Neben der Cisco ISE wird in unserem Network Access Control mit Cisco ISE Kurs auch die notwendige Peripherie wie ein Active Directory und eine Microsoft PKI mit einbezogen. Die Möglichkeiten von Profiling und Posture Assessment zur weitergehenden Kontrolle werden vorgestellt.
Network Access Control mit Cisco ISE
Network Access Control mit Cisco ISE: IEEE 802.1X, Guest Access und Trust Sec
Bedingt durch die zunehmende Dynamik von Endgeräten und Benutzern können heute LAN und WLAN-Netze nicht mehr als ausreichend sicher angesehen werden. Es sind zusätzliche Maßnahmen erforderlich, um den Zugriff auf diese abzusichern (NAC) und die Netze Kontext-basiert zu segmentieren. Die Cisco ISE ermöglicht es Administratoren, zentral zu entscheiden, wer (Authentisierung) unter bestimmten Bedingungen (Context) welche Rechte zugewiesen bekommt (Autorisierung).
Die Authentisierung kann in LAN/WLAN-Umgebungen zum einen über MAB oder IEEE 802.1X, aber auch über WebAuth erfolgen. Letzteres spielt insbesondere im Zusammenhang mit Guest Access und BYOD eine bedeutende Rolle.
Den Benutzern lässt sich über RADIUS eine Vielzahl von Rechten zuweisen. Die Kontrolle der Kommunikation kann z. B. über statische oder dynamische Access Lists erfolgen. Eine Segmentierung kann über VLANs oder auch über SGTs erfolgen. In letzterem Fall arbeitet die ISE eng mit dem Cisco DNA-Center zusammen.
Lernziele Cisco ISE und TrustSec
Inhalte Cisco ISE und TrustSec
Network Access, IEEE 802.1X und AAA
- Network Access Control im Überblick
- Hintergründe zu IEEE 802.1X
- EAP-Methoden
- RADIUS – EAP und weitere Attribute
- Den Authenticator einrichten
- Switches als Network Access Device
- Konfiguration im WLAN
- Der Supplicant als Client
- Anyconnect NAM
- Native Windows Supplicant
- TACACS+
ISE Grundkonfiguration
- ISE-Konzept
- Das ISE 2.x-Lizenzmodell (1/3)
- Das ISE 3.x Lizenzmodell
- Installation der ISE (1/3)
- ADE OS-Konfiguration
- Die ISE über die CLI verwalten
- ISE-Access
- ISE GUI
- Launch Menü
- Zertifikate und ISE
- Admin Access
- Maintenance
- Backup
- Policy Export
- ISE– Basic Settings
- Deployments
- Node Registration
- Zertifikatsverwaltung im Deployment
- Redundanz in ISE-Deployments
- Network Access Devices
- Network Device Groups
- Im- und Export von Network Devices
Radius Authentication und Authorization Policies
- Das ISE AAA-Konzept
- Policy Sets
- Regelwerke
- Allowed Protocols
- Die Authentication Policy
- Authentication Condition Elements
- Neue Authentication Policies
- Fallback-Szenarien
- User Stores
- Interne User
- Interne Endpoints
- Externe Datenbanken
- RADIUS Proxy-Konfiguration
- Identity Source Sequence
- Certificate Authentication Profiles
- Identity Stores in der Authentication Policy
- Authorization Policy
- Authorization Condition
- Authorization Profiles
- Maschinen und User-Authentisierung
- Chaining mit EAP-FASTv2
- Chaining Results
- pxGrid
- pxGrid – Zentraler Informationsaustausch
- pxGrid aktivieren
- ISE als pxGrid Controller
Logging, Monitoring und Diagnostic Tools
- Operationen im Überblick
- Radius Live Authentications
- Details der Authentisierung (1/3)
- Abgleich mit dem NAD
- Radius Reports
- Diagnostic Reports
- Audit Reports
- Troubleshooting – Authentisierung
- TCP Dumps
- Endpoint Debugs
- Konfiguration der NADs
- Optimierung des Loggings
- NAD – Log-Timer
- Aggregation der Logs
- Collection Filter
- Log Targets
- Alarme
Security Group Access
- SGT – Ein Einblick
- Security Groups – Klassifizierung
- Die Arbeitsweise von SGTs
- SGTs – Die Übermittlung
- SGT Exchange Protocol (SXP)
- Zuweisung der SGTs
- SGT-Konfiguration auf der ISE
- Anlegen von Security Groups auf der ISE
- PACs einrichten
- Zuweisung von SGTs
- Statisches Mapping der SGTs
- SXP einrichten
- Access Control mit SGTs
- SGACLs auf der ISE
- Die TrustSec Policy
- SGACLs auf dem Switch
- SGTs zur Network Segmentation im SD-Access
- MACSec
Guest Access
- Web Access als Dot1X-Alternative
- Gast-Zugang – Möglichkeiten
- Local Web Auth (LWA)
- Central Web Auth (CWA)
- Guest Access – Konfiguration der ISE
- Den Gast kontaktieren
- Weitere Guest Settings
- Zertifikate für die Portale
- Guest Types
- Gästeportale
- Konfiguration des Portals
- Portal-Customization
- Ein neues Portal einrichten
- Guest Access Policies
- Authorization – Redirect zum Portal
- Authorization Redirect Profile
- Redirect ACl
- Die Switch-Konfiguration
- Guest Access im Einsatz
- Aus Sicht der ISE
- Kontrolle am Switch
- Auf dem WLCs
- Guest Accounts – Die Möglichkeiten
- Self Registration
- Das Sponsorportal
- Reports über Gäste (1/2)
BYOD
- Bring your own Device – Das Prinzip
- Single SSID
- Dual-SSID
- BYOD-Konfiguration der ISE
- Die Portale für BYOD
- Das BYOD Device Portal
- Das My Device Portal (1/3)
- Device Registration
- Client Provisioning
- Native Supplicant Provisioning
- ISE und Zertifikate
- SCEP Proxy
- ISE als CA
- BYOD aus Sicht des Users (1/3)
- Certificate Provisioning Portal
- MDM Integration
Profiling
- Profiling Services
- Konfiguration der Sensoren
- Device Sensoren
- Erfassung der wichtigsten Attribute
- Analyzer – Konfiguration der Endpoint Policies
- Regeln festlegen
- Profiling Conditions definieren
- Scan Actions als Result
- Exception Actions
- Konfiguration von CoA
- Profiling Ergebnisse (1/3)
- Logical Profiles
- Endpoint Profiler Summary
- Profiling und Authorization
- Feed Service
Posture Assessment
- Posture Assessment
- Client Provisioning
- Provisioning Policies
- Provisioning Profiles
- Provisioning Portal
- Provisioning in der Authorization Policy
- Provisioning im Authorization Profile
- Ablauf des Posture Assessments
- Posture Conditions
- Posture Requirement
- Remediation
- Posture Policies
- Das Monitoring auf der ISE
- Anyconnect 4.0 als NAC Client
Wir schulen auch bei dir vor Ort!
Diese Cisco ISE und TrustSec Schulung führen wir auch bei dir im Unternehmen als individualisierte Cisco ISE und TrustSec-Firmenschulung durch.
Cisco ISE und TrustSec Schulung: Zielgruppe Cisco ISE und TrustSec
Die Cisco ISE und TrustSec Schulung ist für diejenigen gedacht, die ISE Features einsetzen wollen und Know-how für die Implementierung und den Betrieb einer TrustSec-Lösung brauchen.
Cisco ISE und TrustSec Schulung: Voraussetzungen Cisco ISE und TrustSec
Grundkenntnisse über RADIUS und 802.1X auf Cisco-Geräten sollten vorhanden sein. Eine gute Vorbereitung bieten die Kurse Cisco Secure ACS 5.x – RADIUS, TACACS+ und 802.1X und Security mit 802.1X – Sicherheit für LAN und WLAN.
Network Access Control mit Cisco ISE
Network Access Control mit Cisco ISE: IEEE 802.1X, Guest Access und Trust Sec
Bedingt durch die zunehmende Dynamik von Endgeräten und Benutzern können heute LAN und WLAN-Netze nicht mehr als ausreichend sicher angesehen werden. Es sind zusätzliche Maßnahmen erforderlich, um den Zugriff auf diese abzusichern (NAC) und die Netze Kontext-basiert zu segmentieren. Die Cisco ISE ermöglicht es Administratoren, zentral zu entscheiden, wer (Authentisierung) unter bestimmten Bedingungen (Context) welche Rechte zugewiesen bekommt (Autorisierung).
Die Authentisierung kann in LAN/WLAN-Umgebungen zum einen über MAB oder IEEE 802.1X, aber auch über WebAuth erfolgen. Letzteres spielt insbesondere im Zusammenhang mit Guest Access und BYOD eine bedeutende Rolle.
Den Benutzern lässt sich über RADIUS eine Vielzahl von Rechten zuweisen. Die Kontrolle der Kommunikation kann z. B. über statische oder dynamische Access Lists erfolgen. Eine Segmentierung kann über VLANs oder auch über SGTs erfolgen. In letzterem Fall arbeitet die ISE eng mit dem Cisco DNA-Center zusammen.
Network Access Control mit Cisco ISE
Kurs-ID:
6535
Hersteller-ID:
CTRU