1. Введение

У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS+ и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.

Для таких задач отлично подходит класс решений NAC (Network Access Control) - контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine) - NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.

Кратко напомню, что Cisco ISE позволяет:

  • Быстро и просто создавать гостевой доступ в выделенной WLAN;

  • Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);

  • Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);

  • Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);

  • Классифицировать и профилировать оконечные и сетевые устройства;

  • Предоставлять видимость оконечных устройств;

  • Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;

  • Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности (подробнее);

  • И другие стандартные для ААА сервера фичи.

Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE.

2. Архитектура

В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers - SNS), когда в Distributed - ноды распределены по разным устройствам.

Policy Administration Node (PAN) - обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости - Active/Standby режим.

Policy Service Node (PSN) - обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.

Monitoring Node (MnT) - обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость - Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.

PxGrid Node (PXG) - нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.

PxGrid  - протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование - определение модели устройства, ОС, местоположение и другое.

В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей. 

Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.

Рисунок 1. Архитектура Cisco ISE
Рисунок 1. Архитектура Cisco ISE

3. Требования

Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер. 

Физические устройства с установленным ПО Cisco ISE называются SNS (Secure Network Server). Они бывают трех моделей: SNS-3615, SNS-3655 и SNS-3695 для малого, среднего и большого бизнеса. В таблице 1 приведена информация из даташита SNS.

Таблица 1. Сравнительная таблица SNS для разных масштабов

Параметр

SNS 3615 (Small)

SNS 3655 (Medium)

SNS 3695 (Large)

Количество поддерживаемых оконечных устройств в Standalone инсталляции

10000

25000

50000

Количество поддерживаемых оконечных устройств для каждой PSN

10000

25000

100000

CPU (Intel Xeon 2.10 ГГц)

8 ядер

12 ядер

12 ядер

RAM 

32 Гб (2 x 16 Гб)

96 Гб (6 x 16 Гб)

256 Гб (16 x 16 Гб)

HDD

1 х 600 Гб

4 х 600 Гб

8 х 600 Гб

Hardware RAID

Нет

RAID 10, наличие RAID контроллера

RAID 10, наличие RAID контроллера

Сетевые интерфейсы

2 х 10Gbase-T

4 х 1Gbase-T 

2 х 10Gbase-T

4 х 1Gbase-T 

2 х 10Gbase-T

4 х 1Gbase-T

Касательно виртуальных внедрений, поддерживаются гипервизоры VMware ESXi (рекомендуется минимум VMware версия 11 для ESXi 6.0), Microsoft Hyper-V и Linux KVM (RHEL 7.0). Ресурсы должны быть примерно такие же, как и в таблице выше, либо больше. Тем не менее, минимальные требования виртуальной машины для малого бизнеса: 2 CPU с частотой 2.0 ГГц и выше, 16 Гб RAM и 200 Гб HDD. 

Для уточнения остальных деталей развертывания Cisco ISE обратитесь к нам или к ресурсу №1, ресурсу №2.

4. Установка

Как и большинство других продуктов Cisco, ISE можно протестировать несколькими способами:

  • dcloud – облачный сервис предустановленных лабораторных макетов (необходима учетная запись Cisco);

  • GVE request – запрос с сайта Cisco определенного софта (способ для партнеров). Вы создаете кейс со следующим типичным описанием: Product type [ISE], ISE Software [ise-2.7.0.356.SPA.x8664], ISE Patch  [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

  • пилотный проект - обратитесь к любому авторизованному партнеру для проведения бесплатного пилотного проекта.

1) Создав виртуальную машину, если вы запросили ISO файл, а не OVA шаблон, у вас вылезет окно, в которой ISE требует выбрать установку. Для этого вместо логина и пароля следует написать "setup"!

Примечание: если вы развернули ISE из OVA шаблона, то данные для входа admin / MyIseYPass2 (это и многое другое указано в официальном гайде).

Рисунок 2. Установка Cisco ISE
Рисунок 2. Установка Cisco ISE

2) Затем следует заполнить необходимые поля, такие как IP-адрес, DNS, NTP и другие.

Рисунок 3. Инициализация Cisco ISE
Рисунок 3. Инициализация Cisco ISE

3) После устройство перезагрузится, и вы сможете подключиться по веб-интерфейсу по заданному ранее IP-адресу.

Рисунок 4. Веб-интерфейс Cisco ISE
Рисунок 4. Веб-интерфейс Cisco ISE

4) Во вкладке Administration > System > Deployment можно выбрать, какие ноды (сущности) включены на том или ином устройстве. Нода PxGrid включается здесь же.

Рисунок 5. Управление сущностями Cisco ISE
Рисунок 5. Управление сущностями Cisco ISE

5) Затем во вкладке Administration > System > Admin Access > Authentication рекомендую настроить политику паролей, метод аутентификации (сертификат или пароль), срок истечения учетной записи и другие настройки.

Рисунок 6. Настройка типа аутентификации
Рисунок 6. Настройка типа аутентификации
Рисунок 7. Настройки политики паролей
Рисунок 7. Настройки политики паролей
Рисунок 8. Настройка выключения аккаунта по истечение времени
Рисунок 8. Настройка выключения аккаунта по истечение времени
Рисунок 9. Настройка блокировки учетных записей
Рисунок 9. Настройка блокировки учетных записей

6) Во вкладке Administration > System > Admin Access > Administrators > Admin Users > Add можно создать нового администратора.

Рисунок 10. Создание локального администратора Cisco ISE
Рисунок 10. Создание локального администратора Cisco ISE

7) Нового администратора можно сделать частью новой группы или уже предустановленных групп. Управления группами администраторов осуществляется в этой же панели во вкладке Admin Groups. В таблице 2 сведена информация об администраторах ISE, их правах и ролях.

Таблица 2. Группы администраторов Cisco ISE, уровни доступа, разрешения и ограничения

Название группы администраторов

Разрешения

Ограничения

Customization Admin

Настройка гостевого, спонсорского порталов, администрирование и кастомизация

Невозможность изменять политики, просматривать отчеты

Helpdesk Admin

Возможность просматривать главный дашборд, все отчеты, лармы и траблшутить потоки

Нельзя изменять, создавать и удалять отчеты, алармы и логи аутентификации

Identity Admin

Управление пользователями, привилегиями и ролями, возможность смотреть логи, отчеты и алармы

Нельзя изменять политики, выполнять задачи на уровне ОС

MnT Admin

Полный мониторинг, отчеты, алармы, логи и управление ими

Невозможность изменять никакие политики

Network Device Admin

Права на создание, изменение объектов ISE, просмотр логов, отчетов, главного дашборда

Нельзя изменять политики, выполнять задачи на уровне ОС

Policy Admin

Полное управление всеми политиками, изменение профилей, настроек, просмотр отчетности

Невозможность выполнять настройки с учетными данными, объектами ISE

RBAC Admin

Все настройки во вкладке Operations, настройка ANC политики, управление отчетностью

Нельзя изменять  другие кроме ANC политики, выполнять задачи на уровне ОС

Super Admin

Права на все настройки, отчетность и управление, может удалять и изменять учетные данные администраторов

Не может изменить, удалить другого профиля из группы Super Admin

System Admin

Вс настройки во вкладке Operations, управление системными настройками, политикой ANC, просмотр отчетности

Нельзя изменять  другие кроме ANC политики, выполнять задачи на уровне ОС

External RESTful Services (ERS) Admin

Полный доступ к REST API Cisco ISE

Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG)

External RESTful Services (ERS) Operator

Права на чтение REST API Cisco ISE

Только для авторизации, управления локальными пользователями, хостами и группами безопасности (SG)

Рисунок 11. Предустановленные группы администраторов Cisco ISE
Рисунок 11. Предустановленные группы администраторов Cisco ISE

8) Дополнительно во вкладке Authorization > Permissions > RBAC Policy можно редактировать права предустановленных администраторов.

Рисунок 12. Управление правами предустановленных профилей администраторов Cisco ISE
Рисунок 12. Управление правами предустановленных профилей администраторов Cisco ISE

9) Во вкладке Administration > System > Settings доступны все системные настройки (DNS, NTP, SMTP и другие). Вы можете их заполнить здесь, в случае если пропустили при первоначальной инициализации устройства.

5. Заключение

На этом первая статья подошла к концу. Мы обсудили эффективность NAC решения Cisco ISE, его архитектуру, минимальные требования и варианты развертывания, а также первичную установку.

В следующей статье мы рассмотрим создание учетных записей, интеграцию с Microsoft Active Directory, а также создание гостевого доступа.

Если у вас появились вопросы по данной тематике или же требуется помощь в тестировании продукта, обращайтесь по ссылке.

Следите за обновлениями в наших каналах (TelegramFacebookVKTS Solution BlogЯндекс.Дзен).