¿Tiene una cuenta?
Cisco Identity Services Engine (ISE) es el servidor de políticas de última generación de Cisco que proporciona una infraestructura de autenticación y autorización a la solución Cisco TrustSec. También proporciona otros dos servicios esenciales:
El primer servicio consiste en proporcionar una forma de perfilar el tipo de dispositivo de terminal automáticamente en función de los atributos que Cisco ISE recibe de diversas fuentes de información. Este servicio (denominado generador de perfiles) proporciona funciones equivalentes a las que ofrecía Cisco con el dispositivo Cisco NAC Profiler.
Otro servicio importante que ofrece Cisco ISE es analizar el cumplimiento de los terminales; por ejemplo, la instalación del software AV/AS y su validez de archivo de definición (conocido como Condición). Anteriormente, Cisco solo había proporcionado esta función de estado exacta con el dispositivo Cisco NAC.
Cisco ISE proporciona un nivel equivalente de funcionalidad y se integra con los mecanismos de autenticación 802.1X.
Cisco ISE integrado con controladores de LAN inalámbrica (WLC) puede proporcionar mecanismos de definición de perfiles de dispositivos móviles como iDevices de Apple (iPhone, iPad y iPod), smartphones basados en Android y otros. Para los usuarios de 802.1X, Cisco ISE puede proporcionar el mismo nivel de servicios, como el análisis de perfiles y estados. Los servicios de invitados en Cisco ISE también se pueden integrar con Cisco WLC redirigiendo las solicitudes de autenticación web a Cisco ISE para la autenticación.
Este documento presenta la solución inalámbrica para la iniciativa "Traiga su propio dispositivo" (BYOD), como proporcionar un acceso diferenciado basado en terminales conocidos y la política de usuario. Este documento no proporciona la solución completa de BYOD, pero sirve para demostrar un sencillo caso práctico de acceso dinámico. Otros ejemplos de configuración incluyen el uso del portal de patrocinadores de ISE, donde un usuario privilegiado puede patrocinar a un invitado para el aprovisionamiento del acceso inalámbrico de invitado.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Wireless LAN Controller 2504 o 2106 con la versión de software 7.2.103
Catalyst 3560 - 8 puertos
WLC 2504
Identity Services Engine 1.0MR (versión de imagen de servidor VMware)
Windows 2008 Server (imagen de VMware): 512M, disco de 20 GB
Active Directory
DNS
DHCP
Servicios de certificados
Esta configuración permite al WLC buscar los pares AV de redirección URL que vienen del servidor RADIUS ISE. Esto es sólo en una WLAN que está vinculada a una interfaz con la configuración RADIUS NAC habilitada. Cuando se recibe el par AV de Cisco para la redirección de URL, el cliente pasa al estado POSTURE_REQD. Esto es básicamente lo mismo que el estado WEBAUTH_REQD internamente en el controlador.
Cuando el servidor RADIUS ISE considera que el Cliente cumple con la condición, emite una CoA ReAuth. Session_ID se utiliza para vincularlo. Con esta nueva AuthC (re-Auth) no envía los pares AV-Redirect URL. Debido a que no hay pares AV de redireccionamiento de URL, el WLC sabe que el cliente ya no necesita la postura.
Si el parámetro RADIUS NAC no está habilitado, el WLC ignora los VSA de Redirección URL.
CoA-ReAuth: Esto se habilita con el parámetro RFC 3576. La capacidad ReAuth se agregó a los comandos CoA existentes que se admitían anteriormente.
La configuración RADIUS NAC se excluye mutuamente de esta capacidad, aunque se requiere que la CoA funcione.
ACL de estado previo: Cuando un cliente está en el estado POSTURE_REQ, el comportamiento predeterminado del WLC es bloquear todo el tráfico excepto DHCP/DNS. La ACL de Pre-Postura (a la que se llama en el par AV de url-redirect-acl) se aplica al cliente, y lo que se permite en esa ACL es a lo que el cliente puede alcanzar.
ACL de autenticación previa frente a invalidación de VLAN: Una VLAN de cuarentena o de autenticación que es diferente de la VLAN de acceso no se soporta en 7.0MR.1. Si configura una VLAN desde el Servidor de políticas, será la VLAN para toda la sesión. No se necesitan cambios de VLAN después de la primera AuthZ.
La figura siguiente proporciona detalles del intercambio de mensajes cuando el cliente se autentica en el servidor backend y la validación de estado de NAC.
El cliente se autentica usando la autenticación dot1x.
RADIUS Access Accept transporta URL redireccionadas para el puerto 80 y ACL de pre-autenticación que incluyen permitir direcciones IP y puertos, o VLAN de cuarentena.
El cliente se redirigirá a la URL proporcionada en access accept y se pondrá en un nuevo estado hasta que se realice la validación del estado. El cliente en este estado se comunica con el servidor ISE y se valida a sí mismo con las políticas configuradas en el servidor NAC ISE.
El agente NAC en el cliente inicia la validación del estado (tráfico al puerto 80): El agente envía una solicitud de detección HTTP al puerto 80 que el controlador redirige a la URL proporcionada en el acceso aceptado. ISE sabe que el cliente intenta ponerse en contacto y responde directamente al cliente. De esta manera, el cliente se entera de la IP del servidor ISE y, a partir de ahora, se comunica directamente con el servidor ISE.
El WLC permite este tráfico porque la ACL está configurada para permitir este tráfico. En caso de invalidación de VLAN, el tráfico se puentea para que llegue al servidor ISE.
Una vez que el cliente ISE completa la evaluación, se envía un pedido de servicio RADIUS CoA-Req con servicio de autenticación al WLC. Esto inicia la reautenticación del cliente (enviando EAP-START). Una vez que la reautenticación se realiza correctamente, el ISE envía el acceso a accept con una nueva ACL (si la hubiera) y ninguna URL redirect, o bien accede a VLAN.
El WLC soporta CoA-Req y Disconnect-Req según RFC 3576. El WLC necesita soportar CoA-Req para el servicio de re-auth, según RFC 5176.
En lugar de las ACL descargables, las ACL preconfiguradas se utilizan en el WLC. El servidor ISE sólo envía el nombre ACL, que ya está configurado en el controlador.
Este diseño debe funcionar tanto para los casos de VLAN como de ACL. En caso de invalidación de VLAN, simplemente redirigimos el puerto 80 y permite el resto (bridge) del tráfico en la VLAN de cuarentena. Para la ACL, se aplica la ACL de pre-autenticación recibida en el aceptación de acceso.
Esta figura proporciona una representación visual de este flujo de funciones:
El servicio de perfiles de Cisco ISE proporciona la funcionalidad necesaria para descubrir, localizar y determinar las capacidades de todos los terminales conectados de la red, independientemente de sus tipos de dispositivos, con el fin de garantizar y mantener un acceso adecuado a la red empresarial. Recopila principalmente un atributo o un conjunto de atributos de todos los terminales de la red y los clasifica según sus perfiles.
El generador de perfiles se compone de estos componentes:
El sensor contiene varias sondas. Los sondeos capturan los paquetes de red consultando los dispositivos de acceso a la red y reenvían los atributos y sus valores de atributo recopilados desde los terminales al analizador.
Un analizador evalúa los puntos finales utilizando las políticas configuradas y los grupos de identidad para que coincidan con los atributos y los valores de atributos recopilados, lo que clasifica los puntos finales en el grupo especificado y almacena los puntos finales con el perfil coincidente en la base de datos de Cisco ISE.
Para la detección de dispositivos móviles, se recomienda utilizar una combinación de estos sondeos para la identificación adecuada de los dispositivos:
RADIUS (Calling-Station-ID): Proporciona la dirección MAC (OUI)
DHCP (nombre de host): Nombre de host: el nombre de host predeterminado puede incluir el tipo de dispositivo; por ejemplo: jsmith-ipad
DNS (búsqueda IP inversa): FQDN: el nombre de host predeterminado puede incluir el tipo de dispositivo
HTTP (agente de usuario): Detalles sobre el tipo de dispositivo móvil específico
En este ejemplo de un iPad, el generador de perfiles captura la información del explorador web desde el atributo User-Agent, así como otros atributos HTTP de los mensajes de solicitud, y los agrega a la lista de atributos de punto final.
MS Active Directory (AD) no es necesario para una prueba de concepto sencilla. ISE se puede utilizar como único almacén de identidades, lo que incluye diferenciar el acceso de los usuarios para el acceso y el control granular de políticas.
Al lanzamiento de ISE 1.0, mediante la integración de AD, ISE puede utilizar grupos AD en las políticas de autorización. Si se utiliza el almacén de usuarios interno de ISE (sin integración de AD), los grupos no se pueden utilizar en las políticas junto con los grupos de identidad de los dispositivos (error identificado que se resolverá en ISE 1.1). Por lo tanto, solo se puede diferenciar a los usuarios individuales, como empleados o contratistas cuando se utilizan además de los grupos de identidad de los dispositivos.
Complete estos pasos:
Abra una ventana del navegador a la dirección https://ISEip.
Vaya a Administración > Gestión de identidades > Identidades.
Seleccione Users y luego haga clic en Add (Network Access User). Introduzca estos valores de usuario y asígneles al grupo Empleado:
Nombre: empleado
Contraseña XXXX
Haga clic en Submit (Enviar).
Nombre: contratista
Contraseña XXXX
Confirme que se han creado ambas cuentas.
Cualquier dispositivo que inicie solicitudes RADIUS al ISE debe tener una definición en ISE. Estos dispositivos de red se definen en función de su dirección IP. Las definiciones de dispositivos de red ISE pueden especificar rangos de direcciones IP, lo que permite que la definición represente varios dispositivos reales.
Más allá de lo necesario para la comunicación RADIUS, las definiciones de dispositivo de red ISE contienen configuraciones para otras comunicaciones de ISE/dispositivo, como SNMP y SSH.
Otro aspecto importante de la definición de dispositivos de red es la agrupación adecuada de dispositivos para que esta agrupación pueda aprovecharse en la política de acceso a la red.
En este ejercicio, se configuran las definiciones de dispositivo necesarias para su laboratorio.
Complete estos pasos:
Desde ISE vaya a Administration > Network Resources > Network Devices.
En Network Devices (Dispositivos de red), haga clic en Add (Agregar). Introduzca la dirección IP, la comprobación de máscara y la configuración de autenticación y, a continuación, introduzca "cisco" para el secreto compartido.
Guarde la entrada del WLC y confirme el controlador en la lista.
El ISE debe configurarse para autenticar clientes inalámbricos 802.1x y para utilizar Active Directory como almacén de identidad.
Complete estos pasos:
Desde ISE, vaya a Policy > Authentication.
Haga clic para expandir Dot1x > Wired_802.1X (-).
Haga clic en el icono del engranaje para Agregar condición de la biblioteca.
En el menú desplegable Selección de condición, elija Condición compuesta > Wireless_802.1X.
Establezca la condición Express en OR.
Expanda la opción after allow protocols y acepte los usuarios internos predeterminados (valor predeterminado).
Deje todo lo demás en el valor predeterminado. Haga clic en Guardar para completar los pasos.
Una guía de implementación del controlador de LAN inalámbrica Cisco 2500 también está disponible en la Guía de implementación del controlador inalámbrico Cisco serie 2500.
Configuración del controlador mediante el Asistente de inicio
(Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated -- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): ISE-Podx Enter Administrative User Name (24 characters max): admin Enter Administrative Password (3 to 24 characters): Cisco123 Re-enter Administrative Password: Cisco123 Management Interface IP Address: 10.10.10.5 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.10.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 10.10.10.10 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: ISE Network Name (SSID): PODx Configure DHCP Bridging Mode [yes][NO]: no Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the ntp system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... Restarting system.
Configuración del switch vecino
El controlador está conectado al puerto Ethernet del switch vecino (Fast Ethernet 1). El puerto del switch vecino se configura como un tronco 802.1Q y permite todas las VLAN en el tronco. La VLAN nativa 10 permite que se conecte la interfaz de administración del WLC.
La configuración del puerto del switch 802.1Q es la siguiente:
switchport switchport trunk encapsulation dot1q switchport trunk native VLAN 10 switchport mode trunk end
El ISE debe ser agregado al WLC para habilitar 802.1X y la función CoA para los terminales inalámbricos.
Complete estos pasos:
Abra un navegador y, a continuación, conéctese al WLC del pod (mediante HTTP seguro) > https://wlc.
Vaya a Seguridad > Autenticación > Nuevo.
Introduzca estos valores:
Dirección de servidor IP: 10.10.10.70 (asignación de comprobación)
secreto compartido: Cisco
Compatibilidad con RFC 3576 (CoA): Habilitado (predeterminado)
Todo lo demás: Predeterminado
Haga clic en Aplicar para continuar.
Seleccione RADIUS Accounting > add NEW.
Introduzca estos valores:
Dirección de servidor IP: 10.10.10.70
secreto compartido: Cisco
Todo lo demás: Predeterminado
Haga clic en Apply y luego guarde la configuración para el WLC.
Complete estos pasos para agregar una nueva interfaz dinámica para el WLC y mapearla a la VLAN del Empleado:
Desde el WLC, navegue hasta Controller > Interfaces. A continuación, haga clic en Nuevo.
Desde el WLC, navegue hasta Controller > Interfaces. Introduzca lo siguiente:
Nombre de la interfaz: Empleado
ID de VLAN: 11
Introduzca lo siguiente para la interfaz de empleado:
Número de puerto: 1
Identificador de VLAN: 11
IP Address: 10.10.11.5
Máscara de red: 255.255.255.0
Gateway: 10.10.11.1
DHCP: 10.10.10.10
Confirme que se ha creado la nueva interfaz dinámica del empleado.
Complete estos pasos para agregar una nueva interfaz dinámica para el WLC y mapearla a la VLAN de invitado:
Desde el WLC, navegue hasta Controller > Interfaces. A continuación, haga clic en Nuevo.
Desde el WLC, navegue hasta Controller > Interfaces. Introduzca lo siguiente:
Nombre de la interfaz: Guest
ID de VLAN: 12
Ingrese estos para la interfaz de invitado:
Número de puerto: 1
Identificador de VLAN: 12
IP Address: 10.10.12.5
Máscara de red: 255.255.255.0
Gateway: 10.10.12.1
DHCP: 10.10.10.10
Confirme que se ha agregado la interfaz de invitado.
Desde el bootstrap inicial del WLC, podría haber habido una WLAN predeterminada creada. Si es así, modifíquela o cree una nueva WLAN para admitir la autenticación inalámbrica 802.1X, como se indica en la guía.
Complete estos pasos:
Desde el WLC, navegue hasta WLAN > Create New.
Para la WLAN, introduzca lo siguiente:
Nombre del perfil: pod1x
SSID: Igual
Para la ficha WLAN Settings > General (Parámetros WLAN > Configuración general), utilice lo siguiente:
Política de radio: Todos
Interfaz/Grupo: administración
Todo lo demás: predeterminado
Para la ficha WLAN > Security > Layer 2 , establezca lo siguiente:
Seguridad de capa 2:WPA+WPA2
Política/Encriptación WPA2: Habilitado / AES
Gestión de clave de autenticación: 802.1X
Para la ficha WLAN > Security > AAA Servers, establezca lo siguiente:
Interfaz de Sobrescribir Servidor de Radio: Inhabilitado
Servidores de autenticación/contabilidad: Habilitado
Servidor 1: 10.10.10.70
Para la ficha WLAN > Advanced, establezca lo siguiente:
Permitir anulación de AAA: Habilitado
Estado NAC: Radius NAC (seleccionado)
Vuelva a la ficha WLAN > General > Enable WLAN (Activar WLAN) (casilla de verificación).
Debe realizar una comprobación rápida de las interfaces válidas de empleados e invitados. Utilice cualquier dispositivo para asociarse a la WLAN y, a continuación, cambie la asignación de la interfaz WLAN.
Desde el WLC, navegue hasta WLAN > WLAN. Haga clic para editar el SSID seguro creado en el ejercicio anterior.
Cambie Interface/Interface Group a Employee y luego haga clic en Apply.
Si se configura correctamente, un dispositivo recibe una dirección IP de la VLAN del empleado (10.10.11.0/24). Este ejemplo muestra un dispositivo iOS que obtiene una nueva dirección IP.
Una vez confirmada la interfaz anterior, cambie la asignación de la interfaz WLAN a Invitado y luego haga clic en Aplicar.
Si se configura correctamente, un dispositivo recibe una dirección IP de la VLAN de invitado (10.10.12.0/24). Este ejemplo muestra un dispositivo iOS que obtiene una nueva dirección IP.
IMPORTANTE: Vuelva a cambiar la asignación de interfaz a la administración original.
Haga clic en Aplicar y guarde la configuración para el WLC.
Asociar al WLC a través de un SSID autenticado un usuario INTERNO (o integrado, usuario AD) usando un dispositivo iOS como un iPhone, iPad o iPod. Omita estos pasos si no procede.
En el dispositivo iOS, vaya a la configuración de WLAN. Habilite WIFI y, a continuación, seleccione el SSID habilitado para 802.1X creado en la sección anterior.
Proporcione esta información para conectar:
Nombre de usuario: empleado (interno - empleado) o contratista (interno - contratista)
Contraseña XXXX
Haga clic para aceptar el certificado ISE.
Confirme que el dispositivo iOS está recibiendo una dirección IP de la interfaz de administración (VLAN10).
En el WLC > Monitor > Clients, verifique la información del terminal incluyendo el uso, el estado y el tipo EAP.
De manera similar, la información del cliente puede ser proporcionada por ISE > Monitor > Authentication page.
Haga clic en el icono Detalles para acceder a la sesión para obtener información detallada de la sesión.
La ACL de redirección de estado se configura en el WLC, donde ISE utilizará para restringir el estado del cliente. La ACL permite el tráfico entre ISE de forma eficaz y, como mínimo, Si es necesario, se pueden agregar reglas opcionales en esta ACL.
Navegue hasta WLC > Seguridad > Listas de Control de Acceso > Listas de Control de Acceso. Haga clic en New.
Proporcione un nombre (ACL-POSTURE-REDIRECT) para la ACL.
Haga clic en Agregar nueva regla para la nueva ACL. Establezca los siguientes valores en la secuencia de ACL nº 1. Haga clic en Aplicar cuando haya terminado.
Fuente: cualquiera
Destino: IP Address 10.10.10.70, 255.255.255.255
Protocolo: cualquiera
Acción: Permiso
Se ha agregado la secuencia de confirmación.
Haga clic en Agregar nueva regla. Establezca los siguientes valores en la secuencia de ACL nº 2. Haga clic en Aplicar cuando haya terminado.
Fuente: IP Address 10.10.10.70, 255.255.255.255
Destino: cualquiera
Protocolo: cualquiera
Acción: Permiso
Se ha agregado la secuencia de confirmación.
Establezca los siguientes valores en la secuencia de ACL nº 3. Haga clic en Aplicar cuando haya terminado.
Fuente: cualquiera
Destino: cualquiera
Protocolo: UDP
Puerto de Origen: DNS
Puerto de Destino: cualquiera
Acción: Permiso
Se ha agregado la secuencia de confirmación.
Haga clic en Agregar nueva regla. Establezca los siguientes valores en la secuencia de ACL nº 4. Haga clic en Aplicar cuando haya terminado.
Fuente: cualquiera
Destino: cualquiera
Protocolo: UDP
Puerto de Origen: cualquiera
Puerto de Destino: DNS
Acción: Permiso
Se ha agregado la secuencia de confirmación.
Guarde la configuración del WLC actual.
El ISE debe configurarse como sondas para que los terminales tengan un perfil eficaz. De forma predeterminada, estas opciones están desactivadas. Esta sección muestra cómo configurar ISE para que se convierta en sondas.
Desde la administración de ISE, vaya a Administration > System > Deployment.
Elija ISE. Haga clic en Editar host ISE.
En la página Editar nodo, seleccione Configuración de perfiles y configure lo siguiente:
DHCP: Activado, Todos (o predeterminado)
DHCPSPAN: Activado, Todos (o predeterminado)
HTTP: Activado, Todos (o predeterminado)
RADIUS: Habilitado, N/D
DNS: Habilitado, N/D
Vuelva a asociar los dispositivos (iPhone/iPads/Droids/Mac, etc.).
Confirme las identidades de los terminales ISE. Vaya a Administración > Gestión de identidades > Identidades. Haga clic en Terminales para mostrar los perfiles que se han definido.
Nota: El perfil inicial proviene de sondas RADIUS.
De forma inmediata, ISE proporciona una biblioteca de varios perfiles de terminal. Complete estos pasos para habilitar los perfiles para los dispositivos:
En ISE, vaya a Policy > Profiles.
Desde el panel izquierdo, expanda Políticas de generación de perfiles.
Haga clic en Apple Device > Apple iPad y establezca lo siguiente:
Política habilitada: Habilitado
Crear grupo de identidades coincidentes: Selected (seleccionado)
Haga clic en Apple Device > Apple iPhone, establezca lo siguiente:
Política habilitada: Habilitado
Crear grupo de identidades coincidentes: Selected (seleccionado)
Haga clic en Android, establezca lo siguiente:
Política habilitada: Habilitado
Crear grupo de identidades coincidentes: Selected (seleccionado)
Complete estos pasos para configurar una redirección de estado de la política de autorización que permita redirigir nuevos dispositivos a ISE para una detección y definición de perfiles adecuadas:
En ISE, vaya a Policy > Policy Elements > Results.
Expanda Autorización. Haga clic en Perfiles de autorización (panel izquierdo) y haga clic en Agregar.
Cree el perfil de autorización con lo siguiente:
Nombre: Posture_Remediation
Tipo de acceso: Access_Accept
Herramientas comunes:
Detección de estado, habilitado
Detección de estado, ACL ACL-POSTURE-REDIRECT
Haga clic en Enviar para completar esta tarea.
Confirme que se agrega el nuevo perfil de autorización.
La adición de un perfil de autorización para un empleado permite a ISE autorizar y permitir el acceso con los atributos asignados. La VLAN 11 del empleado se asigna en este caso.
Complete estos pasos:
En ISE, vaya a Policy > Results. Expanda Autorización, luego haga clic en Perfiles de Autorización y haga clic en Agregar.
Introduzca lo siguiente para el perfil de autorización de empleado:
Nombre: Employee_Wireless
Tareas comunes:
VLAN, habilitado
VLAN, subvalor 11
Haga clic en Enviar para completar esta tarea.
Confirme que se ha creado el nuevo perfil de autorización de empleados.
La adición de un perfil de autorización para un contratista permite a ISE autorizar y permitir el acceso con los atributos asignados. La VLAN 12 del contratista se asigna en este caso.
Complete estos pasos:
En ISE, vaya a Policy > Results. Expanda Autorización, luego haga clic en Perfiles de Autorización y haga clic en Agregar.
Introduzca lo siguiente para el perfil de autorización de empleado:
Nombre: Employee_Wireless
Tareas comunes:
VLAN, habilitado
VLAN, subvalor 12
Haga clic en Enviar para completar esta tarea.
Confirme que se ha creado el perfil de autorización del contratista.
Se sabe muy poca información sobre un nuevo dispositivo cuando entra por primera vez en la red, un administrador creará la política adecuada para permitir que se identifiquen los terminales desconocidos antes de permitir el acceso. En este ejercicio, se creará la política de autorización de modo que un nuevo dispositivo se redirija a ISE para la evaluación de estado (en el caso de los dispositivos móviles no tienen agentes, por lo que sólo es pertinente la definición de perfiles); los terminales se redirigirán al portal cautivo de ISE y se identificarán.
Complete estos pasos:
En ISE, vaya a Policy > Authorization.
Existe una política para los teléfonos IP de Cisco con perfil. Esto está fuera de lugar. Edite esto como una política de estado.
Introduzca los valores siguientes para esta política:
‘Nombre de la regla Posture_Remediation
Grupos de identidad: cualquiera
Otras condiciones > Crear nuevo: Sesión (avanzada) > EstadoDeEstado
PostureStatus > Es igual a: Desconocido
Establezca lo siguiente para los permisos:
Permisos > Estándar: Posture_Remediation
Click Save.
Nota: Alternativamente, se pueden crear elementos de políticas personalizados para facilitar el uso.
Se puede realizar una demostración sencilla para mostrar que ISE está creando perfiles adecuados de un nuevo dispositivo en función de la política de estado.
En ISE, vaya a Administration > Identity Management > Identities.
Haga clic en Terminales. Asocie y conecte un dispositivo (un iPhone en este ejemplo).
Actualice la lista de terminales. Observe qué información se proporciona.
Desde el dispositivo terminal, vaya a:
URL: http://www (o 10.10.10.10)
El dispositivo se redirige. Acepte cualquier solicitud de certificados.
Después de que el dispositivo móvil se haya redirigido completamente, desde ISE actualice de nuevo la lista de terminales. Observe lo que ha cambiado. El terminal anterior (por ejemplo, Apple-Device) debería haber cambiado a "Apple-iPhone", etc. La razón es que la sonda HTTP obtiene efectivamente la información de usuario-agente, como parte del proceso de redireccionamiento al portal cautivo.
Después de probar con éxito la autorización de estado, siga creando políticas para admitir el acceso diferenciado para el empleado y el contratista con dispositivos conocidos y diferentes asignaciones de VLAN específicas para la función de usuario (en este escenario, Empleado y Contratista).
Complete estos pasos:
Vaya a ISE > Policy > Authorization.
Agregue/inserte una nueva regla encima de la línea/política de corrección de estado.
Introduzca los valores siguientes para esta política:
‘Nombre de la regla Empleado
Grupos de identidad (expandir): Grupos de identidades de terminales
Grupos de identidades de terminales: Perfil
Perfil: Android, Apple-iPad o Apple-iPhone
Para especificar tipos de dispositivo adicionales, haga clic en el + y agregue más dispositivos (si es necesario):
Grupos de identidades de terminales: Perfil
Perfil: Android, Apple-iPad o Apple-iPhone
Especifique los valores de Permisos siguientes para esta política:
Otras condiciones (expandir): Crear nueva condición (opción avanzada)
Condition > Expression (from list): InternalUser > Name
InternalUser > Name: empleado
Agregue una condición para la sesión de estado Conforme a:
Permisos > Perfiles > Estándar: Employee_Wireless
Click Save. Confirme que la política se ha agregado correctamente.
Continuar añadiendo la política del Contratista. En este documento, la política anterior se duplica para acelerar el proceso (o, puede configurar manualmente para una buena práctica).
En la directiva Empleado > Acciones, haga clic en Duplicar a continuación.
Edite los campos siguientes para esta directiva (copia duplicada):
‘Nombre de la regla Contratista
Otras condiciones > Usuario interno > Nombre: contratista
Permisos: Contratista_Inalámbrico
Click Save. Confirme que la copia duplicada anterior (o la nueva política) esté configurada correctamente.
Para obtener una vista previa de las políticas, haga clic en Policy-at-a-Glance.
La vista de resumen de políticas proporciona una política consolidada resumida y fácil de ver.
Con los perfiles de autorización y las políticas preparadas para diferenciar el acceso, ha llegado el momento de probar. Al disponer de una única WLAN segura, se asignará a un empleado la VLAN del empleado y un contratista será para la VLAN del contratista. En los siguientes ejemplos se utiliza un iPhone/iPad de Apple.
Complete estos pasos:
Conéctese a la WLAN segura (POD1x) con el dispositivo móvil y utilice estas credenciales:
Nombre de usuario: empleado
Contraseña XXXXX
Haga clic en Unirse. Confirme que el empleado tiene asignada la VLAN 11 (VLAN del empleado).
Haga clic en Olvidar esta red. Confirme haciendo clic en Olvidar.
Vaya a WLC y elimine las conexiones de cliente existentes (si se utilizó lo mismo en los pasos anteriores). Navegue hasta Monitor > Clients > MAC address y luego haga clic en Remove.
Otra forma segura de borrar las sesiones anteriores del cliente es inhabilitar/habilitar la WLAN.
Vaya a WLC > WLANs > WLAN y luego haga clic en la WLAN para editar.
Desactive la casilla Enabled > Apply (para desactivar).
Marque la casilla de verificación Enabled > Apply (para volver a habilitar).
Vuelva al dispositivo móvil. Vuelva a conectarse a la misma WLAN con estas credenciales:
Nombre de usuario: contratista
Contraseña XXXX
Haga clic en Unirse. Confirme que el usuario del contratista tenga asignada la VLAN 12 (VLAN del contratista/invitado).
Puede ver la vista de registro en tiempo real de ISE en ISE > Monitor > Authorizations. Debe ver que los usuarios individuales (empleados, contratistas) obtienen perfiles de autorización diferenciados (Employee_Wireless_vsContractor_Wireless) en diferentes VLAN.
Complete estos pasos para agregar una WLAN de invitado para permitir que los invitados accedan al portal de invitados del patrocinador ISE:
Desde el WLC, navegue hasta WLANs > WLANs > Add New.
Introduzca lo siguiente para la nueva WLAN de invitado:
Nombre del perfil: pod1guest
SSID: pod1guest
Haga clic en Apply (Aplicar).
Introduzca lo siguiente en la ficha WLAN > General de invitado:
Estado: Inhabilitado
Grupo de Interfaz/Interfaz: Guest
Navegue hasta WLAN de invitado > Seguridad > Capa 2 e ingrese lo siguiente:
Seguridad de capa 2: Ninguno
Navegue hasta la ficha WLAN > Security > Layer3 de invitado e introduzca lo siguiente:
Seguridad de capa 3: Ninguno
Política web: Habilitado
Subvalor de política web: Autenticación
ACL de autenticación previa: ACL-POSTURE-REDIRECT
Tipo de autenticación web: Externa (redirección a servidor externo)
URL: https://10.10.10.70:8443/guestportal/Login.action
Haga clic en Apply (Aplicar).
Asegúrese de guardar la configuración del WLC.
Ahora, puede probar la configuración de la WLAN de invitado. Debe redirigir a los invitados al portal de invitados de ISE.
Complete estos pasos:
Desde un dispositivo con iOS como un iPhone, navegue hasta Redes Wi-Fi > Activar. A continuación, seleccione la red de invitados POD.
Su dispositivo iOS debe mostrar una dirección IP válida de la VLAN de invitado (10.10.12.0/24).
Abra el explorador Safari y conéctese a:
URL: http://10.10.10.10
Aparece una redirección de autenticación Web.
Haga clic en Continuar hasta que llegue a la página del portal de invitados de ISE.
La siguiente captura de pantalla de ejemplo muestra el dispositivo iOS en un Inicio de sesión en el portal de invitados. Esto confirma que la configuración correcta para el portal de invitados WLAN e ISE está activa.
ISE se puede configurar para permitir el patrocinio de invitados. En este caso, configurará las políticas de invitado de ISE para permitir que los usuarios de dominio interno o AD (si están integrados) patrocinen el acceso de invitado. También configurará ISE para que los patrocinadores puedan ver la contraseña de invitado (opcional), lo que resulta útil para este laboratorio.
Complete estos pasos:
Agregue el usuario del empleado al grupo SponsorAllAccount. Hay diferentes maneras de hacerlo: vaya directamente al grupo o edite el usuario y asigne el grupo. Para este ejemplo, navegue hasta Administración > Administración de identidades > Grupos > Grupos de identidades de usuario. A continuación, haga clic en SponsorAllAccount y agregue el usuario del empleado.
Vaya a Administration > Guest Management > Sponsor Groups.
Haga clic en Editar y luego elija PatrocinadorTodasCuentas.
Seleccione Niveles de autorización y establezca lo siguiente:
Ver contraseña de invitado: Yes
Haga clic en Guardar para completar esta tarea.
Anteriormente, ha configurado la política de invitado y los grupos adecuados para permitir que el usuario de dominio AD patrocine invitados temporales. A continuación, accederá al portal de patrocinadores y creará un acceso temporal para invitados.
Complete estos pasos:
Desde un navegador, navegue hasta cualquiera de estas URL: http://<ise ip>:8080/patroportal/ o https://<ise ip>:8443/patroportal/. A continuación, inicie sesión con lo siguiente:
Nombre de usuario: aduser (Active Directory), empleado (Usuario interno)
Contraseña XXXX
En la página Patrocinador, haga clic en Crear una sola cuenta de usuario invitado.
Para un invitado temporal, agregue lo siguiente:
Nombre: Requerido (por ejemplo, Sam)
Apellidos: Requerido (por ejemplo, Jones)
Función de grupo: Guest
Perfil de tiempo: DefaultOneHour
Zona horaria: Any/Default
Haga clic en Submit (Enviar).
Se crea una cuenta de invitado en función de la entrada anterior. Tenga en cuenta que la contraseña es visible (desde el ejercicio anterior) en lugar del hash ***.
Deje esta ventana abierta mostrando el nombre de usuario y la contraseña del invitado. Los utilizará para probar el inicio de sesión en el portal de invitados (siguiente).
Con la nueva cuenta de invitado creada por un usuario/patrocinador de AD, es hora de probar el portal de invitados y el acceso.
Complete estos pasos:
En un dispositivo preferido (en este caso un Apple iOS / iPad), conéctese al Pod Guest SSID y verifique la dirección IP /conectividad.
Utilice el explorador e intente navegar a http://www.
Se le redirige a la página Inicio de sesión del portal de invitados.
Inicie sesión con la cuenta de invitado creada en el ejercicio anterior.
Si se realiza correctamente, aparecerá la página Política de uso aceptable.
Marque Aceptar términos y condiciones y luego haga clic en Aceptar.
Se completa la dirección URL original y se permite el acceso del terminal como invitado.
Para proteger las comunicaciones con ISE, determine si la comunicación está relacionada con la autenticación o con la administración de ISE. Por ejemplo, para la configuración mediante la interfaz de usuario web de ISE, los certificados X.509 y las cadenas de confianza de certificados deben configurarse para habilitar el cifrado asimétrico.
Complete estos pasos:
Desde el PC conectado por cable, abra una ventana del explorador en https://AD/certsrv.
Nota: Utilice el HTTP seguro.
Nota: Utilice Mozilla Firefox o MS Internet Explorer para acceder a ISE.
Inicie sesión como administrator/Cisco123.
Haga clic en Descargar un certificado de CA, cadena de certificado o CRL.
Haga clic en Descargar certificado de CA y guárdelo (observe la ubicación de guardado).
Abra una ventana del navegador a https://<Pod-ISE>.
Vaya a Administration > System > Certificates > Certificates Authority Certificates.
Seleccione la operación Certificados de Autoridad de Certificados y busque el certificado de CA descargado previamente.
Seleccione Trust for client with EAP-TLS y luego envíe.
Confirme que la CA se ha agregado confiable como CA raíz.
Desde un navegador, vaya a Administration > System > Certificates > Certificates Authority Certificates.
Haga clic en Agregar y, a continuación, Generar solicitud de firma de certificado.
Envíe estos valores:
Asunto del certificado: CN=ise.corp.rf-demo.com
Longitud de la clave: 2048
ISE solicita que la CSR esté disponible en la página CSR. Click OK.
Seleccione la CSR en la página ISE CSR y haga clic en Exportar.
Guarde el archivo en cualquier ubicación (por ejemplo, Descargas, etc.)
El archivo se guardará como *.pem.
Busque el archivo CSR y edite con Notepad/Wordpad/TextEdit.
Copie el contenido (Seleccione todo > Copiar).
Abra una ventana del navegador a https://<Pod-AD>/certsrv.
Haga clic en Solicitar un certificado.
Haga clic para enviar una solicitud de certificado avanzada.
Pegue el contenido CSR en el campo Solicitud guardada.
Seleccione Servidor Web como Plantilla de Certificado y haga clic en Enviar.
Seleccione DER codificado y luego haga clic en Descargar certificado.
Guarde el archivo en una ubicación conocida (por ejemplo, Descargas)
Vaya a Administration > System > Certificates > Certificates Authority Certificates.
Haga clic en Agregar > Enlazar certificado CA.
Busque el certificado de CA descargado anteriormente.
Seleccione tanto Protocol EAP como Management Interface y luego haga clic en Submit.
Confirme que la CA se ha agregado confiable como CA raíz.
ISE puede comunicarse directamente con Active Directory (AD) para la autenticación de usuario/máquina o para recuperar la información de autorización de atributos de usuario. Para comunicarse con AD, ISE debe estar "unido" a un dominio AD. En este ejercicio, se unirá a ISE en un dominio AD y confirmará que la comunicación AD funciona correctamente.
Complete estos pasos:
Para unirse a ISE al dominio AD, desde ISE vaya a Administration > Identity Management > External Identity Sources.
En el panel izquierdo (External Identity Sources), seleccione Active Directory.
En el lado derecho, seleccione la ficha Connection e introduzca lo siguiente:
Nombre de dominio: corp.rf-demo.com
Nombre del almacén de identidad: AD1
Haga clic en Probar conexión. Introduzca el nombre de usuario de AD (aduser/Cisco123) y, a continuación, haga clic en Aceptar.
Confirme que el Estado de la prueba muestra Prueba correcta.
Seleccione Mostrar registro detallado y observe los detalles útiles para la resolución de problemas. Para continuar, haga clic en OK (Aceptar).
Haga clic en Guardar configuración.
Haga clic en Unirse. Introduzca el usuario de AD (administrator/Cisco123) y, a continuación, haga clic en Aceptar.
Confirme que Join Operation Status (Estado de la operación) muestra Succeeded (Correcto) y, a continuación, haga clic en OK para continuar.
El estado de la conexión del servidor muestra CONNECTED. Si este estado cambia en cualquier momento, una conexión de prueba ayudará a resolver problemas con las operaciones de AD.
Cuando se agregan grupos AD, se permite un control más granular de las políticas de ISE. Por ejemplo, los grupos AD se pueden diferenciar por funciones funcionales, como los grupos de empleados o contratistas, sin que el error relacionado se experimente en ejercicios anteriores de ISE 1.0, donde las políticas se limitaban sólo a los usuarios.
En este laboratorio, sólo se utilizan los usuarios de dominio y/o el grupo Empleado.
Complete estos pasos:
Desde ISE, vaya a Administración > Administración de identidades > Orígenes de identidad externos.
Seleccione la ficha Active Directory > Groups.
Haga clic en +Agregar y, a continuación, seleccione Grupos en el directorio.
En la ventana de seguimiento (Seleccionar grupos de directorios), acepte los valores predeterminados para dominio (corp-rf-demo.com) y Filtro (*). A continuación, haga clic en Recuperar grupos.
Seleccione los cuadros para los grupos Usuarios y Empleados. Haga clic en Aceptar cuando haya terminado.
Confirme que los grupos se han agregado a la lista.
De forma predeterminada, ISE está configurado para utilizar usuarios internos para el almacén de autenticación. Si se agrega AD, se puede crear un orden de secuencia de prioridad para incluir el AD que ISE utilizará para comprobar la autenticación.
Complete estos pasos:
En ISE, vaya a Administration > Identity Management > Identity Source Sequences.
Haga clic en +Agregar para agregar una nueva secuencia.
Introduzca el nuevo nombre: AD_Internal. Agregue todos los orígenes disponibles al campo Seleccionado. A continuación, vuelva a realizar el pedido según sea necesario para que AD1 se mueva a la parte superior de la lista. Haga clic en Submit (Enviar).
Confirme que la secuencia se ha agregado a la lista.
ISE se puede configurar para permitir que los invitados se patrocinen con políticas a fin de permitir que los usuarios del dominio AD patrocinen el acceso de invitados.
Complete estos pasos:
En ISE, vaya a Administration > Guest Management > Settings.
Expanda Patrocinador y haga clic en Origen de autenticación. A continuación, seleccione AD_Internal como Secuencia del almacén de identidad.
Confirme AD_Internal como la secuencia del almacén de identidad. Click Save.
Vaya a Administration > Guest Management > Sponsor Group Policy.
Insertar nueva política Por encima de la primera regla (haga clic en el icono Acciones de la derecha).
Para la nueva política de grupo de patrocinadores, cree lo siguiente:
‘Nombre de la regla Usuarios de dominio
Grupos de identidad: cualquiera
Otras condiciones: (Crear nuevo/avanzado) > AD1
AD1: Grupos externos
AD1 External Groups > Equals > corp.rf-demo.com/Users/Domain Users
En Grupos de patrocinadores, establezca lo siguiente:
Grupos de patrocinadores: PatrocinadorTodasCuentas
Vaya a Administration > Guest Management > Sponsor Groups.
Seleccione Edit > SponsorAllAccounts.
Seleccione Niveles de autorización y establezca lo siguiente:
Ver contraseña de invitado: Yes
Configure SPAN - La interfaz de sonda/mgt ISE es L2 adyacente a la interfaz de administración del WLC. El switch se puede configurar en SPAN y otras interfaces, como VLAN de interfaz de empleado e invitado.
Podswitch(config)#monitor session 1 source vlan10 , 11 , 12 Podswitch(config)#monitor session 1 destination interface Fa0/8 ISE virtual probe interface.
Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD ) usando un portátil inalámbrico Apple Mac OS X. Saltar si no procede.
En un Mac, vaya a los parámetros de WLAN. Habilite WIFI y, a continuación, seleccione y conéctese al SSID de POD habilitado para 802.1X creado en el ejercicio anterior.
Proporcione la siguiente información para conectarse:
Nombre de usuario: aduser (si utiliza AD), empleado (internal - Employee), contratista (internal - Contractor)
Contraseña XXXX
802.1X: Automático
Certificado TLS: Ninguno
En este momento, es posible que el portátil no se conecte. Además, ISE puede producir un evento fallido de la siguiente manera:
Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain
Vaya al parámetro System Preference > Network > Airport > 802.1X y establezca el nuevo POD SSID/ WPA profile Authentication como:
TLS: Inhabilitado
PEAP: Habilitado
TTLS: Inhabilitado
EAP-FAST: Inhabilitado
Haga clic en Aceptar para continuar y permitir que se guarde la configuración.
En la pantalla Network (Red), seleccione el SSID adecuado + el perfil WPA 802.1X y haga clic en Connect (Conectar).
El sistema puede solicitar un nombre de usuario y una contraseña. Introduzca el usuario y la contraseña de AD (aduser/XXXX) y, a continuación, haga clic en Aceptar.
El cliente debe mostrar Connected a través de PEAP con una dirección IP válida.
Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD) usando un portátil inalámbrico de Windows XP. Saltar si no procede.
Complete estos pasos:
En el portátil, vaya a los parámetros de WLAN. Habilite WIFI y conéctese al POD SSID habilitado para 802.1X creado en el ejercicio anterior.
Acceda a las propiedades de red de la interfaz WIFI.
Vaya a la pestaña Redes inalámbricas. Seleccione el grupo de propiedades de red SSID > ficha Authentication > EAP type = Protected EAP (PEAP).
Haga clic en EAP Properties .
Establezca lo siguiente:
Validar certificado de servidor: Inhabilitado
método de autentificación: Contraseña segura (EAP-MSCHAP v2)
Haga clic en Aceptar en todas las ventanas para completar esta tarea de configuración.
El cliente de Windows XP solicita el nombre de usuario y la contraseña. En este ejemplo, es aduser/XXXX.
Confirme la conectividad de red, el direccionamiento IP (v4).
Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD) usando un portátil inalámbrico Windows 7.
En el portátil, vaya a los parámetros de WLAN. Habilite WIFI y conéctese al POD SSID habilitado para 802.1X creado en el ejercicio anterior.
Acceda al administrador inalámbrico y edite el nuevo perfil inalámbrico POD.
Establezca lo siguiente:
método de autentificación: PEAP
Recordar mis credenciales..: Inhabilitado
Validar certificado de servidor (configuración avanzada): Inhabilitado
Método de autenticación (adv. Configuración): EAP-MSCHAP v2
Utilizar automáticamente mi inicio de sesión de Windows..: Inhabilitado