Czym jest serwer NAC?

Serwer Network Admision Control to serwer, który wspiera urządzenia sieciowe w udzielaniu dostępu do sieci (uwierzytelnianie). Można powiedzieć, że switche czy access pointy nie mają w sobie za dużo wiedzy i muszą się zapytać serwera 802.1x, czy dane urządzenie czy osoba może się podłączyć do sieci i ewentualnie jaki ma poziom dostępu. Taki centralny serwer może być powiązany z bazą danych użytkowników, np. Microsoft AD i możemy na takim serwerze tworzyć polityki dostępu do sieci.

Czy ISE to tylko NAC?

Zdecydowanie nie – Cisco ISE ma dużo więcej istotnych funkcji, co czyni system kompletnym rozwiązaniem dla wszystkich sieci. Ale zaczynając od początku – w jakiej formie jest ten serwer… tutaj mamy pełną dowolność. Możemy uruchomić system na jednej małej wirtualce lub kilkunastu dedykowanych serwerach – wszystko zależy od skali. Cisco ISE ma bardzo nowoczesny i przejrzysty system GUI, gdzie możemy wykonać praktycznie wszystkie operacje.

Jakie funkcje ma ISE?

• To oczywiście głównie serwer 802.1x, czyli Radius;
• Serwer polityk, gdzie warunkowo możemy ustalać, jak uwierzytelnimy użytkownika oraz jaki dostęp dostanie np. jeżeli użytkownik należy do grupy „AD vip” to po przyłączeniu się do korporacyjnego wifi zostanie umieszczony w vlanie z pełnym dostępem do sieci. Jeżeli nie jest w tej grupie „AD vip”, to będzie miał dostęp tylko do internetu – bez dostępu do wewnętrznych serwisów;
• Serwer portali gościnnych oraz wielu innych jak zarządzanie urządzeniami BYOD;
• Serwer autoryzujący i współpracujący z siecią Cisco trustSec oraz DNA Center;
• Profiler – możemy realizować polityki dostępu do sieci na podstawie typu urządzenia w sytuacji, gdy nie wspiera ono aktywnej autoryzacji;
• Serwer Tacacs – zarządzanie dostępem do urządzeń;
• Serwer Posture – aktywnej analizy stacji końcowych podłączających się do sieci np. czy ma aktywny antywirus;
• Serwer raportowania i audytu dostępu do sieci;

Serwer 802.1x z elastycznymi politykami dostępu

Podstawowa cecha serwera autoryzacyjnego, to współpraca z urządzeniami w zakresie 802.1x. Cisco ISE wspiera praktycznie wszystkie dostępne protokoły od Mac authentication Bypass (autoryzacja MAC) przez PEAP, EAP-TLS oraz TEAP. W bardzo ładnym responsywnym GUI możemy dość elastycznie tworzyć warunki i polityki.

Na przykład tworzymy politykę dla sieci Wireless:

Polityka taka będzie się składała z elementu Authentication oraz Authorization

Czyli upraszczając kto i do czego może mieć dostęp.

W politykach uwierzytelniania możemy wybrać gdzie dane logowania chcemy sprawdzać – może w MA Active Directory albo w lokalnej bazie? Nie ma problemu – wszystko możemy warunkowo budować na zasadzie jak mamy EAP-MSCHAP, to sprawdzajmy w AD a w innym przypadku w lokalnej bazie użytkowników.

Teraz przejdźmy do ciekawszego elementu. Jak już wiemy kto podłącza się do sieci, to sprawdźmy gdzie chcemy mu dać dostęp. Tutaj polityki często będą bardziej rozbudowane. Możemy je warunkować np. nazwą SSID do której stacja się podłącza lub typem uwierzytelnienia. Poniżej przykład z naszego laba – może mało reprezentatywny, ale pokazujący możliwości ISE. Możemy kierować użytkowników do odpowiednich vlanów zależnie czy uwierzytelnienie komputera i użytkownika przebiegło pomyślnie (i mamy pewność, że użytkownik podłącza się ze stacji domenowej). Osobną politykę mamy dla stacji z TLS a jeszcze inną dla gości.

ISE jako kompletne rozwiązanie dostępu gościnnego i sponsorowanego

„ISE is best for the guest” – tak kiedyś brzmiał slogan reklamujący Cisco. I po kilkunastu wdrożeniach nie mogę się z nim nie zgodzić. Zacznijmy od najprostszej rzeczy – portal do logowania dla gości. Ten element składa się z dwóch rozwiązań: portalu do logowania dla gości oraz backendowego portalu dla recepcji/pracowników którzy zakładają konta gości.

Oczywiście wygląd możemy dowolnie zmienić, łącznie z różnymi wersjami językowymi

Kolory, czcionki, układ elementów – wszystko możemy zmienić! Jak jednak chcemy więcej, to możemy zakodować stronę w HTML5 lub użyć ISE portal builder’a, czyli edytora WYSIWYG na stronie isepb.cisco.com – tam marketing klienta może zmienić wszystko a potem przygotować inżynierom ISE paczką z portalem do „zaciągnięcia”.

Dzięki temu w łatwy sposób nasi goście będą mogli logować się do Wifi.

Co jednak z drugą stroną zarządzania – portal sponsora? Oczywiście tutaj również możemy praktycznie wszystko. Po kolei sprawdźmy najpopularniejsze opcje:

• Samorejestracja – wtedy de facto gość podaje swoje dane i dostaje dostęp – ciężko w takiej sytuacji mówić o portalu sponsora
• Dostęp dla recepcji, która generuje dane logowania – może to robić pojedynczo lub wygenerować np. 100 kont i wydrukować gotowe kartki z danymi logowania. Goście mają dostęp np. na 12 godzin – po jednym zalogowaniu system będzie pamiętał ich urządzenia.
• Dostęp dla sponsorów – wszystkich lub wybranych użytkowników Active Directory (np. z grupy AD dyrektorzy). Może nasza organizacja jest fizycznie rozległa – jak gość nie weźmie danych logowania na recepcji, to nie chcemy kazać mu wracać do innego budynku po te dane. W takiej sytuacji przy logowaniu może podać email sponsora np. obecnego na spotkaniu managera, który dostanie z ISE email z prośbą o akceptację dostępu. Po kliknięciu w link i akceptacji prośby, gość dostanie dostęp do sieci
• Dostęp sponsorski „nie gościnny” – może nasi sponsorzy – menadżerowie firmy współpracują z wieloma podwykonawcami. Cały czas w naszej organizacji pojawiają się osoby na tydzień lub miesiąc, które mają na celu zrealizowanie jakiejś części projektu. Potrzebują oczywiście dostępu do sieci i to o określonych dostępach, jednak cały czas dysponują swoim sprzętem nie kontrolowanym przez IT. W takiej sytuacji nasi sponsorzy mogą generować taki dostęp, który jest czymś pomiędzy dostępem gościnnym a wewnętrznym.

BYOD

Bring your own device to funkcja ISE pozwalająca na rejestrację prywatnych urządzeń użytkowników. Coraz częściej firm mają potrzebę dawania pełnego lub częściowego dostępu do sieci z urządzeń niebędących w administracji IT.

Zresztą ta sytuacja często ma miejsce, kiedy nie mamy w firmie wdrożonego MDMa, czyli oprogramowania zarządzającego urządzeniami mobilnymi. No właśnie – jak mamy dać prezesowi dostęp z jego ulubionego iPada, tak mógł z niego pracować na spotkaniach? Oczywiście możemy zrobić sieć Wifi z PSK (klucz – pre shared key), jednak bezpieczeństwo takiego rozwiązania jest bardzo, bardzo słabe. Może z odsieczą przyjdą klucze PPSK, jednak często rozwiązania u naszych klientów tego nie wspierają. Klucz PSK „puszczony” w firmie, momentalnie rozchodzi się – każdy sobie podłącza prywatny telefon lub inne urządzenie, bo chce „posłuchać muzyki a LTE jest u nas słabe”. W takich sytuacjach z odsieczą przychodzi ISE BYOD – czyli mechanizm zabezpieczania urządzeń certyfikatami wraz z dystrybucją certyfikatów – brzmi trochę skomplikowanie, ale popatrzmy na przykład. Dyrektor Kowalski przynosi swojego tableta – podłącza się za pierwszym razem do sieci Wifi Enrollment – czyli takiej gdzie zostanie przekierowany na portal na którym zarejestruje swoje urządzenie po zalogowaniu się. W przypadku Androida pobieramy aplikację Network Setup Assistant, która połączy się w procesie z ISE i pobierze na telefon certyfikat wygenerowany przez wewnętrzne CA ISE. Następnie aplikacja utworzy profil sieci wraz z autoryzacją EAP-TLS – najbezpieczniejszy sposób dostępu!

Widok portalu do startu rejestracji/enrolmentu:

Aplikacja do konfiguracji telefonu z Androidem:

Urządzenie jest gotowe do bezpiecznego podłączania poprzez EAP-TLS!

Profilowanie stacji

Co możemy zrobić w sytuacji gdy chcemy rozpoznać urządzenie np. urządzenie produkcyjne, a to urządzenie nie ma suplikanta 802.1x?. Ewentualnie może chcemy rozpoznać komputer w sytuacji, gdzie zalogowany jest użytkownik, a nie możemy użyć Eap chaining i uwierzytelnić również komputera.

Z pomocą przychodzi nam profilowanie! Ise ma wbudowanych tysiąc profili umiejących rozpoznać np. drukarkę hp lub różne telefony przenośne:

Może budowanie polityk w oparciu o fakt, że podłącza się Galaxy Note 4 nie jest najtrafniejsze, ale rozpoznawanie drukarek to już bardzo przydatna rzecz!

Niestety drukarki i wiele systemów podłączonych do sieci (typu kamery i kontrola dostępu) nie mposiadają dobrze działających suplikantów 802.1x i działanie na podstawie typu urządzenia jest bardzo przydatne. Możemy oczywiście utworzyć swoje profile, może chcemy nazwać jakąś grupę urządzeń w sytuacji, gdy w pakiecie DHCP znajduje się dana wartość:

Możemy potem użyć w politykach typu profilowanej stacji. W przykładzie poniżej znajduje się grupa urządzeń nazwana „Stacja domenowa FQDN” – jest to grupa sprofilowanych urządzeń.

Tacacs – Device Administrator

Zarządzanie dostępem do urządzeń – tak zwane Device Administration to bardzo przydatna rzecz dla dużych sieci. Centralne zarządzanie dostępem do urządzeń sieciowych jest bardzo istotne, ale to można zrobić na prostym Radiusie. Tym sposobem możemy sprawdzić użytkownika i hasło. Co jednak jak chcemy sprawdzać poszczególne komendy wydawane przez użytkownika? Tutaj potrzebujemy już protokołu Tacacs. ISE jest właśnie serwerem Tacacs, gdzie możemy budować zaawansowane polityki.

Najlepiej możemy to zilustrować przykładem:
W firmie X administratorzy logują się na wszystkie urządzenia poświadczeniami domenowymi. Wszystkie komendy są zapisywane. Młodsi administratorzy mają dostęp typu enable, jednak bez możliwości czyszczenia pewnych stanów urządzenia. Mają dostęp do konfiguracji portów, ale tylko dostępowych. Jedyną komendą, jaką mogą wpisać w trybie konfiguracji jest „int Gi0/x”. Każda komenda po wydaniu jest wysyłana do ISE w celu sprawdzenia, czy może być zastosowana.

Oczywiście wymaga to wszystko działania oprogramowania po stronie stacji – preinstalowanego anyconnecta lub tymczasowego agenta uruchomianego przez portal.

Podsumowanie

Cisco ISE to potężne oprogramowanie, które jest zdecydowanie czymś więcej niż prostym NAKiem. Zachęcamy do kontaktu w celu dyskusji o ISE w Państwa sieci.

Chcesz wiedzieć więcej?