ISE Basics — Parte 1
Fala pessoal, tudo bem? Aqui é o Fernando Mantovani Pierobon novamente.
Mas afinal… O que é ISE? Onde vive? Do que se alimenta? Para explorar essas e muitas outras questões, esse será o primeiro de muitos artigos de ISE aqui do blog. Vamos lá?
Fiquem a vontade para comentar ou me contatar no LinkedIn. Gostou do que leu?? Então dê seu “claps” aí do lado esquerdo do artigo e compartilhe nos seus grupos. Não se esqueça de me seguir e a TechRebels clicando follow lá em cima :)
Introdução
Bom, pra quem não conhece, o Cisco ISE (Identity Services Engine) é o software de gestão de políticas e identidades da Cisco. Com ele:
Você centraliza e unifica o controle de acesso seguro à sua rede
- O ISE é o software central — onde todas as bases de usuário interna ou externa (AD por exemplo) — que irá permitir e controlar todo o acesso à sua rede. Além disso, todas as políticas de autenticação, autorização e accounting, também serão definidas nele. O que tal usuário, ou grupo, pode acessar e o quanto ele consegue fazer, além de logar cada ação, será definido no Cisco ISE.
Aumenta a visibilidade e identificação de dispositivos
- Através de vários tipos de probes diferentes, o ISE é capaz de identificar o sistema operacional de cada endpoint, seja computadores pessoais, smartphones, dispositivos como impressoras e inúmeros outros. Essa identificação automática permitirá que você construa regras baseadas também no tipo de dispositivo da sua rede.
Permite implementar rede Guest e BYOD
- Gerência centralizada dos usuários guest da sua rede, permitindo self-register (registro próprio) integrado com Facebook e Linkedin, através de sponsor (quando uma pessoa da empresa precisa autorizar a criação da conta) ou simplesmente entrando com um usuário e senha previamente criados.
Aumenta a segurança da rede
- Permite que access-lists de firewall por exemplo sejam criadas não utilizando um IP de origem e destino, mas pessoas, usuários da rede. Além disso, regras de postura, verificando patches de atualização do Sistema Operacional, versão de base do AV e muitos outros irão aumentar a segurança do seu ambiente.
Versões
Além dos appliances SNS e das versões Small, Medium e Large de VMs, a Cisco disponibiliza para trial e PoC uma versão mini do ISE que vem com os 3 tipos de licenças habilitadas para até 100 endpoints. Essa licença tem duração de 90 dias, o que é um excelente tempo pra treinar ou mostrar o valor da ferramenta nos clientes ou na sua empresa.
À partir da versão 2.2 (no momento que escrevo esse artigo a versão 2.7 acabou de ser lançada) é necessário 8 GB de RAM para subir o ISE Evaluation. Como meu modesto notebook possui apenas essa quantidade de memória, vamos mostrar a versão 2.1, que necessita de apenas 4Gb de RAM e que para os recursos e funcionalidades que falaremos é suficiente.
A diferença à partir da versão 2.2 é de uma nova interface gráfica para o set de políticas. Ela está bem mais moderna, limpa e objetiva. Se você aprender com essa interface da 2.1, que não é nada ruim, não terá nenhuma dificuldade em se adaptar às novas telas 😉
Instalação
Faça o download do .ova (no nosso caso o ISE mini) direto do site da Cisco (cisco.com/go/download) e importe esse arquivo no seu VMware Workstation por exemplo. Após ligar a máquina, o primeiro passo é digitar setup no lugar do nome do usuário (o usuário padrão admin será criado e sua senha definida durante esse processo).
Nesse setup inicial iremos fazer as configurações básicas como em qualquer dispositivo de rede: IP, máscara, gateway, NTP, DNS e etc. Após isso, e a senha do usuário admin definida, o ISE irá fazer alguns testes de leitura e escrita de disco e memória (que mesmo não atendido 100% pode ser usado nessa versão Evaluation), e vai começar a criar a base de dados. Esse processo é que costuma demorar um pouco mais de tempo.
Finalizado, teremos um prompt de login, onde, após se logar, você poderá ver toda essa configuração inicial com o bom e velho comando show running-config.
Dica: Existe um usuário admin para se logar na CLI e um usuário admin (são iguais mesmo) pra se logar na GUI. As senhas desses usuários podem ser diferentes, e a da GUI expira (por padrão, mas pode ser alterado), então é comum que os administradores façam confusão, tentando se logar na CLI usando uma senha da GUI, ou achando que é o mesmo usuário.
Caso precise, altere a senha do admin da GUI com o comando: application reset-passwd ise admin
E, se preciso, altere a senha do admin da CLI com o comando: password
Caso perca o acesso via CLI, será necessário bootar com a ISO do ISE e seguir com a recuperação da senha. Aqui tem um doc bem explicativo do processo: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200568-ISE-Password-Recovery-Mechanisms.pdf
Além disso, um outro comando muito útil é o show application status ise, que irá mostrar o status de cada um dos processos do ISE. Veja a seguir:
Tour pela GUI
Concluído isso, todo o restante é feito via interface gráfica. Vamos então iniciar nosso tour pelas telas e funcionalidades.
Ao se logar, você verá a aba Summary, com informações do servidor, de autenticação, BYOD, alarmes, processos do sistema, dispositivos de rede, e etc.
Na sequência, vamos para o menu Administration e Deployment. É aqui que será configurado o ISE primário e secundário para alta disponibilidade “manual” em ativo/passivo ou ainda acrescentando um health node e fazendo uma alta disponibilidade automática (detalhes em um próximo artigo).
Você também poderá definir aqui se o ISE irá rodar em modo standalone ou não, apontar os diversos PSNs (nós de política) que normalmente ficam espalhados em sites diferentes, e etc.
É nessa aba também que você habilita alguns serviços que não vêm configurados por padrão, como o TrustSec, pxGrid, TACACS+, etc.
Ainda em Deployment, a segunda aba permite selecionarmos quais meios o ISE irá usar para fazer o Profiling, ou seja identificar e categorizar os dispositivos. Caso não haja probes suficientes habilitadas (não quer dizer que você deva ticar todas), uma máquina Windows 7 por exemplo seria identificada apenas como Intel-based device. Essas probes abaixo vêm por padrão, caso não utilize, elas podem ser desabilitadas.
A próxima aba mostra os detalhes do licenciamento. Existem duas formas possíveis: pelo smart licensing ou traditional licensing (o bom e velho PAK da Cisco).
Repare nos detalhes do licenciamento das licenças Base, Plus e Apex para 100 endpoints com duração de 90 dias. Tudo 100% habilitado pra você testar e treinar!
O ISE também pode ser utilizado como uma CA. Como ele normalmente é configurado em HA, pode ser uma boa alternativa para as empresas que ainda não possuem uma CA.
Caso você precise instalar um certificado válido, é também nessa seção que será feito. No momento da importação do certificado (após gerar o CSR), irá aparecer uma janela para você escolher se esse certificado é para um portal guest, portal de administração do próprio ISE, entre outras.
E para concluir esse primeiro artigo, a aba Maintenance permite a instalação dos patches, que também são baixados diretamente do site da Cisco e feito upload direto para o ISE. A instalação é bem simples e é dessa forma que você manterá seu software operando sem vulnerabilidades e nas melhores condições. A opção de Repository, permite a configuração de um repositório de software onde ficará um arquivo que será utilizado para o upgrade do ISE. Esse repositório pode ser uma unidade de CDROM, HTTP, HTTPS, SFTP, DISK LOCAL, etc.
Bom, pra essa primeira parte é isso. O próximo artigo irá finalizar o tour e depois começa a parte legal, AAA na veia!!
O que achou desse artigo? Vai te ajudar no dia-a-dia? Fala pra gente nos comentários.
Se você gostou, deixa seu “claps” aí do lado esquerdo e compartilhe nos seus grupos. Não se esqueça de me seguir e a TechRebels, é só clicar em follow lá embaixo :)
Sobre o autor:
Fernando Mantovani Pierobon trabalha há 18 anos na área de TI sendo 14 com segurança da tecnologia da informação.
É formado em Ciências da Computação e CCIE Security #63268.
