Cisco ISE este o soluție concepută pentru a controla politica de acces securizat la rețea și, prin urmare, resursele critice ale organizației. Este un punct unic care oferă informații despre evenimentele legate de conectarea dispozitivelor și a utilizatorilor la rețea.
Ca server Radius, Cisco ISE activează funcționalități care susțin servere Radius clasice (cum ar fi binecunoscutul Cisco ACS – Access Control System).
Astfel, prin implementarea Cisco ISE, puteți rula:
* Mecanismul 802.1x într-o rețea Wi-Fi
* Mecanismul 802.1x într-o rețea cu cablu
* Autentificarea și setarea atributelor utilizatorilor conectați prin VPN
* MAC Authentication Bypass (MAB), însemnând autentificarea dispozitivului folosind adresele MAC
Identity Services Engine utilizează comunicațiile Radius CoA (CoA – Change of Authorization) augmentate, care permit interacțiunea dinamică între un nod ISE (Policy Service Node) și dispozitivele de rețea, cum ar fi switch-uri, routere, controlere de rețea Wi-Fi și firewall-uri.
Cum funcționează CoA?
Identity Service Engine folosește condiții logice create de administrator, care aplică o anumită logică cauză-efect: DACĂ *condiție* ATUNCI *rezultat*. Cu combinații de condiții, Cisco ISE poate răspunde condițiilor care apar în rețea și poate comunica cu dispozitivele de rețea în mod independent, de exemplu, trimițindu-le un pachet CoA cu informații despre configurarea unii port pe un switch în starea *shutdown* sau redirecționarea unui anumit utilizator cu URL Redirect, dacă acesta nu este cunoscut în sistem.
Să analizăm un exemplu de utilizare a unei astfel de buclă cauză-efect. Luați un dispozitiv cu o adresă MAC setată care încearcă să se conecteze la rețeaua noastră. Mai întâi, adresa MAC este verificată în baza de date în cazul în care este deja înregistrată. Dacă da, conexiunea este finalizată. Dacă nu există o astfel de adresă, ISE coboară pe scara regulilor și redirecționează utilizatorul către portalul de înregistrare pentru oaspeți.
Cum poate ajuta Profilarea?
Profilarea, sau capacitatea ISE de a înțelege tipul de dispozitiv, browser, producător, tipul de dispozitiv precum telefon sau laptop și sistemul de operare, permite răspunsuri, de exemplu, în timpul transferului unui pachet cu solicitantul 802.1x personalizat, adică o bucată de software responsabilă pentru conectarea clienților la rețeaua securizată 802.1x, către un utilizator.
Cu Profilarea, Cisco ISE trimite pachetul corect dispozitivului corect, de exemplu, unul diferit pentru un MacBook cu OSX și unul diferit pentru un dispozitiv Dell cu Windows 11.
Evaluarea conformității
Evaluarea conformității este un mecanism cunoscut din soluții precum Network Admission / Access Control (NAC) și este utilizat pentru a verifica conformitatea sistemului final care se conectează la rețea cu condițiile impuse de politica de securitate. Aceste condiții sunt, de exemplu, prezența unui software antivirus, actualizări pentru sistemul de operare sau alte aplicații cheie pentru o anumită organizație. În timpul verificării, Evaluarea conformității poate redirecționa sistemul verificat pentru a completa orice elemente lipsă.
Cisco Identity Service Engine ca element cheie de securitate
După cum puteți vedea, Cisco ISE este o soluție cuprinzătoare pentru planificarea și controlul politicilor de securitate, atât în rețelele cu cablu, cât și în cele fără fir. Merită remarcat faptul că ISE devine un element cheie de securitate, colectând informații despre cine, unde și cu ce dispozitiv încearcă să se conecteze la rețeaua noastră. În acest context și cu utilizarea segmentării rețelei definite prin software, Identity Service Engine este sistemul potrivit pentru implementarea conceptului Zero-Trust Security.
Cisco Identity Service Engine (ISE) este o platformă de control al accesului la rețea și de aplicare a politicilor de securitate.
Dispozitivele de rețea sunt principalele căi de conectare la rețea cu fir, wireless și VPN pentru a permite utilizatorilor și endpoint-ului să se conecteze la rețea pentru a accesa diverse servicii, cu ajutorul acreditărilor precum parola, certificatele, token-urile sau cel puțin adresa MAC.
Aceste acreditări ajung la Cisco ISE printr-un proces numit autentificare.
In esență cu autentificarea îi spuneți lui ISE cine sunteți. Autentificarea se termină de obicei cu o autorizare. Deci, odată ce v-ați dezvăluit identitatea lui ISE, acesta determină nivelul dvs. de acces pe baza ID-ului de sesiune generat pe care endponint-ul la trimis la ISE odată ce s-a conectat.
Cisco ISE cunoaste care sunt toate endpoint-urile din rețea și unde sunt amplasate.
Arhitectura Cisco ISE este una complexa ce ofera capacitatea ca aceasta solutie sa poata comunica cu până la o sută de mii de dispozitive de rețea, sa poata suporta până la 1,5 milioane de endpoint-uri, 300.000 de conturi de utilizatori interni, 1 milion de conturi de utilizator guest și sa poata emite peste 1 milion de certificate pentru utilizatori.
Este destul de mult ceea ce Cisco ISE poate oferi, dar, atunci când ne uitam la companiii, acestea au o infrastructură in care rulează deja unele dintre aceste servicii de identitate, cum ar fi Microsoft Active Directory sau un server LDAP.
Practic, cand endpoint-urile vor să se conecteze la rețea, Cisco ISE determină cine ar trebui să obțină si ce nivel de acces prin rezolvarea identității din sursele de identitate externe.
Odată ce cineva se autentifică, ISE construiește un tabel de sesiune care listează toți utilizatorii și asocierea lor specifică la rețea. Fiecare endpoint care apare în rețea trimite un trafic care dezvăluie tipul endpointului final. De exemplu, identificatorul clasei DHCP ca MSFT îi spune ISE că este o stație de lucru Microsoft.
Deci, fie acest trafic ajunge cumva direct la ISE, fie puteți utiliza această caracteristică minusculă pe dispozitivele de rețea numită senzorul dispozitivului (DS) care memorează un astfel de trafic și îl transmite catre Cisco ISE prin RADIUS.
Odată ce ISE primește atributele, pe baza politicii de profilare, poate clasifica endpoint-ul în grupuri de dispozitive specifice și cu ajutorul unui serviciu de feed puteți păstra politicile de profilare la zi.
Rezultatul final este că veți vedea profilul endpoint-ului asociat cu adresa MAC, indicându-ne ce dispozitiv este. Când creați politici bazate pe timp în cadrul ISE, puteți, într-un mod simplu, să determinați locația care are o etichetă de locație atribuită dispozitivelor din rețea și apoi să urmăriți de unde vine cererea de autentificare.
Dacă vine de la un switch, care este etichetat ca o locație XYZ, atunci puteți aplica politici specifice. Într-o rețea fără fir ID-ul stației de apel al endpoint-ului poate fi definit cu numele locației, prin urmare, ne spune în ce locație se află utilizatorul sau dispozitivul wireless. În cele din urmă, dacă integrați Cisco ISE cu motorul de servicii de mobilitate (MSE), atunci puteți urmări locația fizică reală a punctului final fără fir pe măsură ce se mișcă.
Dispozitivul cu fir, fără fir sau VPN, are atributele RADIUS specifice care indică detaliile modului în care se conectează. Pentru poziția sau conformitatea punctului final, aveți nevoie de agent Cisco AnyConnect instalat pe endpoint.
Pentru aceasta, practic, puteți avea o politică de poziție pe Cisco ISE, care îi spune aplicatiei AnyConnect de la Cisco să verifice anumite lucruri de luat în considerare la endpoint pentru a fi conform.
Aceste verificări ar putea fi nivelul de patch al sistemului de operare, semnături antivirus, prezența unei stocări USB și multe altele și apoi poate fi definită politica de automatizare pentru a acționa asupra posturii rezervate. Dacă cineva este conform, atunci puteți oferi acces complet, dacă nu, puteți oferi acces la serviciile de remediere.
Conformitatea pentru dispozitivele mobile se realizează prin integrarea Cisco ISE cu soluțiile de management al dispozitivelor mobile (MDM). Puteți verifica o mulțime de lucruri precum blocarea PIN, starea de jailbreak a dispozitivelor mobile și multe altele. Funcționalitatea parțială vă permite să căutați și să enumerați toate aplicațiile instalate și care rulează pe endpoint-uri.
De asemenea, puteți iniția o funcție de inchidere sau de dezinstalare pentru anumite aplicații direct din tabloul de bord ISE.
Cisco ISE se poate integra cu scanere de vulnerabilitate precum Rapid7 și securitate sustenabilă pentru a controla accesul la rețea pe baza nucleului CBSS. Aici, CBSS reprezintă sistemul comun de codificare a vulnerabilităților, care este un număr de la unu la zece care indică starea unei singure capacități a endpoint-ului. Dacă numărul este mai mare înseamnă că punctul final este foarte vulnerabil.
Aveti nevoie de mai multe informatii? Doriti sa implementati Cisco ISE in compania dumneavoastra?
In echipa noastra se afla ingineri certificati Cisco care va pot ajuta cu servicii de instalare, configurare, administrare si suport pentru solutia Identity Service Engine.
SAM Romania este partener oficial Cisco:
©2024 SAM Romania. Toate drepturile rezervate.