BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-----------------------

BÁO CÁO THỰC TẬP

ĐỀ TÀI: TÌM HIỂU VỀ GIẢI PHÁP NETWORK ACCESS

CONTROL CỦA CISCO.

GVHD: Trần Đình Thuần

Người thực hiện : Lê Trung Lương
MSSV: N16DCVT041
Lớp: D16CQVT01-N
Index
1. Tổng Quát đề tài....................................................................................................3
2. Cisco ISE...............................................................................................................3
2.1. Giới thiệu tổng quan về Cisco ISE................................................................3
2.2. Tổng quan tính năng của Cisco ISE..............................................................4
3. Cisco Deployment.................................................................................................4
3.1. Cisco ISE Deployment Terminology.............................................................5
3.2. Các loại Node................................................................................................5
3.3. Các mô hình triển khai và số session của mỗi mô hình.................................5
3.4. Distributed ISE Deployments........................................................................6
3.4.1. Small Network Deployments..................................................................6
3.4.2. Large Network Deployments..................................................................8
4. Triển khai Cisco ISE cho quy mô doanh nghiệp vừa và nhỏ................................9
4.1. Mô hình........................................................................................................10
4.2. Thiết lập Primary Node và đăng ký Secondary Node.................................10
5. Tích hợp Cisco ISE với AD:................................................................................11
5.1. Active Directory..........................................................................................11
5.1.1. Sơ lược về Cấu trúc logic của AD.........................................................11
5.2. Thêm Cisco ISE vào AD..............................................................................13
5.3. Thêm AD group vào Cisco ISE...................................................................14
6. Device Administration.........................................................................................15
6.1. AAA security...............................................................................................15
6.2. AAA Protocols.............................................................................................15
6.2.1. Radius Protocol.....................................................................................15
6.2.2. TACACS+.............................................................................................16
6.3. TACACS+ Device Administration..............................................................17
6.4. Cấu hình TACACS+ Trên Cisco IOS..........................................................17
6.5. Device Admin Policy Sets...........................................................................18
1. Tổng Quát đề tài

Ngày nay số lượng thiết bị kết nối và truy cập vào mạng doanh nghiệp ngày càng
tăng. Theo Cisco có đến hơn 25000 thiết bị kết nối vào mạng của họ. Việc gia tăng
thiết truy cập vào dễ dàng được giải thích vì ngày nay mỗi một nhân viên hoặc khách
hàng không chỉ sử dụng một thiết bị. Việc này đặt ra nhiều thách như sau:

- Cần phải có 1 cách để xác định ai hay cái gì đang truy cập vào mạng

- Cần quản lý các policy liên quan đến việc truy cập của user và gán quyền truy
cập network cho mọi người một cách tập trung tại một điểm

- Giúp user có thể truy cập vào mạng dễ dàng hơn

- Giám sát các mối nguy hại để có thể ngăn chặn hoặc làm giảm thiệt hại nhanh
nhất có thể.

 Từ những vấn đề trên Cisco đưa ra giải pháp Cisco Identity Services Engine –
là một giải pháp về NAC và Policy Management.

2. Cisco ISE

2.1. Giới thiệu tổng quan về Cisco ISE

Cisco ISE là một bộ kiểm soát việc truy cập mạng và triển khai áp dụng các policy, từ
đó đảm bảo việc thi hành chính sách công ty, bảo mật và việc hoạt động của các dịch
vụ trong công ty.
Cisco ISE thu thập rất nhiều thông tin như user (who), loại thiết bị (what), thời gian
truy cập (when), loại truy cập (wired, wireless, vpn – how), mối nguy hại tiềm tàng
và lỗ hổng.

 Dựa trên các thông tin này quản trị viên tạo policy và áp dụng cho các network
access.

2.2.Tổng quan tính năng của Cisco ISE

Device Administrative : Cisco ISE dùng TACAS+ để kiểm soát việc cấu hình thiệt
như kiểm soát và kiểm tra ai đang câu hình và họ được cấu hình những gì.

Guest and Secure Wireless: Phân loại người truy cập, khách ghé thăm, nhân viên ,
hay khách hàng và định nghĩa quyền truy cập của họ.

Bring Your Own Device (BYOD): Cho phép nhân viên và khác hàng dùng thiết bị
của họ. Thiết bị của họ sẽ được thêm vào hệ thống và được cấp quyền truy cập cho để
đảm bảo an toàn cho hệ thống mạng.

Asset Visibility: Cho ta thấy hiều thông tin như user (who), loại thiết bị (what), thời
gian truy cập (when), loại truy cập (wired, wireless, vpn )

Secure Wired Access: Cisco ISE sử dụng một loạt các giao thức xác thực để cung
cấp việc truy cập cho các thiết bị mạng và thiết bị đầu cuối truy cập mạng có dây an
toàn.

Segmentation: Sử dụng các Data về network device và endpoint để phân đoạn mạng
để dễ dàng cho việc security.

Compliance: Kiểm tra xem liệu endpoint có tuân thủ chính sách trước khi cho phép
vào mạng.

Threat Containment: Nếu Cisco ISE phát hiện các mối đe dọa hoặc lỗ hổng từ
endpoint, các chính sách điều khiển mạng thích ứng được gửi để thay đổi truy cập
của endpoint. Sau khi mối đe dọa hoặc lỗ hổng được đánh giá và xử lý, endpoint
được trả lại chính sách truy cập ban đầu của nó.

Security Ecosystem Integrations: Cho phép chia sẻ thông tin thu thập được với bên
vendor khác hay cisco partner systems.

3. Cisco Deployment
 3.1.Cisco ISE Deployment Terminology

- Node: Thiết bị Cisco Ise vật lý hoặc ảo.

- Node Type: Administration, Policy Service, Monitoring
- Persona: là các service mà node cung cấp.
- Role: là vai trò của 1 node, được xác định khi node là standalone, primary hay
secondary node.

3.2.Các loại Node

- Administration Node (AN)

Đây là node cho phép ta thực hiện các công việc liên quan đến quản trị trong Cisco
ISE. Nó xử lý các cấu hình hệ thống liên quan đến tính năng như AAA.

- Policy Service Node (PSN)

Đây là node cung cấp các service như network access, posture, guest access, client
provisioning và profiling. Node này sẽ đảm nhận xử lý các Radius request và thực
hiện các Policy Decision.

- Monitoring Node (Mnt)

Đây là node thực hiện các công việc như thu thập log, lưu log từ các Administration
Node và Policy Service Node. Cung cấp các tool liên quan đến giám sát và khắc phục
sự cố để ta có thể quản lý network và resource một cách hiệu.

- pxGrid Node
Cisco pxGrid dùng để chia sẻ thông tin nhạy cảm với các Hệ thống mạng khác như
ISE Eco system partner và các nền tảng Cisco khác. Ngoài ra pxGrid có thể được
dùng để trao đổi policy và dữ liệu cấu hình giữa các node hay giữa Cisco ISE và
vendor thứ 3.
Cisco pxGrid cũng cho phép các hệ thống bên thứ ba gọi các hành động kiểm soát
mạng thích ứng (EPS) để cách ly người dùng / thiết bị nhằm đáp ứng với sự kiện bảo
mật mạng.

3.3.Các mô hình triển khai và số session của mỗi mô hình

- Standalone/All Persona
- Hybrid
- Distributed
Số session tối đa của mỗi mô hình

Deployment Model Platform Maximum Session

Standalone (AN, Mnt, 3615 10000
PSN trên cùng một node) 3655 25000
3695 50000
 3515 7500
3595 20000
Basic 2-node deployment 3615 10000
(redundant) 3655 25000
3695 50000
3515 7500
3595 20000
Hybrid-Distributed 3615 10000
deployment ((Mnt và AN 3655 25000
cùng một thiết bị và PSN 3695 50000
khác thiết bị)) 3515 7500
3595 20000

Số Active Session của một PSN

PSN Max Active Sessions
SNS 3615 10000
SNS 3655 50000
SNS 3695 100000
SNS 3515 7500
SNS 3595 40000

3.4.Distributed ISE Deployments

Trong mô hình triển khai Distributed, ta nên có các node như sau:
- Administrator Node nên có Primary và Secondary cho HA.
- MnT Node nên có Primary và Secondary cho HA
- Một đến hai Health Check Node cho PAN
- Một hoặc nhiều PSN

3.4.1. Small Network Deployments

Việc triển khai cho hệ thống mạng nhỏ bao gồm 2 node, trong đó có một node hoạt
động chính (primary node), cả hai node đều phải cần cả 3 Persona (PAN, MnT, PSN)
Primary Node cung cấp cấu hình, xác thực, policy và Secondary Node hoạt động như
backup.
Hoạt động AAA sẽ xảy ra giữa Primary Node và Client. Primary Node sẽ đồng bộ và
sao chép (replication) tất cả nội dung cho Secondary Node.
 Hình 3.1

Medium-Sized Network Deployments

Trong hệ thống mạng tầm trung, ta cần thêm nhiều node hơn.
 Lưu ý: Trong môi trường hệ thống mạng tầm trung, không thê cho một node
chạy Policy Service persona trong khi node đó đã chạy Administration person
và Monitoring persona.
 Hình 3.2

3.4.2. Large Network Deployments

Cisco khuyến nghị nên dùng centralized logging cho hệ thống mạng lớn, mục đích
nhằm xử lý lượng traffic lớn liên quan đến syslog mà một hệ thống lớn có thê tạo ra.
Để thực hiện centralized logging ta cần cài đặt một logging server - syslog server
hoạt động như Monitoring Persona (để giám sát và lấy log). Ta có thể sử dụng các log
này cùng với các tính năng cảnh báo trong Cisco ISE để hỗ trợ cho các Cisco ISE
node.
Ngoài ra ta cũng có thể xem xét việc các thiết bị gửi log đến cả MnT Persona và
syslog server. Thêm một syslog server dùng cho dự phòng nếu tính năng Giám sát
trên nút Cisco ISE không hoạt động.
4. Triển khai Cisco ISE cho quy mô doanh nghiệp vừa và nhỏ
 4.1. Mô hình

Trong mô hình trên ta sử dụng 2 Cisco ISE node cho mục đích HA, một node là
Primary và node kia là Secondary. Cả 2 node đều chạy 3 persona (PAN, MnT, PSN).

4.2. Thiết lập Primary Node và đăng ký Secondary Node

- Đi tới Administration -> System -> Deployment page, click vào hostname của
node và nhấn “Make Primary”, sau đó save lại.
- Quay trở lại Deployment page, nhấn register, và nhập đầy đủ thông tin của
Secondary Node.
5. Tích hợp Cisco ISE với AD:

ISE có một User Store được dựng sẵn (internal identity source ) để ta có thể tạo
user. Tuy nhiên, hầu hết trong triển khai thường dùng AD hay các LDAP source cho
mục đích xác thực trong môi trường hệ thống có quy mô lớn về người dùng và tài
nguyên.

5.1.Active Directory

AD là một director service được phát triển bởi Microsoft cho Windows domain
networks.
Một server đóng vai trò là Active Directory Domain Service được gọi là một Domain
Controller (DC). DC xác thực và cấp quyền cho tât cả các user và máy tính trong một
windows domain, áp dụng policy cho tất cả computer và cài đặt cũng như cập nhật
software. Ngoài ra còn cho phép quản lý và lưu trữ thống tin, cung cấp các cơ chớ
xác thực cấp quyền, thiết lập các framework để triển khai các dịch vụ khác như:
Certificate Service, Lightweight Directory Services , v.v.

5.1.1. Sơ lược về Cấu trúc logic của AD

Có 4 thành phần tổ chức trong AD:

- OU
- Domain
- Tree
- Forest

Organization unit là 1 AD Container được cấu thành bởi các user và resource. Một
OU chứa AD object như user account, group, computer accounts, printers, shared
folders, application, servers và domain controllers.
Domain là đơn vị lõi của AD. Chứa các OU, thể hiện ranh giới về quản trị, chính sách
và bảo mật.

Tree là 1 container nhóm các domain lại, chia sẻ cấu trúc đặt tên giống nhau. Tree
chứ 1 domain cha, một hoặc nhiều domain con (subdomain hay child domain).
Forest là tập hợp của một hoặc nhiều Tree. Mục đích của forest cung cấp một môi
trường AD mà ở đó tất cả các domain có thể giao tiếp và chia sẻ thông tin nhưng vẫn
có sự hoạt động và quản trị độc lập giữa các domain.

5.2.Thêm Cisco ISE vào AD

Đăng nhập vào PAN, chuyển hướng theo Administration > Identity Management >
External Identity Sources > Active Directory. Click Add.
Tiếp theo nhập thông tin vào về domain và nhấn submit
Một hộp thoại hiện lên yêu cầu ta xác nhận join domain

Sau đó ta sẽ điền vào bảng Join Domain thông tin về AD username và password. Lưu
ý account này phải là account vời quyền Domain Admin

5.3. Thêm AD group vào Cisco ISE

Chuyển qua Group tag, nhấn Add > Select Groups

Và sau đó điền thông tin để Retrieve Group

6. Device Administration

6.1. AAA security

- AAA cho phép bạn định danh , cấp quyền access, và theo dõi hoạt động của
user đang quản trị thiết bị.
o Authentication: Xác thực user bằng cách yêu cầu login
o Authorization: Cung cấp Access Control. User được cấp quyền có thê
làm được gì? Các Radius hay TACACS server cấp quyền cho user bằng
cách định nghĩa 1 cặp AV (attribute-value)
o Accounting: Cung cấp 1 phương thức để thu thập thông tin về hành vi
của user đã xác thực, dựa vào thông tin đó để làm report.

6.2.AAA Protocols

- Một số giao thức phổ biến được dùng cho cấp quyền truy cập vào network và
system như:
o RADIUS
o TACACS +

6.2.1. Radius Protocol

- Tổng quan:
+ Remote Authentication Dial-In User Service (RADIUS) là một giao thức AAA.
+ Là một giao thức client-server. Client là access server, các thiết bị mà user sẽ gửi
request vào (Router, Switch vv). Server là thiết bị chạy dịch vụ RADIUS.
+ Hỗ trợ các cơ chớ liên quan đến authentication như : PPP PAP, CHAP, EAP
+ Có Protocol Extension thông qua trường thuộc tính, vd: thuộc tính “vendor-
specific” (type 26) để truyền thông tin về vendor.

- Hoạt động
+ Sử dụng giao thức UDP
+ Port 1812 cho authentication và authorization
+ Port 1813 cho accounting
+ Trước kia RADIUS hoạt động trên port 1645 cho authentication và authorization
và port 1646 cho accounting.

- Các message cho quá trình authentication và authorization:

1) Access server gửi 1 ACCESS-REQUEST đến RADIUS server bao gồm thông
tin về user, password, và các thông tin khác về thiết bị yêu cầu access như ip
address vv.
2) Radius server có thể dùng 3 message sau để trả lời:
o ACCESS-ACCEPT nếu user đã xác thực, Ngoài ra thì message còn chưa
thông tin về authorization, thông tin cụ thể về vender được dùng bởi
access server để cung cấp dịch vụ.
o ACCESS-REJECT nếu user bị reject.
o ACCESS-CHALLENGE (Option), Radius server yêu cầu thêm thông
tin, nó được gửi sau 1 ACCESS-REQUEST message mới.

6.2.2. TACACS+

- Tổng quan:
+ Terminal Access Controller Access Control System Plus (TACACS+)
+ Là giao thức độc quyền của Cisco
+ Client-server model
+ Cho phép Vendor-specific attributes và hỗ nhiều cơ chế authentication
 - Hoạt động
+ Sử dụng giao thức TCP, TACACS+ server dùng port 49. Do dùng giao thức TCP
nên TACACS+ có độ tin cậy cao hơn.

- Các TACACS+ message được dùng trong quá trình AAA:

o START, REPLY và CONTINUE packets được dùng trong quá trình
authentication
o REQUEST và RESPONSE packets được dùng trong quá trình
authorization và accounting.

6.3.TACACS+ Device Administration

Có hai loại quản trị viên trong quản trị thiết bị:
• Device Administrator
• ISE Administrator

Cisco ISE hỗ trợ tính năng quản trị thiết bị dùng TACACS+ Protocol để kiểm soát và
kiểm tra việc cấu hình thiết bị.

Thiết bị mạng được cấu hình để truy vấn ISE để xác thực (authentication), cấp quyền
(authorization) cho quản trị viên thiết bị (Device Administrator) và gửi accounting
messages về cho ISE để ghi log các hành động của quản trị viên này.

ISE Adminstrator tạo ra các policy cho việc quản trị thiết bị, thiết lập sự kiểm soát
các hoạt động của Device Administator. ISE Administator thực hiện các Task sau:
- Cấu hình thiết bị mạng dùng TACACS (shared secret)
- Thêm Device Administator giống như một internal user, đặt password.
- Tạo policy cho các Device Administator
- Cấu hình TACACS server trong ISE để cho phép các Device Administator truy
cập thiết bị dựa trên các policy đã set.

6.4.Cấu hình TACACS+ Trên Cisco IOS

Enable
Config ter
Username fpt_admin privilege 15 password cisco04071998
Username fpt_helpdesk privilege 7 password cisco471998
Username fpt_inter privilege 1 password cisco47
Aaa new-model
Tacacs-server host 172.16.2.200 Key Cisco0123
Aaa authentication login default group tacacs+ local
Aaa authentication enable default group tacacs+ enable
Aaa authorization exec default group tacacs+ local
Aaa accounting commands 1 default start-stop group tacacs+
Aaa accounting commands 15 default start-stop group tacacs+
Aaa accounting commands 7 default start-stop group tacacs+
line vty 0 4
login authentication default
line console 0
login authentication default
end
wr

6.5.Device Admin Policy Sets

Trang Device Admin Policy Sets (Work Centers > Device Administration > Device
Admin Policy Sets) chứa danh sách các policy mà ISE Administator dùng để quản lý
xác thực và cấp quyền của việc quản trị thiết bị.

Trước khi bắt đầu tạo Device Admin Policy Sets

 Đảm bảo đã bật Enable Device Admin Service , xem tại Adminstration >
System > Deployment

 Cần cấu hình TACACS+ trên thiết bị cần quản trị, Work Centers > Device
Administration > Network Resources > Network Devices > Add.
 Thiết lập User Identity Groups, mục đích để áp policy theo group, Work
Centers > Device Administration > User Identity Groups

 Thêm Device Administrator, gán group tương ứng cho các user này, Work
Centers > Device Administration > Identities > Users.
  Thêm Authorization Rule

Truy cập Work Centers > Device Administration > Policy Elements

- Tại mục TACACS+ Profiles và TACACS+ Command Sets ta thiết lập các mục
liên quan đến Privilege , các command mà admin được phép thực thi.
  Tiến hành thêm Device Administration Policy

Truy cập Work Centers > Device Administration > Device Admin Policy Sets

Ta tiến hành chỉnh sửa Policy Set Name là Default

Ở mục Authorization Policys, ta tạo các Rule tương ứng với mỗi admin