Cisco ISE : Différence entre versions
| Ligne 135 : | Ligne 135 : | ||
La définition de nouveaux profils est possible depuis le menu ''Policy → Policy Elements → Results → Authentication → Allowed protocols'' | La définition de nouveaux profils est possible depuis le menu ''Policy → Policy Elements → Results → Authentication → Allowed protocols'' | ||
| − | === Définir des | + | === Définir des Policy Sets === |
| − | On indique ensuite des conditions qui vont permettre de définir des ensembles de règles. | + | On indique ensuite des conditions qui vont permettre de définir des ensembles de règles (Policy Sets). |
Ces conditions sont définies dans ''Policy → Policy Sets''. Elles peuvent être ajoutées via le '''bouton +''' à gauche du tableau ou dupliquée à partir de la '''roue crantée'''. | Ces conditions sont définies dans ''Policy → Policy Sets''. Elles peuvent être ajoutées via le '''bouton +''' à gauche du tableau ou dupliquée à partir de la '''roue crantée'''. | ||
| Ligne 145 : | Ligne 145 : | ||
* le type de switch (DR13 ou Campus) | * le type de switch (DR13 ou Campus) | ||
| − | === Règles d’autorisation === | + | === Règles d’autorisation d'accès au réseau === |
L'accès au menu permettant de définir une règle s'effectue en cliquant sur la flèche bleue située sur la droite au niveau de la colonne '''View'''. | L'accès au menu permettant de définir une règle s'effectue en cliquant sur la flèche bleue située sur la droite au niveau de la colonne '''View'''. | ||
Version du 11 mars 2022 à 12:48
Sommaire
Renseignements principaux
- @IP : 10.13.102.221/24 et 10.13.102.222/24
- Serveurs NAC MOY1300
- Virtualisé sur cluster VMware
- Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
- Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
- Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
Maintenance
Plantage nœud secondaire
Redémarrer le nœud en CLI via SSH (~15/20min) :
reload
Plantage nœud primaire
Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).
Sinon, aller à Deployment → Promote to Primary
Sur nœud primaire, redémarrage en CLI via SSH (~15/20min) :
reload
Plantage complet
Redémarrage nœud primaire puis nœud secondaire :
reload
Déploiement Patch de sécu
Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install
Une fois le patch installé sur le nœud 1, il va ensuite être déployé automatiquement sur le nœud 2.
Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status
Déploiement Hotpatch
Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.
Création répertoire sur disque local :
conf t mkdir disk:/hotpatch repository hotpatch url disk:/hotpatch
Copie fichier hotpatch via SFTP (SCP non supporté) :
copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch
Installation du hotpatch :
application install hotpatch_file.tar.gz hotpatch
Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante nous permet d’obtenir les informations les concernant.
show logging application hotpatch.log Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1
MAJ d'ISE
Étapes d'une MAJ
- Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
- Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
- Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire
Mise à jour CLI via SSH
Création répertoire sur disque local :
conf t mkdir disk:/upgrade repository upgrade url disk:/upgrade
Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.
IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier
application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade
Installation de la MAJ :
application upgrade proceed
Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Conclusion : Il faut être patient !
Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, on peut exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.
Déclaration d'éléments réseau
Ajout d'un VLAN
Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :
- Renseigner un nom
- Définir le type d'accès sur ACCESS_ACCEPT
- Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.
Ajout d'un switch
Dans Administration → Network Resources → Network Devices → Add :
- Renseigner un nom
- Indiquer une @IP/masque_sous_réseau
- Device Profile (Cisco ou Junip)
- Nom du modèle
- Version logicielle
- Localisation (SW DR13 / SW CAMPUS - BAT X)
- Device Type (Cisco SW / Junip SW)
- Shared Secret (à copier dans conf du SW)
- SNMP RO Community : cnrsDR13
Ajout d'un AD
Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :
- Nom
- FQDN
- identifiants utilisateur avec droits d'admin
Ajout de règles
Protocoles utilisés
On peut créer (bouton Add) un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X).
La définition de nouveaux profils est possible depuis le menu Policy → Policy Elements → Results → Authentication → Allowed protocols
Définir des Policy Sets
On indique ensuite des conditions qui vont permettre de définir des ensembles de règles (Policy Sets).
Ces conditions sont définies dans Policy → Policy Sets. Elles peuvent être ajoutées via le bouton + à gauche du tableau ou dupliquée à partir de la roue crantée.
Nous avons séparé les tentatives de connexion selon 2 conditions :
- le type de connexion (filaire, sans fil, via MAB)
- le type de switch (DR13 ou Campus)
Règles d’autorisation d'accès au réseau
L'accès au menu permettant de définir une règle s'effectue en cliquant sur la flèche bleue située sur la droite au niveau de la colonne View.
Pour ajouter une règle, on se rend dans Authorization Policy puis on clique sur le bouton + à gauche du tableau ou la roue crantée pour dupliquer.
Éditeur de règles
Il se décompose en 2 parties :
- Une bibliothèque de conditions et règles pré-existantes
- L'éditeur en lui-même qui permet d'accorder un accès réseau à une machine selon un ensemble d'attributs (certificat, identity group,...) et leurs valeurs respectives.
IMPORTANT : Une fois une règle terminée, il existe 2 possibilités pour l'appliquer :
- La sauvegarder (bouton Save) afin de pouvoir la réutiliser ultérieurement (elle sera stockée dans la bibliothèque évoquée ci-dessus). En revanche, seul le nom de cette règle sera affiché dans la section Policy Sets en lieu et place des éléments qui la constitue
- L’utiliser (bouton Use) ce qui permet d’afficher le détail des éléments composant une condition dans la section Policy Sets. En revanche, si la règle doit être réutilisée, il sera nécessaire de la réécrire intégralement
Exemple de règle
Nous avons créé l'ensemble de règles nommé DR13-DOT1X-wired qui authentifie toutes les machines se connectant en filaire via 802.1X sur un switch appartenant à la DR13.
C'est le cas par exemple des imprimantes SHARP MX-3571 qui se connectent via EAP-TLS afin d'obtenir un accès au vlan 150.
La règle DR13 Printers TLS définie dans Policy → Policy Sets → DR13-DOT1X-wired → Authorization Policy indique que la machine souhaitant obtenir un accès au VLAN 150 doit posséder un certificat dont l'émetteur est notre PKI (AD-CA) et dont l'OID du template est celui de DR13_Imprimante qui a été mis en place sur cette même PKI.
