Lesezeit ca. 13 Min.
arrow_back

Verwunschene Pforte


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 1/2022 vom 31.12.2021

NAC mit Ciscos Identity Services Engine

Artikelbild für den Artikel "Verwunschene Pforte" aus der Ausgabe 1/2022 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 1/2022

Der zunehmende Einzug von IoT- Komponenten bringt neue Gefährdungen mit sich. So bieten viele dieser Elemente nicht die in Enterprise-Netzwerken gewohnten Authentifizierungsmethoden. Mangelhafte Optionen zur Härtung, etwa beim Deaktivieren von Diensten, sowie fehlende oder verzögerte Updateprozesse tun ihr Übriges. Gleichzeitig erhöht sich durch die höhere Anzahl an Endgeräten zwangsläufig die Anzahl an Zugangspunkten im Netzwerk, wie Access-Switches und WLAN-Access- Points. Auch der Bereich der VPN-Gateways spielt insbesondere während der Pandemielage aufgrund verstärkter Nutzung von Home Offices eine große Rolle für Systemadministratoren.

Interne Schranke

Aus diesen Gründen ist es sinnvoll, neben einer klassischen "Erlaubt/Nicht erlaubt"- Richtlinie einen stärkeren Fokus auf die Segmentierung und "Least Privileges" bereits beim Eintritt in das Netzwerk ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 1/2022 von 3G am Arbeitsplatz, 5G in der Produktion. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
3G am Arbeitsplatz, 5G in der Produktion
Titelbild der Ausgabe 1/2022 von Speicher auf allen Ebenen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Speicher auf allen Ebenen
Titelbild der Ausgabe 1/2022 von Besser erreichbar. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Besser erreichbar
Titelbild der Ausgabe 1/2022 von Auf dem neuesten Stand. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Auf dem neuesten Stand
Mehr Lesetipps
Blättern im Magazin
Durchblicker
Vorheriger Artikel
Durchblicker
Fremdgesteuert
Nächster Artikel
Fremdgesteuert
Mehr Lesetipps

... festzulegen. Zudem ist es wichtig, getreu dem Motto "Du kannst nichts beschützen, was du nicht sehen kannst", die Sichtbarkeit im Netz zu erhöhen und somit potenzielle Bedrohungen frühzeitig zu erkennen, zu melden und zu behandeln.

Trotz der Cloudifizierung und den Ansätzen zu Zero Trust hat die Absicherung von internen Netzen und Ressourcen in vielen Organisationen noch immer eine hohe Bedeutung, da gerade dort die Kronjuwelen zu finden sind, für die keine Auslagerung zu externen Cloudprovidern stattfinden soll. Um Zugriffe komplett zu unterbinden oder laterale Bewegungen im Netz nach einer potenziellen Infektion eines Hosts einzuschränken, bedarf es interner Sicherheitsmechanismen, die vom

Client über die Switches und Router sowie die Netzzugriffskontrolle bis hin zur Firewall konsistent stattfinden müssen. Zentrales Bindeglied bildet hier das Werkzeug zur Netzzugriffskontrolle (Network Access Control, NAC). Ein solches kann die Identity Services Engine (ISE) [1] von Cisco darstellen.

ISE bietet neben den klassischen AAA- Services (Authentifizierung, Autorisierung und Accounting) auch Gastportale, MDM-Integrationen und diverse APIs zur Anbindung an eigene Managementsysteme. Zudem gibt es eine enge Verzahnung mit Public-Key-Infrastrukturen, Verzeichnisdiensten sowie dem hauseigenen AnyConnect Secure Mobility Client beispielsweise für Posture-Services, also für Prüfungen auf Clientebene und Layer-2-Verschlüsselung auf Basis von MACSec. Zudem ist die Identity Services Engine integraler Bestandteil der Software-defined-Access-Technologie auf Basis von DNA-Center.

Aber auch die Anbindung an Firewallsysteme kann über pxGrid (Platform Exchange Grid) erfolgen. Dabei handelt es sich um eine Integrationsschnittstelle für Drittsysteme, um auf Basis von Kontextinformationen wie Identität und Clientinformationen Filterentscheidungen treffen zu können. Zudem verfügbar sind erweiterte Eigenschaften wie das Einbeziehen von Zugriffszeiten. Nicht zuletzt bietet der Ansatz Möglichkeiten zum Logging von Live- und historischen Daten. Ziel ist ein übersichtliches, zentrales Policy-Management mit dezentralem Policy-Enforcement.

Virtuell oder als Blech

Als zugrundeliegendes Betriebssystem kommt bei ISE ein gehärtetes Linux zum Einsatz. Dieses bezeichnet Cisco als Application Deployment Engine Operating System (ADE-OS). In der aktuellen Version 3.1 handelt es sich um ein Red Hat Enterprise Linux in Version 8.2. Ein vollwertiger Root-Zugriff ist dem Technical Assist Center des Herstellers vorbehalten. Einige Dienste laufen als Microservices auf Basis von Docker.

Die Identity Services Engine kann auf diversen Plattformen zum Einsatz kommen. So finden zum Beispiel Implementierungen auf Hypervisoren wie VMware ESXi, KVM und Hyper-V Herstellerunterstützung. Die supporteten Umgebungen richten sich jeweils nach der eingesetzten ISE-Version. Zudem bietet Cisco drei eigene Hardwareplattformen an, die der Hersteller als Secure Network Server (SNS) [2] bezeichnet. Die kleinste Ausführung, der SNS 3615, kommt ohne redundante Netzteile und Festplatten. Zudem verfügt er nur über acht CPU-Kerne in seinem Intel-Xeon-4110-Prozessor sowie 32 GByte Hauptspeicher.

Die größeren Brüder SNS 3655 und SNS 3695 bringen hingegen zwölf CPU-Kerne auf der Intel-Xeon-4116-CPU mit, unterscheiden sich aber in der Größe des Hauptspeichers und der Festplatten: Das Modell 3655 bietet 96 GByte RAM und vier 600-GByte-Festplatten. Die Variante 3695 ist mit 256 GByte RAM und acht 600-GByte-Platten äußerst üppig ausgestattet. Netzwerkseitig stellen alle Server zwei 10GBase-T- und vier 1GBase-T-Anschlüsse zur Verfügung.

Persona bestimmt Funktion

Die genaue Architektur von ISE kann je nach Nutzeranforderung und Größe des Deployments stark variieren. Hierfür können mehrere Knoten/Nodes zum Einsatz kommen, die auf den gerade beschriebenen virtuellen oder physischen Servern aufbauen. Diese Nodes haben wiederum unterschiedliche sogenannte Personas, die die Funktionen definieren, die der Knoten übernimmt. Im einfachsten Standalone-Deployment würde also ein Knoten alle Personas übernehmen. Als erste Persona sei hierbei die Administrations-Persona zu nennen. Diese erlaubt es, das System zu verwalten. Sie kann zur Erhöhung der Verfügbarkeit zusätzlich zum Primary-Administration-Node auf einen sekundären Node zurückgreifen.

Die eigentlichen Arbeitstiere unter den Personas bilden die Policy Service Nodes ab. Auf diesen findet die klassische Authentifizierung, aber auch der Gastservice mit den entsprechenden Portalen statt. Sie prüfen also die auf den administrativen Nodes konfigurierten Richtlinien und geben die entsprechenden Entscheidungen an die aktiven Netzwerkkomponenten, wie Switches und WLAN-Access-Points, zurück. Zusätzlich lassen sich bei entsprechender Lizenz auch Profiling-Funktionen ausführen. Es kann mehrere Policy-Nodes geben, um diese geografisch oder nach Verfügbarkeitszonen zu gruppieren.

Die dritte Persona bringt Monitoringfunktionen mit und bildet somit einen Kernbestandteil eines AAA-Systems ab. Sie ermöglicht ein vielfältiges Reporting und ein eventuelles Troubleshooting. Auch für diese Features kann eine Verteilung auf zwei Nodes – einen primären und einen sekundären – erfolgen.

Last but not least sei noch die pxGrid- Persona zu nennen. Über diese besteht die Option, Kontextinformationen von ISE an Drittsysteme weiterzugeben, sei es an kompatible Cisco-Systeme, wie die Firepower-Firewalls, oder Produkte von Partnern. Auf Basis der Kontextinformation kann nach einer festgestellten Infektion oder bei ungewünschtem Verhalten eine Isolierung von Hosts stattfinden.

Architektur je nach Netzwerkgröße

Je nach Größe und geografischer Anordnung des Unternehmens-oder Behördennetzes gibt es unterschiedliche Architekturen. In kleinen Netzen kommt das Standalone-Deployment zum Tragen. Hierbei gibt es ein redundantes Paar ISE-Nodes, auf denen alle Personas laufen. Es findet eine Replizierung aller Einstellungen auf den zweite Node statt. AAA-Anfragen erreichen über die Netzwerkkomponenten immer den primären Node. Der sekundäre steht also für eventuelle Ausfälle bereit und verfügt im Normalfall über aktuelle Daten.

Beim Split-Deployment kommen wiederum zwei Server zum Einsatz, auf denen ebenfalls alle Personas laufen. Zum Load - balancing erfolgt eine Verteilung der AAA-Anfragen von Switches, Routern und Firewalls auf die beiden Nodes. Für den Administrator stellt sich also die Frage, ob eher eine Präferenz zur Lastverteilung oder eines deterministischen Verhaltens mit klarer Rollenverteilung besteht.

Bei Betrieb eines mittelgroßen Deployments findet die Verarbeitung der AAA- Anfragen auf dedizierten Policy-Services- Nodes statt. Das Logging erfolgt auf zwei zentralen Nodes, die nur noch die zentrale Administration und das zentrale Logging erlauben. Die Policy-Service-Persona ist auf den beiden zentralen Servern deaktiviert. Bei großen Deployments können noch redundante Loadbalancer vor den Policy-Services-Nodes zur Anwendung kommen, um die Last zu verteilen.

Als Beispiel für die maximale Anzahl an parallelen Sessions dienen die drei physischen Plattformen von Cisco. Zur Vereinfachung haben wir die Anzahlen der Standalone-Deployments dargestellt. Auf der SNS 3615 werden maximal 10.000 Sessions, auf der SNS 3655 25.000 und auf der SNS 3695 50.000 Sessions unterstützt.

Lizenzierung nicht ganz trivial

Das Lizenzmodell der Identity Services Engine hat sich mit Version 3.0 (aktuell 3.1) grundlegend verändert. Cisco bietet für die NAC-Features drei unterschiedliche Lizenz-Abos: Essentials, Advantage und Premier. Diese Abonnements sind an andere Plattformen wie etwa Switches angelehnt. Sie haben jeweils eine mögliche Laufzeit von einem, drei oder fünf Jahren. Bereits in der kleinen Essentials-Lizenz sind Authentifizierungen auf Basis von klassischem 802.1X inklusive MACSec-Verschlüsselung, MAC-Authentifizierungs-Bypass, Gast-Portallösungen sowie die API-Zugriffe zum Monitoring und für CRUD-Operationen (Create, Read, Update & Delete) enthalten. Selbst das Passive-ID-Feature ist mit an Bord – allerdings nur, wenn der Abnehmer der bereitgestellten Informationen ein Modell von Cisco ist. Kommt ein Third-Party-System zum Einsatz, so muss eine Advantage-Lizenz bestehen.

Diese erweiterte Lizenz enthält zunächst alle Eigenschaften von Essentials. Zusätzlich bietet sie die Möglichkeit zur Provisionierung von BYOD-Geräten über eine integrierte CA. Des Weiteren besteht die Option, das My-Device-Portal zu nutzen, über das Anwender ihre Geräte für die Authentifizierung selbst provisionieren, verwalten und beispielsweise nach Diebstahl auch sperren können. TrustSec sowie Profiling, Leistungsmerkmale, die wir später vorstellen, stehen ebenfalls ab diesem Level zur Verfügung. Wer noch einen Schritt weitergehen möchte und in Abhängigkeit der gesammelten Profiling-Daten Aktionen auslösen möchte, wie etwa bei einer festgestellten Infektion die Isolierung eines Hosts vom verbleibenden Netz, muss auf die Premier-Lizenz zurückgreifen. Damit wäre dann auch die Integration eines Mobile-Device-Managements eine Option.

Für Administratoren, die mit ISE TA- CACS+ einsetzen möchten, gibt es eine sogenannte Device-Administration-Lizenz. Diese gilt jedoch dauerhaft und ein Erwerb ist einmal je ISE-Server mit aktiver TACACS+-Rolle zwingend. Dabei ist die Anzahl der verwalteten Netzwerkkomponenten irrelevant. Das gleiche Modell kommt bei der IPSec-Lizenz zur Anwendung, über die eine IPSec-Verschlüsselung zu bis zu 150 Netzwerkkomponenten je Policy-Services-Node möglich ist. Dies bietet eine bessere Absicherung der während der AAA-Prozesse übertragenen Daten.

Die Lizenzierung erfolgt über das sogenannte Smart Licensing, bei dem ein Abgleich gegen einen Cisco-Lizenzserver erfolgt. Die Unterstützung eines vor Ort befindlichen Smart-Licensing-On-Premises-Server ist seit ISE-Version 3.0 Patch 2 mit dabei. Dies bietet den Vorteil, dass nur dieser Server direkt mit dem Cisco- Lizenzserver in der Cloud kommunizieren können muss und nicht ISE selbst.

Schnittstellen für AAA

Für AAA stellt ISE diverse Schnittstellen bereit. Zur Steuerung der Administrationszugänge und Kommandoautorisierung von Netzwerkkomponenten kommt meist TACACS+ zum Einsatz. Diese als Device Administration bezeichnete und lizenzierte Funktion stellt seit Version 2.0 eine Möglichkeit dar, um ein Rechte-und Rollenkonzept sehr fein zu gliedern. Über Command-Sets lässt sich genau steuern, welche CLI-Befehle den einzelnen Nutzern und Nutzergruppen auf einer Gruppe von Netzwerkkomponenten bereitstehen. Es findet eine Prüfung der Autorisierung jedes Kommandos auf der ISE statt, der Befehl wird anschließend freigegeben oder verweigert. Hierzu muss jedoch eine entsprechende Parametrisierung von Routern und Switches bestehen.

Kommen wir aber nun zur eigentlichen Zugangskontrolle im Netzwerk. Hierbei bietet ISE zahlreiche Wege, um Endgeräte oder Nutzer zunächst zu authentifizieren. Als wichtigstes Authentifizierungsframework für Enterprise-Netzwerke sei hierbei IEEE 802.1X zu nennen. ISE unterstützt eine Vielzahl an Protokollen, unter anderem EAP- TLS, EAP-TTLS, PEAP MSCHAPv2, und damit eine hohe Flexibilität, um unterschiedliche Gerätearten bereitzustellen.

Es sei erwähnt, dass IEEE 802.1X inzwischen auch bekannte Angriffsvektoren besitzt, die sich über die Ergänzung MACSec adressieren lassen. Dabei findet nicht nur eine Authentifizierung des Endgeräts und/oder Nutzers statt, sondern sogar eine Link-Verschlüsselung zwischen Endgerät und Switch. Dies setzt jedoch einen MACSec-Supplicant wie beispielsweise den Cisco-AnyConnect-Secure-Mobility- Client auf dem Endgerät voraus. Auf Druckern oder Telefonen gibt es diese Funktion nach aktuellem Stand jedoch nicht.

Für Endgeräte, die kein 802.1X unterstützen, kann technisch natürlich der wesentlich unsicherere MAC Authentication Bypass (MAB), also eine Authentifizierung anhand der MAC-Adresse des Geräts, zum Einsatz kommen. Aufgrund des häufigen Aufdrucks dieser Adresse auf den Geräten und einfachen Fälschbarkeit ist natürlich zu prüfen, ob dieser wirklich noch Verwendung finden sollte. Stellt dies den kleinsten gemeinsamen Nenner dar, könnte in Ergänzung noch ein Profiling als zusätzlicher Faktor zum Einsatz kommen. Dabei sind weitere Attribute für die Authentifizierungs- und Autorisierungsentscheidung möglich. Dies könnte zum Beispiel ein Teil des Inhalts in DHCP-Requests sein, um die Hürde für einen potenziellen Angreifer zumindest etwas höher zu legen. Es besteht also die Möglichkeit, diese Profiling-Informationen gemeinsam mit geringwertigeren Authentifizierungsverfahren wie MAB zusammenzufassen, um eine verlässlichere Grundlage für eine Autorisierungsentscheidung zu erhalten.

Ein weiterer interessanter Ansatz ist das noch neue Feature "Passive Identity" [3]. Anstatt dass dabei aktiv vom Endgerät oder Nutzer eine Authentifizierung gegenüber ISE auf Basis von 802.1X, MAB oder Webauthentifizierung erfolgt, zieht sich ISE Nutzernamen und IP-Adresse von externen Quellen, wie dem Active Directory, und stellt diese Informationen wiederum per pxGrid zur Verfügung, sodass diese etwa in Firewalls zur Anwendung kommen können.

Wer noch etwas weitergehen möchte und den Zugang zum Netzwerk auf Basis von dynamischen Eigenschaften des Clients, wie Patch-Level, der Antiviren-Software oder Merkmalen von potenzieller Malware, etwa bestimmten Signaturen oder Registry-Keys, steuern möchte, kann auf das Posture-Feature zurückgreifen. Darüber lässt sich temporär ein eingeschränkter Zugriff gewähren, um wieder den geforderten Zustand, etwa über ein Update der Virensignaturen, zu erreichen. Über einen sogenannten CoA (Change of Authorization) lässt sich im Nachgang der eingeschränkte Zugriff in den eigentlich gewünschten Zugriff wandeln. Die Versendung dieses CoA erfolgt von ISE an die aktive Netzwerkkomponente, bedarf jedoch einer entsprechenden Konfiguration.

Einbinden von Gastgeräten

Neben den eigenen sind in den meisten Unternehmen auch Geräte von Gästen oder BYOD-Ansätze zu integrieren. Hierfür braucht es für das Onboarding Webportale, wie sie aus öffentlichen Hotspots in Bahnhöfen, öffentlichen Plätzen oder Zügen bekannt sind. Sie können aber auch für verkabelte Gastnetze zum Einsatz kommen.

Für die Gastportale bietet ISE drei unterschiedliche Ansätze. Hierbei sei zunächst die einfache Variante als Hotspot-Portal genannt. Dabei gibt es die Möglichkeit, den Gast auf Basis von durch ISE an Switches oder WLAN-Controller übergebenen Parametern an ein Portal umzuleiten, das die Nutzungsbedingungen abfragt, bevor ein Zugriff gestattet wird. Bei dieser datenschutzfreundlichen Variante gibt es keine Zuordnung von Name, Handynummer oder E-Mail-Adresse, um bei Zuwiderhandlung gegen die Nutzungsbedingungen den Verursacher feststellen zu können. Wer also etwas mehr Kontrolle über den Zugang wünscht, eine Rückverfolgung erlauben möchte sowie zusätzlichen Personalaufwand für das Management von Benutzerkonten scheut, kann auf ein Selbstregistrierungsportal zurückgreifen. Bei diesem müssen sich Nutzer gemäß den vom Administrator verlangten Attributen, wie beispielsweise Vor- und Nachname, E-Mail-Adresse oder Mobilfunknummer, registrieren.

Neue Features mit Version 3.0 und 3.1

Für Administratoren, die ISE bereits einsetzen, gibt es seit Version 3.0 einige Neuerungen, etwa einen Debug-Wizard, der zur Fehleranalyse auf ISE-Nodes zur Anwendung kommen kann. Für Organisationen, die als Authentifizierungsdienst SAML einsetzen, gibt es nun eine Multifaktor-Authentifizierung und einen SAML-basierten Admin-Login zu ISE. Zudem steht ein neues ISE-API-Gateway zur Verfügung, das die API-Requests an einem zentralen Punkt bündelt und gemäß dem hinterlegten Regelwerk weiterleitet. Der Passive-Identity-Service unterstützt jetzt auch das MS-RPC-Protokoll und es gibt einen On- Demand-Health-Check, um alle Nodes in ISE zu prüfen. Zusätzlich steht nun ein bidirektionaler Posture-Flow zur Verfügung, was bedeutet, dass der AnyConnect-Secure-Mobility-Client proaktiv bei ISE nach dem Posture Status fragt, um nicht fälschlicherweise im eingeschränkten Modus zu verharren.

Seit Version 3.1 besteht bei einer Anbindung an ein Active Directory die Option, eine Liste präferierter Domänencontroller anzugeben.

Dies bietet eine klare Reihenfolge bei einem Ausfall. Interessant ist auch ein neues differenziertes Upgrade. Sogenannte "Split Upgrades" erlauben es dem Administrator, die Nodes, für die ein Upgrade erfolgen soll, einzeln auszuwählen. Dies bringt mit sich, dass die ISE-Dienste für Nutzer und Administratoren aktiv bleiben können, erfordert allerdings mehr Zeit. Bei einem "Full Upgrade" erfahren alle Nodes parallel eine Aktualisierung, was Downtime in den Diensten bedeutet, allerdings schneller vonstatten geht. Nicht zuletzt gibt es nun ein Zero-Touch-Provisioning von ISE-VMs.

Wer die volle Kontrolle behalten möchte, kann auf ein "Sponsorportal" zurückgreifen, über das Gäste Voucher von internen Mitarbeitern ausgestellt bekommen. Nur mit den generierten Credentials auf den Vouchern kann ein Login mit Benutzername und Kennwort auf der von ISE bereitgestellten Authentifizierungsseite erfolgen und ein Zugang zum Gastnetz ist möglich. Die internen Benutzer erhalten ein separates webbasiertes Portal, an dem sie sich zum Beispiel über das interne Active Directory authentifizieren und entsprechend ihren Gruppenmitgliedschaften autorisieren lassen können.

Neben den Gastportalen besteht aber die Möglichkeit, über eine Portalkonstruktion ein Onboarding von anderen Endgeräten zu realisieren, um diesen WLAN-Profile oder Zertifikate zu pushen. Ein weiterer Weg ist ein Blacklist-Portal, auf das Nutzer von gesperrten Geräten umgeleitet werden. Auf diesem ist dann ein Hinweis über die Sperrung sichtbar. Alle Portale sind über einen integrierten WYSIWYG-Editor an das jeweilige Corporate Design anpassbar.

Konfiguration, Logging und Reporting

Als Konfigurationsschnittstelle kommt im Alltagseinsatz primär die Web-GUI zum Einsatz. Eine dedizierte Administrationssoftware gibt es nicht. Die initiale Konfiguration erfolgt über eine CLI, um Parameter wie IP-Adresse oder NTP-Server zu hinterlegen. Zusätzlich steht eine SSH-basierte CLI zur Verfügung. Diese kann zur Abfrage von Dienststatus, Troubleshootings, Backups oder Updates Verwendung finden. Vom Aufbau her ist sie an die Struktur der Router und Switche angelehnt; es steht also ein EXEC-Mode und ein Konfigurationsmodus zur Verfügung. Zudem existieren unterschiedliche APIs für die Anbindung an eigene Managementsysteme oder Skripte. Administratoren, die beispielsweise automatisiert Clientgruppen zuweisen oder Netzwerkkomponenten lesen, anlegen, ändern oder löschen möchten, können auf die External-RESTful-Services-(ERS)-API zurückgreifen.

Das Logging stellt einen sehr zentralen Baustein einer NAC-Lösung dar. ISE bietet hierfür zunächst ein umfangreiches retrospektives Reporting. Es besteht auch die Möglichkeit, dieses wiederkehrend zu exportieren. Hier kann der Admin mit Angabe bestimmter Zeitintervalle etwa RA- DIUS- und TACACS-Reporte mit Filter auf bestimmte Netzwerkkomponenten, den Authentifizierungsstatus oder einzelne Hosts auswerten. Hierbei gibt es diverse Detailtiefen. Aber auch Auswertungen zu Gastdaten stellen kein Problem dar.

Zudem bietet ISE die Option, Live-Reporte zu nutzen, um Informationen über die aktuellen Authentifizierungen und Autorisierungen in kurzen Intervallen zu erhalten. Diese hat sich in der Praxis als sehr nützlich erwiesen. Sie bieten auch im Fehlauthentifizierungsfall einen guten Einstiegspunkt. Zudem gibt es einen Überblick über die Live-Sessions, worüber sich Sessions beenden oder re-authentifizieren lassen.

Um auf Basis der Zugangskontrolle konsistent im ganzen Netz entsprechende Richtlinien für genehmigte und verbotene Kommunikationsbeziehungen anwenden zu können, ohne diese von der IP-Adresse abhängig zu machen, hat Cisco die Trust- Sec-Technologie entwickelt. Dies ist ein proprietäres Verfahren, bei dem sogenann- te Security-Group-Tags zur Anwendung kommen, um darauf aufbauend die Berechtigungen zu steuern. Diese Abstrahierung erlaubt, basierend auf einer Kommunikationsmatrix mit Gruppen wie etwa Entwicklung, Finanzen oder Personal übersichtlich zu steuern, wer mit wem kommunizieren darf. Dies setzt jedoch voraus, dass TrustSec auf den notwendigen Komponenten wie Switches, Routern und Firewalls Unterstützung findet.

Link-Codes

[1] Datenblatt Identity Services Engine lbp91

[2] Datenblatt Secure Network Server lbp92

[3] Passive Identity Connector lbp93

Troubleshooting, Backup und Patching

Eine entscheidende Stärke der Identity Services Engine stellen die vielfältigen Troubleshooting-Wege dar. Hierbei sei zunächst das übersichtliche Live-Log zu nennen, das durch Filter je Spalte sehr schnell einen guten Überblick gibt. Dieses steht sowohl für RADIUS als auch bei entsprechender Lizenz für TACACS+ zur Verfügung. Wer auf Paketebene eine Analyse vornehmen möchte, kann auch ein tcpdump mit entsprechenden Filtern über die GUI erstellen. Zusätzlich steht ein Konfigurations-Validierungstool für die aktive Netzwerkkomponente und ein Endpoint-Debug bereit. Im Standard-Dashboard sind Anzeigen für gröbere Alarme direkt ersichtlich, wie etwa hohe Authentifizierungslatenz, unbekannte aktive Netzwerkkomponenten oder Probleme in der Replizierung.

Laufende und Konfigurationsbackups können zeitgesteuert (täglich, wöchentlich, monatlich) oder bei Bedarf auf externe Ziele erfolgen. Dabei ist zu beachten, dass das Backup keine Zertifikate enthält. Eine Sicherung der Zertifikate muss dediziert erfolgen. Backupziele können beispielsweise NFS oder SFTP-Server sein.

Auf Basis von Menü- und Datenzugangsberechtigungen kann es ein Rechte- und Rollenmodell für die Administration des Servers selbst geben. Die Menüberechtigungen erlauben, komplette Menüs und Untermenüs ein- und auszublenden. So kann der First-Level-Support eine auf die relevanten und benötigten Daten gefilterte Ansicht erhalten. Die Datenzugangsberechtigungen gewähren die Steuerung einzelner Elemente wie Endgerätegruppen oder bestimmter Nutzergruppen.

In aktuellen Versionen von ISE können Patches und Updates sowohl über die Kommandozeile als auch über die webbasierte GUI erfolgen. Interessant ist bei auftretenden Problemen ferner die Möglichkeit eines Rollbacks von Patches. Der Zugriff auf Patches und Updates verlangt jedoch einen aktiven Support- Service mit dem Hersteller.

Fazit

ISE bietet einen umfangreichen und sehr skalierbaren Ansatz für die Netzwerkzugriffskontrolle in Enterprise-Netzen. Egal ob für unternehmenseigene, BYOD oder Gastgeräte – für alle findet sich aufgrund der flexiblen Richtlinienstruktur die passende Lösung der Authentifizierung und Autorisierung. Teils wirkt leider die GUI recht träge. Das gute und übersichtliche Live-Log sowie die integrierten Troubleshooting-Optionen erlauben trotz der Komplexität eine vereinfachte Analyse im Fehlerfall. Die vielfältigen APIs für die Anbindung an eigene Managementsysteme oder Skripte sowie Schnittstellen zu Third-Party-Systemen runden die Merkmale ab. (ln)