Cisco ISE (Identity Services Engine) là gì? Khi nào sử dụng và cách sử dụng như thế nào?

Cisco Identity Services Engine (ISE) là một loại Giải pháp kiểm soát truy cập mạng sử dụng việc ra quyết định dựa trên chính sách để xác định xem một thiết bị có được phép truy cập vào mạng hay không và thiết bị này được cấp ở mức độ truy cập nào.

​

Cisco ISE là một Ứng dụng bảo mật được đóng gói phức tạp và có nhiều tính năng kiểm soát quyền truy cập vào mạng cho cả thiết bị Có dây và Không dây bằng cách sử dụng chủ yếu giao thức 802.1x và EAPoL (EAP qua mạng LAN).

ISE cũng cung cấp Xác thực(Authentication), Ủy quyền(Authorization) và Kế toán(Accounting)(AAA) thông qua giao thức RADIUS và Quản trị thiết bị có thể được kiểm soát thông qua ISE bằng cách sử dụng Dịch vụ TACACS +.

Cách ISE xác thực người dùng và thiết bị

Giao thức 802.1x

Giao thức 802.1X thường được gọi là Dot1x và sử dụng EAP (Giao thức xác thực có thể mở rộng- Extensible Authentication Protocol) và giao thức RADIUS cùng nhau để cung cấp Xác thực cho các thiết bị ở cấp độ truy cập của mạng.

​

Mức truy cập này của mạng thường là giao diện chuyển mạch mạng vật lý hoặc Điểm truy cập không dây nơi thiết bị đang kết nối mạng.

Quy trình Dot1x bao gồm ba thành phần là Trình cung cấp(Supplicant), Trình xác thực(Authenticator) và máy chủ Xác thực(Authentication server).

• Supplicant là một phần mềm cho phép thiết bị giao tiếp bằng giao thức EAP.

• Authenticator là thiết bị Cơ sở hạ tầng mạng, chẳng hạn như Switch Cisco hoặc bộ điều khiển mạng LAN không dây của Cisco, đóng vai trò trung gian giữa Người cung cấp và Máy chủ xác thực.
• Authentication server là Máy chủ AAA (làm việc với giao thức RADIUS) là một phần của ISE.

Trình cung cấp và Trình xác thực giao tiếp bằng giao thức EAP như PEAP, EAP-TLS hoặc EAP-FAST và sau đó Trình xác thực giao tiếp với Máy chủ xác thực bằng RADIUS.

Supplicant không bao giờ nói chuyện trực tiếp với Máy chủ xác thực.

MAB

MAC Authentication Bypass (MAB) có thể được sử dụng để xác thực các thiết bị không thể sử dụng giao thức EAP.

Nhiều thiết bị cũ không có Supplicant tích hợp sẵn và không thể xác thực bằng EAP, do đó, một phương pháp được sử dụng để chuyển địa chỉ MAC của thiết bị kết nối tới ISE.

Địa chỉ MAC được ủy quyền được lưu trữ trong ISE trong các Cửa hàng nhận dạng và địa chỉ MAC nhận được sẽ được so sánh với các địa chỉ MAC nằm trong các Cửa hàng nhận dạng này.

Nếu tìm thấy kết quả trùng khớp, thì thiết bị được xác thực nếu không quá trình xác thực không thành công.

Vì địa chỉ MAC có thể bị giả mạo, MAB không an toàn như EAP sử dụng chứng chỉ Cơ sở hạ tầng khóa công khai (PKI- Public Key Infrastructure) để chứng minh danh tính của thiết bị.

Microsoft Active Directory

Cisco ISE cũng thường được sử dụng cùng với Microsoft Active Directory để xác nhận danh tính Người dùng.

Đối với một số lượng nhỏ Người dùng, có thể tạo thủ công các mục nhập riêng lẻ trong Cửa hàng nhận dạng người dùng nội bộ của ISE và điều này có thể được sử dụng để kiểm tra thông tin đăng nhập của Người dùng đăng nhập vào mạng.

Đối với các tổ chức lớn hơn có nhiều Người dùng, điều này có thể không thực tế và do đó Giao thức truy cập thư mục nhẹ (LDAP- Lightweight Directory Access Protocol) được sử dụng để cho phép ISE giao tiếp với Cơ sở hạ tầng thư mục hoạt động hiện có và thẩm vấn thông tin đăng nhập của Người dùng được lưu trữ trong hệ thống này.

Một số tổ chức gần đây, cơ sở hạ tầng Active Directory của họ đã được chuyển sang Microsoft Azure Cloud và cơ sở hạ tầng AD này chỉ được hỗ trợ trong ISE phiên bản 3.0 trở lên.

Xác thực web cho khách

Đối với khách và thiết bị của Khách truy cập, việc thêm thủ công các thiết bị hoặc Người dùng này vào Cửa hàng danh tính hoặc thêm các mục nhập trong Active Directory.

Để xác thực Khách, những người dùng này được chuyển hướng lại đến một cổng web cố định nơi họ có thể cung cấp thông tin đăng nhập của người dùng hoặc mật mã để có được Quyền truy cập của Khách vào mạng.

Xác thực web có thể diễn ra trên Cisco WLC được gọi là Xác thực Web cục bộ hoặc thông qua một cổng do ISE lưu trữ được gọi là Xác thực Web Trung tâm.

EasyConnect

Đây là một tính năng đã được thêm vào ISE trong phiên bản 2.1 và cho phép một thiết bị không có phần mềm hỗ trợ xác thực với ISE thông qua LDAP tới Active Directory.

Tính năng này hạn chế Cổng chuyển mạch để chỉ cho phép truyền đủ thông tin liên lạc để LDAP hoạt động.

ISE được sử dụng như thế nào?

ISE có rất nhiều tính năng và những tính năng và dịch vụ nào được sử dụng phụ thuộc phần lớn vào loại mạng và các trường hợp sử dụng kinh doanh hoặc cấp giấy phép đã được mua.

Một số trường hợp sử dụng phổ biến của ISE.

TACACS + và Quản trị thiết bị

ISE có thể được sử dụng để kiểm soát truy cập quản trị vào các thiết bị Cơ sở hạ tầng mạng như Bộ định tuyến và Thiết bị chuyển mạch.

Bằng cách Sử dụng TACACS +, loại lệnh được phép chạy trên các thiết bị này có thể được đặt và hạn chế đối với các Quản trị viên mạng khác nhau nếu được yêu cầu.

Khi người dùng đăng nhập và thực hiện các thay đổi đối với hệ thống, TACACS + sẽ tạo nhật ký kế toán về ai đã đăng nhập, vào thời điểm nào và những thay đổi nào được thực hiện bởi người dùng đó khi đăng nhập.

Mang theo thiết bị của riêng bạn (BYOD- Bring Your Own Device)

Trong thời hiện đại, việc nhân viên mang theo thiết bị của mình đến nơi làm việc và gắn các thiết bị như điện thoại, máy tính bảng ... vào mạng công ty là điều bình thường. Thường thì các thiết bị này được sử dụng để truy cập các tài nguyên giống như thiết bị do công ty phát hành.

Cisco ISE cho phép nhân viên đăng ký thiết bị của riêng họ trên mạng và sử dụng các giao thức dot1x, EAP-TLS hoặc PEAP để mã hóa và bảo vệ kết nối của họ với mạng giống như thiết bị của công ty.

ISE cho phép giới hạn số lượng thiết bị mà nhân viên có thể đăng ký và bằng cách sử dụng cổng mydevices trong ISE, nhân viên có thể đánh dấu thiết bị của họ là bị mất hoặc bị đánh cắp hoặc thêm và xóa thiết bị mà không cần sự trợ giúp của nhân viên CNTT.

Nếu một thiết bị được báo cáo là bị đánh cắp, ISE sẽ đưa thiết bị này vào danh sách đen và ngăn thiết bị đó được sử dụng trên mạng.

​

Quản lý thiết bị di động (MDM)

Cisco ISE có thể tích hợp với các nhà cung cấp phần mềm MDM khác nhau, cho phép đăng ký chứng chỉ PKI và các điều khiển bổ sung, chẳng hạn như xóa từ xa các thiết bị di động của công ty.

Một Ví dụ về MDM tương thích là Airwatch.

Đánh giá thiết bị

ISE có thể được sử dụng để thực thi chính sách của công ty đối với các thiết bị được tham gia vào mạng công ty.

Với giấy phép Apex, ISE có thể thực hiện đánh giá tình trạng bảo mật của thiết bị và có thể kiểm tra xem thiết bị có đáp ứng các tiêu chí bảo mật nhất định hay không trước khi được phép vào mạng.

Ví dụ: một thiết bị có thể được kiểm tra để đảm bảo rằng thiết bị đó có phần mềm Hệ điều hành cập nhật hoặc thiết bị đó đã được cài đặt phần mềm chống vi-rút được cập nhật và đảm bảo thiết bị chưa được root.

Nếu thiết bị không qua được bước kiểm tra này, thiết bị có thể được đưa vào Vlan cách ly cho đến khi thiết bị được tuân thủ và các hướng dẫn khắc phục có thể được gửi đến thiết bị.

Quản lý khách và khách truy cập

ISE có thể chuyển hướng các phiên duyệt web của Khách và Khách truy cập đến các loại cổng cố định khác nhau, tất cả đều được quản lý và lưu trữ từ Máy chủ ISE tùy thuộc vào những gì được yêu cầu.

Có ba loại cổng khác nhau có thể được định cấu hình cho Quyền truy cập của Khách và Khách truy cập.

1. Cổng điểm phát sóng (Hotspot Portal) - Khi thiết bị kết nối với mạng Khách hoặc SSID khách, trình duyệt trên thiết bị được chuyển hướng đến Cổng điểm phát sóng do ISE lưu trữ. Sau đó, Khách được yêu cầu đồng ý với Chính sách sử dụng được chấp nhận và nhập mã để truy cập internet. Loại cổng này tương tự như cổng được sử dụng trong quán cà phê hoặc sân bay và không yêu cầu Khách cung cấp bất kỳ thông tin cá nhân nào.
2. Cổng thông tin khách được tài trợ (Sponsored Guest Portal)- Thông tin đăng nhập để có quyền truy cập thông qua loại cổng này được tạo trước bởi Nhà tài trợ, thường là người làm việc cho công ty. Sau khi khách được đăng ký bởi nhà tài trợ, thông tin đăng nhập có thể được ISE gửi tới email hoặc tin nhắn SMS mà Khách đã cung cấp. Loại cổng này thường được sử dụng để cho phép các nhà thầu truy cập hạn chế vào mạng công ty và cần có sự ủy quyền từ công ty thiết lập tài khoản trước.
3. Cổng thông tin khách tự đăng ký (Self-Registered Guest Portal) - Loại cổng này cho phép khách tự đăng ký bằng địa chỉ email và thông tin cá nhân khác mà không cần sự cho phép của Nhà tài trợ hoặc nhân viên công ty.

 

Một số ưu điểm của Cisco ISE

Hiển thị (Visibility)

Tất cả các thiết bị và người dùng đều có thể dễ dàng nhìn thấy hoặc tìm kiếm được trong phần màn hình của ISE.

Nhiều thông tin như nơi thiết bị được kết nối với mạng và các chính sách nào đang được thực thi có thể được nhìn thấy từ chế độ xem Nhật ký trực tiếp trong ISE.

Dễ dàng để khắc phục sự cố và xác định các thiết bị đang gặp khó khăn trong việc xác thực hoặc xem thiết bị nào không tuân thủ chính sách của công ty và đã bị từ chối truy cập.

Giảm số lượng SSID bắt buộc

Khi nhiều SSID không dây được sử dụng để chia các thiết bị thành các Vlan hoặc phòng ban khác nhau, điều này có thể có tác động bất lợi đến hiệu suất của mạng không dây.

Nhiều SSID hơn có nghĩa là nhiều beacon hơn, điều này đồng nghĩa với việc ít thời gian phát sóng hơn cho các thiết bị để truyền qua phương tiện không dây.

Bằng cách sử dụng Cisco ISE, một SSID duy nhất có thể được sử dụng để kết nối tất cả các thiết bị với mạng và tách các thiết bị này thành các VLAN khác nhau, dựa trên loại thiết bị hoặc loại người dùng.

Các chính sách được định cấu hình trong ISE xác định thiết bị hoặc người dùng Vlans nào được đưa vào và các Vlans này có thể được thay đổi động trên Bộ điều khiển Lan không dây (WLC) hoặc trên giao diện chuyển mạch theo yêu cầu.

Ví dụ: Máy in HP có thể được ISE nhận dạng động là một máy in và sau đó được đặt vào Vlan chính xác mà tất cả các máy in HP khác được gán cho bằng cách đối sánh Chính sách đã được tạo để khớp với Máy in HP.

Điện thoại Android có thể được đặt vào một Vlan khác với điện thoại Apple bằng cách tạo một chính sách cho biết nếu thiết bị được xác định là Apple Iphone, sau đó gán giá trị này cho Vlan 20, Nếu thiết bị được xác định là Android thì gán giá trị này cho Vlan 30 .

Cập nhật động danh sách truy cập (Dynamically update Access Lists)

DACL (Dynamically update Access Lists) hoặc Danh sách kiểm soát truy cập động được đẩy ra Switch và tự động áp dụng cho các giao diện chính xác dựa trên cấu hình chính sách và ủy quyền nào phù hợp với một thiết bị cụ thể.

Danh sách truy cập có thể được quản lý ở một vị trí trung tâm thay vì trên Switch riêng lẻ.

Dễ dàng loại bỏ các thiết bị trái phép

Nếu một thiết bị được xác định là bất thường hoặc bị báo cáo là bị đánh cắp, bạn có thể thu hồi quyền truy cập vào mạng chỉ bằng một cú nhấp chuột.

Người dùng có thể tự quản lý và báo cáo thiết bị của họ bị đánh cắp thông qua cổng mydevices tự động đưa thiết bị vào danh sách đen và thu hồi quyền truy cập mạng cho thiết bị đó.

Tùy chỉnh Cổng thông tin

Cổng khách có thể được tùy chỉnh với thương hiệu hoặc biểu trưng của công ty thông qua việc sử dụng các trang web của bên thứ 3 hoặc bằng cách áp dụng thủ công mã hóa Jquery và đánh dấu CSS cho trang tùy chỉnh cổng.

Mô hình TrustSec

Điều này từng được gọi là Truy cập Nhóm Bảo mật(Security Group Access) và là một mô hình bảo mật xác định nội dung thông qua ứng dụng Thẻ Nhóm Bảo mật (SGT-Security Group Tags).

Các thẻ này được áp dụng tại thiết bị khi nó tham gia mạng và được sử dụng để xác định lưu lượng thiết bị này thuộc về nhóm nào trên tất cả các điểm trong mạng.

SGT có thể được sử dụng để tách các thiết bị thành các bộ phận như bán hàng hoặc tài chính và sau đó các quy tắc có thể được áp dụng cho các thẻ này trong ISE để thực thi bảo mật.

 

Những mô hình triển khai ISE (Deployment Models)

Kiến trúc ISE của Cisco bao gồm các trách nhiệm hoặc tính cách khác nhau được chỉ định cho các hệ thống khác nhau.

Tổng cộng có 4 cá thể và các hệ thống này có thể được triển khai theo nhiều cách khác nhau.

• Một node ISE duy nhất (Server) có thể chạy cả 4 cá thể nhưng trong các triển khai lớn, các cá thể này thường được phân phối bởi các máy chủ ISE khác nhau chạy một cá thể trên mỗi máy.
• Hai node ISE cung cấp khả năng dự phòng. Trong kiến trúc này có một nút ISE đang hoạt động và một nút ISE dự phòng. Tất cả các giao dịch được sao chép giữa hai nút để ghi chú ISE thứ cấp có thể được thăng cấp thành Active và tiếp quản nếu xảy ra lỗi. Cần lưu ý rằng quá trình chuyển đổi từ Chế độ chờ sang Hoạt động này không phải là một quá trình tự động trong triển khai hai nút và cấu hình thủ công được yêu cầu để không thành công từ nút ISE thứ cấp sang Chính.
• Đối với các tổ chức lớn, triển khai phân tán thường được sử dụng. Trong kiểu triển khai này, mỗi cá nhân được chạy trên nút ISE riêng của nó. Chuyển đổi dự phòng và dự phòng là tự động khi triển khai ISE phân tán.

Bốn cá thể khác nhau như sau:

• Quản trị(Administration) - Đây là máy chủ nơi quản trị viên có thể định cấu hình ISE và thực hiện các thay đổi quản trị đối với chính sách bảo mật.

• Giám sát (MnT- Monitoring) - Nút này hoạt động như một máy chủ tập trung cho các dịch vụ giám sát và dịch vụ ghi nhật ký để tạo báo cáo. Việc khắc phục sự cố triển khai ISE hoặc các thiết bị được kết nối cũng được thực hiện từ Máy chủ ISE này.

• Nút dịch vụ chính sách (PSN-Policy Service Node) - Máy chủ này là mã công việc chính của việc triển khai ISE và chịu trách nhiệm thực thi các chính sách và xử lý tất cả các yêu cầu xác thực RADIUS. Có thể có nhiều máy chủ được phân phối trong một mạng chạy tính năng PSN. PSN cũng chịu trách nhiệm lưu trữ tất cả các cổng web khác nhau.

• pxGrid Node (PXG) - Có thể được sử dụng để trao đổi dữ liệu cấu hình và chính sách giữa các nút như chia sẻ thẻ và đối tượng chính sách giữa Cisco ISE và các nhà cung cấp bên thứ ba.

Việc triển khai ISE đầy đủ được tạo thành từ các cá tính khác nhau được gọi là ‘ICE CUBE’.

 

Cấp phép ISE (ISE Licensing)

Cisco ISE có thể sử dụng các phương pháp cấp phép Truyền thống trong đó mỗi giấy phép được áp dụng cho nút ISE theo cách thủ công bằng cách sử dụng mã PAK hoặc ISE có thể sử dụng cấp phép thông minh và giao tiếp trực tiếp với máy chủ cấp phép tại Cisco để truy xuất các giấy phép của nó.

Việc sử dụng giấy phép cho mỗi điểm cuối được đăng ký với ISE. Có các mức giấy phép khác nhau và việc sử dụng các giấy phép khác nhau phụ thuộc vào các tính năng của ISE mà các thiết bị đầu cuối đang tương tác.

Các tùy chọn giấy phép hợp lệ bao gồm:

• ISE Base Only - Mọi thiết bị được kết nối đều sử dụng giấy phép cơ sở và điều này bao gồm Quyền truy cập mạng cơ bản, AAA, Quản lý khách, MACsec và TrustSec.
• ISE Base và Plus - Cần thiết cho BYOD, tích hợp MSE cho các dịch vụ định vị, dịch vụ hồ sơ và nguồn cấp dữ liệu, Cisco PXGrid.
• ISE Base và Apex - Tích hợp MDM của bên thứ ba, Tuân thủ qui thế
• ISE Base và Device Administration - Bắt buộc đối với TACACS +
• ISE Base, Plus, Apex, and Device Administration - Giấy phép đầy đủ bao gồm mọi tính năng có sẵn.