Cisco Cisco Identity Services Engine 1.2 产品宣传页

页码 34
 
 
 
 
 
思科身份服务引擎低影响模式 
安全访问操作指南系列
 
日期:
2012  8  
作者:
Adrianne Wang 

产品宣传页 Cisco Cisco Identity Services Engine 1.2 规格摘要

  • 页码 1思科身份服务引擎低影响模式 安全访问操作指南系列 日期:2012 年 8 月 作者:Adrianne Wang
  • 页码 2安全访问操作指南 目录 低影响模式 .................................................................................................................................................................. 3 低影响模式概述 .................................................................................................................................... 3 在部署之前了解流程 ............................................................................................................................ 4 有线访问 ........................................................................................................................................... 4 低影响模式的部署 ................................................................................................................................ 5 为其他网络设备(思科无线接入点)创建授权规则 ............................................................. 5...
  • 页码 3: 低影响模式概述安全访问操作指南 低影响模式 低影响模式概述 与监控模式相比,低影响模式通过在启用 TrustSec 的开放访问端口上配置入口端口 ACL,可逐步提 高网络的安全级别。利用此模式,可为访客、承包商和未经身份验证的主机提供基本连接,同时选 择性地限制访问权限,从而引入更高的安全级别。此模式通过将可下载访问控制列表 (dACL) 与启用 TrustSec 的端口结合(使用 802.1X、MAC 身份验证绕行 [MAB] 和/或 Web 身份验证),实现基于成 功身份验证和授权的访问权限区分。...
  • 页码 4: 有线访问安全访问操作指南 图 2. 低影响模式流程图 在部署之前了解流程 与《TrustSec 监控模式操作指南》类似,本指南涵盖园区和远程办公室的有线接入。我们在解决方 案测试中使用了集成多业务路由器 (ISR) 中适用于远程办公室的 Cisco EtherSwitch® 服务模块。在添 加了身份验证的情况下,我们还可以将无线接入引入到网络;本指南也提供了有关无线部署的分步 说明。 图 3. 身份验证访问的典型场景 有线访问 在此阶段,所有有线设备都应通过...
  • 页码 5: 为其他网络设备(思科无线接入点)创建授权规则安全访问操作指南 当用户或设备成功通过身份验证后,他们通过一个允许所有流量的可下载 ACL (dACL) 获得完整的 网络访问权限。这是此阶段 TrustSec 部署的一个重要过程。对于通过身份验证的特定设备,dACL 优先于默认端口 ACL(根据会话进行处理)。若没有 dACL,设备会继续受控于为该端口分配的 ACL-DEFAULT。 设备连接 ACL-DEFAULT 限制流量 802.1X 或 MAB 身份验证成功 dACL...
  • 页码 6安全访问操作指南 图 5. 创建分析器策略 步骤 5 点击 Save。 创建新的授权配置文件 注:授权配置文件将与预构建的“允许访问”配置文件完全相同。构建新的授权配置文件是为了获得一个唯 一的授权配置文件,可在部署低影响模式期间进行更改。 步骤 1 导航至 Policy  Policy Elements  Results...
  • 页码 7安全访问操作指南 步骤 3 配置新的授权配置文件。 Name = Access-Points Description = Authorization Profile for Access-Points Access-Type = ACCESS_ACCEPT -- Common Tasks ...
  • 页码 8安全访问操作指南 步骤 4 点击“身份组”列下面的“+”符号。 图 8. 添加已分析的思科 AP 策略 步骤 5 选择 Endpoint Identity Groups > Profiled > Cisco-Access-Point。 图...
  • 页码 9: 为 Windows 计算机身份验证创建授权规则安全访问操作指南 步骤 6 点击“权限”列中的“+”符号。 图 2 选择策略的权限 图 10. 选择策略的权限 步骤 7 选择 Standard > Access-Points。 图 11. 选择策略的接入点 步骤...
  • 页码 10: 为域计算机创建授权配置文件安全访问操作指南 有多种方法可用于完成计算机身份验证;例如使用证书和可扩展身份验证协议传输层安全 (EAP-T LS)。但是,当使用不基于 EAP 的方法时,比如受保护的可扩展身份验证协议 (PEAP) 及 Microsoft 质询握手身份验证协议版本 2 (PEAP-MSCHAPv2),Windows Supplicants 请求方能够将计算机名称作 为凭证发送。可对思科 ISE 进行配置,以确认该计算机是否存在于 Active Directory 中,如果存在,...
  • 页码 11安全访问操作指南 程序 1 创建域计算机授权规则 步骤 1 导航至 Policy  Authorization。 步骤 2 点击白名单规则旁边的 Action 按钮,然后选择 Insert New Rule Below。 图...
  • 页码 12安全访问操作指南 步骤 7 使用 Expression 下拉菜单选择属性 AD1。 图 14. 选择计算机授权的属性 步骤 8 选择 AD1  ExternalGroups。 图 4 选择计算机授权的 AD...
  • 页码 13: 为通过身份验证的用户创建授权规则安全访问操作指南 为通过身份验证的用户创建授权规则 监控模式和低影响模式的一个重要区别就是,在低影响模式下,要想获得网络的访问权限,用户或设备必须 成功通过该网络的身份验证。因此,我们需要为每个用户或设备类型制定具体的授权规则。若要完成此工作, 我们将创建一个新的授权规则,为域用户 Active Directory 组的所有成员提供完全访问权限。 注:当需要创建特定访问策略时,强烈建议为 AD 中的每个安全组创建一个授权规则,并停止使用此域用户规则。 创建域用户授权配置文件 步骤 1 导航至 Policy  Policy Elements ...
  • 页码 14: 无线接入安全访问操作指南 步骤 7 将权限设为 Domain_Users。 图 19. 设置域用户策略的权限 步骤 8 点击 Save。 无线接入 无线网络已经从一种非必需连接媒介变成大多数人使用的主要媒介。无线技术方面的科技进步和笔记本电脑、 移动电话和平板电脑等支持 Wi-Fi 的设备的激增使无线安全成为 IT 管理员面临的最大挑战之一。IT 管理员需...
  • 页码 15: 无线接入详细说明安全访问操作指南 无线接入详细说明 思科 ISE 能够同时实施有线和无线访问策略,IT 管理员能够跨两种访问媒介轻松向用户提供类似的网络访问 体验。通过思科 ISE,我们可以在配置了 IEEE 802.1X 身份验证的无线网络上进行用户身份验证、设备分析和 状况评估。无线用户的身份验证和授权流程如下图所示。 图 20. 无线 802.1X 身份验证流程 1. 客户端使用 dot1x...
  • 页码 16: 网络身份验证安全访问操作指南 分支机构中的无线网络 在一个典型的无线部署中,所有来自接入点的流量都将传送回网络上将其引入的 WLC 中。我们将此隧道称为 无线网络的分离 MAC 架构。因为所有流量都是在 WLC 进行中心交换,由思科 ISE 将策略向下推送至 WLC。 虽然分离 MAC 架构在园区 WLAN 部署中工作效果不错,但是,我们并不建议将其用于远程站点部署。在远 程站点安装的接入点通常将与位于数据中心中的 WLAN...
  • 页码 17: 思科 ISE 配置 – 配置 Web 身份验证安全访问操作指南 思科 ISE 配置 – 配置 Web 身份验证 创建 WEBAUTH 授权配置文件 步骤 1 导航至 Policy  Policy Elements  Results...
  • 页码 18: 思科 ISE 配置 – 配置访客授权安全访问操作指南 步骤 7 滚动至页面底部,确认“属性详细信息”与图 26 中显示的一样。 图 23. WebAuth 授权配置文件属性详细信息 步骤 8 点击 Submit。 访客访问 我们刚刚配置的 Web 身份验证可能适用于员工和访客。虽然生命周期被称为访客生命周期管理,但是,也可 以指需要访问网络的任意用户。思科 ISE...
  • 页码 19安全访问操作指南 步骤 3 配置新的 dACL。 Name = GUEST Description = dACL for GUEST users (Authentication Mode) DACL Content = permit...
  • 页码 20: 思科 ISE 配置 – 访客帐户创建安全访问操作指南 步骤 4 滚动至页面底部。请确保属性详细信息如图 29 所示,然后点击 Submit。 图 6 访客授权配置文件属性详细信息 图 26. 访客授权配置文件属性详细信息 注:使用 VLAN 分配时,交换机端口主机模式极为重要。当使用多重身份验证或多主机模式时,我们不建议 使用 VLAN 分配。只能给数据域分配一个 VLAN,另一个...
  • 页码 21: 将默认授权更改为 WebAuth 和测试安全访问操作指南 步骤 4 至少配置图 31 所示的必填字段。 步骤 5 点击 Submit。 图 28. 创建访客帐户 将默认授权更改为 WebAuth 和测试 将默认授权规则更改为 WebAuth 警告:在完成此步骤之前,请确保您已经为低影响模式做好准备。此过程进行后,没有制定具体授权规则的 所有设备都将变成...
  • 页码 22安全访问操作指南 测试网络身份验证 步骤 1 既然我们已将“终极授权”设为网络身份验证,我们现在来确认一下,看看网络身份验证功能是否 运作正常。 步骤 2 通过一台没有配置请求方的 Windows 或 Mac 设备连接至网络。 步骤 3 在交换机上确认授权结果。 C3750X#show authentication session interface...
  • 页码 23安全访问操作指南 步骤 5 在客户端,打开 Web 浏览器,流量将自动重定向至思科 ISE。 图 9 Web 重定向 图 32. Web 重定向 常见问题:如果思科 ISE 不在 DNS 中,此重定向将失败。确保所有思科...
  • 页码 24: 配置思科 ISE 的无线访客访问安全访问操作指南 注:请注意输出信息有何不同之处。此过程将不再重定向 URL,用户名为已知。 图 33. Employee1 身份验证日志 图 34. Employee1 身份验证日志详细信息 配置思科 ISE 的无线访客访问 组织通常会使用一个开放的 SSID,以提供访客访问。访客用户连接到 SSID 时,他们将被重定向至 思科 ISE...
  • 页码 25安全访问操作指南 在思科 ISE 上的访客授权配置文件中添加 wACL 步骤 1 在思科 ISE 上,导航至 Policy > Policy Elements > Results。 图 35. 向访客配置文件添加 wACL...
  • 页码 26: 转至低影响模式安全访问操作指南 转至低影响模式 在此阶段:所有思科 ISE 策略均创建为允许所有通过身份验证的设备完全访问网络。已配置 Web 身份验证、 已发起访客访问且访客帐户创建已运行。但是,交换机上的默认端口 ACL 依然允许所有流量。 若要完整交付低影响模式阶段,我们必须将默认端口 ACL 更改为可以限制访问权限的 ACL。限制程度完全取 决于部署计划。我们将检查现场一些一直使用的默认 ACL,并讨论您的部署中存在哪些并发问题以及如何对 默认 ACL 进行相应的调整。 以下是两个建议的默认...
  • 页码 27: 检查其他用户信息安全访问操作指南 注:如果登录速度仍然很慢,则可能是其他应用的原因。如今的企业环境常常是在其中安装了许多企业应用。 有些应用很“繁琐”,会不断地试图与其管理服务器进行通信。下面我们将给出几个建议的方法,用来确定 导致登录速度慢的应用: 方法 1:使用一个网络包监听应用程序,确定在登录前的所有流量尝试。 方法 2:在思科 ASA 自适应安全设备上实施一个类似的访问列表,记录所有尝试和所有丢弃。保留默认端口 ACL 为 ACL-ALLOW(允许任何 IP)。 更改默认端口 ACL 将 ACL-ALLOW 替换为 ACL-DEFAULT...
  • 页码 28安全访问操作指南 步骤 3 点击 Add > Select Groups From Directory。 图 38. 选择 Groups from Active Directory 步骤 4 点击...
  • 页码 29: 思科 ISE 配置 – 特定访问的连续配置安全访问操作指南 思科 ISE 配置 – 特定访问的连续配置 为每个主要角色创建其他 dACL 为每个需要不同授权的角色重复此程序。在本文中,我们将讲解如何创建 HR dACL,并显示包括所 有已定义 dACL 的最终屏幕。 最佳实践:精简所有 dACL 的尺寸。交换机上的 dACL 支持与三态内容可寻址存储器 (TCAM)...
  • 页码 30: 调整域计算机授权安全访问操作指南 步骤 3 使用以下信息完成授权配置文件: Name = HR-Profile Description = Authorization Profile for HR role. Access-Type = ACCESS_ACCEPT -- Common Tasks...
  • 页码 31安全访问操作指南 步骤 3 如下所述,完成新的 dACL。 Name = AD-Machine-ACL Description = dACL used to permit Windows to communicate to AD for...
  • 页码 32安全访问操作指南 禁用域用户规则 步骤 1 导航至 Policy  Authorization。 步骤 2 点击 Status 下的绿色箭头,找到 Domain Users Rule。 步骤 3 更改为 Disabled。...
  • 页码 33安全访问操作指南 考虑转到多域身份验证 (MDA) 模式 多重身份验证模式可允许每个交换机端口使用虚拟的、不限数量的 MAC 地址,并要求每个 MAC 地址进行通 过身份验证的会话。多重身份验证有助于防止用户在办公隔间使用未经授权的集线器或由于其他异常情况而 导致偶发拒绝服务。 对于需要特定访问类型的设计场景,建议使用多域身份验证 (MDA) 模式,因为它是最安全的并且从安全的角 度看提供的价值最大。对于每个端口,MDA 模式在数据域中支持一个 MAC 地址,在语音域中支持一个 MAC 地址。...
  • 页码 34: 设备配置指南:安全访问操作指南 附录 A:参考 Cisco TrustSec 系统: • http://www.cisco.com/go/trustsec • http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_Trus tSec.html 设备配置指南: • 思科身份服务引擎用户指南: http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html 有关思科 IOS 软件、思科 IOS XE...
downloadlike
ArtboardArtboardArtboard