AAA i Cisco IOS

Det är faktiskt en utmaning att hantera många nätverksenheter när säkerhetsfunktionerna konfigureras lokalt på varje nätverksenhet. Att använda den lokala databasen innebär att, om man någonsin behöver ändra lösenordet, gå tillbaka till alla nätverksenheterna och manuellt ändra uppgifterna på var och en. Denna lösning är inte lämpligt i miljöer med flera administratörer och många nätverksenheter.

En lösning för stora nätverksmiljöer är en centraliserad databas där alla användarnamn och lösenord associeras med autentiseringskontroller samt med vad de enskilda användarna får göra. I detta syfte kan användas  Cisco Access Control Server (ACS). Cisco ACS implementeras som en del av Network Access Control system.

Bild 1: Cisco ACS server

De flesta medelstora och stora företag som använder Cisco-utrustning använder ACS-servrar för att hantera användarna centralt och kontrollera vad de användare har för behörighet att göra. På en ACS-server kan skapas alla användarkonto som behövs och konfigurera routrar och switchar att använda ACS-server autentiseringskontroller.

För att förklara hur en autentiseringsprocessen fungerar anges följande exempel:

  1. En nätverksadministratör vill logga in på en router som startar en autentiseringsprocess eftersom routern är konfigurerad att använda ACS-serverns autentiseringsmekanismer.
  2. Routern uppmanar användaren till att ange sitt användarnamn och lösenord.
  3. Efter att ha fått användarnamnet och lösenordet skickar routern de uppgifterna till AAA-servern (i det här fallet ACS-servern) och väntar på ett svar.
  4. ACS-servern tar emot autentiseringsbegäran och kontrollerar autentiseringsuppgifter antingen i den lokala databasen eller med en extern databas.
    • Om ACS-servern är konfigurerad att kontakta en domänkontrollant skickar ACS-servern begäran till domänkontrollanten och väntar på svar.
    • Om ACS-servern är konfigurerad att använda den lokala databasen verifierar ACS-server användarnamnet och lösenordet och därefter skickar ett svar till routern.

ACS migreras till Cisco ISE och ISE är en del av NAC

Bild 2: Cisco NAC, Network Access Control

Cisco ISE

Dagens företagsnät förändras snabbt, särskilt när det gäller rörlighet för anställda som inte längre är bundna till stationära arbetsstationer, utan får tillgång till företagsresurser via olika enheter: tabletter, smartphones och personliga bärbara datorer, för att bara nämna några. Att få tillgång till resurser var som helst ökar produktiviteten, men det ökar också sannolikheten för databryggor och säkerhetshot, eftersom man inte kan kontrollera säkerhetsställningen för egna nätverksenheter som har tillgång till nätverket.

Här nedan en video från TechWise TV som förklarar hur Cisco ISE fungerar:

Cisco Identity Services Engine (ISE) är en identitetsbaserad nätverksåtkomst-kontroll och policyhanteringssystem. ISE tillåter en nätverksadministratör att centralt styra åtkomstregler för trådbundna och trådlösa ändpunkter baserat på information som samlats via RADIUS-meddelanden som skickats mellan enheter och ISE-noden, även känd som profilering. Profildatabasen uppdateras regelbundet för att hålla reda på de senaste och bästa enheterna så att det inte finns några luckor i enhetssynlighet.

ISE-plattformen är typiskt en distribuerad utplacering av noder som består av tre olika roller:

  • Policy Administration Node (PAN) – PAN är gränssnittet som en administratör loggar in för att konfigurera säkerhetspolicy. Det är kontrollcentralen som tillåter en administratör att göra ändringar i hela ISE-topologin, och dessa ändringar tillämpas till Policy Nodes (PSN).
  • Policy Services Node (PSN) – Fattar policy-relaterad beslut. Hit vidarebefordras alla begär som routrar och switchar hanterar i kommunikation med slutenheter. RADIUS-meddelanden är ett exempel på vad som skickas till PSN. Meddelandena behandlas och PSN godkänner eller inte åtkomst till nätverket.
  • Monitoring and Troubleshooting Node (MnT) – Samlar meddelande från alla nätverksenheter för att strukturera de i läsbart format. Det används också för att generera olika rapporter.
Bild 2: Så här fungerar Cisco ISE

Bilden ovan är från Cisco Trustsec How-To Guide: ISE-distributionstyp och riktlinjer.

  1. Kommunikationen börjar med slutenheten. Det här kan vara en bärbar dator, smartphone, surfplattform, säkerhetskamera, videokonferenssystem – allt som kräver nätverksåtkomst.
  2. Klienten måste anslutas via en nätverkshanterare – en switch, en trådlös LAN-kontroller eller en VPN-koncentrator – för att få tillgång till nätverket. Det är här där tillämpning av säkerhetspolicy äger rum.
  3. Slutpunkten begärs för autentisering via en 802.1X-förfrågan, och den här begäran skickas till Policy Services Node.
  4. Vid denna tidpunkt har PSN (Policy Service Node) redan fått en specifik konfiguration från säkerhetsadministrationen. PSN kommer att bearbeta referensuppgifterna (det kan behöva fråga en extern databas för detta, t.ex. LDAP eller Active Directory) och baserat på konfigurationsuppsättningen kommer PSN att fatta beslut om auktorisering.
  5. PSN skickar beslutet tillbaka till nätverkshanteraren så att det kan genomdriva beslutet. Många åtgärder kan vidtas vid denna tidpunkt beroende på policy, men några vanliga funktioner är dynamiska åtkomstlistor, ändring av behörighet (för att byta VLAN, till exempel) och säkerhetskonfigurationer (del av Cisco TrustSec-lösningen).
  6. Nu kan klienten få tillgång till specifika resurser baserat på vad PSN har skickat tillbaka som regel. Alternativt kan klienten omdirigeras till en gästsida eller helt nekas åtkomst till nätverket.
  7. Alla dessa meddelanden som skickas fram och tillbaka registreras i en databas som administratören kan använda i ett organiserat format.

I huvudsak bifogar ISE en identitet till en enhet baserad på användare, funktion eller andra attribut för att tillhandahålla policyhantering och säkerhetsöverensstämmelse innan enheten tilldelas behörighet att komma åt nätverket. Baserat på resultaten från en rad olika variabler kan en slutenhet tillåtas på nätverket med en specifik uppsättning åtkomstregler som tillämpas på gränssnittet den är ansluten till, annars kan den helt nekas eller ges åtkomst till gästerna baserat på dina specifika företagsriktlinjer.