Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 3
© Logicalis 2012
Section 1. Introducción
El presente documento describe la implementación de ISE (Identity Service
Engine) en la red de ANTEL
Hostname IP Dispositivo
ISE-01.in.iantel.com.uy 10.34.140.1 Cisco ISE V.1.1.1
ISE-02.in.iantel.com.uy 10.34.140.2 Cisco ISE V.1.1.1
Switch-Test 10.33.3.85 Switch CISCO 2960
Section 3. Instalación ISE-01 e ISE-02
Luego de creadas las VMs, según los requerimientos del documento Cisco Identity
Services Engine Hardware Installation Guide, Release 1.1; se procede a poner el
DVD con la versión 1.1.1 y se procede a la instalación (llevo 30 minutos
aproximadamente). Al principio, se presenta un menú con 4 opciones, tal como
muestra la siguiente figura.
El password es el de Web
Se instalan las licencias que compro Antel, base para 2850 dispositivos y
2500 para Advance. Se va a:
Patches:
ISE-01/admin#
Luego se verifico que estos patchs estaba también instalado en el otro nodo.
Failover Layer 3:
Esta definido el nodo ISE-01 con todos los roles, el nodo ISE-02 se puede
promover como primario.
Configuración actual
!
aaa new-model
!
aaa authentication login primario group radius local
aaa authentication login console local
!
radius-server host 10.34.140.152 auth-port 1812 acct-port 1813
radius-server host 10.34.140.250 auth-port 1812 acct-port 1813
radius-server key 7 050809023442470A18061E1D050917647974786A
!
snmp-server community redespc RO
snmp-server host 10.34.140.145 redespc
snmp-server host 10.34.17.120 redespc
!
line con 0
exec-timeout 480 0
privilege level 15
password 7 1415130807032B2629273D
login authentication console
line vty 0 4
exec-timeout 480 0
authorization exec telnet
login authentication primario
transport input ssh
line vty 5 15
exec-timeout 480 0
login authentication primario
transport input ssh
!
Nota: una vez que se tenga la IP de las nuevas VMs que van a cumplir el
role de Policy Server, conviene agregarlos en la configuración
La nueva configuración es la siguiente:
Configuración Radius
Atributo Valor
Nombre SW-2960-LAB
IP Adress 10.33.3.85
Network Device Group:Device Type Default
Luego se elije la opción Join y se pide usuario y contraseña del dominio (no
es necesario que sea administrador. Con las credenciales de un usuario que
pueda integrar una Workstation al dominio ya alcanza). Luego se da el click
en Ok.
Administration>System>Setting>Posture>Profiling
Configuración SNMP
snmp-server community ciscoro RO
snmp-server community ciscorw RW
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification change move
snmp-server host 10.34.140.1 version 2c ciscoro
snmp-server host 10.34.140.2 version 2c ciscoro
Section 11. Dispositivos
Para crear una nueva regla de authorization, voy a:
Authorization
Downloadable ACL´s:
Policy>Results>Authorization>Downloadable ACL
Attribute Value
Name AD_LOGIN_ACCESS
Description Acceso a servidores del dominio
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit tcp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
permit udp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8909
permit udp any any
Attribute Value
Name POSTURE_REMEDIATION
Description Posture Remediation
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit ip any host 10.34.22.22
permit ip any network 10.34.34.0 255.255.255.0
permit ip any host 10.34.35.150
permit ip any host 10.34.35.1
permit tcp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
permit udp any host 10.34.140.2 eq 8909
permit udp any any
Attribute Value
Name PERMIT_NO_COMPLIANT
Description Acceso de usuarios no compliant. Permite
Navegacion, AV, Correo Web, Correo Outlook y
acceso servidores Dominio
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit ip any host 10.34.22.22
permit ip any host 10.34.35.150
permit ip any host 10.34.35.1
permit tcp any host 10.34.140.157 eq 80
permit tcp any host 10.34.140.157 eq 1745
permit tcp any host 10.34.140.181 eq 80
permit tcp any host 10.34.140.181 eq 1745
permit tcp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
permit udp any host 10.34.140.2 eq 8909
permit udp any any
Attribute Value
Name PERMIT_ALL_TRAFFIC
Description Allow all Traffic
DACL Content permit ip any any
Por ejemplo, el menú que se despliega para la creación del Access List
AD_LOGIN_ACCESS es el siguiente:
Authorization Profiles:
Policy>Results>Authorization>Authorization Profiles
Attribute Value
Name Domain-Computer
Description ACCESS_ACCEPT
DACL Content AD_LOGIN_ACCESS
Attribute Value
Name Domain_User
Description ACCESS_ACCEPT
DACL Content PERMIT_ALL_TRAFFIC
Attribute Value
Name Domain_User_Unknown
Description ACCESS_ACCEPT
DACL Content PERMIT_ALL_TRAFFIC
Administration>Identity Managament>Identities>Users
Policy>Results>Client Provisioning>Resources
Apply Defined Authorization Policy: User debe ingresar a la red usando las
politicas standars de autenticación y autorización.
Policy>Results>Client Provisioning>Resources
`
Agent Profile “ProfileWindows_ANTEL”:
Referencias
Policy>Client Provisioning
Rule Identity Operating Conditions Results Is
Name Group Systems Upgrade
Mandatory
Red Any Windows AD1:ExternalGroups WebAgent
Antel All EQUALS 4.9.0.23+ []
net.in.iantel.com.uy/Users/Domain ProfileWindows
Users + Compliance
3.5.2221.2
No Guest Windows - WebAgent [x]
Antel All 4.9.0.23
Dado que los usuarios no son administradores, los mismos no pueden bajar
el NAC Agent. Por lo tanto, si un usuario no tiene el cliente al mismo se le
bajará el aplicativo Web.
Policy>Results>Authorization>Authorization Profiles
Attribute Value
Name Posture_Remediation
Access Type ACCESS_ACCEPT
DACL Name POSTURE_REMEDIATION
Web Posture Discovery
Authentication ACL : ACL-POSTURE-REDIRECT
(url=https://ip:port/guestportal/Gateway?sessionId=SessionIdValue&action=cpp)
Attribute Value
Name CWA_Posture_Remediation
Access Type ACCESS_ACCEPT
DACL Name POSTURE_REMEDIATION
Web Centralized
Authentication ACL : ACL-POSTURE-REDIRECT Redirect : Default
(url=https://ip:port/guestportal/gateway?sessionId=SessionIdValue&action=cwa)
Posture
Policy>Condition>Posture>AV Compound
Policy>Condition>Posture>Registry
Postura aplicada para equipos de Antel en la que se requiere tener una llave de registro
dentro de windows con el fin de validar que equipo sea parte del dominio.
Policy>Condition>Posture>AV Compound
Postura aplicada para usuarios y equipos no pertenecientes a Antel en la que se requiere
tener instalado cualquier antivirus.
Policy>Results>Requeriments
Policy Policy:
Policy>Posture
Guest
Por ejemplo, el grupo “Helpdesk Admin Menu Access” tiene los siguientes
privilegios:
Para ello:
1) Condiciones:
Instalación silenciosa
Instalación silenciosa