Tổng quan về Identify Services Engine và Hướng dẫn cài đặt ISE của Cisco

Discussion in 'Firewall Cisco' started by vuthang, Sep 24, 2021.

Tags:
  1. vuthang

    vuthang Member

    I/. GIỚI THIỆU ISE:
    - Công cụ dịch vụ nhận dạng của Identify Services Engine của Cisco (ISE) cung cấp cách tiếp cận dựa trên mạng để truy cập có thể điều chỉnh, đáng tin cậy ở mọi nơi, dựa trên ngữ cảnh. Nó cung cấp cho bạn sự bảo vệ thông minh, tích hợp thông qua các giải pháp tuân thủ và chính sách dựa trên ý định. Và tất cả được phân phối với quản lý tập trung, hợp lý cho phép bạn mở rộng quy mô một cách an toàn trong thị trường ngày nay.

    II/. LỢI ÍCH ISE:
    - Cung cấp cho khách hàng nội bộ của bạn quyền truy cập mà họ muốn và cần đảm bảo truy cập phổ biến. Tự động hóa thiết bị trên máy bay. Giảm căng thẳng giữa CNTT và người dùng.
    - Hiển thị điểm cuối hoàn chỉnh: Nhận danh tính và hồ sơ theo ngữ cảnh đầy đủ của tất cả người dùng, thiết bị và ứng dụng trên mạng CNTT và OT của bạn.
    - Tối đa hóa bảo mật của bạn và chứa các vi phạm: Bảo vệ mạng của bạn. Giảm bề mặt tấn công. Hài hòa, bảo vệ mối đe dọa tự động.
    - Hợp lý hóa quản lý mạng của bạn: Tự động thay đổi phức tạp bằng trực giác. Tiêu chuẩn tuân thủ nhúng. Tích hợp các giải pháp khác nhau.

    III/. TÍNH NĂNG ISE:
    - BYOD: Bạn có thể hưởng lợi từ BYOD mà không phải đau đầu về bảo mật
    - Ngăn chặn mối đe dọa: Bạn có thể ngăn chặn các mối đe dọa mới bằng các phản hồi tự động, ngay lập tức.
    - Tích hợp hệ sinh thái an ninh: Bạn có thể đưa kiến thức về công nghệ bảo mật của mình hoạt động.
    - Tuân thủ thiết bị: Bạn có thể tìm và sửa các thiết bị đó bỏ qua chính sách bảo mật của mình.
    - Phân khúc: Bạn có thể ngăn chặn các mối đe dọa với phân vùng mạng thích ứng, năng động.
    - Truy cập có dây an toàn: Bạn có thể bảo mật các mạng có dây của mình một cách nhất quán với các kết nối không dây và VPN.
    - Quản trị thiết bị: Bạn có thể kiểm soát các đặc quyền quản trị mạng mạnh mẽ của mình.
    - Khách và truy cập không dây an toàn: Bạn có thể cung cấp truy cập không dây đơn giản và an toàn.
    - Tầm nhìn tài sản: Bạn có thể biết mọi thứ và mọi người trên mạng của bạn.

    IV/. GIẢI PHÁP ISE:
    - Hiển thị và phân đoạn mạng (NVS): NVS kết hợp Stealthwatch , Cisco ISE và TrustSec để trang bị cho bạn khả năng hiển thị toàn diện, truy cập mạng có độ an toàn cao và phân đoạn được xác định bằng phần mềm.
    - Kiểm soát truy cập mạng y tế: Xác định các thiết bị y tế vào mạng của bạn. Sử dụng phân đoạn mạng để bảo vệ các thiết bị y tế và hồ sơ khỏi các mối đe dọa.
    - Cisco Zero Trust: Một cách tiếp cận không tin cậy toàn diện để truy cập an toàn cho lực lượng lao động, khối lượng công việc và nơi làm việc của bạn.
    - Ngăn chặn mối đe dọa nhanh chóng: Tận dụng ISE, hệ sinh thái bảo mật của Cisco và các đối tác bảo mật để đáp ứng và giảm thiểu các cuộc tấn công vào mạng của bạn một cách nhanh chóng.
    - Bảo vệ mối đe dọa IoT: Tận dụng Giám đốc Mạng Công nghiệp để hiển thị các thiết bị công nghiệp của bạn và sử dụng IoT Threat Defense để bảo vệ mạng Ethernet công nghiệp của bạn.
    - Giải pháp tuân thủ của Cisco: Đơn giản hóa quá trình tuân thủ. Nhận các thiết kế, dịch vụ và quan hệ đối tác công nghệ được xác thực để hỗ trợ giải pháp hoàn chỉnh được tùy chỉnh cho doanh nghiệp, ngành và thị trường của bạn.

    V/. HƯỚNG DẪN CÀI ĐẶT ISE:

    5.1. Cài đặt ISE vào VMware.
    - Trước tiên các bạn phải chuẩn bị File cài đặt ISE OVA được tải ở trang chủ của Cisco.
    Bước 1 – Tải OVA file.
    Truy cập vào đường link sau cisco.com để tải file ISE OVA. Ở đây bạn sẽ thấy các bản khác nhau dành cho các mô hình triển khai từ Nhỏ (~20000 sessions) tới lớn (~500000 sessions):
    [​IMG]

    Bước 2 – Triển khai OVF.
    - Đăng nhập vào VMware vSphere > Select host > Deploy OVF Template.
    - Chọn OVA file bạn đã tải về máy bằng cách click Browse trong Local file và click Next. Làm theo các bước cài đặt để hoàn tất bước triển khai OVA bằng cách chọn VMware host/resource pool, network port group, và lưu trữ (nên chọn thick provision).
    [​IMG]
    Bước 3 – Power-On máy ảo ISE.
    - Sau khi click Power-on ISE VM vừa cài vào, chúng ta sẽ có vài bước cấu hình khởi tạo để hoàn tất cài đặt qua giao diện console. Hãy tiếp tục và lặp lại các bước 1 – 3 để cài đặt tất cả các node ISE của bạn đang được triển khai trước khi vào bước cài đặt mới bên dưới.

    5.2. Tình thiết lập cài đặt cho ISE.
    - Sau khi máy ảo được triển khai, chúng ta có một số cấu hình ban đầu để thực hiện trong trình thiết lập cài đặt. Bước cài đặt được thực hiện trong VMware console.
    - Thông tin Domain ISE:
    • Username: administrator
    • Password: ISE@local
    • IP: 192.168.1.10
    • Domain: ISE.LOCAL
    - Kiểm tra thông tin như sau: trên PC vào cmd –> gõ nslookup như hình.
    [​IMG]

    Bây giờ cài đặt ISE. Khởi động ISE đã tải phía trên về, khởi động lên như hình, nhập setup
    Bước 1 – Chạy lệnh “Setup” bằng CLI.
    - Trong lần đầy chạy các node ISE sau khi cài đặt, các thông báo để bạn ‘setup’ như sau:
    [​IMG]

    Enter hostname []: ISE - Phần này nhập hostname cho ISE
    [​IMG]

    Enter IP address[] : 192.168.1.100. – khi cài đặt xong vào trình duyệt gõ IP này sẽ vào được giao diện GUI của ISE.
    [​IMG]

    Enter IP netmark[] : 255.255.255.0 - Nhập subnetmask
    Enter IP default gateway[]: 192.168.1.1 - Trỏ về ip mặc định của router.
    [​IMG]
    Enter default DNS domain []: ISE.LOCAL - Domain này là trên Domain ISE. Hãy nhớ bật Domain lên khi cài ISE.
    Enter primary nameserver[]: 192.168.1.10 - Địa chỉ IP của Domain ISE
    [​IMG]
    Add secondary nameserver” Y/N: chọn N
    [​IMG]

    Ener NTP server[time.nist.gov]: 203.95.213.129 - NTP server của Vietnam có 4 IP, bạn có thể tùy chọn nhập.
    • server 0.asia.pool.ntp.org 119.28.206.193
    • server 1.asia.pool.ntp.org 203.158.118.7
    • server 2.asia.pool.ntp.org 124.108.20.1
    • server 3.asia.pool.ntp.org 46.19.96.19
    [​IMG]

    Add system timezone[UTC]: Asia/Ho_Chi_Minh - Chọn múi giờ là Asia/Ho_Chi_Minh.
    [​IMG]
    Enable SSH service? Y/N [N]: chọn N.
    [​IMG]

    Enter username[admin]: admin - Nhập tài khoản quản lý local để đăng nhập vào ISE
    [​IMG]
    Enter password: nhập password cho tài khoản admin trên.
    [​IMG]
    - Bây giờ sau khi đã cài đặt xong máy ảo ISE sẽ khởi động lại và sẽ mất một lúc để khởi động xong hết. Khi khởi động xong sẽ hãy đăng nhập vào bằng địa chỉ của ISE và sử dụng user/password đã tạo ở trên để vào nhé.

    5.2. Bước khởi động xong – Đăng nhập vào trang quản lý GUI của ISE.
    [​IMG]

    - Log vào bằng địa chỉ IP như đã cài đặt trước đó: https://192.168.1.100, nhập thông tin như đã cấu hình trước đó.
    • Username: admin
    • Password: ISE@local123
    - Cuối cùng là giao diện ISE sẽ như hình sau.
    [​IMG]

    - Một số lệnh CLI cơ bản của ISE
    [​IMG]

    - Gõ lệnh show trong command line thì có rất nhiều lệnh để tìm hiểu, nhưng ở đây mình hướng dẫn cơ bản nhất các lệnh cần thiết khi dùng trong ISE:
    • show interface gigabitEthernet 0 : Hiển thị IP của card mạng ISE
    • show interface gigabitEthernet 0 : Hiển thị IP của card mạng ISE
    • show NTP : Hiển thị thông tin NTP server
    • show timezone : Hiển thị múi giờ
    • show users : Hiển thị thông tin tên người dùng
    • show version : Hiển thị phiên bản của ISE
    • show clock : Hiển thị Đồng hồ trên ISE
    • show running-config : Hiển thị tất cả lệnh đã thao tác trên ISE
    Bài viết liên quan: Cisco ISE (Identity Services Engine) là gì? Khi nào sử dụng và cách sử dụng như thế nào?
     
    vuthang, Sep 24, 2021
    #1

Share This Page