Posts com Tag ‘Gerência’

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Quando o Cisco ISE foi lançado, ele foi anunciado como o novo ACS, unindo as funcionalidades do ACS e NAC (além de diversas melhorias). No entanto, rapidamente observou-se que estava “faltando” o suporte a Tacacs+ no Cisco ISE.

Tacacs+ está no Road Map do ISE, mas não apareceu na versão 1.0, 1.1 e nem 1.2… Quem sabe apareça na 2.0.

Portanto, se hoje você for fazer um projeto que inclua o Cisco ISE e o cliente também fizer questão de Tacacs+ é necessário posicionar o ISE e o ACS.

Mas, Radius ou Tacacs+? Qual e por quê?

Ambos protocolos são destinados a validar a identidade de um usuário (Authentication), atribuindo o devido perfil de acesso (Authorization) e fazendo o logging (Accounting) – AAA.  As semelhanças entre os dois protocolos são muitas, mas também existem diferenças. Uma comparação detalhada pode ser encontrada nesse link.

As principais diferenças são que Tacacs+ é proprietário da Cisco, ou seja, só funciona se você estiver utilizando equipamentos Cisco. Outra grande diferença é que no Tacacs+ é possível autorizar ou bloquear comandos específicos (Command Authorization), ou seja, quando o usuário acessa determinado equipamento e aplica um comando, antes do mesmo ser executado, ele é enviado ao servidor de autenticação (ACS) que diz se tal usuário pode ou não executá-lo.

Historicamente, Radius é utilizado para autenticar usuários da rede (end users) e Tacacs+, usuários de gerência de equipamentos (device administrators), mas na minha opinião isso ocorre pois “sempre configuramos dessa forma” e é assim que as Best Practices mandam fazer. Contudo, posso dizer que raramente vi Command Authorization sendo implementado. O que sempre vejo é a existência de dois grupos, um com privilégio de Leitura e Escrita (RW) e outro somente com permissão para Leitura (RO) e isso é mais do que suficiente para as necessidades da maioria das empresas.

Se essas são as necessidades, é perfeitamente possível a utilização de Radius para autenticar tanto end users quanto device administrators.

O que eu vou mostrar neste post é a configuração de um roteador Cisco para realizar a autenticação de usuários de gerência utilizando Radius (no Cisco ISE) e criação de dois grupos de usuários, um com permissão RO e outro com RW. Também será realizado o Accounting, informando quem e quando acessou qual equipamento.

Inicialmente, vamos configurar o Roteador (poderia ser também um Switch).

Configuração do Roteador

Serão exibidas apenas as configurações relevantes para esse Lab.

O Cisco ISE será utilizado para autenticar o usuário de gerência, realizando fallback para base local no caso ISE estiver indisponível (Unreachable).

1 – Criar um usuário na base local do Router para ser utilizado como fallback:

R1#conf t
R1(config)#username marco.bartulihe privilege 15 password 0 b@rtulih3

2 – Habilitar AAA

R1(config)#aaa new-model

3 – Habilitar o acesso a Console, sem autenticação

R1(config)#aaa authentication login default none

4 – Criar uma “authentication list” (neste exemplo chamada de AuthCLI, utilizando primeiramente Radius e Local como fallback

R1(config)#aaa authentication login AuthCLI group radius local

5 – Habilitar o acesso a Console, sem autorização

R1(config)#aaa authorization exec default none

6 – A Authentication List chamada de AuthCLI utilizará Radius e a base Local

R1(config)#aaa authorization exec AuthCLI group radius local

7 – Para cada login realizado ou finalizado é enviado um pacote com o Accouting

R1(config)#aaa accounting exec default start-stop group radius

8 – Definir o Radius Server (IP do Cisco ISE, neste exemplo, 192.168.1.200) e a Key (neste exemplo, Cisco123.)

R1(config)#radius-server host 192.168.1.200 auth-port 1645 acct-port 1646 key Cisco123.

9 – Aplicar a Authentication List AuthCLI ao acesso via telnet ou SSH (VTY Lines)

R1(config)#line vty 0 15
R1(config-line)#authorization exec AuthCLI
R1(config-line)#login authentication AuthCLI

10 – Salvar as configurações

R1(config-line)#end

R1#wr

Em suma, as configuração são:

Configurações Globais:

username [USER] privilege 15 password 0 [PASSWORD]

aaa new-model

aaa authentication login default none

aaa authentication login [AUTHLIST] group radius local

aaa authorization exec default none

aaa authorization exec [AUTHLIST] group radius local

aaa accounting exec default start-stop group radius

radius-server host [IP_ISE] auth-port 1645 acct-port 1646 key [KEY]

Configuração da Line VTY

line vty 0 15

authorization exec VTY

login authentication VTY

Configurações do Cisco ISE

A primeira etapa é adicionar o Roteador como um Network Device, para facilitar a administração, vamos criar um grupo, chamado Routers e adicionar a localização, neste exemplo, Laboratório.

Acessar Administration > Network Resources > Network Device Groups. Expandir Groups, clicar em All Device Types e Add.

Admin_Access_with_ISE_001

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_002

Clicar em All Locations e depois em Add.

Admin_Access_with_ISE_003

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_004

Acessar Administration > Network Resources > Network Device e clicar em Add.

Admin_Access_with_ISE_005

Preencher com o Name, Description, IP Address, Location, Device Type. Checar a checkbox Authentication Settings e preencher com a Shared Secret. Neste exemplo, a Key (ou Shared Secret) configurada no roteador foi Cisco123.

Clicar em Submit.

Admin_Access_with_ISE_006

Pronto, o roteador foi acionado como um Network Device.

Admin_Access_with_ISE_007

Agora vamos criar dois grupos, um chamado de Network Admins, no qual serão inseridos usuários com privilégio de leitura e escrita e outro grupo chamado de Network Read Only, que como o nome já diz, terá usuários com acesso de leitura apenas.

Acessar Administration > Identity Management > Groups. Clicar em User Identity Groups e Add.

Admin_Access_with_ISE_008

Preencher com o Name e Description e clicar em Submit.

Admin_Access_with_ISE_009

Repetir o processo para criar o grupo Network Read Only.

Admin_Access_with_ISE_010

Agora vamos criar os usuários. Neste exemplo criarei o usuário administrator, que irá pertencer ao grupo Network Admins e o usuário readonly, que pertencerá ao grupo Network Read Only.

Acessar Administration > Identity Management > Identities. No menu esquerdo, clicar em Users e em Add.

Admin_Access_with_ISE_011

Preencher os campos Name, e-mail, Password, etc, observando que o status deve estar como Enabled e em User Group, adicionar o usuário ao respectivo grupo (Network Admins ou Network Read Only). Clicar em Submit.

Admin_Access_with_ISE_012

Admin_Access_with_ISE_013

A tela a seguir exibe os usuários criados.

Admin_Access_with_ISE_014

Neste exemplo estamos usando a base de usuários interna do Cisco ISE, mas poderíamos integrá-lo com o AD e utilizar os usuários de lá.

O próximo passo é criar uma policy chamada Allowed Protocols e permitir apenas o protocolo PAP que é o utilizado no login via CLI nos equipamentos Cisco. Com isso nós tornamos a nossa regra de autenticação (ainda não criada)  mais específica, eliminando a possibilidade de conflitos com outras regras.

Para isso acesse Policy > Policy Elements > Results. No menu esquerdo, expandir Authentication, clicar em Allowed Protocols e depois em Add.

Admin_Access_with_ISE_015

Preencher com o Name desta Policy, Description e selecionar apenas Allow PAP/ASCII. Clicar em Submit.

Admin_Access_with_ISE_016

A figura abaixo exibe a policy PAP criada.

Admin_Access_with_ISE_017

Agora vamos criar a Authentication Policy neste exemplo chamada de CLI Access. Essa policy diz que se o device pertencer ao grupo Routers E o Radius:NAS-Port-Type for Virtual, então é permitido o protocolo PAP e a autenticação é realizada utilizando a base interna do ISE.

Para tal, acesse Policy > Authentication. No ícone da engrenagem, clicar em Insert new rule above.

Admin_Access_with_ISE_018

Preencher com o nome desta Policy, neste exemplo, chamada de CLI Access. Em conditions, clicar em Create New Condition (Advanced Option).

Admin_Access_with_ISE_019

Selecionar DEVICE > Device Type EqualsRouters. Clicar na engrenagem e em Add Attribute Value.

Admin_Access_with_ISE_020

Selecionar Radius > NAS-Port-Type Equals Virtual.

Admin_Access_with_ISE_021

Em Allowed Protocols, selecionar a regra PAP, criada anteriormente.

Admin_Access_with_ISE_022

Rolar a página até o final e clicar em Save.

A imagem abaixo sumariza a Authentication Policy criada.

Admin_Access_with_ISE_023

Agora vamos criar dois perfis de autorização, chamados de CLI-RW e CLI-RO.

O Authorization Profile CLI-RW envia o Cisco AV-pair “shell:priv-lvl=15Radius:Service Type “Login”.

O Authorization Profile CLI-RO envia o Cisco AV-pair “shell:priv-lvl=7Radius:Service Type “Login”.

Acesse Policy > Policy Elements > Results. No menu lateral, expanda Authorization, clique em Authorization Profiles e depois em Add.

Admin_Access_with_ISE_025

Criar o Authorization Profile CLI_RW, conforme imagem abaixo:

Admin_Access_with_ISE_026

*shell:priv-lvl=15 precisa ser digitado.

Criar o Authorization Profile CLI_RO, conforme imagem abaixo:

Admin_Access_with_ISE_027

*shell:priv-lvl=7 precisa ser digitado.

Agora o último passo: criação das Authorization Policies. Para tanto acesse Policy > Authorization e crie duas regras, neste exemplo, chamadas de Cisco Routers and Switches RWCisco Routers and Switches RO. A primeira diz que se o User Identity Group for Network Admins e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW. Já a segunda diz que se o User Identity Group for Network Read Only e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW.

Admin_Access_with_ISE_028

Agora vamos aos testes.

No router, por meio do acesso via console, foram habilitados os debugs:

debug aaa authentication

debug aaa authorization

Realizando um acesso via telnet com as credenciais de administrador:

Admin_Access_with_ISE_029

Realizando um acesso via telnet com as credenciais de read only:

Admin_Access_with_ISE_030

No Cisco ISE, em Operations > Authentications é possível ver ambas autenticações realizadas e os Authorization Profiles atribuidos.

Admin_Access_with_ISE_031

Também é possível, através do Cisco ISE, ver o Accouting realizado. Para tal, acessar Operations > Reports > Catalog > AAA Protocol > RADIUS Accouting.

Admin_Access_with_ISE_032

Admin_Access_with_ISE_032

Start e Stop dos acessos, informando a data, usuário e IP.

Admin_Access_with_ISE_033

Por fim, lembram que bem no começo nós configuramos um usuário local no Router (Usuário: marco.bartulihe Password: b@rtulih3)?

Se tentarmos acessar o roteador com este usuário/senha, não será possível, pois roteador irá direcionar a autenticação para o Cisco ISE, que vai dizer que este usuário e senha não existe em sua base interna.

Admin_Access_with_ISE_034

No entanto, se o ISE ficar indisponível, será possível utilizar este usuário/senha (fallback configurado no router). Como este é um Laboratório, pausando a VM do Cisco ISE para que ele fique unreachable e acessando novamente, com este usuário e senha:

Admin_Access_with_ISE_035

Portanto, utilizando o Cisco ISE e, consequentemente, o protocolo RADIUS, é possível diferenciar usuários com privilégio de RW e RO, suprindo a necessidade da grande maioria das implantações.