Professional Documents
Culture Documents
Ngày nay số lượng thiết bị kết nối và truy cập vào mạng doanh nghiệp ngày càng
tăng. Theo Cisco có đến hơn 25000 thiết bị kết nối vào mạng của họ. Việc gia tăng
thiết truy cập vào dễ dàng được giải thích vì ngày nay mỗi một nhân viên hoặc khách
hàng không chỉ sử dụng một thiết bị. Việc này đặt ra nhiều thách như sau:
- Cần phải có 1 cách để xác định ai hay cái gì đang truy cập vào mạng
- Cần quản lý các policy liên quan đến việc truy cập của user và gán quyền truy
cập network cho mọi người một cách tập trung tại một điểm
- Giám sát các mối nguy hại để có thể ngăn chặn hoặc làm giảm thiệt hại nhanh
nhất có thể.
Từ những vấn đề trên Cisco đưa ra giải pháp Cisco Identity Services Engine –
là một giải pháp về NAC và Policy Management.
2. Cisco ISE
Cisco ISE là một bộ kiểm soát việc truy cập mạng và triển khai áp dụng các policy, từ
đó đảm bảo việc thi hành chính sách công ty, bảo mật và việc hoạt động của các dịch
vụ trong công ty.
Cisco ISE thu thập rất nhiều thông tin như user (who), loại thiết bị (what), thời gian
truy cập (when), loại truy cập (wired, wireless, vpn – how), mối nguy hại tiềm tàng
và lỗ hổng.
Dựa trên các thông tin này quản trị viên tạo policy và áp dụng cho các network
access.
Device Administrative : Cisco ISE dùng TACAS+ để kiểm soát việc cấu hình thiệt
như kiểm soát và kiểm tra ai đang câu hình và họ được cấu hình những gì.
Guest and Secure Wireless: Phân loại người truy cập, khách ghé thăm, nhân viên ,
hay khách hàng và định nghĩa quyền truy cập của họ.
Bring Your Own Device (BYOD): Cho phép nhân viên và khác hàng dùng thiết bị
của họ. Thiết bị của họ sẽ được thêm vào hệ thống và được cấp quyền truy cập cho để
đảm bảo an toàn cho hệ thống mạng.
Asset Visibility: Cho ta thấy hiều thông tin như user (who), loại thiết bị (what), thời
gian truy cập (when), loại truy cập (wired, wireless, vpn )
Secure Wired Access: Cisco ISE sử dụng một loạt các giao thức xác thực để cung
cấp việc truy cập cho các thiết bị mạng và thiết bị đầu cuối truy cập mạng có dây an
toàn.
Segmentation: Sử dụng các Data về network device và endpoint để phân đoạn mạng
để dễ dàng cho việc security.
Compliance: Kiểm tra xem liệu endpoint có tuân thủ chính sách trước khi cho phép
vào mạng.
Threat Containment: Nếu Cisco ISE phát hiện các mối đe dọa hoặc lỗ hổng từ
endpoint, các chính sách điều khiển mạng thích ứng được gửi để thay đổi truy cập
của endpoint. Sau khi mối đe dọa hoặc lỗ hổng được đánh giá và xử lý, endpoint
được trả lại chính sách truy cập ban đầu của nó.
Security Ecosystem Integrations: Cho phép chia sẻ thông tin thu thập được với bên
vendor khác hay cisco partner systems.
3. Cisco Deployment
3.1.Cisco ISE Deployment Terminology
- pxGrid Node
Cisco pxGrid dùng để chia sẻ thông tin nhạy cảm với các Hệ thống mạng khác như
ISE Eco system partner và các nền tảng Cisco khác. Ngoài ra pxGrid có thể được
dùng để trao đổi policy và dữ liệu cấu hình giữa các node hay giữa Cisco ISE và
vendor thứ 3.
Cisco pxGrid cũng cho phép các hệ thống bên thứ ba gọi các hành động kiểm soát
mạng thích ứng (EPS) để cách ly người dùng / thiết bị nhằm đáp ứng với sự kiện bảo
mật mạng.
Trong mô hình triển khai Distributed, ta nên có các node như sau:
- Administrator Node nên có Primary và Secondary cho HA.
- MnT Node nên có Primary và Secondary cho HA
- Một đến hai Health Check Node cho PAN
- Một hoặc nhiều PSN
Việc triển khai cho hệ thống mạng nhỏ bao gồm 2 node, trong đó có một node hoạt
động chính (primary node), cả hai node đều phải cần cả 3 Persona (PAN, MnT, PSN)
Primary Node cung cấp cấu hình, xác thực, policy và Secondary Node hoạt động như
backup.
Hoạt động AAA sẽ xảy ra giữa Primary Node và Client. Primary Node sẽ đồng bộ và
sao chép (replication) tất cả nội dung cho Secondary Node.
Hình 3.1
Cisco khuyến nghị nên dùng centralized logging cho hệ thống mạng lớn, mục đích
nhằm xử lý lượng traffic lớn liên quan đến syslog mà một hệ thống lớn có thê tạo ra.
Để thực hiện centralized logging ta cần cài đặt một logging server - syslog server
hoạt động như Monitoring Persona (để giám sát và lấy log). Ta có thể sử dụng các log
này cùng với các tính năng cảnh báo trong Cisco ISE để hỗ trợ cho các Cisco ISE
node.
Ngoài ra ta cũng có thể xem xét việc các thiết bị gửi log đến cả MnT Persona và
syslog server. Thêm một syslog server dùng cho dự phòng nếu tính năng Giám sát
trên nút Cisco ISE không hoạt động.
4. Triển khai Cisco ISE cho quy mô doanh nghiệp vừa và nhỏ
4.1. Mô hình
Trong mô hình trên ta sử dụng 2 Cisco ISE node cho mục đích HA, một node là
Primary và node kia là Secondary. Cả 2 node đều chạy 3 persona (PAN, MnT, PSN).
- Đi tới Administration -> System -> Deployment page, click vào hostname của
node và nhấn “Make Primary”, sau đó save lại.
- Quay trở lại Deployment page, nhấn register, và nhập đầy đủ thông tin của
Secondary Node.
5. Tích hợp Cisco ISE với AD:
ISE có một User Store được dựng sẵn (internal identity source ) để ta có thể tạo
user. Tuy nhiên, hầu hết trong triển khai thường dùng AD hay các LDAP source cho
mục đích xác thực trong môi trường hệ thống có quy mô lớn về người dùng và tài
nguyên.
5.1.Active Directory
AD là một director service được phát triển bởi Microsoft cho Windows domain
networks.
Một server đóng vai trò là Active Directory Domain Service được gọi là một Domain
Controller (DC). DC xác thực và cấp quyền cho tât cả các user và máy tính trong một
windows domain, áp dụng policy cho tất cả computer và cài đặt cũng như cập nhật
software. Ngoài ra còn cho phép quản lý và lưu trữ thống tin, cung cấp các cơ chớ
xác thực cấp quyền, thiết lập các framework để triển khai các dịch vụ khác như:
Certificate Service, Lightweight Directory Services , v.v.
Organization unit là 1 AD Container được cấu thành bởi các user và resource. Một
OU chứa AD object như user account, group, computer accounts, printers, shared
folders, application, servers và domain controllers.
Domain là đơn vị lõi của AD. Chứa các OU, thể hiện ranh giới về quản trị, chính sách
và bảo mật.
Tree là 1 container nhóm các domain lại, chia sẻ cấu trúc đặt tên giống nhau. Tree
chứ 1 domain cha, một hoặc nhiều domain con (subdomain hay child domain).
Forest là tập hợp của một hoặc nhiều Tree. Mục đích của forest cung cấp một môi
trường AD mà ở đó tất cả các domain có thể giao tiếp và chia sẻ thông tin nhưng vẫn
có sự hoạt động và quản trị độc lập giữa các domain.
Đăng nhập vào PAN, chuyển hướng theo Administration > Identity Management >
External Identity Sources > Active Directory. Click Add.
Tiếp theo nhập thông tin vào về domain và nhấn submit
Một hộp thoại hiện lên yêu cầu ta xác nhận join domain
Sau đó ta sẽ điền vào bảng Join Domain thông tin về AD username và password. Lưu
ý account này phải là account vời quyền Domain Admin
- AAA cho phép bạn định danh , cấp quyền access, và theo dõi hoạt động của
user đang quản trị thiết bị.
o Authentication: Xác thực user bằng cách yêu cầu login
o Authorization: Cung cấp Access Control. User được cấp quyền có thê
làm được gì? Các Radius hay TACACS server cấp quyền cho user bằng
cách định nghĩa 1 cặp AV (attribute-value)
o Accounting: Cung cấp 1 phương thức để thu thập thông tin về hành vi
của user đã xác thực, dựa vào thông tin đó để làm report.
6.2.AAA Protocols
- Một số giao thức phổ biến được dùng cho cấp quyền truy cập vào network và
system như:
o RADIUS
o TACACS +
- Tổng quan:
+ Remote Authentication Dial-In User Service (RADIUS) là một giao thức AAA.
+ Là một giao thức client-server. Client là access server, các thiết bị mà user sẽ gửi
request vào (Router, Switch vv). Server là thiết bị chạy dịch vụ RADIUS.
+ Hỗ trợ các cơ chớ liên quan đến authentication như : PPP PAP, CHAP, EAP
+ Có Protocol Extension thông qua trường thuộc tính, vd: thuộc tính “vendor-
specific” (type 26) để truyền thông tin về vendor.
- Hoạt động
+ Sử dụng giao thức UDP
+ Port 1812 cho authentication và authorization
+ Port 1813 cho accounting
+ Trước kia RADIUS hoạt động trên port 1645 cho authentication và authorization
và port 1646 cho accounting.
6.2.2. TACACS+
- Tổng quan:
+ Terminal Access Controller Access Control System Plus (TACACS+)
+ Là giao thức độc quyền của Cisco
+ Client-server model
+ Cho phép Vendor-specific attributes và hỗ nhiều cơ chế authentication
- Hoạt động
+ Sử dụng giao thức TCP, TACACS+ server dùng port 49. Do dùng giao thức TCP
nên TACACS+ có độ tin cậy cao hơn.
Có hai loại quản trị viên trong quản trị thiết bị:
• Device Administrator
• ISE Administrator
Cisco ISE hỗ trợ tính năng quản trị thiết bị dùng TACACS+ Protocol để kiểm soát và
kiểm tra việc cấu hình thiết bị.
Thiết bị mạng được cấu hình để truy vấn ISE để xác thực (authentication), cấp quyền
(authorization) cho quản trị viên thiết bị (Device Administrator) và gửi accounting
messages về cho ISE để ghi log các hành động của quản trị viên này.
ISE Adminstrator tạo ra các policy cho việc quản trị thiết bị, thiết lập sự kiểm soát
các hoạt động của Device Administator. ISE Administator thực hiện các Task sau:
- Cấu hình thiết bị mạng dùng TACACS (shared secret)
- Thêm Device Administator giống như một internal user, đặt password.
- Tạo policy cho các Device Administator
- Cấu hình TACACS server trong ISE để cho phép các Device Administator truy
cập thiết bị dựa trên các policy đã set.
Enable
Config ter
Username fpt_admin privilege 15 password cisco04071998
Username fpt_helpdesk privilege 7 password cisco471998
Username fpt_inter privilege 1 password cisco47
Aaa new-model
Tacacs-server host 172.16.2.200 Key Cisco0123
Aaa authentication login default group tacacs+ local
Aaa authentication enable default group tacacs+ enable
Aaa authorization exec default group tacacs+ local
Aaa accounting commands 1 default start-stop group tacacs+
Aaa accounting commands 15 default start-stop group tacacs+
Aaa accounting commands 7 default start-stop group tacacs+
line vty 0 4
login authentication default
line console 0
login authentication default
end
wr
Trang Device Admin Policy Sets (Work Centers > Device Administration > Device
Admin Policy Sets) chứa danh sách các policy mà ISE Administator dùng để quản lý
xác thực và cấp quyền của việc quản trị thiết bị.
Cần cấu hình TACACS+ trên thiết bị cần quản trị, Work Centers > Device
Administration > Network Resources > Network Devices > Add.
Thiết lập User Identity Groups, mục đích để áp policy theo group, Work
Centers > Device Administration > User Identity Groups
Thêm Device Administrator, gán group tương ứng cho các user này, Work
Centers > Device Administration > Identities > Users.
Thêm Authorization Rule
Truy cập Work Centers > Device Administration > Policy Elements
- Tại mục TACACS+ Profiles và TACACS+ Command Sets ta thiết lập các mục
liên quan đến Privilege , các command mà admin được phép thực thi.
Tiến hành thêm Device Administration Policy
Truy cập Work Centers > Device Administration > Device Admin Policy Sets
Ở mục Authorization Policys, ta tạo các Rule tương ứng với mỗi admin