1。 介紹
每家公司,即使是最小的公司,都需要身份驗證、授權和使用者計費(AAA 系列協議)。 在初始階段,AAA 使用 RADIUS、TACACS+ 和 DIAMETER 等協定得到了很好的實作。 然而,隨著使用者和公司數量的成長,任務數量也在增加:主機和 BYOD 裝置的最大可見性、多重身分驗證、建立多層存取策略等等。
對於此類任務,NAC(網路存取控制)類別解決方案非常完美—網路存取控制。 在一系列專門討論的文章中 (身分服務引擎)- NAC 解決方案,用於向內部網路上的使用者提供上下文感知存取控制,我們將詳細了解該解決方案的架構、供應、配置和授權。
讓我簡要提醒您,思科 ISE 允許您:
-
在專用 WLAN 上快速輕鬆地建立訪客訪問;
-
檢測 BYOD 設備(例如,員工上班時攜帶的家用電腦);
-
使用 SGT 安全群組標籤跨網域和非網域使用者集中和實施安全性策略 );
-
檢查電腦是否安裝了某些軟體以及是否符合標準(裝腔作勢);
-
對端點和網路設備進行分類和分析;
-
提供端點可見性;
-
將使用者登入/登出、帳戶(身分)的事件日誌傳送給NGFW,形成以使用者為基礎的策略;
-
與 Cisco StealthWatch 本機整合並隔離涉及安全事件的可疑主機();
-
以及 AAA 伺服器的其他標準功能。
業界同仁已經寫過有關思科 ISE 的文章,建議您閱讀: ,.
2. 架構
Identity Services Engine架構有4個實體(節點):管理節點(Policy Administration Node)、策略分發節點(Policy Service Node)、監控節點(Monitoring Node)和PxGrid節點(PxGrid Node)。 思科 ISE 可以獨立安裝,也可以分散式安裝。 在獨立版本中,所有實體都位於一台虛擬機器或實體伺服器(安全網路伺服器 - SNS)上,而在分散式版本中,節點分散在不同的裝置上。
策略管理節點 (PAN) 是允許您在思科 ISE 上執行所有管理作業的必要節點。 它處理與 AAA 相關的所有系統配置。 在分散式設定中(節點可以安裝為單獨的虛擬機器),您最多可以有兩個 PAN 以實現容錯 - 活動/備用模式。
策略服務節點 (PSN) 是提供網路存取、狀態、訪客存取、用戶端服務配置和分析的強制節點。 PSN 評估策略並應用它。 通常,安裝多個 PSN,特別是在分散式配置中,以實現更多冗餘和分散式操作。 當然,他們嘗試將這些節點安裝在不同的網段中,以免暫時失去提供經過驗證和授權存取的能力。
監控節點(MnT)是網路上儲存事件日誌、其他節點日誌和策略的強制節點。 MnT 節點提供監控和故障排除的進階工具,收集和關聯各種數據,也提供有意義的報告。 思科 ISE 允許您最多擁有兩個 MnT 節點,從而建立容錯 - 主動/備用模式。 但是,日誌由主動和被動兩個節點收集。
PxGrid 節點 (PXG) 是使用 PxGrid 協定的節點,允許支援 PxGrid 的其他裝置之間進行通訊。
— 一種確保整合來自不同供應商的 IT 和資訊安全基礎設施產品的協定:監控系統、入侵偵測和預防系統、安全策略管理平台和許多其他解決方案。 Cisco PxGrid 可讓您以單向或雙向方式與許多平台共用上下文,而無需 API,從而使該技術成為可能 (SGT 標籤)、變更和應用 ANC(自適應網路控制)策略以及執行分析 - 確定設備型號、作業系統、位置等。
在高可用性配置中,PxGrid 節點透過 PAN 在節點之間複製資訊。 如果停用 PAN,PxGrid 節點將停止對使用者進行身份驗證、授權和計費。
以下是企業網路中不同思科 ISE 實體作業的示意圖。
圖 1. 思科 ISE 架構
三、要求
與大多數現代解決方案一樣,思科 ISE 可以虛擬或實體地作為單獨的伺服器實施。
執行思科 ISE 軟體的實體設備稱為 SNS(安全網路伺服器)。 它們有三種型號:SNS-3615、SNS-3655 和 SNS-3695,適用於小型、中型和大型企業。 表 1 顯示了來自 社交網路。
表1 不同規模SNS比較表
參數
SNS 3615(小)
SNS 3655(中)
SNS 3695(大)
獨立安裝中支援的端點數量
10000
25000
50000
每個 PSN 支援的端點數量
10000
25000
100000
CPU(英特爾至強 2.10 GHz)
8芯
12芯
12芯
內存
32 GB(2 個 16 GB)
96 GB(6 個 16 GB)
256 GB(16 個 16 GB)
硬盤
1 個 600 GB
4 個 600 GB
8 個 600 GB
硬件RAID
沒有
RAID 10,存在 RAID 控制器
RAID 10,存在 RAID 控制器
網絡接口
2 個 10Gbase-T
4 個 1Gbase-T
2 個 10Gbase-T
4 個 1Gbase-T
2 個 10Gbase-T
4 個 1Gbase-T
關於虛擬實施,支援的虛擬機器管理程式包括 VMware ESXi(建議 ESXi 11 的最低 VMware 版本 6.0)、Microsoft Hyper-V 和 Linux KVM (RHEL 7.0)。 資源應與上表中的資源大致相同或更多。 但是,小型企業虛擬機器的最低要求是: CPU 2 頻率為 2.0 GHz 及更高, 16 GB 內存 и 200 GB HDD。
有關其他 Cisco ISE 部署詳細信息,請聯繫 或到 , .
4. 安裝
與大多數其他思科產品一樣,ISE 可以透過多種方式進行測試:
-
– 預先安裝實驗室佈局的雲端服務(需要思科帳戶);
-
– 請求來自 Cisco的某些軟體(合作夥伴的方法)。 您建立一個具有以下典型描述的案例:產品類型 [ISE],ISE 軟體 [ise-2.7.0.356.SPA.x8664],ISE 補丁 [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
— 聯絡任何授權合作夥伴進行免費試點計畫。
1) 建立虛擬機器後,如果您要求 ISO 檔案而不是 OVA 模板,ISE 將彈出一個窗口,要求您選擇安裝。 為此,您應該寫“而不是您的登入名稱和密碼”格局“!
注: 如果您從 OVA 模板部署 ISE,則登入詳細信息 管理員/MyIseYPass2 (這一點以及更多內容已在官方中指出 ).
圖 2. 安裝思科 ISE
2) 然後您應該填寫必填字段,例如 IP 位址、DNS、NTP 等。
圖 3. 初始化思科 ISE
3) 之後,設備將重新啟動,您將能夠使用先前指定的 IP 位址透過 Web 介面進行連線。
圖 4. 思科 ISE Web 介面
4) 在選項卡中 管理 > 系統 > 部署 您可以選擇在特定裝置上啟用哪些節點(實體)。 此處啟用 PxGrid 節點。
圖 5. 思科 ISE 實體管理
5)然後在選項卡中 管理 > 系統 > 管理員存取 > 認證 我建議設定密碼原則、身份驗證方法(證書或密碼)、帳戶到期日期和其他設定。
圖 6. 身份驗證類型設定圖 7. 密碼原則設置圖 8. 設定時間到期後帳戶關閉圖 9. 設定帳戶鎖定
6) 在選項卡中 管理 > 系統 > 管理員存取 > 管理員 > 管理員使用者 > 新增 您可以建立一個新的管理員。
圖 10. 建立本機思科 ISE 管理員
7) 新管理員可以成為新群組或已預先定義群組的一部分。 管理員群組在選項卡的同一面板中進行管理 管理組。 表 2 總結了有關 ISE 管理員及其權限和角色的資訊。
表 2. 思科 ISE 管理員群組、存取等級、權限和限制
管理員群組名
允許
限制
客製化管理
設定訪客和贊助入口網站、管理和客製化
無法變更策略或查看報告
幫助台管理員
能夠查看主儀表板、所有報告、警報和故障排除流
您無法變更、建立或刪除報告、警報和身份驗證日誌
身分管理員
管理使用者、權限和角色,查看日誌、報告和警報的能力
您無法在作業系統層級變更策略或執行任務
MnT 管理員
全面監控、報告、警報、日誌及其管理
無法改變任何政策
網路設備管理員
建立和變更 ISE 物件、檢視日誌、報表、主儀表板的權限
您無法在作業系統層級變更策略或執行任務
政策管理
全面管理所有策略、變更設定檔、設定、檢視報告
無法使用憑證、ISE 物件執行設定
RBAC 管理員
「操作」標籤中的所有設定、ANC 策略設定、報表管理
您無法變更 ANC 以外的策略或執行作業系統層級的任務
超級管理員
所有設定、報告和管理的權限,可以刪除和更改管理員憑證
無法變更、刪除超級管理員群組中的其他設定文件
系統管理員
「操作」標籤中的所有設定、管理系統設定、ANC 策略、檢視報告
您無法變更 ANC 以外的策略或執行作業系統層級的任務
外部 RESTful 服務 (ERS) 管理員
對思科 ISE REST API 的完全存取權限
僅用於本機使用者、主機和安全性群組(SG)的授權、管理
外部 RESTful 服務 (ERS) 運營商
思科 ISE REST API 讀取權限
僅用於本機使用者、主機和安全性群組(SG)的授權、管理
圖 11. 預先定義的思科 ISE 管理員群組
8) 選項卡中可選 授權 > 權限 > RBAC 策略 您可以編輯預定義管理員的權限。
圖 12. 思科 ISE 管理員預設設定檔權限管理
9) 在選項卡中 管理 > 系統 > 設定 所有系統設定均可用(DNS、NTP、SMTP 等)。 如果您在初始設備初始化期間錯過了它們,您可以在此處填寫它們。
5.Заключение
第一篇文章到此結束。 我們討論了思科 ISE NAC 解決方案的有效性、其架構、最低要求和部署選項以及初始安裝。
在下一篇文章中,我們將介紹如何建立帳戶、與 Microsoft Active Directory 整合以及建立來賓存取權限。
如果您對此主題有疑問或需要幫助測試產品,請聯繫 .
請繼續關注我們頻道的更新(, , , , ).
來源: www.habr.com