1. Panimula
Ang bawat kumpanya, kahit na ang pinakamaliit, ay nangangailangan ng pagpapatunay, awtorisasyon at accounting ng user (AAA family of protocols). Sa paunang yugto, ang AAA ay medyo mahusay na ipinatupad gamit ang mga protocol tulad ng RADIUS, TACACS+ at DIAMETER. Gayunpaman, habang lumalaki ang bilang ng mga user at kumpanya, lumalaki din ang bilang ng mga gawain: maximum visibility ng mga host at BYOD device, multi-factor authentication, paglikha ng multi-level na patakaran sa pag-access at marami pa.
Para sa mga ganoong gawain, ang klase ng NAC (Network Access Control) ng mga solusyon ay perpekto - network access control. Sa isang serye ng mga artikulo na nakatuon sa (Identity Services Engine) - NAC solution para sa pagbibigay ng context-aware na kontrol sa pag-access sa mga user sa internal network, titingnan namin ang detalyadong pagtingin sa arkitektura, provisioning, configuration at paglilisensya ng solusyon.
Ipaalala ko sa iyo sa madaling sabi na pinapayagan ka ng Cisco ISE na:
-
Mabilis at madaling lumikha ng pag-access ng bisita sa isang nakatuong WLAN;
-
I-detect ang mga BYOD device (halimbawa, mga PC sa bahay ng mga empleyado na dinala nila sa trabaho);
-
I-sentralisa at ipatupad ang mga patakaran sa seguridad sa mga user ng domain at hindi domain gamit ang mga label ng pangkat ng seguridad ng SGT );
-
Suriin ang mga computer para sa ilang software na naka-install at sumusunod sa mga pamantayan (posturing);
-
I-classify at i-profile ang endpoint at network na mga device;
-
Magbigay ng endpoint visibility;
-
Magpadala ng mga log ng kaganapan ng logon/logoff ng mga user, ang kanilang mga account (pagkakakilanlan) sa NGFW upang bumuo ng patakarang nakabatay sa gumagamit;
-
Isama ang natively sa Cisco StealthWatch at quarantine na mga kahina-hinalang host na sangkot sa mga insidente sa seguridad ();
-
At iba pang mga tampok na pamantayan para sa mga AAA server.
Ang mga kasamahan sa industriya ay nagsulat na tungkol sa Cisco ISE, kaya ipinapayo ko sa iyo na basahin ang: ,.
2. arkitektura
Ang arkitektura ng Identity Services Engine ay may 4 na entity (node): isang management node (Policy Administration Node), isang policy distribution node (Policy Service Node), isang monitoring node (Monitoring Node) at isang PxGrid node (PxGrid Node). Maaaring nasa isang standalone o distributed installation ang Cisco ISE. Sa Standalone na bersyon, lahat ng entity ay matatagpuan sa isang virtual machine o pisikal na server (Secure Network Servers - SNS), habang sa Distributed na bersyon, ang mga node ay ipinamamahagi sa iba't ibang device.
Ang Policy Administration Node (PAN) ay isang kinakailangang node na nagbibigay-daan sa iyong isagawa ang lahat ng administratibong operasyon sa Cisco ISE. Pinangangasiwaan nito ang lahat ng mga configuration ng system na nauugnay sa AAA. Sa isang distributed configuration (maaaring i-install ang mga node bilang magkahiwalay na virtual machine), maaari kang magkaroon ng maximum na dalawang PAN para sa fault tolerance - Active/Standby mode.
Ang Policy Service Node (PSN) ay isang mandatoryong node na nagbibigay ng network access, state, guest access, client service provisioning, at profiling. Sinusuri ng PSN ang patakaran at inilalapat ito. Karaniwan, maraming PSN ang naka-install, lalo na sa isang distributed configuration, para sa higit pang redundant at distributed na operasyon. Siyempre, sinusubukan nilang i-install ang mga node na ito sa iba't ibang mga segment upang hindi mawalan ng kakayahang magbigay ng napatotohanan at awtorisadong pag-access sa isang segundo.
Ang Monitoring Node (MnT) ay isang mandatoryong node na nag-iimbak ng mga log ng kaganapan, mga log ng iba pang mga node at mga patakaran sa network. Nagbibigay ang MnT node ng mga advanced na tool para sa pagsubaybay at pag-troubleshoot, pagkolekta at pag-uugnay ng iba't ibang data, at nagbibigay din ng mga makabuluhang ulat. Pinapayagan ka ng Cisco ISE na magkaroon ng maximum na dalawang MnT node, sa gayon ay lumilikha ng fault tolerance - Active/Standby mode. Gayunpaman, ang mga log ay kinokolekta ng parehong mga node, parehong aktibo at passive.
Ang PxGrid Node (PXG) ay isang node na gumagamit ng PxGrid protocol at nagbibigay-daan sa komunikasyon sa pagitan ng iba pang device na sumusuporta sa PxGrid.
β isang protocol na nagsisiguro sa pagsasama ng mga produkto ng IT at impormasyon sa imprastraktura ng seguridad mula sa iba't ibang mga vendor: mga sistema ng pagsubaybay, mga sistema ng pag-detect at pag-iwas sa panghihimasok, mga platform ng pamamahala ng patakaran sa seguridad at marami pang ibang solusyon. Binibigyang-daan ka ng Cisco PxGrid na magbahagi ng konteksto sa unidirectional o bidirectional na paraan sa maraming platform nang hindi nangangailangan ng mga API, at sa gayon ay pinapagana ang teknolohiya (SGT tags), baguhin at ilapat ang patakaran ng ANC (Adaptive Network Control), gayundin ang pagsasagawa ng profiling - pagtukoy sa modelo ng device, OS, lokasyon, at higit pa.
Sa isang configuration ng mataas na availability, ang mga PxGrid node ay gumagaya ng impormasyon sa pagitan ng mga node sa isang PAN. Kung hindi pinagana ang PAN, hihinto ang PxGrid node sa pag-authenticate, pagpapahintulot, at pag-account para sa mga user.
Nasa ibaba ang isang eskematiko na representasyon ng pagpapatakbo ng iba't ibang entity ng Cisco ISE sa isang corporate network.
Larawan 1. Arkitektura ng Cisco ISE
3. Mga kinakailangan
Maaaring ipatupad ang Cisco ISE, tulad ng karamihan sa mga modernong solusyon, halos o pisikal bilang isang hiwalay na server.
Ang mga pisikal na device na nagpapatakbo ng Cisco ISE software ay tinatawag na SNS (Secure Network Server). Dumating ang mga ito sa tatlong modelo: SNS-3615, SNS-3655 at SNS-3695 para sa maliliit, katamtaman at malalaking negosyo. Ang talahanayan 1 ay nagpapakita ng impormasyon mula sa SNS.
Talahanayan 1. Talahanayan ng paghahambing ng SNS para sa iba't ibang sukat
Parametro
SNS 3615 (Maliit)
SNS 3655 (Katamtaman)
SNS 3695 (Malaki)
Bilang ng mga sinusuportahang endpoint sa isang Standalone na pag-install
10000
25000
50000
Bilang ng mga sinusuportahang endpoint sa bawat PSN
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 core
12 core
12 core
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1 x 600 GB
4 x 600 GB
8 x 600 GB
RAID ng Hardware
Hindi
RAID 10, pagkakaroon ng RAID controller
RAID 10, pagkakaroon ng RAID controller
Mga interface ng network
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Tungkol sa mga virtual na pagpapatupad, ang mga sinusuportahang hypervisor ay VMware ESXi (inirerekomenda ang pinakamababang bersyon ng VMware 11 para sa ESXi 6.0), Microsoft Hyper-V at Linux KVM (RHEL 7.0). Ang mga mapagkukunan ay dapat na halos pareho sa talahanayan sa itaas, o higit pa. Gayunpaman, ang mga minimum na kinakailangan para sa isang maliit na negosyo na virtual machine ay: 2 CPU na may dalas na 2.0 GHz at mas mataas, 16 GB ng RAM ΠΈ 200 GB HDD.
Para sa iba pang mga detalye ng pag-deploy ng Cisco ISE, mangyaring makipag-ugnayan o sa , .
4. Pag-install
Tulad ng karamihan sa iba pang mga produkto ng Cisco, ang ISE ay maaaring masuri sa maraming paraan:
-
β serbisyo sa ulap ng mga paunang naka-install na mga layout ng laboratoryo (kinakailangan ang Cisco account);
-
β kahilingan mula sa Cisco ng ilang software (paraan para sa mga kasosyo). Gumawa ka ng case na may sumusunod na tipikal na paglalarawan: Uri ng produkto [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
β makipag-ugnayan sa sinumang awtorisadong kasosyo upang magsagawa ng libreng pilot project.
1) Pagkatapos gumawa ng virtual machine, kung humiling ka ng ISO file at hindi ng OVA template, may lalabas na window kung saan hinihiling ka ng ISE na pumili ng installation. Upang gawin ito, sa halip na ang iyong pag-login at password, dapat mong isulat ang "setupβ!
Tandaan: kung nag-deploy ka ng ISE mula sa template ng OVA, pagkatapos ay ang mga detalye sa pag-login admin/MyIseYPass2 (ito at marami pang iba ay ipinahiwatig sa opisyal ).
Figure 2. Pag-install ng Cisco ISE
2) Pagkatapos ay dapat mong punan ang mga kinakailangang field tulad ng IP address, DNS, NTP at iba pa.
Figure 3. Pagsisimula ng Cisco ISE
3) Pagkatapos nito, magre-reboot ang device, at magagawa mong kumonekta sa pamamagitan ng web interface gamit ang dating tinukoy na IP address.
Larawan 4. Cisco ISE Web Interface
4) Sa tab Administration > System > Deployment maaari mong piliin kung aling mga node (entity) ang pinagana sa isang partikular na device. Ang PxGrid node ay pinagana dito.
Figure 5. Cisco ISE Entity Management
5) Pagkatapos sa tab Administration > System > Admin Access > Pagpapatunay Inirerekomenda ko ang pag-set up ng patakaran sa password, paraan ng pagpapatunay (certificate o password), petsa ng pag-expire ng account, at iba pang mga setting.
Figure 6. Setting ng uri ng pagpapatunayFigure 7. Mga setting ng patakaran sa passwordFigure 8. Pagse-set up ng pagsasara ng account pagkatapos mag-expire ang orasFigure 9. Pagse-set up ng pag-lock ng account
6) Sa tab Administration > System > Admin Access > Administrators > Admin Users > Add maaari kang lumikha ng bagong administrator.
Figure 10. Paglikha ng Lokal na Cisco ISE Administrator
7) Ang bagong administrator ay maaaring gawing bahagi ng isang bagong grupo o na-predefine na mga grupo. Ang mga pangkat ng administrator ay pinamamahalaan sa parehong panel sa tab Mga Grupo ng Admin. Ang talahanayan 2 ay nagbubuod ng impormasyon tungkol sa mga administrator ng ISE, ang kanilang mga karapatan at tungkulin.
Talahanayan 2. Mga Grupo ng Administrator ng Cisco ISE, Mga Antas ng Pag-access, Mga Pahintulot, at Mga Paghihigpit
Pangalan ng pangkat ng administrator
Mga Pahintulot
Paghihigpit
Admin ng Pag-customize
Pagse-set up ng mga portal ng bisita at sponsorship, pangangasiwa at pagpapasadya
Kawalan ng kakayahang baguhin ang mga patakaran o tingnan ang mga ulat
Helpdesk Admin
Kakayahang tingnan ang pangunahing dashboard, lahat ng mga ulat, larm at mga stream ng pag-troubleshoot
Hindi ka maaaring magbago, gumawa o magtanggal ng mga ulat, alarma at log ng pagpapatunay
Admin ng Pagkakakilanlan
Pamamahala ng mga user, pribilehiyo at tungkulin, ang kakayahang tingnan ang mga log, ulat at alarma
Hindi mo maaaring baguhin ang mga patakaran o magsagawa ng mga gawain sa antas ng OS
Admin ng MnT
Buong pagsubaybay, mga ulat, mga alarma, mga log at ang kanilang pamamahala
Kawalan ng kakayahang baguhin ang anumang mga patakaran
Admin ng Network Device
Mga karapatang lumikha at magbago ng mga bagay sa ISE, tingnan ang mga log, ulat, pangunahing dashboard
Hindi mo maaaring baguhin ang mga patakaran o magsagawa ng mga gawain sa antas ng OS
Admin ng Patakaran
Buong pamamahala ng lahat ng mga patakaran, pagbabago ng mga profile, setting, pagtingin sa mga ulat
Kawalan ng kakayahang magsagawa ng mga setting na may mga kredensyal, mga bagay na ISE
Admin ng RBAC
Lahat ng mga setting sa tab na Mga Operasyon, mga setting ng patakaran ng ANC, pamamahala sa pag-uulat
Hindi mo maaaring baguhin ang mga patakaran maliban sa ANC o magsagawa ng mga gawain sa antas ng OS
Super Admin
Ang mga karapatan sa lahat ng setting, pag-uulat at pamamahala, ay maaaring magtanggal at magbago ng mga kredensyal ng administrator
Hindi mabago, magtanggal ng isa pang profile mula sa grupong Super Admin
System Admin
Lahat ng mga setting sa tab na Mga Operasyon, pamamahala sa mga setting ng system, patakaran ng ANC, pagtingin sa mga ulat
Hindi mo maaaring baguhin ang mga patakaran maliban sa ANC o magsagawa ng mga gawain sa antas ng OS
Panlabas na RESTful Services (ERS) Admin
Buong pag-access sa Cisco ISE REST API
Para lang sa pahintulot, pamamahala ng mga lokal na user, host at security group (SG)
Operator ng External RESTful Services (ERS).
Mga Pahintulot sa Pagbasa ng Cisco ISE REST API
Para lang sa pahintulot, pamamahala ng mga lokal na user, host at security group (SG)
Figure 11. Paunang-natukoy na Cisco ISE Administrator Groups
8) Mga extra sa tab Awtorisasyon > Mga Pahintulot > Patakaran sa RBAC Maaari mong i-edit ang mga karapatan ng mga paunang natukoy na administrator.
Figure 12. Cisco ISE Administrator Preset Profile Rights Management
9) Sa tab Administrasyon > System > Mga Setting Ang lahat ng mga setting ng system ay magagamit (DNS, NTP, SMTP at iba pa). Maaari mong punan ang mga ito dito kung napalampas mo ang mga ito sa paunang pagsisimula ng device.
5. Konklusyon
Ito ang nagtatapos sa unang artikulo. Tinalakay namin ang pagiging epektibo ng solusyon ng Cisco ISE NAC, ang arkitektura nito, mga minimum na kinakailangan at mga opsyon sa pag-deploy, at paunang pag-install.
Sa susunod na artikulo, titingnan natin ang paggawa ng mga account, pagsasama sa Microsoft Active Directory, at paggawa ng access ng bisita.
Kung mayroon kang anumang mga katanungan sa paksang ito o nangangailangan ng tulong sa pagsubok ng produkto, mangyaring makipag-ugnayan .
Manatiling nakatutok para sa mga update sa aming mga channel (, , , , ).
Pinagmulan: www.habr.com