Network Access Control mit Cisco ISE

Bedingt durch die zunehmende Dynamik von Endgeräten und Benutzern können heute LAN und WLAN-Netze nicht mehr als ausreichend sicher angesehen werden. Es sind zusätzliche Maßnahmen erforderlich, um den Zugriff auf diese abzusichern (NAC) und die Netze Kontext-basiert zu segmentieren. Die Cisco ISE ermöglicht es Administratoren, zentral zu entscheiden, wer (Authentisierung) unter bestimmten Bedingungen (Context) welche Rechte zugewiesen bekommt (Autorisierung). Die Authentisierung kann in LAN/WLAN-Umgebungen zum einen über MAB oder IEEE 802.1X, aber auch über WebAuth erfolgen. Letzteres spielt insbesondere im Zusammenhang mit Guest Access und BYOD eine bedeutende Rolle. Den Benutzern lässt sich über RADIUS eine Vielzahl von Rechten zuweisen. Die Kontrolle der Kommunikation kann z. B. über statische oder dynamische Access Lists erfolgen. Eine Segmentierung kann über VLANs oder auch über SGTs erfolgen. In letzterem Fall arbeitet die ISE eng mit dem Cisco DNA-Center zusammen. Neben der Cisco ISE wird in diesem Kurs auch die notwendige Peripherie wie ein Active Directory und eine Microsoft PKI mit einbezogen. Die Möglichkeiten von Profiling und Posture Assessment zur weitergehenden Kontrolle werden vorgestellt.

Neben der Cisco ISE wird in unserem Network Access Control mit Cisco ISE Kurs  auch die notwendige Peripherie wie ein Active Directory und eine Microsoft PKI mit einbezogen. Die Möglichkeiten von Profiling und Posture Assessment zur weitergehenden Kontrolle werden vorgestellt.

Cisco ISE - Network Access, IEEE 802.1X und AAA

• Network Access Control im Überblick

• Hintergründe zu IEEE 802.1X

  • EAP-Methoden

  • RADIUS – EAP und weitere Attribute

• Den Authenticator einrichten

  • Switches als Network Access Device

  • Konfiguration im WLAN

• Der Supplicant als Client

  • Anyconnect NAM

  • Native Windows Supplicant

• TACACS+

ISE Grundkonfiguration

• ISE-Konzept

  • Das ISE 2.x-Lizenzmodell (1/3)

  • Das ISE 3.x Lizenzmodell

• Installation der ISE (1/3)

  • ADE OS-Konfiguration

  • Die ISE über die CLI verwalten

• ISE-Access

  • ISE GUI

  • Launch Menü

  • Zertifikate und ISE

  • Admin Access

• Maintenance

  • Backup

  • Policy Export

• Cisco ISE– Basic Settings

• Deployments

  • Node Registration

  • Zertifikatsverwaltung im Deployment

  • Redundanz in ISE-Deployments

• Network Access Devices

  • Network Device Groups

  • Im- und Export von Network Devices

Radius Authentication und Authorization Policies

• Das ISE AAA-Konzept

• Policy Sets

  • Regelwerke

  • Allowed Protocols

• Die Authentication Policy

  • Authentication Condition Elements

  • Neue Authentication Policies

  • Fallback-Szenarien

• User Stores

  • Interne User

  • Interne Endpoints

  • Externe Datenbanken

  • RADIUS Proxy-Konfiguration

  • Identity Source Sequence

  • Certificate Authentication Profiles

  • Identity Stores in der Authentication Policy

  • Authorization Policy

  • Authorization Condition

  • Authorization Profiles

• Maschinen und User-Authentisierung

  • Chaining mit EAP-FASTv2

  • Chaining Results

• pxGrid

  • pxGrid – Zentraler Informationsaustausch

  • pxGrid aktivieren

  • ISE als pxGrid Controller

Logging, Monitoring und Diagnostic Tools

• Operationen im Überblick

• Radius Live Authentications

  • Details der Authentisierung (1/3)

  • Abgleich mit dem NAD

• Radius Reports

  • Diagnostic Reports

  • Audit Reports

• Troubleshooting – Authentisierung

  • TCP Dumps

  • Endpoint Debugs

  • Konfiguration der NADs

  • Optimierung des Loggings

  • NAD – Log-Timer

  • Aggregation der Logs

  • Collection Filter

  • Log Targets

• Alarme

Security Group Access

• SGT – Ein Einblick

  • Security Groups – Klassifizierung

  • Die Arbeitsweise von SGTs

  • SGTs – Die Übermittlung

  • SGT Exchange Protocol (SXP)

  • Zuweisung der SGTs

• SGT-Konfiguration auf der ISE

  • Anlegen von Security Groups auf der ISE

  • PACs einrichten

• Zuweisung von SGTs

  • Statisches Mapping der SGTs

  • SXP einrichten

• Access Control mit SGTs

  • SGACLs auf der ISE

  • Die TrustSec Policy

  • SGACLs auf dem Switch

  • SGTs zur Network Segmentation im SD-Access

• MACSec

Guest Access

• Web Access als Dot1X-Alternative

• Gast-Zugang – Möglichkeiten

  • Local Web Auth (LWA)

  • Central Web Auth (CWA)

• Guest Access – Konfiguration der ISE

  • Den Gast kontaktieren

  • Weitere Guest Settings

  • Zertifikate für die Portale

  • Guest Types

• Gästeportale

  • Konfiguration des Portals

  • Portal-Customization

  • Ein neues Portal einrichten

• Guest Access Policies

  • Authorization – Redirect zum Portal

  • Authorization Redirect Profile

  • Redirect ACl

• Die Switch-Konfiguration

• Guest Access im Einsatz

  • Aus Sicht der ISE

  • Kontrolle am Switch

  • Auf dem WLCs

• Guest Accounts – Die Möglichkeiten

  • Self Registration

  • Das Sponsorportal

• Reports über Gäste (1/2)

BYOD

• Bring your own Device – Das Prinzip

  • Single SSID

  • Dual-SSID

• BYOD-Konfiguration der ISE

  • Die Portale für BYOD

  • Das BYOD Device Portal

  • Das My Device Portal (1/3)

• Device Registration

  • Client Provisioning

  • Native Supplicant Provisioning

• ISE und Zertifikate

  • SCEP Proxy

  • ISE als CA

• BYOD aus Sicht des Users (1/3)

  • Certificate Provisioning Portal

• MDM Integration

Profiling

• Profiling Services

• Konfiguration der Sensoren

  • Device Sensoren

  • Erfassung der wichtigsten Attribute

• Analyzer – Konfiguration der Endpoint Policies

  • Regeln festlegen

  • Profiling Conditions definieren

  • Scan Actions als Result

  • Exception Actions

  • Konfiguration von CoA

• Profiling Ergebnisse (1/3)

  • Logical Profiles

  • Endpoint Profiler Summary

• Profiling und Authorization

• Feed Service

Posture Assessment

• Posture Assessment

• Client Provisioning

  • Provisioning Policies

  • Provisioning Profiles

  • Provisioning Portal

  • Provisioning in der Authorization Policy

  • Provisioning im Authorization Profile

• Ablauf des Posture Assessments

  • Posture Conditions

  • Posture Requirement

  • Remediation

  • Posture Policies

  • Das Monitoring auf der ISE

• Anyconnect 4.0 als NAC Client

Ende der Network Access Control mit Cisco ISE Schulung

Die Cisco ISE und TrustSec Schulung ist für diejenigen gedacht, die ISE Features einsetzen wollen und Know-how für die Implementierung und den Betrieb einer TrustSec-Lösung brauchen.

Neben grundlegenden Netzwerk- und IP-Kenntnissen solltest du über ein Grundverständnis zum Betrieb eines Cisco-Netzes vorhanden verfügen. Hintergrundwissen zu RADIUS und 802.1X ist Vorteilhaft - dieses kann mit Hilfe des Kurses Security mit 802.1X – Sicherheit für LAN und WLAN erworben werden.

Cisco ISE (Identity Services Engine) ist eine umfassende Netzwerkzugriffskontrolllösung (NAC), die Unternehmen dabei hilft, den Zugriff auf ihr Netzwerk zu sichern und zu verwalten. Es ist eine zentrale Komponente in der Netzwerksicherheit, die es ermöglicht, Richtlinien zu definieren und durchzusetzen, um sicherzustellen, dass nur autorisierte Benutzer und Geräte auf das Netzwerk zugreifen können und dass sie nur auf die Ressourcen zugreifen können, für die sie berechtigt sind.

Vorteile von Cisco ISE:

• Zentrale Verwaltung: ISE bietet eine zentrale Plattform für die Verwaltung der Netzwerkzugriffskontrolle.

• Verbesserte Sicherheit: ISE hilft, das Netzwerk vor unbefugtem Zugriff und Bedrohungen zu schützen.

• Flexibilität: ISE unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsprotokollen und kann an die Bedürfnisse verschiedener Unternehmen angepasst werden.

• Automatisierung: ISE automatisiert viele Aufgaben im Bereich der Netzwerkzugriffskontrolle, wodurch der administrative Aufwand reduziert wird.

• Integration: ISE lässt sich in andere Sicherheitssysteme integrieren, um eine umfassende Sicherheitslösung zu schaffen.

Zusammenfassend lässt sich sagen, dass Cisco ISE eine leistungsstarke und vielseitige Lösung für die Netzwerkzugriffskontrolle ist. Es bietet eine breite Palette an Funktionen, die Unternehmen dabei helfen, ihr Netzwerk vor unbefugtem Zugriff und Bedrohungen zu schützen.

Unser Network Access Control mit Cisco ISE Training bieten wir dir in Dietzenbach, Düsseldorf und Live-Online an.