1。 介绍
每家公司,即使是最小的公司,都需要身份验证、授权和用户计费(AAA 系列协议)。 在初始阶段,AAA 使用 RADIUS、TACACS+ 和 DIAMETER 等协议得到了很好的实现。 然而,随着用户和公司数量的增长,任务数量也在增加:主机和 BYOD 设备的最大可见性、多重身份验证、创建多级访问策略等等。
对于此类任务,NAC(网络访问控制)类解决方案非常完美——网络访问控制。 在一系列专门讨论的文章中 (身份服务引擎)- NAC 解决方案,用于向内部网络上的用户提供上下文感知访问控制,我们将详细了解该解决方案的架构、供应、配置和许可。
让我简要提醒您,思科 ISE 允许您:
-
在专用 WLAN 上快速轻松地创建访客访问;
-
检测 BYOD 设备(例如,员工上班时携带的家用电脑);
-
使用 SGT 安全组标签跨域和非域用户集中和实施安全策略 );
-
检查计算机是否安装了某些软件以及是否符合标准(装腔作势);
-
对端点和网络设备进行分类和分析;
-
提供端点可见性;
-
将用户登录/注销、账户(身份)的事件日志发送给NGFW,形成基于用户的策略;
-
与 Cisco StealthWatch 本地集成并隔离涉及安全事件的可疑主机();
-
以及 AAA 服务器的其他标准功能。
业界同仁已经写过有关思科 ISE 的文章,建议您阅读: ,.
2。 架构
Identity Services Engine架构有4个实体(节点):管理节点(Policy Administration Node)、策略分发节点(Policy Service Node)、监控节点(Monitoring Node)和PxGrid节点(PxGrid Node)。 思科 ISE 可以独立安装,也可以分布式安装。 在独立版本中,所有实体都位于一台虚拟机或物理服务器(安全网络服务器 - SNS)上,而在分布式版本中,节点分布在不同的设备上。
策略管理节点 (PAN) 是允许您在思科 ISE 上执行所有管理操作的必需节点。 它处理与 AAA 相关的所有系统配置。 在分布式配置中(节点可以安装为单独的虚拟机),您最多可以有两个 PAN 以实现容错 - 活动/备用模式。
策略服务节点 (PSN) 是提供网络访问、状态、访客访问、客户端服务配置和分析的强制节点。 PSN 评估策略并应用它。 通常,安装多个 PSN,特别是在分布式配置中,以实现更多冗余和分布式操作。 当然,他们尝试将这些节点安装在不同的网段中,以免暂时失去提供经过身份验证和授权访问的能力。
监控节点(MnT)是网络上存储事件日志、其他节点日志和策略的强制节点。 MnT 节点提供用于监控和故障排除的高级工具,收集和关联各种数据,还提供有意义的报告。 思科 ISE 允许您最多拥有两个 MnT 节点,从而创建容错 - 主动/备用模式。 但是,日志由主动和被动两个节点收集。
PxGrid 节点 (PXG) 是使用 PxGrid 协议的节点,允许支持 PxGrid 的其他设备之间进行通信。
— 一种确保集成来自不同供应商的 IT 和信息安全基础设施产品的协议:监控系统、入侵检测和预防系统、安全策略管理平台和许多其他解决方案。 Cisco PxGrid 允许您以单向或双向方式与许多平台共享上下文,而无需 API,从而使该技术成为可能 (SGT 标签)、更改和应用 ANC(自适应网络控制)策略以及执行分析 - 确定设备型号、操作系统、位置等。
在高可用性配置中,PxGrid 节点通过 PAN 在节点之间复制信息。 如果禁用 PAN,PxGrid 节点将停止对用户进行身份验证、授权和计费。
下面是企业网络中不同思科 ISE 实体操作的示意图。
图 1. 思科 ISE 架构
3. 要求
与大多数现代解决方案一样,思科 ISE 可以虚拟或物理地作为单独的服务器实施。
运行思科 ISE 软件的物理设备称为 SNS(安全网络服务器)。 它们有三种型号:SNS-3615、SNS-3655 和 SNS-3695,适用于小型、中型和大型企业。 表 1 显示了来自 社交网络。
表1 不同规模SNS对比表
参数
SNS 3615(小)
SNS 3655(中)
SNS 3695(大)
独立安装中支持的端点数量
10000
25000
50000
每个 PSN 支持的端点数量
10000
25000
100000
CPU(英特尔至强 2.10 GHz)
8核
12核
12核
内存
32 GB(2 个 16 GB)
96 GB(6 个 16 GB)
256 GB(16 个 16 GB)
硬盘
1 个 600 GB
4 个 600 GB
8 个 600 GB
硬件RAID
没有
RAID 10,存在 RAID 控制器
RAID 10,存在 RAID 控制器
网络接口
2 个 10Gbase-T
4 个 1Gbase-T
2 个 10Gbase-T
4 个 1Gbase-T
2 个 10Gbase-T
4 个 1Gbase-T
关于虚拟实施,支持的虚拟机管理程序包括 VMware ESXi(建议 ESXi 11 的最低 VMware 版本 6.0)、Microsoft Hyper-V 和 Linux KVM (RHEL 7.0)。 资源应与上表中的资源大致相同或更多。 但是,小型企业虚拟机的最低要求是: CPU的2 频率为 2.0 GHz 及更高, 16 GB 内存 и 200 GB HDD。
有关其他 Cisco ISE 部署详细信息,请联系 或者 , .
4. 安装
与大多数其他思科产品一样,ISE 可以通过多种方式进行测试:
-
– 预装实验室布局的云服务(需要思科帐户);
-
– 请求来自 Cisco的某些软件(合作伙伴的方法)。 您创建一个具有以下典型描述的案例:产品类型 [ISE],ISE 软件 [ise-2.7.0.356.SPA.x8664],ISE 补丁 [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— 联系任何授权合作伙伴进行免费试点项目。
1) 创建虚拟机后,如果您请求 ISO 文件而不是 OVA 模板,ISE 将弹出一个窗口,要求您选择安装。 为此,您应该写“而不是您的登录名和密码”格局«!
注: 如果您从 OVA 模板部署 ISE,则登录详细信息 管理员/MyIseYPass2 (这一点以及更多内容已在官方中指出 ).
图 2. 安装思科 ISE
2) 然后您应该填写必填字段,例如 IP 地址、DNS、NTP 等。
图 3. 初始化思科 ISE
3) 之后,设备将重新启动,您将能够使用之前指定的 IP 地址通过 Web 界面进行连接。
图 4. 思科 ISE Web 界面
4) 在选项卡中 管理 > 系统 > 部署 您可以选择在特定设备上启用哪些节点(实体)。 此处启用 PxGrid 节点。
图 5. 思科 ISE 实体管理
5)然后在选项卡中 管理 > 系统 > 管理员访问 > 认证 我建议设置密码策略、身份验证方法(证书或密码)、帐户到期日期和其他设置。
图 6. 身份验证类型设置图 7. 密码策略设置图 8. 设置时间到期后帐户关闭图 9. 设置帐户锁定
6) 在选项卡中 管理 > 系统 > 管理员访问 > 管理员 > 管理员用户 > 添加 您可以创建一个新的管理员。
图 10. 创建本地思科 ISE 管理员
7) 新管理员可以成为新组或已预定义组的一部分。 管理员组在选项卡的同一面板中进行管理 管理组。 表 2 总结了有关 ISE 管理员及其权限和角色的信息。
表 2. 思科 ISE 管理员组、访问级别、权限和限制
管理员组名
允许
限制
定制管理
设置访客和赞助门户、管理和定制
无法更改策略或查看报告
帮助台管理员
能够查看主仪表板、所有报告、警报和故障排除流
您无法更改、创建或删除报告、警报和身份验证日志
身份管理员
管理用户、权限和角色,查看日志、报告和警报的能力
您无法在操作系统级别更改策略或执行任务
MnT 管理员
全面监控、报告、警报、日志及其管理
无法改变任何政策
网络设备管理员
创建和更改 ISE 对象、查看日志、报告、主仪表板的权限
您无法在操作系统级别更改策略或执行任务
政策管理
全面管理所有策略、更改配置文件、设置、查看报告
无法使用凭证、ISE 对象执行设置
RBAC 管理员
“操作”选项卡中的所有设置、ANC 策略设置、报告管理
您无法更改 ANC 以外的策略或执行操作系统级别的任务
超级管理员
所有设置、报告和管理的权限,可以删除和更改管理员凭据
无法更改、删除超级管理员组中的其他配置文件
系统管理
“操作”选项卡中的所有设置、管理系统设置、ANC 策略、查看报告
您无法更改 ANC 以外的策略或执行操作系统级别的任务
外部 RESTful 服务 (ERS) 管理员
对思科 ISE REST API 的完全访问权限
仅用于本地用户、主机和安全组(SG)的授权、管理
外部 RESTful 服务 (ERS) 运营商
思科 ISE REST API 读取权限
仅用于本地用户、主机和安全组(SG)的授权、管理
图 11. 预定义的思科 ISE 管理员组
8) 选项卡中可选 授权 > 权限 > RBAC 策略 您可以编辑预定义管理员的权限。
图 12. 思科 ISE 管理员预设配置文件权限管理
9) 在选项卡中 管理 > 系统 > 设置 所有系统设置均可用(DNS、NTP、SMTP 等)。 如果您在初始设备初始化期间错过了它们,您可以在此处填写它们。
5。 结论
第一篇文章到此结束。 我们讨论了思科 ISE NAC 解决方案的有效性、其架构、最低要求和部署选项以及初始安装。
在下一篇文章中,我们将介绍如何创建帐户、与 Microsoft Active Directory 集成以及创建来宾访问权限。
如果您对此主题有疑问或需要帮助测试产品,请联系 .
请继续关注我们频道的更新(, , , , ).
来源: habr.com