antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 31 Июль , 2012

Введение

Cisco Identity Service Engine (ISE) – новая платформа доступа в сеть, которая предоставляет услуги аутентификации, авторизации пользователей и устройств в проводной и беспроводной среде, а также профилирование устройств и оценку их состояния (profiling and posture). В целом, ISE перенял на себя функционал ACS (частично, на данный момент в ISE доступен только RADIUS) и NAC. Производителем ISE позиционируется для осуществления следующих задач:

— Авторизованный доступ для работников. Эта область применения девайса подразумевает под собой контроль доступа сотрудников к корпоративным ресурсам в случае использования корпоративных компьютеров.

— Гостевой доступ.

— Безопасный доступ устройств в сеть, за которыми не сидят пользователи (например, принтеры и видео камеры).

Cisco ISE терминология

Перед тем как познакомиться непосредственно с продуктом ISE, познакомимся с терминологией, которая будет использоваться здесь и далее по тексту.

Узел – отдельный экземпляр (физический апплайнс или виртуальная машина VmWare) программного обеспечения Cisco ISE. Узел бывает двух типов: обычный ISE узел и Inline узел.

Каждый ISE узел состоит из нескольких персон: персона администрирования, мониторинга и политик. Каждая из персон выполняет свою определенную функцию (какую – смотри далее по тексту). При этом, персоны администрирования и мониторинга могут нести в себе одну из трех ролей: отдельностоящая (standalone), главная и вторичная – для вариантов внедрений высокой отказоучстойчивости.

Внешний источник идентичности

Первая роль, которую мы с вами рассмотрим – внешний источник идентичности (External Idenity Source, EIS).

EIS используется для взаимодействия с внешними службами, такими как Microsoft Active Directory. Используется, например, для «подсасывания» аккаунтов пользователей. В каждом варианте внедрения ISE должен быть хотя бы один EIS.

В качестве EIS могут быть использованы следующие службы:

— локальная база пользователей Cisco ISE (дада, внутренняя база также взаимодействует с самим ISE через интерфейс EIS).

— Active Directory

— LDAP сервера (в т.ч. NAC Profiler 2.1.8)

— сервера токенов (например, RSA ACE)

Узел администрирования

Следующая роль ПО – узел администрирования

Собственно это интерфейс с устройством Cisco ISE, через который администратор конфигурирует политики и передает их в систему ISE.

Узел администрирования предоставляет следующие функции внутри архитектуры ISE:

— лицензирование

— администрирование политик аутентификации и авторизации

— аудит

При внедрении архитектуры ISE в сеть предприятия необходимо знать следующее: максимум может быть два узла администрирования для обеспечения отказоустойчивости. При этом, из двух узлов только один может быть активным в данный момент времени. При выходе из строя основного узла, резервный активным автоматически не становится.

Все изменения конфигурации, которые делаются через активный узел политик заносятся в базу данных ISE и распространяются на все узлы политик, а также на резервный узел администрирования. Такой процесс называется синхронизацией политик.

Узел политик

Узел политик – это устройство, которое будет принимать решения о том, какой уровень доступа в сеть должно получить то или иное устройство, основываясь на политиках, полученных от узла администрирования.

Этот узел принимает решения для следующих случаев:

— сетевой доступ (aaa radius)

— оценка состояния устройства

— гостевой доступ

— профилирование устройства

Любое внедрение Cisco ISE должно иметь хотя бы один узел политик. Если узлы администрирования и политик находятся на одной сервере, то узлов политик может быть не более 5, если эти узлы разнесены, то поддерживается до 40 узлов политик.

Обращаю внимание на то, что сетевые устройства доступа (Network Access Device, NAD) должны быть вручную сконфигурированы для использования различных узлов политик (т.е. на коммутаторе необходимо настроить несколько RADIUS-серверов).

Узел мониторинга

Следующая роль, которая есть в программном обеспечении Cisco ISE – узел политик. Он необходим для сбора логов, корреляции событий и создания отчетов.

Узел мониторинга состоит из трех модулей:

— Коллектор. Этот процесс собирает данные от коллектор-агента, который запущен на каждом ISE узле, анализирует эти данные и передает их в базу данных узла мониторинга. Коллектор запущен на всех узлах, которые несут в себе функцию мониторинга.

— Коллектор-агент. Этот процесс запущен на каждом узле ISE. Он собирается различные данные от компонентов Cisco ISE (например, syslog сообщения от NAD). Затем он их отправляет в сторону коллектора.

— База данных узла мониторинга. Эта БД используется для хранения логов и хранится локально на своем узле мониторинга.

При внедрении Cisco ISE в системе может быть максимум 2 узла мониторинга, которые сконфигурированы в Active-Standby псевдо-фейловер. Псевдо относится к следующему факту: обе инстанции узлов мониторинга будут собирать логи мониторинга, но при их запросе с узла администрирования, обращение идет на активный узел. В случае выхода активного узла мониторинга из строя, резервный берет на себя роль первого в автоматическом режиме.

После того, как мы с Вами разобрались с ролями в архитектуре Cisco ISE, можно суммаризовать всю информацию следующим алгоритмом:

 

  • Клиент пытается получить доступ в сеть через устройство NAD, которым может быть коммутатор, WLC или ASA.
  • От NAD’а идете запрос-аутентификация по протоколу RADIUS к серверу политик Cisco ISE.
  • Основываясь на правилах, которые узел политик получил от узла администрирования, узел политик обрабатывает пришедший запрос и принимает то или иное решение авторизации.
  • Для обработки запрос, узлу политик может потребоваться обратиться к ESI (Policy Information Point – в старой терминологии), которым могут выступать сервер AD, LDAP или локальная база данных.
  • Сервер политик выдает ответ NAD’у (опять же через RADIUS). Ответ может быть как простым, типа Reject (например, аутентификация не пройдена), так и содержать в себе политики авторизации, например загружаемый список доступа DACL, назначаемый VLAN или метку SGT.
  • Устройство доступа в сеть применяет политики, пришедшие от узла политик.
  • Всё логгирование, например syslog-сообщения от NAD передаются через RADIUS к серверу политик и далее на узел мониторинга. Однако, можно настроить NAD таким образом, чтобы логи передавались на узел мониторинга сразу – например, через SNMP.

Поддерживаемые устройства NAD

Критичным требованием, которое предъявляется к устройствам NAD для корректной работы в сети CTS, является поддержка технологии CoA.

По ссылке, Вы можете найти список оборудования, которое поддерживает те или возможности безопасности. Все платформы, которые явно не перечислены в списке, должны использовать Cisco ISE в режиме Inline для осуществления CoA.

Узел ISE в режиме Inline

Узел Inline предназначен для применение политик переавторизации для устройств NAD, которые не поддерживают CoA.

Inline узел поддерживает следующее:

— выступает в качестве RADIUS-прокси между NAD и узлом политик

— применяет политик с помощью DACL

— возможна работа в режиме маршрутизатора или моста

— поддерживается Active/Standby фэйловер

Аппаратная поддержка Cisco ISE

На данный момент Cisco ISE может быть внедрен на следующих серверах:

— ISE 3315/3355/3395

— VmWare ESX v4.0/4.1

— VmWare ESXi v4.0/4.1

Лицензирование ISE

Коснемся очень важной и довольно «больной» темы – лицензирование.

Все лицензии ISE делятся на 3 большие группы:

— Базовая лицензия. Используется для активации базовых функций сервера: аутентификация, авторизация, гостевой доступ, мониторинг и траблшутинг. Лицензия бессрочная. Купить её можно у партнеров Cisco со специализацией ATP.

— Расширенная лицензия необходима для активации таких функций, как профилирование, оценка состояния, SGA. Не может быть установлена без предварительной установки базовой лицензии. Если одному устройству, необходимо сделать профилирование, то будет задействована одна расширенная лицензия и одна базовая (т.к. устройство так или иначе должно в сети сначала аутентифицироваться). Срок действия лицензии – 3 года или 5 лет. Купить её можно у партнеров Cisco со специализацией ATP.

— Лицензия для беспроводных устройств активирует все функции ISE, но только для беспроводных устройств. Срок действия лицензии 5 лет. Купить её можно у любого партнера Cisco. Если со временем в сети появятся и проводные устройство, можно купить Upgrade-лицензию у ATP партнера.

 

Для справки: комплект базовой и расширенной лицензии на 5 лет на 10 тысяч конечных устройств, стоит $370,000

 

Метки:
Опубликовано: Безопасность cisco

 

2 комментария “Программная архитектура Cisco ISE”

comment rss - Trackback

  1. Леш, опечатку заметил мелкую:

    Узел мониторинга

    Следующая роль, которая есть в программном обеспечении Cisco ISE – узел ПОЛИТИК. Он необходим для сбора логов, корреляции событий и создания отчетов.

  2. andrew13:

    1. В заголовках «Узел администрирования», «Узел политик» и др. вместо «Узел» целесообразно писать «персона», т.к. выше написано, что узел — это отдельный сервер. В ISE все «персоны» могут содержаться в одном физическом узле.
    2. External Identity Source — это не роль, ИМХО, а просто функциональная возможность ISE засасывать Identity Information из других хранилищ такой информации.
    3. «В каждом варианте внедрения ISE должен быть хотя бы один EIS…..(дада, внутренняя база также взаимодействует с самим ISE через интерфейс EIS)».
    Вот это мне непонятно. С точки зрения конфигурации ISE через GUI, EIS может вообще не быть. Т.е. заходишь на вкладку «External Identity Sources» и видишь там «No data available». При этом для хранения идентификационной информации используются локальные Users & Endpoints.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.