Hola. Soy Eduardo Aliaga. Mi correo para cualquier comentario y también para cursos de capacitación en networking es cisco@ecitec.net.

Transcripción

1 Hola. Soy Eduardo Aliaga. Mi correo para cualquier comentario y también para cursos de capacitación en networking es cisco@ecitec.net. Tengo casi 10 años de experiencia en diseño e implementación de redes, sobretodo en equipos Cisco, aunque también he manejado varios proyectos de integración de múltiples fabricantes. En relación al tema de control de acceso (802.1x, NAC) tengo ya 4 años de experiencia. En base a eso he realizado el siguiente paso a paso que espero les sea útil. El siguiente tutorial está realizado con ISE A la fecha la versión ISE 1.2 todavía no está disponible. Este tutorial considera el caso de usuarios de Active Directory 2008 que pertenecen al grupo domain users. Si dichos usuarios tienen el agente NAC instalado y si dicho agente NAC verifica que el endpoint tiene antivirus y antispyware instalado, en dicho caso el endpoint ingresa a red, en caso contrario no y lo redirigirá al portal de postura. 1. TAREAS PREVIAS a. Unir el ISE al AD Navegar a Administration > Identity Management > External Identity Source y allí agregar el Active Directory. Notar que Active Directory 2012 no está soportado. b. Agregar los grupos de Active Directory que sean necesarios, por ej. Domain Users c. Cargar los recursos de Client Provisioning Si el ISE no tiene acceso a internet entonces el ingeniero deberá bajar por lo menos el NACAgent del ISE del portal de software de Cisco y luego escoger Agent resources from local disk y subir dicho agente. Los otros recursos que aparecen en la figura no son obligatorios

2 d. Cargar los posture updates Si se tiene acceso a internet entonces hacer click en update now. En caso contrario el ingeniero deberá navegar a la web y bajar el archivo posture-offline.zip. Hacer click en offline, seleccionar el archivo postureoffline.zip y proceder a hacer el update

3 e. Agregar el WLC al ISE

4 2. AUTENTICACION Crear las condiciones de autenticación. Usaremos Wireless_802.x. Esta condición le hace match a los intentos de acceso a red que sean wireless 802.1x. Se usarán los allowed protocols que vienen por defecto. Los authentication policies son como rompecabezas y las condiciones de autenticación, los allowed protocols y el Active Directory creados en los pasos anteriores son como las piezas de dicho rompecabezas. Crearemos el authentication policy llamado WLC-DOT1X. Dejaremos desactivadas los demás policies a excepción de la default rule la cual no se puede desactivar. La default rule la dejaremos tal cual está.

5 3. AUTORIZACION Sólo después de autenticar al usuario viene el proceso de autorización. a) Postura desconocida Crearemos la condición WLC-DOT1X-UNKNOWN-POSTURE para detectar endpoints que todavía no hayan pasado por el proceso de postura (o sea el escaneo del agente NAC o agente NAC WEB) El authorization profile es la acción que se realizará después de hacer match a un authorization condition. Crearmos WLC-DOT1X-UNKNOWN para enviar al portal de postura a todos aquellos endpoints que tengan las postura desconocida. Esto forzará el escaneo del agente NAC ( o agente WEB según sea el caso)

6 b)postura compliant Crearemos la condición WLC-DOT1X-COMPLIANT-POSTURE para detectar endpoints que hayan pasado exitosamente por el proceso de postura (o sea el escaneo del agente NAC o agente NAC WEB) Crearemos el authorization profile llamado WLC-DOT1X-COMPLIANT para permitir el acceso total a todos aquellos endpoints que hayan hecho match a la condición WLC-DOT1X-COMPLIANT-POSTURE

7 c) Authorization policies Creamos las authorization policies, las cuales correlacionan las authorization conditions con sus respectivos authorization profiles. 4) POLITICAS DE CLIENT PROVISIONING Las reglas de postura desconocida redigiren a los endpoints hacia el portal de postura. Pero qué agentes se usarán en dicho portal de postura? Para determinar eso se usan las reglas de client provisioning. Estas reglas determinan quién usa el agente NAC y quién usa el agente web. Estas reglas también le indican al portal de postura cuál de los agentes debe bajarse y autoinstalarse en caso ningún agente esté instalado. Estas reglas no se usan a menos que sean llamadas por el atributo Posture durante el proceso de autorización. Escoger Windows y el último agente NAC disponible. Los demás parámetros no son obligatorios. 5) POLITICAS DE POSTURA BASICAS (POR DEFECTO) Si es que en el paso 1.d se cargaron los posture updates correctamente entonces aparecerán reglas de posture policy automáticamente. Las reglas que aparecen por defecto son de Antivirus y antispyware tanto para MAC OSX como para Windows. Sin embargo todas están deshabilitadas por defecto. Habilitar las 4 reglas de Windows y configurar los requirements como audit, lo cual significa que sólo se va a monitorear la postura pero no se va a forzar ninguna política.

8 6) REPORTES DE POSTURA Aquí se puede ver cuáles requerimientos de postura han sido cumplidos y cuáles no.

9 7) CONFIG DE WIRELESS LAN CONTROLLER a) Config de los ACLS mencionados en la config del ISE POSTURE-ACL : Permitir DNS, ICMP, IP de Active Directory (global controller) y también las IPs de los ISE. Denegar lo demás. En este caso denegar significa redirigir al portal de postura. PERMIT-ALL b) Crear los servidores Radius en el WLC c) Config del SSID

10

11 Recordar que la configuración DHCP del WLC presenta muchísimas variantes(por ej. si el DHCP es el propio WLC o si hay un DHCP externo). En este ejemplo se asume un DHCP externo. Además si se usa DHCP externo es necesario configurar DHCP proxy en el WLC. Esta configuración no se muestra en este documento.

12 8) OPCIONAL (POLITICAS DE POSTURA AVANZADAS)

13

14

15