1. Введение
У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.
Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine) - NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.
Кратко напомню, что Cisco ISE позволяет:
Быстро и просто создавать гостевой доступ в выделенной WLAN;
Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);
Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);
Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);
Классифицировать и профилировать оконечные и сетевые устройства;
Предоставлять видимость оконечных устройств;
Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;
Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);
И другие стандартные для ААА сервера фичи.
Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.
2. Архитектура
В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.
Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.
Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.
Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.
PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.
PxGrid - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.
В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.
Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.
3. Требования
Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.
Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.
Таблица 1. Сравнительная таблица SNS для разных масштабов
Параметр | SNS 3615 (Small) | SNS 3655 (Medium) | SNS 3695 (Large) |
Количество поддерживаемых оконечных устройств в Standalone инсталляции | 10000 | 25000 | 50000 |
Количество поддерживаемых оконечных устройств для каждой PSN | 10000 | 25000 | 100000 |
CPU (Intel Xeon 2.10 ГГц) | 8 ядер | 12 ядер | 12 ядер |
RAM | 32 Гб (2 x 16 Гб) | 96 Гб (6 x 16 Гб) | 256 Гб (16 x 16 Гб) |
HDD | 1 х 600 Гб | 4 х 600 Гб | 8 х 600 Гб |
Hardware RAID | Нет | RAID 10, наличие RAID контроллера | RAID 10, наличие RAID контроллера |
Сетевые интерфейсы | 2 х 10Gbase-T 4 х 1Gbase-T | 2 х 10Gbase-T 4 х 1Gbase-T | 2 х 10Gbase-T 4 х 1Gbase-T |
Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 CPU с частотой 2.0 ГГц и выше, 16 Гб RAM и 200 Гб HDD.
Для уточнения остальных деталей развертывания Cisco ISE обратитесь к нам или к ресурсу №1, ресурсу №2.
4. Установка
Как и большинство других продуктов Cisco, ISE можно протестировать несколькими способами:
dcloud – облачный сервис предустановленных лабораторных макетов (необходима учетная запись Cisco);
GVE request – запрос с сайта Cisco определенного софта (способ для партнеров). Вы создаете кейс со следующим типичным описанием: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];
пилотный проект - обратитесь к любому авторизованному партнеру для проведения бесплатного пилотного проекта.
1) Создав виртуальную машину, если вы запросили ISO файл, а не OVA шаблон, у вас вылезет окно, в которой ISE требует выбрать установку. Для этого вместо логина и пароля следует написать "setup"!
Примечание: если вы развернули ISE из OVA шаблона, то данные для входа admin / MyIseYPass2 (это и многое другое указано в официальном гайде).
2) Затем следует заполнить необходимые поля, такие как IP-адрес, DNS, NTP и другие.
3) После устройство перезагрузится, и вы сможете подключиться по веб-интерфейсу по заданному ранее IP-адресу.
4) Во вкладке Administration > System > Deployment можно выбрать, какие ноды (сущности) включены на том или ином устройстве. Нода PxGrid включается здесь же.
5) Затем во вкладке Administration > System > Admin Access > Authentication рекомендую настроить политику паролей, метод аутентификации (сертификат или пароль), срок истечения учетной записи и другие настройки.
6) Во вкладке Administration > System > Admin Access > Administrators > Admin Users > Add можно создать нового администратора.
7) Нового администратора можно сделать частью новой группы или уже предустановленных групп. Управления группами администраторов осуществляется в этой же панели во вкладке Admin Groups. В таблице 2 сведена информация об администраторах ISE, их правах и ролях.
Таблица 2. Группы администраторов Cisco ISE, уровни доступа, разрешения и ограничения
Название группы администраторов | Разрешения | Ограничения |
Customization Admin | Настройка гостевого, спонсорского порталов, администрирование и кастомизация | Невозможность изменять политики, просматривать отчеты |
Helpdesk Admin | Возможность просматривать главный дашборд, все отчеты, лармы и траблшутить потоки | Нельзя изменять, создавать и удалять отчеты, алармы и логи аутентификации |
Identity Admin | Управление пользователями, привилегиями и ролями, возможность смотреть логи, отчеты и алармы | Нельзя изменять политики, выполнять задачи на уровне ОС |
MnT Admin | Полный мониторинг, отчеты, алармы, логи и управление ими | Невозможность изменять никакие политики |
Network Device Admin | Права на создание, изменение объектов ISE, просмотр логов, отчетов, главного дашборда | Нельзя изменять политики, выполнять задачи на уровне ОС |
Policy Admin | Полное управление всеми политиками, изменение профилей, настроек, просмотр отчетности | Невозможность выполнять настройки с учетными данными, объектами ISE |
RBAC Admin | Все настройки во вкладке Operations, настройка ANC политики, управление отчетностью | Нельзя изменять другие кроме ANC политики, выполнять задачи на уровне ОС |
Super Admin | Права на все настройки, отчетность и управление, может удалять и изменять учетные данные администраторов | Не может изменить, удалить другого профиля из группы Super Admin |
System Admin | Вс настройки во вкладке Operations, управление системными настройками, политикой ANC, просмотр отчетности | Нельзя изменять другие кроме ANC политики, выполнять задачи на уровне ОС |
External RESTful Services (ERS) Admin | Полный доступ к REST API Cisco ISE | Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG) |
External RESTful Services (ERS) Operator | Права на чтение REST API Cisco ISE | Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG) |
8) Дополнительно во вкладке Authorization > Permissions > RBAC Policy можно редактировать права предустановленных администраторов.
9) Во вкладке Administration > System > Settings доступны все системные настройки (DNS, NTP, SMTP и другие). Вы можете их заполнить здесь, в случае если пропустили при первоначальной инициализации устройства.
5. Заключение
На этом первая статья подошла к концу. Мы обсудили эффективность NAC решения Cisco ISE, его архитектуру, минимальные требования и варианты развертывания, а также первичную установку.
В следующей статье мы рассмотрим создание учетных записей, интеграцию с Microsoft Active Directory, а также создание гостевого доступа.
Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.
Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
grifan
Просто уточнить, так как большинство будут использовать виртуальные машины (VM), а не SNS appliances — минимум 8 CPUs или 16 vCPU/Threads (с включенным Hyperthreading) для последних релизов 2.6, 2.7 или вроде уже релизнутой 3.0