Cisco ISE: הקדמה, רעקווירעמענץ, ינסטאַלירונג. טייל 1

1. הקדמה

יעדער פירמע, אפילו דער קלענסטער, האט אַ נויט פֿאַר אָטענטאַקיישאַן, דערלויבעניש און באַניצער אַקאַונטינג (אַאַאַ משפּחה פון פּראָטאָקאָלס). אין דער ערשט בינע, אַאַאַ איז גאַנץ געזונט ימפּלאַמענאַד מיט פּראָטאָקאָלס אַזאַ ווי RADIUS, TACACS + און דיאַמעטער. אָבער, ווי די נומער פון ניצערס און די פירמע וואַקסן, די נומער פון טאַסקס אויך וואקסט: מאַקסימום וויזאַביליטי פון מחנות און BYOD דעוויסעס, מולטי-פאַקטאָר אָטענטאַקיישאַן, קריייטינג אַ מולטי-מדרגה אַקסעס פּאָליטיק און פיל מער.

פֿאַר אַזאַ טאַסקס, די NAC (נעטוואָרק אַקסעס קאָנטראָל) קלאַס פון סאַלושאַנז איז גאנץ - נעץ אַקסעס קאָנטראָל. אין אַ סעריע פון ​​אַרטיקלען געווידמעט צו Cisco ISE (Identity Services Engine) - NAC לייזונג פֿאַר פּראַוויידינג קאָנטעקסט-אַווער אַקסעס קאָנטראָל צו ניצערס אויף די ינערלעך נעץ, מיר וועלן נעמען אַ דיטיילד קוק אין די אַרקאַטעקטשער, פּראַוויזשאַנז, קאַנפיגיעריישאַן און לייסאַנסינג פון די לייזונג.

לאָזן מיר בעקיצער דערמאָנען איר אַז Cisco ISE אַלאַוז איר צו:

• געשווינד און לייכט שאַפֿן גאַסט אַקסעס אויף אַ דעדאַקייטאַד WLAN;

• דעטעקט BYOD דעוויסעס (למשל, עמפּלוייז היים פּיסי וואָס זיי געבראכט צו אַרבעטן);

• סענטראַלייז און דורכפירן זיכערהייט פּאַלאַסיז צווישן פעלד און ניט-פעלד ניצערס ניצן SGT זיכערהייט גרופּע לאַבעלס TrustSec);

• טשעק קאָמפּיוטערס פֿאַר זיכער ווייכווארג אינסטאַלירן און העסקעם מיט סטאַנדאַרדס (פּאָסטורינג);

• קלאַסיפיצירן און פּראָפיל ענדפּוינט און נעץ דעוויסעס;

• צושטעלן וויזאַביליטי פון ענדפּוינט;

• שיקן געשעעניש לאָגס פון לאָגאָן / לאָגאָפף פון ניצערס, זייער אַקאַונץ (אידענטיטעט) צו NGFW צו פאָרעם אַ באַניצער-באזירט פּאָליטיק;

• ינטאַגרייטיד געבוירן מיט Cisco StealthWatch און קאַראַנטין סאַספּישאַס מחנות ינוואַלווד אין זיכערהייט ינסאַדאַנץ (מער);

• און אנדערע פֿעיִקייטן נאָרמאַל פֿאַר אַאַאַ סערווערס.

קאָלעגעס אין די אינדוסטריע האָבן שוין געשריבן וועגן Cisco ISE, אַזוי איך רעקאָמענדירן איר צו לייענען: Cisco ISE ימפּלאַמענטיישאַן פיר, ווי צו צוגרייטן פֿאַר Cisco ISE ימפּלעמענטאַטיאָן.

2. אַרטשיטעקטורע

די אידענטיטעט באַדינונגס ענגינע אַרקאַטעקטשער האט 4 ענטיטיז (נאָדעס): אַ פאַרוואַלטונג נאָדע (פּאָליטיק אַדמיניסטראַטיאָן נאָדע), אַ פּאָליטיק פאַרשפּרייטונג נאָדע (פּאָליטיק סערוויס נאָדע), אַ מאָניטאָרינג נאָדע (מאָניטאָרינג נאָדע) און אַ פּקסגריד נאָדע (פּקסגריד נאָדע). Cisco ISE קענען זיין אין אַ סטאַנדאַלאָנע אָדער פונאנדערגעטיילט ינסטאַלירונג. אין די סטאַנדאַלאָנע ווערסיע, אַלע ענטיטיז זענען ליגן אויף איין ווירטואַל מאַשין אָדער גשמיות סערווער (סעקורע נעטוואָרק סערווערס - SNS), בשעת אין די דיסטריביוטיד ווערסיע, די נאָודז זענען פונאנדערגעטיילט אויף פאַרשידענע דעוויסעס.

פּאָליטיק אַדמיניסטראַטיאָן נאָדע (PAN) איז אַ פארלאנגט נאָדע וואָס אַלאַוז איר צו דורכפירן אַלע אַדמיניסטראַטיווע אַפּעריישאַנז אויף Cisco ISE. עס כאַנדאַלז אַלע סיסטעם קאַנפיגיעריישאַנז שייַכות צו אַאַאַ. אין אַ פונאנדערגעטיילט קאַנפיגיעריישאַן (נאָדעס קענען זיין אינסטאַלירן ווי באַזונדער ווירטואַל מאשינען), איר קענען האָבן אַ מאַקסימום פון צוויי פּאַנס פֿאַר שולד טאָלעראַנץ - אַקטיוו / סטאַנדביי מאָדע.

פּאָליטיק סערוויס נאָדע (PSN) איז אַ מאַנדאַטאָרי נאָדע וואָס גיט נעץ אַקסעס, שטאַט, גאַסט אַקסעס, קליענט סערוויס פּראַוויזשאַנז און פּראָפילינג. PSN יוואַליוייץ די פּאָליטיק און אַפּלייז עס. טיפּיקאַללי, קייפל PSNs זענען אינסטאַלירן, ספּעציעל אין אַ פונאנדערגעטיילט קאַנפיגיעריישאַן, פֿאַר מער יבעריק און פונאנדערגעטיילט אָפּעראַציע. פון קורס, זיי פּרובירן צו ינסטאַלירן די נאָודז אין פאַרשידענע סעגמאַנץ אַזוי נישט צו פאַרלירן די פיייקייט צו צושטעלן אָטענטאַקייטאַד און אָטערייזד אַקסעס פֿאַר אַ רגע.

מאָניטאָרינג נאָדע (MnT) איז אַ מאַנדאַטאָרי נאָדע וואָס סטאָרז געשעעניש לאָגס, לאָגס פון אנדערע נאָודז און פּאַלאַסיז אויף די נעץ. די MnT נאָדע גיט אַוואַנסירטע מכשירים פֿאַר מאָניטאָרינג און טראָובלעשאָאָטינג, קאַלעקץ און קאָראַלייץ פאַרשידן דאַטן, און אויך גיט מינינגפאַל ריפּאָרץ. Cisco ISE אַלאַוז איר צו האָבן אַ מאַקסימום פון צוויי MnT נאָודז, דערמיט קריייטינג שולד טאָלעראַנץ - אַקטיוו / סטאַנדביי מאָדע. אָבער, לאָגס זענען געזאמלט דורך ביידע נאָודז, ביידע אַקטיוו און פּאַסיוו.

PxGrid Node (PXG) איז אַ נאָדע וואָס ניצט די PxGrid פּראָטאָקאָל און אַלאַוז קאָמוניקאַציע צווישן אנדערע דעוויסעס וואָס שטיצן PxGrid.

PxGrid  - אַ פּראָטאָקאָל וואָס ינשורז די ינאַגריישאַן פון IT און אינפֿאָרמאַציע זיכערהייט ינפראַסטראַקטשער פּראָדוקטן פון פאַרשידענע ווענדאָרס: מאָניטאָרינג סיסטעמען, ינטרוזשאַן דיטעקשאַן און פאַרהיטונג סיסטעמען, זיכערהייט פּאָליטיק פאַרוואַלטונג פּלאַטפאָרמס און פילע אנדערע סאַלושאַנז. Cisco PxGrid אַלאַוז איר צו טיילן קאָנטעקסט אין אַ ונידירעקטיאָנאַל אָדער ביידירעקטיאָנאַל שטייגער מיט פילע פּלאַטפאָרמס אָן די נויט פֿאַר אַפּיס, און דערמיט ענייבאַלינג די טעכנאָלאָגיע TrustSec (SGT טאַגס), טוישן און צולייגן ANC (אַדאַפּטיווע נעטוואָרק קאָנטראָל) פּאָליטיק, ווי געזונט ווי דורכפירן פּראָפילינג - דיטערמאַנינג די מיטל מאָדעל, אַס, אָרט און מער.

אין אַ הויך אַוויילאַבילאַטי קאַנפיגיעריישאַן, PxGrid נאָודז רעפּלאַקייט אינפֿאָרמאַציע צווישן נאָודז איבער אַ PAN. אויב די PAN איז פאַרקריפּלט, די PxGrid נאָדע סטאַפּס אָטענטאַקייטינג, אָטערייזינג און אַקאַונטינג פֿאַר יוזערז. 

ונטער איז אַ סכעמאַטיש פאַרטרעטונג פון די אָפּעראַציע פון ​​פאַרשידענע Cisco ISE ענטיטיז אין אַ פֿירמע נעץ.

פיגורע 1. סיסקאָ יסע אַרטשיטעקטורע

3. רעקווירעמענץ

Cisco ISE קענען זיין ימפּלאַמענאַד, ווי רובֿ מאָדערן סאַלושאַנז, כמעט אָדער פיזיקלי ווי אַ באַזונדער סערווער. 

גשמיות דעוויסעס מיט Cisco ISE ווייכווארג זענען גערופֿן SNS (Secure Network Server). זיי קומען אין דריי מאָדעלס: SNS-3615, SNS-3655 און SNS-3695 פֿאַר קליין, מיטל און גרויס געשעפטן. טיש 1 ווייזט אינפֿאָרמאַציע פון דאַטאַשיט SNS.

טיש 1. פאַרגלייַך טיש פון סנס פֿאַר פאַרשידענע וואָג

פּאַראַמעטער

SNS 3615 (קליין)

SNS 3655 (מיטל)

SNS 3695 (גרויס)

נומער פון געשטיצט ענדפּאָינץ אין אַ סטאַנדאַלאָנע ינסטאַלירונג

10000

25000

50000

נומער פון געשטיצט ענדפּאָינץ פּער PSN

10000

25000

100000

קפּו (ינטעל קסעאָן 2.10 גהז)

8 קאָרעס

12 קאָרעס

12 קאָרעס

באַראַן 

32 גיגאבייט (2 רענטגענ 16 גיגאבייט)

96 גיגאבייט (6 רענטגענ 16 גיגאבייט)

256 גיגאבייט (16 רענטגענ 16 גיגאבייט)

הדד

1 רענטגענ 600 גיגאבייט

4 רענטגענ 600 גיגאבייט

8 רענטגענ 600 גיגאבייט

ייַזנוואַרג RAID

קיין

RAID 10, די בייַזייַן פון RAID קאָנטראָללער

RAID 10, די בייַזייַן פון RAID קאָנטראָללער

נעץ ינטערפייסיז

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T 

2 x 10Gbase-T

4 x 1Gbase-T

וועגן ווירטואַל ימפּלאַמאַנץ, די געשטיצט כייפּערווייזערז זענען VMware ESXi (מינימום VMware ווערסיע 11 פֿאַר ESXi 6.0 איז רעקאַמענדיד), Microsoft Hyper-V און Linux KVM (RHEL 7.0). רעסאָורסעס זאָל זיין בעערעך די זעלבע ווי אין די טיש אויבן, אָדער מער. אָבער, די מינימום רעקווירעמענץ פֿאַר אַ קליין געשעפט ווירטואַל מאַשין זענען: קסנומקס קפּו מיט אַ אָפטקייַט פון 2.0 GHz און העכער, 16 גיגאבייט באַראַן и 200 GB הדד. 

פֿאַר אנדערע Cisco ISE דיפּלוימאַנט דעטאַילס, ביטע קאָנטאַקט צו אונדז אָדער צו מיטל #1, מיטל #2.

4. ייַנמאָנטירונג

ווי רובֿ אנדערע Cisco פּראָדוקטן, ISE קענען זיין טעסטעד אין עטלעכע וועגן:

• דcloud - וואָלקן דינסט פון פאַר-אינסטאַלירן לאַבאָראַטאָריע לייאַוץ (סיסקאָ חשבון פארלאנגט);

• GVE בעטן – בעטן פון פּלאַץ סיסקאָ פון זיכער ווייכווארג (מעטאָד פֿאַר פּאַרטנערס). איר מאַכן אַ פאַל מיט די פאלגענדע טיפּיש באַשרייַבונג: פּראָדוקט טיפּ [ISE], ISE ווייכווארג [ise-2.7.0.356.SPA.x8664], יסע פּאַטש [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• פּילאָט פּרויעקט - קאָנטאַקט קיין אָטערייזד שוטעף צו אָנפירן אַ פריי פּילאָט פּרויעקט.

1) נאָך קריייטינג אַ ווירטואַל מאַשין, אויב איר האָט געבעטן אַן ISO טעקע און נישט אַן אָוואַ מוסטער, אַ פֿענצטער וועט זיין געוויזן אין וואָס ISE ריקווייערז איר צו סעלעקטירן אַן ייַנמאָנטירונג. צו טאָן דאָס, אַנשטאָט פון דיין לאָגין און פּאַראָל, איר זאָל שרייַבן "סעטאַפּ“!

באַמערקונג: אויב איר דיפּלויד ISE פֿון OVA מוסטער, די לאָגין דעטאַילס admin/MyIseYPass2 (דאָס און פיל מער איז געוויזן אין דער באַאַמטער פירן).

פיגורע 2. ינסטאָלינג Cisco ISE

2) דערנאָך איר זאָל פּלאָמבירן די פארלאנגט פעלדער אַזאַ ווי IP אַדרעס, דנס, נטפּ און אנדערע.

פיגורע 3. יניטיאַליזינג סיסקאָ יסע

3) נאָך דעם, די מיטל וועט רעבאָאָט, און איר קענען פאַרבינדן דורך די וועב צובינד מיט די פריער ספּעסיפיעד IP אַדרעס.

פיגורע 4. Cisco ISE וועב צובינד

4) אין קוויטל אַדמיניסטראַציע > סיסטעם > דיפּלוימאַנט איר קענען אויסקלייַבן וואָס נאָודז (ענטיטיז) זענען ענייבאַלד אויף אַ באַזונדער מיטל. די PxGrid נאָדע איז ענייבאַלד דאָ.

פיגורע 5. סיסקאָ יסע ענטיטי מאַנאַגעמענט

5) דערנאָך אין די קוויטל אַדמיניסטראַציע> סיסטעם> אַדמין אַקסעס> אַוטהענטיקאַטיאָן איך רעקאָמענדירן באַשטעטיקן אַ שפּריכוואָרט פּאָליטיק, אָטענטאַקיישאַן אופֿן (סערטיפיקאַט אָדער פּאַראָל), עקספּעריישאַן טאָג פון חשבון און אנדערע סעטטינגס.

פיגורע 6. אָטענטאַקיישאַן טיפּ באַשטעטיקןפיגורע 7. פּאַראָל פּאָליטיק סעטטינגספיגורע 8. באַשטעטיקן אַרויף חשבון שאַטדאַון נאָך צייַט יקספּייערזפיגורע 9. באַשטעטיקן אַרויף חשבון לאַקינג

6) אין קוויטל אַדמיניסטראַציע > סיסטעם > אַדמיניסטראַטאָר אַקסעס > אַדמיניסטראַטאָרס > אַדמיניסטראַטאָר יוזערז > לייג איר קענט שאַפֿן אַ נייַע אַדמיניסטראַטאָר.

פיגורע 10. קריייטינג אַ לאקאלע סיסקאָ יסע אַדמיניסטראַטאָר

7) דער נייַע אַדמיניסטראַטאָר קענען זיין אַ טייל פון אַ נייַע גרופּע אָדער שוין פּרעדעפינעד גרופּעס. אַדמיניסטראַטאָר גרופּעס זענען געראטן אין דער זעלביקער טאַפליע אין די קוויטל אַדמין גרופּעס. טיש 2 סאַמערייזיז אינפֿאָרמאַציע וועגן ISE אַדמיניסטראַטאָרס, זייער רעכט און ראָלעס.

טיש 2. סיסקאָ יסע אַדמיניסטראַטאָר גרופּעס, אַקסעס לעוועלס, פּערמישאַנז און ריסטריקשאַנז

אַדמיניסטראַטאָר גרופּע נאָמען

פּערמישאַנז

ריסטריקשאַנז

קוסטאָמיזאַטיאָן אַדמיניסטראַטאָר

באַשטעטיקן גאַסט און ספּאָנסאָרשיפּ פּאָרטאַלס, אַדמיניסטראַציע און קוסטאָמיזאַטיאָן

ינאַביליטי צו טוישן פּאַלאַסיז אָדער זען ריפּאָרץ

העלפּדעסק אַדמין

פיייקייט צו זען די הויפּט דאַשבאָרד, אַלע ריפּאָרץ, לאַרמס און טראָובלעשאָאָטינג סטרימז

איר קענט נישט טוישן, שאַפֿן אָדער ויסמעקן ריפּאָרץ, אַלאַרמס און אָטענטאַקיישאַן לאָגס

אידענטיטעט אַדמין

אָנפירונג ניצערס, פּריווילאַדזשאַז און ראָלעס, די פיייקייט צו זען לאָגס, ריפּאָרץ און אַלאַרמס

איר קענען נישט טוישן פּאַלאַסיז אָדער דורכפירן טאַסקס אויף די אַס מדרגה

MnT אַדמין

גאַנץ מאָניטאָרינג, ריפּאָרץ, אַלאַרמס, לאָגס און זייער פאַרוואַלטונג

ינאַביליטי צו טוישן קיין פּאַלאַסיז

נעץ דיווייס אַדמין

רעכט צו שאַפֿן און טוישן ISE אַבדזשעקץ, קוק לאָגס, ריפּאָרץ, הויפּט דאַשבאָרד

איר קענען נישט טוישן פּאַלאַסיז אָדער דורכפירן טאַסקס אויף די אַס מדרגה

פּאָליטיק אַדמין

גאַנץ פאַרוואַלטונג פון אַלע פּאַלאַסיז, ​​טשאַנגינג פּראָופיילז, סעטטינגס, וויוינג ריפּאָרץ

ינאַביליטי צו דורכפירן סעטטינגס מיט קראַדענטשאַלז, ISE אַבדזשעקץ

RBAC אַדמיניסטראַטאָר

כל סעטטינגס אין די אָפּעראַטיאָנס קוויטל, ANC פּאָליטיק סעטטינגס, ריפּאָרטינג פאַרוואַלטונג

איר קענט נישט טוישן פּאַלאַסיז אנדערע ווי ANC אָדער דורכפירן טאַסקס אויף די אַס מדרגה

יבער אַדמין

רעכט צו אַלע סעטטינגס, ריפּאָרטינג און פאַרוואַלטונג, קענען ויסמעקן און טוישן אַדמיניסטראַטאָר קראַדענטשאַלז

קענען ניט טוישן, ויסמעקן אן אנדער פּראָפיל פון די סופּער אַדמיניסטראַטאָר גרופּע

סיסטעם אַדמין

כל סעטטינגס אין די אָפּעראַטיאָנס קוויטל, אָנפירונג סיסטעם סעטטינגס, ANC פּאָליטיק, וויוינג ריפּאָרץ

איר קענט נישט טוישן פּאַלאַסיז אנדערע ווי ANC אָדער דורכפירן טאַסקס אויף די אַס מדרגה

פונדרויסנדיק רעסטפול באַדינונגס (ערס) אַדמין

גאַנץ אַקסעס צו די Cisco ISE REST API

בלויז פֿאַר דערלויבעניש, פאַרוואַלטונג פון היגע ניצערס, מחנות און זיכערהייט גרופּעס (SG)

פונדרויסנדיק רעסטפול באַדינונגס (ערס) אָפּעראַטאָר

Cisco ISE REST API לייענען פּערמישאַנז

בלויז פֿאַר דערלויבעניש, פאַרוואַלטונג פון היגע ניצערס, מחנות און זיכערהייט גרופּעס (SG)

פיגורע 11. פּרעדעפינעד סיסקאָ יסע אַדמיניסטראַטאָר גרופּעס

8) אָפּטיאָנאַל אין די קוויטל דערלויבעניש> פּערמישאַנז> RBAC פּאָליטיק איר קענען רעדאַגירן די רעכט פון פּרעדעפינעד אַדמיניסטראַטאָרס.

פיגורע 12. סיסקאָ יסע אַדמיניסטראַטאָר פּריסעט פּראָפיל רעכט מאַנאַגעמענט

9) אין קוויטל אַדמיניסטראַציע > סיסטעם > סעטטינגס כל סיסטעם סעטטינגס זענען בארעכטיגט (דנס, נטפּ, סמטפּ און אנדערע). איר קענען פּלאָמבירן זיי דאָ אויב איר מיסט זיי בעשאַס די ערשט יניטיאַליזיישאַן פון די מיטל.

5. מסקנא

דאס פארענדיקט דער ערשטער אַרטיקל. מיר דיסקאַסט די יפעקטיוונאַס פון די Cisco ISE NAC לייזונג, זייַן אַרקאַטעקטשער, מינימום רעקווירעמענץ און דיפּלוימאַנט אָפּציעס און ערשט ינסטאַלירונג.

אין דער ווייַטער אַרטיקל, מיר וועלן קוקן אין קריייטינג אַקאַונץ, ינטאַגרייטינג מיט Microsoft Active Directory און קריייטינג גאַסט אַקסעס.

אויב איר האָט פֿראגן וועגן דעם טעמע אָדער איר דאַרפֿן הילף צו פּרובירן דעם פּראָדוקט, ביטע קאָנטאַקט רונג.

בלייבן טונד פֿאַר דערהייַנטיקונגען אין אונדזער טשאַנאַלז (טעלעגראַם, facebook, VK, TS לייזונג בלאָג, Yandex Zen).

מקור: www.habr.com