Cisco ISE: บทนำ ข้อกำหนด การติดตั้ง ส่วนที่ 1

1. บทนำ

ทุกบริษัท แม้แต่บริษัทที่เล็กที่สุด ก็มีความจำเป็นในการรับรองความถูกต้อง การอนุญาต และการทำบัญชีผู้ใช้ (โปรโตคอลตระกูล AAA) ในระยะเริ่มแรก AAA ได้รับการปรับใช้ค่อนข้างดีโดยใช้โปรโตคอล เช่น RADIUS, TACACS+ และ DIAMETER อย่างไรก็ตาม เมื่อจำนวนผู้ใช้และบริษัทเพิ่มขึ้น จำนวนงานก็เพิ่มขึ้นเช่นกัน: การมองเห็นโฮสต์และอุปกรณ์ BYOD สูงสุด การรับรองความถูกต้องแบบหลายปัจจัย การสร้างนโยบายการเข้าถึงหลายระดับ และอื่นๆ อีกมากมาย

สำหรับงานดังกล่าว โซลูชันคลาส NAC (การควบคุมการเข้าถึงเครือข่าย) นั้นสมบูรณ์แบบ - การควบคุมการเข้าถึงเครือข่าย ในชุดบทความที่อุทิศให้กับ ซิสโก้ ISE (Identity Services Engine) - โซลูชัน NAC สำหรับการควบคุมการเข้าถึงแบบ Context-Aware แก่ผู้ใช้บนเครือข่ายภายใน เราจะดูรายละเอียดเกี่ยวกับสถาปัตยกรรม การจัดเตรียม การกำหนดค่า และการออกใบอนุญาตของโซลูชัน

ฉันขอเตือนคุณสั้นๆ ว่า Cisco ISE อนุญาตให้คุณ:

• สร้างการเข้าถึงของผู้เยี่ยมชมบน WLAN เฉพาะอย่างรวดเร็วและง่ายดาย

• ตรวจจับอุปกรณ์ BYOD (เช่น พีซีที่บ้านของพนักงานที่พวกเขานำมาทำงาน)

• รวมศูนย์และบังคับใช้นโยบายความปลอดภัยทั่วทั้งโดเมนและผู้ใช้ที่ไม่ใช่โดเมนโดยใช้ป้ายกำกับกลุ่มความปลอดภัย SGT TrustSec);

• ตรวจสอบคอมพิวเตอร์ว่ามีการติดตั้งซอฟต์แวร์บางอย่างและปฏิบัติตามมาตรฐาน (การวางตำแหน่ง)

• จำแนกและโปรไฟล์อุปกรณ์ปลายทางและอุปกรณ์เครือข่าย

• ให้การมองเห็นปลายทาง

• ส่งบันทึกเหตุการณ์ของการเข้าสู่ระบบ/ออกจากระบบของผู้ใช้ บัญชี (ข้อมูลประจำตัว) ไปยัง NGFW เพื่อสร้างนโยบายที่อิงตามผู้ใช้

• ผสานรวมเข้ากับ Cisco StealthWatch และกักกันโฮสต์ที่น่าสงสัยที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัย (ขึ้น);

• และฟีเจอร์อื่นๆ มาตรฐานสำหรับเซิร์ฟเวอร์ AAA

เพื่อนร่วมงานในอุตสาหกรรมได้เขียนเกี่ยวกับ Cisco ISE แล้ว ดังนั้นฉันขอแนะนำให้คุณอ่าน: แนวทางปฏิบัติในการนำ Cisco ISE ไปใช้, วิธีเตรียมตัวสำหรับการใช้งาน Cisco ISE.

2 สถาปัตยกรรม

สถาปัตยกรรม Identity Services Engine มี 4 เอนทิตี (โหนด): โหนดการจัดการ (โหนดการบริหารนโยบาย), โหนดการกระจายนโยบาย (โหนดบริการนโยบาย), โหนดการตรวจสอบ (โหนดการตรวจสอบ) และโหนด PxGrid (โหนด PxGrid) Cisco ISE สามารถติดตั้งแบบสแตนด์อโลนหรือแบบกระจายก็ได้ ในเวอร์ชันสแตนด์อโลน เอนทิตีทั้งหมดจะอยู่บนเครื่องเสมือนหรือเซิร์ฟเวอร์จริงเครื่องเดียว (Secure Network Servers - SNS) ในขณะที่เวอร์ชันแบบกระจาย โหนดจะกระจายไปตามอุปกรณ์ต่างๆ

Policy Administration Node (PAN) เป็นโหนดที่จำเป็นซึ่งช่วยให้คุณสามารถดำเนินการด้านการดูแลระบบทั้งหมดบน Cisco ISE ได้ จัดการการกำหนดค่าระบบทั้งหมดที่เกี่ยวข้องกับ AAA ในการกำหนดค่าแบบกระจาย (สามารถติดตั้งโหนดเป็นเครื่องเสมือนแยกต่างหาก) คุณสามารถมี PAN ได้สูงสุดสองตัวสำหรับความทนทานต่อข้อผิดพลาด - โหมดใช้งาน/สแตนด์บาย

Policy Service Node (PSN) เป็นโหนดบังคับที่ให้การเข้าถึงเครือข่าย สถานะ การเข้าถึงของแขก การจัดเตรียมบริการไคลเอ็นต์ และการทำโปรไฟล์ PSN ประเมินนโยบายและนำไปใช้ โดยทั่วไปแล้ว จะมีการติดตั้ง PSN หลายเครื่อง โดยเฉพาะในการกำหนดค่าแบบกระจาย เพื่อการดำเนินการที่ซ้ำซ้อนและกระจายมากขึ้น แน่นอนว่าพวกเขาพยายามติดตั้งโหนดเหล่านี้ในส่วนต่างๆ เพื่อไม่ให้สูญเสียความสามารถในการให้การเข้าถึงที่ผ่านการรับรองความถูกต้องและได้รับอนุญาตไปสักวินาที

Monitoring Node (MnT) เป็นโหนดบังคับที่เก็บบันทึกเหตุการณ์ บันทึกของโหนดอื่นๆ และนโยบายบนเครือข่าย โหนด MnT มอบเครื่องมือขั้นสูงสำหรับการตรวจสอบและแก้ไขปัญหา รวบรวมและเชื่อมโยงข้อมูลต่างๆ และยังจัดทำรายงานที่มีความหมายอีกด้วย Cisco ISE ช่วยให้คุณมีโหนด MnT ได้สูงสุดสองโหนด ดังนั้นจึงสร้างความทนทานต่อข้อผิดพลาด - โหมดใช้งาน/สแตนด์บาย อย่างไรก็ตาม บันทึกจะถูกรวบรวมโดยทั้งสองโหนด ทั้งแบบแอ็คทีฟและพาสซีฟ

PxGrid Node (PXG) เป็นโหนดที่ใช้โปรโตคอล PxGrid และอนุญาตการสื่อสารระหว่างอุปกรณ์อื่นๆ ที่รองรับ PxGrid

PxGrid  — โปรโตคอลที่รับประกันการบูรณาการผลิตภัณฑ์โครงสร้างพื้นฐานด้านไอทีและความปลอดภัยข้อมูลจากผู้ขายที่แตกต่างกัน: ระบบตรวจสอบ ระบบตรวจจับและป้องกันการบุกรุก แพลตฟอร์มการจัดการนโยบายความปลอดภัย และโซลูชันอื่น ๆ อีกมากมาย Cisco PxGrid ช่วยให้คุณสามารถแบ่งปันบริบทในลักษณะทิศทางเดียวหรือสองทิศทางกับหลายแพลตฟอร์มโดยไม่จำเป็นต้องใช้ API ดังนั้นจึงเปิดใช้งานเทคโนโลยี TrustSec (แท็ก SGT) เปลี่ยนแปลงและใช้นโยบาย ANC (การควบคุมเครือข่ายแบบปรับเปลี่ยนได้) ตลอดจนดำเนินการจัดทำโปรไฟล์ - กำหนดรุ่นอุปกรณ์ ระบบปฏิบัติการ ตำแหน่ง และอื่นๆ

ในการกำหนดค่าความพร้อมใช้งานสูง โหนด PxGrid จะจำลองข้อมูลระหว่างโหนดผ่าน PAN หากปิดใช้งาน PAN โหนด PxGrid จะหยุดการตรวจสอบสิทธิ์ การอนุญาต และการบัญชีสำหรับผู้ใช้ 

ด้านล่างนี้คือการแสดงแผนผังการทำงานของหน่วยงาน Cisco ISE ต่างๆ ในเครือข่ายองค์กร

รูปที่ 1 สถาปัตยกรรม Cisco ISE

3. ความต้องการ

Cisco ISE สามารถนำไปใช้ได้ เช่นเดียวกับโซลูชันสมัยใหม่ส่วนใหญ่ ทั้งแบบเสมือนหรือทางกายภาพในรูปแบบเซิร์ฟเวอร์ที่แยกจากกัน 

อุปกรณ์ทางกายภาพที่ใช้ซอฟต์แวร์ Cisco ISE เรียกว่า SNS (Secure Network Server) มีสามรุ่น: SNS-3615, SNS-3655 และ SNS-3695 สำหรับธุรกิจขนาดเล็ก กลาง และขนาดใหญ่ ตารางที่ 1 แสดงข้อมูลจาก แผ่นข้อมูล โซเชียลเน็ตเวิร์ก

ตารางที่ 1. ตารางเปรียบเทียบ SNS สำหรับเครื่องชั่งต่างๆ

พารามิเตอร์

SNS3615 (เล็ก)

SNS 3655 (กลาง)

SNS3695 (ใหญ่)

จำนวนจุดสิ้นสุดที่รองรับในการติดตั้งแบบสแตนด์อโลน

10000

25000

50000

จำนวนจุดสิ้นสุดที่รองรับต่อ PSN

10000

25000

100000

ซีพียู (Intel Xeon 2.10 GHz)

8 คอร์

12 คอร์

12 คอร์

แรม 

32GB (2 x 16GB)

96GB (6 x 16GB)

256GB (16 x 16GB)

HDD

1x600GB

4x600GB

8x600GB

ฮาร์ดแวร์ RAID

ไม่

RAID 10 การมีอยู่ของคอนโทรลเลอร์ RAID

RAID 10 การมีอยู่ของคอนโทรลเลอร์ RAID

อินเตอร์เฟสเครือข่าย

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

ในส่วนของการใช้งานแบบเสมือนจริง ไฮเปอร์ไวเซอร์ที่รองรับได้แก่ VMware ESXi (แนะนำให้ใช้ VMware เวอร์ชัน 11 ขึ้นไปสำหรับ ESXi 6.0), Microsoft Hyper-V และ Linux KVM (RHEL 7.0) ทรัพยากรควรมีประมาณเท่ากับในตารางด้านบน หรือสูงกว่า อย่างไรก็ตาม ข้อกำหนดขั้นต่ำของเครื่องเสมือนสำหรับธุรกิจขนาดเล็กมีดังนี้: 2 CPU ด้วยความถี่ 2.0 GHz ขึ้นไป แรม 16GB и 200 กิกะไบต์ HDD 

สำหรับรายละเอียดการปรับใช้ Cisco ISE อื่นๆ โปรดติดต่อ สำหรับเรา หรือถึง ทรัพยากร #1, ทรัพยากร #2.

4. การติดตั้ง

เช่นเดียวกับผลิตภัณฑ์ Cisco อื่นๆ ส่วนใหญ่ ISE สามารถทดสอบได้หลายวิธี:

• ดีคลาวด์ – บริการคลาวด์ของรูปแบบห้องปฏิบัติการที่ติดตั้งไว้ล่วงหน้า (ต้องมีบัญชี Cisco)

• คำขอ GVE – คำขอจาก сайта Cisco ของซอฟต์แวร์บางตัว (วิธีการสำหรับพันธมิตร) คุณสร้างกรณีและปัญหาโดยมีคำอธิบายทั่วไปต่อไปนี้: ประเภทผลิตภัณฑ์ [ISE], ซอฟต์แวร์ ISE [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• โครงการนำร่อง — ติดต่อพันธมิตรที่ได้รับอนุญาตเพื่อดำเนินโครงการนำร่องฟรี

1) หลังจากสร้างเครื่องเสมือน หากคุณขอไฟล์ ISO ไม่ใช่เทมเพลต OVA หน้าต่างจะปรากฏขึ้นโดยที่ ISE ต้องการให้คุณเลือกการติดตั้ง ในการดำเนินการนี้ แทนที่จะเข้าสู่ระบบและรหัสผ่าน คุณควรเขียนว่า “การติดตั้ง“!

หมายเหตุ: หากคุณปรับใช้ ISE จากเทมเพลต OVA ดังนั้นรายละเอียดการเข้าสู่ระบบ ผู้ดูแลระบบ/MyIseYPass2 (สิ่งนี้และอีกมากมายระบุไว้อย่างเป็นทางการ แนะนำ).

รูปที่ 2 การติดตั้ง Cisco ISE

2) จากนั้นคุณควรกรอกข้อมูลในช่องที่จำเป็น เช่น ที่อยู่ IP, DNS, NTP และอื่นๆ

รูปที่ 3 การเริ่มต้น Cisco ISE

3) หลังจากนั้น อุปกรณ์จะรีบูต และคุณจะสามารถเชื่อมต่อผ่านเว็บอินเตอร์เฟสโดยใช้ที่อยู่ IP ที่ระบุไว้ก่อนหน้านี้

รูปที่ 4 เว็บอินเตอร์เฟสของ Cisco ISE

4) ในแท็บ การดูแลระบบ > ระบบ > การปรับใช้ คุณสามารถเลือกโหนด (เอนทิตี) ที่เปิดใช้งานบนอุปกรณ์เฉพาะได้ เปิดใช้งานโหนด PxGrid ที่นี่

รูปที่ 5 การจัดการเอนทิตีของ Cisco ISE

5) จากนั้นในแท็บ การดูแลระบบ > ระบบ > การเข้าถึงของผู้ดูแลระบบ > การยืนยันตัวตน ฉันแนะนำให้ตั้งค่านโยบายรหัสผ่าน วิธีการตรวจสอบสิทธิ์ (ใบรับรองหรือรหัสผ่าน) วันหมดอายุของบัญชี และการตั้งค่าอื่นๆ

รูปที่ 6 การตั้งค่าประเภทการรับรองความถูกต้องรูปที่ 7 การตั้งค่านโยบายรหัสผ่านรูปที่ 8 การตั้งค่าการปิดบัญชีหลังจากหมดเวลารูปที่ 9 การตั้งค่าการล็อคบัญชี

6) ในแท็บ การดูแลระบบ > ระบบ > การเข้าถึงของผู้ดูแลระบบ > ผู้ดูแลระบบ > ผู้ใช้ที่เป็นผู้ดูแลระบบ > เพิ่ม คุณสามารถสร้างผู้ดูแลระบบใหม่ได้

รูปที่ 10 การสร้างผู้ดูแลระบบ Cisco ISE ภายในเครื่อง

7) ผู้ดูแลระบบคนใหม่สามารถเป็นส่วนหนึ่งของกลุ่มใหม่หรือกลุ่มที่กำหนดไว้ล่วงหน้าแล้วได้ กลุ่มผู้ดูแลระบบจะได้รับการจัดการในแผงเดียวกันในแท็บ กลุ่มผู้ดูแลระบบ ตารางที่ 2 สรุปข้อมูลเกี่ยวกับผู้ดูแลระบบ ISE สิทธิ์และบทบาทของพวกเขา

ตารางที่ 2 กลุ่มผู้ดูแลระบบ Cisco ISE ระดับการเข้าถึง สิทธิ์ และข้อจำกัด

ชื่อกลุ่มผู้ดูแลระบบ

การอนุญาต

ข้อ จำกัด

ผู้ดูแลระบบการปรับแต่ง

การตั้งค่าพอร์ทัลแขกและผู้สนับสนุน การบริหารและการปรับแต่ง

ไม่สามารถเปลี่ยนนโยบายหรือดูรายงานได้

ผู้ดูแลระบบช่วยเหลือ

ความสามารถในการดูแดชบอร์ดหลัก รายงานทั้งหมด สัญญาณเตือน และสตรีมการแก้ไขปัญหา

คุณไม่สามารถเปลี่ยนแปลง สร้าง หรือลบรายงาน การเตือน และบันทึกการตรวจสอบสิทธิ์ได้

ผู้ดูแลระบบข้อมูลประจำตัว

การจัดการผู้ใช้ สิทธิ์และบทบาท ความสามารถในการดูบันทึก รายงาน และการเตือน

คุณไม่สามารถเปลี่ยนนโยบายหรือทำงานในระดับระบบปฏิบัติการได้

ผู้ดูแลระบบ MnT

การตรวจสอบ รายงาน สัญญาณเตือน บันทึก และการจัดการอย่างเต็มรูปแบบ

ไม่สามารถเปลี่ยนแปลงนโยบายใดๆ ได้

ผู้ดูแลระบบอุปกรณ์เครือข่าย

สิทธิ์ในการสร้างและเปลี่ยนแปลงออบเจ็กต์ ISE ดูบันทึก รายงาน แดชบอร์ดหลัก

คุณไม่สามารถเปลี่ยนนโยบายหรือทำงานในระดับระบบปฏิบัติการได้

ผู้ดูแลระบบนโยบาย

การจัดการนโยบายทั้งหมด การเปลี่ยนโปรไฟล์ การตั้งค่า การดูรายงานอย่างเต็มรูปแบบ

ไม่สามารถดำเนินการตั้งค่าด้วยข้อมูลประจำตัว วัตถุ ISE

ผู้ดูแลระบบ RBAC

การตั้งค่าทั้งหมดในแท็บการดำเนินการ การตั้งค่านโยบาย ANC การจัดการการรายงาน

คุณไม่สามารถเปลี่ยนนโยบายอื่นนอกเหนือจาก ANC หรือทำงานในระดับระบบปฏิบัติการได้

ผู้ดูแลระบบ

สิทธิ์ในการตั้งค่า การรายงาน และการจัดการทั้งหมด สามารถลบและเปลี่ยนแปลงข้อมูลประจำตัวของผู้ดูแลระบบได้

ไม่สามารถเปลี่ยนแปลงได้ ลบโปรไฟล์อื่นออกจากกลุ่มผู้ดูแลระบบระดับสูง

ผู้ดูแลระบบ

การตั้งค่าทั้งหมดในแท็บการดำเนินการ การจัดการการตั้งค่าระบบ นโยบาย ANC การดูรายงาน

คุณไม่สามารถเปลี่ยนนโยบายอื่นนอกเหนือจาก ANC หรือทำงานในระดับระบบปฏิบัติการได้

ผู้ดูแลระบบ RESTful Services ภายนอก (ERS)

สิทธิ์เข้าถึง Cisco ISE REST API โดยสมบูรณ์

สำหรับการอนุญาต การจัดการผู้ใช้ภายใน โฮสต์ และกลุ่มความปลอดภัย (SG) เท่านั้น

ผู้ปฏิบัติงานบริการ RESTful ภายนอก (ERS)

สิทธิ์การอ่าน Cisco ISE REST API

สำหรับการอนุญาต การจัดการผู้ใช้ภายใน โฮสต์ และกลุ่มความปลอดภัย (SG) เท่านั้น

รูปที่ 11 กลุ่มผู้ดูแลระบบ Cisco ISE ที่กำหนดไว้ล่วงหน้า

8) ตัวเลือกในแท็บ การให้สิทธิ์ > สิทธิ์ > นโยบาย RBAC คุณสามารถแก้ไขสิทธิ์ของผู้ดูแลระบบที่กำหนดไว้ล่วงหน้าได้

รูปที่ 12 การจัดการสิทธิ์โปรไฟล์ที่กำหนดไว้ล่วงหน้าของผู้ดูแลระบบ Cisco ISE

9) ในแท็บ การดูแลระบบ > ระบบ > การตั้งค่า การตั้งค่าระบบทั้งหมดพร้อมใช้งาน (DNS, NTP, SMTP และอื่นๆ) คุณสามารถกรอกรายละเอียดได้ที่นี่ หากคุณพลาดระหว่างการเริ่มต้นอุปกรณ์ครั้งแรก

5 ข้อสรุป

นี่เป็นการสรุปบทความแรก เราได้พูดคุยถึงประสิทธิภาพของโซลูชัน Cisco ISE NAC สถาปัตยกรรม ข้อกำหนดขั้นต่ำและตัวเลือกการใช้งาน และการติดตั้งครั้งแรก

ในบทความถัดไป เราจะดูที่การสร้างบัญชี การทำงานร่วมกับ Microsoft Active Directory และการสร้างการเข้าถึงของผู้เยี่ยมชม

หากคุณมีคำถามเกี่ยวกับหัวข้อนี้หรือต้องการความช่วยเหลือในการทดสอบผลิตภัณฑ์ โปรดติดต่อ ลิงค์.

คอยติดตามการอัปเดตในช่องของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS, Yandex Zen).

ที่มา: will.com