer att ta en detaljerad titt på arkitekturen, provisioneringen, konfigurationen och licensieringen av lösningen.
Låt mig kort påminna dig om att Cisco ISE tillåter dig att:
Skapa snabbt och enkelt gäståtkomst på ett dedikerat WLAN;
Upptäck BYOD-enheter (till exempel anställdas hemdatorer som de tog med till jobbet);
Centralisera och tillämpa säkerhetspolicyer över domän- och icke-domänanvändare med hjälp av SGT-säkerhetsgruppetiketter TrustSec);
Kontrollera datorer för viss programvara installerad och överensstämmelse med standarder (posturing);
Klassificera och profilera slutpunkts- och nätverksenheter;
Ge slutpunktssynlighet;
Skicka händelseloggar för inloggning/utloggning av användare, deras konton (identitet) till NGFW för att bilda en användarbaserad policy;
Integrera inbyggt med Cisco StealthWatch och sätt misstänkta värdar inblandade i säkerhetsincidenter i karantän (mer);
Och andra funktioner som är standard för AAA-servrar.
Identity Services Engine-arkitekturen har fyra entiteter (noder): en hanteringsnod (Policy Administration Node), en policydistributionsnod (Policy Service Node), en övervakningsnod (Monitoring Node) och en PxGrid-nod (PxGrid Node). Cisco ISE kan vara i en fristående eller distribuerad installation. I den fristående versionen är alla enheter placerade på en virtuell maskin eller fysisk server (Secure Network Servers - SNS), medan i den distribuerade versionen är noderna fördelade över olika enheter.
Policy Administration Node (PAN) är en obligatorisk nod som låter dig utföra alla administrativa operationer på Cisco ISE. Den hanterar alla systemkonfigurationer relaterade till AAA. I en distribuerad konfiguration (noder kan installeras som separata virtuella maskiner) kan du ha maximalt två PAN för feltolerans - Aktivt/Standby-läge.
Policy Service Node (PSN) är en obligatorisk nod som tillhandahåller nätverksåtkomst, status, gäståtkomst, klienttjänsttillgång och profilering. PSN utvärderar policyn och tillämpar den. Vanligtvis installeras flera PSN:er, särskilt i en distribuerad konfiguration, för mer redundant och distribuerad drift. Naturligtvis försöker de installera dessa noder i olika segment för att inte förlora möjligheten att ge autentiserad och auktoriserad åtkomst för en sekund.
Monitoring Node (MnT) är en obligatorisk nod som lagrar händelseloggar, loggar för andra noder och policyer på nätverket. MnT-noden tillhandahåller avancerade verktyg för övervakning och felsökning, samlar in och korrelerar olika data och ger även meningsfulla rapporter. Cisco ISE låter dig ha maximalt två MnT-noder och skapar därmed feltolerans - Aktivt/Standby-läge. Loggar samlas dock in av båda noderna, både aktiva och passiva.
PxGrid Node (PXG) är en nod som använder PxGrid-protokollet och tillåter kommunikation mellan andra enheter som stöder PxGrid.
PxGrid — Ett protokoll som säkerställer integrationen av IT- och informationssäkerhetsinfrastrukturprodukter från olika leverantörer: övervakningssystem, system för upptäckt av intrång och förebyggande av intrång, plattformar för hantering av säkerhetspolicyer och många andra lösningar. Cisco PxGrid låter dig dela sammanhang på ett enkelriktat eller dubbelriktat sätt med många plattformar utan behov av API:er, vilket möjliggör tekniken TrustSec (SGT-taggar), ändra och tillämpa ANC (Adaptive Network Control) policy, samt utföra profilering - bestämma enhetsmodell, OS, plats och mer.
I en hög tillgänglighetskonfiguration replikerar PxGrid-noder information mellan noder över ett PAN. Om PAN är inaktiverat slutar PxGrid-noden autentisera, auktorisera och redovisa användare.
Nedan är en schematisk representation av hur olika Cisco ISE-enheter fungerar i ett företagsnätverk.
Figur 1. Cisco ISE-arkitektur
3. Krav
Cisco ISE kan implementeras, som de flesta moderna lösningar, virtuellt eller fysiskt som en separat server.
Fysiska enheter som kör Cisco ISE-programvara kallas SNS (Secure Network Server). De finns i tre modeller: SNS-3615, SNS-3655 och SNS-3695 för små, medelstora och stora företag. Tabell 1 visar information från datablad SNS.
Tabell 1. Jämförelsetabell för SNS för olika skalor
Parameter
SNS 3615 (liten)
SNS 3655 (Medium)
SNS 3695 (stor)
Antal slutpunkter som stöds i en fristående installation
10000
25000
50000
Antal slutpunkter som stöds per PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 kärnor
12 kärnor
12 kärnor
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
Hårdvara RAID
Ingen
RAID 10, närvaro av RAID-kontroller
RAID 10, närvaro av RAID-kontroller
Nätverksgränssnitt
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
När det gäller virtuella implementeringar är de hypervisorer som stöds VMware ESXi (minst VMware version 11 för ESXi 6.0 rekommenderas), Microsoft Hyper-V och Linux KVM (RHEL 7.0). Resurserna bör vara ungefär desamma som i tabellen ovan, eller mer. Minimikraven för en virtuell dator för småföretag är dock: CPU 2 med en frekvens på 2.0 GHz och högre, 16 GB RAM и 200 GBHDD.
För annan Cisco ISE-distributionsinformation, vänligen kontakta нам eller att resurs #1, resurs #2.
4. Installation
Liksom de flesta andra Cisco-produkter kan ISE testas på flera sätt:
dmoln – molntjänst av förinstallerade laboratorielayouter (Cisco-konto krävs);
GVE begäran - förfrågan från сайта Cisco av viss programvara (metod för partners). Du skapar ett ärende med följande typiska beskrivning: Produkttyp [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
pilotprojekt — Kontakta en auktoriserad partner för att genomföra ett kostnadsfritt pilotprojekt.
1) Efter att ha skapat en virtuell maskin, om du begärde en ISO-fil och inte en OVA-mall, dyker ett fönster upp där ISE kräver att du väljer en installation. För att göra detta, istället för ditt användarnamn och lösenord, bör du skriva "inställning"!
Notera: om du distribuerade ISE från OVA-mall, då inloggningsuppgifterna admin/MyIseYPass2 (detta och mycket mer anges i den officiella guide).
Figur 2. Installera Cisco ISE
2) Då ska du fylla i de obligatoriska fälten som IP-adress, DNS, NTP och andra.
Figur 3. Initiera Cisco ISE
3) Efter det kommer enheten att starta om och du kommer att kunna ansluta via webbgränssnittet med den tidigare angivna IP-adressen.
Figur 4. Cisco ISE webbgränssnitt
4) I tab Administration > System > Implementering du kan välja vilka noder (entiteter) som är aktiverade på en viss enhet. PxGrid-noden är aktiverad här.
Figur 5. Cisco ISE Entity Management
5) Sedan i tab Administration > System > Admin Access >Autentisering Jag rekommenderar att du ställer in en lösenordspolicy, autentiseringsmetod (certifikat eller lösenord), kontots utgångsdatum och andra inställningar.
Figur 6. Inställning av autentiseringstypFigur 7. LösenordspolicyinställningarFigur 8. Ställa in kontoavstängning efter att tiden har gått utFigur 9. Ställa in kontolåsning
6) I tab Administration > System > Adminåtkomst > Administratörer > Adminanvändare > Lägg till du kan skapa en ny administratör.
Figur 10. Skapa en lokal Cisco ISE-administratör
7) Den nya administratören kan göras till en del av en ny grupp eller redan fördefinierade grupper. Administratörsgrupper hanteras i samma panel på fliken Administratörsgrupper. Tabell 2 sammanfattar information om ISE-administratörer, deras rättigheter och roller.
Tabell 2. Cisco ISE-administratörsgrupper, åtkomstnivåer, behörigheter och begränsningar
Administratörsgruppsnamn
tillstånd
Begränsningar
Anpassningsadmin
Upprättande av gäst- och sponsringsportaler, administration och anpassning
Oförmåga att ändra policyer eller visa rapporter
Helpdesk Admin
Möjlighet att se huvudinstrumentpanelen, alla rapporter, larm och felsökningsströmmar
Du kan inte ändra, skapa eller ta bort rapporter, larm och autentiseringsloggar
Identitetsadministratör
Hantera användare, privilegier och roller, möjligheten att se loggar, rapporter och larm
Du kan inte ändra policyer eller utföra uppgifter på OS-nivå
MnT Admin
Fullständig övervakning, rapporter, larm, loggar och deras hantering
Oförmåga att ändra någon policy
Nätverksenhetsadministratör
Rättigheter att skapa och ändra ISE-objekt, visa loggar, rapporter, huvudinstrumentpanel
Du kan inte ändra policyer eller utföra uppgifter på OS-nivå
Policyadministratör
Fullständig hantering av alla policyer, ändring av profiler, inställningar, visning av rapporter
Oförmåga att utföra inställningar med referenser, ISE-objekt
RBAC Admin
Alla inställningar på fliken Operations, ANC-policyinställningar, rapporteringshantering
Du kan inte ändra andra policyer än ANC eller utföra uppgifter på OS-nivå
Super Admin
Rättigheter till alla inställningar, rapportering och hantering, kan ta bort och ändra administratörsuppgifter
Kan inte ändra, ta bort en annan profil från Super Admin-gruppen
System Admin
Alla inställningar på fliken Operations, hantering av systeminställningar, ANC-policy, visning av rapporter
Du kan inte ändra andra policyer än ANC eller utföra uppgifter på OS-nivå
Externa RESTful Services (ERS) Admin
Full tillgång till Cisco ISE REST API
Endast för auktorisering, hantering av lokala användare, värdar och säkerhetsgrupper (SG)
Extern operatör för RESTful Services (ERS).
Cisco ISE REST API Läsbehörigheter
Endast för auktorisering, hantering av lokala användare, värdar och säkerhetsgrupper (SG)
8) Valfritt i fliken Auktorisering > Behörigheter > RBAC-policy Du kan redigera rättigheterna för fördefinierade administratörer.
Figur 12. Förinställd profilrättighetshantering för Cisco ISE Administrator
9) I tab Administration > System > InställningarAlla systeminställningar är tillgängliga (DNS, NTP, SMTP och andra). Du kan fylla i dem här om du missade dem under den första enhetens initialisering.
5. slutsats
Detta avslutar den första artikeln. Vi diskuterade effektiviteten hos Cisco ISE NAC-lösningen, dess arkitektur, minimikrav och distributionsalternativ och initial installation.
I nästa artikel kommer vi att titta på att skapa konton, integrera med Microsoft Active Directory och skapa gäståtkomst.
Om du har frågor om detta ämne eller behöver hjälp med att testa produkten, vänligen kontakta länk.