Cisco ISE

De Wiki_DR13
Révision datée du 11 mars 2022 à 16:32 par 193.49.133.191 (discussion) (Niveau ISE)
Aller à : navigation, rechercher

Renseignements principaux

  • nœud 1 : 10.13.102.221/24
  • nœud 2 : 10.13.102.222/24
  • Serveurs NAC MOY1300
  • Virtualisé sur cluster VMware
  • Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
  • Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
  • Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)

Maintenance

Statut des nœuds

À vérifier depuis Administration → System → Deployment → Deployment Nodes.

Statut des services

Commande à exécuter en CLI sur n’importe quel nœud : 

show application status ise

Plantage nœud secondaire

Redémarrer le nœud en CLI via SSH (~15/20min) : 

reload

Plantage nœud primaire

Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).

Sinon, aller à Deployment → Promote to Primary

Sur nœud primaire, redémarrer en CLI via SSH (~15/20min) : 

reload

Plantage complet

Redémarrer nœud primaire puis nœud secondaire : 

reload

Debug authentification client

Niveau ISE

En cas de problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes tentatives de connexion à ISE. Afin d’afficher les informations détaillées de la connexion d'un client, on clique sur l’icône de la colonne Details au niveau de la ligne correspondant à notre client.

Possibilité d'obtenir des logs plus verbeux concernant un client. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug, renseigner l’adresse MAC ou l'adresse IP du client ne parvenant pas à se connecter puis cliquer sur Start et initier une tentative de connexion avec le client que l’on souhaite debugguer.

Niveau switch

Pour un switch Cisco, possibilité d’activer les logs pour l’authentification dot1x et via MAB : 

conf t
dot1x logging verbose
mab logging verbose

Visualiser les logs à la volée en CLI : 

terminal monitor

Obtenir un résumé des sessions 802.1x en cours : 

show authentication sessions method dot1x

Pour un switch Juniper, les logs 802.1x étant déjà activés, possibilité de les consulter : 

show log dot1x

Afficher l'état des interfaces 802.1X 

show dot1x interface brief

Déploiement Patch de sécu

Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install

Une fois le patch installé sur le nœud 1, il va être déployé automatiquement sur le nœud 2.

Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status

Déploiement Hotpatch

Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.

Création répertoire sur disque local : 

conf t
mkdir disk:/hotpatch
repository hotpatch
url disk:/hotpatch

Copie fichier hotpatch via SFTP (SCP non supporté) : 

copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch

Installation du hotpatch : 

application install hotpatch_file.tar.gz hotpatch

Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante permet d’obtenir les informations les concernant. 

show logging application hotpatch.log 
Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1

MAJ d'ISE

Étapes d'une MAJ

  • Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
  • Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
  • Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire

Mise à jour CLI via SSH

Création répertoire sur disque local : 

conf t
mkdir disk:/upgrade
repository upgrade
url disk:/upgrade

Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.

IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier 

application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade

Installation de la MAJ : 

application upgrade proceed

Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Il faut être patient...

Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.

Certificat imprimantes EAP-TLS

Génération du CSR sur l'imprimante

Depuis l’interface web de l’imprimante, se rendre dans Réglages système → Réglages de sécurité → Gestion des certificats → Gestion de Requête de Signature de Certificat (CSR) → Créer. Remplir le formulaire comme ceci puis cliquer sur Enregistrer :

  • Nom_imprimante
  • CNRS
  • MOY1300
  • Montpellier
  • Occitanie
  • FR
  • 2048 bits

Dans Gestion de Requête de Signature de Certificat (CSR) vérifier la présence de notre demande puis cliquer dessus afin d'en afficher le contenu.

Émission du certificat par la CA interne

Création d'un fichier .csr sur la machine hébergeant notre CA interne dans lequel on copie le contenu du CSR généré précédemment sur l'imprimante.

Exécuter la commande suivante afin de générer le certificat à partir du template DR13_Imprimantes. 

certreq -submit -attrib "CertificateTemplate:DR13_Imprimantes" printer.csr

Export du certificat machine

Toujours sur notre CA interne, se rendre dans Server Manager → Tools → Certification Authority → ad-CA01-CA → Issued Certificates. Repérer le certificat dont le champ Issued Common Name contient le nom de notre imprimante.

Pour exporter le certificat, cliquer droit → Open → Details → Copy to File… → DER encoded → Next → Browse… → Save.

Sur l’imprimante, se rendre dans Réglages système → Réglages de sécurité → Gestion des certificats → Gestion des certificats d'appareil → Importer → Parcourir → Sélection du fichier → Soumettre.

Export des certificats CA

Récupérer le certificat racine et le certificat intermédiaire de notre CA interne depuis Server Manager → Tools → Internet Information Services (IIS) Manager → CA01 → Server Certificates → clic droit → View… → Details → Copy to File… → Next → No, do not export the private key → Next → DER encoded → Next → Browse… → Save.

Sur l’imprimante, ajouter les certificats depuis Réglages système → Réglages de sécurité → Gestion des certificats → Gestion des certificats CA → Importer → Parcourir → Sélection du fichier → Soumettre.


Déclaration d'éléments réseau

Ajout d'un VLAN

Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :

  • Renseigner un nom
  • Définir le type d'accès sur ACCESS_ACCEPT
  • Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.

Ajout d'un switch

Dans Administration → Network Resources → Network Devices → Add :

  • Renseigner un nom
  • Indiquer une @IP/masque_sous_réseau
  • Device Profile (Cisco ou Junip)
  • Nom du modèle
  • Version logicielle
  • Localisation (SW DR13 / SW CAMPUS - BAT X)
  • Device Type (Cisco SW / Junip SW)
  • Shared Secret (à copier dans conf du SW)
  • SNMP RO Community : cnrsDR13

Ajout d'un AD

Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :

  • Nom
  • FQDN
  • identifiants utilisateur avec droits d'admin


Ajout de règles

Protocoles utilisés

Possibilité de créer (bouton Add) un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X).

Définir de nouveaux profils depuis le menu Policy → Policy Elements → Results → Authentication → Allowed protocols

Définir des Policy Sets

Indiquer ensuite des conditions qui vont permettre de définir des ensembles de règles (Policy Sets).

Ces conditions sont définies dans Policy → Policy Sets. Possibilité d'ajout via le bouton + à gauche du tableau ou duplication à partir de la roue crantée.

Les tentatives de connexion sont séparées selon 2 conditions :

  • le type de connexion (filaire, sans fil, via MAB)
  • le type de switch (DR13 ou Campus)

Règles d’autorisation d'accès au réseau

Menu permettant de définir une règle accessible en cliquant sur la flèche bleue située sur la droite au niveau de la colonne View.

Ajout d'une règle : Authorization Policy puis cliquer sur le bouton + à gauche du tableau ou la roue crantée pour dupliquer.

Éditeur de règles

Comporte 2 parties :

  • Bibliothèque de conditions et règles pré-existantes
  • L'éditeur en lui-même permettant d'accorder un accès réseau à une machine selon un ensemble d'attributs (certificat, identity group,...) et leurs valeurs respectives.


IMPORTANT : Une fois une règle terminée, 2 possibilités pour l'appliquer :

  • La sauvegarder (bouton Save) pour la réutiliser ultérieurement (elle sera alors stockée dans la bibliothèque évoquée ci-dessus). En revanche, seul le nom de cette règle sera affiché dans la section Policy Sets au lieu des éléments qui la constitue
  • L’utiliser (bouton Use) pour que le détail des éléments composant une condition soit visible dans la section Policy Sets. En revanche, il faut réécrire intégralement la règle pour la réutiliser

Exemple de règle

L'ensemble de règles nommé DR13-DOT1X-wired authentifie toutes les machines se connectant en filaire via 802.1X sur un switch appartenant à la DR13.

C'est le cas par exemple des imprimantes SHARP MX-3571 qui se connectent via EAP-TLS afin d'obtenir un accès au vlan 150.

La règle DR13 Printers TLS définie dans Policy → Policy Sets → DR13-DOT1X-wired → Authorization Policy indique que la machine souhaitant obtenir un accès au VLAN 150 doit :

  • Posséder un certificat dont l'émetteur est notre CA interne (AD-CA)
  • l'OID du template utilisé est celui de DR13_Imprimante qui est présent sur notre CA interne
Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Cisco_ISE&oldid=10353 »