Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Cisco ISE – czym jest Identity Services Engine?

    Bezpieczny dostęp do sieci firmowej

    Cisco ISE – czym jest Identity Services Engine? 

    Date: 19.05.2022



    Cisco ISE, czyli Cisco NAC (Network Access Control) jest rozwiązaniem, które ma za zadanie kontrolować politykę bezpiecznego dostępu do sieci, a przez to krytycznych zasobów w organizacji. Jest pojedynczym punktem informacji o zdarzeniach związanych z dołączającymi się do sieci urządzeniami i użytkownikami.  

    ISE to o wiele więcej w komplementarnej koncepcji bezpieczeństwa i sieci „intuicyjnej”, ale o tym trochę później. Tymczasem, zapraszam do zapoznania się z kilkoma słowami o architekturze ISE na naszym „Design Corner”, a poniżej więcej o podstawowych zadaniach, które zapewnia ISE. 

    Funkcjonalności Cisco ISE 

    Cisco ISE jako serwer Radius, pozwala obsłużyć funkcjonalności, które obsługują klasyczne serwery Radius (chociażby wielu znany Cisco ACS – Access Control System). A więc implementując NAC od Cisco możesz uruchomić: 

    • Mechanizm 802.1x w sieci WiFi 
    • Mechanizm 802.1x w sieci przewodowej (Wired) 
    • Uwierzytelnienie i nadawanie atrybutów użytkownikom łączącym się po VPN 
    • MAC Authentication Bypass (MAB), czyli uwierzytelnianie urządzeń z wykorzystaniem adresów MAC 
    Wybrane funkcjonalności Cisco ISE

    Mechanizmy ISE 

    Identity Services Engine wykorzystuje tzw. rozszerzoną komunikację Radius zwaną Radius CoA (Change of Authorization), dzięki której możliwa jest interakcja dynamiczna między węzłem ISE (Policy Service Node) a urządzeniami sieciowymi, czyli przełącznikami, routerami, kontrolerami sieci WiFi i firewallami. 

    Jak działa CoA? 

    ISE posługuje się logicznymi warunkami tworzonymi przez administratora, który nadaje pewną logikę przyczynowo – skutkową: JEŻELI warunek TO rezultat. Dzięki łączeniu warunków, ISE jest w stanie reagować na warunki, które powstają w sieci i samo z siebie nawiązywać komunikację z urządzeniami sieciowymi np. wysyłając im pakiet CoA z informacją o konieczności wprowadzenia portu na przełączniku w stan shutdown lub o przekierowaniu URL Redirect konkretnego użytkownika, jeśli nie jest znany systemowi. 

    Spójrzmy na przykład zastosowania takiej pętli przyczynowo-skutkowej. Weźmy urządzenie o zadanym adresie MAC, które próbuje nawiązać połączenie z naszą siecią. Najpierw sprawdzane jest, czy taki adres MAC jest już zarejestrowany w bazie. Jeśli tak, połączenie zostaje nawiązane. Jeśli nie ma takiego adresu, ISE przechodzi do niższej reguły i przekierowuje użytkownika na portal rejestracji dla gości.

    Poniżej pokazujemy, jak to wygląda od strony konfiguracji.

    Cisco ISE konfiguracja dostępu gościnnego

    Więcej o tym, jak planować i konfigurować ISE dowiesz się na m.in. na naszym szkoleniu Securing Network Access with Cisco ISE

    W czym może pomóc Profiling? 

    Profiling, czyli zdolność ISE do rozumienia rodzaju urządzenia, przeglądarki, producenta, typu urządzenia jak telefon, czy laptop, systemu operacyjnego pozwala na reakcję np. w procesie wysyłania do użytkownika paczki ze spersonalizowanym suplikantem 802.1x, czyli kawałkiem software’u odpowiedzialnym za podłączanie klientów do sieci zabezpieczonej 802.1x. Dzięki funkcji Profiling Cisco ISE wysyła właściwą paczkę do właściwego urządzenia np. inną do urządzenia MacBook z OSX, a inną do urządzenia Lenovo z Windows 10. 

    Posture Assesment, czyli be compliant 

    Posture Assesment jest mechanizmem znanym z rozwiązań typu Network Admission / Access Control (NAC) i służy weryfikacji stacji końcowej, która podłącza się do sieci, pod kątem spełniania warunków narzuconych przez politykę bezpieczeństwa. Te warunki to np. obecność oprogramowania antywirusowego, fix-ów systemu operacyjnego, czy obecność innych aplikacji kluczowych dla danej organizacji. Posture w toku sprawdzenia może przekierować sprawdzaną stację w celu uzupełnienia brakujących elementów. 

    Cisco ISE jako centralny komponent bezpieczeństwa  

    Jak widzisz, Cisco ISE to kompleksowe rozwiązanie do planowania i sterowania politykami bezpieczeństwa zarówno w sieci przewodowej, jak i bezprzewodowej. Warte zanotowania jest, że ISE staje się centralnym komponentem bezpieczeństwa zbierającym informacje o tym kto, z jakiego miejsca, na jakim urządzeniu, próbuje nawiązać połączenie z naszą siecią. W tym kontekście oraz przy zastosowaniu segmentacji sieci Software-Defined, ISE jest odpowiednim systemem do realizacji Zero-Trust Security

    Bądź na bieżąco w tematach, z którymi pracujesz na co dzień

    Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.

      Zapisując się na newsletter wyrażam zgodę na przetwarzanie udostępnionych danych osobowych na potrzeby prowadzonego newslettera, w ramach którego Grandmetric sp. z o.o. jako administrator danych przesyłać będzie informacje marketingowe, promocyjne, handlowe i informacyjne w obszarze prowadzonej działalności gospodarczej. Zapoznałam/em się z treścią Regulaminu oraz Polityki prywatności i akceptuję ich treść. Regulamin Polityka prywatności

      Autor

      Joanna Sajkowska

      Z wykształcenia inżynier telekomunikacji. Od ponad 10 lat pracuje po biznesowej stronie mocy, zawsze w organizacjach technicznych (związanych z telekomunikacją lub wytwarzaniem oprogramowania). Skupia się na tłumaczeniu technologii i rozpoznawaniu wartości tam, gdzie inni widzą specyfikację. W Grandmetric kieruje marketingiem i komunikacją marki, w tym kampaniami edukacyjnymi z zakresu cyberbezpieczeństwa.

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


      Grandmetric: Network & Security