Network Access Control mit Cisco ISE
Network Access Control mit Cisco ISE: IEEE 802.1X, Guest Access und Trust Sec
Zu den TerminenBedingt durch die zunehmende Dynamik von Endgeräten und Benutzern können heute LAN und WLAN-Netze nicht mehr als ausreichend sicher angesehen werden. Es sind zusätzliche Maßnahmen erforderlich, um den Zugriff auf diese abzusichern (NAC) und die Netze Kontext-basiert zu segmentieren. Die Cisco ISE ermöglicht es Administratoren, zentral zu entscheiden, wer (Authentisierung) unter bestimmten Bedingungen (Context) welche Rechte zugewiesen bekommt (Autorisierung). Die Authentisierung kann in LAN/WLAN-Umgebungen zum einen über MAB oder IEEE 802.1X, aber auch über WebAuth erfolgen. Letzteres spielt insbesondere im Zusammenhang mit Guest Access und BYOD eine bedeutende Rolle. Den Benutzern lässt sich über RADIUS eine Vielzahl von Rechten zuweisen. Die Kontrolle der Kommunikation kann z. B. über statische oder dynamische Access Lists erfolgen. Eine Segmentierung kann über VLANs oder auch über SGTs erfolgen. In letzterem Fall arbeitet die ISE eng mit dem Cisco DNA-Center zusammen. Neben der Cisco ISE wird in diesem Kurs auch die notwendige Peripherie wie ein Active Directory und eine Microsoft PKI mit einbezogen. Die Möglichkeiten von Profiling und Posture Assessment zur weitergehenden Kontrolle werden vorgestellt.
Lernziele
Neben der Cisco ISE wird in unserem Network Access Control mit Cisco ISE Kurs auch die notwendige Peripherie wie ein Active Directory und eine Microsoft PKI mit einbezogen. Die Möglichkeiten von Profiling und Posture Assessment zur weitergehenden Kontrolle werden vorgestellt.
Inhalte
Cisco ISE - Network Access, IEEE 802.1X und AAA
Network Access Control im Überblick
Hintergründe zu IEEE 802.1X
EAP-Methoden
RADIUS – EAP und weitere Attribute
Den Authenticator einrichten
Switches als Network Access Device
Konfiguration im WLAN
Der Supplicant als Client
Anyconnect NAM
Native Windows Supplicant
TACACS+
ISE Grundkonfiguration
ISE-Konzept
Das ISE 2.x-Lizenzmodell (1/3)
Das ISE 3.x Lizenzmodell
Installation der ISE (1/3)
ADE OS-Konfiguration
Die ISE über die CLI verwalten
ISE-Access
ISE GUI
Launch Menü
Zertifikate und ISE
Admin Access
Maintenance
Backup
Policy Export
Cisco ISE– Basic Settings
Deployments
Node Registration
Zertifikatsverwaltung im Deployment
Redundanz in ISE-Deployments
Network Access Devices
Network Device Groups
Im- und Export von Network Devices
Radius Authentication und Authorization Policies
Das ISE AAA-Konzept
Policy Sets
Regelwerke
Allowed Protocols
Die Authentication Policy
Authentication Condition Elements
Neue Authentication Policies
Fallback-Szenarien
User Stores
Interne User
Interne Endpoints
Externe Datenbanken
RADIUS Proxy-Konfiguration
Identity Source Sequence
Certificate Authentication Profiles
Identity Stores in der Authentication Policy
Authorization Policy
Authorization Condition
Authorization Profiles
Maschinen und User-Authentisierung
Chaining mit EAP-FASTv2
Chaining Results
pxGrid
pxGrid – Zentraler Informationsaustausch
pxGrid aktivieren
ISE als pxGrid Controller
Logging, Monitoring und Diagnostic Tools
Operationen im Überblick
Radius Live Authentications
Details der Authentisierung (1/3)
Abgleich mit dem NAD
Radius Reports
Diagnostic Reports
Audit Reports
Troubleshooting – Authentisierung
TCP Dumps
Endpoint Debugs
Konfiguration der NADs
Optimierung des Loggings
NAD – Log-Timer
Aggregation der Logs
Collection Filter
Log Targets
Alarme
Security Group Access
SGT – Ein Einblick
Security Groups – Klassifizierung
Die Arbeitsweise von SGTs
SGTs – Die Übermittlung
SGT Exchange Protocol (SXP)
Zuweisung der SGTs
SGT-Konfiguration auf der ISE
Anlegen von Security Groups auf der ISE
PACs einrichten
Zuweisung von SGTs
Statisches Mapping der SGTs
SXP einrichten
Access Control mit SGTs
SGACLs auf der ISE
Die TrustSec Policy
SGACLs auf dem Switch
SGTs zur Network Segmentation im SD-Access
MACSec
Guest Access
Web Access als Dot1X-Alternative
Gast-Zugang – Möglichkeiten
Local Web Auth (LWA)
Central Web Auth (CWA)
Guest Access – Konfiguration der ISE
Den Gast kontaktieren
Weitere Guest Settings
Zertifikate für die Portale
Guest Types
Gästeportale
Konfiguration des Portals
Portal-Customization
Ein neues Portal einrichten
Guest Access Policies
Authorization – Redirect zum Portal
Authorization Redirect Profile
Redirect ACl
Die Switch-Konfiguration
Guest Access im Einsatz
Aus Sicht der ISE
Kontrolle am Switch
Auf dem WLCs
Guest Accounts – Die Möglichkeiten
Self Registration
Das Sponsorportal
Reports über Gäste (1/2)
BYOD
Bring your own Device – Das Prinzip
Single SSID
Dual-SSID
BYOD-Konfiguration der ISE
Die Portale für BYOD
Das BYOD Device Portal
Das My Device Portal (1/3)
Device Registration
Client Provisioning
Native Supplicant Provisioning
ISE und Zertifikate
SCEP Proxy
ISE als CA
BYOD aus Sicht des Users (1/3)
Certificate Provisioning Portal
MDM Integration
Profiling
Profiling Services
Konfiguration der Sensoren
Device Sensoren
Erfassung der wichtigsten Attribute
Analyzer – Konfiguration der Endpoint Policies
Regeln festlegen
Profiling Conditions definieren
Scan Actions als Result
Exception Actions
Konfiguration von CoA
Profiling Ergebnisse (1/3)
Logical Profiles
Endpoint Profiler Summary
Profiling und Authorization
Feed Service
Posture Assessment
Posture Assessment
Client Provisioning
Provisioning Policies
Provisioning Profiles
Provisioning Portal
Provisioning in der Authorization Policy
Provisioning im Authorization Profile
Ablauf des Posture Assessments
Posture Conditions
Posture Requirement
Remediation
Posture Policies
Das Monitoring auf der ISE
Anyconnect 4.0 als NAC Client
Ende der Network Access Control mit Cisco ISE Schulung
Cisco ISE und TrustSec Schulung: Zielgruppe
Die Cisco ISE und TrustSec Schulung ist für diejenigen gedacht, die ISE Features einsetzen wollen und Know-how für die Implementierung und den Betrieb einer TrustSec-Lösung brauchen.
Cisco ISE und TrustSec Schulung: Voraussetzungen
Neben grundlegenden Netzwerk- und IP-Kenntnissen solltest du über ein Grundverständnis zum Betrieb eines Cisco-Netzes vorhanden verfügen. Hintergrundwissen zu RADIUS und 802.1X ist Vorteilhaft - dieses kann mit Hilfe des Kurses Security mit 802.1X – Sicherheit für LAN und WLAN erworben werden.
Cisco ISE HIntergund:
Cisco ISE (Identity Services Engine) ist eine umfassende Netzwerkzugriffskontrolllösung (NAC), die Unternehmen dabei hilft, den Zugriff auf ihr Netzwerk zu sichern und zu verwalten. Es ist eine zentrale Komponente in der Netzwerksicherheit, die es ermöglicht, Richtlinien zu definieren und durchzusetzen, um sicherzustellen, dass nur autorisierte Benutzer und Geräte auf das Netzwerk zugreifen können und dass sie nur auf die Ressourcen zugreifen können, für die sie berechtigt sind.
Vorteile von Cisco ISE:
Zentrale Verwaltung: ISE bietet eine zentrale Plattform für die Verwaltung der Netzwerkzugriffskontrolle.
Verbesserte Sicherheit: ISE hilft, das Netzwerk vor unbefugtem Zugriff und Bedrohungen zu schützen.
Flexibilität: ISE unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsprotokollen und kann an die Bedürfnisse verschiedener Unternehmen angepasst werden.
Automatisierung: ISE automatisiert viele Aufgaben im Bereich der Netzwerkzugriffskontrolle, wodurch der administrative Aufwand reduziert wird.
Integration: ISE lässt sich in andere Sicherheitssysteme integrieren, um eine umfassende Sicherheitslösung zu schaffen.
Zusammenfassend lässt sich sagen, dass Cisco ISE eine leistungsstarke und vielseitige Lösung für die Netzwerkzugriffskontrolle ist. Es bietet eine breite Palette an Funktionen, die Unternehmen dabei helfen, ihr Netzwerk vor unbefugtem Zugriff und Bedrohungen zu schützen.
Wo findet die Network Access Control mit Cisco ISE Schulung statt?
Unser Network Access Control mit Cisco ISE Training bieten wir dir in Dietzenbach, Düsseldorf und Live-Online an.
Schulungen, die dich interessieren könnten
Unternehmen in Deutschland, Österreich und der Schweiz, die uns vertrauen
Das sagen unsere Kunden
Wir arbeiten ständig daran, uns zu verbessern. Dafür sind wir auf das Feedback unserer Kunden angewiesen.

Kompetentes Online-Training mit Learning by Doing. Besser geht nicht. Jeannette M.
Sehr gute Planung und Organisation aller Microsoft Office Schulungen. Incas Training ist sehr zu empfehlen! Christopher M.
Toller Service. Hatte auf Ihrer Seite KOSTENLOS den Weg gefunden, sämtliche Animationen mit einem Schritt zu entfernen. Hat super geklappt. Vielen lieben Dank dafür. Wenn ich schon nichts bezahlen muss, dann wenigstens eine passenden Bewertung :-) Thomas S.