ISE - 14 - Profiling

Introducción al Profiling

• El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva externa.
• Se diferencia de la postura, que realiza un examen interno del sistema.
• El profiling se usa para construir una base de datos de endpoints en la red y asignarlos a categorías basadas en sus atributos externos.
• Inicialmente se usó para automatizar MAC Authentication Bypass (MAB), pero se ha convertido en una parte integral del control de acceso.
• Permite recopilar atributos de dispositivos de fuentes como DHCP, NetFlow, HTTP User-Agent strings, DNS, Active Directory, entre otros.
• Estos atributos se comparan con firmas predefinidas, comúnmente llamadas perfiles, para clasificar los dispositivos.
• La información de profiling se utiliza como condición en las políticas de autorización.

Comportamiento Anómalo

• Anomalous Behaviour Detection busca contradicciones o ciertos cambios en los datos de profiling para ayudar a detectar posible MAC spoofing.
• Verifica el tipo de puerto, el DHCP Class-Identifier, y la política del endpoint.
• No cambia automáticamente el acceso a la red; establece el atributo AnomalousBehaviour en verdadero.
• Anomalous Behaviour Enforcement permite que ISE emita un Cambio de Autorización (CoA) al detectar comportamiento anómalo, permitiendo reautenticar y cambiar el acceso.
• Se recomienda una estrategia de mínimo privilegio independientemente de si las funciones de comportamiento anómalo están habilitadas.

Cisco ISE Probes (Sondas)

• Las probes son mecanismos de recopilación de datos utilizados por ISE Profiler para determinar qué es un dispositivo.
• Se habilitan en cada Policy Services Node (PSN) desde la GUI del Policy Administration Node (PAN) en Administration > System > Deployment > Profiling Configuration.
• Existen 11 probes:
  • NETFLOW: Recopila registros de flujos de tráfico. Se recomienda un colector NetFlow para filtrar datos.
  • DHCP: Recopila información de solicitudes DHCP directamente al PSN (usando ip helper-address).
  • DHCPSPAN: Recopila solicitudes y respuestas DHCP a través de una sesión SPAN. No se recomienda habilitar ambos DHCP y DHCPSPAN en la misma interfaz.
  • HTTP: Captura tráfico HTTP y examina el campo User-Agent. Puede usar SPAN o los portales web de ISE para recopilar esta información. El WLC con Device Sensor también puede enviar esta información vía RADIUS.
  • RADIUS: El mecanismo principal de comunicación entre NAD e ISE, proporciona datos como MAC y dirección IP, y activa el probe SNMPQUERY. Es especialmente crítico con Device Sensor.
  • Network Scan (Nmap): Utiliza escaneo de puertos, SNMP, SMB para identificar atributos del dispositivo. Puede ser manual o reactivo a un evento de profiling.
  • DNS: Recopila el FQDN de un endpoint mediante una búsqueda inversa, útil para activos corporativos. Se activa después de la detección por DHCP, RADIUS, HTTP o SNMP.
  • SNMPQUERY: Realiza la mayor parte del trabajo de profiling al interrogar a los NADs habilitados para SNMP. Se activa periódicamente o por SNMPTRAP o RADIUS.
  • SNMPTRAP: Recibe información de los NADs sobre cambios en la tabla MAC y cambios en el estado del enlace, y activa el probe SNMPQUERY.
  • Active Directory: Recopila información detallada del sistema operativo para endpoints unidos al dominio. Requiere que ISE esté unido al dominio y aprende el hostname a través de DHCP o DNS.
  • pxGrid: Recibe contexto de endpoints de otros sistemas Cisco y de terceros. Utiliza la especificación pxGrid Versión 2 y el tema Endpoint Asset.

Configuración de la Infraestructura

• DHCP Helper: Configurar ip helper-address en las interfaces de capa 3 para reenviar copias de las solicitudes DHCP a los PSNs.
• SPAN Configuration: Configurar sesiones de monitor para copiar tráfico a las interfaces de los PSNs.
• VLAN Access Control Lists (VACLs): Se pueden usar para filtrar el tráfico enviado a una sesión SPAN, mejorando la utilización de recursos.
• Device Sensor: Característica en switches y controladores que recopila atributos de endpoints localmente y los envía a ISE dentro de los paquetes de contabilidad RADIUS. Requiere configurar listas de filtros para DHCP, CDP y LLDP.
• VMware Configurations: Necesario habilitar el modo promiscuo en los vSwitches para usar probes SPAN con ISE.

Profiling Policies (Políticas de Profiling)

• Las profiling policies son como firmas que definen los perfiles de endpoint.
• El Profiler Feed Service descarga nuevas políticas de perfil y actualiza las existentes desde Cisco. Se configura en Administration > Feed Service > Profiler. También hay una opción de actualización manual offline.
• Las políticas de perfil tienen un tipo de sistema (Cisco provided, administrator modified, administrator created).
• Los perfiles son jerárquicos e inclusivos. Se puede usar cualquier nivel de la jerarquía en las políticas de autorización.
• Cada perfil tiene un Minimum Certainty Factor. La certainty factor es un valor agregado basado en las condiciones coincidentes.
• Se pueden crear Logical Profiles para agrupar perfiles no jerárquicamente.

ISE Profiler y CoA (Cambio de Autorización)

• El CoA es importante para aplicar los resultados del profiling sin esperar la próxima autenticación.
• Se puede configurar un CoA global para profiling en Administration > System > Settings > Profiler. Las opciones son No CoA, Port Bounce y Reauth. Se recomienda Reauth.
• También se puede configurar un CoA por perfil individual, que tiene prioridad sobre el CoA global.

Configuración Global del Profiler

• Las cadenas de comunidad SNMP para los escaneos SNMP de Nmap se configuran en Administration > System > Settings > Profiler.
• El Endpoint Attribute Filter (en la misma ubicación) crea una lista blanca de atributos utilizados en las políticas de perfil existentes para minimizar el tráfico de replicación. Se recomienda habilitarlo después de un tiempo de funcionamiento estable.
• Se pueden crear Custom Attributes para endpoints en Administration > Identity Management > Settings > Endpoint Custom Attributes y usarlos en políticas de autorización después de habilitarlos en la configuración del Profiler.
• Se puede habilitar la publicación de datos de probes de endpoints en pxGrid en la configuración del Profiler.

Profiles en Políticas de Autorización

• Originalmente se requerían Endpoint Identity Groups para usar perfiles en políticas de autorización. Estos se crean al seleccionar "Yes, Create Matching Identity Group" al ver un perfil.
• Actualmente, se recomienda usar el atributo Endpoints:EndPointPolicy directamente en las reglas de autorización. Los perfiles lógicos también pueden simplificar las políticas.

Verificación del Profiling

• El Dashboard en Context Visibility > Endpoints > Endpoint Classification proporciona información general sobre los endpoints.
• La Global Search permite buscar perfiles y ver los endpoints coincidentes.
• La base de datos de endpoints en Context Visibility > Endpoints > Authentication muestra todos los endpoints y sus perfiles. Los detalles de un endpoint específico se pueden ver haciendo clic en su dirección MAC.
• Los switches con Device Sensor tienen comandos show device-sensor cache [all | mac] para verificar la recopilación de datos.

Términos Clave

• ISE Profiler: Componente de ISE responsable de la detección y clasificación de endpoints.
• Anomalous Behaviour Detection: Característica para detectar posibles suplantaciones de MAC comparando datos de perfil.
• Logical profiles: Agrupación de perfiles no jerárquica.
• Global CoA: Configuración de Cambio de Autorización a nivel del sistema para profiling.

ISE - 10 - Authorization Policies

Políticas de Autorización en Cisco ISE

Las políticas de autorización son una parte fundamental del control de acceso seguro a la red, complementando el proceso de autenticación. Mientras que la autenticación valida una credencial o identidad (por ejemplo, verificar un pasaporte en un banco), la autorización determina el nivel de derecho o acceso que se debe conceder (por ejemplo, si puedes retirar dinero).

En el contexto de la seguridad de red, la política de autorización en Cisco ISE decide qué nivel de acceso a la red se otorga a un usuario o dispositivo entrante. Esta decisión se basa en el "contexto de seguridad" del usuario o dispositivo, que incluye quién, qué, dónde, cuándo y cómo se realizó la autenticación. El contexto de seguridad puede incluir una amplia variedad de atributos como el tipo de dispositivo, la ubicación, la unidad de negocio, la identidad del usuario, la pertenencia a grupos de Active Directory (AD), la entidad certificadora (CA) que firmó un certificado, la hora del día, el resultado de la autenticación, el protocolo utilizado, o incluso el contenido de campos específicos de un certificado.

El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD).

La lógica básica de una regla de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan de arriba a abajo en la política de autorización, y se aplica la primera regla cuyas condiciones coincidan.

Después de que un endpoint se ha autenticado con éxito, el proceso autenticado se pasa a la política de autorización, que determina los resultados finales de acceso. La flexibilidad para asignar diferentes niveles de acceso basándose en el contexto es la razón por la que se dedica la mayor parte del tiempo en productos como Cisco ISE a configurar y ajustar la política de autorización.

Resultados de Autorización Comunes: Un resultado de autorización puede ser tan simple como enviar un mensaje RADIUS Access-Accept o Access-Reject. Sin embargo, también puede incluir factores más avanzados como:

• Asignación de VLAN.
• Listas de control de acceso descargables (dACLs).
• Security Group Tags (SGTs).
• Redirección de URL.
• Permisos de Dominio de Voz (para teléfonos IP).
• Asignación de Roles.
• WebAuth Local.
• Auto Smart Port.
• Reautenticación.
• Políticas MACsec.
• NEAT.
• Plantillas de Interfaz.
• Nombres de ACL Airespace (para controladores inalámbricos).
• Políticas ASA VPN.
• Perfiles AVC.

Estos resultados se agrupan en un perfil de autorización, que es un conjunto de resultados que deben enviarse juntos. Cada regla de autorización debe tener un resultado, que típicamente es un perfil de autorización. Los perfiles de autorización contienen la respuesta RADIUS Access-Accept o Access-Reject junto con atributos de autorización adicionales que se envían al dispositivo de red para su aplicación.

Condiciones: Las condiciones pueden ser atributos internos o externos. Un ejemplo de condición simple es un único atributo. Las condiciones se pueden guardar en una biblioteca para su reutilización y para mejorar la legibilidad de las políticas.

Condiciones Compuestas y Jerárquicas: Una condición compuesta es más de una condición unida por operadores como AND u OR. Para requisitos más complejos que combinan operadores AND y OR, se pueden crear bloques de condiciones o condiciones compuestas jerárquicas en el Conditions Studio. El objetivo de usar condiciones compuestas jerárquicas es crear variaciones de condiciones casi infinitas para cumplir con los requisitos de seguridad de una empresa.

Reglas de Autorización Específicas de Rol: Un concepto importante es la defensa en profundidad. Simplemente implementar 802.1X o autenticar un dispositivo (como una impresora usando MAB) no hace que la red esté inmediatamente segura o segmentada. Las políticas de seguridad que construyas son clave. El objetivo final de un despliegue de acceso seguro debe ser proporcionar permisos muy específicos a cualquier autorización en lugar de acceso completo, incluso después de una autenticación exitosa. Esto limita el impacto si un usuario malicioso suplanta una identidad.

ACLs Descargables (dACLs): Las dACLs de Cisco se crean completamente en el servidor RADIUS (ISE en este caso), y una ACL completa se envía al dispositivo de red dentro de pares AV de RADIUS. Los dispositivos de red que no son de Cisco pueden requerir la creación de ACLs locales si no soportan el atributo RADIUS NAS-Filter-Rule. Las dACLs son una forma de aplicar políticas de tráfico específicas en el NAD.

Las políticas de autorización preconfiguradas en ISE abordan casos de uso comunes como teléfonos IP perfilados o dispositivos en listas negras. Por ejemplo, una regla para teléfonos IP perfilados podría coincidir con dispositivos en un grupo de identidad "Cisco-IP-Phone" y enviar un Access-Accept con un par AV que permita el acceso a la VLAN de voz. Una regla de lista negra inalámbrica podría usar condiciones compuestas (acceso inalámbrico Y grupo de identidad de lista negra) para enviar un Access-Accept con un par AV que aplique una ACL y una redirección de URL a una página de lista negra, restringiendo efectivamente el acceso a pesar de la aceptación inicial.

El despliegue de políticas de acceso seguro, especialmente la implementación de permisos específicos, debe manejarse mediante un enfoque por etapas para limitar el impacto en los usuarios finales.

Temas Clave para Revisar:

• Objetivos de las políticas de autorización.
• Reglas de autorización específicas de rol.
• Guardar condiciones para su reutilización.

Términos Clave a Definir:

• Contexto de seguridad.
• Condición simple.
• Condición compuesta.

---

Preguntas del Q&A y Respuestas:

1. What are the goals of an authorization policy? (¿Cuáles son los objetivos de una política de autorización?) El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD). Una política de autorización no solo permite o deniega el acceso a la red, sino que también puede incluir cualquier restricción para limitar el acceso a la red para el usuario o endpoint.

2. What kind of conditions can be added to an authorization policy? (¿Qué tipo de condiciones se pueden añadir a una política de autorización?) Se pueden añadir una multitud de condiciones, incluyendo atributos internos y externos. Esto puede basarse en el contexto de seguridad, que incluye quién, qué, dónde, cuándo y cómo de la autenticación. Ejemplos incluyen pertenencia a grupos de Active Directory o grupos internos en ISE, ubicación, hora, si un dispositivo está registrado, si un dispositivo móvil ha sido "jail broken", o casi cualquier otro atributo imaginable. Incluso el resultado de la autenticación puede usarse como atributo (si fue exitosa, qué protocolo se usó, contenido de campos de certificado, etc.).

3. What is the basic logic of an authorization policy? (¿Cuál es la lógica básica de una política de autorización?) La lógica básica de las reglas de política de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan en orden de arriba a abajo, y se aplica la primera regla que coincida.

4. Does authentication make a network segmented and secure? (¿La autenticación hace que una red esté segmentada y segura?) No, simplemente porque hayas implementado 802.1X o MAB con Cisco ISE como controlador de políticas y se produzca una autenticación exitosa, no significa que la red esté inmediatamente segura o que se haya logrado la segmentación. Todo depende de las políticas de seguridad construidas por el administrador. El objetivo final debe ser proporcionar permisos muy específicos a cualquier autorización para proporcionar defensa en profundidad.

5. What is the goal in using hierarchical compound conditions? (¿Cuál es el objetivo de usar condiciones compuestas jerárquicas?) Cuando las condiciones que deben cumplirse no son tan simples como un único operador AND u OR, las condiciones compuestas jerárquicas permiten crear bloques de condiciones para formar estructuras más complejas. El objetivo es combinar operadores AND y OR con condiciones para otorgar acceso, creando una política que sea tan flexible o compleja como se necesite. Esto permite crear casi infinitas variaciones de condiciones para cumplir con los requisitos de seguridad de una empresa.

---

“Do I Know This Already?” Quiz - Capítulo 10

1. ¿Qué es un perfil de autorización?
   • d. Explicación: Un perfil de autorización es el resultado obligatorio de una regla de autorización. Una regla de autorización es del formato "IF condición THEN resultado".
2. ¿Cuál es el propósito de un perfil de autorización?
   • b. Explicación: Contiene la respuesta RADIUS Access-Accept o Access-Reject junto con los atributos de autorización adicionales para enviar al dispositivo de red para su aplicación.
3. ¿Cuáles de las siguientes son tareas comunes en un perfil de autorización?
   • d. Explicación: Nombre dACL, redirección web, Local WebAuth y auto smart port son tareas comunes que se envían a un NAD para la aplicación segura de políticas en el endpoint. Las opciones a y b mezclan incorrectamente los resultados de Access Type (Accept/Reject son resultados, Continue/Terminate son acciones de la política de autenticación, no resultados del perfil de autorización). La opción c incluye "role assignment" que no es una tarea común listada, mientras que dACL, web redirection, Local WebAuth y auto smart port sí lo son.
4. ¿Cuál de las siguientes es correcta?
   • a. Explicación: Una política de autorización contiene reglas de autorización, y cada regla tiene al menos un perfil de autorización. La política de autorización se compone de reglas que se procesan en orden de arriba abajo, y cada regla que coincide lleva a un resultado definido en un perfil de autorización.
5. ¿Cuál es el propósito principal de guardar condiciones en la biblioteca?
   • a. Explicación: Para uso futuro y legibilidad mejorada. Guardar condiciones simples o compuestas hace que las políticas sean más fáciles de leer y permite reutilizarlas fácilmente en múltiples reglas.
6. ¿Qué hay de especial en el perfil de autorización requerido para un teléfono IP?
   • b. Explicación: Contiene el par atributo/valor de permiso de dominio de voz (cisco-av-pair = device-traffic-class = voice), que autoriza al endpoint a acceder a la VLAN de voz asignada a la interfaz.
7. ¿Cuál es la diferencia entre condiciones simples y compuestas?
   • c. Explicación: Una condición simple contiene solo un atributo. Una condición compuesta contiene múltiples atributos junto con un operador como AND u OR.
8. Si necesitas combinar operadores OR y AND con condiciones para otorgar acceso, ¿qué haces?
   • a. Explicación: Crear condiciones compuestas jerárquicas. Estas permiten combinar operadores AND y OR en diferentes niveles para cumplir requisitos complejos.
9. ¿Cuál debe ser el objetivo final de un despliegue de Acceso Seguro de Cisco?
   • d. Explicación: Proporcionar permisos muy específicos a cualquier autorización para ofrecer defensa en profundidad mientras se cumplen los objetivos de la política de seguridad de la organización. El objetivo no es dar acceso completo y depender únicamente de firewalls, ni simplemente basarse en la autenticación exitosa.
10. ¿Qué es único acerca de las listas de control de acceso descargables (dACLs) de Cisco?
    • c. Explicación: Las dACLs de Cisco se crean completamente en el servidor RADIUS, y se envía una ACL completa al dispositivo de red dentro de los pares AV de RADIUS. Los dispositivos de red que no son Cisco deben crear ACLs en dispositivos de red locales individuales si no admiten el atributo RADIUS NAS-Filter-Rule. Esto centraliza la creación y gestión de ACLs en ISE.

 

ISE - 07 - ISE Graphical User Interface

 

Este capítulo proporciona un recorrido guiado por la interfaz gráfica de usuario (GUI) de Cisco Identity Services Engine (ISE), cubriendo cómo iniciar sesión, la organización de la GUI y los tipos de políticas. El portal administrativo de ISE es una interfaz web utilizada para la administración.

Inicio de Sesión en ISE

• Para iniciar sesión, necesitas abrir un navegador web compatible. A partir de ISE versión 2.4, Flash ha sido completamente eliminado y se utiliza HTML5. La versión 2.6 admite navegadores específicos como Mozilla Firefox (v69 e inferiores, ESR 60.9 e inferiores), Google Chrome (v77 e inferiores) y Microsoft Edge Beta (v77 e inferiores), así como Internet Explorer (v10.x y 11.x).
• La resolución de pantalla mínima requerida para todos los navegadores es 1280 × 800 píxeles.
• Para mantener el más alto nivel de seguridad, la GUI de Cisco ISE utiliza HTTPS para el acceso administrativo. La URL para acceder es https://<ISE_FQDN>, o la dirección IP si no está en el DNS.
• Al acceder por primera vez, puedes recibir una alerta de seguridad porque el certificado X.509 predeterminado utilizado para identificar el portal administrativo HTTPS es un certificado autofirmado. Puedes aceptar permanentemente este certificado o cargar uno nuevo emitido por una CA de confianza. El uso de certificados X.509 se discute más en el Capítulo 8.
• La pantalla de inicio de sesión autentica a un usuario administrativo válido. El nombre de usuario y la contraseña, y por lo tanto el rol administrativo resultante, determinan el nivel de acceso.
• El usuario administrativo inicial (configurado durante el arranque) es admin y tiene el rol de "super admin". Este rol tiene permisos completos de creación, lectura, actualización, eliminación y ejecución (CRUDX) en todos los recursos de ISE.
• Se pueden crear usuarios administrativos adicionales después del inicio de sesión inicial, asignando a cada uno un rol administrativo específico. Los roles administrativos predefinido y controlan el nivel de acceso, los permisos y las restricciones. Algunos ejemplos de roles son Customization admin, Helpdesk admin, Identity admin, MnT admin, Network device admin, Policy admin, RBAC admin, Read-only admin, Super admin, System admin, Elevated system admin (v2.6 patch 2+), External RESTful Services (ERS) admin/operator, y TACACS+ admin.
• Para acceder a los roles administrativos, navega a Administration > System > Admin Access > Administrators > Admin Groups. Para añadir un usuario administrativo, ve a Administration > System > Admin Access > Administrators > Admin Users.

Organización de la GUI de ISE

La GUI de Cisco ISE está organizada en cinco componentes funcionales principales, además de la pantalla de inicio (Home):

ISE Home Dashboards: La primera pantalla al iniciar sesión, proporciona una vista general en tiempo real de la implementación de ISE, incluyendo el estado de los endpoints y la salud general. Solo se puede ver desde el nodo principal de Policy Administration Node (PAN).

• Tiene cinco pestañas predeterminadas: Summary (resumen de endpoints y salud), Endpoints (estado de endpoints y dispositivos de red), Guests (información de usuarios invitados), Vulnerability (información de vulnerabilidades vía adaptador Threat Centric NAC) y Threat (información de amenazas vía adaptador Threat Centric NAC).
• Se pueden crear dashboards personalizados (hasta 15 adicionales) y añadir "dashlets" (componentes visuales) a ellos. Las opciones de configuración permiten añadir, exportar (PDF, CSV), cambiar el diseño y gestionar dashboards (marcar como predeterminado, restablecer).
• Los dashlets en la pestaña Summary incluyen Metrics, Authentications, Network Devices, Endpoints (si el profiling está habilitado), BYOD Endpoints y Alarms (se refresca automáticamente cada 30 segundos), y System Summary (se refresca cada 60 segundos).
• La pestaña Endpoints muestra dashlets como Status (estado de conexión), Endpoints (profiling) y Endpoint Categories (profiling), y Network Devices (endpoints autenticados por dispositivo).
• La pestaña Guests muestra dashlets como Guest Status, Guest Type, Failure Reason y Location.
• La pestaña Vulnerability muestra dashlets como Total Vulnerable Endpoints (por puntaje CVSS), Top Vulnerability (por número de endpoints o severidad), Vulnerability Watchlist y Vulnerable Endpoints Over Time.
• La pestaña Threat muestra dashlets como Total Compromised Endpoints, Top Threats, Threat Watchlist y Compromised Endpoints Over Time.

Administration Portal: Proporciona acceso a herramientas de configuración y reporte. Incluye elementos interactivos en la parte superior, como pestañas y un menú superior derecho.

• Las pestañas principales son Context Visibility, Policy y Administration.

• El menú superior derecho incluye:
  • Search icon: Permite realizar una búsqueda global de endpoints. Se requieren al menos tres caracteres para la búsqueda. Los resultados proporcionan información general y detallada para troubleshooting. Los criterios de búsqueda incluyen Username, User type, MAC address, IP address, Authorization profile, Endpoint profile, Failure reason, Identity group, Identity store, Network device name, Network device type, Operating system, Posture status, Location, y Security group.
  • Help icon: Proporciona acceso a recursos útiles como ayuda a nivel de página, la comunidad ISE, documentación oficial, descargas de software, canal de YouTube, socios del ecosistema y una herramienta para construir portales personalizados (Portal Builder). También permite hacer preguntas a expertos.
  • PassiveID Setup: Inicia un wizard para configurar identidades pasivas usando Active Directory, recogiendo identidades de usuario y IPs de servidores externos.
  • Visibility Setup: Un servicio PoV que recoge datos de endpoint (aplicaciones, inventario hardware, estado USB/firewall, compliance) de endpoints Windows usando un agente temporal (Cisco Stealth temporal agent). Permite especificar rangos IP para descubrimiento. Incluye opciones de logging para debugging del agente.
  • Wireless Setup (BETA): Una opción fácil para configurar flujos inalámbricos (802.1X, guest, BYOD) y personalizar portales.
  • System activities: Permite acceder a la ayuda online y configurar ajustes de cuenta.
  • ISE Setup Wizards: Un menú desplegable con wizards para configurar rápidamente funciones como profiling, posturing básico y acceso inalámbrico (guest/corporativo).
  • Settings Menu: Proporciona información sobre ajustes del sistema de alto nivel y ayuda.

1. Context Visibility: Permite ver información granular sobre endpoints, usuarios, dispositivos de red y aplicaciones a través de dashboards preconstruidos. La información se segmenta por características, aplicaciones, BYOD, etc.. Utiliza una base de datos central para actualizaciones rápidas. Se puede filtrar la información para personalizar las vistas y exportar datos. Incluye cuatro pestañas principales: Endpoints (filtrar por tipo, compliance, auth, inventario, asignar política/grupo), Users (filtrar por identidad, fuente, tipo), Network Devices (listar dispositivos, endpoints conectados, filtrar por dispositivo), Application (aplicaciones descubiertas y dispositivos con ellas).

2. Operations: Permite a los administradores monitorizar, reportar y solucionar problemas activamente con sesiones de autenticación y autorización en curso, dispositivos de red y políticas configuradas. Incluye seis pestañas principales:

   • RADIUS: Contiene Live Logs (información en tiempo real sobre autenticaciones RADIUS recientes, primera parada para troubleshooting de auth, permite ver detalles de sesión) y Live Sessions (muestra el estado de sesiones activas, play-by-play de la sesión, permite forzar terminación o reautenticación - CoA Action).
   • Threat-Centric NAC Live Logs: Lista eventos de amenaza y vulnerabilidad de adaptadores externos.
   • TACACS Live Log: Información en tiempo real sobre autenticaciones TACACS, similar a RADIUS Live Logs.
   • Troubleshoot: Proporciona herramientas para administradores de red. Incluye herramientas como RADIUS Authentication Troubleshooting, Execute Network Device Command, Evaluate Configuration Validator, Posture Troubleshooting, Endpoint Debug, TCP Dump, Session Trace Tests y herramientas TrustSec. También permite descargar logs (Support bundle, Debug logs) para soporte técnico.
   • Adaptive Network Control (ANC): Herramienta útil para cambiar el acceso de red de un endpoint (cuarentena, sin cuarentena, apagado). "Cuarentena" es una etiqueta interna; la acción real depende de la política de seguridad correspondiente. Puede bloquear el acceso a la red basándose en la dirección MAC (más efectivo) o IP. Las pestañas son Policy List (crear políticas/etiquetas ANC: Quarantine, Shut_Down, Port_Bounce) y Endpoint Assignment (ver/añadir/eliminar endpoints de una política ANC). Una política ANC no hace nada sin una política de autorización correspondiente.
   • Reports: Permite generar reportes para funciones y sesiones de ISE. Las categorías incluyen Audit, Device Administration, Diagnostics, Endpoints and Users, Guest, Threat Centric NAC y TrustSec.

3. Policy: Se utiliza para configurar la política de seguridad, incluyendo sets de políticas, profiling, posture, client provisioning, y policy elements (elementos de política). Procesa las credenciales de un dispositivo de red y devuelve la política de seguridad resultante.

   • Policy Sets: Configura la política de autenticación y autorización para el control de acceso a la red. Permite agrupar lógicamente políticas de autenticación y autorización. Se pueden gestionar diferentes casos de uso (inalámbrico, cableado, invitado) en conjuntos de políticas separados. La evaluación es jerárquica, de arriba hacia abajo, con el primer resultado coincidente. Las subsecciones incluyen Authentication Policy, Authorization Policy—Local Exceptions, Authorization Policy—Global Exceptions, y Authorization Policy.
   • Profiling: La capacidad de determinar el tipo de dispositivo que accede a la red. Se logra monitorizando protocolos (DHCP, HTTP, RADIUS por proxy, etc.). Se pueden crear perfiles personalizados o ver los existentes.
   • Posture: Mecanismo mediante el cual un suplicante o agente en un endpoint proporciona información detallada sobre su configuración de software y hardware (OS, antivirus, parches) a ISE. Basado en la evaluación, un endpoint con posture no conforme o desconocido puede ser puesto en cuarentena con acceso reducido para remediación.
   • Client Provisioning: Proceso por el cual se implementan credenciales y configuraciones necesarias en un endpoint (onboarding) para que se una a la red más fácilmente (certificados X.509, perfiles inalámbricos, cliente posture). La política de client provisioning es un árbol de decisión basado en criterios como el OS del endpoint.
   • Policy Elements: Componentes básicos reutilizables que simplifican la configuración de políticas. Ayudan a definir las partes IF-THEN de una política. Incluye tres pestañas: Dictionaries (elementos/atributos con pares atributo/valor), Conditions (sentencias IF, "pruebas" que resultan en TRUE/FALSE) y Results (sentencias THEN, acciones que se ejecutan si las condiciones son TRUE).
   • TrustSec: Una política de seguridad en la que se asigna un Security Group Tag (SGT) a un endpoint después de la autenticación. El SGT determina el nivel de acceso en la red. La política determina el SGT basándose en el usuario, tipo de endpoint, método de acceso, etc..

4. Work Centers: Agrupan lógicamente todas las páginas relacionadas con la configuración, monitorización y reporte de casos de uso comunes de ISE. Proporcionan todo lo necesario para configurar, monitorizar y solucionar problemas en estos casos de uso. Hay ocho Work Centers: Network Access, Guest Access, TrustSec, BYOD, Profiler, Posture, Device Administration y PassiveID.

Tipos de Políticas en ISE

ISE gestiona varios tipos de políticas para endpoints cableados, inalámbricos y de acceso remoto. Muchas de estas políticas utilizan la estructura IF-THEN. Los tipos de políticas son:

• Authentication: Para identificar un endpoint o usuario al conectarse a la red.
• Authorization: Para determinar qué acceso tendrá un endpoint o usuario después de ser autenticado.
• Profiling: Para determinar el tipo de dispositivo que accede a la red.
• Posture: Para evaluar la configuración de seguridad del endpoint (OS, software de seguridad, parches).
• Client Provisioning: Para desplegar credenciales y configuraciones necesarias en un endpoint (onboarding).
• TrustSec: Para asignar un Security Group Tag (SGT) a un endpoint y aplicar políticas de acceso basadas en este tag.

Q&A

Aquí están las respuestas a las preguntas de Q&A:

1. Nombra algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE. Algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE son: Nombre de usuario (Username), Tipo de usuario (User type), Dirección MAC (MAC address), Dirección IP (IP address), Perfil de autorización (Authorization profile), Perfil de endpoint (Endpoint profile), Motivo de fallo (Failure reason), Grupo de identidad (Identity group), Almacén de identidad (Identity store), Nombre del dispositivo de red (Network device name), Tipo de dispositivo de red (Network device type), Sistema operativo (Operating system), Estado de posture (Posture status), Ubicación (Location) y Grupo de seguridad (Security group).
2. ¿Qué es importante sobre los dashboards de Context Visibility? Los dashboards de Context Visibility muestran información sobre endpoints, usuarios y NADs. La información puede segmentarse por características, aplicaciones, BYOD y otras categorías. Lo importante es que utilizan una base de datos central y recopilan información de tablas, cachés y buffers, lo que hace que las actualizaciones sean muy rápidas. Permiten filtrar datos modificando los atributos de columna en la lista, y los dashlets se actualizan para mostrar el contenido modificado. Proporcionan información granular sobre los endpoints en ISE.
3. ¿Cómo ayuda RADIUS Live Log en la solución de problemas? RADIUS Live Log muestra información en tiempo real sobre las autenticaciones RADIUS recientes. Es la primera parada para un administrador al probar nuevas políticas o solucionar problemas de autenticación, para verificar si un endpoint se autenticó correctamente. Permite ver detalles adicionales para la solución de problemas sobre autenticaciones exitosas o rechazadas. Al hacer clic en los detalles, se accede a una gran cantidad de información sobre la sesión de autenticación, incluyendo detalles del intercambio RADIUS, el endpoint, el NAD y el almacén de identidad. Al revisar estos detalles y conocer el resultado esperado de la política, se puede determinar la razón por la que se eligió una política (correcta o incorrectamente).
4. ¿Cuáles son los tres elementos principales de una política? Los elementos de política son los componentes básicos reutilizables que se utilizan para construir políticas en ISE. Los tres elementos principales, que se encuentran bajo la pestaña Policy Elements, son: Dictionaries (proporcionan una lista de elementos definidos por el sistema y el usuario y sus atributos disponibles), Conditions (definen las partes IF de las políticas, sentencias condicionales que pueden ser VERDADERAS o FALSAS) y Results (definen las partes THEN de las políticas, acciones que se ejecutan si las condiciones son VERDADERAS). Las políticas en ISE a menudo se basan en una estructura programática IF-THEN.
5. ¿Cuáles son los diferentes tipos de políticas en ISE? Los diferentes tipos de políticas en ISE son: Authentication (identificar un endpoint o usuario), Authorization (determinar el acceso después de la autenticación), Profiling (determinar el tipo de dispositivo), Posture (evaluar la configuración de seguridad del endpoint), Client Provisioning (desplegar credenciales y configuraciones para el onboarding) y TrustSec (asignar un Security Group Tag y aplicar políticas basadas en él).

ISE - 09 - Authentication Policies

Políticas de Autenticación

Este capítulo trata sobre las Políticas de Autenticación en el contexto del control de acceso a la red, particularmente utilizando Cisco ISE. La autenticación es la validación de una credencial. Es una parte crucial del proceso de control de acceso a la red.

Se utiliza una analogía real, como ser detenido por exceso de velocidad, para explicar la autenticación: el oficial valida la licencia de conducir y el seguro, comprobando su validez, hologramas, fechas y bases de datos (como la del DMV). Si pasa estas verificaciones, la autenticación es exitosa.

Las políticas de autenticación tienen varios objetivos principales:

• Descartar tráfico no permitido para ahorrar recursos de procesamiento. Similar a cómo un oficial rechazaría una tarjeta de biblioteca como identificación para conducir.
• Dirigir las solicitudes de autenticación al almacen de identidad correcta. Esto se compara con un oficial que consulta la base de datos del DMV apropiado.
• Validar la identidad. El oficial determina si la licencia es válida para el conductor.
• Pasar las autenticaciones exitosas a la política de autorización. Similar a cómo el oficial anota las leyes que el conductor ha infringido.

Es fundamental comprender la diferencia entre autenticación y autorización. La autenticación es la verificación de una identidad. Un ejemplo es un empleado de banco verificando tu identificación. Sin embargo, una autenticación exitosa no significa automáticamente que tengas derecho al acceso solicitado.

La autorización determina qué acceso se debe conceder después de una autenticación exitosa. Utilizando la analogía del banco, después de validar tu identificación (autenticación), el empleado verifica si estás autorizado a retirar dinero de la cuenta y hasta qué límite (autorización). La mayor parte del trabajo en Cisco ISE se dedica a configurar y ajustar la política de autorización.

Políticas de Autenticación en ISE

Las políticas de autenticación son el primer punto de interacción de Cisco ISE con una solicitud RADIUS Access-Request de un dispositivo de acceso a la red (NAD). Su objetivo es procesar la solicitud rápidamente: descartarla si es inválida, denegarla si las credenciales son incorrectas, o reenviarla a las políticas de autorización si es exitosa.

Objetivo 1: Aceptar solo Protocolos Permitidos Por defecto, ISE permite casi todos los protocolos de autenticación soportados, pero se recomienda permitir solo los esperados y soportados por seguridad y eficiencia. Esto reduce la carga en los PSNs, ayuda a elegir almacén de identidad correcta y previene el uso de protocolos vulnerables u obsoletos. Por ejemplo, si solo se soporta EAP-TLS para un SSID corporativo, se puede configurar para que solo ese protocolo esté permitido. La elección de protocolos debe basarse en la política de seguridad de la organización. Deshabilitar protocolos menos seguros es una práctica recomendada. La configuración incluye no solo qué protocolos permitir, sino también su ajuste específico (como EAP-FAST con aprovisionamiento de PAC o EAP chaining).

Los protocolos permitidos se configuran en una lista. La lista Default Network Access por defecto es muy inclusiva, pero se recomienda limitarla. Puedes crear listas de protocolos permitidos más restrictivas para cada conjunto de políticas (Policy Set). Algunos protocolos de autenticación comunes son:

• Process Host Lookup: Usado para MAC Authentication Bypass (MAB). ISE toma la MAC address como usuario/contraseña y la busca en la base de datos interna.
• PAP (Password Authentication Protocol): Envía el usuario en texto plano y la contraseña opcionalmente encriptada.
• CHAP (Challenge Handshake Authentication Protocol): Encripta usuario/contraseña usando un desafío del servidor. No muy común en acceso a red.
• Tipos EAP (Extensible Authentication Protocol): Un framework para transportar credenciales (usuarios, contraseñas, certificados). 802.1X define EAP over LAN.
  • EAP-MD5: Usa un algoritmo de hash MD5 para ocultar credenciales. No soporta autenticación mutua (el cliente no autentica al servidor). Común en algunos teléfonos IP.
  • EAP-TLS: Usa TLS (Transport Layer Security) para transacciones seguras. Muy seguro, usa certificados X.509 y soporta autenticación mutua. Considerado el estándar de oro de los tipos EAP.
  • Tipos EAP Tunelizados: Forman túneles seguros encriptados primero y luego transmiten credenciales dentro del túnel.
    • PEAP (Protected EAP): Propuesto por Microsoft. El método EAP más popular. Forma un túnel TLS usando el certificado del servidor. Usa otro tipo EAP como "método interno" para autenticar al cliente. Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador, autentica a Active Directory), EAP-GTC (Generic Token Card, creado por Cisco, permite autenticaciones genéricas a casi cualquier tienda de identidad, como OTP, LDAP), EAP-TLS (raramente usado).
    • EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco. Similar a PEAP, forma un túnel TLS exterior. Permite reautenticación y roaming inalámbrico más rápidos usando PACs (Protected Access Credentials). Un PAC es como una cookie segura que prueba una autenticación exitosa. No soportado nativamente por Windows hasta Vista (requiere Cisco AnyConnect NAM). Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador a Active Directory), EAP-GTC (para autenticaciones genéricas a varias tiendas de identidad), EAP-TLS (popular para EAP chaining). EAP chaining con EAP-FASTv2 permite autenticar múltiples credenciales (usuario y máquina) en una sola transacción EAP.
    • EAP-TTLS (Tunneled TLS EAP): Similar a PEAP. Encapsula una sesión TLS. Puede autenticar al servidor o tener autenticación mutua. Windows previo a Windows 8 no lo soporta nativamente. Métodos internos aceptados: PAP, CHAP, MS-CHAPv1, MS-CHAPv2, EAP-MD5.
    • TEAP: Nueva adición en Windows 10. Usa TLS para establecer un túnel mutuamente autenticado. Introduce la posibilidad de EAP-Chaining nativamente en Windows 10 (build 2004) y ISE 2.7 patch 1.

Objetivo 2: Seleccionar el almacén de Identidad Correcta Después de aceptar la autenticación, ISE decide qué almacén de identidad (fuente de identidad o PIP) usar para verificar las credenciales. La decisión se basa en los atributos de la solicitud entrante. Por ejemplo, si se presenta un certificado, ISE no lo validará contra una base de datos de usuarios y contraseñas. Si hay múltiples dominios de Active Directory o almacenes LDAP, ISE puede usar atributos de la solicitud para determinar cuál consultar.

Objetivo 3: Validar la Identidad Una vez identificada el almacén de identidad correcta, ISE verifica la validez de las credenciales.

• Para autenticaciones basadas en contraseña: ¿Usuario válido? ¿Contraseña coincide?.
• Para autenticaciones basadas en certificado: ¿Emitido por una CA de confianza? ¿Expirado? ¿Revocado? ¿Cliente probó posesión? ¿Certificado tiene el uso de clave y extensiones correctos?.

Objetivo 4: Pasar la Solicitud a la Política de Autorización Si una autenticación falla, la política de autenticación puede rechazar la solicitud. Si una solicitud pasa la autenticación, se evalúa la política de autorización.

Comprensión de los Conjuntos de Políticas (Policy Sets)

Los Conjuntos de Políticas son contenedores lógicos para las políticas de autenticación y autorización. En versiones anteriores de ISE, había una única política general de autenticación y autorización, lo que hacía los cambios y la resolución de problemas arriesgados. Los policy sets mitigan esto.

Cada policy set tiene una regla de nivel superior con condiciones que deben cumplirse. Si una solicitud RADIUS cumple las condiciones de la regla de nivel superior, se evalúa contra las políticas de autenticación y autorización dentro de ese policy set específico. Esto localiza las políticas y reduce el riesgo de que una mala configuración afecte otras solicitudes.

La regla de nivel superior define la lista de protocolos permitidos para ese policy set. Aunque parezca confuso que esto esté encima de la política de autenticación, simplifica la configuración al definirla una vez por policy set en lugar de por cada regla individual.

Los policy sets son jerárquicos. Si una solicitud RADIUS coincide con las reglas de nivel superior de varios policy sets, se elige el que aparece más alto en la lista.

Estructura de las Reglas de Autenticación

Las reglas básicas de autenticación en un policy set se estructuran lógicamente así: IF condiciones THEN CHECK THE IDENTITY STORE IN LIST IdentityStore

Las reglas se procesan de arriba hacia abajo, primera coincidencia.

• Condiciones: Definen cuándo se aplica una regla. Pueden usar condiciones inteligentes predefinidas como Wired_MAB o Wireless_MAB, que contienen condiciones específicas. Las condiciones inteligentes pueden ser reutilizadas.
  • Las condiciones se configuran en el Conditions Studio. El Conditions Studio tiene un Editor (donde creas/editas condiciones simples/compuestas, agregas niveles jerárquicos con AND/OR, estableces "Is Not", seleccionas atributos y valores) y una Librería (donde se guardan las condiciones reutilizables, arrastras condiciones de la librería al editor para usarlas).
  • Wired_MAB busca el tipo de flujo RADIUS normalizado Wired_MAB. Wireless_MAB busca Wireless_MAB. El atributo Called-Station-ID describe el nombre del SSID inalámbrico.
• Almacén de Identidad (Identity Store): Después de coincidir con las condiciones, la solicitud se autentica contra el almacén de identidad seleccionada. Para MAB, se compara con la base de datos interna de endpoints (direcciones MAC). Si la MAC address está en la base de datos, se considera un MAB exitoso. MAB omite la autenticación y no se considera seguro por sí mismo. Un almacén de identidad puede ser una secuencia de fuentes de identidad (ISS).
• Opciones (Options): Un conjunto de opciones asociadas con la selección del almacén de identidad. Le dicen a ISE qué hacer si la autenticación falla, el usuario/dispositivo es desconocido o el proceso falla.
  • Reject: Envía Access-Reject de vuelta al NAD.
  • Continue: Continúa a la política de autorización, independientemente de si la autenticación pasó o falló. Usado con autenticación web.
  • Drop: No responde al NAD; el NAD actúa como si el servidor RADIUS estuviera caído.

Más sobre MAB (MAC Authentication Bypass)

El MAB a menudo no se entiende bien, especialmente al mezclar proveedores de dispositivos de acceso. No existe un estándar para MAB; los proveedores lo implementan de diferentes maneras. El objetivo es permitir que el supplicant en el switch ejecute una solicitud de autenticación para un endpoint que no tiene supplicant propio.

Algunos proveedores usan Service-Type Login o Framed en el mensaje RADIUS para MAB. Cisco utiliza Service-Type Call-Check para MAB. Cisco lo hace de manera diferente por seguridad. Históricamente, había una vulnerabilidad al no diferenciar las solicitudes MAB de las solicitudes de autenticación web local, permitiendo a un usuario malintencionado usar una MAC address como usuario/contraseña para obtener acceso.

Para cerrar esta brecha, Cisco implementó requisitos únicos para MAB:

• Para ser procesadas como MAB (por defecto), las solicitudes deben tener Service-Type establecido en Call-Check.
• Los servidores RADIUS (ISE) mantienen una base de datos de endpoints separada (direcciones MAC).
• El valor de Calling-Station-Id se compara con la base de datos de endpoints, e IGNORA los campos de usuario y contraseña de la solicitud MAB.

Los NADs soportados por Cisco usan Call-Check para Service-Type en solicitudes MAB y aseguran que el campo Calling-Station-Id esté lleno con la MAC address del endpoint. ISE tiene una opción (Process Host Lookup) en la lista de protocolos permitidos para permitir/denegar acceso a la base de datos de endpoints para MAB.

MAB no es una tecnología segura. Al implementarlo, se omite la seguridad de 802.1X. Al usar MAB, siempre sigue un enfoque de defensa en profundidad: concede acceso solo a las redes y servicios que el dispositivo realmente necesita. No proporciones acceso completo a dispositivos autenticados por MAB, sino una autorización más limitada.

---

Respuestas al Q&A

Las respuestas a estas preguntas aparecen en el Apéndice A de la fuente. Basándome en el texto proporcionado:

1. ¿Qué es autenticación? La autenticación es simplemente la validación de una credencial. En otras palabras, es la verificación de una identidad.
2. ¿Qué es autorización? La autorización es el proceso que determina si, después de una autenticación exitosa, un usuario o dispositivo tiene el derecho o permiso para acceder a un recurso o realizar una acción. Es donde se especifica qué acceso debe concederse después de una autenticación exitosa.
3. ¿Cuáles son los objetivos de una política de autenticación? Los objetivos de una política de autenticación son:
   • Descartar tráfico no permitido.
   • Dirigir las solicitudes de autenticación a la tienda de identidad correcta.
   • Validar la identidad.
   • Pasar las autenticaciones exitosas a la política de autorización. La opción 'c' en la pregunta 3 del quiz resume bien estos objetivos: Descartar solicitudes usando un método incorrecto, dirigir solicitudes a la tienda de identidad correcta, validar la identidad y pasar autenticaciones exitosas a la política de autorización.
4. ¿Qué son los policy sets? Los policy sets son contenedores lógicos que encapsulan políticas de autenticación y autorización específicas. Proporcionan una forma de agrupar y organizar políticas para diferentes casos de uso de acceso a la red, mejorando la administración y reduciendo el riesgo de cambios. Cada policy set tiene una regla de nivel superior que determina si una solicitud RADIUS se evalúa contra las políticas dentro de ese contenedor.
5. ¿Cómo hacen los NADs de Cisco el MAB de manera diferente a los NADs de otros proveedores? Mientras que otros proveedores pueden usar Service-Type Login o Framed para MAB, los NADs de Cisco soportados usan Service-Type Call-Check para las solicitudes MAB. Además, ISE mantiene una base de datos de endpoints separada y compara el valor de Calling-Station-Id (que contiene la MAC address del endpoint) con esa base de datos, ignorando los campos de usuario y contraseña de la solicitud MAB. Esta diferencia en el uso de Service-Type y el enfoque en Calling-Station-Id junto con una base de datos separada fue implementado por Cisco para mejorar la seguridad y mitigar vulnerabilidades históricas.

---

Respuestas al Cuestionario “Do I Know This Already?” Quiz

1. ¿Cuál de los siguientes es requerido para realizar MAB desde un dispositivo de red Cisco?  El MAB de Cisco, Service-Type debe ser Call-Check y Calling-Station-Id debe estar poblado con la MAC address del endpoint. La opción que coincide es: b. The RADIUS packet must have Service-Type set to Call-Check and Calling-Station-Id populated with the MAC address of the endpoint.

2. ¿Qué tipo de EAP es capaz de realizar EAP chaining? EAP chaining en la descripción de EAP-FAST (específicamente EAP-FASTv2) y también menciona la posibilidad con TEAP. De las opciones proporcionadas, EAP-FAST es el que se describe explícitamente como capaz de realizar EAP chaining. La opción que coincide es: b. EAP-FAST

3. ¿Cuáles de los siguientes son propósitos de una política de autenticación? c. To drop requests using an incorrect authentication method, route authentication requests to the correct identity store, validate the identity, and pass successful authentications over to the authorization policy.

4. ¿Qué opción necesita estar habilitada en la lista de protocolos permitidos de autenticación para aceptar MAB? La sección "Allowed Protocols" menciona que la opción Process Host Lookup se usa para MAC Authentication Bypass (MAB). La opción que coincide es: b. Process Host Lookup

5. ¿Dónde se guardan las condiciones reutilizables? La sección Conditions Studio menciona que al hacer clic en "Save" en el editor, puedes añadir una condición a la Librería. La librería muestra los bloques de condición guardados. La opción que coincide es: a. Library

6. ¿Qué método funcionará efectivamente para permitir que se seleccione un almacén de identidad diferente para cada tipo de EAP utilizado? La sección "Alternative ID Stores Based on EAP Type" describe el proceso de crear una regla separada en la política de autenticación para cada tipo de EAP (EAP-TLS, PEAP, EAP-FAST, EAP-MD5) y asociar cada regla con una tienda de identidad diferente. La opción que coincide es: d. Create a rule for each EAP type under the policy set’s authentication policy that points to the appropriate identity store for each rule.

7. ¿Qué atributo RADIUS se usa para coincidir con el SSID? La sección "Using the Wireless SSID" indica que el atributo a usar es Called-Station-Id ya que es el campo que describe el nombre del SSID inalámbrico. La opción que coincide es: d. Called-Station-ID

8. ¿Qué atributo RADIUS contiene la MAC address del endpoint? La sección "More on MAB" indica que el campo Calling-Station-Id está poblado con la MAC address del endpoint para las solicitudes MAB de Cisco. La opción que coincide es: a. Calling-Station-ID

9. ¿Cuál es el propósito de la opción 'continue' de una regla de autenticación? La sección "Options" describe la opción Continue como la que permite continuar a la política de autorización, independientemente de si la autenticación pasó o falló. La opción que coincide es: c. The continue option is used to send an authentication to the authorization policy, even if the authentication was not successful.

10. En el Conditions Studio, ¿cuál de las siguientes opciones no puedes hacer? (Elige tres.) El Conditions Studio con un Editor y una Librería. En el Editor, puedes crear y editar condiciones simples y compuestas y seleccionar atributos y valores. Puedes guardar condiciones creadas/editadas en el Editor a la Librería. Puedes usar condiciones de la Librería arrastrándolas al Editor. Las configuraciones de tienda de identidad y opciones (el "resultado" de la regla de autenticación) se realizan fuera del Conditions Studio. Basado en esta descripción:

    • b. Create and edit simple and compound conditions. SÍ puedes hacerlo en el Editor.
    • d. Select the attribute and attribute value to use. SÍ puedes hacerlo en el Editor. Esto significa que no puedes hacer 'b' ni 'd' según la pregunta, pero la descripción dice lo contrario.
    • a. Create and edit the authentication rule result. NO puedes hacerlo en el Conditions Studio, se hace fuera.
    • c. Create and edit library conditions. NO puedes hacerlo directamente en la lista de la librería. Creas/editas en el Editor y guardas a la librería, o usas de la librería arrastrando al Editor. No hay una función descrita para editar elementos dentro de la lista de la librería.

    Dado que las opciones 'b' y 'd' son claramente descritas como acciones posibles dentro del Conditions Studio Editor, y la pregunta pide TRES cosas que no puedes hacer, parece haber una inconsistencia en la pregunta tal como se presenta en la fuente o las opciones proporcionadas. No puedo identificar de manera concluyente TRES acciones que no se puedan realizar basándome únicamente en la descripción del Conditions Studio proporcionada. Sin embargo, 'a' (crear/editar el resultado de la regla) y 'c' (crear/editar directamente en la librería) parecen ser cosas que no se pueden hacer como se describe el flujo de trabajo. Necesitaría una tercera, pero las opciones b y d contradicen la descripción si se seleccionan como acciones imposibles. Por lo tanto, no puedo responder definitivamente a esta pregunta tal como está planteada con las opciones proporcionadas y la descripción del texto.

 

ISE - 08 - Configuración Inicial

 

Configuración Inicial de Cisco ISE

La configuración inicial de Cisco Identity Services Engine (ISE) es un proceso crucial para que funcione correctamente en tu entorno de red. Aunque la instalación en sí está fuera del alcance del examen SISE 300-715 y de este capítulo, sí se cubren los pasos críticos de configuración que determinan el éxito del despliegue.

ISE - 06 - Cisco Identity Services Engine Architecture

 

Este capítulo profundiza en Cisco ISE después de haber cubierto genéricamente conceptos como AAA, gestión de identidad y EAP/802.1X. Se centra específicamente en Cisco ISE, sus personas, si se instala en appliances físicos o virtuales, y varios escenarios de despliegue comunes.

ISE - 05 - Introduction to Advanced Concepts

 

El capítulo trata sobre conceptos avanzados en un servidor de autenticación, como la Autorización de Cambio (CoA), la Automatización de MAC Authentication Bypass (MAB), la Evaluación de Postura (Posture Assessment) y la Gestión de Dispositivos Móviles (MDM). Estas características avanzadas permiten implementaciones más completas y granulares, mejorando la seguridad de la red.

ISE - 04 - Non-802.1X Authentication

El Capítulo 4 se titula "Non-802.1X Authentication" y aborda métodos de control de acceso a la red para dispositivos y escenarios donde la autenticación 802.1X no es factible o deseada.

La Necesidad de Autenticación No 802.1X

• Aunque el estándar IEEE 802.1X fue estandarizado a principios de la década de 2000 como una solución para el control de acceso a la red basado en puertos y se predijo que revolucionaría la red, no se ha convertido en la solución única y universal como algunos anticiparon.
• No es práctico ni posible que todos los puertos de red requieran autenticación 802.1X.
• Hay complicaciones en la gestión de una gran cantidad de dispositivos que no son PCs administrados, especialmente con la explosión de los dispositivos IoT (Internet of Things).
• Muchos dispositivos IoT no tienen o no pueden tener un suplicante configurado (el software cliente requerido para 802.1X). Piensa en impresoras, cámaras IP, lectores de credenciales, señalización digital. Configurar suplicantes y certificados en estos dispositivos a gran escala no es viable operativamente.
• El enfoque original de simplemente deshabilitar 802.1X en puertos específicos para dispositivos sin suplicantes es inseguro (permite que cualquier dispositivo se conecte) y crea una carga de gestión significativa si los dispositivos se mueven.
• Se necesitan otras formas de identificar y autorizar estos dispositivos. También para usuarios con suplicantes mal configurados o credenciales caducadas, o para usuarios invitados.

ISE - 03 - Extensible Authentication Protocol (EAP) over LAN: 802.1X

 

El Capítulo 3 de las fuentes cubre el Protocolo de Autenticación Extensible (EAP) sobre LAN, conocido como 802.1X. Este estándar fue creado por el IEEE a principios de la década de 2000 para el control de acceso a la red basado en puertos. La idea era que ningún dispositivo pudiera conectarse y comunicarse en una red sin que los usuarios se identificaran y fueran autorizados. 

Hay tres componentes fundamentales de 802.1X: el solicitante(supplicant), el autenticador y el servidor de autenticación. El capítulo explica estos componentes, así como elementos críticos de una solución 802.1X, como los diferentes tipos de EAP que se pueden usar.

Componentes de 802.1X:

• Solicitante (Supplicant): Es el software en el endpoint (también llamado peer por el IETF) que se comunica con EAP en la Capa 2. Este software responde al autenticador y proporciona las credenciales de identidad con la comunicación EAP. El solicitante nativo de Windows y el Cisco AnyConnect NAM son ejemplos.
• Autenticador (Authenticator): Es el dispositivo de red que controla el acceso físico a la red basándose en el estado de autenticación del endpoint. Actúa como un intermediario o proxy. Encapsula la comunicación EAP de Capa 2 del solicitante en RADIUS, dirigida al servidor de autenticación activo. Ejemplos comunes de autenticadores en una implementación de Cisco ISE son switches LAN y controladores de LAN inalámbrica (WLCs). Cisco ISE se refiere a estos autenticadores genéricamente como dispositivos de acceso a la red (NADs). El autenticador no tiene conocimiento del tipo de EAP utilizado o si las credenciales del usuario son válidas; simplemente encapsula la trama EAP sin modificarla dentro del paquete RADIUS enviado al servidor de autenticación y autoriza el puerto si el servidor de autenticación se lo indica. Por lo tanto, la autenticación EAP es completamente transparente para el autenticador.
• Servidor de autenticación (Authentication server): Es el servidor que realiza la autenticación del cliente. Valida la identidad del endpoint y proporciona al autenticador un resultado (por ejemplo, aceptar o denegar). Cisco ISE es un ejemplo de servidor de autenticación. La autenticación EAP real (el intercambio de identidad y la validación) ocurre entre el solicitante y el servidor de autenticación.

La autenticación puede ser iniciada por el autenticador (cuando el estado del enlace cambia de inactivo a activo, o periódicamente si el puerto permanece activo y no autenticado) o por el solicitante (enviando un mensaje EAPoL-Start en cualquier momento). La iniciación por parte del solicitante (EAPoL-Start) proporcionó una mejor experiencia de usuario con 802.1X.

Tipos de EAP:

EAP es un framework de autenticación que define el transporte y uso de credenciales de identidad (nombres de usuario, contraseñas, certificados, tokens, contraseñas de un solo uso, etc.). Se ha convertido en el estándar de facto para protocolos de autenticación y se utiliza en diversas aplicaciones, incluyendo VPNs y, de manera importante, en IEEE 802.1X (EAP sobre LAN). El tipo de EAP define el mecanismo de autenticación a utilizar. Los tipos de EAP se dividen en dos categorías: nativos y tunelizados.

Tipos de EAP Nativos (EAP sin Tunel): Envían sus credenciales inmediatamente.

• EAP-MD5: Utiliza un algoritmo de resumen de mensaje (hash) para ocultar las credenciales. No tiene mecanismo para autenticación mutua (el servidor valida al cliente, pero el cliente no autentica al servidor). Común en teléfonos IP y solicitudes MAB. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado.
• EAP-TLS: Utiliza Transport Layer Security (TLS), similar a SSL. Proporciona una transacción de identidad segura y soporta autenticación mutua (el cliente debe confiar en el certificado del servidor y viceversa). Utiliza certificados X.509. Es un estándar abierto IETF y se considera universalmente soportado. Se considera uno de los tipos de EAP más seguros ya que la captura de contraseñas no es una opción; el endpoint debe tener la clave privada. Se está convirtiendo rápidamente en el tipo de EAP preferido para soportar BYOD en la empresa.
• EAP-MS-CHAPv2: Las credenciales del cliente (nombre de usuario, contraseña, nombre de equipo, contraseña de equipo) se envían cifradas dentro de una sesión MS-CHAPv2 al servidor RADIUS, que las autentica contra Active Directory. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.
• EAP-GTC: Creado por Cisco como alternativa a MS-CHAPv2. Permite la autenticación genérica a prácticamente cualquier almacén de identidad (servidores de tokens OTP, LDAP, Novell eDirectory). Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.

Tipos de EAP Tunelizados: Forman un túnel cifrado primero (típicamente TLS) y luego transmiten las credenciales dentro de ese túnel. Funcionan de manera similar a un túnel seguro entre un navegador web y un sitio web seguro.

• PEAP (Protected EAP): Propuesto originalmente por Microsoft, es el método EAP más popular y ampliamente desplegado. Forma un túnel TLS (potencialmente cifrado) entre el cliente y el servidor, utilizando el certificado X.509 del servidor (a menudo una confianza unidireccional). Después de formar el túnel, PEAP usa otro tipo de EAP como "método interno" para autenticar al cliente. Los tres métodos internos soportados para PEAP son EAP-MS-CHAPv2, EAP-GTC y, aunque raro, EAP-TLS.
• EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco como una alternativa a PEAP para permitir una re-autenticación más rápida y soportar el roaming inalámbrico rápido. También forma un túnel exterior TLS y transmite las credenciales del cliente dentro de él. Se diferencia de PEAP en la capacidad de usar Protected Access Credentials (PACs). Un PAC es como una cookie segura almacenada localmente como prueba de autenticación exitosa, utilizada para la reanudación rápida de sesión y para permitir el encadenamiento EAP. Usa un tipo de EAP nativo como método interno. Los tres métodos internos soportados para FAST son EAP-MS-CHAPv2, EAP-GTC y EAP-TLS. EAP-TLS como método interno se ha vuelto popular con el encadenamiento EAP.
• EAP-TTLS (EAP Tunneled Transport Layer Security): Otro tipo de EAP tunelizado desarrollado principalmente por Funk Software. Es similar a PEAP y EAP-FAST, creando un túnel exterior TLS primero y luego realizando la autenticación dentro de él. Ofrece mejoras en la simplicidad de configuración y en la capacidad de reanudar una sesión TLS. Usa un tipo de EAP nativo o protocolos de autenticación nativos no EAP como método interno. Soportado en ISE desde la Versión 2.0. Soporta seis métodos internos: PAP/ASCII (envía nombre de usuario y contraseña en texto plano dentro del túnel cifrado), CHAP (envía nombre de usuario en texto plano y un hash calculado de la contraseña), MS-CHAPv1/v2 (versiones nativas con mejoras de seguridad), EAP-MD5 y EAP-MS-CHAPv2. Muchos creen que el principal beneficio de soportar EAP-TTLS es que la iniciativa eduroam lo exige para permitir a los estudiantes universitarios itinerar entre campus usando sus mismas credenciales.
• TEAP (Tunnel EAP): Definido en RFC 7170, fue diseñado como el tipo de EAP para "terminar las guerras del EAP". Fue desarrollado por un grupo de trabajo del IETF con miembros de muchos proveedores (incluyendo Cisco y Juniper). Incorpora los beneficios de FAST, TTLS y PEAP, además de nuevas capacidades. Las capacidades únicas de TEAP incluyen encadenamiento EAP, aprovisionamiento/renovación de certificados dentro del túnel, distribución de la lista de certificados de servidores EAP de confianza a los clientes, y channel binding (para prevenir ataques man-in-the-middle). Soportado en ISE en Versión 2.7 y Windows 10 (iniciativa conjunta Microsoft/Cisco). Forma un túnel exterior TLS. Puede usar PACs, pero no es necesario para el roaming rápido y la reanudación de sesión. Al momento de imprimir el libro, ISE y Windows 10 soportaban EAP-MS-CHAPv2 y EAP-TLS como métodos internos para TEAP, pero no todas las funciones del RFC como aprovisionamiento/distribución de certificados.

Identidades Internas y Externas: Los tipos de EAP tunelizados usan el concepto de identidades internas y externas.

• La identidad interna (inner identity) son las credenciales reales del usuario o dispositivo, enviadas con el EAP nativo o protocolo de autenticación.
• La identidad externa (outer identity), típicamente configurada como anonymous, es la identidad utilizada entre el solicitante y el servidor de autenticación para la configuración inicial del túnel TLS. Cisco ISE puede leer esta identidad externa para ayudar a decidir la selección del almacén de identidad. La identidad externa puede contener información (como el nombre de dominio) que le dice a ISE a qué almacén de identidad (AD, LDAP, etc.) enviar las credenciales. La mayoría de los solicitantes ocultan esta opción al usuario final; el solicitante nativo de Android la expone como "anonymous identity".

Dispositivos de Acceso a la Red (NADs): Cisco ISE llama al rol de autenticador NAD. Un NAD cumple múltiples funciones: es un autenticador para 802.1X, proxy de comunicaciones EAP al servidor de autenticación, y punto de aplicación de políticas. Es responsable de aplicar el resultado de autorización recibido del servidor de autenticación (por ejemplo, Cisco ISE). Un NAD es típicamente un dispositivo de capa de acceso, pero puede ser cualquier dispositivo que envíe solicitudes de autenticación RADIUS a Cisco ISE. Tipos comunes de NADs incluyen switches Ethernet cableados, controladores LAN inalámbricos (WLC), Cisco ASA, dispositivos Cisco Firepower, balanceadores de carga y aplicaciones de software que usan ISE para AAA. Los NADs aplican la política al usuario final. Ejemplos de tipos de aplicación comunes son la asignación de VLAN Dinámicas (dVLAN), listas de control de acceso descargables (dACL), etiquetas de grupo de seguridad (SGT), nombre de ACL de Airespace y redirección de URL. Los NADs son cruciales en cualquier diseño de acceso a red seguro y realizan funciones que antes requerían dispositivos de superposición (overlay appliances).

Opciones de Solicitante: El solicitante es el software en el endpoint que sabe comunicarse con EAP en la LAN. Debe configurarse para usar credenciales (almacenadas o nombre de usuario/contraseña).

• Solicitante Nativo de Windows: El más común en redes cableadas, integrado en Windows. Su principal ventaja es el control centralizado a través de políticas de grupo de Active Directory. Requiere que el servicio Wired AutoConfig esté configurado en "Automatic" (su estado por defecto es Manual). El servicio WLAN AutoConfig para inalámbrico está configurado en Automatic por defecto. La configuración incluye:

  • Habilitar la autenticación IEEE 802.1X.
  • Permitir al solicitante almacenar credenciales.
  • Retorno a acceso de red no autorizado: permite la conexión si el dispositivo de red no es un autenticador.
  • Configuración de PEAP (en "Protected EAP Properties"): Validar Certificado del Servidor (requiere que el solicitante confíe en el certificado del servidor RADIUS), especificar servidores específicos permitidos, seleccionar Autoridades de Certificación Raíz confiables, controlar si se solicita a los usuarios autorizar nuevos servidores/CAs. Permite seleccionar el método interno para PEAP: Secured Password (EAP-MSCHAPv2) o Smart Card or Other Certificate (EAP-TLS). La configuración de EAP-MSCHAPv2 interno incluye la opción de habilitar inicio de sesión único. La configuración de EAP-TLS interno permite usar una tarjeta inteligente o certificado local, con opciones para filtrar certificados ("simple certificate selection") y validar certificados de servidor, especificar servidores, etc.. La opción Enable Identity Privacy permite configurar la identidad externa; si no está marcada, la identidad externa se establece en Anonymous.
  • Configuración Adicional (en "Additional Settings"): Specify Authentication Mode (Usuario o Equipo, Equipo, Usuario, Invitado). Opciones de Single Sign-On Timing: Perform Immediately Before User Logon (la autenticación 802.1X ocurre antes de que el usuario vea el escritorio) y Perform Immediately After User Logon (permite al usuario interactuar inmediatamente, puede incluir prompts para credenciales). Maximum Delay establece un tiempo límite para la autenticación. Opción This Network Uses Separate Virtual LANs for Machine and User Authentication fuerza un IP release/renew y un nuevo intento de obtener dirección IP cuando el usuario inicia sesión.

• Autenticación de Usuario (User Authentication): La autenticación 802.1X más común. Proporciona las credenciales del usuario al servidor de autenticación para control de acceso basado en roles. Puede usar nombre de usuario/contraseña, certificado de usuario o tarjeta inteligente. Las máquinas Windows tienen un almacén de certificados separado para certificados de usuario.

• Autenticación de Máquina (Machine Authentication / Computer Authentication): Diseñada para permitir que los equipos administrados por Active Directory (AD) se autentiquen en la red incluso cuando no hay un usuario interactivo conectado. Esto es vital para la comunicación entre los equipos administrados por AD (actualizaciones de políticas, tareas de gestión). Microsoft creó múltiples estados para su solicitante: estado de máquina y estado de usuario. Cuando no hay usuario conectado, la máquina inicia sesión en la red con sus propias credenciales. Tan pronto como un usuario inicia sesión, el solicitante envía un nuevo EAPoL-Start, disparando una nueva autenticación con las credenciales del usuario. La autenticación de máquina puede usar el nombre de equipo y la contraseña negociada con AD (PEAP-MS-CHAPv2) o un certificado de máquina (EAP-TLS o PEAP-EAP-TLS). Los equipos Windows mantienen su propio almacén de certificados del sistema separado de los almacenes de usuario. Microsoft y Cisco colaboraron para actualizar el solicitante de Windows 10 e ISE v2.7 con soporte nativo para TEAP, específicamente para casos de uso de encadenamiento EAP.

• Solicitante Cisco AnyConnect NAM: Es un módulo del Cisco AnyConnect Secure Mobility Client. Otros módulos incluyen DART (Diagnostics and Reporting Tool). Históricamente, se basó en un solicitante OEM de Meeting House, empaquetado anteriormente como Cisco Secure Services Client (CSSC). Desde AnyConnect 3.1, el solicitante CSSC se integró como AnyConnect Network Access Manager (NAM). La configuración de NAM se realiza a través de un editor de perfiles standalone o en un Cisco ASA. El editor de perfiles tiene vistas para:

  • Client Policy: Opciones de conexión, medios (cableado/inalámbrico), control de usuario final, configuración administrativa. Incluye configuraciones similares al inicio de sesión único de Windows.
  • Authentication Policy: Especifica métodos permitidos para transmitir credenciales. Permite controlar a qué tipos de redes se puede conectar (por ejemplo, evitar redes inalámbricas abiertas). Permite denegar tipos de cifrado débiles (como WPA/TKIP) y forzar WPA2/AES. Puede controlar la conectividad cableada (por ejemplo, exigir 802.1X o MACsec).
  • Networks: Define las redes corporativas y la seguridad a utilizar. Al añadir una nueva red, un asistente guía la configuración. Para redes autenticadas (Authenticating Network), se pueden ajustar temporizadores 802.1X, habilitar cifrado MACsec (AES-GCM 128-bit) entre el solicitante y el switch, y configurar la Política de Excepción de Autenticación de Puerto (Port Authentication Exception Policy) para controlar el envío de datos antes o después de la autenticación/MACsec. Permite seleccionar Machine and User Connection, lo que añade pestañas de configuración separadas para la autenticación de máquina y usuario.
  • Configuración de Autenticación de Máquina/Usuario en Networks view: Permite seleccionar el método EAP entonelado (por ejemplo, EAP-FAST) y el método interno (EAP-MS-CHAPv2, EAP-GTC, EAP-TLS). Pestañas para Certificados (definir qué certificados de servidor confiar para el túnel TLS, incluyendo reglas de filtrado flexibles). Pestaña PAC Files (específica de EAP-FAST, usar PACs en lugar de o además de certificados para el túnel seguro). Pestaña Credentials (opciones para identidades interna y externa). Para la autenticación de máquina, la identidad externa comienza con host/ y es anonymous por defecto; la identidad interna es el nombre de cuenta de máquina de AD. Para la autenticación de usuario, permite usar credenciales de inicio de sesión único, solicitar al usuario o usar credenciales estáticas. Para la autenticación de usuario, hay una opción para extender la conexión de usuario más allá del cierre de sesión.
  • Network Groups: Permite organizar perfiles de red en grupos lógicos para facilitar la gestión.

La implementación de perfiles NAM requiere guardarlos como configuration.xml en una ruta específica (%SystemDrive%\ProgramData\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\newConfigFiles) y distribuirlos utilizando mecanismos de despliegue de software existentes (Política de Grupo de AD, SCCM, IBM Big Fix) o publicándolos en un Cisco ASA para que se actualicen por VPN. La experiencia del usuario final es a través de una GUI simplificada.

Encadenamiento EAP (EAP Chaining): Permite autenticar la máquina y el usuario de forma conjunta. Anteriormente, las autenticaciones de máquina y usuario eran sesiones EAP separadas. Cisco mejoró EAP-FAST a EAP-FASTv2 para diferenciar PACs de usuario y máquina. Tras una autenticación de máquina exitosa, ISE emite un PAC de máquina. Durante la autenticación de usuario, ISE solicita el PAC de máquina para probar que la máquina también fue autenticada. Esto fue la primera vez que se autenticaron múltiples credenciales dentro de una única transacción EAP. El IETF creó TEAP (un estándar abierto basado en EAP-FASTv2) que soporta encadenamiento EAP. Al momento de imprimir el libro, Windows 10 era el único solicitante en el mundo en soportar TEAP y encadenamiento EAP. Cisco AnyConnect NAM soporta encadenamiento EAP pero con EAP-FASTv2, no con TEAP (aún no se había actualizado para soportar TEAP nativo de Windows).

Preguntas del tema:

1. ¿Qué dos tipos de EAP soportan la capacidad de encadenar la autenticación de máquina y la autenticación de usuario?

   • Los dos tipos de EAP que soportan la capacidad de encadenar la autenticación de máquina y usuario son EAP-FASTv2 y EAP-TEAP.
   • El concepto de EAP chaining implica autenticar múltiples credenciales (como las de la máquina y el usuario) dentro de una sola transacción EAP.
   • El supplicant Windows 10 soporta TEAP con EAP chaining.
   • El supplicant Cisco AnyConnect NAM soporta EAP-FASTv2 para EAP chaining.

2. ¿Qué software en un endpoint se utiliza para autenticarse en una red mediante EAP?

   • El software en un endpoint (también llamado peer por el IETF) que se utiliza para autenticarse en una red mediante EAP es el supplicant.
   • Este software se comunica con EAP en la Capa 2.
   • El supplicant responde al authenticator y proporciona las credenciales de identidad con la comunicación EAP.

3. ¿Qué módulo de AnyConnect se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host?

   • El módulo de Cisco AnyConnect Secure Mobility Client que se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host es el AnyConnect Diagnostics and Reporting Tool (DART).
   • Este es uno de los módulos clave de interés con Cisco ISE y el examen SISE 300-715.

4. ¿Qué sistema operativo puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario?

   • El sistema operativo que puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario es Microsoft Windows.
   • Las estaciones de trabajo Windows tienen múltiples estados de supplicant, incluyendo un estado de máquina (machine state).
   • Cuando no hay un usuario interactivo logueado, la máquina puede autenticarse en la red con sus propias credenciales (como nombre y contraseña de la máquina o un certificado de máquina).
   • Esto fue diseñado para resolver el problema de comunicación con las computadoras administradas por Active Directory cuando no había un usuario logueado y prevenir un escenario de denegación de servicio (DoS).

5. ¿Qué supplicant es capaz de evitar que una computadora administrada se una a redes abiertas (es decir, redes inalámbricas sin seguridad)?

   • El supplicant capaz de evitar que una computadora administrada se una a redes abiertas (redes inalámbricas sin seguridad) es el Cisco AnyConnect Network Access Manager (NAM).
   • La vista de Política de Autenticación (Authentication Policy view) de AnyConnect NAM permite especificar qué métodos son permisibles para transmitir credenciales a la red y controlar los tipos de redes a las que el usuario final tiene permiso para conectarse.
   • Por ejemplo, se puede crear una política para prevenir que las laptops administradas se conecten a redes inalámbricas abiertas, como hotspots públicos, para evitar comunicaciones no cifradas.