Posts com Tag ‘Identity Services Engine’

Ontém, 26/7, a Cisco finalmente lançou a tão esperada versão 1.2 do Cisco Identity Services Engine (ISE).

O Release Notes pode ser encontrado nesse link.

ISE 1.2 002

Essa versão trás grandes melhorias!!! Talvez a principal seja a alteração da arquitetura de x86 para x64. Com isso haverá melhor performance e escalabilidade, tornando o ISE ainda mais rápido. A versão x86 suportava até 100k endpoints simultâneos, já a x64 suporta até 250k.

A tela inicial mudou um pouco:

ISE_Tela Inicial

E a tela de Authentications também:

AuthenticationsA imagem abaixo resume as principais melhorias.

Huge Release

Os appliances 33×5 (ISE-3315-K9, ISE-3355-K9 e ISE-3395-K9) entraram em end-of-life, conforme anúncio que pode ser visto neste link.

Agora os appliances utilizandos são os Cisco Secure Network Servers, que são baseados no UCS C220, mas designados para o ISE, NAC e ACS. Os novos servidores são SNS-3415-K9 e SNS-3495-K9. O dimensionamento é feito utilizando a tabela abaixo.

ISE Sizing

Outra melhoria interessante é o Logical Profiles. Com ele você pode criar um grupo de determinados dispositivos que compartilham a mesma regra e usar estre grupo em uma Authorization Policy. Um exemplo de aplicação é criar um Logical Profile para dispositivos móveis, incluindo Android, iPhone, iPad, etc.

Antes da release 1.2 a AuthZ Policy precisava ser criada assim:

AuthZ_Policy

Agora é criada assim:

AuthZ_Policy_New

Criar o Logical Profile é bem simples:

Logical Profiles Creation

Outra aguardada melhoria foi o dACL Checker, que verifica se a sintaxe da Access List está correta. Isso certamente irá poupar muitos erros por falta de atenção…

dACL_Checker_001

dACL_Checker_002

dACL_Checker_003

Também houveram melhorias no Guest Portal, tornando-o mais amigável em dispositivos móveis. Em outras palavras, agora não é necessário que o usuário fique dando zoom para entrar com as credenciais. A imagem abaixo exibe a tela de um iPad.

Guest Portal iPad

Os MDM suportados são:

  • AirWatch Version 6.2
  • Mobile Iron Version 5.0
  • ZenPrise Version 7.1
  • Good Version 2.3
  • SAP Sybase

Apenas UM MDM pode estar ativo ao mesmo tempo no Cisco ISE.

Agora que você viu quantas melhoras existem nessa versão, deve estar ansioso para testá-la. Neste link você encontra o upgrade guide para versão 1.2, informando todos os passos para instalar uma fresh version, ou fazer o upgrade.

Vale ressaltar essa excelente apresentação que eu encontrei com muito mais detalhes sobre as novas features da release 1.2 do Cisco ISE… link.

Se você gostou desse post, se increva em meu blog para receber atualizações por e-mail e deixe seu comentário… o incentivo é muito importante. E se não gosto, deixe um comentário também dizendo o motivo!

Se increvam no meu canal do YouTube tambem: www.youtube.com/mbartulihe

Marco Bartulihe

E ai pessoal, enfim estou postando a parte 4/4, configurando o Client.

Por favor, ajudem a divulgar o vídeo se incrivendo no meu canal do YouTube (é só clicar neste link) e clicando em like no vídeo…

Comentários, críticas e sugestões são sempre bem-vindas!

Ahh, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Abs.,

Bartulihe

Continuando…

Parte 3/4. Agora vamos configurar o Cisco ISE.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Client)!!!!

Abs.,

Bartulihe

Continuando a sequência…

Parte 2/4. Agora vamos configurar o WLC para suportar o Cisco ISE. A configuração é bem simples, tanto é que o vídeo tem apenas 5 minutos.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Cisco ISE)!!!!

Abs.,

Bartulihe

Olá pessoal,

Estou inciando mais uma série de vídeos, agora para mostrar como integrar o Cisco ISE (Identity Services Engine) com o WLC (Wireless LAN Controller), exibindo a autenticação 802.1x e avaliação de postura.

Esta série será dividida em quatro vídeos:

Overview, mostrando o Lab proposto, objetivos e um high level das configurações a serem realizadas;

– Configuração do WLC;

– Configuração do Cisco ISE;

– Configuração do Wireless client;

Abaixo segue o primeiro vídeo.

Antes de mais nada, me desculpem pela qualidade do áudio, mas este vídeo tive que gravar com o excelente microfone embutido do notebook. Contudo, na ausência de áudio de qualidade, assistam o vídeo em HD que da pra entender bem! =)

Se inscrevam no meu canal do YouTube, basta clicar nesse link, e no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for liberado…

Até o próximo vídeo!

Bartulihe

Pessoal,

Nesse vídeo eu mostro como atualizar o Cisco ISE (Identity Services Engine). A novidade é que eu inseri legendas em inglês…

Me desculpem pelo áudio estar uma merda… gravar sem microfone é complicado!

Bom é isso ai…

Dêem uma força ai galera, se inscrevam no meu canal do YouTube, basta clicar nesse link, e no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for liberado…

Abraços,

Bartulihe

Instalando o Cisco ISE

Publicado: 21 de novembro de 2012 em Secutiry
Tags:, , , , , , ,

Olá pessoal,

Neste post irei mostrar como instalar o Cisco ISE (Identity Services Engine).

Para que não sabe, o ISE é mais ou menos a junção do ACS (Access Control Server) com o NAC (Network Admission Control). ACS, pois o ISE faz toda a parte de autenticação 802.1x, tanto Wired quanto Wireless e Guest Lifecycle. NAC, pois valida se a máquina do usuário está compliance ou não com as políticas de rede da Empresa, tais como antivírus instalado, sistema operacional, patches de segurança, etc. Isto é chamado de posture assessment.

Quanto ao licenciamento, em outro post explico com mais detalhes, mas em resumo é o seguinte:

  • Licenciamento Base: o ISE realizará todas as funções de autenticação 802.1x e Guest Lifecycle. Licença perpétua.
  • Licenciamento Advanced: o ISE realizará a função de posture compliance (NAC). Atualmente esta licença é válida por 3 ou 5 anos.

Ambos licenciamentos estão atrelados ao número de endpoints.

Sem mais delongas, afinal falarei sobre o Ordering Guide do Cisco ISE com mais detalhes em um post futuro, vamos a instalação do ISE Virtual Appliance.

Inicialmente os requerimentos de hardware:

  • CPU: Intel Quad-Core; 2.13 GHz ou superior.
  • Memória: 4 GB RAM.
  • HD: 60 a 600 GB (o tamanho depende do tipo de deployment e configurações).
  • Disk Controller: SCSI.
  • Network: 1 NIC (mínimo).
  • Hypervisor: VMware ESX 4.x, ESXi 4.x ou ESXi 5.x.

Para fins de laboratório ou estudos, é possível instalar o ISE no VMware Workstation (este assunto será tratado no próximo post). Neste post vamos instalar o ISE em um servidor ESXi 5.0.0.

Abra o VMware Vsphere Client e acesse o servidor:

VMware VSphere Client

Copie a imagem do ISE para o datastore do ESXi:

Acessando o datastore.

Acessando o datastore.

Transferindo a imagem para o datastore.

Agora basta selecionar a imagem do ISE e transferi-la.

Como a imagem do ISE é grande (4 GB +), aconselho estar na mesma rede que o servidor e conectado a rede cabeada (ou a um AP Cisco 3600 com módulo 802.1ac ^^).

Depois de transferida a imagem, vamos iniciar a instalação.

Clique em File > New > Virtual Machine:

New Virtual Machine

Selecione Typical e clique em Next:

New Virtual Machine

De um nome a VM e clique em Next:

New Virtual Machine

Selecione o datastore e clique em Next:

New Virtual Machine

Na tela seguinte, em Guest Operating System selecione Linux e na versão, Red Hat Enterprise Linux 5 (32-bit). Clique em Next.

Guest Operating System

Em Network, selecione a quantidade de NICs, lembrando que o mínimo é uma NIC. Ajuste as configurações de acordo com o seu ambiente e clique em Next.

Network

Na tela Create a Disk, selecione o tamanho (60 a 600 GB), Thin Provision e clique em Next.

Create a Disk

Na tela de Ready to Complete, verifique se as configurações estão corretas e selecione a check box edit the virtual machine settings before completion. Clique em Continue.

Ready to Complete

Na tela que abrir, em Memory, selecione 4 GB:

Memory

Selecione a guia CPUs (additing). Em Number of virtual sockets, selecione 2 e em Number of cores per socket, selecione 2.

CPUs

Selecione a guia New CD/DVD (additing). Em Device Status, cheque a opção Connect at power on. Em Device Type, selecione Datastore ISO File, clique em Browse e selecione a imagem ISO que foi transferida no início.

Clique em Finish.

New CD/DVD (additing)

Selecione a VM e clique em Power on the Virtual Machine:

Power on the Virtual Machine

Será exibida a tela abaixo. Digite 1 e aperte Enter.

ISE Install

A instalação do ISE é iniciada, conforme imagem a seguir.

ISE Install

Após selecionar a opção 1, o processo de instalação é automático (um pouco demorado, variando de 20 a 60 minutos) e não requer nenhuma intervenção.

ISE Install

Quando a instalação terminar a VM irá reiniciar:

ISE Install

Após o boot, será exibida a tela abaixo. Digite setup e tecle enter.

Após isso, será iniciada a configuração do Cisco ISE. Será solicitado, nesta ordem:

Enter hostname: nome do equipamento. Pode ter até 19 caracteres, de a-z, maiúsculo e minúsculo, 0-9 e hífen (-). Exemplo: CISCOISE.

Enter IP Address: Endereço IPv4 para interface Giga 0. Exemplo: 10.1.200.20.

Enter IP Netmask: Máscara de rede. Exemplo: 255.255.0.0.

Enter IP Default Gateway: Endereço IPv4 do Default Gateway. Exemplo: 10.1.10.1.

Enter default DNS Domain: Nome do domínimo. Exemplo: home.com.br.

Enter primary nameserver: Endereço IPv4 do servidor DNS. Exemplo: 10.1.1.17.

Será solicitado se deseja adicionar um servidor DNS secundário. Responda com Y ou N.

Enter NTP Server: Endereço do servidor NTP. Exemplo: a-ntp.br.

Será solicitado se deseja adicionar um servidor NTP secundário. Responda com Y ou N.

Enter system timezone [UTC]: Timezone. Exemplo: America/Sao_Paulo.

Enter username[admin]: Nome de usuário do Cisco ISE. Pressionando Enter, sem digitar nada, será utilizado admin. O nome de usuário deve ter de 3 a 8 caracteres e composto por a-z, A-Z e 0-9. Exemplo: admin.

Enter password: Senha para o usuário acima criado. A senha precisa ser forte, com pelo menos 6 dígitos, com pelo menos um caracter maiúsculo, minúsculo e número.

Enter password again: Confirme a senha.

Após isso será iniciada a instalação do ISE, conforme exibe a imagem a seguir.

ISE Setup

Após alguns instantes, será solicitada uma senha para o database administrator e outra para o database user, conforme imagem abaixo:

ISE Setup

A instalação prosseguirá:

ISE Setup

Quando acabar, o appliance reiniciará e será exibida a tela abaixo:

ISE Setup

Entre com o usuário e senha criados durante a etapa de configuração.

Para verificar se todos os serviços já estão operando, entre com o comando show application status ise. A imagem abaixo, obtida logo após a finalização da instalação demonstra que Application Server ainda estava inicializando.

ISE Setup

Após alguns instantes, foi digitado o mesmo comando e todos os serviços estavam com o status “running“.

ISE Setup

Finalizada a instalação e configuração, podemos acessar a interface gráfica. Para isso basta abrir um navegador e digitar o IP configurado. O redirect para https será automático.

Será exibida a tela referente ao certificado. Clique em prosseguir.

ISE Web Interface

Tela de login do ISE:

ISE Web Interface

Tela de Home do ISE:

ISE Web Interface

Pronto! Finalizamos a instalação do Cisco ISE.

Espero que tenham gostado…

Comentem… Se inscrevam no meu blog para acompanhar as novidades e acessem o meu canal no Youtube: link!!!

Abraços,

Bartulihe