ProHoster > Blog > Ma'muriyat > Cisco ISE: Kirish, talablar, o'rnatish. 1-qism

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism

1. Kirish

Har bir kompaniya, hatto eng kichigi ham, autentifikatsiya, avtorizatsiya va foydalanuvchi hisobiga ehtiyoj sezadi (AAA protokollari oilasi). Dastlabki bosqichda AAA RADIUS, TACACS+ va DIAMETER kabi protokollar yordamida juda yaxshi amalga oshiriladi. Biroq, foydalanuvchilar soni va kompaniya o'sishi bilan vazifalar soni ham oshadi: xostlar va BYOD qurilmalarining maksimal ko'rinishi, ko'p faktorli autentifikatsiya, ko'p darajali kirish siyosatini yaratish va boshqalar.

Bunday vazifalar uchun NAC (Network Access Control) klassi yechimlar mukammaldir - tarmoqqa kirishni boshqarish. bag'ishlangan maqolalar turkumida Cisco ISE (Identity Services Engine) - ichki tarmoqdagi foydalanuvchilarga kontekstdan xabardor kirishni boshqarishni ta'minlash uchun NAC yechimi, biz yechimning arxitekturasi, ta'minlanishi, konfiguratsiyasi va litsenziyalanishini batafsil ko'rib chiqamiz.

Sizga qisqacha eslatib o'taman, Cisco ISE sizga quyidagilarga imkon beradi:

  • Maxsus WLAN-da mehmonlarga tez va oson kirishni yaratish;

  • BYOD qurilmalarini aniqlash (masalan, xodimlarning ish joyiga olib kelgan uy kompyuterlari);

  • SGT xavfsizlik guruhi belgilaridan foydalangan holda domen va nodomen foydalanuvchilar boʻylab xavfsizlik siyosatlarini markazlashtiring va amalga oshiring TrustSec);

  • Kompyuterlarni o'rnatilgan muayyan dasturiy ta'minot va standartlarga muvofiqligini tekshirish (posturing);

  • Oxirgi nuqta va tarmoq qurilmalarini tasniflash va profillash;

  • Yakuniy nuqta ko'rinishini ta'minlash;

  • Foydalanuvchiga asoslangan siyosatni shakllantirish uchun foydalanuvchilarning tizimga kirish/chiqish hodisalari jurnallarini, ularning hisoblarini (identifikatsiyasini) NGFWga yuborish;

  • Cisco StealthWatch bilan mahalliy integratsiya qiling va xavfsizlik hodisalarida ishtirok etgan shubhali xostlarni karantinga oling (batafsil ma'lumot);

  • Va AAA serverlari uchun standart boshqa xususiyatlar.

Sanoatdagi hamkasblar allaqachon Cisco ISE haqida yozishgan, shuning uchun men sizga o'qishni maslahat beraman: Cisco ISE amalga oshirish amaliyoti, Cisco ISE-ni joriy etishga qanday tayyorgarlik ko'rish kerak.

2. Arxitektura

Identity Services Engine arxitekturasida 4 ta ob'ekt (tugun) mavjud: boshqaruv tugun (Policy Administration Node), siyosat tarqatish tugunlari (Policy Service Node), monitoring tugunlari (Monitoring Node) va PxGrid tugunlari (PxGrid tugunlari). Cisco ISE mustaqil yoki taqsimlangan o'rnatishda bo'lishi mumkin. Mustaqil versiyada barcha ob'ektlar bitta virtual mashina yoki jismoniy serverda (Secure Network Servers - SNS) joylashgan bo'lsa, Taqsimlangan versiyada tugunlar turli qurilmalar bo'ylab taqsimlanadi.

Policy Administration Node (PAN) - bu Cisco ISE da barcha ma'muriy operatsiyalarni bajarishga imkon beruvchi talab qilinadigan tugun. U AAA bilan bog'liq barcha tizim konfiguratsiyalarini boshqaradi. Tarqalgan konfiguratsiyada (tugunlar alohida virtual mashinalar sifatida o'rnatilishi mumkin), siz xatolarga chidamlilik uchun maksimal ikkita PANga ega bo'lishingiz mumkin - Faol/Kutish rejimi.

Policy Service Node (PSN) - bu tarmoqqa kirish, holat, mehmonlarga kirish, mijozlarga xizmat ko'rsatish va profil yaratishni ta'minlaydigan majburiy tugun. PSN siyosatni baholaydi va uni qo'llaydi. Odatda, ko'proq ortiqcha va taqsimlangan ishlash uchun bir nechta PSN o'rnatiladi, ayniqsa taqsimlangan konfiguratsiyada. Albatta, ular bir soniya davomida autentifikatsiya qilingan va ruxsat etilgan kirishni ta'minlash qobiliyatini yo'qotmaslik uchun ushbu tugunlarni turli segmentlarga o'rnatishga harakat qilishadi.

Monitoring Node (MnT) - bu hodisa jurnallari, boshqa tugunlar jurnallari va tarmoqdagi siyosatlarni saqlaydigan majburiy tugun. MnT tuguni monitoring va muammolarni bartaraf etish uchun ilg'or vositalarni taqdim etadi, turli ma'lumotlarni to'playdi va korrelyatsiya qiladi, shuningdek, mazmunli hisobotlarni taqdim etadi. Cisco ISE sizga ko'pi bilan ikkita MnT tuguniga ega bo'lish imkonini beradi va shu bilan nosozlikka chidamlilikni yaratadi - Faol/Kutish rejimi. Biroq, jurnallar ikkala tugun tomonidan ham faol, ham passiv tomonidan to'planadi.

PxGrid tugun (PXG) - bu PxGrid protokolidan foydalanadigan va PxGrid-ni qo'llab-quvvatlaydigan boshqa qurilmalar o'rtasida aloqa qilish imkonini beruvchi tugun.

PxGrid  — turli ishlab chiqaruvchilarning IT va axborot xavfsizligi infratuzilmasi mahsulotlarini integratsiyalashuvini ta'minlaydigan protokol: monitoring tizimlari, hujumlarni aniqlash va oldini olish tizimlari, xavfsizlik siyosatini boshqarish platformalari va boshqa ko'plab echimlar. Cisco PxGrid sizga kontekstni bir yoki ikki yo'nalishli tarzda ko'plab platformalar bilan API-ga ehtiyoj sezmasdan almashish imkonini beradi va shu bilan texnologiyani faollashtiradi. TrustSec (SGT teglari), ANC (Adaptive Network Control) siyosatini o'zgartiring va qo'llang, shuningdek, profilni amalga oshiring - qurilma modelini, operatsion tizimini, joylashuvini va boshqalarni aniqlash.

Mavjudligi yuqori konfiguratsiyada PxGrid tugunlari PAN orqali tugunlar o'rtasida ma'lumotni takrorlaydi. Agar PAN o'chirilgan bo'lsa, PxGrid tuguni foydalanuvchilarni autentifikatsiya qilish, avtorizatsiya qilish va hisobga olishni to'xtatadi. 

Quyida korporativ tarmoqdagi turli Cisco ISE ob'ektlari ishlashining sxematik tasviri keltirilgan.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism1-rasm. Cisco ISE Architecture

3. Talablar

Cisco ISE ko'pgina zamonaviy echimlar singari virtual yoki jismoniy jihatdan alohida server sifatida amalga oshirilishi mumkin. 

Cisco ISE dasturi bilan ishlaydigan jismoniy qurilmalar SNS (Secure Network Server) deb ataladi. Ular uchta modelda mavjud: kichik, o'rta va yirik biznes uchun SNS-3615, SNS-3655 va SNS-3695. 1-jadvalda ma'lumotlar ko'rsatilgan tafsilotli ro'yxat SNS.

Jadval 1. Turli masshtablar uchun SNS ning taqqoslash jadvali

Parametr

SNS 3615 (Kichik)

SNS 3655 (Oʻrta)

SNS 3695 (katta)

Mustaqil o'rnatishda qo'llab-quvvatlanadigan so'nggi nuqtalar soni

10000

25000

50000

PSN uchun qo'llab-quvvatlanadigan so'nggi nuqtalar soni

10000

25000

100000

CPU (Intel Xeon 2.10 GGts)

8 yadro

12 yadro

12 yadro

Ram 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1 x 600 GB

4 x 600 GB

8 x 600 GB

Uskuna RAID

yo'q

RAID 10, RAID tekshiruvi mavjudligi

RAID 10, RAID tekshiruvi mavjudligi

Tarmoq interfeyslari

2 x 10 Gbase-T

4 x 1 Gbase-T 

2 x 10 Gbase-T

4 x 1 Gbase-T 

2 x 10 Gbase-T

4 x 1 Gbase-T

Virtual ilovalarga kelsak, qo'llab-quvvatlanadigan gipervisorlar VMware ESXi (ESXi 11 uchun minimal VMware versiyasi 6.0 tavsiya etiladi), Microsoft Hyper-V va Linux KVM (RHEL 7.0). Resurslar yuqoridagi jadvaldagi bilan taxminan bir xil yoki undan ko'p bo'lishi kerak. Biroq, kichik biznes virtual mashinasi uchun minimal talablar: 2 protsessor 2.0 gigagertsli va undan yuqori chastotali, 16 GB operativ xotira и 200 Gb Qattiq disk. 

Boshqa Cisco ISE tarqatish tafsilotlari uchun murojaat qiling bizni yoki №1 manba, №2 manba.

4. O'rnatish

Ko'pgina boshqa Cisco mahsulotlari singari, ISE ham bir necha usulda sinovdan o'tkazilishi mumkin:

  • dcloud – oldindan oʻrnatilgan laboratoriya sxemalarining bulutli xizmati (Cisco hisob qaydnomasi talab qilinadi);

  • GVE so'rovi - dan so'rov sayt Muayyan dasturiy ta'minotning Cisco (hamkorlar uchun usul). Siz quyidagi odatiy tavsifga ega ish yaratasiz: Mahsulot turi [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • pilot loyiha — bepul tajriba loyihasini o‘tkazish uchun har qanday vakolatli hamkor bilan bog‘laning.

1) Virtual mashinani yaratganingizdan so'ng, agar siz OVA shablonini emas, balki ISO faylini so'ragan bo'lsangiz, ISE sizdan o'rnatishni tanlashingizni talab qiladigan oyna ochiladi. Buning uchun login va parol o'rniga " deb yozishingiz kerak.sozlash"!

Eslatma: agar siz ISE-ni OVA shablonidan joylashtirgan bo'lsangiz, u holda kirish ma'lumotlari admin/MyIseYPass2 (bu va yana ko'p narsalar rasmiyda ko'rsatilgan hidoyat).

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism2-rasm. Cisco ISE ni o'rnatish

2) Keyin siz IP-manzil, DNS, NTP va boshqalar kabi kerakli maydonlarni to'ldirishingiz kerak.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism3-rasm. Cisco ISE ni ishga tushirish

3) Shundan so'ng, qurilma qayta ishga tushadi va siz avval ko'rsatilgan IP-manzil yordamida veb-interfeys orqali ulanishingiz mumkin bo'ladi.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism4-rasm. Cisco ISE veb-interfeysi

4) Yorliqda Ma'muriyat > Tizim > Joylashtirish muayyan qurilmada qaysi tugunlar (ob'ektlar) yoqilganligini tanlashingiz mumkin. PxGrid tuguni bu yerda yoqilgan.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qismShakl 5. Cisco ISE Entity Management

5) Keyin yorliqda Boshqaruv > Tizim > Administratorga kirish > Haqiqiylikni tekshirish Men parol siyosatini, autentifikatsiya usulini (sertifikat yoki parol), hisobning amal qilish muddatini va boshqa sozlamalarni o'rnatishni tavsiya qilaman.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qismRasm 6. Autentifikatsiya turini sozlashCisco ISE: Kirish, talablar, o'rnatish. 1-qismRasm 7. Parol siyosati sozlamalariCisco ISE: Kirish, talablar, o'rnatish. 1-qismRasm 8. Vaqt tugagandan so'ng hisobni o'chirishni sozlashCisco ISE: Kirish, talablar, o'rnatish. 1-qismRasm 9. Hisob qaydnomasini bloklashni sozlash

6) Yorliqda Ma'muriyat > Tizim > Administratorga kirish > Administratorlar > Administrator foydalanuvchilari > Qo‘shish yangi administrator yaratishingiz mumkin.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qism10-rasm. Mahalliy Cisco ISE administratorini yaratish

7) Yangi administrator yangi guruh yoki oldindan belgilangan guruhlarning bir qismiga aylanishi mumkin. Administrator guruhlari yorliqdagi bir xil panelda boshqariladi Administrator guruhlari. 2-jadvalda ISE ma'murlari, ularning huquqlari va rollari haqidagi ma'lumotlar jamlangan.

2-jadval. Cisco ISE administrator guruhlari, kirish darajalari, ruxsatlar va cheklovlar

Administrator guruhi nomi

Qarorlar

Cheklovlar

Moslashtirish administratori

Mehmon va homiylik portallarini o'rnatish, boshqaruv va moslashtirish

Siyosatlarni o'zgartirish yoki hisobotlarni ko'rish mumkin emas

Yordam xizmati admini

Asosiy asboblar panelini, barcha hisobotlarni, larmlarni va muammolarni bartaraf etish oqimlarini ko'rish imkoniyati

Siz hisobotlarni, signallarni va autentifikatsiya jurnallarini o'zgartira olmaysiz, yarata olmaysiz yoki o'chira olmaysiz

Identity Admin

Foydalanuvchilarni, imtiyozlar va rollarni boshqarish, jurnallar, hisobotlar va signallarni ko'rish qobiliyati

Siz OS darajasida siyosatlarni o'zgartira olmaysiz yoki vazifalarni bajara olmaysiz

MnT Admin

To'liq monitoring, hisobotlar, signallar, jurnallar va ularni boshqarish

Har qanday siyosatni o'zgartira olmaslik

Tarmoq qurilmasi boshqaruvchisi

ISE ob'ektlarini yaratish va o'zgartirish, jurnallarni, hisobotlarni, asosiy boshqaruv panelini ko'rish huquqlari

Siz OS darajasida siyosatlarni o'zgartira olmaysiz yoki vazifalarni bajara olmaysiz

Siyosat administratori

Barcha siyosatlarni to'liq boshqarish, profillarni o'zgartirish, sozlamalar, hisobotlarni ko'rish

Hisob ma'lumotlari, ISE ob'ektlari bilan sozlamalarni bajara olmaslik

RBAC administratori

Operatsiyalar yorlig'idagi barcha sozlamalar, ANC siyosati sozlamalari, hisobotlarni boshqarish

Siz ANCdan boshqa siyosatlarni o'zgartira olmaysiz yoki OS darajasida vazifalarni bajara olmaysiz

Super Admin

Barcha sozlamalarga, hisobot va boshqaruvga bo'lgan huquqlar administrator hisob ma'lumotlarini o'chirishi va o'zgartirishi mumkin

O‘zgartirib bo‘lmaydi, Super Admin guruhidan boshqa profilni o‘chirib tashlang

Tizim administratori

Operatsiyalar yorlig'idagi barcha sozlamalar, tizim sozlamalarini boshqarish, ANC siyosati, hisobotlarni ko'rish

Siz ANCdan boshqa siyosatlarni o'zgartira olmaysiz yoki OS darajasida vazifalarni bajara olmaysiz

Tashqi RESTful Services (ERS) administratori

Cisco ISE REST API-ga to'liq kirish

Faqat avtorizatsiya, mahalliy foydalanuvchilar, xostlar va xavfsizlik guruhlarini boshqarish uchun (SG)

Tashqi RESTful Services (ERS) operatori

Cisco ISE REST API o'qish uchun ruxsatnomalar

Faqat avtorizatsiya, mahalliy foydalanuvchilar, xostlar va xavfsizlik guruhlarini boshqarish uchun (SG)

Cisco ISE: Kirish, talablar, o'rnatish. 1-qismShakl 11. Oldindan belgilangan Cisco ISE administrator guruhlari

8) Yorliqdagi qo'shimchalar Avtorizatsiya > Ruxsatlar > RBAC siyosati Oldindan belgilangan administratorlarning huquqlarini tahrirlashingiz mumkin.

Cisco ISE: Kirish, talablar, o'rnatish. 1-qismShakl 12. Cisco ISE Administrator oldindan o'rnatilgan profil huquqlarini boshqarish

9) Yorliqda Ma'muriyat > Tizim > Sozlamalar Barcha tizim sozlamalari mavjud (DNS, NTP, SMTP va boshqalar). Agar qurilmani ishga tushirish paytida ularni o'tkazib yuborgan bo'lsangiz, ularni shu yerda to'ldirishingiz mumkin.

5. Xulosa

Bu birinchi maqolani yakunlaydi. Biz Cisco ISE NAC yechimining samaradorligi, uning arxitekturasi, minimal talablari va joylashtirish imkoniyatlari va dastlabki o‘rnatishni muhokama qildik.

Keyingi maqolada biz hisob qaydnomalarini yaratish, Microsoft Active Directory bilan integratsiya qilish va mehmonlarga kirish huquqini yaratishni ko'rib chiqamiz.

Agar sizda ushbu mavzu bo'yicha savollaringiz bo'lsa yoki mahsulotni sinab ko'rishda yordamga muhtoj bo'lsangiz, iltimos, murojaat qiling aloqa.

Kanallarimizdagi yangiliklarni kuzatib boring (TelegramFacebookVKTS yechimlari blogiYandex Zen).

Manba: www.habr.com

a Izoh qo'shish