Tweet
Creating a Policy for Differentiated Access
Để hiểu rõ hơn về chính sách ủy quyền, cũng như để thực hành làm việc với các chính sách và yếu tố chính sách của ISE, chúng tôi sẽ tạo một chính sách cung cấp mức độ truy cập khác nhau cho các loại người dùng khác nhau.
Mục tiêu là tạo ra một quy tắc ủy quyền cho phép truy cập cho các thành viên của nhóm PCI trong Active Directory và một quy tắc khác cho các nhân viên còn lại. Các quy tắc nên được đại diện của Bảng 2-5.
Trước khi tạo quy tắc ủy quyền, chúng tôi bắt đầu bằng cách tạo kết quả ủy quyền và sau đó là các điều kiện.
Creating the Authorization Results
Kết quả ủy quyền sẽ được tạo thành từ một hồ sơ ủy quyền tiêu chuẩn có chứa dACL và vì chúng tôi dự định gán thẻ TrustSec, kết quả cũng sẽ chứa Thẻ nhóm có thể mở rộng (SGT), còn được gọi là Thẻ nhóm bảo mật.
Để bắt đầu quá trình này, trước tiên chúng ta nên tạo dACL. Các dACL được đặt trong Work Centers > Network Access > Policy Elements > Results > Downloadable ACLs, có thể tải xuống và có hai dACL tồn tại theo mặc định, như trong Hình 2-54.
Chúng tôi sẽ tạo một dACL cho phép tất cả lưu lượng truy cập, với tư cách là người giữ chỗ. Bạn luôn có thể quay lại sau và làm cho dACL cụ thể hơn cho môi trường cụ thể.
Click Add to create a new dACL and name the dACL PCI-dACL. Enter a description, such as the one you see in Figure 2-55, type permit ip any any in the DACL Content text box, and click Check DACL Syntax. Click Submit to save the dACL.
Bây giờ các dACL đã được tạo, chúng tôi sẽ tạo hai hồ sơ ủy quyền của chúng tôi. Hướng đến Work Centers > Network Access > Policy Elements > Results > Authorization Profiles. ại đây, bạn sẽ nhận thấy các cấu hình mặc định được sử dụng với các chính sách ủy quyền dựng sẵn, như trong Hình 2-57.
Chúng tôi sẽ tạo hồ sơ ủy quyền cho người dùng PCI cho phép truy cập mạng và gán Vlan 22 phiên mạng.
Click Add to create a new authorization profile, name it PCI Users, and provide a description. Ensure that ACCESS_ACCEPT is set for the Access Type and the Network Device Profile is set to Cisco, as shown in Figure 2-58.
trong Nhiệm vụ chung, hãy kiểm tra DACL Name chọn hộp và chọn PCI-dACL
từ danh sách thả xuống tương ứng. Chọn VLAN đánh dấu vào ô và gõ 22 trong ID/Name text box.
Cuộn thêm xuống phần Nhiệm vụ chung, kiểm tra MACSec Policy check box, and select must-secure from the drop-down list, as shown in Figure 2-59. This forces the switch port to use 802.1AE (MACSec) encryption with the endpoint.
Có một số hộp kiểm và cài đặt khác có thể được sử dụng trong hồ sơ ủy quyền và chúng tôi sẽ xem xét một vài trong số các hộp quan trọng ngay bây giờ:
Click Submit to save the PCI Users authorization profile.
Add a second authorization profile named Employee that assigns the Employees-dACL, assigns the user to VLAN 44, and sets the MACSec Policy to should-secure, as shown in Figure 2-61.
Chính sách ủy quyền không phải là kết quả duy nhất mà chúng tôi sẽ tận dụng; chúng ta cũng cần gán thẻ TrustSec cho các phiên xác thực này. Một số thẻ nhóm bảo mật được cấu hình sẵn với ISE, có thể được xem trong Work Centers > TrustSec > Components > Security Groups, như trong Hình 2-62. Chúng tôi sẽ sử dụng thẻ Nhân viên và PCI_Servers trong chính sách của chúng tôi.
Để hiểu rõ hơn về chính sách ủy quyền, cũng như để thực hành làm việc với các chính sách và yếu tố chính sách của ISE, chúng tôi sẽ tạo một chính sách cung cấp mức độ truy cập khác nhau cho các loại người dùng khác nhau.
Mục tiêu là tạo ra một quy tắc ủy quyền cho phép truy cập cho các thành viên của nhóm PCI trong Active Directory và một quy tắc khác cho các nhân viên còn lại. Các quy tắc nên được đại diện của Bảng 2-5.
Trước khi tạo quy tắc ủy quyền, chúng tôi bắt đầu bằng cách tạo kết quả ủy quyền và sau đó là các điều kiện.
Creating the Authorization Results
Kết quả ủy quyền sẽ được tạo thành từ một hồ sơ ủy quyền tiêu chuẩn có chứa dACL và vì chúng tôi dự định gán thẻ TrustSec, kết quả cũng sẽ chứa Thẻ nhóm có thể mở rộng (SGT), còn được gọi là Thẻ nhóm bảo mật.
Để bắt đầu quá trình này, trước tiên chúng ta nên tạo dACL. Các dACL được đặt trong Work Centers > Network Access > Policy Elements > Results > Downloadable ACLs, có thể tải xuống và có hai dACL tồn tại theo mặc định, như trong Hình 2-54.
Chúng tôi sẽ tạo một dACL cho phép tất cả lưu lượng truy cập, với tư cách là người giữ chỗ. Bạn luôn có thể quay lại sau và làm cho dACL cụ thể hơn cho môi trường cụ thể.
Click Add to create a new dACL and name the dACL PCI-dACL. Enter a description, such as the one you see in Figure 2-55, type permit ip any any in the DACL Content text box, and click Check DACL Syntax. Click Submit to save the dACL.
Bây giờ các dACL đã được tạo, chúng tôi sẽ tạo hai hồ sơ ủy quyền của chúng tôi. Hướng đến Work Centers > Network Access > Policy Elements > Results > Authorization Profiles. ại đây, bạn sẽ nhận thấy các cấu hình mặc định được sử dụng với các chính sách ủy quyền dựng sẵn, như trong Hình 2-57.
Chúng tôi sẽ tạo hồ sơ ủy quyền cho người dùng PCI cho phép truy cập mạng và gán Vlan 22 phiên mạng.
Click Add to create a new authorization profile, name it PCI Users, and provide a description. Ensure that ACCESS_ACCEPT is set for the Access Type and the Network Device Profile is set to Cisco, as shown in Figure 2-58.
trong Nhiệm vụ chung, hãy kiểm tra DACL Name chọn hộp và chọn PCI-dACL
từ danh sách thả xuống tương ứng. Chọn VLAN đánh dấu vào ô và gõ 22 trong ID/Name text box.
Cuộn thêm xuống phần Nhiệm vụ chung, kiểm tra MACSec Policy check box, and select must-secure from the drop-down list, as shown in Figure 2-59. This forces the switch port to use 802.1AE (MACSec) encryption with the endpoint.
Có một số hộp kiểm và cài đặt khác có thể được sử dụng trong hồ sơ ủy quyền và chúng tôi sẽ xem xét một vài trong số các hộp quan trọng ngay bây giờ:
- Track Movement: Chọn hộp kiểm này để hướng dẫn ISE giám sát vị trí thực của điểm cuối thông qua Công cụ dịch vụ di động không dây (MSE). Theo dõi vị trí được sử dụng với các mạng không dây để cho phép ủy quyền dựa trên vị trí thực của máy khách di động. Ví dụ: quyền truy cập vào các máy chủ chính phủ được phân loại có thể bị hạn chế và chỉ được phép cho các thiết bị nằm trong phạm vi x feet của một khu vực an toàn trong tòa nhà chính phủ.
- Passive Identity Tracking: Chọn hộp kiểm này khi bạn định cấu hình EasyConnect. Việc bật cài đặt này khiến ISE giám sát nhật ký từ Active Directory để biết mọi xác thực AD liên quan đến điểm cuối này và hợp nhất thông tin nhận dạng người dùng từ các nhật ký đó vào phiên ISE cho điểm cuối đó. Khái niệm này sẽ được đề cập nhiều hơn trong phần EasyConnect của Chương 3: Điều khiển truy cập mạng cơ bản vượt trội.
- ACL (Filter-ID): Mặc dù các thiết bị chuyển mạch của Cisco có khả năng nhận dACLS, tiêu chuẩn ngành là sử dụng một thuộc tính có tên Filter-ID. Thay vì tải xuống nội dung của ACL từ máy chủ RADIUS, hãy chọn hộp kiểm này thông báo cho công tắc để gán ACL có sẵn từ cấu hình chuyển đổi cục bộ sang phiên.
- Security Group: Trong các phiên bản trước của ISE, thẻ TrustSec được chỉ định riêng trong phần kết quả ủy quyền của chính sách ủy quyền. Các nhóm bảo mật đã được thêm vào các chính sách ủy quyền trong ISE v2.4, nhưng giao diện người dùng làm cho chúng loại trừ lẫn nhau khi sử dụng gán Vlan.
- Giấy phép tên miền: Các thiết bị chuyển mạch của Cisco được cấu hình với một Vlan đặc biệt được gọi là Vlan thoại. Khi thuộc tính cấp phép miền giọng nói được gửi như một phần của kết quả ủy quyền, bộ chuyển đổi sẽ cho phép điện thoại gắn thẻ lưu lượng đến bằng thẻ Vlan 802.1Q, cho phép cổng chuyển đổi hoạt động như một thân cây giả và cho phép điện thoại IP để nhập Vlan thoại thay vì Vlan dữ liệu mặc định. Nếu bạn quên gán quyền này cho kết quả ủy quyền cho điện thoại IP, điện thoại IP đó rất có thể sẽ không hoạt động chính xác trong mạng.
- Chuyển hướng web (CWA, MDM, NSP, CPP): Chuyển hướng web được sử dụng cho nhiều tính năng nâng cao giữa ISE và thiết bị chuyển mạch Cisco Catalyst. Việc chọn hộp kiểm này tận dụng máy chủ HTTP tích hợp trong bộ chuyển đổi để nắm bắt lưu lượng truy cập web và chuyển hướng nó đến URL được chỉ định.
- Cổng thông minh tự động: Các thiết bị chuyển mạch của Cisco đã được mạng xác định bằng phần mềm (SDN) có khả năng từ rất lâu trước khi SDN là một vật phẩm. Các macro SmartPort có thể được sử dụng để định cấu hình cổng chuyển đổi theo cách đặc biệt và ISE từ lâu đã có khả năng gọi các macro đó từ cấu hình ủy quyền tiêu chuẩn.
- Assess Vulnerabilities: Sự ràng buộc cho NAC đe dọa-trung tâm. ISE có thể được cấu hình để hoạt động với các hệ thống quét lỗ hổng Tenable, Qualys và / hoặc Rapid7 và cho phép tùy chọn này trong hồ sơ ủy quyền sẽ khiến ISE kích hoạt quét lỗ hổng xác thực điểm cuối xác thực.
- Airespace ACL Name: Được sử dụng với WLC của Cisco và gọi ACL được cấu hình cục bộ trên WLC đó.
- ASA VPN: Một tên đơn giản cho thuộc tính RADIUS 25, thuộc tính Class. Đó là một thuộc tính phổ biến được sử dụng với Cisco ASA để gán chính sách nhóm cho người dùng khi cấp phép kết nối VPN.
- AVC Profile Name: Trường văn bản để chỉ định cấu hình Điều khiển và Hiển thị Ứng dụng (AVC) để gán cho phiên trên WLC của Cisco.
- Cài đặt thuộc tính nâng cao: Cho phép quản trị viên ISE định cấu hình bất kỳ thuộc tính RADIUS nào, trong trường hợp quản trị viên cần định cấu hình thứ gì đó không được bao gồm trong khu vực Nhiệm vụ chung của hồ sơ ủy quyền.
- Attribute Details: Hiển thị các thuộc tính RADIUS thô sẽ được gửi đến NAD. Hình 2-60 cho thấy các chi tiết thuộc tính cho hồ sơ ủy quyền của Người dùng PCI.
Click Submit to save the PCI Users authorization profile.
Add a second authorization profile named Employee that assigns the Employees-dACL, assigns the user to VLAN 44, and sets the MACSec Policy to should-secure, as shown in Figure 2-61.
Chính sách ủy quyền không phải là kết quả duy nhất mà chúng tôi sẽ tận dụng; chúng ta cũng cần gán thẻ TrustSec cho các phiên xác thực này. Một số thẻ nhóm bảo mật được cấu hình sẵn với ISE, có thể được xem trong Work Centers > TrustSec > Components > Security Groups, như trong Hình 2-62. Chúng tôi sẽ sử dụng thẻ Nhân viên và PCI_Servers trong chính sách của chúng tôi.