Cisco ISE – czym jest Identity Services Engine?

Cisco ISE, czyli Cisco NAC (Network Access Control) jest rozwiązaniem, które ma za zadanie kontrolować politykę bezpiecznego dostępu do sieci, a przez to krytycznych zasobów w organizacji. Jest pojedynczym punktem informacji o zdarzeniach związanych z dołączającymi się do sieci urządzeniami i użytkownikami.  

ISE to o wiele więcej w komplementarnej koncepcji bezpieczeństwa i sieci „intuicyjnej”, ale o tym trochę później. Tymczasem, zapraszam do zapoznania się z kilkoma słowami o architekturze ISE na naszym „Design Corner”, a poniżej więcej o podstawowych zadaniach, które zapewnia ISE. 

Funkcjonalności Cisco ISE 

Cisco ISE jako serwer Radius, pozwala obsłużyć funkcjonalności, które obsługują klasyczne serwery Radius (chociażby wielu znany Cisco ACS – Access Control System). A więc implementując NAC od Cisco możesz uruchomić: 

• Mechanizm 802.1x w sieci WiFi 
• Mechanizm 802.1x w sieci przewodowej (Wired) 
• Uwierzytelnienie i nadawanie atrybutów użytkownikom łączącym się po VPN 
• MAC Authentication Bypass (MAB), czyli uwierzytelnianie urządzeń z wykorzystaniem adresów MAC 

Mechanizmy ISE 

Identity Services Engine wykorzystuje tzw. rozszerzoną komunikację Radius zwaną Radius CoA (Change of Authorization), dzięki której możliwa jest interakcja dynamiczna między węzłem ISE (Policy Service Node) a urządzeniami sieciowymi, czyli przełącznikami, routerami, kontrolerami sieci WiFi i firewallami. 

Jak działa CoA? 

ISE posługuje się logicznymi warunkami tworzonymi przez administratora, który nadaje pewną logikę przyczynowo – skutkową: JEŻELI warunek TO rezultat. Dzięki łączeniu warunków, ISE jest w stanie reagować na warunki, które powstają w sieci i samo z siebie nawiązywać komunikację z urządzeniami sieciowymi np. wysyłając im pakiet CoA z informacją o konieczności wprowadzenia portu na przełączniku w stan shutdown lub o przekierowaniu URL Redirect konkretnego użytkownika, jeśli nie jest znany systemowi. 

Spójrzmy na przykład zastosowania takiej pętli przyczynowo-skutkowej. Weźmy urządzenie o zadanym adresie MAC, które próbuje nawiązać połączenie z naszą siecią. Najpierw sprawdzane jest, czy taki adres MAC jest już zarejestrowany w bazie. Jeśli tak, połączenie zostaje nawiązane. Jeśli nie ma takiego adresu, ISE przechodzi do niższej reguły i przekierowuje użytkownika na portal rejestracji dla gości.

Poniżej pokazujemy, jak to wygląda od strony konfiguracji.

Więcej o tym, jak planować i konfigurować ISE dowiesz się na m.in. na naszym szkoleniu Securing Network Access with Cisco ISE

W czym może pomóc Profiling? 

Profiling, czyli zdolność ISE do rozumienia rodzaju urządzenia, przeglądarki, producenta, typu urządzenia jak telefon, czy laptop, systemu operacyjnego pozwala na reakcję np. w procesie wysyłania do użytkownika paczki ze spersonalizowanym suplikantem 802.1x, czyli kawałkiem software’u odpowiedzialnym za podłączanie klientów do sieci zabezpieczonej 802.1x. Dzięki funkcji Profiling Cisco ISE wysyła właściwą paczkę do właściwego urządzenia np. inną do urządzenia MacBook z OSX, a inną do urządzenia Lenovo z Windows 10. 

Posture Assesment, czyli be compliant 

Posture Assesment jest mechanizmem znanym z rozwiązań typu Network Admission / Access Control (NAC) i służy weryfikacji stacji końcowej, która podłącza się do sieci, pod kątem spełniania warunków narzuconych przez politykę bezpieczeństwa. Te warunki to np. obecność oprogramowania antywirusowego, fix-ów systemu operacyjnego, czy obecność innych aplikacji kluczowych dla danej organizacji. Posture w toku sprawdzenia może przekierować sprawdzaną stację w celu uzupełnienia brakujących elementów. 

Cisco ISE jako centralny komponent bezpieczeństwa  

Jak widzisz, Cisco ISE to kompleksowe rozwiązanie do planowania i sterowania politykami bezpieczeństwa zarówno w sieci przewodowej, jak i bezprzewodowej. Warte zanotowania jest, że ISE staje się centralnym komponentem bezpieczeństwa zbierającym informacje o tym kto, z jakiego miejsca, na jakim urządzeniu, próbuje nawiązać połączenie z naszą siecią. W tym kontekście oraz przy zastosowaniu segmentacji sieci Software-Defined, ISE jest odpowiednim systemem do realizacji Zero-Trust Security.