05 ise technical
TRANSCRIPT
Cisco Public © 2012 Cisco and/or its affiliates. All rights reserved. 1
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity Services Engine (ISE)
Оксана Санникова,
Инженер по работе с партнерами
Апрель 2012
Программа
• Управление доступом с учетом
контекста: – Кто: Аутентификация
– Что: Профилирование, оценка состояния,
изменение авторизации (CoA)
– Применение политик доступа
– Управление гостевым доступом
• Дизайн и внедрение
• Направления развития
Кто? Идентификация и аутентификация
“- А какие у вас докУменты? Усы, лапы
и хвост — вот мои документы!”
— Каникулы в Простоквашино
• Неизвестные / “неуправляемые” пользователи (временный или редкий доступ)
Основной способ аутентификациии: Веб-аутентификация
Учитывать:
• Портал для веб-аутентификации
• Создание и хранилище гостевых учетных записей
Доступ на основе контекста КТО= Идентификация пользователя
• Известные/ “управляемые” пользователи (постоянный доступ)
– Основной способ аутентификациии: 802.1X или NAC-агент – Учитывать:
• Хранилище для идентификации
• Типы 802.1x EAP и выбор клиента/сапликанта
Сотрудники и
контрактники
Гости, Сотрудники
с “чужого” компьютера
Политика доступа в ISE , зависит от того
“КТО” получает доступ. Пример
ЧТО=iPAD КТО?
Права доступа= Авторизация • Employee_iPAD Set VLAN = 30 (Корп. доступ) • Contractor_iPAD Set VLAN = 40 (Только Интернет)
Что ?
Профилирование,
Оценка состояния устройств,
“Что за люди ? А это не люди.
А, ну прекрасно.”
— Секретная миссия.
Device Posture
Device Profile
Device Identity
Доступ на основе контекста ЧТО= Идентификация устройств, Классификация,
Состояние
• Идентификация устройства
• Методы:
– 802.1X машинная аутентификация
– “Аутентификация” основанная на адресе
• Классификация типа устройства
(профилирование)
• ПК, ноутбуки, смартфоны, не-пользовательские
сетевые устройства
• Методы:
– Статически: Присвоить типы адресам устройств
– Динамически: Профилирование(оценка сетью)
• Оценка состояния
• AV установлен/запущен? OS патчи? Наличие
вредоносного ПО?
00:11:22:AA:BB:CC
172.16.3.254
Примеры не-пользовательских сетевых
устройств
Принтеры
Факсы/МФУ
IP телефоны
IP камеры
Беспроводные
точки доступа
Управляемые UPS
Хабы
Платежные
терминалы и кассы
Медицинское оборудоваие
Сигнализация
Станции видеоконференцийи
Турникеты
Системы жизнеобеспечения
RMON Probes
Торговые машины
. . . и много другое
ISE – Статическая классификация MAC-
записей
• Одно устройство
– Статически
добавляем
• Множество устройств
LDAP Import
File Import
Сервисы динамического профилирования
Профилирование обеспечивает возможность обнаружить и
классифицировать устройства
• Обнаружение и классификация основаны на цифровых
отпечатках устройств
• Дополнительные преимущества профилирования
• Наблюдаемость: Взгляд на то, что находится в вашей сети
• Профилирование основано на эвристике
• Выбирается “наилучшее” предположение
DHCP
RADIUS SNMP
Profiling Attribute Sources
NETFLOW HTTP
DNS
“Карп, ты на руки то его посмотри...
Из него водила как из Промокашки
скрипач...”
– Место встречи изменить нельзя
ISE – условия профайла
ISE – библиотека профайлов
ISE – сбор атрибутов устройств
Device Attributes
More attributes
And more attributes
Политика доступа в ISE , зависит от того
“ЧТО” получает доступ. Пример
What? Who=Employee
Permissions = Authorizations • Employee_PC Set VLAN = 30 (Полный доступ) • Employee_iPAD Set VLAN = 40 (Доступ только в Интернет)
Оценка состояния
• Состояние (Posture) = состояние соответствия устройства
политике безопасности компании.
– Установлены ли на системе последние Windows-патчи?
– Антивирус инсталлированный? Обновлен?
– Есть ли актуальная защита от антишпионского ПО?
• Сейчас мы можем расширить идентификацию
пользователя/системы за счет анализа оценки состояния.
• Что может проверяться?
– AV/AS, Реестр, Файлы, Приложения/ Процессы,
обновления Windows, WSUS и прочее.
• Если не соответствует– Автоматическое приведение к
безопасному статусу, предупреждение, карантин
• Поддерживается NAC Agent (постоянный) и временный Web
Agent
“Ваше курение может пагубно
отразиться на моем здоровье!
...”
– Малыш и Карлсон
Задача:
• Каким образом происходит переавторизация устройства после классификации типа или оценки состояния ?
• Как мы повторно авторизируем порт после веб-аутентификации пользователя?
Проблема:
•По стандарту RADIUS сервер не может сам начать общение с Radius-клиентом.
Решение:
• CoA (RFC 3576 – Dynamic Authorization Extensions to RADIUS) позволяет RADIUS серверу начать общение с аутентификатором (клиентом).
•CoA позволяет устройству применения политики изменить VLAN/ACL/Redirection для устройства/пользователя без необходимости повторной аутентификации.
Изменение авторизации (CoA) “… Если друг оказался вдруг
И не друг, и не враг, а – так..”
– Вертикаль. В. Высоцкий
Собираем все вместе
Определение политики авторизации ISE
Тип устройства
Местоположение
Пользователь Оценка Время Метод доступа
Прочие атрибуты
Компоненты политики
Как создать политику для BYOD
Корпоративное устройство?
• Член AD?
• Статический список?
• MDM?
• Сертификат?
Способ аутентификации?
• Сертификат устройства?
• Сертификат пользователя?
• Имя/Пароль
Профиль
• i-Device
• Android
• Windows
• Другое
Результат авторизации
• Полный доступ
• Только Интернет
• VDI + Интернет
С использованием предопределенного списка ресурсов
Пример политики BYOD в ISE
Пользователь Результат Зарегистрированный BYOD
Применение политик.
КУДА
разрешатся доступ
“-Куда?
-Туда.
-Зачем?
-Затем”
– Улицы разбитых фонарей
Применение политик ISE Сегментация сети
Метод
сегментаци
и
Точка
применен
ия
Преимущества Недостатки
VLANS Вход • Не требует управления ACL на
порту коммутатора
• Предпочтельный способ изоляция
трафика на всем пути
• Обычно требует изменения IP-
адресов
• Требует распространения
общих сетей VLAN по всей сети
доступа.
• VLANs требуют разворачивания
дополнительных механизмов
применения политик
dACLs Вход • Не требуется изменения IP
• Не требуется распространения
общих VLANs в сети доступа и их
управление
• Обеспечивает контроль доступа
прямо на порту коммутатора, а не
на отдельном устройстве
• Ограничение ресурсов
коммутатора по количеству
записей в ACL.
Secure
Group
Access
Выход • Упрощает управление ACL
• Уменьшает размер политики
• Разделяет политику и IP-
адресацию.
• Пока нет универсальной
поддержки SGA на всех Cisco-
платформах
.
Дизайн и внедрение
Платформы ISE
Hardwar
e
Small Medium Large VM
Model 1121/3315 Based on the IBM System
x3250 M2
3355 Based on the IBM System
x3550 M2
3395 Based on the IBM System
x3550 M2
VMware Server v2.0
(Demos)
VMware ESX v4.0 / v4.1
VMware ESXi v4.0 / v4.1
CPU 1x Quad-core Xeon 2.66GHz 1x Quad-core Nehalem 2GHz 2x Quad-core Nehalem 2GHz >= 1 processor
RAM 4GB 4GB 4GB 4GB (max)
Disk 2 x 250-GB SATA
(500GB available)
2 x 300-GB 2.5” SATA
(600GB available)
4 x 300-GB 2.5” SAS I
(600GB available)
Admin: >= 60GB
Policy Service: >= 60GB
Monitoring: >= 200GB
RAID No Yes: RAID 0 Yes: RAID 1 -
Network 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet
Power Single 650W 650W Redundant 650W Redundant -
Node
Roles
All Roles All Roles All Roles No Inline Posture Node
3315 eth2 eth3
eth0 eth1
3355
3395 eth2 eth3 eth0
eth1
Роли ISE
Административный узел (Admin Node) – Интерфейс для конфигурации политик
Узел мониторинга (Monitor Node)) – Интерфейс для сбора событий и мониторинга
Узел сервиса политик (Policy Service Node) – “Движок”, который общается с устройствами доступа и
принимает решения по доступу на основе политик
“Эта роль ругательная, я её прошу
ко мне не применять!”
-Иван Васильевич меняет профессию
Узлы и роли ISE
Роли – одна или
несколько:
•Администрирование
•Мониторинг
•Сервис политик
Единый ISE узел
(устройство или VM)
ИЛИ
ISE
ISE
Inline Posture
Policy Service
Monitoring Admin
Отдельный узел в
режиме Inline для
оценки состояния
(только
устройство)
Архитектура ISE
Устройства Ресурсы Применение
политики
Админ Внешние
данные
Сервис
политик Просмотр/
Настройка
Политик
Запрос
атрибутов
Запрос на
доступ Доступ к
ресурсам
Журналирование
Запрос/ ответ
контекста
доступа
Мониторинг
Просмотр
журналов/ отчетов
Журналирование
Журналирование
Отказоустойчивость узла управления и
синхронизация
• Изменения, внесенные в первичном узле администрирования,
автоматически синхронизируются с Вторичный узлом
администрирования и всеми узлами сервисами политик.
Policy Service
Node
Policy Service
Node
Policy Service
Node
Admin Node (Primary)
Admin Node (Secondary)
Monitoring
Node (Primary)
Monitoring
Node (Secondary)
Policy Sync
Policy Sync
Logging
Администратор
Отказоустойчивость узла управления и
синхронизация • В случае выхода из строя Основного Административного узла
пользователь-администратор может подключиться к Вторичному
Административному узлу; все изменения на вторичном узле будут
автоматически синронизироваться на сервера Сервиса Политик
• Вторичный Административный Узел должен быть вручную переведен в
Первичный режим.
Policy Service
Node
Policy Service
Node
Policy Service
Node
Admin
Node (Primary)
Admin Node (Secondary -> Primary)
Monitoring (Primary)
Monitoring (Secondary)
Policy Sync
Logging
Admin
User
X
Мониторинг – Распределенный сбор
журналов • ISE поддерживает распределенный сбора журналов по всем узлам для
оптимизации сбора, агрегации, и централизованные корреляцию и
хранение событий.
• Local Collector Agent работает на каждом узле ISE и собирает свои
события локально. В дополнение Local Agent на узле с Сервисом Политик
собирает журналы связанных сетевых устройств.
NADs Policy Services
(Collector
Agent)
Monitoring
(Collector) Netflow
SNMP
Syslog
External Log
Servers
Масштабирование узлов Сервиса Политик и
отказоустойчивость • Сетевые устройства доступа (NADs ) могут быть настроены на
отказоустойчивые RADIUS сервера (узлы Сервиса Политик).
• Узлы сервиса политик могут быть настроены в кластер или “группу узлов” позади балансировщика. NADs шлет запросы на виртуальный IP кластера
Switch
Administration Node
(Primary)
Switch
Policy Services
Node Group
Load Balancers
Network
Access
Devices
Administration Node
(Secondary)
Policy
Replication
AAA connection
Масштабируемость Разворачиваем все сервисы на едином устройстве
• Максимальное число устройств (endpoints)
для 33x5 серверов – 2000 устройств
• Отказоустойчивая конфигурация – два узла
Admin
Policy Service
Monitoring
ISE
Admin
Policy Service
Monitoring
ISE
Масштабируемость
Распределенное внедрение
Выделенные узлы для Сервиса Политик
Платформа Максимальное
число
устройств
События
профайлера
Оценка
состояния
ISE-3315-K9 3,000 500 per/sec 70 per/sec
ISE-3355-K9 6,000 500 per/sec 70 per/sec
ISE-3395-K9 10,000 1,200 per/sec 110 per/sec
Масштабируеомость
Распределенное внедрение
• 2 x Admin+Mon
• Максимально 5 серверов
Сервиса Политик
• Максимально 50k конечных
устройств (3395)
• Рекомендованная
отказоустойчивость узлов
Сервисов Политик N+1
Admin + Monitoring размещены на единой паре
серверов
Admin Mon
Admin Mon
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Масштабируеомость
Распределенное внедрение
• 2 x Admin+2 x Mon
• Максимально 40 серверов
Сервиса Политик
• Максимально 100k конечных
устройств
• Рекомендованная
отказоустойчивость узлов
Сервисов Политик N+1
Admin + Monitoring размещены на выделенных
парах серверов
Admin Mon
Admin Mon
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Admin Mon
Admin Mon
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Policy Svcs
Типы развертывания
Централизованное развертывание
Узел оценки состояния на пути трафика
(высокой доступности)
ASA VPN
Точка доступа
Контроллер WLC 802.1X
Коммутатор 802.1X
AD/LDAP (внешнее
хранилище идентификаторов/
атрибутов)
Кластер сервисов политик Монито-
ринг Админист-рирование
Центр обработки данных A
Все ролевые функции ISE развернуты на одном узле
Точка доступа
Коммутатор 802.1X
Типы развертывания
Распределенное развертывание
Кластер сервисов политик Мониторинг
Администрирование
Центр обработки данных A
Узел оценки состояния на пути трафика
(высокой доступности)
ASA VPN
AD/LDAP (внешнее хранилище
идентификаторов/ атрибутов)
Все ролевые функции ISE развернуты на нескольких
узлах
Точка доступа
Коммутатор 802.1X
Монито-ринг (S)
Администри-рование (S)
AD/LDAP (внешнее хранилище
идентификаторов/ атрибутов)
Центр обработки данных B
Контроллер WLC
802.1X
Коммутатор 802.1X
Филиал B Филиал A
Точка доступа
Коммутатор 802.1X
Точка доступа
Контроллер WLC 802.1X
Распределенные сервисы политик
Руководство по виртуализации ISE
Спецификация для запуска ISE в VM– смотрите
спецификацию платформ для ISE
Спецификация хоста должна быть аналогичной или
лучше, чем спецификация устройства ISE для заданного
числа конечных устройств (endpoints)
Если спецификация хоста эквивалентна спецификации
устройства ISE, рекомендовано запускать единственную
VM на хосте
ISE VMs обязаны размещаться на поддерживаемых ESX
системах
Поддерживаемые устройства доступа (NADs) Устройства Minimum OS Version MAB 802.1X Web Auth CoA VLAN dACL SGA
Access Switches
Catalyst 2940 IOS v12.1(22)EA1 ✔ ✔ ✔
Catalyst 2950 IOS v12.1(22)EA1 ✔ ✔
Catalyst 2955 IOS v12.1(22)EA1 ✔ ✔
Catalyst 2960 / 2960S
ISR EtherSwitch ES2
IOS v12.2(52)SE LAN Base ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 2960 / 2960S IOS v12.2(52)SE LAN Lite ✔ ✔ ✔
Catalyst 2970 IOS v12.2(25)SEE ✔ ✔ ✔
Catalyst 2975 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3550 IOS v12.2(44)SE ✔ ✔ ✔ ✔
Catalyst 3560 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3560-E
ISR EtherSwitch ES3
IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3560-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750 IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750-E IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750 Metro IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 3750-X IOS v12.2(52)SE ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 4500 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔
Catalyst 6500 IOS v12.2(33)SXJ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Data Center Switches
Catalyst 4900 IOS v12.2(54)SG ✔ ✔ ✔ ✔ ✔ ✔ ✔
Wireless
WLAN Controller
WLC2100, 4400, 5500
7.0.114.4 (RADIUS CoA)
*Named ACLs only on WLC
- ✔ ✔ ✔ ✔ ✔
WISM for 6500 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
WLC for ISR 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
WLC for 3750 7.0.114.4 - ✔ ✔ ✔ ✔ ✔
Для базового набора функций поддерживаются все устройства с IEEE 802.1X/RADIUS .
Устройства вне списка ОБЯЗАНЫ использовать ISE в режиме Inline Posture для
расширенных функций
Режим работы ISE Inline Posture
• Узел ISE предоставляет возможность применение политик на пути
трафика (inline posture) для сетевых устройств, которые не поддерживают
Radius CoA.
• Основные сценарии внедрения – это VPN-шлюзы и контроллеры
беспроводной сети без поддержки CoA.
• Узлы ISE располагаются на пути трафика между сетевым устройством
доступа и защищаемым ресурсом (подобно NAC Inband Appliance)
• Узлы в режиме Inline поддерживают:
– Функции RADIUS Proxy и CoA
– Применение политик с помощью dACLs
– Режимы Bridged или Routed
– L2 или L3 удаленность к сетевому устройству
– Отказоустойчивость Active/Standby
Замечание: Узел Inline Posture Node это только прокси для RADIUS.
Поэтому сетевое устройство должно использовать протокол RADIUS для
аутентификации с ISE .
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
Пакеты и лицензирование ISE
HD = SmartNet
Включает обновление ПО (Major и Minor), Патчи,
Исправления ошибок и поддержку
VM = SASU
Поддержка базовых, расширенных и беспроводных
сервисов покрывается контрактом
сервисной поддержки (SmartNet / SASU)
Поддержка
Платформы
Аппаратные: Малые 3315/1121 | Средняя 3355 | Большая 3395 Виртуальные: VM
Расширенная лицензия ISE (3 или 5 лет)
Сервисы • Профилирование
устройств
• Оценка состояния
• Доступ по группам безопасности
Базовая лицензия ISE (постоянная)
Сервисы • Аутентификация /
Авторизация
• Гостевой доступ
• Политики для MACSec
Лицензия для беспроводного доступа (5 лет)
Сервисы • Все базовые и
расширенные сервисы
• Только для беспроводных устройств
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
Как заказать ISE
1 Определите количество конечных устройств в сети
2 Определите необходимое количество устройств ISE
Cisco AS Партнеры
Сервисы
Выберите ISE SKU для заказа
Аппаратные Виртуальные
Платформа
Проводной, Беспроводной и
VPN
Только беспроводные
устройства
Тип внедрения • Профилирование
• Оценка состояния
• Security Group Access
• Аутентификация/Авторизация
• Гостевой доступ
• Шифрование каналов
• Инициализация
устройств
• Оценка соответствия
• Security Group Access
• Аутентификация/Авторизация
• Гостевой доступ
• Шифрование каналов
Функции
Беспроводная лицензия
На 5 лет
Доступна для всех
Расширенная лицензия
3 или 5 лет
Доступна ATP-партнерам
Базовая лицензия
Постоянная лицензия
Доступна ATP-партнерам
Лицензии
SKU для заказа лицензий Критерии выбора лицензии
3 4 5 6
Выбор сервиса
7
Эволюция Cisco ISE. Версия 1.1
ISE
Cisco IOS получает
встроенный набор сенсоров
(SNMP/LLDP, HTTP, DHCP, eи)
Активное сканирование
устройств ISE дополняет пассивную сетевую
телеметрию активным сканированием
устройств
Сетевая инфраструктура обеспечивает
встроенный функционал сенсора для
классификации устройств.
Дополнительное “ухо” для ISE
Версия ISE 1.1 включают поддержку
интернационализации и русский
интерфейс для гостевого портала и
агентов
Новые функции в ISE 1.1
Поддержка IOS сенсора (CDP, DHCP, LLDP)
Активное сканирование (NMAP)
Локализация гостевого портала
Сервисы защиты конечных устройств
Улучшения аутентификации администратора
CWA
Встроенное профилирование: IOS сенсор • IOS сенсор:
- Коммутатор агрегирует и отправляет данные о профиле устройства на ISE посредством протокола RADIUS
- Преимущества: повышение масштабируемости системы и упрощение внедрения
• Функционал:
- Коммутаторы собирают данные по протоколам DHCP, LLDP и CDP.
- Данные отправляют в ISE в виде cisco-av-pairs как часть сообщения RADIUS Accounting.
- ISE Profiler извлекает данные DHCP, LLDP и CDP и использует их для профилирования устройств.
• Совместимость:
- Поддерживается с версии IOS 15.0(1)SE1 для Cat 3K и ISE 1.1
- Поддерживается с версии IOS 15.1(1)SG для Cat 4K аппаратных платформ
- Будет поддерживаться на WLC 7.2 MR1 для протокола DHCP.
IOS Сенсор – Настройка
• ISE: - Включить RADIUS Probe - Добавить коммутатор в список сетевых устройств на стр. Network Devices.
• IOS: Ввести следующие команды: - device-sensor accounting device-sensor notify all-changes
- Стандартная настройка для: AAA / RADIUS, DHCP CDP и LLDP
IOS Сенсор – Профилирование устройств
Policy Assignment: Отображает политику для подобранного профиля
Calling-Station-ID: MAC-адрес обнаруженного устройства
Device IP Address: Указывает на коммутатор
CDP и DHCP информация, использованная для профилирования.
IOS Сенсор – Новые шаблоны политик и правил
Добавлены новые шаблоны политик. Например, Cisco-WLC, Cisco-DMP, политики для устройств Xerox и HP.
Политики используют результаты NMAP и SNMP сканирования. Например, Apple-Device, Cisco-Device, Xerox-Device.
Правила модифицированы для использования данных с IOS-сенсора.
Активное сканирование – NMAP
• Встроенная в ISE 1.1 утилита NMAP позволяет обнаруживать новые конечные устройства путем сканирования подсетей и классифицировать их на основе данных об операционной системе, полученных по NMAP.
• Функционал NMAP в Profiler присутствует в двух формах:
•Ручное сканирование подсетей на PSN
Сканирование заданной подсети на предмет обнаружение устройств, распознавания их ОС и сбора данных по SNMP (порт 161/udp). Если порт SNMP открыт, отправляется SNMP-запрос. Если MAC-адрес известен, устройство добавляется в базу (NmapSubnetScanID).
•Датчик NMAP
Автоматически сканирует «неизвестные» устройства на основе заданных политик сканирования.
NMAP – Ручное сканирование
• Можно использовать без включения датчика NMAP.
• Работает в фоновом режиме. Обновите страницу для обновления статуса.
• Ссылка по результаты последнего сканирования показывает устройства, найденные во время последнего сканирования на всех PDP.
Датчик NMAP – Действия
Набор предопределенных действий
Задание действия по умолчанию для неизвестных устройств
Добавление действий. Популярные порты – список из 15 UDP и 15 TCP портов.
Датчик NMAP – Политики со сканированием
Необходимо задать политику и правило для использования сканирования.
Действия сканирования привязывается к правилу
Локализация гостевого портала
Встроенная поддержка 11
языков в ISE 1.1
Все страницы гостевого
портала переведены:
• Страница аутентификации
• Соглашение о правилах
использования
• и др.
Сервисы по защите устройств (Фаза 1)
• Создание политик для карантина устройств
• Маркировка устройств для отправки в карантин
• Отключение порта устройства
Улучшения аутентификации администратора
Поддержка внешних баз пользователей в
ISE 1.1:
Microsoft AD
LDAP
RSA / Radius OTP
Аутентификация на основе сертификатов
Поддержка OCSP
OCSP (Online Certificate Status Protocol) – протокол для проверки статуса сертификатов.
ISE 1.1 взаимодействует с OCSP по протоколу HTTP.
OCSP сервер возвращает один из статусов: Good, Revoked или Unknown
Тестирование OCSP проводилось с openSSL, Axway и Microsoft OCSP серверами
OCSP используется с EAP-TLS, PEAP-TLS
Поддержка CWA
Local Web Auth (LWA) Central Web Auth (CWA)
Только ACL авторизация Авторизация ACL и VLAN
Нет Session ID, поэтому не может
использовать дополнительные
атрибуты (напр. оценки соответствия)
CWA требует Session ID для
отслеживания данных о
пользователе и его статусе
Нет поддержки Change of
Authorization (CoA)
Поддержка Change of Authorization
(CoA)
Сервисы CWA, оценки соответствия и профилирования требуют
поддержку CoA.
• Контроллер WLC sw 7.0.116.0 и выше поддерживает CoA для
БЛВС с поддержкой 802.1X
CWA поддерживается с ISE 1.1 и WLC 7.2.
Сценарии на ISE
Сценарии Раньше
Перспектива
1 год
Перспектива
2 года
Проводной доступ с 802.1x Cisco ACS Cisco ISE Cisco ISE
Контроль беспроводного
доступа Cisco ACS Cisco ISE Cisco ISE
Контроль доступа с SNMP Cisco NAC
appliance Cisco NAC Cisco ISE
Гостевой доступ Cisco NAC
Guest Cisco ISE Cisco ISE
Оценка состояния (NAC) Cisco NAC Cisco ISE Cisco ISE
Профилирование устройств Cisco NAC
Profiler Cisco ISE Cisco ISE
Контроль VPN-доступа Cisco ACS Cisco ISE или ACS Cisco ISE
Контроль администраторов Cisco ACS Cisco ACS Cisco ISE
“Все будет Айс!”
ISE – ключевые отличия
Упрощение больших политик безопасности
SGT Public Private
Staff
Guest
Permit
Deny
Permit
Permit
LOCATION USER ID ACCESS RIGHTS DEVICE (& IP/MAC)
Доступ в сеть на основании контекста
Интегрированные оценка состояния и профилирование
Упрощенный ролевой доступ
Поддержка устройств и ПО ВСЕХ популярных вендоров
Тесная интеграция ISE в Сеть
Управление гостевым доступом
Масштабирование
Масштабируемые архитектура и лицензирование
“Память памятью, а повторить
никогда не мешает.”
- Семнадцать мгновений весны
Ресурсы