1. Введение
У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.
Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine) - NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.
Кратко напомню, что Cisco ISE позволяет:
-
Быстро и просто создавать гостевой доступ в выделенной WLAN;
-
Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);
-
Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);
-
Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);
-
Классифицировать и профилировать оконечные и сетевые устройства;
-
Предоставлять видимость оконечных устройств;
-
Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;
-
Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);
-
И другие стандартные для ААА сервера фичи.
Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.
2. Архитектура
В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.
Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.
Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.
Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.
PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.
PxGrid - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.
В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.
Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.
Рисунок 1. Архитектура Cisco ISE3. Требования
Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.
Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.
Таблица 1. Сравнительная таблица SNS для разных масштабов
Параметр |
SNS 3615 (Small) |
SNS 3655 (Medium) |
SNS 3695 (Large) |
Количество поддерживаемых оконечных устройств в Standalone инсталляции |
10000 |
25000 |
50000 |
Количество поддерживаемых оконечных устройств для каждой PSN |
10000 |
25000 |
100000 |
CPU (Intel Xeon 2.10 ГГц) |
8 ядер |
12 ядер |
12 ядер |
RAM |
32 Гб (2 x 16 Гб) |
96 Гб (6 x 16 Гб) |
256 Гб (16 x 16 Гб) |
HDD |
1 х 600 Гб |
4 х 600 Гб |
8 х 600 Гб |
Hardware RAID |
Нет |
RAID 10, наличие RAID контроллера |
RAID 10, наличие RAID контроллера |
Сетевые интерфейсы |
2 х 10Gbase-T 4 х 1Gbase-T |
2 х 10Gbase-T 4 х 1Gbase-T |
2 х 10Gbase-T 4 х 1Gbase-T |
Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 CPU с частотой 2.0 ГГц и выше, 16 Гб RAM и 200 Гб HDD.
Для уточнения остальных деталей развертывания Cisco ISE обратитесь к нам или к ресурсу 1, ресурсу 2.
4. Установка
Как и большинство других продуктов Cisco, ISE можно протестировать несколькими способами:
-
dcloud облачный сервис предустановленных лабораторных макетов (необходима учетная запись Cisco);
-
GVE request запрос с сайта Cisco определенного софта (способ для партнеров). Вы создаете кейс со следующим типичным описанием: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
-
пилотный проект - обратитесь к любому авторизованному партнеру для проведения бесплатного пилотного проекта.
1) Создав виртуальную машину, если вы запросили ISO файл, а не OVA шаблон, у вас вылезет окно, в которой ISE требует выбрать установку. Для этого вместо логина и пароля следует написать "setup"!
Примечание: если вы развернули ISE из OVA шаблона, то данные для входа admin / MyIseYPass2 (это и многое другое указано в официальном гайде).
Рисунок 2. Установка Cisco ISE2) Затем следует заполнить необходимые поля, такие как IP-адрес, DNS, NTP и другие.
Рисунок 3. Инициализация Cisco ISE3) После устройство перезагрузится, и вы сможете подключиться по веб-интерфейсу по заданному ранее IP-адресу.
Рисунок 4. Веб-интерфейс Cisco ISE4) Во вкладке Administration > System > Deployment можно выбрать, какие ноды (сущности) включены на том или ином устройстве. Нода PxGrid включается здесь же.
Рисунок 5. Управление сущностями Cisco ISE5) Затем во вкладке Administration > System > Admin Access > Authentication рекомендую настроить политику паролей, метод аутентификации (сертификат или пароль), срок истечения учетной записи и другие настройки.
Рисунок 6. Настройка типа аутентификацииРисунок 7. Настройки политики паролейРисунок 8. Настройка выключения аккаунта по истечение времениРисунок 9. Настройка блокировки учетных записей6) Во вкладке Administration > System > Admin Access > Administrators > Admin Users > Add можно создать нового администратора.
Рисунок 10. Создание локального администратора Cisco ISE7) Нового администратора можно сделать частью новой группы или уже предустановленных групп. Управления группами администраторов осуществляется в этой же панели во вкладке Admin Groups. В таблице 2 сведена информация об администраторах ISE, их правах и ролях.
Таблица 2. Группы администраторов Cisco ISE, уровни доступа, разрешения и ограничения
Название группы администраторов |
Разрешения |
Ограничения |
Customization Admin |
Настройка гостевого, спонсорского порталов, администрирование и кастомизация |
Невозможность изменять политики, просматривать отчеты |
Helpdesk Admin |
Возможность просматривать главный дашборд, все отчеты, лармы и траблшутить потоки |
Нельзя изменять, создавать и удалять отчеты, алармы и логи аутентификации |
Identity Admin |
Управление пользователями, привилегиями и ролями, возможность смотреть логи, отчеты и алармы |
Нельзя изменять политики, выполнять задачи на уровне ОС |
MnT Admin |
Полный мониторинг, отчеты, алармы, логи и управление ими |
Невозможность изменять никакие политики |
Network Device Admin |
Права на создание, изменение объектов ISE, просмотр логов, отчетов, главного дашборда |
Нельзя изменять политики, выполнять задачи на уровне ОС |
Policy Admin |
Полное управление всеми политиками, изменение профилей, настроек, просмотр отчетности |
Невозможность выполнять настройки с учетными данными, объектами ISE |
RBAC Admin |
Все настройки во вкладке Operations, настройка ANC политики, управление отчетностью |
Нельзя изменять другие кроме ANC политики, выполнять задачи на уровне ОС |
Super Admin |
Права на все настройки, отчетность и управление, может удалять и изменять учетные данные администраторов |
Не может изменить, удалить другого профиля из группы Super Admin |
System Admin |
Вс настройки во вкладке Operations, управление системными настройками, политикой ANC, просмотр отчетности |
Нельзя изменять другие кроме ANC политики, выполнять задачи на уровне ОС |
External RESTful Services (ERS) Admin |
Полный доступ к REST API Cisco ISE |
Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG) |
External RESTful Services (ERS) Operator |
Права на чтение REST API Cisco ISE |
Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG) |
8) Дополнительно во вкладке Authorization > Permissions > RBAC Policy можно редактировать права предустановленных администраторов.
Рисунок 12. Управление правами предустановленных профилей администраторов Cisco ISE9) Во вкладке Administration > System > Settings доступны все системные настройки (DNS, NTP, SMTP и другие). Вы можете их заполнить здесь, в случае если пропустили при первоначальной инициализации устройства.
5. Заключение
На этом первая статья подошла к концу. Мы обсудили эффективность NAC решения Cisco ISE, его архитектуру, минимальные требования и варианты развертывания, а также первичную установку.
В следующей статье мы рассмотрим создание учетных записей, интеграцию с Microsoft Active Directory, а также создание гостевого доступа.
Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.
Следите за обновлениями в наших каналах (Telegram,Facebook,VK,TS Solution Blog,Яндекс.Дзен).