Найти в Дзене
TS Solution
535 подписчиков

Cisco ISE: Введение, требования, установка│Часть 1

94
7 мин
Оглавление

1. Введение

У каждой компании, даже самой малой, есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА).

На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER.

Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.

Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа.

В цикле статей, посвященному Cisco ISE (Identity Services Engine) — NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.

Кратко напомню, что Cisco ISE позволяет:

  • Быстро и просто создавать гостевой доступ в выделенной WLAN;
  • Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);
  • Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);
  • Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);
  • Классифицировать и профилировать оконечные и сетевые устройства;
  • Предоставлять видимость оконечных устройств;
  • Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;
  • Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);
  • И другие стандартные для ААА сервера фичи.

Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.

2. Архитектура

В архитектуре Identity Services Engine есть 4 сущности (ноды):

  • нода управления (Policy Administration Node)
  • нода распределения политик (Policy Service Node)
  • мониторинговая нода (Monitoring Node)
  • PxGrid нода (PxGrid Node).

Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.

Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА.

В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.

Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее.

Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.

Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты.

Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.

PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.

PxGrid  - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений.

Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.

В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.

Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.

Архитектура Cisco ISE
Архитектура Cisco ISE

3. Требования

Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.

Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.

Таблица 1. Сравнительная таблица SNS для разных масштабов

-3

Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0).

Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 CPU с частотой 2.0 ГГц и выше, 16 Гб RAM и 200 Гб HDD.

Для уточнения остальных деталей развертывания Cisco ISE обратитесь к нам или к ресурсу №1, ресурсу №2.

4. Установка

Как и большинство других продуктов Cisco, ISE можно протестировать несколькими способами:

  • dcloud – облачный сервис предустановленных лабораторных макетов (необходима учетная запись Cisco);
  • GVE request – запрос с сайта Cisco определенного софта (способ для партнеров). Вы создаете кейс со следующим типичным описанием: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch  [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
  • пилотный проект - обратитесь к любому авторизованному партнеру для проведения бесплатного пилотного проекта.

1) Создав виртуальную машину, если вы запросили ISO файл, а не OVA шаблон, у вас вылезет окно, в которой ISE требует выбрать установку. Для этого вместо логина и пароля следует написать "setup"!

Примечание: если вы развернули ISE из OVA шаблона, то данные для входа admin / MyIseYPass2 (это и многое другое указано в официальном гайде).

Установка Cisco ISE
Установка Cisco ISE

2) Затем следует заполнить необходимые поля, такие как IP-адрес, DNS, NTP и другие.

Инициализация Cisco ISE
Инициализация Cisco ISE

3) После устройство перезагрузится, и вы сможете подключиться по веб-интерфейсу по заданному ранее IP-адресу.

Веб-интерфейс Cisco ISE
Веб-интерфейс Cisco ISE

4) Во вкладке Administration > System > Deployment можно выбрать, какие ноды (сущности) включены на том или ином устройстве. Нода PxGrid включается здесь же.

Управление сущностями Cisco ISE
Управление сущностями Cisco ISE

5) Затем во вкладке Administration > System > Admin Access > Authentication рекомендую настроить политику паролей, метод аутентификации (сертификат или пароль), срок истечения учетной записи и другие настройки.

Настройка типа аутентификации
Настройка типа аутентификации
Настройки политики паролей
Настройки политики паролей
Настройка выключения аккаунта по истечение времени
Настройка выключения аккаунта по истечение времени
Настройка блокировки учетных записей
Настройка блокировки учетных записей

6) Во вкладке Administration > System > Admin Access > Administrators > Admin Users > Add можно создать нового администратора.

Создание локального администратора Cisco ISE
Создание локального администратора Cisco ISE

7) Нового администратора можно сделать частью новой группы или уже предустановленных групп. Управления группами администраторов осуществляется в этой же панели во вкладке Admin Groups. В таблице 2 сведена информация об администраторах ISE, их правах и ролях.

Таблица 2. Группы администраторов Cisco ISE, уровни доступа, разрешения и ограничения

-13
-14
Предустановленные группы администраторов Cisco ISE
Предустановленные группы администраторов Cisco ISE

8) Дополнительно во вкладке Authorization > Permissions > RBAC Policy можно редактировать права предустановленных администраторов.

Управление правами предустановленных профилей администраторов Cisco ISE
Управление правами предустановленных профилей администраторов Cisco ISE

9) Во вкладке Administration > System > Settings доступны все системные настройки (DNS, NTP, SMTP и другие). Вы можете их заполнить здесь, в случае если пропустили при первоначальной инициализации устройства.

5. Заключение

На этом первая статья подошла к концу. Мы обсудили эффективность NAC решения Cisco ISE, его архитектуру, минимальные требования и варианты развертывания, а также первичную установку.

В следующей статье мы рассмотрим создание учетных записей, интеграцию с Microsoft Active Directory, а также создание гостевого доступа.

Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.

Автор: Егор Черкасов. Инженер информационной безопасности


Подписывайтесь на наш канал, чтобы не пропустить обновления ✅

#информационная безопасность #cisco #системное администрирование #серверное администрирование #сетевые технологии

Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются