Posts com Tag ‘Cisco’

Ontém, 26/7, a Cisco finalmente lançou a tão esperada versão 1.2 do Cisco Identity Services Engine (ISE).

O Release Notes pode ser encontrado nesse link.

ISE 1.2 002

Essa versão trás grandes melhorias!!! Talvez a principal seja a alteração da arquitetura de x86 para x64. Com isso haverá melhor performance e escalabilidade, tornando o ISE ainda mais rápido. A versão x86 suportava até 100k endpoints simultâneos, já a x64 suporta até 250k.

A tela inicial mudou um pouco:

ISE_Tela Inicial

E a tela de Authentications também:

AuthenticationsA imagem abaixo resume as principais melhorias.

Huge Release

Os appliances 33×5 (ISE-3315-K9, ISE-3355-K9 e ISE-3395-K9) entraram em end-of-life, conforme anúncio que pode ser visto neste link.

Agora os appliances utilizandos são os Cisco Secure Network Servers, que são baseados no UCS C220, mas designados para o ISE, NAC e ACS. Os novos servidores são SNS-3415-K9 e SNS-3495-K9. O dimensionamento é feito utilizando a tabela abaixo.

ISE Sizing

Outra melhoria interessante é o Logical Profiles. Com ele você pode criar um grupo de determinados dispositivos que compartilham a mesma regra e usar estre grupo em uma Authorization Policy. Um exemplo de aplicação é criar um Logical Profile para dispositivos móveis, incluindo Android, iPhone, iPad, etc.

Antes da release 1.2 a AuthZ Policy precisava ser criada assim:

AuthZ_Policy

Agora é criada assim:

AuthZ_Policy_New

Criar o Logical Profile é bem simples:

Logical Profiles Creation

Outra aguardada melhoria foi o dACL Checker, que verifica se a sintaxe da Access List está correta. Isso certamente irá poupar muitos erros por falta de atenção…

dACL_Checker_001

dACL_Checker_002

dACL_Checker_003

Também houveram melhorias no Guest Portal, tornando-o mais amigável em dispositivos móveis. Em outras palavras, agora não é necessário que o usuário fique dando zoom para entrar com as credenciais. A imagem abaixo exibe a tela de um iPad.

Guest Portal iPad

Os MDM suportados são:

  • AirWatch Version 6.2
  • Mobile Iron Version 5.0
  • ZenPrise Version 7.1
  • Good Version 2.3
  • SAP Sybase

Apenas UM MDM pode estar ativo ao mesmo tempo no Cisco ISE.

Agora que você viu quantas melhoras existem nessa versão, deve estar ansioso para testá-la. Neste link você encontra o upgrade guide para versão 1.2, informando todos os passos para instalar uma fresh version, ou fazer o upgrade.

Vale ressaltar essa excelente apresentação que eu encontrei com muito mais detalhes sobre as novas features da release 1.2 do Cisco ISE… link.

Se você gostou desse post, se increva em meu blog para receber atualizações por e-mail e deixe seu comentário… o incentivo é muito importante. E se não gosto, deixe um comentário também dizendo o motivo!

Se increvam no meu canal do YouTube tambem: www.youtube.com/mbartulihe

Marco Bartulihe

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Olá,

Quantos de vocês conhecem essa tela?

Tela de Web Authentication padrão.

Tela de Web Authentication padrão.

Esta é a tela de Web Authenticaon padrão, geralmente usada em redes WiFi para Guests.

No próprio WLC, a máxima customização possível é esconder o logo da Cisco… Nada demais, certo? No entanto, ela ficaria bem mais atraente se fosse customizada, colocando o logo da empresa, instruções como telefone ou e-mail para solicitar as credenciais de acesso à rede Guest, etc.

Tudo isso é possível e não é difícil de fazer!

Neste post irei mostrar o passo-a-passo de como customizar essa tela.

O primeiro passo é acessar o site Cisco e em Download Software, selecionar o modelo do WLC em questão e efetuar o download do Web Authentication Bundle, conforme exibe a figura abaixo.

Fazendo o download do Web Authentication Bundle.

Fazendo o download do Web Authentication Bundle.

Download do Web Auth Bundle.

Download do Web Auth Bundle.

Extraia os arquivos. Nós vamos customizar os arquivos da pasta logout.

Pasta Logout.

Pasta Logout.

Nesta pasta existem os arquivos: aup, failed, login, logout, yourlogo e login.

O arquivo login pode ser excluído. Os demais precisam ser editados via HTML.

Customizando a pasta Logout.

Customizando a pasta Logout.

Se você, assim como eu, não manja muito de HTML, mas ainda assim quer fazer um trabalho bacana, pode utilizar um dos chamados programas WYSIWYG (What You See Is What You Get – O que você vê é o que você obtém). Eu utilizei o NVU 1.0 (freeware), que você pode baixar no linkhttp://www.baixaki.com.br/download/nvu.htm.

Depois de customizar os arquivos, a pasta ficou conforme ilustra a figura abaixo.

Pasta Logout Customizada.

Pasta Logout Customizada.

Depois de customizado, os arquivos aup, failed, login, logout e imagens utilizadas, eles precisam ser compactados em um único arquivo com a extensão .tar e nomeado de login.

Para isso podemos utilizar o 7-Zip (freeware), que pode ser baixado na URL http://www.7-zip.org.

Download do 7-Zip.

Download do 7-Zip.

Abrir o 7-Zip, selecionar todos os arquivos mencionados anteriormente e clicar em Adicionar.

Compactando em .tar com o 7-Zip.

Compactando em .tar com o 7-Zip.

Nomear como login e, em Formato do Arquivo, selecionar tar. Clicar em OK.

Compactando.

Compactando.

A figura abaixo exibe o arquivo login.tar gerado pelo 7-Zip. Este arquivo precisa ser enviado para o WLC.

Para enviar o arquivo para o WLC, vamos utilizar um TFTP server. Recomenda-se o TFTPd32 ou TFTPd64.

TFTPd64.

TFTPd64.

Acessar a Web Interface do WLC. Na guia COMMANDS  > Download File, preencher de forma análoga a figura abaixo e clicar em Download.

Fazendo o upload para o WLC.

Fazendo o upload para o WLC.

As imagens abaixo exibem o processo de upload.

Uploading.

Uploading.

Agora vamos criar uma WLAN com a Web Authentication customizada. Para isso, clicar na guia WLANs e selecionar Create New > Go.

Criando WLAN.

Criando WLAN.

Será exibida a tela abaixo. Preencha com o Profile Name e o SSID.

Criando WLAN.

Criando WLAN.

Na aba General, selecionar o Status Enabled, Radio Policy, Interface e se deseja realizar o broadcast do SSID.

Configurando a WLAN - Guia General.

Configurando a WLAN – Guia General.

Em Security > Layer 2, selecionar None.

Configurando a WLAN - Guia Security.

Configurando a WLAN – Guia Security.

Em Security > Layer 3, preencher de forma análoga a figura abaixo.

Configurando a WLAN - Guia Security.

Configurando a WLAN – Guia Security.

Conectando-se a WLAN:

Conectando-se a WLAN.

Conectando-se a WLAN.

Após abrir uma página da Internet, você será redirecionado para o IP 1.1.1.1 (Virtual Interface) e será exibida a tela de Web Auth Customizada. Após inserir as credenciais, será liberado o acesso para navegação.

WebAuth Customizada.

WebAuth Customizada.

 

Bom, é isso aí pessoal, espero que seja útil esse post para bastante gente.

Abraços,

Bartulihe

E ai pessoal, enfim estou postando a parte 4/4, configurando o Client.

Por favor, ajudem a divulgar o vídeo se incrivendo no meu canal do YouTube (é só clicar neste link) e clicando em like no vídeo…

Comentários, críticas e sugestões são sempre bem-vindas!

Ahh, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Abs.,

Bartulihe

Continuando…

Parte 3/4. Agora vamos configurar o Cisco ISE.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Client)!!!!

Abs.,

Bartulihe

Continuando a sequência…

Parte 2/4. Agora vamos configurar o WLC para suportar o Cisco ISE. A configuração é bem simples, tanto é que o vídeo tem apenas 5 minutos.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Cisco ISE)!!!!

Abs.,

Bartulihe

Olá pessoal,

Estou inciando mais uma série de vídeos, agora para mostrar como integrar o Cisco ISE (Identity Services Engine) com o WLC (Wireless LAN Controller), exibindo a autenticação 802.1x e avaliação de postura.

Esta série será dividida em quatro vídeos:

Overview, mostrando o Lab proposto, objetivos e um high level das configurações a serem realizadas;

– Configuração do WLC;

– Configuração do Cisco ISE;

– Configuração do Wireless client;

Abaixo segue o primeiro vídeo.

Antes de mais nada, me desculpem pela qualidade do áudio, mas este vídeo tive que gravar com o excelente microfone embutido do notebook. Contudo, na ausência de áudio de qualidade, assistam o vídeo em HD que da pra entender bem! =)

Se inscrevam no meu canal do YouTube, basta clicar nesse link, e no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for liberado…

Até o próximo vídeo!

Bartulihe