identity service engine(ise)
第一部分
ise产品介绍
ise不支持tacacs+
我们的网络安全策略需要发送改变
我们的业务需要针对各种工具提供保护
我们必须合规并且能够证明我们是合规的
我需要利用一些消费电子设备,来减少固定的桌面计算机开销
我需要对全球型企业提高it技术支持
ise为用户和设备定制策略
认证用户访问:
如何对网络访问进行权限限制
如何管理由于个人终端、只能终端而引入的风险
用户在办公地点、家里还是路上的不同权限
设备本身是否安全
访客访问:
如何限定访客只能访问互联网
如何管理访客访问
访客的访问时有线还是无线
如何监控访客的行为
无人值守终端:
如何发现无人值守终端
如何判断这些终端类型
如何控制这些终端的访问
他们被冒认
基于场景感知的策略
不同的应用场景
用户组识别
其他的使用条件
用户授权结果
ise提供全面的灵活的接入控制部署
多种服务包
可见性
灵活部署
访客
管理安全分组访问
系统监控与排错
ise授权
无线升级许可
对有线和vpn终端的策略扩展
无线无可
对无线终端的策略
5 yr term licensing
基于许可
对有线、无线和vpn终端的安全策略
永久许可
认证、授权
访客访问
链路加密策略
高级许可
对有线、无线和vpn终端的安全策略
3/5年许可
设备识别
主机安全检查
安全分组访问
硬件平台
小型3315/1121 | 中型 3355 | 大型3395 | 虚拟平台
在线准入控制虚拟机不支持,无线准入做不了,vpn准入做不了,主机的状态检查坐不了.
ise五大服务
1.身份认证与授权
2.终端安全检查
3.访客服务
4.设备探测
5.传输安全macsec与安全控制sga
服务一:认证与授权服务
1.802.1x
2.mac-authentication bypass(mab)
3.web/guest
服务二:安全评估服务
简单情景
1.文件检测
2.注册表检测
3.服务检测
4.应用检测
组合情景
1.正则表达式的组合
2.av组合
3.as组合
修复措施
1.链路修复
2.自动运行程序
3.文件下载
4.av/as特征更新
5.windows更新设置
6.wsus(微软升级补丁服务器)
ise集成自动升级的规则集
automated cisco rulesets
简化管理操作,支持超过350+厂家的应用软件
提供近30,000条预定义检查
服务三:访客服务
cisco实现访客生命周期管理,为业务伙伴、访客提供安全的internet访问
服务四:设备识别服务
profiler检查和分类设备类型
profiler设备识别需要高级许可
ise profiler概述
ise profiler是ise平台中负责终端类型识别与分类的一个功能组件
它通过一系列探测机制(sensor)来收集终端设备的属性特征,将这些属性与预先定义的终端类型文件比对,从而确认接入终端的类型:
ise profiler分为两个主要组件:
1.负责收集终端信息的各种探头
2.负责分类终端类型的策略引擎
a)对终端的分类结果将被用作认证授权策略的因子,从而影响该终端对网络资源的访问权限;
b)ise profiler功能需要advanced license,在无线环境下,只需要wireless license即可;
ipse profiling服务
对于移动设备侦测识别,推荐采用http,radius,dhcp及dns探测等多种方式的组合.
探测方式 提供的信息
radius mac地址(oui)
snmp mac 地址(oui)设备类型
dhcp and dns 缺省主机机(也可能包含有设备类型)
http user-agent 详细的特定设备类型
ise的设备识别库
定义不同的设备策略
用户使用相同的ssid,eap认证后,可以关联到不同的vlan接口.
员工用公司的电脑,ad认证后,可以分配到vlan30=full network access
员工用个人的ipad/ipone,ad认证后,ad认证后,可以分配到vlan40=internet only
macsec介绍
基于安全分组的macsec安全保障
重要敏感流量,机密传输
数据不会被窃听、破坏和篡改
基于ieee802.1ae的hop to hop的加密
数据包在出口加密
数据包在入口解密
数据包在设备中明文传输
协议分析设备依然可以在交换机上使用
网络设备的准入
可信网络-网络设备准入(network device adminssion control)
双向设备准入认证(eap-past)
基于安全组的访问控制示例
sgacl允许独立于拓扑的访问控制:
1.当用户企图访问受限访问资源,其流量将在可信网络出口被处被阻止.
2.甚至当两个用户位于同一个vlan时,他们之间也不能相互访问,访问权限也可能不一样.
服务五:sga与macsec服务
创建sgt策略