ISE - 14 - Profiling

Introducción al Profiling

• El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva externa.
• Se diferencia de la postura, que realiza un examen interno del sistema.
• El profiling se usa para construir una base de datos de endpoints en la red y asignarlos a categorías basadas en sus atributos externos.
• Inicialmente se usó para automatizar MAC Authentication Bypass (MAB), pero se ha convertido en una parte integral del control de acceso.
• Permite recopilar atributos de dispositivos de fuentes como DHCP, NetFlow, HTTP User-Agent strings, DNS, Active Directory, entre otros.
• Estos atributos se comparan con firmas predefinidas, comúnmente llamadas perfiles, para clasificar los dispositivos.
• La información de profiling se utiliza como condición en las políticas de autorización.

Comportamiento Anómalo

• Anomalous Behaviour Detection busca contradicciones o ciertos cambios en los datos de profiling para ayudar a detectar posible MAC spoofing.
• Verifica el tipo de puerto, el DHCP Class-Identifier, y la política del endpoint.
• No cambia automáticamente el acceso a la red; establece el atributo AnomalousBehaviour en verdadero.
• Anomalous Behaviour Enforcement permite que ISE emita un Cambio de Autorización (CoA) al detectar comportamiento anómalo, permitiendo reautenticar y cambiar el acceso.
• Se recomienda una estrategia de mínimo privilegio independientemente de si las funciones de comportamiento anómalo están habilitadas.

Cisco ISE Probes (Sondas)

• Las probes son mecanismos de recopilación de datos utilizados por ISE Profiler para determinar qué es un dispositivo.
• Se habilitan en cada Policy Services Node (PSN) desde la GUI del Policy Administration Node (PAN) en Administration > System > Deployment > Profiling Configuration.
• Existen 11 probes:
  • NETFLOW: Recopila registros de flujos de tráfico. Se recomienda un colector NetFlow para filtrar datos.
  • DHCP: Recopila información de solicitudes DHCP directamente al PSN (usando ip helper-address).
  • DHCPSPAN: Recopila solicitudes y respuestas DHCP a través de una sesión SPAN. No se recomienda habilitar ambos DHCP y DHCPSPAN en la misma interfaz.
  • HTTP: Captura tráfico HTTP y examina el campo User-Agent. Puede usar SPAN o los portales web de ISE para recopilar esta información. El WLC con Device Sensor también puede enviar esta información vía RADIUS.
  • RADIUS: El mecanismo principal de comunicación entre NAD e ISE, proporciona datos como MAC y dirección IP, y activa el probe SNMPQUERY. Es especialmente crítico con Device Sensor.
  • Network Scan (Nmap): Utiliza escaneo de puertos, SNMP, SMB para identificar atributos del dispositivo. Puede ser manual o reactivo a un evento de profiling.
  • DNS: Recopila el FQDN de un endpoint mediante una búsqueda inversa, útil para activos corporativos. Se activa después de la detección por DHCP, RADIUS, HTTP o SNMP.
  • SNMPQUERY: Realiza la mayor parte del trabajo de profiling al interrogar a los NADs habilitados para SNMP. Se activa periódicamente o por SNMPTRAP o RADIUS.
  • SNMPTRAP: Recibe información de los NADs sobre cambios en la tabla MAC y cambios en el estado del enlace, y activa el probe SNMPQUERY.
  • Active Directory: Recopila información detallada del sistema operativo para endpoints unidos al dominio. Requiere que ISE esté unido al dominio y aprende el hostname a través de DHCP o DNS.
  • pxGrid: Recibe contexto de endpoints de otros sistemas Cisco y de terceros. Utiliza la especificación pxGrid Versión 2 y el tema Endpoint Asset.

Configuración de la Infraestructura

• DHCP Helper: Configurar ip helper-address en las interfaces de capa 3 para reenviar copias de las solicitudes DHCP a los PSNs.
• SPAN Configuration: Configurar sesiones de monitor para copiar tráfico a las interfaces de los PSNs.
• VLAN Access Control Lists (VACLs): Se pueden usar para filtrar el tráfico enviado a una sesión SPAN, mejorando la utilización de recursos.
• Device Sensor: Característica en switches y controladores que recopila atributos de endpoints localmente y los envía a ISE dentro de los paquetes de contabilidad RADIUS. Requiere configurar listas de filtros para DHCP, CDP y LLDP.
• VMware Configurations: Necesario habilitar el modo promiscuo en los vSwitches para usar probes SPAN con ISE.

Profiling Policies (Políticas de Profiling)

• Las profiling policies son como firmas que definen los perfiles de endpoint.
• El Profiler Feed Service descarga nuevas políticas de perfil y actualiza las existentes desde Cisco. Se configura en Administration > Feed Service > Profiler. También hay una opción de actualización manual offline.
• Las políticas de perfil tienen un tipo de sistema (Cisco provided, administrator modified, administrator created).
• Los perfiles son jerárquicos e inclusivos. Se puede usar cualquier nivel de la jerarquía en las políticas de autorización.
• Cada perfil tiene un Minimum Certainty Factor. La certainty factor es un valor agregado basado en las condiciones coincidentes.
• Se pueden crear Logical Profiles para agrupar perfiles no jerárquicamente.

ISE Profiler y CoA (Cambio de Autorización)

• El CoA es importante para aplicar los resultados del profiling sin esperar la próxima autenticación.
• Se puede configurar un CoA global para profiling en Administration > System > Settings > Profiler. Las opciones son No CoA, Port Bounce y Reauth. Se recomienda Reauth.
• También se puede configurar un CoA por perfil individual, que tiene prioridad sobre el CoA global.

Configuración Global del Profiler

• Las cadenas de comunidad SNMP para los escaneos SNMP de Nmap se configuran en Administration > System > Settings > Profiler.
• El Endpoint Attribute Filter (en la misma ubicación) crea una lista blanca de atributos utilizados en las políticas de perfil existentes para minimizar el tráfico de replicación. Se recomienda habilitarlo después de un tiempo de funcionamiento estable.
• Se pueden crear Custom Attributes para endpoints en Administration > Identity Management > Settings > Endpoint Custom Attributes y usarlos en políticas de autorización después de habilitarlos en la configuración del Profiler.
• Se puede habilitar la publicación de datos de probes de endpoints en pxGrid en la configuración del Profiler.

Profiles en Políticas de Autorización

• Originalmente se requerían Endpoint Identity Groups para usar perfiles en políticas de autorización. Estos se crean al seleccionar "Yes, Create Matching Identity Group" al ver un perfil.
• Actualmente, se recomienda usar el atributo Endpoints:EndPointPolicy directamente en las reglas de autorización. Los perfiles lógicos también pueden simplificar las políticas.

Verificación del Profiling

• El Dashboard en Context Visibility > Endpoints > Endpoint Classification proporciona información general sobre los endpoints.
• La Global Search permite buscar perfiles y ver los endpoints coincidentes.
• La base de datos de endpoints en Context Visibility > Endpoints > Authentication muestra todos los endpoints y sus perfiles. Los detalles de un endpoint específico se pueden ver haciendo clic en su dirección MAC.
• Los switches con Device Sensor tienen comandos show device-sensor cache [all | mac] para verificar la recopilación de datos.

Términos Clave

• ISE Profiler: Componente de ISE responsable de la detección y clasificación de endpoints.
• Anomalous Behaviour Detection: Característica para detectar posibles suplantaciones de MAC comparando datos de perfil.
• Logical profiles: Agrupación de perfiles no jerárquica.
• Global CoA: Configuración de Cambio de Autorización a nivel del sistema para profiling.

ISE - 10 - Authorization Policies

Políticas de Autorización en Cisco ISE

Las políticas de autorización son una parte fundamental del control de acceso seguro a la red, complementando el proceso de autenticación. Mientras que la autenticación valida una credencial o identidad (por ejemplo, verificar un pasaporte en un banco), la autorización determina el nivel de derecho o acceso que se debe conceder (por ejemplo, si puedes retirar dinero).

En el contexto de la seguridad de red, la política de autorización en Cisco ISE decide qué nivel de acceso a la red se otorga a un usuario o dispositivo entrante. Esta decisión se basa en el "contexto de seguridad" del usuario o dispositivo, que incluye quién, qué, dónde, cuándo y cómo se realizó la autenticación. El contexto de seguridad puede incluir una amplia variedad de atributos como el tipo de dispositivo, la ubicación, la unidad de negocio, la identidad del usuario, la pertenencia a grupos de Active Directory (AD), la entidad certificadora (CA) que firmó un certificado, la hora del día, el resultado de la autenticación, el protocolo utilizado, o incluso el contenido de campos específicos de un certificado.

El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD).

La lógica básica de una regla de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan de arriba a abajo en la política de autorización, y se aplica la primera regla cuyas condiciones coincidan.

Después de que un endpoint se ha autenticado con éxito, el proceso autenticado se pasa a la política de autorización, que determina los resultados finales de acceso. La flexibilidad para asignar diferentes niveles de acceso basándose en el contexto es la razón por la que se dedica la mayor parte del tiempo en productos como Cisco ISE a configurar y ajustar la política de autorización.

Resultados de Autorización Comunes: Un resultado de autorización puede ser tan simple como enviar un mensaje RADIUS Access-Accept o Access-Reject. Sin embargo, también puede incluir factores más avanzados como:

• Asignación de VLAN.
• Listas de control de acceso descargables (dACLs).
• Security Group Tags (SGTs).
• Redirección de URL.
• Permisos de Dominio de Voz (para teléfonos IP).
• Asignación de Roles.
• WebAuth Local.
• Auto Smart Port.
• Reautenticación.
• Políticas MACsec.
• NEAT.
• Plantillas de Interfaz.
• Nombres de ACL Airespace (para controladores inalámbricos).
• Políticas ASA VPN.
• Perfiles AVC.

Estos resultados se agrupan en un perfil de autorización, que es un conjunto de resultados que deben enviarse juntos. Cada regla de autorización debe tener un resultado, que típicamente es un perfil de autorización. Los perfiles de autorización contienen la respuesta RADIUS Access-Accept o Access-Reject junto con atributos de autorización adicionales que se envían al dispositivo de red para su aplicación.

Condiciones: Las condiciones pueden ser atributos internos o externos. Un ejemplo de condición simple es un único atributo. Las condiciones se pueden guardar en una biblioteca para su reutilización y para mejorar la legibilidad de las políticas.

Condiciones Compuestas y Jerárquicas: Una condición compuesta es más de una condición unida por operadores como AND u OR. Para requisitos más complejos que combinan operadores AND y OR, se pueden crear bloques de condiciones o condiciones compuestas jerárquicas en el Conditions Studio. El objetivo de usar condiciones compuestas jerárquicas es crear variaciones de condiciones casi infinitas para cumplir con los requisitos de seguridad de una empresa.

Reglas de Autorización Específicas de Rol: Un concepto importante es la defensa en profundidad. Simplemente implementar 802.1X o autenticar un dispositivo (como una impresora usando MAB) no hace que la red esté inmediatamente segura o segmentada. Las políticas de seguridad que construyas son clave. El objetivo final de un despliegue de acceso seguro debe ser proporcionar permisos muy específicos a cualquier autorización en lugar de acceso completo, incluso después de una autenticación exitosa. Esto limita el impacto si un usuario malicioso suplanta una identidad.

ACLs Descargables (dACLs): Las dACLs de Cisco se crean completamente en el servidor RADIUS (ISE en este caso), y una ACL completa se envía al dispositivo de red dentro de pares AV de RADIUS. Los dispositivos de red que no son de Cisco pueden requerir la creación de ACLs locales si no soportan el atributo RADIUS NAS-Filter-Rule. Las dACLs son una forma de aplicar políticas de tráfico específicas en el NAD.

Las políticas de autorización preconfiguradas en ISE abordan casos de uso comunes como teléfonos IP perfilados o dispositivos en listas negras. Por ejemplo, una regla para teléfonos IP perfilados podría coincidir con dispositivos en un grupo de identidad "Cisco-IP-Phone" y enviar un Access-Accept con un par AV que permita el acceso a la VLAN de voz. Una regla de lista negra inalámbrica podría usar condiciones compuestas (acceso inalámbrico Y grupo de identidad de lista negra) para enviar un Access-Accept con un par AV que aplique una ACL y una redirección de URL a una página de lista negra, restringiendo efectivamente el acceso a pesar de la aceptación inicial.

El despliegue de políticas de acceso seguro, especialmente la implementación de permisos específicos, debe manejarse mediante un enfoque por etapas para limitar el impacto en los usuarios finales.

Temas Clave para Revisar:

• Objetivos de las políticas de autorización.
• Reglas de autorización específicas de rol.
• Guardar condiciones para su reutilización.

Términos Clave a Definir:

• Contexto de seguridad.
• Condición simple.
• Condición compuesta.

---

Preguntas del Q&A y Respuestas:

1. What are the goals of an authorization policy? (¿Cuáles son los objetivos de una política de autorización?) El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD). Una política de autorización no solo permite o deniega el acceso a la red, sino que también puede incluir cualquier restricción para limitar el acceso a la red para el usuario o endpoint.

2. What kind of conditions can be added to an authorization policy? (¿Qué tipo de condiciones se pueden añadir a una política de autorización?) Se pueden añadir una multitud de condiciones, incluyendo atributos internos y externos. Esto puede basarse en el contexto de seguridad, que incluye quién, qué, dónde, cuándo y cómo de la autenticación. Ejemplos incluyen pertenencia a grupos de Active Directory o grupos internos en ISE, ubicación, hora, si un dispositivo está registrado, si un dispositivo móvil ha sido "jail broken", o casi cualquier otro atributo imaginable. Incluso el resultado de la autenticación puede usarse como atributo (si fue exitosa, qué protocolo se usó, contenido de campos de certificado, etc.).

3. What is the basic logic of an authorization policy? (¿Cuál es la lógica básica de una política de autorización?) La lógica básica de las reglas de política de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan en orden de arriba a abajo, y se aplica la primera regla que coincida.

4. Does authentication make a network segmented and secure? (¿La autenticación hace que una red esté segmentada y segura?) No, simplemente porque hayas implementado 802.1X o MAB con Cisco ISE como controlador de políticas y se produzca una autenticación exitosa, no significa que la red esté inmediatamente segura o que se haya logrado la segmentación. Todo depende de las políticas de seguridad construidas por el administrador. El objetivo final debe ser proporcionar permisos muy específicos a cualquier autorización para proporcionar defensa en profundidad.

5. What is the goal in using hierarchical compound conditions? (¿Cuál es el objetivo de usar condiciones compuestas jerárquicas?) Cuando las condiciones que deben cumplirse no son tan simples como un único operador AND u OR, las condiciones compuestas jerárquicas permiten crear bloques de condiciones para formar estructuras más complejas. El objetivo es combinar operadores AND y OR con condiciones para otorgar acceso, creando una política que sea tan flexible o compleja como se necesite. Esto permite crear casi infinitas variaciones de condiciones para cumplir con los requisitos de seguridad de una empresa.

---

“Do I Know This Already?” Quiz - Capítulo 10

1. ¿Qué es un perfil de autorización?
   • d. Explicación: Un perfil de autorización es el resultado obligatorio de una regla de autorización. Una regla de autorización es del formato "IF condición THEN resultado".
2. ¿Cuál es el propósito de un perfil de autorización?
   • b. Explicación: Contiene la respuesta RADIUS Access-Accept o Access-Reject junto con los atributos de autorización adicionales para enviar al dispositivo de red para su aplicación.
3. ¿Cuáles de las siguientes son tareas comunes en un perfil de autorización?
   • d. Explicación: Nombre dACL, redirección web, Local WebAuth y auto smart port son tareas comunes que se envían a un NAD para la aplicación segura de políticas en el endpoint. Las opciones a y b mezclan incorrectamente los resultados de Access Type (Accept/Reject son resultados, Continue/Terminate son acciones de la política de autenticación, no resultados del perfil de autorización). La opción c incluye "role assignment" que no es una tarea común listada, mientras que dACL, web redirection, Local WebAuth y auto smart port sí lo son.
4. ¿Cuál de las siguientes es correcta?
   • a. Explicación: Una política de autorización contiene reglas de autorización, y cada regla tiene al menos un perfil de autorización. La política de autorización se compone de reglas que se procesan en orden de arriba abajo, y cada regla que coincide lleva a un resultado definido en un perfil de autorización.
5. ¿Cuál es el propósito principal de guardar condiciones en la biblioteca?
   • a. Explicación: Para uso futuro y legibilidad mejorada. Guardar condiciones simples o compuestas hace que las políticas sean más fáciles de leer y permite reutilizarlas fácilmente en múltiples reglas.
6. ¿Qué hay de especial en el perfil de autorización requerido para un teléfono IP?
   • b. Explicación: Contiene el par atributo/valor de permiso de dominio de voz (cisco-av-pair = device-traffic-class = voice), que autoriza al endpoint a acceder a la VLAN de voz asignada a la interfaz.
7. ¿Cuál es la diferencia entre condiciones simples y compuestas?
   • c. Explicación: Una condición simple contiene solo un atributo. Una condición compuesta contiene múltiples atributos junto con un operador como AND u OR.
8. Si necesitas combinar operadores OR y AND con condiciones para otorgar acceso, ¿qué haces?
   • a. Explicación: Crear condiciones compuestas jerárquicas. Estas permiten combinar operadores AND y OR en diferentes niveles para cumplir requisitos complejos.
9. ¿Cuál debe ser el objetivo final de un despliegue de Acceso Seguro de Cisco?
   • d. Explicación: Proporcionar permisos muy específicos a cualquier autorización para ofrecer defensa en profundidad mientras se cumplen los objetivos de la política de seguridad de la organización. El objetivo no es dar acceso completo y depender únicamente de firewalls, ni simplemente basarse en la autenticación exitosa.
10. ¿Qué es único acerca de las listas de control de acceso descargables (dACLs) de Cisco?
    • c. Explicación: Las dACLs de Cisco se crean completamente en el servidor RADIUS, y se envía una ACL completa al dispositivo de red dentro de los pares AV de RADIUS. Los dispositivos de red que no son Cisco deben crear ACLs en dispositivos de red locales individuales si no admiten el atributo RADIUS NAS-Filter-Rule. Esto centraliza la creación y gestión de ACLs en ISE.

 

ISE - 07 - ISE Graphical User Interface

 

Este capítulo proporciona un recorrido guiado por la interfaz gráfica de usuario (GUI) de Cisco Identity Services Engine (ISE), cubriendo cómo iniciar sesión, la organización de la GUI y los tipos de políticas. El portal administrativo de ISE es una interfaz web utilizada para la administración.

Inicio de Sesión en ISE

• Para iniciar sesión, necesitas abrir un navegador web compatible. A partir de ISE versión 2.4, Flash ha sido completamente eliminado y se utiliza HTML5. La versión 2.6 admite navegadores específicos como Mozilla Firefox (v69 e inferiores, ESR 60.9 e inferiores), Google Chrome (v77 e inferiores) y Microsoft Edge Beta (v77 e inferiores), así como Internet Explorer (v10.x y 11.x).
• La resolución de pantalla mínima requerida para todos los navegadores es 1280 × 800 píxeles.
• Para mantener el más alto nivel de seguridad, la GUI de Cisco ISE utiliza HTTPS para el acceso administrativo. La URL para acceder es https://<ISE_FQDN>, o la dirección IP si no está en el DNS.
• Al acceder por primera vez, puedes recibir una alerta de seguridad porque el certificado X.509 predeterminado utilizado para identificar el portal administrativo HTTPS es un certificado autofirmado. Puedes aceptar permanentemente este certificado o cargar uno nuevo emitido por una CA de confianza. El uso de certificados X.509 se discute más en el Capítulo 8.
• La pantalla de inicio de sesión autentica a un usuario administrativo válido. El nombre de usuario y la contraseña, y por lo tanto el rol administrativo resultante, determinan el nivel de acceso.
• El usuario administrativo inicial (configurado durante el arranque) es admin y tiene el rol de "super admin". Este rol tiene permisos completos de creación, lectura, actualización, eliminación y ejecución (CRUDX) en todos los recursos de ISE.
• Se pueden crear usuarios administrativos adicionales después del inicio de sesión inicial, asignando a cada uno un rol administrativo específico. Los roles administrativos predefinido y controlan el nivel de acceso, los permisos y las restricciones. Algunos ejemplos de roles son Customization admin, Helpdesk admin, Identity admin, MnT admin, Network device admin, Policy admin, RBAC admin, Read-only admin, Super admin, System admin, Elevated system admin (v2.6 patch 2+), External RESTful Services (ERS) admin/operator, y TACACS+ admin.
• Para acceder a los roles administrativos, navega a Administration > System > Admin Access > Administrators > Admin Groups. Para añadir un usuario administrativo, ve a Administration > System > Admin Access > Administrators > Admin Users.

Organización de la GUI de ISE

La GUI de Cisco ISE está organizada en cinco componentes funcionales principales, además de la pantalla de inicio (Home):

ISE Home Dashboards: La primera pantalla al iniciar sesión, proporciona una vista general en tiempo real de la implementación de ISE, incluyendo el estado de los endpoints y la salud general. Solo se puede ver desde el nodo principal de Policy Administration Node (PAN).

• Tiene cinco pestañas predeterminadas: Summary (resumen de endpoints y salud), Endpoints (estado de endpoints y dispositivos de red), Guests (información de usuarios invitados), Vulnerability (información de vulnerabilidades vía adaptador Threat Centric NAC) y Threat (información de amenazas vía adaptador Threat Centric NAC).
• Se pueden crear dashboards personalizados (hasta 15 adicionales) y añadir "dashlets" (componentes visuales) a ellos. Las opciones de configuración permiten añadir, exportar (PDF, CSV), cambiar el diseño y gestionar dashboards (marcar como predeterminado, restablecer).
• Los dashlets en la pestaña Summary incluyen Metrics, Authentications, Network Devices, Endpoints (si el profiling está habilitado), BYOD Endpoints y Alarms (se refresca automáticamente cada 30 segundos), y System Summary (se refresca cada 60 segundos).
• La pestaña Endpoints muestra dashlets como Status (estado de conexión), Endpoints (profiling) y Endpoint Categories (profiling), y Network Devices (endpoints autenticados por dispositivo).
• La pestaña Guests muestra dashlets como Guest Status, Guest Type, Failure Reason y Location.
• La pestaña Vulnerability muestra dashlets como Total Vulnerable Endpoints (por puntaje CVSS), Top Vulnerability (por número de endpoints o severidad), Vulnerability Watchlist y Vulnerable Endpoints Over Time.
• La pestaña Threat muestra dashlets como Total Compromised Endpoints, Top Threats, Threat Watchlist y Compromised Endpoints Over Time.

Administration Portal: Proporciona acceso a herramientas de configuración y reporte. Incluye elementos interactivos en la parte superior, como pestañas y un menú superior derecho.

• Las pestañas principales son Context Visibility, Policy y Administration.

• El menú superior derecho incluye:
  • Search icon: Permite realizar una búsqueda global de endpoints. Se requieren al menos tres caracteres para la búsqueda. Los resultados proporcionan información general y detallada para troubleshooting. Los criterios de búsqueda incluyen Username, User type, MAC address, IP address, Authorization profile, Endpoint profile, Failure reason, Identity group, Identity store, Network device name, Network device type, Operating system, Posture status, Location, y Security group.
  • Help icon: Proporciona acceso a recursos útiles como ayuda a nivel de página, la comunidad ISE, documentación oficial, descargas de software, canal de YouTube, socios del ecosistema y una herramienta para construir portales personalizados (Portal Builder). También permite hacer preguntas a expertos.
  • PassiveID Setup: Inicia un wizard para configurar identidades pasivas usando Active Directory, recogiendo identidades de usuario y IPs de servidores externos.
  • Visibility Setup: Un servicio PoV que recoge datos de endpoint (aplicaciones, inventario hardware, estado USB/firewall, compliance) de endpoints Windows usando un agente temporal (Cisco Stealth temporal agent). Permite especificar rangos IP para descubrimiento. Incluye opciones de logging para debugging del agente.
  • Wireless Setup (BETA): Una opción fácil para configurar flujos inalámbricos (802.1X, guest, BYOD) y personalizar portales.
  • System activities: Permite acceder a la ayuda online y configurar ajustes de cuenta.
  • ISE Setup Wizards: Un menú desplegable con wizards para configurar rápidamente funciones como profiling, posturing básico y acceso inalámbrico (guest/corporativo).
  • Settings Menu: Proporciona información sobre ajustes del sistema de alto nivel y ayuda.

1. Context Visibility: Permite ver información granular sobre endpoints, usuarios, dispositivos de red y aplicaciones a través de dashboards preconstruidos. La información se segmenta por características, aplicaciones, BYOD, etc.. Utiliza una base de datos central para actualizaciones rápidas. Se puede filtrar la información para personalizar las vistas y exportar datos. Incluye cuatro pestañas principales: Endpoints (filtrar por tipo, compliance, auth, inventario, asignar política/grupo), Users (filtrar por identidad, fuente, tipo), Network Devices (listar dispositivos, endpoints conectados, filtrar por dispositivo), Application (aplicaciones descubiertas y dispositivos con ellas).

2. Operations: Permite a los administradores monitorizar, reportar y solucionar problemas activamente con sesiones de autenticación y autorización en curso, dispositivos de red y políticas configuradas. Incluye seis pestañas principales:

   • RADIUS: Contiene Live Logs (información en tiempo real sobre autenticaciones RADIUS recientes, primera parada para troubleshooting de auth, permite ver detalles de sesión) y Live Sessions (muestra el estado de sesiones activas, play-by-play de la sesión, permite forzar terminación o reautenticación - CoA Action).
   • Threat-Centric NAC Live Logs: Lista eventos de amenaza y vulnerabilidad de adaptadores externos.
   • TACACS Live Log: Información en tiempo real sobre autenticaciones TACACS, similar a RADIUS Live Logs.
   • Troubleshoot: Proporciona herramientas para administradores de red. Incluye herramientas como RADIUS Authentication Troubleshooting, Execute Network Device Command, Evaluate Configuration Validator, Posture Troubleshooting, Endpoint Debug, TCP Dump, Session Trace Tests y herramientas TrustSec. También permite descargar logs (Support bundle, Debug logs) para soporte técnico.
   • Adaptive Network Control (ANC): Herramienta útil para cambiar el acceso de red de un endpoint (cuarentena, sin cuarentena, apagado). "Cuarentena" es una etiqueta interna; la acción real depende de la política de seguridad correspondiente. Puede bloquear el acceso a la red basándose en la dirección MAC (más efectivo) o IP. Las pestañas son Policy List (crear políticas/etiquetas ANC: Quarantine, Shut_Down, Port_Bounce) y Endpoint Assignment (ver/añadir/eliminar endpoints de una política ANC). Una política ANC no hace nada sin una política de autorización correspondiente.
   • Reports: Permite generar reportes para funciones y sesiones de ISE. Las categorías incluyen Audit, Device Administration, Diagnostics, Endpoints and Users, Guest, Threat Centric NAC y TrustSec.

3. Policy: Se utiliza para configurar la política de seguridad, incluyendo sets de políticas, profiling, posture, client provisioning, y policy elements (elementos de política). Procesa las credenciales de un dispositivo de red y devuelve la política de seguridad resultante.

   • Policy Sets: Configura la política de autenticación y autorización para el control de acceso a la red. Permite agrupar lógicamente políticas de autenticación y autorización. Se pueden gestionar diferentes casos de uso (inalámbrico, cableado, invitado) en conjuntos de políticas separados. La evaluación es jerárquica, de arriba hacia abajo, con el primer resultado coincidente. Las subsecciones incluyen Authentication Policy, Authorization Policy—Local Exceptions, Authorization Policy—Global Exceptions, y Authorization Policy.
   • Profiling: La capacidad de determinar el tipo de dispositivo que accede a la red. Se logra monitorizando protocolos (DHCP, HTTP, RADIUS por proxy, etc.). Se pueden crear perfiles personalizados o ver los existentes.
   • Posture: Mecanismo mediante el cual un suplicante o agente en un endpoint proporciona información detallada sobre su configuración de software y hardware (OS, antivirus, parches) a ISE. Basado en la evaluación, un endpoint con posture no conforme o desconocido puede ser puesto en cuarentena con acceso reducido para remediación.
   • Client Provisioning: Proceso por el cual se implementan credenciales y configuraciones necesarias en un endpoint (onboarding) para que se una a la red más fácilmente (certificados X.509, perfiles inalámbricos, cliente posture). La política de client provisioning es un árbol de decisión basado en criterios como el OS del endpoint.
   • Policy Elements: Componentes básicos reutilizables que simplifican la configuración de políticas. Ayudan a definir las partes IF-THEN de una política. Incluye tres pestañas: Dictionaries (elementos/atributos con pares atributo/valor), Conditions (sentencias IF, "pruebas" que resultan en TRUE/FALSE) y Results (sentencias THEN, acciones que se ejecutan si las condiciones son TRUE).
   • TrustSec: Una política de seguridad en la que se asigna un Security Group Tag (SGT) a un endpoint después de la autenticación. El SGT determina el nivel de acceso en la red. La política determina el SGT basándose en el usuario, tipo de endpoint, método de acceso, etc..

4. Work Centers: Agrupan lógicamente todas las páginas relacionadas con la configuración, monitorización y reporte de casos de uso comunes de ISE. Proporcionan todo lo necesario para configurar, monitorizar y solucionar problemas en estos casos de uso. Hay ocho Work Centers: Network Access, Guest Access, TrustSec, BYOD, Profiler, Posture, Device Administration y PassiveID.

Tipos de Políticas en ISE

ISE gestiona varios tipos de políticas para endpoints cableados, inalámbricos y de acceso remoto. Muchas de estas políticas utilizan la estructura IF-THEN. Los tipos de políticas son:

• Authentication: Para identificar un endpoint o usuario al conectarse a la red.
• Authorization: Para determinar qué acceso tendrá un endpoint o usuario después de ser autenticado.
• Profiling: Para determinar el tipo de dispositivo que accede a la red.
• Posture: Para evaluar la configuración de seguridad del endpoint (OS, software de seguridad, parches).
• Client Provisioning: Para desplegar credenciales y configuraciones necesarias en un endpoint (onboarding).
• TrustSec: Para asignar un Security Group Tag (SGT) a un endpoint y aplicar políticas de acceso basadas en este tag.

Q&A

Aquí están las respuestas a las preguntas de Q&A:

1. Nombra algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE. Algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE son: Nombre de usuario (Username), Tipo de usuario (User type), Dirección MAC (MAC address), Dirección IP (IP address), Perfil de autorización (Authorization profile), Perfil de endpoint (Endpoint profile), Motivo de fallo (Failure reason), Grupo de identidad (Identity group), Almacén de identidad (Identity store), Nombre del dispositivo de red (Network device name), Tipo de dispositivo de red (Network device type), Sistema operativo (Operating system), Estado de posture (Posture status), Ubicación (Location) y Grupo de seguridad (Security group).
2. ¿Qué es importante sobre los dashboards de Context Visibility? Los dashboards de Context Visibility muestran información sobre endpoints, usuarios y NADs. La información puede segmentarse por características, aplicaciones, BYOD y otras categorías. Lo importante es que utilizan una base de datos central y recopilan información de tablas, cachés y buffers, lo que hace que las actualizaciones sean muy rápidas. Permiten filtrar datos modificando los atributos de columna en la lista, y los dashlets se actualizan para mostrar el contenido modificado. Proporcionan información granular sobre los endpoints en ISE.
3. ¿Cómo ayuda RADIUS Live Log en la solución de problemas? RADIUS Live Log muestra información en tiempo real sobre las autenticaciones RADIUS recientes. Es la primera parada para un administrador al probar nuevas políticas o solucionar problemas de autenticación, para verificar si un endpoint se autenticó correctamente. Permite ver detalles adicionales para la solución de problemas sobre autenticaciones exitosas o rechazadas. Al hacer clic en los detalles, se accede a una gran cantidad de información sobre la sesión de autenticación, incluyendo detalles del intercambio RADIUS, el endpoint, el NAD y el almacén de identidad. Al revisar estos detalles y conocer el resultado esperado de la política, se puede determinar la razón por la que se eligió una política (correcta o incorrectamente).
4. ¿Cuáles son los tres elementos principales de una política? Los elementos de política son los componentes básicos reutilizables que se utilizan para construir políticas en ISE. Los tres elementos principales, que se encuentran bajo la pestaña Policy Elements, son: Dictionaries (proporcionan una lista de elementos definidos por el sistema y el usuario y sus atributos disponibles), Conditions (definen las partes IF de las políticas, sentencias condicionales que pueden ser VERDADERAS o FALSAS) y Results (definen las partes THEN de las políticas, acciones que se ejecutan si las condiciones son VERDADERAS). Las políticas en ISE a menudo se basan en una estructura programática IF-THEN.
5. ¿Cuáles son los diferentes tipos de políticas en ISE? Los diferentes tipos de políticas en ISE son: Authentication (identificar un endpoint o usuario), Authorization (determinar el acceso después de la autenticación), Profiling (determinar el tipo de dispositivo), Posture (evaluar la configuración de seguridad del endpoint), Client Provisioning (desplegar credenciales y configuraciones para el onboarding) y TrustSec (asignar un Security Group Tag y aplicar políticas basadas en él).

ISE - 09 - Authentication Policies

Políticas de Autenticación

Este capítulo trata sobre las Políticas de Autenticación en el contexto del control de acceso a la red, particularmente utilizando Cisco ISE. La autenticación es la validación de una credencial. Es una parte crucial del proceso de control de acceso a la red.

Se utiliza una analogía real, como ser detenido por exceso de velocidad, para explicar la autenticación: el oficial valida la licencia de conducir y el seguro, comprobando su validez, hologramas, fechas y bases de datos (como la del DMV). Si pasa estas verificaciones, la autenticación es exitosa.

Las políticas de autenticación tienen varios objetivos principales:

• Descartar tráfico no permitido para ahorrar recursos de procesamiento. Similar a cómo un oficial rechazaría una tarjeta de biblioteca como identificación para conducir.
• Dirigir las solicitudes de autenticación al almacen de identidad correcta. Esto se compara con un oficial que consulta la base de datos del DMV apropiado.
• Validar la identidad. El oficial determina si la licencia es válida para el conductor.
• Pasar las autenticaciones exitosas a la política de autorización. Similar a cómo el oficial anota las leyes que el conductor ha infringido.

Es fundamental comprender la diferencia entre autenticación y autorización. La autenticación es la verificación de una identidad. Un ejemplo es un empleado de banco verificando tu identificación. Sin embargo, una autenticación exitosa no significa automáticamente que tengas derecho al acceso solicitado.

La autorización determina qué acceso se debe conceder después de una autenticación exitosa. Utilizando la analogía del banco, después de validar tu identificación (autenticación), el empleado verifica si estás autorizado a retirar dinero de la cuenta y hasta qué límite (autorización). La mayor parte del trabajo en Cisco ISE se dedica a configurar y ajustar la política de autorización.

Políticas de Autenticación en ISE

Las políticas de autenticación son el primer punto de interacción de Cisco ISE con una solicitud RADIUS Access-Request de un dispositivo de acceso a la red (NAD). Su objetivo es procesar la solicitud rápidamente: descartarla si es inválida, denegarla si las credenciales son incorrectas, o reenviarla a las políticas de autorización si es exitosa.

Objetivo 1: Aceptar solo Protocolos Permitidos Por defecto, ISE permite casi todos los protocolos de autenticación soportados, pero se recomienda permitir solo los esperados y soportados por seguridad y eficiencia. Esto reduce la carga en los PSNs, ayuda a elegir almacén de identidad correcta y previene el uso de protocolos vulnerables u obsoletos. Por ejemplo, si solo se soporta EAP-TLS para un SSID corporativo, se puede configurar para que solo ese protocolo esté permitido. La elección de protocolos debe basarse en la política de seguridad de la organización. Deshabilitar protocolos menos seguros es una práctica recomendada. La configuración incluye no solo qué protocolos permitir, sino también su ajuste específico (como EAP-FAST con aprovisionamiento de PAC o EAP chaining).

Los protocolos permitidos se configuran en una lista. La lista Default Network Access por defecto es muy inclusiva, pero se recomienda limitarla. Puedes crear listas de protocolos permitidos más restrictivas para cada conjunto de políticas (Policy Set). Algunos protocolos de autenticación comunes son:

• Process Host Lookup: Usado para MAC Authentication Bypass (MAB). ISE toma la MAC address como usuario/contraseña y la busca en la base de datos interna.
• PAP (Password Authentication Protocol): Envía el usuario en texto plano y la contraseña opcionalmente encriptada.
• CHAP (Challenge Handshake Authentication Protocol): Encripta usuario/contraseña usando un desafío del servidor. No muy común en acceso a red.
• Tipos EAP (Extensible Authentication Protocol): Un framework para transportar credenciales (usuarios, contraseñas, certificados). 802.1X define EAP over LAN.
  • EAP-MD5: Usa un algoritmo de hash MD5 para ocultar credenciales. No soporta autenticación mutua (el cliente no autentica al servidor). Común en algunos teléfonos IP.
  • EAP-TLS: Usa TLS (Transport Layer Security) para transacciones seguras. Muy seguro, usa certificados X.509 y soporta autenticación mutua. Considerado el estándar de oro de los tipos EAP.
  • Tipos EAP Tunelizados: Forman túneles seguros encriptados primero y luego transmiten credenciales dentro del túnel.
    • PEAP (Protected EAP): Propuesto por Microsoft. El método EAP más popular. Forma un túnel TLS usando el certificado del servidor. Usa otro tipo EAP como "método interno" para autenticar al cliente. Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador, autentica a Active Directory), EAP-GTC (Generic Token Card, creado por Cisco, permite autenticaciones genéricas a casi cualquier tienda de identidad, como OTP, LDAP), EAP-TLS (raramente usado).
    • EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco. Similar a PEAP, forma un túnel TLS exterior. Permite reautenticación y roaming inalámbrico más rápidos usando PACs (Protected Access Credentials). Un PAC es como una cookie segura que prueba una autenticación exitosa. No soportado nativamente por Windows hasta Vista (requiere Cisco AnyConnect NAM). Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador a Active Directory), EAP-GTC (para autenticaciones genéricas a varias tiendas de identidad), EAP-TLS (popular para EAP chaining). EAP chaining con EAP-FASTv2 permite autenticar múltiples credenciales (usuario y máquina) en una sola transacción EAP.
    • EAP-TTLS (Tunneled TLS EAP): Similar a PEAP. Encapsula una sesión TLS. Puede autenticar al servidor o tener autenticación mutua. Windows previo a Windows 8 no lo soporta nativamente. Métodos internos aceptados: PAP, CHAP, MS-CHAPv1, MS-CHAPv2, EAP-MD5.
    • TEAP: Nueva adición en Windows 10. Usa TLS para establecer un túnel mutuamente autenticado. Introduce la posibilidad de EAP-Chaining nativamente en Windows 10 (build 2004) y ISE 2.7 patch 1.

Objetivo 2: Seleccionar el almacén de Identidad Correcta Después de aceptar la autenticación, ISE decide qué almacén de identidad (fuente de identidad o PIP) usar para verificar las credenciales. La decisión se basa en los atributos de la solicitud entrante. Por ejemplo, si se presenta un certificado, ISE no lo validará contra una base de datos de usuarios y contraseñas. Si hay múltiples dominios de Active Directory o almacenes LDAP, ISE puede usar atributos de la solicitud para determinar cuál consultar.

Objetivo 3: Validar la Identidad Una vez identificada el almacén de identidad correcta, ISE verifica la validez de las credenciales.

• Para autenticaciones basadas en contraseña: ¿Usuario válido? ¿Contraseña coincide?.
• Para autenticaciones basadas en certificado: ¿Emitido por una CA de confianza? ¿Expirado? ¿Revocado? ¿Cliente probó posesión? ¿Certificado tiene el uso de clave y extensiones correctos?.

Objetivo 4: Pasar la Solicitud a la Política de Autorización Si una autenticación falla, la política de autenticación puede rechazar la solicitud. Si una solicitud pasa la autenticación, se evalúa la política de autorización.

Comprensión de los Conjuntos de Políticas (Policy Sets)

Los Conjuntos de Políticas son contenedores lógicos para las políticas de autenticación y autorización. En versiones anteriores de ISE, había una única política general de autenticación y autorización, lo que hacía los cambios y la resolución de problemas arriesgados. Los policy sets mitigan esto.

Cada policy set tiene una regla de nivel superior con condiciones que deben cumplirse. Si una solicitud RADIUS cumple las condiciones de la regla de nivel superior, se evalúa contra las políticas de autenticación y autorización dentro de ese policy set específico. Esto localiza las políticas y reduce el riesgo de que una mala configuración afecte otras solicitudes.

La regla de nivel superior define la lista de protocolos permitidos para ese policy set. Aunque parezca confuso que esto esté encima de la política de autenticación, simplifica la configuración al definirla una vez por policy set en lugar de por cada regla individual.

Los policy sets son jerárquicos. Si una solicitud RADIUS coincide con las reglas de nivel superior de varios policy sets, se elige el que aparece más alto en la lista.

Estructura de las Reglas de Autenticación

Las reglas básicas de autenticación en un policy set se estructuran lógicamente así: IF condiciones THEN CHECK THE IDENTITY STORE IN LIST IdentityStore

Las reglas se procesan de arriba hacia abajo, primera coincidencia.

• Condiciones: Definen cuándo se aplica una regla. Pueden usar condiciones inteligentes predefinidas como Wired_MAB o Wireless_MAB, que contienen condiciones específicas. Las condiciones inteligentes pueden ser reutilizadas.
  • Las condiciones se configuran en el Conditions Studio. El Conditions Studio tiene un Editor (donde creas/editas condiciones simples/compuestas, agregas niveles jerárquicos con AND/OR, estableces "Is Not", seleccionas atributos y valores) y una Librería (donde se guardan las condiciones reutilizables, arrastras condiciones de la librería al editor para usarlas).
  • Wired_MAB busca el tipo de flujo RADIUS normalizado Wired_MAB. Wireless_MAB busca Wireless_MAB. El atributo Called-Station-ID describe el nombre del SSID inalámbrico.
• Almacén de Identidad (Identity Store): Después de coincidir con las condiciones, la solicitud se autentica contra el almacén de identidad seleccionada. Para MAB, se compara con la base de datos interna de endpoints (direcciones MAC). Si la MAC address está en la base de datos, se considera un MAB exitoso. MAB omite la autenticación y no se considera seguro por sí mismo. Un almacén de identidad puede ser una secuencia de fuentes de identidad (ISS).
• Opciones (Options): Un conjunto de opciones asociadas con la selección del almacén de identidad. Le dicen a ISE qué hacer si la autenticación falla, el usuario/dispositivo es desconocido o el proceso falla.
  • Reject: Envía Access-Reject de vuelta al NAD.
  • Continue: Continúa a la política de autorización, independientemente de si la autenticación pasó o falló. Usado con autenticación web.
  • Drop: No responde al NAD; el NAD actúa como si el servidor RADIUS estuviera caído.

Más sobre MAB (MAC Authentication Bypass)

El MAB a menudo no se entiende bien, especialmente al mezclar proveedores de dispositivos de acceso. No existe un estándar para MAB; los proveedores lo implementan de diferentes maneras. El objetivo es permitir que el supplicant en el switch ejecute una solicitud de autenticación para un endpoint que no tiene supplicant propio.

Algunos proveedores usan Service-Type Login o Framed en el mensaje RADIUS para MAB. Cisco utiliza Service-Type Call-Check para MAB. Cisco lo hace de manera diferente por seguridad. Históricamente, había una vulnerabilidad al no diferenciar las solicitudes MAB de las solicitudes de autenticación web local, permitiendo a un usuario malintencionado usar una MAC address como usuario/contraseña para obtener acceso.

Para cerrar esta brecha, Cisco implementó requisitos únicos para MAB:

• Para ser procesadas como MAB (por defecto), las solicitudes deben tener Service-Type establecido en Call-Check.
• Los servidores RADIUS (ISE) mantienen una base de datos de endpoints separada (direcciones MAC).
• El valor de Calling-Station-Id se compara con la base de datos de endpoints, e IGNORA los campos de usuario y contraseña de la solicitud MAB.

Los NADs soportados por Cisco usan Call-Check para Service-Type en solicitudes MAB y aseguran que el campo Calling-Station-Id esté lleno con la MAC address del endpoint. ISE tiene una opción (Process Host Lookup) en la lista de protocolos permitidos para permitir/denegar acceso a la base de datos de endpoints para MAB.

MAB no es una tecnología segura. Al implementarlo, se omite la seguridad de 802.1X. Al usar MAB, siempre sigue un enfoque de defensa en profundidad: concede acceso solo a las redes y servicios que el dispositivo realmente necesita. No proporciones acceso completo a dispositivos autenticados por MAB, sino una autorización más limitada.

---

Respuestas al Q&A

Las respuestas a estas preguntas aparecen en el Apéndice A de la fuente. Basándome en el texto proporcionado:

1. ¿Qué es autenticación? La autenticación es simplemente la validación de una credencial. En otras palabras, es la verificación de una identidad.
2. ¿Qué es autorización? La autorización es el proceso que determina si, después de una autenticación exitosa, un usuario o dispositivo tiene el derecho o permiso para acceder a un recurso o realizar una acción. Es donde se especifica qué acceso debe concederse después de una autenticación exitosa.
3. ¿Cuáles son los objetivos de una política de autenticación? Los objetivos de una política de autenticación son:
   • Descartar tráfico no permitido.
   • Dirigir las solicitudes de autenticación a la tienda de identidad correcta.
   • Validar la identidad.
   • Pasar las autenticaciones exitosas a la política de autorización. La opción 'c' en la pregunta 3 del quiz resume bien estos objetivos: Descartar solicitudes usando un método incorrecto, dirigir solicitudes a la tienda de identidad correcta, validar la identidad y pasar autenticaciones exitosas a la política de autorización.
4. ¿Qué son los policy sets? Los policy sets son contenedores lógicos que encapsulan políticas de autenticación y autorización específicas. Proporcionan una forma de agrupar y organizar políticas para diferentes casos de uso de acceso a la red, mejorando la administración y reduciendo el riesgo de cambios. Cada policy set tiene una regla de nivel superior que determina si una solicitud RADIUS se evalúa contra las políticas dentro de ese contenedor.
5. ¿Cómo hacen los NADs de Cisco el MAB de manera diferente a los NADs de otros proveedores? Mientras que otros proveedores pueden usar Service-Type Login o Framed para MAB, los NADs de Cisco soportados usan Service-Type Call-Check para las solicitudes MAB. Además, ISE mantiene una base de datos de endpoints separada y compara el valor de Calling-Station-Id (que contiene la MAC address del endpoint) con esa base de datos, ignorando los campos de usuario y contraseña de la solicitud MAB. Esta diferencia en el uso de Service-Type y el enfoque en Calling-Station-Id junto con una base de datos separada fue implementado por Cisco para mejorar la seguridad y mitigar vulnerabilidades históricas.

---

Respuestas al Cuestionario “Do I Know This Already?” Quiz

1. ¿Cuál de los siguientes es requerido para realizar MAB desde un dispositivo de red Cisco?  El MAB de Cisco, Service-Type debe ser Call-Check y Calling-Station-Id debe estar poblado con la MAC address del endpoint. La opción que coincide es: b. The RADIUS packet must have Service-Type set to Call-Check and Calling-Station-Id populated with the MAC address of the endpoint.

2. ¿Qué tipo de EAP es capaz de realizar EAP chaining? EAP chaining en la descripción de EAP-FAST (específicamente EAP-FASTv2) y también menciona la posibilidad con TEAP. De las opciones proporcionadas, EAP-FAST es el que se describe explícitamente como capaz de realizar EAP chaining. La opción que coincide es: b. EAP-FAST

3. ¿Cuáles de los siguientes son propósitos de una política de autenticación? c. To drop requests using an incorrect authentication method, route authentication requests to the correct identity store, validate the identity, and pass successful authentications over to the authorization policy.

4. ¿Qué opción necesita estar habilitada en la lista de protocolos permitidos de autenticación para aceptar MAB? La sección "Allowed Protocols" menciona que la opción Process Host Lookup se usa para MAC Authentication Bypass (MAB). La opción que coincide es: b. Process Host Lookup

5. ¿Dónde se guardan las condiciones reutilizables? La sección Conditions Studio menciona que al hacer clic en "Save" en el editor, puedes añadir una condición a la Librería. La librería muestra los bloques de condición guardados. La opción que coincide es: a. Library

6. ¿Qué método funcionará efectivamente para permitir que se seleccione un almacén de identidad diferente para cada tipo de EAP utilizado? La sección "Alternative ID Stores Based on EAP Type" describe el proceso de crear una regla separada en la política de autenticación para cada tipo de EAP (EAP-TLS, PEAP, EAP-FAST, EAP-MD5) y asociar cada regla con una tienda de identidad diferente. La opción que coincide es: d. Create a rule for each EAP type under the policy set’s authentication policy that points to the appropriate identity store for each rule.

7. ¿Qué atributo RADIUS se usa para coincidir con el SSID? La sección "Using the Wireless SSID" indica que el atributo a usar es Called-Station-Id ya que es el campo que describe el nombre del SSID inalámbrico. La opción que coincide es: d. Called-Station-ID

8. ¿Qué atributo RADIUS contiene la MAC address del endpoint? La sección "More on MAB" indica que el campo Calling-Station-Id está poblado con la MAC address del endpoint para las solicitudes MAB de Cisco. La opción que coincide es: a. Calling-Station-ID

9. ¿Cuál es el propósito de la opción 'continue' de una regla de autenticación? La sección "Options" describe la opción Continue como la que permite continuar a la política de autorización, independientemente de si la autenticación pasó o falló. La opción que coincide es: c. The continue option is used to send an authentication to the authorization policy, even if the authentication was not successful.

10. En el Conditions Studio, ¿cuál de las siguientes opciones no puedes hacer? (Elige tres.) El Conditions Studio con un Editor y una Librería. En el Editor, puedes crear y editar condiciones simples y compuestas y seleccionar atributos y valores. Puedes guardar condiciones creadas/editadas en el Editor a la Librería. Puedes usar condiciones de la Librería arrastrándolas al Editor. Las configuraciones de tienda de identidad y opciones (el "resultado" de la regla de autenticación) se realizan fuera del Conditions Studio. Basado en esta descripción:

    • b. Create and edit simple and compound conditions. SÍ puedes hacerlo en el Editor.
    • d. Select the attribute and attribute value to use. SÍ puedes hacerlo en el Editor. Esto significa que no puedes hacer 'b' ni 'd' según la pregunta, pero la descripción dice lo contrario.
    • a. Create and edit the authentication rule result. NO puedes hacerlo en el Conditions Studio, se hace fuera.
    • c. Create and edit library conditions. NO puedes hacerlo directamente en la lista de la librería. Creas/editas en el Editor y guardas a la librería, o usas de la librería arrastrando al Editor. No hay una función descrita para editar elementos dentro de la lista de la librería.

    Dado que las opciones 'b' y 'd' son claramente descritas como acciones posibles dentro del Conditions Studio Editor, y la pregunta pide TRES cosas que no puedes hacer, parece haber una inconsistencia en la pregunta tal como se presenta en la fuente o las opciones proporcionadas. No puedo identificar de manera concluyente TRES acciones que no se puedan realizar basándome únicamente en la descripción del Conditions Studio proporcionada. Sin embargo, 'a' (crear/editar el resultado de la regla) y 'c' (crear/editar directamente en la librería) parecen ser cosas que no se pueden hacer como se describe el flujo de trabajo. Necesitaría una tercera, pero las opciones b y d contradicen la descripción si se seleccionan como acciones imposibles. Por lo tanto, no puedo responder definitivamente a esta pregunta tal como está planteada con las opciones proporcionadas y la descripción del texto.

 

ISE - 08 - Configuración Inicial

 

Configuración Inicial de Cisco ISE

La configuración inicial de Cisco Identity Services Engine (ISE) es un proceso crucial para que funcione correctamente en tu entorno de red. Aunque la instalación en sí está fuera del alcance del examen SISE 300-715 y de este capítulo, sí se cubren los pasos críticos de configuración que determinan el éxito del despliegue.

ISE - 06 - Cisco Identity Services Engine Architecture

 

Este capítulo profundiza en Cisco ISE después de haber cubierto genéricamente conceptos como AAA, gestión de identidad y EAP/802.1X. Se centra específicamente en Cisco ISE, sus personas, si se instala en appliances físicos o virtuales, y varios escenarios de despliegue comunes.

ISE - 05 - Introduction to Advanced Concepts

 

El capítulo trata sobre conceptos avanzados en un servidor de autenticación, como la Autorización de Cambio (CoA), la Automatización de MAC Authentication Bypass (MAB), la Evaluación de Postura (Posture Assessment) y la Gestión de Dispositivos Móviles (MDM). Estas características avanzadas permiten implementaciones más completas y granulares, mejorando la seguridad de la red.