1. Вступ
Кожна компанія, навіть найменша, потребує проведення аутентифікації, авторизації та обліку користувачів (сімейство протоколів ААА). На початковому етапі ААА цілком добре реалізується з використанням таких протоколів, як RADIUS, TACACS+ і DIAMETER. Однак зі зростанням кількості користувачів та компанії, зростає і кількість завдань: максимальна видимість хостів та BYOD пристроїв, багатофакторна автентифікація, створення багаторівневої політики доступу та багато іншого.
Для таких завдань чудово підходить клас рішень NAC (Network Access Control) – контроль мережевого доступу. У циклі статей, присвяченому (Identity Services Engine) - NAC рішення для надання контролю доступу користувачам до внутрішньої мережі з урахуванням контексту, ми докладно розглянемо архітектуру, ініціалізацію, налаштування та ліцензування рішення.
Коротко нагадаю, що Cisco ISE дозволяє:
-
Швидко та просто створювати гостьовий доступ у виділеній WLAN;
-
Виявляти BYOD пристрої (наприклад, домашні ПК співробітників, які вони принесли працювати);
-
Централізувати та застосовувати політики безпеки до доменних та не доменних користувачів за допомогою міток груп безпеки SGT (технологія );
-
Перевіряти комп'ютери на наявність встановленого ПЗ та дотримання стандартів (posturing);
-
Класифікувати та профільувати кінцеві та мережеві пристрої;
-
надавати видимість кінцевих пристроїв;
-
Віддавати журнали подій logon/logoff користувачів, їх обліки (identity) на NGFW для формування user-based політики;
-
Нативно інтегруватися з Cisco StealthWatch і вносити до карантину підозрілі хости, що беруть участь в інцидентах безпеки ();
-
та інші стандартні для ААА сервера фічі.
Про Cisco ISE вже писали колеги з галузі, тому надалі раджу ознайомитись: ,.
2. архітектура
В архітектурі Identity Services Engine є 4 сутності (ноди): нода управління (Policy Administration Node), нода розподілу політик (Policy Service Node), моніторингова нода (Monitoring Node) та PxGrid нода (PxGrid Node). Сisco ISE може бути в автономній (standalone) або розподіленій (distributed) інсталяції. У Standalone варіанті всі сутності знаходяться на одній віртуальній машині або фізичному сервері (Secure Network Servers - SNS), коли Distributed - ноди розподілені по різних пристроях.
Policy Administration Node (PAN) — це обов'язкова нода, яка дозволяє виконувати всі адміністративні операції на Cisco ISE. Вона обробляє всі системні зміни, пов'язані з ААА. У розподіленій конфігурації (ноди можна встановлювати як окремі віртуальні машини) у вас може бути максимум дві PAN для стійкості до відмови — Active/Standby режим.
Policy Service Node (PSN) – обов'язкова нода, яка забезпечує доступ до мережі, стан, гостьовий доступ, надання послуг клієнтам та профільування. PSN оцінює політику та застосовує її. Як правило, PSN встановлюється кілька, особливо в розподіленій конфігурації, для надмірної та розподіленої роботи. Звичайно ж, ці ноди намагаються встановлювати у різних сегментах, щоб не втрачати можливості забезпечення автентифікованого та авторизованого доступу ні на секунду.
Monitoring Node (MnT) – обов'язкова нода, яка зберігає журнали подій, логи інших нод та політик у мережі. MnT нода надає розширені інструменти для моніторингу та усунення несправностей, збирає та зіставляє різні дані, також надає змістовні звіти. Cisco ISE дозволяє мати максимум дві MnT ноди, тим самим формуючи стійкість до відмови - Active/Standby режим. Проте, логи збирають обидві ноди, як активна, і пасивна.
PxGrid Node (PXG) — нода, що застосовує протокол PxGrid та забезпечує спілкування між іншими пристроями, які підтримують PxGrid.
— протокол, який забезпечує інтеграцію продуктів ІТ- та ІБ-інфраструктури різних вендорів: систем моніторингу, систем виявлення та запобігання вторгненням, платформ управління політиками безпеки та безлічі інших рішень. Cisco PxGrid дозволяє обмінюватися контекстом в односпрямованому або двонаправленому режимі з багатьма платформами без необхідності використання API, тим самим дозволяючи використовувати технологію (SGT мітки), змінювати та застосовувати ANC (Adaptive Network Control) політику, а також здійснювати профіль - визначення моделі пристрою, ОС, місцезнаходження та інше.
У конфігурації високої доступності PxGrid ноди реплікують інформацію між нодами через PAN. У випадку, якщо PAN відключається, PxGrid перестає автентифікувати, авторизувати та проводити облік користувачів.
Нижче схематично зображено роботу різних сутностей Cisco ISE у корпоративній мережі.
Рисунок 1. Архітектура Cisco ISE
3. Вимоги
Cisco ISE може бути впроваджений, як і більшість сучасних рішень, віртуально або фізично як окремий сервер.
Фізичні пристрої з встановленим програмним забезпеченням Cisco ISE називаються SNS (Secure Network Server). Вони бувають трьох моделей: SNS-3615, SNS-3655 та SNS-3695 для малого, середнього та великого бізнесу. У таблиці 1 наведено інформацію з SNS.
Таблиця 1. Порівняльна таблиця SNS для різних масштабів
Параметр
SNS 3615 (Small)
SNS 3655 (Medium)
SNS 3695 (Large)
Кількість підтримуваних кінцевих пристроїв у Standalone інсталяції
10000
25000
50000
Кількість підтримуваних кінцевих пристроїв для кожної PSN
10000
25000
100000
CPU (Intel Xeon 2.10 ГГц)
8 ядер
12 ядер
12 ядер
Оперативна пам'ять
32 Гб (2 x 16 Гб)
96 Гб (6 x 16 Гб)
256 Гб (16 x 16 Гб)
жорсткий диск
1 х 600 Гб
4 х 600 Гб
8 х 600 Гб
Апаратний RAID
Ні
RAID 10, наявність RAID контролера
RAID 10, наявність RAID контролера
Мережеві інтерфейси
2 х 10Gbase-T
4 х 1Gbase-T
2 х 10Gbase-T
4 х 1Gbase-T
2 х 10Gbase-T
4 х 1Gbase-T
Щодо віртуальних впроваджень, підтримуються гіпервізори VMware ESXi (рекомендується мінімум VMware версія 11 для ESXi 6.0), Microsoft Hyper-V та Linux KVM (RHEL 7.0). Ресурси повинні бути приблизно такі ж, як і в таблиці вище або більше. Тим не менш, мінімальні вимоги віртуальної машини для малого бізнесу: Процесор 2 з частотою 2.0 ГГц і вище, 16 Гб RAM и 200 Гб HDD.
Зверніться до інших деталей розгортання Cisco ISE. або до , .
4. Встановлення
Як і більшість інших продуктів Cisco, ISE можна протестувати кількома способами:
-
– хмарний сервіс встановлених лабораторних макетів (необхідний обліковий запис Cisco);
-
- Запит з Cisco певного софту (метод для партнерів). Ви створюєте кейс з наступним типовим описом: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
- Зверніться до будь-якого авторизованого партнера для проведення безкоштовного пілотного проекту.
1) Створивши віртуальну машину, якщо ви запросили ISO файл, а не шаблон OVA, у вас вилізе вікно, в якому ISE вимагає вибрати установку. Для цього замість логіну та пароля слід написати «установка«!
Примітка: якщо ви розгорнули ISE із OVA шаблону, то дані для входу admin / MyIseYPass2 (це і багато іншого вказано в офіційному ).
Рисунок 2. Встановлення Cisco ISE
2) Потім слід заповнити необхідні поля, такі як IP-адреса, DNS, NTP та інші.
Рисунок 3. Ініціалізація Cisco ISE
3) Після цього пристрій перезавантажиться, і ви зможете підключитися по веб-інтерфейсу за заданою раніше IP-адресою.
Рисунок 4. Веб-інтерфейс Cisco ISE
4) У вкладці Administration > System > Deployment можна вибрати, які ноди (сутності) включені на тому чи іншому пристрої. Нода PxGrid вмикається тут же.
Рисунок 5. Керування сутностями Cisco ISE
5) Потім у вкладці Administration > System > Admin Access > Authentication рекомендую налаштувати політику паролів, метод автентифікації (сертифікат або пароль), термін закінчення облікового запису та інші налаштування.
Малюнок 6. Налаштування типу аутентифікаціїРисунок 7. Налаштування політики паролівРисунок 8. Налаштування вимкнення облікового запису після закінчення часуМалюнок 9. Налаштування блокування облікових записів
6) У вкладці Administration > System > Admin Access > Administrators > Admin Users > Add можна створити нового адміністратора.
Рисунок 10. Створення локального адміністратора Cisco ISE
7) Нового адміністратора можна зробити частиною нової групи або вже встановлених груп. Управління групами адміністраторів здійснюється на цій же панелі у вкладці Admin Groups. У таблиці 2 зведено інформацію про адміністраторів ISE, їхні права та ролі.
Таблиця 2. Групи адміністраторів Cisco ISE, рівні доступу, дозволи та обмеження
Назва групи адміністраторів
Дозволи
Обмеження
Customization Admin
Налаштування гостьового, спонсорського порталів, адміністрування та кастомізація
Неможливість змінювати політики, переглядати звіти
Helpdesk Admin
Можливість переглядати головний дашборд, усі звіти, ларми та траблшутити потоки
Не можна змінювати, створювати та видаляти звіти, аларми та логи аутентифікації
Identity Admin
Управління користувачами, привілеями та ролями, можливість дивитися логи, звіти та аларми
Не можна змінювати політики, виконувати завдання лише на рівні ОС
MnT Admin
Повний моніторинг, звіти, аларми, логи та управління ними
Неможливість змінювати жодні політики
Network Device Admin
Права на створення, зміна об'єктів ISE, перегляд логів, звітів, головного дашборду
Не можна змінювати політики, виконувати завдання лише на рівні ОС
Policy Admin
Повне керування всіма політиками, зміна профілів, налаштувань, перегляд звітності
Неможливість виконувати налаштування з обліковими даними, об'єктами ISE
RBAC Admin
Усі налаштування у вкладці Operations, налаштування ANC політики, керування звітністю
Не можна змінювати інші, крім ANC політики, виконувати завдання на рівні ОС
суперадміністратора
Права на всі налаштування, звітність та управління може видаляти та змінювати облікові дані адміністраторів
Не може змінити, видалити інший профіль із групи Super Admin
Системний адміністратор
Усі налаштування у вкладці Operations, керування системними налаштуваннями, політикою ANC, перегляд звітності
Не можна змінювати інші, крім ANC політики, виконувати завдання на рівні ОС
External RESTful Services (ERS) Admin
Повний доступ до REST API Cisco ISE
Тільки для авторизації, управління локальними користувачами, хостами та групами безпеки (SG)
External RESTful Services (ERS) Operator
Права на читання REST API Cisco ISE
Тільки для авторизації, управління локальними користувачами, хостами та групами безпеки (SG)
Рисунок 11. Попередньо встановлені групи адміністраторів Cisco ISE
8) Додатково у вкладці Authorization > Permissions > RBAC Policy можна редагувати права встановлених адміністраторів.
Рисунок 12. Керування правами встановлених профілів адміністраторів Cisco ISE
9) У вкладці Administration > System > Settings доступні всі системні установки (DNS, NTP, SMTP та інші). Ви можете заповнити їх тут, якщо пропустили при початковій ініціалізації пристрою.
5. висновок
На цьому перша стаття добігла кінця. Ми обговорили ефективність NAC рішення Cisco ISE, його архітектуру, мінімальні вимоги та варіанти розгортання та первинну установку.
У наступній статті ми розглянемо створення облікових записів, інтеграцію з Microsoft Active Directory та створення гостьового доступу.
Якщо у вас виникли питання з цієї тематики або ж потрібна допомога в тестуванні продукту, звертайтесь за .
Слідкуйте за оновленнями наших каналів (, , , , ).
Джерело: habr.com