Bezpieczny dostęp do sieci firmowej
Cisco ISE, czyli Cisco NAC (Network Access Control) jest rozwiązaniem, które ma za zadanie kontrolować politykę bezpiecznego dostępu do sieci, a przez to krytycznych zasobów w organizacji. Jest pojedynczym punktem informacji o zdarzeniach związanych z dołączającymi się do sieci urządzeniami i użytkownikami.
ISE to o wiele więcej w komplementarnej koncepcji bezpieczeństwa i sieci „intuicyjnej”, ale o tym trochę później. Tymczasem, zapraszam do zapoznania się z kilkoma słowami o architekturze ISE na naszym „Design Corner”, a poniżej więcej o podstawowych zadaniach, które zapewnia ISE.
Cisco ISE jako serwer Radius, pozwala obsłużyć funkcjonalności, które obsługują klasyczne serwery Radius (chociażby wielu znany Cisco ACS – Access Control System). A więc implementując NAC od Cisco możesz uruchomić:
Identity Services Engine wykorzystuje tzw. rozszerzoną komunikację Radius zwaną Radius CoA (Change of Authorization), dzięki której możliwa jest interakcja dynamiczna między węzłem ISE (Policy Service Node) a urządzeniami sieciowymi, czyli przełącznikami, routerami, kontrolerami sieci WiFi i firewallami.
ISE posługuje się logicznymi warunkami tworzonymi przez administratora, który nadaje pewną logikę przyczynowo – skutkową: JEŻELI warunek TO rezultat. Dzięki łączeniu warunków, ISE jest w stanie reagować na warunki, które powstają w sieci i samo z siebie nawiązywać komunikację z urządzeniami sieciowymi np. wysyłając im pakiet CoA z informacją o konieczności wprowadzenia portu na przełączniku w stan shutdown lub o przekierowaniu URL Redirect konkretnego użytkownika, jeśli nie jest znany systemowi.
Spójrzmy na przykład zastosowania takiej pętli przyczynowo-skutkowej. Weźmy urządzenie o zadanym adresie MAC, które próbuje nawiązać połączenie z naszą siecią. Najpierw sprawdzane jest, czy taki adres MAC jest już zarejestrowany w bazie. Jeśli tak, połączenie zostaje nawiązane. Jeśli nie ma takiego adresu, ISE przechodzi do niższej reguły i przekierowuje użytkownika na portal rejestracji dla gości.
Poniżej pokazujemy, jak to wygląda od strony konfiguracji.
Więcej o tym, jak planować i konfigurować ISE dowiesz się na m.in. na naszym szkoleniu Securing Network Access with Cisco ISE
Profiling, czyli zdolność ISE do rozumienia rodzaju urządzenia, przeglądarki, producenta, typu urządzenia jak telefon, czy laptop, systemu operacyjnego pozwala na reakcję np. w procesie wysyłania do użytkownika paczki ze spersonalizowanym suplikantem 802.1x, czyli kawałkiem software’u odpowiedzialnym za podłączanie klientów do sieci zabezpieczonej 802.1x. Dzięki funkcji Profiling Cisco ISE wysyła właściwą paczkę do właściwego urządzenia np. inną do urządzenia MacBook z OSX, a inną do urządzenia Lenovo z Windows 10.
Posture Assesment jest mechanizmem znanym z rozwiązań typu Network Admission / Access Control (NAC) i służy weryfikacji stacji końcowej, która podłącza się do sieci, pod kątem spełniania warunków narzuconych przez politykę bezpieczeństwa. Te warunki to np. obecność oprogramowania antywirusowego, fix-ów systemu operacyjnego, czy obecność innych aplikacji kluczowych dla danej organizacji. Posture w toku sprawdzenia może przekierować sprawdzaną stację w celu uzupełnienia brakujących elementów.
Jak widzisz, Cisco ISE to kompleksowe rozwiązanie do planowania i sterowania politykami bezpieczeństwa zarówno w sieci przewodowej, jak i bezprzewodowej. Warte zanotowania jest, że ISE staje się centralnym komponentem bezpieczeństwa zbierającym informacje o tym kto, z jakiego miejsca, na jakim urządzeniu, próbuje nawiązać połączenie z naszą siecią. W tym kontekście oraz przy zastosowaniu segmentacji sieci Software-Defined, ISE jest odpowiednim systemem do realizacji Zero-Trust Security.
Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.
Dodaj komentarz