Prohoster > Blog > quản lý > Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1

XUẤT KHẨU. Giới thiệu

Mọi công ty, ngay cả công ty nhỏ nhất, đều có nhu cầu xác thực, ủy quyền và tính toán người dùng (họ giao thức AAA). Ở giai đoạn đầu, AAA được triển khai khá tốt bằng cách sử dụng các giao thức như RADIUS, TACACS+ và DIAMETER. Tuy nhiên, khi số lượng người dùng và công ty tăng lên, số lượng nhiệm vụ cũng tăng theo: khả năng hiển thị tối đa của máy chủ và thiết bị BYOD, xác thực đa yếu tố, tạo chính sách truy cập đa cấp và hơn thế nữa.

Đối với những tác vụ như vậy, lớp giải pháp NAC (Kiểm soát truy cập mạng) là hoàn hảo - kiểm soát truy cập mạng. Trong loạt bài viết dành riêng cho ISE của Cisco (Công cụ dịch vụ nhận dạng) - Giải pháp NAC cung cấp khả năng kiểm soát truy cập theo ngữ cảnh cho người dùng trên mạng nội bộ, chúng ta sẽ xem xét chi tiết về kiến ​​trúc, cung cấp, cấu hình và cấp phép của giải pháp.

Hãy để tôi nhắc bạn ngắn gọn rằng Cisco ISE cho phép bạn:

  • Nhanh chóng và dễ dàng tạo quyền truy cập của khách trên mạng WLAN chuyên dụng;

  • Phát hiện các thiết bị BYOD (ví dụ: PC tại nhà của nhân viên mà họ mang đi làm);

  • Tập trung và thực thi các chính sách bảo mật giữa người dùng miền và không thuộc miền bằng nhãn nhóm bảo mật SGT TrustSec);

  • Kiểm tra máy tính để biết phần mềm nhất định đã được cài đặt và tuân thủ các tiêu chuẩn (tư thế);

  • Phân loại và lập hồ sơ thiết bị đầu cuối và mạng;

  • Cung cấp khả năng hiển thị điểm cuối;

  • Gửi nhật ký sự kiện đăng nhập/đăng xuất của người dùng, tài khoản (danh tính) của họ tới NGFW để hình thành chính sách dựa trên người dùng;

  • Tích hợp nguyên bản với Cisco StealthWatch và cách ly các máy chủ đáng ngờ liên quan đến sự cố bảo mật (hơn);

  • Và các tính năng khác tiêu chuẩn cho máy chủ AAA.

Các đồng nghiệp trong ngành đã viết về Cisco ISE, vì vậy tôi khuyên bạn nên đọc: Thực hành triển khai Cisco ISE, Cách chuẩn bị cho việc triển khai Cisco ISE.

XUẤT KHẨU. Kiến trúc

Kiến trúc Công cụ dịch vụ nhận dạng có 4 thực thể (nút): nút quản lý (Nút quản trị chính sách), nút phân phối chính sách (Nút dịch vụ chính sách), nút giám sát (Nút giám sát) và nút PxGrid (Nút PxGrid). Cisco ISE có thể được cài đặt độc lập hoặc phân tán. Trong phiên bản Độc lập, tất cả các thực thể được đặt trên một máy ảo hoặc máy chủ vật lý (Máy chủ mạng an toàn - SNS), trong khi ở phiên bản Phân phối, các nút được phân phối trên các thiết bị khác nhau.

Nút quản trị chính sách (PAN) là nút bắt buộc cho phép bạn thực hiện tất cả các hoạt động quản trị trên Cisco ISE. Nó xử lý tất cả các cấu hình hệ thống liên quan đến AAA. Trong cấu hình phân tán (các nút có thể được cài đặt dưới dạng máy ảo riêng biệt), bạn có thể có tối đa hai PAN để chịu lỗi - Chế độ Hoạt động/Chờ.

Nút dịch vụ chính sách (PSN) là nút bắt buộc cung cấp quyền truy cập mạng, trạng thái, quyền truy cập của khách, cung cấp dịch vụ khách hàng và lập hồ sơ. PSN đánh giá chính sách và áp dụng nó. Thông thường, nhiều PSN được cài đặt, đặc biệt là trong cấu hình phân tán, để có nhiều hoạt động dự phòng và phân tán hơn. Tất nhiên, họ cố gắng cài đặt các nút này ở các phân đoạn khác nhau để không làm mất khả năng cung cấp quyền truy cập được xác thực và ủy quyền trong một giây.

Nút giám sát (MnT) là nút bắt buộc lưu trữ nhật ký sự kiện, nhật ký của các nút và chính sách khác trên mạng. Nút MnT cung cấp các công cụ nâng cao để theo dõi và khắc phục sự cố, thu thập và liên kết các dữ liệu khác nhau, đồng thời cung cấp các báo cáo có ý nghĩa. Cisco ISE cho phép bạn có tối đa hai nút MnT, từ đó tạo ra khả năng chịu lỗi - Chế độ Hoạt động/Chờ. Tuy nhiên, nhật ký được thu thập bởi cả hai nút, cả chủ động và thụ động.

Nút PxGrid (PXG) là nút sử dụng giao thức PxGrid và cho phép liên lạc giữa các thiết bị khác hỗ trợ PxGrid.

PxGrid  — một giao thức đảm bảo tích hợp các sản phẩm cơ sở hạ tầng bảo mật thông tin và CNTT từ các nhà cung cấp khác nhau: hệ thống giám sát, hệ thống phát hiện và ngăn chặn xâm nhập, nền tảng quản lý chính sách bảo mật và nhiều giải pháp khác. Cisco PxGrid cho phép bạn chia sẻ ngữ cảnh theo cách một chiều hoặc hai chiều với nhiều nền tảng mà không cần API, từ đó hỗ trợ công nghệ TrustSec (thẻ SGT), thay đổi và áp dụng chính sách ANC (Kiểm soát mạng thích ứng), cũng như thực hiện lập hồ sơ - xác định kiểu thiết bị, hệ điều hành, vị trí, v.v.

Trong cấu hình có tính sẵn sàng cao, các nút PxGrid sao chép thông tin giữa các nút qua PAN. Nếu PAN bị tắt, nút PxGrid sẽ ngừng xác thực, ủy quyền và tính toán cho người dùng. 

Dưới đây là sơ đồ trình bày hoạt động của các thực thể Cisco ISE khác nhau trong mạng công ty.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 1. Kiến trúc Cisco ISE

3. Yêu cầu

Cisco ISE có thể được triển khai, giống như hầu hết các giải pháp hiện đại, hầu như hoặc về mặt vật lý như một máy chủ riêng biệt. 

Các thiết bị vật lý chạy phần mềm Cisco ISE được gọi là SNS (Secure Network Server). Chúng có ba mẫu: SNS-3615, SNS-3655 và SNS-3695 dành cho các doanh nghiệp nhỏ, vừa và lớn. Bảng 1 trình bày thông tin từ bảng dữliệu SNS.

Bảng 1. Bảng so sánh SNS theo các thang đo khác nhau

Thông số

SNS 3615 (Nhỏ)

SNS 3655 (Trung bình)

SNS 3695 (Lớn)

Số lượng điểm cuối được hỗ trợ trong cài đặt độc lập

10000

25000

50000

Số lượng điểm cuối được hỗ trợ trên mỗi PSN

10000

25000

100000

CPU (Intel Xeon 2.10GHz)

8 lõi

12 lõi

12 lõi

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1x600GB

4x600GB

8x600GB

RAID phần cứng

Không

RAID 10, sự hiện diện của bộ điều khiển RAID

RAID 10, sự hiện diện của bộ điều khiển RAID

Giao diện mạng

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

Về triển khai ảo, các trình ảo hóa được hỗ trợ là VMware ESXi (khuyên dùng VMware phiên bản 11 tối thiểu cho ESXi 6.0), Microsoft Hyper-V và Linux KVM (RHEL 7.0). Tài nguyên phải gần giống như trong bảng trên hoặc nhiều hơn. Tuy nhiên, các yêu cầu tối thiểu đối với một máy ảo dành cho doanh nghiệp nhỏ là: CPU 2 với tần số 2.0 GHz trở lên, RAM 16GB и 200 GB HDD. 

Để biết chi tiết triển khai Cisco ISE khác, vui lòng liên hệ chúng tôi hoặc để tài nguyên số 1, tài nguyên số 2.

4. Cài đặt

Giống như hầu hết các sản phẩm khác của Cisco, ISE có thể được kiểm tra theo nhiều cách:

  • dcloud – dịch vụ đám mây của các bố cục phòng thí nghiệm được cài đặt sẵn (yêu cầu tài khoản Cisco);

  • Yêu cầu GVE - yêu cầu từ сайта Cisco của một số phần mềm nhất định (phương pháp dành cho đối tác). Bạn tạo một trường hợp với mô tả điển hình sau: Loại sản phẩm [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], Bản vá ISE [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • dự án thí điểm - liên hệ với bất kỳ đối tác được ủy quyền nào để tiến hành một dự án thí điểm miễn phí.

1) Sau khi tạo máy ảo, nếu bạn yêu cầu tệp ISO chứ không phải mẫu OVA, một cửa sổ sẽ bật lên trong đó ISE yêu cầu bạn chọn cài đặt. Để làm điều này, thay vì đăng nhập và mật khẩu, bạn nên viết “thiết lập“!

Lưu ý: nếu bạn đã triển khai ISE từ mẫu OVA thì chi tiết đăng nhập quản trị viên/MyIseYPass2 (điều này và nhiều hơn nữa được nêu trong văn bản chính thức hướng dẫn).

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 2. Cài đặt Cisco ISE

2) Sau đó, bạn nên điền vào các trường bắt buộc như địa chỉ IP, DNS, NTP và các trường khác.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 3. Khởi tạo Cisco ISE

3) Sau đó, thiết bị sẽ khởi động lại và bạn sẽ có thể kết nối qua giao diện web bằng địa chỉ IP đã chỉ định trước đó.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 4. Giao diện web Cisco ISE

4) Trong tab Quản trị > Hệ thống > Triển khai bạn có thể chọn nút (thực thể) nào được bật trên một thiết bị cụ thể. Nút PxGrid được kích hoạt ở đây.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 5. Quản lý thực thể Cisco ISE

5) Sau đó, trong tab Quản trị > Hệ thống > Quyền truy cập của quản trị viên > Xác thực Tôi khuyên bạn nên thiết lập chính sách mật khẩu, phương thức xác thực (chứng chỉ hoặc mật khẩu), ngày hết hạn tài khoản và các cài đặt khác.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 6. Cài đặt loại xác thựcCisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 7. Cài đặt chính sách mật khẩuCisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 8. Thiết lập tắt tài khoản sau khi hết thời gianCisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 9. Thiết lập khóa tài khoản

6) Trong tab Quản trị > Hệ thống > Quyền truy cập của quản trị viên > Quản trị viên > Người dùng quản trị > Thêm bạn có thể tạo một quản trị viên mới.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 10. Tạo quản trị viên Cisco ISE cục bộ

7) Quản trị viên mới có thể trở thành thành viên của nhóm mới hoặc nhóm đã được xác định trước. Các nhóm quản trị viên được quản lý trong cùng một bảng trong tab Nhóm quản trị. Bảng 2 tóm tắt thông tin về quản trị viên ISE, quyền và vai trò của họ.

Bảng 2. Nhóm quản trị viên Cisco ISE, cấp độ truy cập, quyền và hạn chế

Tên nhóm quản trị viên

Quyền

Hạn chế

Quản trị viên tùy chỉnh

Thiết lập cổng thông tin khách và tài trợ, quản trị và tùy chỉnh

Không thể thay đổi chính sách hoặc xem báo cáo

Quản trị viên bộ phận trợ giúp

Khả năng xem bảng điều khiển chính, tất cả các báo cáo, cảnh báo và luồng khắc phục sự cố

Bạn không thể thay đổi, tạo hoặc xóa báo cáo, cảnh báo và nhật ký xác thực

Quản trị viên danh tính

Quản lý người dùng, đặc quyền và vai trò, khả năng xem nhật ký, báo cáo và cảnh báo

Bạn không thể thay đổi chính sách hoặc thực hiện các tác vụ ở cấp độ hệ điều hành

quản trị viên MnT

Giám sát, báo cáo, cảnh báo, nhật ký và quản lý đầy đủ

Không thể thay đổi bất kỳ chính sách nào

Quản trị viên thiết bị mạng

Quyền tạo và thay đổi đối tượng ISE, xem nhật ký, báo cáo, bảng điều khiển chính

Bạn không thể thay đổi chính sách hoặc thực hiện các tác vụ ở cấp độ hệ điều hành

Quản trị viên chính sách

Quản lý toàn diện mọi chính sách, thay đổi hồ sơ, cài đặt, xem báo cáo

Không thể thực hiện cài đặt bằng thông tin xác thực, đối tượng ISE

Quản trị viên RBAC

Tất cả cài đặt trong tab Hoạt động, cài đặt chính sách ANC, quản lý báo cáo

Bạn không thể thay đổi các chính sách khác ngoài ANC hoặc thực hiện các tác vụ ở cấp hệ điều hành

superAdminvi

Quyền đối với tất cả cài đặt, báo cáo và quản lý, có thể xóa và thay đổi thông tin đăng nhập của quản trị viên

Không thể thay đổi, xóa hồ sơ khác khỏi nhóm Super Admin

Hệ thống quản trị

Tất cả cài đặt trong tab Hoạt động, quản lý cài đặt hệ thống, chính sách ANC, xem báo cáo

Bạn không thể thay đổi các chính sách khác ngoài ANC hoặc thực hiện các tác vụ ở cấp hệ điều hành

Quản trị viên Dịch vụ RESTful bên ngoài (ERS)

Toàn quyền truy cập vào API Cisco ISE REST

Chỉ dành cho ủy quyền, quản lý người dùng cục bộ, máy chủ và nhóm bảo mật (SG)

Nhà điều hành dịch vụ RESTful bên ngoài (ERS)

Quyền đọc API Cisco ISE REST

Chỉ dành cho ủy quyền, quản lý người dùng cục bộ, máy chủ và nhóm bảo mật (SG)

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 11. Nhóm quản trị viên Cisco ISE được xác định trước

8) Tùy chọn trong tab Ủy quyền > Quyền > Chính sách RBAC Bạn có thể chỉnh sửa quyền của quản trị viên được xác định trước.

Cisco ISE: Giới thiệu, yêu cầu, cài đặt. Phần 1Hình 12. Quản lý quyền hồ sơ cài sẵn của quản trị viên Cisco ISE

9) Trong tab Quản trị > Hệ thống > Cài đặt Tất cả các cài đặt hệ thống đều có sẵn (DNS, NTP, SMTP và các cài đặt khác). Bạn có thể điền chúng vào đây nếu bạn bỏ lỡ chúng trong quá trình khởi tạo thiết bị lần đầu.

5. Kết luận

Điều này kết thúc bài viết đầu tiên. Chúng tôi đã thảo luận về tính hiệu quả của giải pháp Cisco ISE NAC, kiến ​​trúc, các yêu cầu tối thiểu và các tùy chọn triển khai cũng như cài đặt ban đầu.

Trong bài viết tiếp theo, chúng ta sẽ xem xét việc tạo tài khoản, tích hợp với Microsoft Active Directory và tạo quyền truy cập với tư cách khách.

Nếu bạn có thắc mắc về chủ đề này hoặc cần trợ giúp kiểm tra sản phẩm, vui lòng liên hệ liên kết.

Hãy theo dõi để cập nhật trong các kênh của chúng tôi (TelegramFacebookVKBlog giải pháp TSYandex Zen).

Nguồn: www.habr.com

Thêm một lời nhận xét