identity services engine overview
DESCRIPTION
TRANSCRIPT
![Page 1: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/1.jpg)
Интеграция сервисов
идентификации и контроля
доступа. Решение Cisco Identity
Services Engine (ISE)
![Page 2: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/2.jpg)
Программа
• Identity Services Engine и TrustSec.
• Управление доступом с учетом
контекста:– Кто: Аутентификация
– Что: Профилирование, оценка состояния,
изменение авторизации (CoA)
– Применение политик доступа
– Управление гостевым доступом
• Эксплуатация
• Дизайн и внедрение
• Направления развития
![Page 3: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/3.jpg)
Identity Services Engine
Вступление
![Page 4: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/4.jpg)
Эволюция сетевого доступаЭпоха сетей без границ
Кампусная
сеть
Внутренние
ресурсы
Филиал
Интернет
Сотрудники
(Продавцы)
Сотрудники
(Продавцы)
VPN
Сотрудники
(Финансы)
Контрактники
ГостиIP камера
Телеработа
VPN
VPN
Мобильные
сотрудники
Сотрудники с
WiFI-
устройствами
Системы
безопасности
Принтеры
(Бухгалтерия)
Принтеры
(Sales)
![Page 5: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/5.jpg)
Распространение мобильных устройств
Время
• 7.7 миллиардов Wi-Fi (a/b/g/n) устройств будет
выходить на рынок в ближайшие пять лет.*
• К 2015 году будет 7.400 млрд 802.11n устройств на
рынке*
• 1.2 миллиарда смартфонов выйдет на рынок в
течение следующих пяти лет, около 40% всех
поставок телефонов .*
• К 2012 году более 50% мобильных устройств будет
поставляться без проводных портов .***
Источники: *ABI Research, **IDC, *** Morgan Stanley Market Trends 2010
Big
![Page 6: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/6.jpg)
Задачи управления доступом
КТО
ПОДКЛЮЧИЛСЯ ?
ЧТО
ЗА УСТРОЙСТВО ?
КАК
ПОДКЛЮЧИЛСЯ?
ГДЕ
ПОДКЛЮЧИЛСЯ ?
КУДА
разрешатся доступ
![Page 7: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/7.jpg)
Управление Сервисы Безопасность
КОРПОРАТИВНАЯ СЕТЬ
Cisco Infrastructure
Динамический контекст
Политики доступа
Идентификация
Контр
ол
ь д
осту
па
Контр
ол
ь д
осту
па
Архитектура TrustSec.
Контроль доступа на уровне сети
Клиентские
устройства
ЦОД и
приложения
![Page 8: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/8.jpg)
Архитектура Cisco TrustSec. Сервисы
Контекст:
―Кто‖ и Что
находится в моей
сети?
Куда cмогут
иметь доступ
пользователи/уст
ройства?
Защищены ли
сетевые
коммуникации?
Идентификация и Аутентификация
802.1X, Web Authentication, MAC-адреса, Профилирование
Авторизация и Контроль доступа
Целостность данных и конфиденциальность
VLAN DACLSecurity Group
Access
MACSec (802.1AE)
ПОЛИТИКА БЕЗОПАСНОСТИ
Identity
Firewall
![Page 9: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/9.jpg)
Контроль доступа: традиционный подход
Клиент
Управление
политиками и
сервисами
безопасности
Применение политик
NAC Manager NAC GuestNAC ProfilerACS
WiFI МаршрутизаторыКоммутаторыМежсетевые
экраны
NAC агент Web-агент или
браузерAnyConnect или
встроенный в ОС
NAC
Appliance
![Page 10: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/10.jpg)
Контроль доступа TrustSec
Основные компоненты
Коммутаторы Межсетевые
экраны
Identity Services Engine (ISE)
NAC агент Web-агент или
браузерAnyConnect или
встроенный в ОС
Клиент
Применение политик
Управление
политиками и
сервисами
безопасности
WiFI Маршрутизаторы
![Page 11: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/11.jpg)
ISE: платформа централизованного управления
политиками и сервисами
Централизованная
идентификация
пользователей и
устройств в сети
Автоматизация предоставления сервиса сетевого
доступа для сотрудников,
гостей и устройств
Применение
согласованных
политик доступа
на основе
идентификации
Эффективность
IT
Безопасность
инфраструктуры
и compliance
Cisco
ISE
![Page 12: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/12.jpg)
ISE. Гибкая безопасность на основе политик
Я хочу разрешить
гостевой доступ
Мне нужно разрешить /
запретить iPADы в моей
сети (BYOD)
Я хочу разрешить доступ
к своей сети
только авторизованным
пользователям
Как я могу установить
политики, основанной на
личности сотрудника, а не
IP-адресах?
Мне нужно, чтобы мои
конечные устройства не
несли угрозу
Мне необходимо
защищать
конфиденциальные
коммуникации
Управление
жизненным циклом
гостевого доступа
Сервисы
профилирования
Сервисы оценки
состояния
Идентификация и
авторизация
Технология MACSec
Cisco ISE
Управление доступом
на основе групп
безопасности
![Page 13: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/13.jpg)
Что такое политика на основе контекста?
• Доступ на основе контекста
Кто?Известные пользователи
Неизвестные
пользователи (Гости,
контрактники)
Что?Идентификация устройств
Классификация устройств
―Здоровье‖ устройства
Где?Местоположение
SSID / коммутатор
Когда?Дата
Время
Start/Stop Access
Как?Проводное подключ.
Беспроводка
VPN
Другие условия?•AD, LDAP атрибуты
•Имеет ли сотрудник бейдж в
здание
![Page 14: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/14.jpg)
Кто? Идентификация и аутентификация
―- А какие у вас докУменты? Усы, лапы
и хвост — вот мои документы!‖
— Каникулы в Простоквашино
![Page 15: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/15.jpg)
• Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ)
Основной способ аутентификациии: Веб-аутентификация
Учитывать:
• Портал для веб-аутентификации
• Создание и хранилище гостевых учетных записей
Доступ на основе контекстаКТО= Идентификация пользователя
• Известные/ ―управляемые‖ пользователи (постоянный доступ)
– Основной способ аутентификациии: 802.1X или NAC-агент– Учитывать:
• Хранилище для идентификации
• Типы 802.1x EAP и выбор клиента/сапликанта
Сотрудники и
контрактники
Гости, Сотрудники
с ―чужого‖ компьютера
![Page 16: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/16.jpg)
Identity Services Engine (ISE) Хранилище идентификации/ Источники атрибутов
Хранилище OS / Версия
ISE Internal Endpoints, Internal Users
RADIUS RFC 2865-compliant RADIUS сервера
Active Directory Microsoft Windows Active Directory 2000
Microsoft Windows Active Directory 2003, 32-bit only
Microsoft Windows Active Directory 2003 R2, 32-bit only
Microsoft Windows Active Directory 2008, 32-bit and 64-bit
Microsoft Windows Active Directory 2008 R2, 32-bit and 64-bit
LDAP Сервера SunONE LDAP Directory Server, Version 5.2
Linux LDAP Directory Server, Version 4.1
NAC Profiler, Version 2.1.8 or later
Token Servers RSA ACE/Server 6.x Series
RSA Authentication Manager 7.x Series
RADIUS RFC 2865-compliant token servers
SafeWord Server prompts
![Page 17: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/17.jpg)
802.1X агенты (сапликанты)
• Встроенный в Windows Win7— EAP-TLS, PEAP
• Встроенный в Windows XP—EAP-TLS, PEAP, MD5
• Встроенный в Windows Mobile 7
• Open1x клиент для Linux
• Встроенный в принтеры для некоторых производителей (например HP)
• Встроенный в Apple OS X — EAP-TTLS, TLS, FAST, PEAP, LEAP, MD5
• Встроенный в Apple iOS
• Встроенный в Android
• Встроенный в Cisco IP Phone — EAP-MD5, FAST, TLS
• Встроенный в IP-камеры, устройства СКУД для некоторых вендоров (например Cisco)
• Универсальные сапликанты (например Cisco AnyConnect)
Windows HP Jet Direct
Solaris
7921
Apple
IP Phones
WLAN APs
Pocket PC
―Огласите весь список,
пожалуйста.‖
– "Операция "Ы"
![Page 18: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/18.jpg)
Агенты
AnyConnect 3.0
Унифицированный интерфейс доступа
802.1X for LAN / WLAN
VPN (SSL-VPN и IPSec)
Mobile User Security (WSA / ScanSafe)
Поддержка MACSec / MKA (802.1X-REV) для программного шифрования данных; Производительность зависит от CPU
Сетевые карты с аппаратной поддержкой MACSec имеют увеличенную производительность сAC 3.0
В будущем единый
унифицированный агент
NAC агент
Оценка состояния -―здоровья‖
Постоянный агент
Временный агент
![Page 19: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/19.jpg)
TrustSecШифрование MACSec
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1XAnyConnect
3.0
Finance Admin
Finance Admin=
Must Encrypt
Authentication
Successful!
ISE 1.0
MACSec in Action
Cat3750X
Уже сейчас поддерживается:
•Шифрование MACSec в DC между Nexus 7000
•Шифрование пользовательских интерфейсов от AnyConnect к
Catalyst 3KX (MKA)
TrustSec 2.0 добавляет:
•Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus
7000
•Шифрование использует SAP, а не MKA для генерации ключей
&^*RTW#(*J^*&*sd#J$%UJ&(
Catalyst 6500 or Nexus 7000
![Page 20: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/20.jpg)
TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец
Cisco Catalyst 6K (SUP-2T)
• Шифрование между
коммутаторами
• SUP 2T модуль
Cisco Catalyst 3KX
• 1G – на
существующих
портах
• 10G – требуется
новый сервис-
модуль 3KX
Cisco Catalyst 4K
•Шифрование между
коммутаторами
•4500E : Sup7-E
аплинки и 47xx
линейные карты (FCS
2H CY11)
&^*RTW#(*J^*&*sd#J$%UJ&(
802.1X
Supplicant
with
MACSec
Guest User
MACSec Capable Devices
(New Switch-to-Switch Encryption)
&^*RTW#(*J^*&*sd#J$%UJWD&(
Data sent in clear
MACSec Link
Encrypt DecryptAuthenticated
User
![Page 21: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/21.jpg)
• Неизвестные / ―неуправляемые‖ пользователи (временный или редкий доступ)
Основной способ аутентификациии: Веб-аутентификация
Учитывать:
• Портал для веб-аутентификации
• Создание и хранилище гостевых учетных записей
Доступ на основе контекстаКТО= Идентификация пользователя
• Известные/ ―управляемые‖ пользователи (постоянный доступ)
– Основной способ аутентификациии: 802.1X или NAC-агент– Учитывать:
• Хранилище для идентификации
• Типы 802.1x EAP и выбор клиента/сапликанта
Сотрудники и
контрактники
Гости, Сотрудники
с ―чужого‖ компьютера
![Page 22: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/22.jpg)
Веб-аутентификация
• Нужно что-то что будет перехватывать запросы браузеров
пользователей и перенаправлять на портал для веб-
аутентификации
Устройства доступа–коммутаторы Cisco
–контроллеры беспроводной сети
Устройства безопасности
ISE обеспечивает:
•Централизованный и настраиваемый веб-портал для
аутентфикации
•Аутентификация для гостей и сотрудников
• Настройка парольных политик
• Уведомление о параметрах учетной записи
• печать, электронная почта, SMS
![Page 23: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/23.jpg)
ISE – Веб-аутентификация
![Page 24: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/24.jpg)
Политика доступа в ISE , зависит от того
“КТО” получает доступ. Пример
ЧТО=iPAD КТО?
Права доступа= Авторизация• Employee_iPAD Set VLAN = 30 (Корп. доступ)• Contractor_iPAD Set VLAN = 40 (Только Интернет)
![Page 25: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/25.jpg)
Что ?Профилирование,
Оценка состояния устройств,
―Что за люди ? А это не люди.
А, ну прекрасно.‖
— Секретная миссия.
![Page 26: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/26.jpg)
Device Posture
Device Profile
Device Identity
Доступ на основе контекстаЧТО= Идентификация устройств, Классификация, &
Состояние
• Идентификация устройства
• Методы:
– 802.1X машинная аутентификация
– ―Аутентификация‖ основанная на адресе
• Классификация типа устройства
(профилирование)
• PC, лептопы, мобильники, не-пользовательские
сетевые
устройства?
• Методы:
– Статически: Присвоить типы адресам устройств
– Динамически: Профилирование(оценка сетью)
• Оценка состояния
• AV инсталлированый /запущенный? OS патчи?
Инфицирование?
00:11:22:AA:BB:CC
172.16.3.254
![Page 27: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/27.jpg)
Примеры не-пользовательских сетевых
устройств
Принтеры
Факсы/МФУ
IP телефоны
IP камеры
Беспроводные APs
Управляемые UPS
Хабы
Платежные
терминалы и кассы
Медицинское оборудоваие
Сигнализация
Станции видеоконференцийи
Турникеты
Системы жизнеобеспечения
RMON Probes
Торговые машины
. . . и много другое
![Page 28: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/28.jpg)
ISE – Статическая классификация MAC-
записей
• Одно устройство
– Статически
добавляем
• Множество устройств
LDAP Import
File Import
![Page 29: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/29.jpg)
Сервисы динамического профилирования
Профилирование обеспечивает возможность обнаружить и
классифицировать устройства
• Обнаружение и классификация основаны на цифровых
отпечатках устройств
• Дополнительные преимущества профилирования
• Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
• Выбирается ―наилучшее‖ предположение
DHCP
RADIUS SNMP
Profiling Attribute Sources
NETFLOWHTTP
DNS
―Карп, ты на руки то его посмотри...
Из него водила как из Промокашки
скрипач...‖
– Место встречи изменить нельзя
![Page 30: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/30.jpg)
ISE – условия профайла
![Page 31: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/31.jpg)
ISE – библиотека профайлов
![Page 32: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/32.jpg)
ISE – сбор атрибутов устройств
Device Attributes
More attributes
And more attributes
![Page 33: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/33.jpg)
Политика доступа в ISE , зависит от того
“ЧТО” получает доступ. Пример
What? Who=Employee
Permissions = Authorizations• Employee_PC Set VLAN = 30 (Полный доступ)• Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)
![Page 34: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/34.jpg)
Оценка состояния
• Состояние (Posture) = состояние соответствия устройства
политике безопасности компании.
– Установлены ли на системе последние Windows-патчи?
– Антивирус инсталлированный? Обновлен?
– Есть ли актуальная защита от антишпионского ПО?
• Сейчас мы можем расширить идентификацию
пользователя/системы за счет анализа оценки состояния.
• Что может проверяться?
– AV/AS, Реестр, Файлы, Приложения/ Процессы,
обновления Windows, WSUS и прочее.
• Если не соответствует– Автоматическое приведение к
безопасному статусу, предупреждение, карантин
• Поддерживается NAC Agent (постоянный) и временный Web
Agent
―Ваше курение может пагубно
отразиться на моем здоровье!
...‖
– Малыш и Карлсон
![Page 35: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/35.jpg)
ISE – политики состояния
Коммутатор БеспроводкаVPN
Сотрудники Контрактники /Гости
Политика для сотрудников:
•Установленные патчи Microsoft
•McAfee AV инсталированный,
запущенный с актуальными
базами
•Корпоративный ноутбук
•Запущено корпоративное
приложение
Политика для контрактников:•Установлен любой AV с
актуальной базой
Гостевая политика:
Принять соглашение, оценки состояния
нет, только Интернет)
![Page 36: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/36.jpg)
ISE – доступные проверки оценки состояния
• Обновления Microsoft Updates
– Service Packs
– Hotfixes
– OS/Browser versions
• Антивирус и
Антишпионское ПО
Инсталляция/Сигнатуры
• Данные файлов
Files
• Сервисы
• Приложения/
Процессы
• Ключи реестра
![Page 37: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/37.jpg)
Конечный пользователь нажимает ссылку
для установки агента. Тип и версия
Агента определяются политикой ISE.
ISE – установка агентов
NAC Agent
(постоянный)
Веб-агент
(временный)
![Page 38: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/38.jpg)
Задача:
• Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ?
• Как мы повторно авторизируем порт после веб-аутентификации пользователя?
Проблема:
•По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом.
Решение:
• CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом).
•CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.
Изменение авторизации (CoA)―… Если друг оказался вдруг
И не друг, и не враг, а – так..‖
– Вертикаль. В. Высоцкий
![Page 39: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/39.jpg)
Собираем все вместе
Определение политики авторизации ISE
Тип устройства
Местоположение
ПользовательОценка Время Метод доступа
Прочие атрибуты
![Page 40: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/40.jpg)
Применение политик.
КУДА
разрешатся доступ
―-Куда?
-Туда.
-Зачем?
-Затем‖
– Улицы разбитых фонарей
![Page 41: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/41.jpg)
Применение политик ISE Сегментация сети
Метод
сегментаци
и
Точка
применен
ия
Преимущества Недостатки
VLANS Вход • Не требует управления ACL на
порту коммутатора
• Предпочтельный способ изоляция
трафика на всем пути
• Обычно требует изменения IP-
адресов
• Требует распространения
общих сетей VLAN по всей сети
доступа.
• VLANs требуют разворачивания
дополнительных механизмов
применения политик
dACLs Вход • Не требуется изменения IP
• Не требуется распространения
общих VLANs в сети доступа и их
управление
• Обеспечивает контроль доступа
прямо на порту коммутатора, а не
на отдельном устройстве
• Ограничение ресурсов
коммутатора по количеству
записей в ACL.
Secure
Group
Access
Выход • Упрощает управление ACL
• Уменьшает размер политики
• Разделяет политику и IP-
адресацию.
• Пока нет универсальной
поддержки SGA на всех Cisco-
платформах
.
![Page 42: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/42.jpg)
Применение политик ISE VLANs и dACLs
VLANs
• Политика авторизации ISE устанавливает VLAN.
Инфраструктура обеспечивает применение
• Типичные примеры VLAN :
• Карантин/ВостановлениеVLAN
• Гостевой VLAN
• VLAN сотрудников.
• Обычно требует замены IP -> потенциальные проблемы с
другими активностями устройства
dACLs
• Политика авторизации ISE загружает dACL или именнованный
ACL на сетевое устройство.
• ACL source (any) автоматически конвертируется в адрес хоста
• Не требуется изменение IP-адреса, поэтому менее болезненно
сказывается на функционировании устройства.
802.1X/MAB/Web Auth
VLAN
присвоение
Загрузка
ACL
![Page 43: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/43.jpg)
Применение политик ISE Пример для сотрудника в беспроводной сети
• Авторизация для устройств сотрудников устанавливает
политику доступа с помощью VLAN, WLC ACL, и QoS
![Page 44: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/44.jpg)
Применение политик ISE Пример для гостей в беспроводной сети
• Авторизация для гостей устанавливает политику доступа с
помощью VLAN, WLC ACL, и QoS
![Page 45: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/45.jpg)
Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток
безопасности
Security Group Based Access Control
• ISE связывает метки (SGT) по результатам идентификации пользователей
• Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе
• Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на
выходе
• Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для
гранулированного доступа
802.1X/MAB/Web Auth
Finance (SGT=4)
HR (SGT=10)
I’m a contractor
My group is HR
SGT = 100
Contactor & HR
SGT = 100
SGACL
![Page 46: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/46.jpg)
46
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Применение SGT и SGACL
Уникальная метка 16 bit (65K) присваивается каждой роли
Представляет привилегии пользователя, устройства или
субъекта
Тегирование на входе в домен TrustSec
SGACLSG
Security Group
Tag
Фильтрация по меткам (SGACL) на выходе из домена
TrustSec (обычно в ЦОДе)
Правила без IP-адресов (IP адрес привязан к метке)
Политика (ACL) is распределяется от центрального сервера
политик (ACS) или настраивается локально на устройстве
TrustSec
Обеспечивает политики независимые от топологии
Гибкие и масштабируемые политики основанные на роли пользователя
Централизованное управление политиками для динамического
внедрения правил
Исходящая фильтрация ведет к уменьшению нагрузки на TCAM
Преимущества
![Page 47: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/47.jpg)
47
© 2008 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Сценарий: сеть медицинского учреждения
Пользователи СервераSecurity Group
(Источник)Security Group
(Назначение)
Doctor
(SGT 7)
Staff
(SGT 11)
Guest
(SGT 15)
IT Admin
(SGT 5)
SGACL
Medical DB
(SGT 10)
Internal Portal
(SGT 9)
Public Portal
(SGT 8)
IT Portal
(SGT 4)
100 x
5 x
145 x
150 x
x 15
x 5
x 5
x 5
![Page 48: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/48.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
SGACL Policy on ACS / ISE
1
2
3
![Page 49: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/49.jpg)
Доступ по меткам SGA. Поток трафика.
HR
сервер #1
10.1.200.50
Финансовый
сервер#1
10.1.200.100
VSG
ASA
Коммутатор
ЦОД
Коммутатор
доступа
Финансы
Финансы
Финансы
HR
✓
10.1.204.126
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL Matrix
IP Address to SGT Mapping
Коммутатор
ядра
![Page 50: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/50.jpg)
Окончание первой части…
―… Я требую продолжение банкета.‖
– Иван Васильевич меняет профессию
![Page 51: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/51.jpg)
Управление гостевым доступом
―… Сильвупле, дорогие гости,
сильвупле. Жевупри, авеплизир.
Господи, прости, от страха все слова
повыскакивали..‖
– Формула Любви
![Page 52: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/52.jpg)
Управление жизненным циклом
гостевого доступа
СОЗДАНИЕ
УПРАВЛЕНИЕ
УВЕДОМЛЕНИЕ
ОТЧЕТНОСТЬ
Создание гостевых учетную записей
Управление гостевыми записями
Предоставление ―учетки‖ гостям
Отчет по доступу
Создайте одну гостевую. запись
Создайте множество гостевых записей путем импорта CSV файла
Печать учетной записи
Отправление деталей доступа по почте
Отправление ―учетки‖ по SMS
Просмотр, редактирование или приостановление действиягостевых записей
Управление группой гостевых записей
Посмотреть аудиторские отчеты по отдельным записям
Показать отчеты погостевому доступу
ISE Guest Server
Гостевой доступ – это построенный процесс, а не
исключение из правил
![Page 53: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/53.jpg)
Гостевой доступ по приглашению
1. Гости перенаправляются на ISE Guest Portal, когда запускается браузер
ISE Guest Server
2. Гости вводят логин и пароль, созданный приглашающей стороной (―спонсором‖)
3. Проверяется наличие учетной записи на наличие в ISE Guest User Identity Store
GUEST
Identity Store
PDP
PDP
URL-REDIRECT
![Page 54: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/54.jpg)
ISE Guest – самостоятельная регистрация
гостей
1. Пользователи выбирают саморегистрацию на портале. Гости перенаправляются на ISE Guest Portal после запуска браузера.
ISE Guest Server
2. Гости заполняют обязательные поля для аутентификации
3. В ISE Guest Identity Store создаются гостевые учетные записи
GUEST
Identity Store
PDP
PDP
URL-REDIRECT
![Page 55: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/55.jpg)
ISE Guest – самостоятельная регистрация
гостей
4. Гость повторно перенаправляется для ввода сгегенерированных ранее логина/пароля
ISE Guest Server
5. К гостю применяется авторизационная политика для Интернет-доступа
6. Учетная запись мониторится на соответствие временным ограничениям.
GUEST
Identity Store
PDP
PDP
Internet
![Page 56: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/56.jpg)
Проверка и мониторинг гостевого доступа
• Monitor > Authentications окно покажет все аутентификации,
включая гостевые
• Также можно мониторить создание/удаление/изменение гостевых
записей
![Page 57: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/57.jpg)
Настройка гостевого портала ISE
В настройках гостевого портала
можно определить, что
разрешается делать гостям
• изменить пароль
• изменить пароль при
первой логине
• загрузить клиента для
оценки состояния
• делать саморегистрацию
• делать регистрацию своих
устройств
![Page 58: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/58.jpg)
Гостевой доступ– Портал приглашающей
стороны
• Настраиваемый веб-
портал для
приглашающей стороны
(―спонсоров‖ )
• Аутентификация
спонсоров с помощью
корпоративных учетных
записей
–Локальная база ISE
–Active Directory
–LDAP
–RADIUS
–Kerberos
![Page 59: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/59.jpg)
Эксплуатация
“…. Человека по одежке встречают”
-Народная мудрость
![Page 60: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/60.jpg)
Пользовательский интерефейс ISE : Панель
управления
Зарегистрированные ISE ноды
Information Store
Классификация конечных устройств
Оценка соответствия
Метрики
Итоги аутентфиикации
Ошибки аутентфикации
Статистика уведомлений
![Page 61: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/61.jpg)
Мониторинг аутентификаций в ISE
Живой журнал аутентификаций отображает все auth-события в
единой таблице с возможностью сортировки, фильтрации и
настраиваемыми колонками и пр.
“Живые”аутентфикации!
Фильтрация
Цветовая маркировка
событий
Ручное или автоматическое обновление данных
Детализация
![Page 62: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/62.jpg)
Essential session info:
• Failure reason
• Username and ID Store
• MAC and IP Address
• Switch name/address/port
• Matching ISE rules
• Protocols used
Детали аутентиф.
Пример
• RADIUS attributes sent
Critical session details:
• Matching ID stores,
policies, and rules
Step-by-step
sequence of
session events
![Page 63: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/63.jpg)
Отчетность в ISE
![Page 64: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/64.jpg)
Пример отчета – состояние серверов ISE
![Page 65: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/65.jpg)
Инструменты для поиска неисправностей в
ISE
![Page 66: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/66.jpg)
Аудит конфигурации сетевых устройств
Правильно ли настроен мой
коммутатор для поддержки AAA и
других сервисов ISE, включая
оценку, профилирование и
логгирование?
Правильно ли настроены порты
коммутатора для поддержки
802.1X, MAB, и Веб-
аутентификации?
![Page 67: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/67.jpg)
Уведомления администратора (alarms) в ISE
• Предопределенные и пользовательские настройки
• Настраиваемое расписание уведомлений – в любое время или в
интервале
• Визуальное извещение на всех страницах ISE UI с быстрой
детализацеий
• Внешняя отсылка уведомлений через Syslog или email.
![Page 68: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/68.jpg)
Дизайн и внедрение
![Page 69: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/69.jpg)
Платформы ISE
Hardwar
e
Small Medium Large VM
Model 1121/3315Based on the IBM System
x3250 M2
3355Based on the IBM System
x3550 M2
3395Based on the IBM System
x3550 M2
VMware Server v2.0
(Demos)
VMware ESX v4.0 / v4.1
VMware ESXi v4.0 / v4.1
CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor
RAM 4GB 4GB 4GB 4GB (max)
Disk 2 x 250-GB SATA
(500GB available)
2 x 300-GB 2.5‖ SATA
(600GB available)
4 x 300-GB 2.5‖ SAS I
(600GB available)
Admin: >= 60GB
Policy Service: >= 60GB
Monitoring: >= 200GB
RAID No Yes: RAID 0 Yes: RAID 1 -
Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet
Power Single 650W 650W Redundant 650W Redundant -
Node
Roles
All Roles All Roles All Roles No Inline Posture Node
3315eth2 eth3
eth0 eth1
3355
3395eth2 eth3 eth0
eth1
![Page 70: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/70.jpg)
Роли ISE
Административный узел (Admin Node)– Интерфейс для конфигурации политик
Узел мониторинга (Monitor Node))– Интерфейс для сбора событий и мониторинга
Узел сервиса политик (Policy Service Node)– ―Движок‖, который общается с устройствами доступа и
принимает решения по доступу на основе политик
“Эта роль ругательная, я её прошу
ко мне не применять!”
-Иван Васильевич меняет профессию
![Page 71: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/71.jpg)
Узлы и роли ISE
Роли – одна или
несколько:
•Администрирование
•Мониторинг
•Сервис политик
Единый ISE узел
(устройство или VM)
ИЛИ
ISE
ISE
Inline Posture
PolicyService
MonitoringAdmin
Отдельный узел в
режиме Inline для
оценки состояния
(только
устройство)
![Page 72: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/72.jpg)
Архитектура ISE
Устройства РесурсыПрименение
политики
АдминВнешние
данные
Сервис
политикПросмотр/
Настройка
Политик
Запрос
атрибутов
Запрос на
доступДоступ к
ресурсам
Журналирование
Запрос/ ответ
контекста
доступа
Мониторинг
Просмотр
журналов/ отчетов
Журналирование
Журналирование
![Page 73: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/73.jpg)
Отказоустойчивость узла управления и
синхронизация
• Изменения, внесенные в первичном узле администрирования,
автоматически синхронизируются с Вторичный узлом
администрирования и всеми узлами сервисами политик.
Policy Service
Node
Policy Service
Node
Policy Service
Node
Admin Node (Primary)
Admin Node (Secondary)
Monitoring
Node (Primary)
Monitoring
Node (Secondary)
Policy Sync
Policy Sync
Logging
Администратор
![Page 74: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/74.jpg)
Отказоустойчивость узла управления и
синхронизация• В случае выхода из строя Основного Административного узла
пользователь-администратор может подключиться к Вторичному
Административному узлу; все изменения на вторичном узле будут
автоматически синронизироваться на сервера Сервиса Политик
• Вторичный Административный Узел должен быть вручную переведен в
Первичный режим.
Policy Service
Node
Policy Service
Node
Policy Service
Node
Admin
Node (Primary)
Admin Node(Secondary -> Primary)
Monitoring (Primary)
Monitoring(Secondary)
Policy Sync
Logging
Admin
User
X
![Page 75: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/75.jpg)
Мониторинг – Распределенный сбор
журналов• ISE поддерживает распределенный сбора журналов по всем узлам для
оптимизации сбора, агрегации, и централизованные корреляцию и
хранение событий.
• Local Collector Agent работает на каждом узле ISE и собирает свои
события локально. В дополнение Local Agent на узле с Сервисом Политик
собирает журналы связанных сетевых устройств.
NADs Policy Services
(Collector
Agent)
Monitoring
(Collector)Netflow
SNMP
Syslog
External Log
Servers
![Page 76: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/76.jpg)
Масштабирование узлов Сервиса Политик и
отказоустойчивость• Сетевые устройства доступа (NADs ) могут быть настроены на
отказоустойчивые RADIUS сервера (узлы Сервиса Политик).
• Узлы сервиса политик могут быть настроены в кластер или ―группу узлов‖ позади балансировщика. NADs шлет запросы на виртуальный IP кластера
Switch
Administration Node
(Primary)
Switch
Policy Services
Node Group
Load Balancers
Network
Access
Devices
Administration Node
(Secondary)
Policy
Replication
AAA connection
![Page 77: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/77.jpg)
МасштабируемостьРазворачиваем все сервисы на едином устройстве
• Максимальное число устройств (endpoints)
для 33x5 серверов – 2000 устройств
• Отказоустойчивая конфигурация – два узла
Admin
PolicyService
Monitoring
ISE
Admin
PolicyService
Monitoring
ISE
![Page 78: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/78.jpg)
Масштабируемость
Распределенное внедрение
Выделенные узлы для Сервиса Политик
Платформа Максимальное
число
устройств
События
профайлера
Оценка
состояния
ISE-3315-K9 3,000 500 per/sec 70 per/sec
ISE-3355-K9 6,000 500 per/sec 70 per/sec
ISE-3395-K9 10,000 1,200 per/sec 110 per/sec
![Page 79: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/79.jpg)
Масштабируеомость
Распределенное внедрение
• 2 x Admin+Mon
• Максимально 5 серверов
Сервиса Политик
• Максимально 50k конечных
устройств (3395)
• Рекомендованная
отказоустойчивость узлов
Сервисов Политик N+1
Admin + Monitoring размещены на единой паре
серверов
AdminMon
AdminMon
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
![Page 80: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/80.jpg)
Масштабируеомость
Распределенное внедрение
• 2 x Admin+2 x Mon
• Максимально 40 серверов
Сервиса Политик
• Максимально 100k конечных
устройств
• Рекомендованная
отказоустойчивость узлов
Сервисов Политик N+1
Admin + Monitoring размещены на выделенных
парах серверов
AdminMon
AdminMon
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
AdminMon
AdminMon
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
PolicySvcs
![Page 81: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/81.jpg)
Варианты внедрения для распределенных
сетей
Централизованное
внедрение
Географически-
распределенное внедрение
Все роли ISE внедрены на
едином сайте Роли ISE распределены между
разными сайтами
![Page 82: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/82.jpg)
Оценка распределенного внедрения
Спецификация объема генерируемого служебного трафика
Отказоустойчивость WAN влияет на доступность сервисов ISE
Насколько надежны ваши WAN каналы
Насколько критичны удаленные устройства в филиалах
Необходимость удаленного внедрения часто диктует
требования наличия одного или двух узлов Сервиса
Политик на удаленном сайте
![Page 83: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/83.jpg)
Руководство по виртуализации ISE
Спецификация для запуска ISE в VM– смотрите
спецификацию платформ для ISE
Спецификация хоста должна быть аналогичной или
лучше, чем спецификация устройства ISE для заданного
числа конечных устройств (endpoints)
Если спецификация хоста эквивалентна спецификации
устройства ISE, рекомендовано запускать единственную
VM на хосте
ISE VMs обязаны размещаться на поддерживаемых ESX
системах
![Page 84: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/84.jpg)
Поддерживаемые устройства доступа (NADs)Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA
Access Switches
Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔Catalyst 2960 / 2960S
ISR EtherSwitch ES2
IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3560-E
ISR EtherSwitch ES3
IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔Data Center Switches
Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔Wireless
WLAN Controller
WLC2100, 4400, 5500
7.0.114.4 (RADIUS CoA)
*Named ACLs only on WLC
- ✔ ✔ ✔ ✔ ✔
WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS .
Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для
расширенных функций
![Page 85: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/85.jpg)
Режим работы ISE Inline Posture
• Узел ISE предоставляет возможность применение политик на пути
трафика (inline posture) для сетевых устройств, которые не поддерживают
Radius CoA.
• Основные сценарии внедрения – это VPN-шлюзы и контроллеры
беспроводной сети без поддержки CoA.
• Узлы ISE располагаются на пути трафика между сетевым устройством
доступа и защищаемым ресурсом (подобно NAC Inband Appliance)
• Узлы в режиме Inline поддерживают:
– Функции RADIUS Proxy и CoA
– Применение политик с помощью dACLs
– Режимы Bridged или Routed
– L2 или L3 удаленность к сетевому устройству
– Отказоустойчивость Active/Standby
Замечание: Узел Inline Posture Node это только прокси для RADIUS.
Поэтому сетевое устройство должно использовать протокол RADIUS для
аутентификации с ISE .
![Page 86: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/86.jpg)
Узел ISE в режиме Inline Posture
Примеры логических топологий
Доверенная
сеть
Доверенная
сетьИнтернет
AP Third Party
Controller ISE Inline
Posture
узел
L3 Switch Сервис Политик
1)802.1X auth для WLC
2)Auth/Posture для узла
Inline Posture Node
Сервис Политик
1)RADIUS auth для ASA
2)Auth/Posture ддя узла
Inline Posture
ISE Inline
Posture
узел
L3 SwitchASA
Беспроводной
пользователь
VPN
пользователь
VPN
Wireless
Проводное
подключение
eth1 eth0
eth1 eth0
Подключение WiFi-сетей третьих производителей
Подключение VPN-концентратора
Проводное
подключение
![Page 87: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/87.jpg)
Nexus® 7K, 5K and 2K
Switch
Data Center
Cisco®
Catalyst® Switch
Cisco
ISE
Wireless
user
Site-to-
site VPN
user
Campus
Network
WAN
Wired
user
Cisco®
ISR G2 with integrated switch
Cisco®
ASR1K
Cat 6K
SXP
• 802.1X, MAB, Web Auth
• Flex Auth
• Flexible deployment
modes– monitor mode,
low impact, high security
• Profiling – categorization of
devices
• Posture – assurance of
compliance to health
• Guest – guest management
Identity features Policy and Security services
VLANs, ACLS Switches and WAN
aggregation router:
SGTs (data plane)
SXP (control plane)
Ingress Authorization
& Enforcement Alternative Ingress
Authorization
or
Egress Enforcement
Campus Aggregation or
DC enforcement: SGACL
on Cat 6K or Nexus 7K
MACSec
Profiler
Posture
Guest Server
MACSec encryption
– AC, Cat 3K,
Cat4K, Cat6K, N7K
Data Integrity &
Confidentiality
TrustSec 2.0 в действии
![Page 88: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/88.jpg)
Пакеты и лицензирование в ISE
Wireless Upgrade License (ATP)Расширяем политику на проводные и & VPN устройства
Лицензия для беспроводного Политики для беспроводных устройств
Лицензия на 5 лет
Платформы
• Аутентификация / Авторизация
• Гостевой доступ
• Политики для MACSec
• Профилирование устройств
• Оценка состояния
• Доступ по группам безопасности
Small 3315/1121 | Medium 3355 | Large 3395 | Virtual Appliance
Базовая лицензия (ATP)Политики для всех видов устройств
Постоянная лицензия
Расширенная лицензия (ATP)Политики для всех видов устройств
Лицензия на 3/5 лет
![Page 89: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/89.jpg)
ISE
Cisco IOS получает
встроенный набор сенсоров
(SNMP/LLDP, HTTP, DHCP, eи)
Активное сканирование
устройствISE дополняет пассивную сетевую
телеметрию активным сканированием
устройств
Сетевая инфраструктура обеспечивает
встроенный функционал сенсора для
классификации устройств.
Дополнительное ―ухо‖ для ISE
Версия ISE 1.1 включают поддержку
интернационализации и русский
интерфейс для гостевого портала и
агентов
![Page 90: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/90.jpg)
Сценарии на ISE
Сценарии Раньше
Перспектива
1 год
Перспектива
2 года
Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE
Контроль беспроводного
доступаCisco ACS Cisco ISE Cisco ISE
Контроль доступа с SNMPCisco NAC
applianceCisco NAC Cisco ISE
Гостевой доступCisco NAC
GuestCisco ISE Cisco ISE
Оценка состояния (NAC) Cisco NAC Cisco ISECisco ISE
Профилирование устройствCisco NAC
ProfilerCisco ISE Cisco ISE
Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE
Контроль администраторов Cisco ACS Cisco ACS Cisco ISE
“Все будет Айс!”
![Page 91: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/91.jpg)
ISE – ключевые отличия
Упрощение больших политик безопасности
SGT Public Private
Staff
Guest
Permit
Deny
Permit
Permit
LOCATIONUSER IDACCESS RIGHTS DEVICE (& IP/MAC)
Доступ в сеть на основании контекста
Интегрированные оценка состояния и профилирование
Упрощенный ролевой доступ
Поддержка устройств и ПО ВСЕХ популярных вендоров
Тесная интеграция ISE вСеть
Управление гостевым доступом
Масштабирование
Масштабируемые архитектура и лицензирование
“Память памятью, а повторить
никогда не мешает.”
- Семнадцать мгновений весны
![Page 92: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/92.jpg)
Ресурсы
![Page 93: Identity Services Engine overview](https://reader034.vdocument.in/reader034/viewer/2022042606/547bde465806b50d408b46a6/html5/thumbnails/93.jpg)
Спасибо!Просим Вас оценить эту лекцию.Ваше мнение очень важно для нас.