1. Giriş
Her şirketin, en küçüğünün bile, kimlik doğrulama, yetkilendirme ve kullanıcı muhasebesine (AAA protokol ailesi) ihtiyacı vardır. İlk aşamada AAA, RADIUS, TACACS+ ve DIAMETER gibi protokoller kullanılarak oldukça iyi bir şekilde uygulanmaktadır. Ancak kullanıcı ve şirket sayısı arttıkça görevlerin sayısı da artıyor: ana bilgisayarların ve BYOD cihazlarının maksimum görünürlüğü, çok faktörlü kimlik doğrulama, çok düzeyli erişim politikası oluşturma ve çok daha fazlası.
Bu tür görevler için NAC (Ağ Erişim Kontrolü) sınıfı çözümler mükemmeldir - ağ erişim kontrolü. Konuya adanmış bir dizi makalede (Kimlik Hizmetleri Motoru) - Dahili ağdaki kullanıcılara bağlama duyarlı erişim kontrolü sağlamaya yönelik NAC çözümü; çözümün mimarisine, sağlanmasına, yapılandırılmasına ve lisanslanmasına ayrıntılı bir şekilde göz atacağız.
Cisco ISE'nin şunları yapmanıza olanak sağladığını kısaca hatırlatmak isterim:
-
Özel bir WLAN üzerinde hızlı ve kolay bir şekilde konuk erişimi oluşturun;
-
BYOD cihazlarını tespit edin (örneğin, çalışanların işe getirdikleri ev bilgisayarları);
-
SGT güvenlik grubu etiketlerini kullanarak güvenlik politikalarını etki alanı ve etki alanı olmayan kullanıcılar arasında merkezileştirin ve uygulayın );
-
Belirli yazılımların yüklü olup olmadığını ve standartlara uygunluğunu (duruş) kontrol etmek için bilgisayarları kontrol edin;
-
Uç nokta ve ağ cihazlarını sınıflandırın ve profilini çıkarın;
-
Uç nokta görünürlüğü sağlayın;
-
Kullanıcı tabanlı bir politika oluşturmak için kullanıcıların oturum açma/kapama olay günlüklerini ve hesaplarını (kimliklerini) NGFW'ye gönderin;
-
Cisco StealthWatch ile yerel olarak entegre olun ve güvenlik olaylarına karışan şüpheli ana bilgisayarları karantinaya alın ();
-
Ve diğer özellikler AAA sunucular için standarttır.
Sektördeki meslektaşlarımız Cisco ISE hakkında zaten yazmışlar, bu yüzden okumanızı tavsiye ederim: ,.
2. mimari
Kimlik Hizmetleri Motoru mimarisinde 4 varlık (düğüm) bulunur: bir yönetim düğümü (İlke Yönetim Düğümü), bir ilke dağıtım düğümü (İlke Hizmet Düğümü), bir izleme düğümü (İzleme Düğümü) ve bir PxGrid düğümü (PxGrid Düğümü). Cisco ISE, bağımsız veya dağıtılmış bir kurulumda olabilir. Bağımsız sürümde, tüm varlıklar tek bir sanal makinede veya fiziksel sunucuda (Güvenli Ağ Sunucuları - SNS) bulunurken, Dağıtılmış sürümde düğümler farklı cihazlara dağıtılır.
Politika Yönetim Düğümü (PAN), Cisco ISE üzerindeki tüm yönetim işlemlerini gerçekleştirmenize olanak tanıyan gerekli bir düğümdür. AAA ile ilgili tüm sistem konfigürasyonlarını yönetir. Dağıtılmış bir yapılandırmada (düğümler ayrı sanal makineler olarak kurulabilir), hata toleransı için en fazla iki PAN'a sahip olabilirsiniz - Aktif/Bekleme modu.
Politika Hizmeti Düğümü (PSN), ağ erişimi, durum, konuk erişimi, istemci hizmeti sağlama ve profil oluşturma sağlayan zorunlu bir düğümdür. PSN politikayı değerlendirir ve uygular. Tipik olarak, daha fazla yedekli ve dağıtılmış çalışma için birden fazla PSN, özellikle dağıtılmış bir yapılandırmada kurulur. Elbette kimlik doğrulamalı ve yetkili erişim sağlama yeteneğini bir an bile kaybetmemek için bu düğümleri farklı segmentlere kurmaya çalışıyorlar.
İzleme Düğümü (MnT), olay günlüklerini, diğer düğümlerin günlüklerini ve ağdaki politikaları depolayan zorunlu bir düğümdür. MnT düğümü, izleme ve sorun giderme için gelişmiş araçlar sağlar, çeşitli verileri toplayıp derler ve ayrıca anlamlı raporlar sağlar. Cisco ISE, maksimum iki MnT düğümüne sahip olmanıza olanak tanır, böylece hata toleransı - Aktif/Bekleme modu oluşturulur. Ancak günlükler hem aktif hem de pasif olmak üzere her iki düğüm tarafından da toplanır.
PxGrid Düğümü (PXG), PxGrid protokolünü kullanan ve PxGrid'i destekleyen diğer cihazlar arasında iletişime izin veren bir düğümdür.
— farklı satıcıların BT ve bilgi güvenliği altyapısı ürünlerinin entegrasyonunu sağlayan bir protokol: izleme sistemleri, izinsiz giriş tespit ve önleme sistemleri, güvenlik politikası yönetim platformları ve diğer birçok çözüm. Cisco PxGrid, API'lere ihtiyaç duymadan birçok platformla bağlamı tek yönlü veya çift yönlü olarak paylaşmanıza olanak tanır ve böylece teknolojinin etkinleştirilmesini sağlar. (SGT etiketleri), ANC (Uyarlanabilir Ağ Kontrolü) politikasını değiştirin ve uygulayın, ayrıca cihaz modelini, işletim sistemini, konumu ve daha fazlasını belirleyerek profil oluşturma gerçekleştirin.
Yüksek kullanılabilirlik yapılandırmasında, PxGrid düğümleri, bilgileri bir PAN üzerinden düğümler arasında çoğaltır. PAN devre dışı bırakılırsa PxGrid düğümü kullanıcılar için kimlik doğrulamayı, yetkilendirmeyi ve hesap oluşturmayı durdurur.
Aşağıda, bir kurumsal ağdaki farklı Cisco ISE varlıklarının çalışmasının şematik bir temsili bulunmaktadır.
Şekil 1. Cisco ISE Mimarisi
3. Gereksinimler
Cisco ISE, çoğu modern çözüm gibi sanal veya fiziksel olarak ayrı bir sunucu olarak uygulanabilir.
Cisco ISE yazılımını çalıştıran fiziksel cihazlara SNS (Güvenli Ağ Sunucusu) adı verilir. Üç modeli mevcuttur: Küçük, orta ve büyük işletmelere yönelik SNS-3615, SNS-3655 ve SNS-3695. Tablo 1'de bilgiler gösterilmektedir: SNS.
Tablo 1. Farklı ölçeklere göre SNS karşılaştırma tablosu
Parametre
SNS 3615 (Küçük)
SNS 3655 (Orta)
SNS 3695 (Büyük)
Bağımsız bir kurulumda desteklenen uç nokta sayısı
10000
25000
50000
PSN başına desteklenen uç nokta sayısı
10000
25000
100000
CPU (Intel Xeon 2.10 GHz)
8 çekirdek
12 çekirdek
12 çekirdek
RAM
32 GB (2 x 16 GB)
96 GB (6 x 16 GB)
256 GB (16 x 16 GB)
HDD
1x600GB
4x600GB
8x600GB
Donanım RAID
Hayır
RAID 10, RAID denetleyicisinin varlığı
RAID 10, RAID denetleyicisinin varlığı
Ağ arayüzleri
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
2 x 10Gbase-T
4 x 1Gbase-T
Sanal uygulamalarla ilgili olarak, desteklenen hipervizörler VMware ESXi (ESXi 11 için minimum VMware sürüm 6.0 önerilir), Microsoft Hyper-V ve Linux KVM'dir (RHEL 7.0). Kaynaklar yaklaşık olarak yukarıdaki tabloda belirtilenlerle aynı veya daha fazla olmalıdır. Ancak küçük işletme sanal makinesi için minimum gereksinimler şunlardır: CPU 2 2.0 GHz ve üzeri frekansa sahip, 16 GB RAM и 200 GB HDD.
Diğer Cisco ISE dağıtım ayrıntıları için lütfen iletişime geçin veya , .
4. Kurulum
Diğer birçok Cisco ürünü gibi ISE de çeşitli şekillerde test edilebilir:
-
– önceden yüklenmiş laboratuvar düzenlerinin bulut hizmeti (Cisco hesabı gereklidir);
-
– gelen talep Belirli yazılımların Cisco'su (ortaklara yönelik yöntem). Aşağıdaki tipik açıklamaya sahip bir servis talebi oluşturursunuz: Ürün türü [ISE], ISE Yazılımı [ise-2.7.0.356.SPA.x8664], ISE Yaması [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— ücretsiz bir pilot proje yürütmek için yetkili herhangi bir ortakla iletişime geçin.
1) Sanal makine oluşturduktan sonra OVA şablonu yerine ISO dosyası talep ettiyseniz, ISE'nin bir kurulum seçmenizi istediği bir pencere açılacaktır. Bunu yapmak için kullanıcı adınız ve şifreniz yerine “ yazmalısınız.kurulum"!
Not: ISE'yi OVA şablonundan dağıttıysanız oturum açma ayrıntıları admin/MyIseYPass2 (bu ve çok daha fazlası resmi olarak belirtilmiştir ).
Şekil 2. Cisco ISE'yi Yükleme
2) Daha sonra IP adresi, DNS, NTP ve diğerleri gibi gerekli alanları doldurmalısınız.
Şekil 3. Cisco ISE'nin başlatılması
3) Bundan sonra cihaz yeniden başlatılacak ve daha önce belirttiğiniz IP adresini kullanarak web arayüzü üzerinden bağlanabileceksiniz.
Şekil 4. Cisco ISE Web Arayüzü
4) sekmesinde Yönetim > Sistem > Dağıtım belirli bir cihazda hangi düğümlerin (varlıkların) etkinleştirileceğini seçebilirsiniz. PxGrid düğümü burada etkinleştirilir.
Şekil 5. Cisco ISE Varlık Yönetimi
5) Ardından sekmede Yönetim > Sistem > Yönetici Erişimi > Doğrulama Bir şifre politikası, kimlik doğrulama yöntemi (sertifika veya şifre), hesabın son kullanma tarihi ve diğer ayarları ayarlamanızı öneririm.
Şekil 6. Kimlik doğrulama türü ayarıŞekil 7. Parola ilkesi ayarlarıŞekil 8. Süre dolduktan sonra hesabın kapatılmasını ayarlamaŞekil 9. Hesap kilitlemeyi ayarlama
6) sekmesinde Yönetim > Sistem > Yönetici Erişimi > Yöneticiler > Yönetici Kullanıcılar > Ekle yeni bir yönetici oluşturabilirsiniz.
Şekil 10. Yerel Cisco ISE Yöneticisi Oluşturma
7) Yeni yönetici, yeni bir grubun veya önceden tanımlanmış grupların parçası yapılabilir. Yönetici grupları sekmedeki aynı panelden yönetilir Yönetici Grupları. Tablo 2'de İMKB yöneticileri, hakları ve rolleri hakkında bilgiler özetlenmektedir.
Tablo 2. Cisco ISE Yönetici Grupları, Erişim Düzeyleri, İzinler ve Kısıtlamalar
Yönetici grubu adı
izin
Kısıtlamalar
Özelleştirme Yöneticisi
Konuk ve sponsorluk portallarının kurulması, yönetimi ve kişiselleştirmesi
Politikaları değiştirememe veya raporları görüntüleyememe
Yardım Masası Yöneticisi
Ana kontrol panelini, tüm raporları, alarmları ve sorun giderme akışlarını görüntüleme olanağı
Raporları, alarmları ve kimlik doğrulama günlüklerini değiştiremez, oluşturamaz veya silemezsiniz
Kimlik Yöneticisi
Kullanıcıları, ayrıcalıkları ve rolleri yönetme, günlükleri, raporları ve alarmları görüntüleme yeteneği
İşletim sistemi düzeyinde politikaları değiştiremez veya görevleri gerçekleştiremezsiniz
MnT Yöneticisi
Tam izleme, raporlar, alarmlar, günlükler ve bunların yönetimi
Herhangi bir politikanın değiştirilememesi
Ağ Cihazı Yöneticisi
ISE nesneleri oluşturma ve değiştirme, günlükleri, raporları, ana kontrol panelini görüntüleme hakları
İşletim sistemi düzeyinde politikaları değiştiremez veya görevleri gerçekleştiremezsiniz
Politika Yöneticisi
Tüm politikaların tam yönetimi, profillerin değiştirilmesi, ayarlar, raporların görüntülenmesi
Kimlik bilgileri ve ISE nesneleri ile ayarların gerçekleştirilememesi
RBAC Yöneticisi
İşlemler sekmesindeki tüm ayarlar, ANC ilkesi ayarları, raporlama yönetimi
ANC dışındaki politikaları değiştiremez veya işletim sistemi düzeyinde görevleri gerçekleştiremezsiniz
Süper Yönetici
Tüm ayarlara, raporlamaya ve yönetime ilişkin haklar, yönetici kimlik bilgilerini silebilir ve değiştirebilir
Süper Yönetici grubundan başka bir profil değiştirilemez, silinemez
Sistem Yöneticisi
İşlemler sekmesindeki tüm ayarlar, sistem ayarlarının yönetilmesi, ANC politikası, raporların görüntülenmesi
ANC dışındaki politikaları değiştiremez veya işletim sistemi düzeyinde görevleri gerçekleştiremezsiniz
Harici RESTful Hizmetler (ERS) Yöneticisi
Cisco ISE REST API'sine tam erişim
Yalnızca yerel kullanıcıların, ana bilgisayarların ve güvenlik gruplarının (SG) yetkilendirilmesi ve yönetimi için
Harici RESTful Hizmetler (ERS) Operatörü
Cisco ISE REST API Okuma İzinleri
Yalnızca yerel kullanıcıların, ana bilgisayarların ve güvenlik gruplarının (SG) yetkilendirilmesi ve yönetimi için
Şekil 11. Önceden Tanımlanmış Cisco ISE Yönetici Grupları
8) Sekmede isteğe bağlı Yetkilendirme > İzinler > RBAC Politikası Önceden tanımlanmış yöneticilerin haklarını düzenleyebilirsiniz.
Şekil 12. Cisco ISE Yöneticisi Önceden Ayarlanmış Profil Hakları Yönetimi
9) sekmesinde Yönetim > Sistem > Ayarlar Tüm sistem ayarları mevcuttur (DNS, NTP, SMTP ve diğerleri). Cihazın ilk başlatılması sırasında kaçırdıysanız, bunları buradan doldurabilirsiniz.
5. Sonuç
Bu, ilk makaleyi tamamlıyor. Cisco ISE NAC çözümünün etkinliğini, mimarisini, minimum gereksinimleri ve dağıtım seçeneklerini ve ilk kurulumunu tartıştık.
Bir sonraki makalede hesap oluşturmaya, Microsoft Active Directory ile entegrasyona ve konuk erişimi oluşturmaya bakacağız.
Bu konuyla ilgili sorularınız varsa veya ürünü test etmek için yardıma ihtiyacınız varsa, lütfen bizimle iletişime geçin. .
Kanallarımızdaki güncellemeler için bizi izlemeye devam edin (, , , , ).
Kaynak: habr.com