Cisco ISE

Renseignements principaux

• nœud 1 : 10.13.102.221/24
• nœud 2 : 10.13.102.222/24
• Serveurs NAC MOY1300
• Virtualisé sur cluster VMware
• Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
• Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
• Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)

Debugging

Interface Web

Live Logs

Pour les problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes étapes liées au processus d’identification d’un client.

L'affichage des clients peut se faire selon plusieurs critères :

• Identité (username)
• adresse MAC
• Type de device (marque / type d'équipement)
• Politique d'authentification utilisée (DR13 / SHD)
• VLAN
• Switch

On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment :

• les étapes de la phase d'authentification
• le profil que le client a matché
• le VLAN qui lui a été attribué
• les informations liées à l'AD (CN et Groupe du client)

Outils de diagnostic

RADIUS Authentication Troubleshooting

• 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client
• 2. Cliquer sur Search
• 3. Sélectionner la ligne dont le status est failed
• 4. Cliquer sur Troubelshoot
• 5. Cliquer sur Show Result Summary

Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client.

Endpoint Debug

/!\ Très très verbeux !!

Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :

• 1. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug
• 2. Cliquer sur Start
• 3. Initier une connexion au réseau depuis le client à debugguer
• 4. Télécharger les logs

C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.

Switch Cisco

Visualiser les sessions 802.1X

show authentication sessions method dot1x  

Interface MAC Address    Method  Domain  Status Fg  Session ID 
------------------------------------------------------------------------
Gi1/0/3 f09f.fc14.df78 dot1x   DATA    Auth   A000000CC6A2703...

Logging 802.1X

Activer les logs pour l’authentification dot1x.

dot1x logging verbose

Visualiser les logs à la volée en CLI.

terminal monitor

Désactiver le monitoring en CLI.

terminal no monitor

Switch Juniper

Visualiser les sessions 802.1X

show dot1x interface brief             

802.1X Information:
Interface     Role           State           MAC address          User
ge-0/0/1      Authenticator  Authenticated   00:a0:d2:18:1a:c8    user

Détail d'une session sur une interface

show dot1x interface ge-0/0/1.0 detail

Logging 802.1X

Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer.

set protocols dot1x traceoptions file dot1x
set protocols dot1x traceoptions file size 5m
set protocols dot1x traceoptions flag all

Exemple : afficher les 10 dernières entrées du fichier de logs dot1x

show log dot1x | last 10

Maintenance

Statut des nœuds

À vérifier depuis Administration → System → Deployment → Deployment Nodes.

Statut des services

Commande à exécuter en CLI sur n’importe quel nœud :

show application status ise  

Plantage nœud secondaire

Redémarrer le nœud en CLI via SSH (~15/20min) :

reload

Plantage nœud primaire

Sur nœud secondaire, vérifier si la bascule a fonctionné (accès à l'ensemble des menus d'administration).

Sinon, aller à Deployment → Promote to Primary

Sur nœud primaire, redémarrer en CLI via SSH (~15/20min) :

reload

Plantage complet

Redémarrer nœud primaire puis nœud secondaire :

reload

Déploiement Patch de sécu

Sur nœud primaire : Administration → System → Maintenance → Installed Patches → Install → Parcourir... → Sélectionner le fichier → Install

Une fois le patch installé sur le nœud 1, il va être déployé automatiquement sur le nœud 2.

Vérifier l’état d’avancement du déploiement : Administration → System → Maintenance → Installed Patches → Numéro_de_patch → Show Node Status

Déploiement Hotpatch

Hotpatch = patch de sécu déployé en urgence en cas de faille de sécu à haut impact.

Création répertoire sur disque local :

conf t
mkdir disk:/hotpatch
repository hotpatch
url disk:/hotpatch

Copie fichier hotpatch via SFTP (SCP non supporté) :

copy sftp://IP_sftp_server/hotpatch_file.tar.gz disk:/hotpatch

Installation du hotpatch :

application install hotpatch_file.tar.gz hotpatch

Les hotpatch ne sont pas visibles depuis l’interface web d’ISE. Seule la commande suivante permet d’obtenir les informations les concernant.

show logging application hotpatch.log 
Thu Feb 17 16:32:42 CET 2022 => CSCwa47133_3.1.0.518_patch1

MAJ d'ISE

Étapes d'une MAJ

• Mettre à jour le nœud secondaire en CLI. Le processus de mise à jour va automatiquement supprimer la déclaration de ce nœud sur le nœud primaire puis le second nœud va devenir le nœud primaire lors du redémarrage survenant à la fin de la MAJ
• Mettre à jour l’ancien nœud primaire en CLI. Le processus de mise à jour va automatiquement enregistré le nœud en tant que nœud secondaire
• Promouvoir le nouveau nœud secondaire afin qu’il retrouve sa place initiale de nœud primaire

Mise à jour CLI via SSH

Création répertoire sur disque local :

conf t
mkdir disk:/upgrade
repository upgrade
url disk:/upgrade

Téléchargement du fichier d’upgrade en récupérant son nom depuis le site web de Cisco.

IMPORTANT : Comparer la valeur du hash avec celle sur le site de Cisco afin de vérifier l’intégrité du fichier

application upgrade prepare ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.1.130.x86_64.tar.gz upgrade 

Installation de la MAJ :

application upgrade proceed

Redémarrage d’un nœud = ~20 minutes. Durant 1 MAJ, 2 redémarrages consécutifs d'un nœud ont lieu. Il faut être patient...

Une fois la mise à jour terminée, si les nœuds contiennent d’anciens logs, exécuter la commande application configure ise et choisir 5 (Refresh Database Statistics) sur ces nœuds.

Certificat imprimantes EAP-TLS

Génération du CSR sur l'imprimante

Depuis l’interface web de l’imprimante, se rendre dans Réglages système → Réglages de sécurité → Gestion des certificats → Gestion de Requête de Signature de Certificat (CSR) → Créer. Remplir le formulaire comme ceci puis cliquer sur Enregistrer :

• Nom_imprimante
• CNRS
• MOY1300
• Montpellier
• Occitanie
• FR
• 2048 bits

Dans Gestion de Requête de Signature de Certificat (CSR) vérifier la présence de notre demande puis cliquer dessus afin d'en afficher le contenu.

Émission du certificat par la CA interne

Création d'un fichier .csr sur la machine hébergeant notre CA interne dans lequel on copie le contenu du CSR généré précédemment sur l'imprimante.

Exécuter la commande suivante afin de générer le certificat à partir du template DR13_Imprimantes.

certreq -submit -attrib "CertificateTemplate:DR13_Imprimantes" printer.csr

Export du certificat machine

Toujours sur notre CA interne, se rendre dans Server Manager → Tools → Certification Authority → ad-CA01-CA → Issued Certificates. Repérer le certificat dont le champ Issued Common Name contient le nom de notre imprimante.

Pour exporter le certificat, cliquer droit → Open → Details → Copy to File… → DER encoded → Next → Browse… → Save.

Sur l’imprimante, se rendre dans Réglages système → Réglages de sécurité → Gestion des certificats → Gestion des certificats d'appareil → Importer → Parcourir → Sélection du fichier → Soumettre.

Export des certificats CA

Récupérer le certificat racine et le certificat intermédiaire de notre CA interne depuis Server Manager → Tools → Internet Information Services (IIS) Manager → CA01 → Server Certificates → clic droit → View… → Details → Copy to File… → Next → No, do not export the private key → Next → DER encoded → Next → Browse… → Save.

Sur l’imprimante, ajouter les certificats depuis Réglages système → Réglages de sécurité → Gestion des certificats → Gestion des certificats CA → Importer → Parcourir → Sélection du fichier → Soumettre.

Changement de DNS

Se connecter en CLI sur le nœud primaire puis exécuter les commandes suivantes :

conf t
no ip name-server ancienne_IP
ip name-server nouvelle_IP

Sur le nœud secondaire, le promouvoir en tant que maître depuis Deployment → Promote to Primary

Sur nœud primaire, redémarrer en CLI via SSH (~15/20min) :

reload

Faire de même pour le nœud secondaire en promouvant à nouveau le nœud 1 comme nœud primaire.

Déclaration d'éléments réseau

Ajout d'un VLAN

Dans Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add :

• Renseigner un nom
• Définir le type d'accès sur ACCESS_ACCEPT
• Dans Common Tasks, cocher VLAN et indiquer l'ID/Name du VLAN.

Ajout d'un switch

Dans Administration → Network Resources → Network Devices → Add :

• Renseigner un nom
• Indiquer une @IP/masque_sous_réseau
• Device Profile (Cisco ou Junip)
• Nom du modèle
• Version logicielle
• Localisation (SW DR13 / SW CAMPUS - BAT X)
• Device Type (Cisco SW / Junip SW)
• Shared Secret (à copier dans conf du SW)
• SNMP RO Community : cnrsDR13

Ajout d'un AD

Dans Administration → Identity Management → External Identity Sources → Active Directoy → Add, renseigner :

• Nom
• FQDN
• identifiants utilisateur avec droits d'admin

Ajout de règles

Protocoles utilisés

Possibilité de créer (bouton Add) un profil rassemblant un ensemble de protocoles (MAB, EAP-TLS,...) qui vont être utilisés pour l'authentification. Avant d'en définir de nouveaux, voir ceux pré-existants (DR13-DOT1X et SHD-DOT1X).

Définir de nouveaux profils depuis le menu Policy → Policy Elements → Results → Authentication → Allowed protocols

Définir des Policy Sets

Indiquer ensuite des conditions qui vont permettre de définir des ensembles de règles (Policy Sets).

Ces conditions sont définies dans Policy → Policy Sets. Possibilité d'ajout via le bouton + à gauche du tableau ou duplication à partir de la roue crantée.

Les tentatives de connexion sont séparées selon 2 conditions :

• le type de connexion (filaire, sans fil, via MAB)
• le type de switch (DR13 ou Campus)

Règles d’autorisation d'accès au réseau

Menu permettant de définir une règle accessible en cliquant sur la flèche bleue située sur la droite au niveau de la colonne View.

Ajout d'une règle : Authorization Policy puis cliquer sur le bouton + à gauche du tableau ou la roue crantée pour dupliquer.

Éditeur de règles

Comporte 2 parties :

• Bibliothèque de conditions et règles pré-existantes
• L'éditeur en lui-même permettant d'accorder un accès réseau à une machine selon un ensemble d'attributs (certificat, identity group,...) et leurs valeurs respectives.

IMPORTANT : Une fois une règle terminée, 2 possibilités pour l'appliquer :

• La sauvegarder (bouton Save) pour la réutiliser ultérieurement (elle sera alors stockée dans la bibliothèque évoquée ci-dessus). En revanche, seul le nom de cette règle sera affiché dans la section Policy Sets au lieu des éléments qui la constitue
• L’utiliser (bouton Use) pour que le détail des éléments composant une condition soit visible dans la section Policy Sets. En revanche, il faut réécrire intégralement la règle pour la réutiliser

Exemple de règle

L'ensemble de règles nommé DR13-DOT1X-wired authentifie toutes les machines se connectant en filaire via 802.1X sur un switch appartenant à la DR13.

C'est le cas par exemple des imprimantes SHARP MX-3571 qui se connectent via EAP-TLS afin d'obtenir un accès au vlan 150.

La règle DR13 Printers TLS définie dans Policy → Policy Sets → DR13-DOT1X-wired → Authorization Policy indique que la machine souhaitant obtenir un accès au VLAN 150 doit :

• Posséder un certificat dont l'émetteur est notre CA interne (AD-CA)
• l'OID du template utilisé est celui de DR13_Imprimante qui est présent sur notre CA interne