Tweet
Trước khi thêm các thiết bị truy cập mạng vào ISE, chúng tôi khuyên bạn nên tạo một số Nhóm thiết bị mạng logic (NDG).
Nhóm thiết bị được đặt trong Trung tâm công việc> Truy cập mạng> Tài nguyên mạng> Nhóm thiết bị. Các nhóm có thể được sử dụng như một công cụ rất mạnh khi được sử dụng đúng cách. Với việc sử dụng NDG, chính sách có thể được tạo dựa trên loại thiết bị mạng, vị trí của thiết bị hoặc bất kỳ nhóm logic nào khác mà tổ chức có thể muốn.
Hình 2-31 hiển thị một ví dụ phân cấp Nhóm thiết bị mạng
Thiết bị truy cập mạng
Bây giờ cấu trúc Nhóm thiết bị mạng đã sẵn sàng, đã đến lúc tự thêm các thiết bị truy cập mạng. Khi bạn thêm NAD (công tắc, bộ điều khiển không dây, VPN) vào ISE, bạn đang dạy ISE về địa chỉ IP của nó, định cấu hình khóa bí mật chung cho giao tiếp RADIUS và thậm chí có thể định cấu hình một số chuỗi SNMP để lấy dữ liệu từ thiết bị đó (nghĩ hồ sơ dữ liệu). Quá trình này là những gì dạy cho ISE cách giao tiếp với thiết bị sẽ thực hiện tất cả việc thực thi chính sách ISE.
Để thêm thiết bị truy cập mạng vào ISE, điều hướng đến Trung tâm làm việc> Truy cập mạng> Tài nguyên mạng> Thiết bị mạng và nhấp vào Thêm. Thiết bị mạng được thêm vào ISE dưới dạng đối tượng.
Đối tượng đó có nhiều thuộc tính quan trọng cấu hình ISE để xác định duy nhất từng NAD, cũng như khóa bí mật chung, chuỗi cộng đồng SNMP và cấu hình TrustSec. Khóa bí mật chung phải khớp chính xác với khóa được cấu hình trên NAD.
Hình 2-32 cho thấy một thiết bị mạng mẫu được thêm vào ISE
Hình 2-32 Example Network Device
Như Hình 2-32 minh họa, mỗi đối tượng NAD phải được cấu hình với một hoặc nhiều địa chỉ IP mà ISE sẽ sử dụng để liên lạc với NAD, cũng như xác định NAD nào là nguồn của yêu cầu đến. Có một số môi trường nơi họ sẽ tạo một đối tượng thiết bị mạng tham chiếu một dải địa chỉ IP, ví dụ, toàn bộ mạng con của các điểm truy cập không dây. Kiểu cấu hình đó thường được để lại từ di chuyển từ ACS và thường không được khuyến nghị cho việc triển khai ISE do khả năng cấu hình sai bí mật chung, thu thập dữ liệu và sử dụng các thiết bị mạng phức tạp khác trong ISE.
Bạn chỉ định một hồ sơ thiết bị cho mỗi NAD. Cấu hình thiết bị xác định các cài đặt và cấu hình chung cho NAD và cho phép quản trị viên ISE xây dựng một chính sách duy nhất có thể hoạt động trên các thiết bị mạng của bên thứ ba và của Cisco. Trong khi RADIUS và 802.1X đều là các tiêu chuẩn công nghiệp chắc chắn, không phải tất cả các thiết bị đều được tạo ra như nhau trong lĩnh vực đó. Mỗi nhà cung cấp có thể chọn triển khai một bộ khả năng Thay đổi ủy quyền (CoA) khác nhau hoặc có một cơ chế khác nhau để xác định xác thực MAB hoặc 802.1X. Cấu hình thiết bị hướng dẫn ISE cách làm việc với thiết bị mạng, thuộc tính nào phù hợp với các phương thức xác thực khác nhau và cách thực hiện chuyển hướng web và phát hành CoAs. Bạn có thể kiểm tra hồ sơ thiết bị chi tiết hơn dưới Administration > Network Resources > Network Device
Profiles.
Cửa sổ này cũng là nơi NDG sẽ được chọn. Mỗi NAD có thể được gán cho một NDG của từng loại; nói cách khác, một nhóm Vị trí, một nhóm Loại thiết bị và một trong mỗi NDG cấp cao nhất được tạo thủ công, như Giai đoạn.
Rất quan trọng là phần Cài đặt xác thực RADIUS, là nơi bí mật chia sẻ RADIUS được định cấu hình và bạn có thể chọn và định cấu hình NAD để tận dụng RADSEC (RADIUS trên Bảo mật lớp vận chuyển dữ liệu [DTLS]).
Không được hiển thị trong Hình 2-32 là các Cài đặt Xác thực TACACS, Cài đặt SNMP và các phần Cài đặt TrustSec Nâng cao. Phần Cài đặt xác thực TACACS sẽ được trình bày trong Chương 5, “Device Administration Control with ISE.”
Phần Cài đặt SNMP định cấu hình cộng đồng SNMP cho thiết bị mạng, ISE sẽ sử dụng để truy vấn NAD để định hình các thuộc tính như Cisco Discovery Protocol (CDP) và thông tin bộ đệm của Giao thức khám phá lớp liên kết (LLDP). Điều quan trọng cần lưu ý: chỉ định cấu hình cài đặt SNMP cho các thiết bị không sử dụng Cảm biến thiết bị để gửi dữ liệu lược tả ISE trong các gói kế toán RADIUS để tránh bỏ phiếu kép của thiết bị và các mục nhập kép cho trình lược tả.
Phần Cài đặt SNMP định cấu hình cộng đồng SNMP cho thiết bị mạng, ISE sẽ sử dụng để truy vấn NAD để định hình các thuộc tính như Cisco Discovery Protocol (CDP) và thông tin bộ đệm của Giao thức khám phá lớp liên kết (LLDP). Điều quan trọng cần lưu ý: chỉ định cấu hình cài đặt SNMP cho các thiết bị không sử dụng Cảm biến thiết bị để gửi dữ liệu lược tả ISE trong các gói kế toán RADIUS để tránh bỏ phiếu kép của thiết bị và các mục nhập kép cho trình lược tả.
Phần Cài đặt TrustSec Nâng cao là nơi cài đặt Thẻ nhóm bảo mật và Kiểm soát nhập học thiết bị mạng (NDAC) được cấu hình.
Thiết bị mặc định
Danh mục tiếp theo bên dưới Nhóm thiết bị trong menu điều hướng của phần Tài nguyên mạng là Thiết bị mặc định. Mục đích của thiết bị mặc định là cho phép mọi NAD không xác định xác thực với ISE miễn là nó sử dụng đúng các bí mật được chia sẻ và / hoặc cài đặt RADSEC.
Việc sử dụng một thiết bị mặc định làm cho cuộc sống dễ dàng cho những người không hiểu biết; tuy nhiên, bạn không nên khuyến khích việc sử dụng nó và không bao giờ kích hoạt nó trừ khi bạn phải làm vậy. Việc sử dụng thiết bị mặc định sẽ phá vỡ các mô hình bảo mật hoạt động cơ bản (OPSEC) và làm giảm tính bảo mật và tiện ích chung của toàn bộ giải pháp bằng cách cho phép mọi thiết bị từ bất cứ nơi nào gửi yêu cầu RADIUS vào ISE và cũng có thể mở ra cho bạn khả năng từ chối dịch vụ (DoS ) tấn công.
Cách thực hành tốt nhất cho các thiết bị mạng chỉ ra rằng tất cả các NAD nên được cấu hình thành các đối tượng riêng lẻ, để đảm bảo trải nghiệm vận hành tốt nhất, ổn định và bảo mật.
Máy chủ RADIUS bên ngoài và Trình tự máy chủ RADIUS
Trong thế giới của AAA, một thuật ngữ xuất hiện rất thường xuyên là RADIUS-Proxy. Khi máy chủ RADIUS thực hiện RADIUS-Proxy, nó sẽ nhận một thông báo Yêu cầu truy cập đến và thay vì thực hiện xác thực đó, chuyển tiếp yêu cầu đến một máy chủ RADIUS khác, không bị biến dạng.
Các máy chủ RADIUS bên ngoài trong ISE chính xác là những gì được mô tả trong đoạn trước. Các đối tượng này là các máy chủ RADIUS không phải là một phần của khối ISE này và khi bạn sử dụng đối tượng này trong chính sách xác thực, ISE PSN sẽ không thực hiện bất kỳ xác thực nào về yêu cầu xác thực đến, mà thay vào đó chuyển tiếp yêu cầu đến máy chủ RADIUS bên ngoài. Access-Accept hoặc Access-Reject từ máy chủ bên ngoài được gửi lại cho ISE PSN, sau đó có thể thao tác phản hồi hoặc gửi trực tiếp trở lại NAD.
Các chuỗi máy chủ RADIUS hoàn toàn giống như các chuỗi nguồn nhận dạng, ngoại trừ thay vì các cửa hàng nhận dạng, các đối tượng này chứa một danh sách các máy chủ RADIUS bên ngoài để thử, theo thứ tự.
Máy chủ MDM bên ngoài
Để biết chi tiết về danh mục cuối cùng này trong phần Tài nguyên mạng, hãy tham khảo Chương 4, Truy cập mạng mở rộng với ISE, sẽ bao gồm các máy chủ MDM bên ngoài chi tiết hơn.
Nhóm thiết bị được đặt trong Trung tâm công việc> Truy cập mạng> Tài nguyên mạng> Nhóm thiết bị. Các nhóm có thể được sử dụng như một công cụ rất mạnh khi được sử dụng đúng cách. Với việc sử dụng NDG, chính sách có thể được tạo dựa trên loại thiết bị mạng, vị trí của thiết bị hoặc bất kỳ nhóm logic nào khác mà tổ chức có thể muốn.
Hình 2-31 hiển thị một ví dụ phân cấp Nhóm thiết bị mạng
Thiết bị truy cập mạng
Bây giờ cấu trúc Nhóm thiết bị mạng đã sẵn sàng, đã đến lúc tự thêm các thiết bị truy cập mạng. Khi bạn thêm NAD (công tắc, bộ điều khiển không dây, VPN) vào ISE, bạn đang dạy ISE về địa chỉ IP của nó, định cấu hình khóa bí mật chung cho giao tiếp RADIUS và thậm chí có thể định cấu hình một số chuỗi SNMP để lấy dữ liệu từ thiết bị đó (nghĩ hồ sơ dữ liệu). Quá trình này là những gì dạy cho ISE cách giao tiếp với thiết bị sẽ thực hiện tất cả việc thực thi chính sách ISE.
Để thêm thiết bị truy cập mạng vào ISE, điều hướng đến Trung tâm làm việc> Truy cập mạng> Tài nguyên mạng> Thiết bị mạng và nhấp vào Thêm. Thiết bị mạng được thêm vào ISE dưới dạng đối tượng.
Đối tượng đó có nhiều thuộc tính quan trọng cấu hình ISE để xác định duy nhất từng NAD, cũng như khóa bí mật chung, chuỗi cộng đồng SNMP và cấu hình TrustSec. Khóa bí mật chung phải khớp chính xác với khóa được cấu hình trên NAD.
Hình 2-32 cho thấy một thiết bị mạng mẫu được thêm vào ISE
Hình 2-32 Example Network Device
Như Hình 2-32 minh họa, mỗi đối tượng NAD phải được cấu hình với một hoặc nhiều địa chỉ IP mà ISE sẽ sử dụng để liên lạc với NAD, cũng như xác định NAD nào là nguồn của yêu cầu đến. Có một số môi trường nơi họ sẽ tạo một đối tượng thiết bị mạng tham chiếu một dải địa chỉ IP, ví dụ, toàn bộ mạng con của các điểm truy cập không dây. Kiểu cấu hình đó thường được để lại từ di chuyển từ ACS và thường không được khuyến nghị cho việc triển khai ISE do khả năng cấu hình sai bí mật chung, thu thập dữ liệu và sử dụng các thiết bị mạng phức tạp khác trong ISE.
Bạn chỉ định một hồ sơ thiết bị cho mỗi NAD. Cấu hình thiết bị xác định các cài đặt và cấu hình chung cho NAD và cho phép quản trị viên ISE xây dựng một chính sách duy nhất có thể hoạt động trên các thiết bị mạng của bên thứ ba và của Cisco. Trong khi RADIUS và 802.1X đều là các tiêu chuẩn công nghiệp chắc chắn, không phải tất cả các thiết bị đều được tạo ra như nhau trong lĩnh vực đó. Mỗi nhà cung cấp có thể chọn triển khai một bộ khả năng Thay đổi ủy quyền (CoA) khác nhau hoặc có một cơ chế khác nhau để xác định xác thực MAB hoặc 802.1X. Cấu hình thiết bị hướng dẫn ISE cách làm việc với thiết bị mạng, thuộc tính nào phù hợp với các phương thức xác thực khác nhau và cách thực hiện chuyển hướng web và phát hành CoAs. Bạn có thể kiểm tra hồ sơ thiết bị chi tiết hơn dưới Administration > Network Resources > Network Device
Profiles.
Cửa sổ này cũng là nơi NDG sẽ được chọn. Mỗi NAD có thể được gán cho một NDG của từng loại; nói cách khác, một nhóm Vị trí, một nhóm Loại thiết bị và một trong mỗi NDG cấp cao nhất được tạo thủ công, như Giai đoạn.
Rất quan trọng là phần Cài đặt xác thực RADIUS, là nơi bí mật chia sẻ RADIUS được định cấu hình và bạn có thể chọn và định cấu hình NAD để tận dụng RADSEC (RADIUS trên Bảo mật lớp vận chuyển dữ liệu [DTLS]).
Không được hiển thị trong Hình 2-32 là các Cài đặt Xác thực TACACS, Cài đặt SNMP và các phần Cài đặt TrustSec Nâng cao. Phần Cài đặt xác thực TACACS sẽ được trình bày trong Chương 5, “Device Administration Control with ISE.”
Phần Cài đặt SNMP định cấu hình cộng đồng SNMP cho thiết bị mạng, ISE sẽ sử dụng để truy vấn NAD để định hình các thuộc tính như Cisco Discovery Protocol (CDP) và thông tin bộ đệm của Giao thức khám phá lớp liên kết (LLDP). Điều quan trọng cần lưu ý: chỉ định cấu hình cài đặt SNMP cho các thiết bị không sử dụng Cảm biến thiết bị để gửi dữ liệu lược tả ISE trong các gói kế toán RADIUS để tránh bỏ phiếu kép của thiết bị và các mục nhập kép cho trình lược tả.
Phần Cài đặt SNMP định cấu hình cộng đồng SNMP cho thiết bị mạng, ISE sẽ sử dụng để truy vấn NAD để định hình các thuộc tính như Cisco Discovery Protocol (CDP) và thông tin bộ đệm của Giao thức khám phá lớp liên kết (LLDP). Điều quan trọng cần lưu ý: chỉ định cấu hình cài đặt SNMP cho các thiết bị không sử dụng Cảm biến thiết bị để gửi dữ liệu lược tả ISE trong các gói kế toán RADIUS để tránh bỏ phiếu kép của thiết bị và các mục nhập kép cho trình lược tả.
Phần Cài đặt TrustSec Nâng cao là nơi cài đặt Thẻ nhóm bảo mật và Kiểm soát nhập học thiết bị mạng (NDAC) được cấu hình.
Thiết bị mặc định
Danh mục tiếp theo bên dưới Nhóm thiết bị trong menu điều hướng của phần Tài nguyên mạng là Thiết bị mặc định. Mục đích của thiết bị mặc định là cho phép mọi NAD không xác định xác thực với ISE miễn là nó sử dụng đúng các bí mật được chia sẻ và / hoặc cài đặt RADSEC.
Việc sử dụng một thiết bị mặc định làm cho cuộc sống dễ dàng cho những người không hiểu biết; tuy nhiên, bạn không nên khuyến khích việc sử dụng nó và không bao giờ kích hoạt nó trừ khi bạn phải làm vậy. Việc sử dụng thiết bị mặc định sẽ phá vỡ các mô hình bảo mật hoạt động cơ bản (OPSEC) và làm giảm tính bảo mật và tiện ích chung của toàn bộ giải pháp bằng cách cho phép mọi thiết bị từ bất cứ nơi nào gửi yêu cầu RADIUS vào ISE và cũng có thể mở ra cho bạn khả năng từ chối dịch vụ (DoS ) tấn công.
Cách thực hành tốt nhất cho các thiết bị mạng chỉ ra rằng tất cả các NAD nên được cấu hình thành các đối tượng riêng lẻ, để đảm bảo trải nghiệm vận hành tốt nhất, ổn định và bảo mật.
Máy chủ RADIUS bên ngoài và Trình tự máy chủ RADIUS
Trong thế giới của AAA, một thuật ngữ xuất hiện rất thường xuyên là RADIUS-Proxy. Khi máy chủ RADIUS thực hiện RADIUS-Proxy, nó sẽ nhận một thông báo Yêu cầu truy cập đến và thay vì thực hiện xác thực đó, chuyển tiếp yêu cầu đến một máy chủ RADIUS khác, không bị biến dạng.
Các máy chủ RADIUS bên ngoài trong ISE chính xác là những gì được mô tả trong đoạn trước. Các đối tượng này là các máy chủ RADIUS không phải là một phần của khối ISE này và khi bạn sử dụng đối tượng này trong chính sách xác thực, ISE PSN sẽ không thực hiện bất kỳ xác thực nào về yêu cầu xác thực đến, mà thay vào đó chuyển tiếp yêu cầu đến máy chủ RADIUS bên ngoài. Access-Accept hoặc Access-Reject từ máy chủ bên ngoài được gửi lại cho ISE PSN, sau đó có thể thao tác phản hồi hoặc gửi trực tiếp trở lại NAD.
Các chuỗi máy chủ RADIUS hoàn toàn giống như các chuỗi nguồn nhận dạng, ngoại trừ thay vì các cửa hàng nhận dạng, các đối tượng này chứa một danh sách các máy chủ RADIUS bên ngoài để thử, theo thứ tự.
Máy chủ MDM bên ngoài
Để biết chi tiết về danh mục cuối cùng này trong phần Tài nguyên mạng, hãy tham khảo Chương 4, Truy cập mạng mở rộng với ISE, sẽ bao gồm các máy chủ MDM bên ngoài chi tiết hơn.