ISE Basics — Parte 2

802.1X Authentication

Fala pessoal, tudo bem?

Vamos continuar agora com o nosso tour pelo ISE. Caso você não tenha lido o primeiro artigo, o link é esse aqui: ISE Basics — Parte 1.

Começando pela tela Administration > System > Admin Access e aba Password Policy: Aqui fazemos a configuração da política de senha e autenticação de usuários da GUI e da CLI — usuários de acesso administrativo ao software ISE.

Repare nas possibilidades: tamanho mínimo de senha, histórico, requisito mínimo de complexidade, bloqueio após tentativas incorretas, e etc.

Política de Senhas de Usuário de Acesso Administrativo

Nessa mesma tela, em Authorization, temos uma ótima granularidade para definir o que cada usuário administrativo pode ou não fazer. Acesso a menus específicos, permissão para criar outros usuários e etc.

Essa possibilidade é bem útil caso tenhamos vários admins olhando pro ISE. Teríamos então um grupo Help Desk com possibilidade de read-only, um grupo Operadores, com permissão de troubleshooting ou review básico de autenticação, e um grupo Admin, que poderia criar e adicionar devices e novas regras — esses são apenas exemplos de possibilidades 😉

Política de Autorização para Usuários Administrativos

Administration > Identity Management. Aqui já começaremos a falar dos usuários de rede, ou seja, usuários que serão utilizados para acesso a recursos da rede (seja Internet, servidores específicos, etc.), via protocolo RADIUS ou TACACS+.

Usuários de Acesso a Rede

Abaixo, faremos a criação de um usuário como exemplo. Dois pontos de destaque nesse processo:

• Em Password Type, podemos utilizar uma senha que será armazenada na base de dados do ISE ou em uma base externa, como um Microsoft Active Directory (é necessário integração antes, mostraremos em artigos futuros ok?).
• E mais pra baixo, podemos adicionar esse usuário em grupos, que são criados na aba seguinte.

Criação de Usuário de Rede

Aqui vemos dois tipos de grupos: usuários e endpoints. Isso porque o ISE autentica não só usuários como também dispositivos.

Esses dispositivos podem ser criados manualmente ou automaticamente, através da funcionalidade de Profiling que comentamos no artigo anterior (link). Dessa forma, como o ISE pode identificar iPhones, máquinas Windows 7, Linux, Smartphone Samsung, impressoras HP entre outros, podemos criar regras permitindo que apenas um tipo de equipamento acesse determinado recurso na rede. Granularidade total! 😊

Grupos de Identidade — Endpoints e Usuários

A próxima tela External identity Sources, é onde configuramos a integração de uma base de usuários externa com o ISE. Em destaque o Active Directory que é o mais usual.

Bases de Usuários Externas

A próxima tela é a Identity Sources Sequences que trataremos mais pra frente, e a última é a Settings, bem parecida com a tela que falamos no início do artigo. Aqui, nós definiremos a política de usuários para acesso aos recursos da rede, diferente do acesso administrativo ao ISE que falamos acima.

Política de Senha de Usuários de Rede

Bom, agora que já temos um usuário e um grupo no ISE, vamos configurar o NAD (Network Access Device). O dispositivo que irá consultar o ISE para confirmar a autenticação e aplicar a política de autorização.

Topologia de Rede Simples

Aqui estamos só tratando da criação do NAD, o processo todo de autenticação será no próximo artigo blz?

Vamos adicionar então nome, IP, e senha do RADIUS.

Adicionando um Dispositivo

Na lista, ele irá aparecer dessa forma:

Lista de Dispositivos Criados

Os NADs também podem ser alocados em grupos, seja por tipo ou localização. Planejar é fundamental para a organização da rede 😉

Organizando os Dispositivos

E, finalmente, vamos pra tela Policy aba Authentication.

Esse é o padrão do ISE nessa versão.

A primeira regra é de MAB — Mac Authentication Bypass, que autentica o MAC Address, ou seja, estamos falando de camada 2.

Traduzindo a regra, significa: SE a autenticação for para MAC Address cabeada (wired) ou wireless, em protocolos permitidos na regra padrão de nome Default Network Access — falaremos mais para frente dela — e, caso esse dispositivo (notebook, celular, etc.) estiver criado na base do ISE, aí ele passará para a próxima etapa: Autorização.

Política Padrão de Autenticação

Agora que já sabemos que o usuário foi autenticado com sucesso, vamos definir O QUE ELE PODE FAZER. Essa configuração é feita na tela Authorization.

Abaixo, as regras padrão do ISE nessa versão 2.1.

Política Padrão de Autorização

No próximo artigo, faremos a configuração do switch e uma autenticação básica inicial.

Um abraço!!

O que achou desse artigo? Vai te ajudar no dia-a-dia? Fala pra gente nos comentários.

Se você gostou, deixa seu “claps” aí do lado esquerdo e compartilhe nos seus grupos. Você também pode me seguir e a TechRebels!

Sobre o autor:

Fernando Mantovani Pierobon trabalha há 18 anos na área de TI sendo 14 com segurança da tecnologia da informação.

É formado em Ciências da Computação e CCIE Security #63268.

https://www.linkedin.com/in/fernandomantovani/