Cisco ISE - Ce este Identity Service Engine?
Cisco ISE este o soluție concepută pentru a controla politica de acces securizat la rețea și, prin urmare, resursele critice ale organizației. Este un punct unic care oferă informații despre evenimentele legate de conectarea dispozitivelor și a utilizatorilor la rețea.
Funcționalitățile Cisco ISE – Identity Service Engine
Ca server Radius, Cisco ISE activează funcționalități care susțin servere Radius clasice (cum ar fi binecunoscutul Cisco ACS – Access Control System).
Astfel, prin implementarea Cisco ISE, puteți rula:
* Mecanismul 802.1x într-o rețea Wi-Fi
* Mecanismul 802.1x într-o rețea cu cablu
* Autentificarea și setarea atributelor utilizatorilor conectați prin VPN
* MAC Authentication Bypass (MAB), însemnând autentificarea dispozitivului folosind adresele MAC
Mecanismele Cisco ISE
Identity Services Engine utilizează comunicațiile Radius CoA (CoA – Change of Authorization) augmentate, care permit interacțiunea dinamică între un nod ISE (Policy Service Node) și dispozitivele de rețea, cum ar fi switch-uri, routere, controlere de rețea Wi-Fi și firewall-uri.
Cum funcționează CoA?
Identity Service Engine folosește condiții logice create de administrator, care aplică o anumită logică cauză-efect: DACĂ *condiție* ATUNCI *rezultat*. Cu combinații de condiții, Cisco ISE poate răspunde condițiilor care apar în rețea și poate comunica cu dispozitivele de rețea în mod independent, de exemplu, trimițindu-le un pachet CoA cu informații despre configurarea unii port pe un switch în starea *shutdown* sau redirecționarea unui anumit utilizator cu URL Redirect, dacă acesta nu este cunoscut în sistem.
Să analizăm un exemplu de utilizare a unei astfel de buclă cauză-efect. Luați un dispozitiv cu o adresă MAC setată care încearcă să se conecteze la rețeaua noastră. Mai întâi, adresa MAC este verificată în baza de date în cazul în care este deja înregistrată. Dacă da, conexiunea este finalizată. Dacă nu există o astfel de adresă, ISE coboară pe scara regulilor și redirecționează utilizatorul către portalul de înregistrare pentru oaspeți.
Caracteristici Cisco ISE
Cum poate ajuta Profilarea?
Profilarea, sau capacitatea ISE de a înțelege tipul de dispozitiv, browser, producător, tipul de dispozitiv precum telefon sau laptop și sistemul de operare, permite răspunsuri, de exemplu, în timpul transferului unui pachet cu solicitantul 802.1x personalizat, adică o bucată de software responsabilă pentru conectarea clienților la rețeaua securizată 802.1x, către un utilizator.
Cu Profilarea, Cisco ISE trimite pachetul corect dispozitivului corect, de exemplu, unul diferit pentru un MacBook cu OSX și unul diferit pentru un dispozitiv Dell cu Windows 11.
Evaluarea conformității
Evaluarea conformității este un mecanism cunoscut din soluții precum Network Admission / Access Control (NAC) și este utilizat pentru a verifica conformitatea sistemului final care se conectează la rețea cu condițiile impuse de politica de securitate. Aceste condiții sunt, de exemplu, prezența unui software antivirus, actualizări pentru sistemul de operare sau alte aplicații cheie pentru o anumită organizație. În timpul verificării, Evaluarea conformității poate redirecționa sistemul verificat pentru a completa orice elemente lipsă.
Cisco Identity Service Engine ca element cheie de securitate
După cum puteți vedea, Cisco ISE este o soluție cuprinzătoare pentru planificarea și controlul politicilor de securitate, atât în rețelele cu cablu, cât și în cele fără fir. Merită remarcat faptul că ISE devine un element cheie de securitate, colectând informații despre cine, unde și cu ce dispozitiv încearcă să se conecteze la rețeaua noastră. În acest context și cu utilizarea segmentării rețelei definite prin software, Identity Service Engine este sistemul potrivit pentru implementarea conceptului Zero-Trust Security.
Detalii despre mecanismul de functionare al solutiei
Cisco Identity Service Engine (ISE) este o platformă de control al accesului la rețea și de aplicare a politicilor de securitate.
Dispozitivele de rețea sunt principalele căi de conectare la rețea cu fir, wireless și VPN pentru a permite utilizatorilor și endpoint-ului să se conecteze la rețea pentru a accesa diverse servicii, cu ajutorul acreditărilor precum parola, certificatele, token-urile sau cel puțin adresa MAC.
Aceste acreditări ajung la Cisco ISE printr-un proces numit autentificare.
In esență cu autentificarea îi spuneți lui ISE cine sunteți. Autentificarea se termină de obicei cu o autorizare. Deci, odată ce v-ați dezvăluit identitatea lui ISE, acesta determină nivelul dvs. de acces pe baza ID-ului de sesiune generat pe care endponint-ul la trimis la ISE odată ce s-a conectat.
Cisco ISE cunoaste care sunt toate endpoint-urile din rețea și unde sunt amplasate.
Arhitectura Cisco ISE este una complexa ce ofera capacitatea ca aceasta solutie sa poata comunica cu până la o sută de mii de dispozitive de rețea, sa poata suporta până la 1,5 milioane de endpoint-uri, 300.000 de conturi de utilizatori interni, 1 milion de conturi de utilizator guest și sa poata emite peste 1 milion de certificate pentru utilizatori.
Este destul de mult ceea ce Cisco ISE poate oferi, dar, atunci când ne uitam la companiii, acestea au o infrastructură in care rulează deja unele dintre aceste servicii de identitate, cum ar fi Microsoft Active Directory sau un server LDAP.
Practic, cand endpoint-urile vor să se conecteze la rețea, Cisco ISE determină cine ar trebui să obțină si ce nivel de acces prin rezolvarea identității din sursele de identitate externe.
Odată ce cineva se autentifică, ISE construiește un tabel de sesiune care listează toți utilizatorii și asocierea lor specifică la rețea. Fiecare endpoint care apare în rețea trimite un trafic care dezvăluie tipul endpointului final. De exemplu, identificatorul clasei DHCP ca MSFT îi spune ISE că este o stație de lucru Microsoft.
Deci, fie acest trafic ajunge cumva direct la ISE, fie puteți utiliza această caracteristică minusculă pe dispozitivele de rețea numită senzorul dispozitivului (DS) care memorează un astfel de trafic și îl transmite catre Cisco ISE prin RADIUS.
Odată ce ISE primește atributele, pe baza politicii de profilare, poate clasifica endpoint-ul în grupuri de dispozitive specifice și cu ajutorul unui serviciu de feed puteți păstra politicile de profilare la zi.
Rezultatul final este că veți vedea profilul endpoint-ului asociat cu adresa MAC, indicându-ne ce dispozitiv este. Când creați politici bazate pe timp în cadrul ISE, puteți, într-un mod simplu, să determinați locația care are o etichetă de locație atribuită dispozitivelor din rețea și apoi să urmăriți de unde vine cererea de autentificare.
Dacă vine de la un switch, care este etichetat ca o locație XYZ, atunci puteți aplica politici specifice. Într-o rețea fără fir ID-ul stației de apel al endpoint-ului poate fi definit cu numele locației, prin urmare, ne spune în ce locație se află utilizatorul sau dispozitivul wireless. În cele din urmă, dacă integrați Cisco ISE cu motorul de servicii de mobilitate (MSE), atunci puteți urmări locația fizică reală a punctului final fără fir pe măsură ce se mișcă.
Dispozitivul cu fir, fără fir sau VPN, are atributele RADIUS specifice care indică detaliile modului în care se conectează. Pentru poziția sau conformitatea punctului final, aveți nevoie de agent Cisco AnyConnect instalat pe endpoint.
Pentru aceasta, practic, puteți avea o politică de poziție pe Cisco ISE, care îi spune aplicatiei AnyConnect de la Cisco să verifice anumite lucruri de luat în considerare la endpoint pentru a fi conform.
Aceste verificări ar putea fi nivelul de patch al sistemului de operare, semnături antivirus, prezența unei stocări USB și multe altele și apoi poate fi definită politica de automatizare pentru a acționa asupra posturii rezervate. Dacă cineva este conform, atunci puteți oferi acces complet, dacă nu, puteți oferi acces la serviciile de remediere.
Cisco ISE integrare cu MDM
Conformitatea pentru dispozitivele mobile se realizează prin integrarea Cisco ISE cu soluțiile de management al dispozitivelor mobile (MDM). Puteți verifica o mulțime de lucruri precum blocarea PIN, starea de jailbreak a dispozitivelor mobile și multe altele. Funcționalitatea parțială vă permite să căutați și să enumerați toate aplicațiile instalate și care rulează pe endpoint-uri.
De asemenea, puteți iniția o funcție de inchidere sau de dezinstalare pentru anumite aplicații direct din tabloul de bord ISE.
Cisco ISE se poate integra cu scanere de vulnerabilitate precum Rapid7 și securitate sustenabilă pentru a controla accesul la rețea pe baza nucleului CBSS. Aici, CBSS reprezintă sistemul comun de codificare a vulnerabilităților, care este un număr de la unu la zece care indică starea unei singure capacități a endpoint-ului. Dacă numărul este mai mare înseamnă că punctul final este foarte vulnerabil.
SAM Romania este partener oficial Cisco:
Aveti nevoie de ajutor?
Echipa noastra este formata din ingineri certificati cu experienta in implementarea de proiecte complexe.
Combinand cunostintele tehnice si cunostintele de afaceri cu portofoliul nostru de servicii in securitate si retelistica, suntem capabili sa evaluam orice fel de cerinte, sa concepem solutii eficiente si sa le implementam pentru Dvs. intr-un mod rapid și rentabil.
Daca doriti sa aflati mai multe despre SAM Romania, serviciile si solutiile noastre sau daca aveti nevoie de informatii specifice, va rugam sa ne contactati.
Verifica competentele noastre
Verifica certificarile inginerilor nostri
Verifica proiectele noastre
Solicita oferta de pret
Intelegem ca fiecare afacere are cerinte unice si prin urmare, ne dorim sa va oferim nu doar produse & servicii de calitate, ci si cele mai competitive preturi de pe piata.Va invitam sa ne transmiteti cererea dumneavoastra pentru o oferta personalizata.
Certificarile echipei
CERTIFICARI CISCO
CCNA – Implementing and Administering Cisco Solutions
CCNP Enterprise – Implementing and Operating Cisco Enterprise Network Core Technologies
CCNP Enterprise – Implementing Cisco Enterprise Advanced Routing and Services
CCNP Enterprise – Implementing Cisco SD-WAN Solutions
CCNP Enterprise – Designing Cisco Enterprise Networks
CCNP Enterprise – Designing Cisco Enterprise Wireless Networks
CCNP Enterprise – Implementing Cisco Enterprise Wireless Networks
CCNP Collaboration – Implementing and Operating Cisco Collaboration Core Technologies
CCNP Collaboration – Implementing Cisco Collaboration Applications
CCNP Collaboration – Implementing Cisco Collaboration Cloud and Edge Solutions
CCNP Data Center – Implementing and Operating Cisco Data Center Core Technologies
CCNP Data Center – Designing Cisco Data Center Infrastructure
CCNP Security – Implementing and Operating Cisco Security Core Technologies
CCNP Security – Securing Networks with Cisco Firepower Next Generation Firewall
CCNP Security – Securing Networks with Cisco Firepower Next-Generation IPS
CCNP Security – Implementing and Configuring Cisco Identity Services Engine
CCNP Security – Securing Email with Cisco Email Security Appliance
CCNP Security – Securing the Web with Cisco Web Security Appliance
CCNP Security – Implementing Secure Solutions with Virtual Private Networks
CCIE – Enterprise Infrastructure
CCIE – Enterprise Wireless
CMNA – Certified Meraki Networking Associate.
Doresti sa primesti informatii prin email despre noutati, oferte, invitatii la webinarii, traininguri si alte evenimente?
Aboneaza-te la newsletterul nostru.