ISE - 07 - ISE Graphical User Interface

 

Este capítulo proporciona un recorrido guiado por la interfaz gráfica de usuario (GUI) de Cisco Identity Services Engine (ISE), cubriendo cómo iniciar sesión, la organización de la GUI y los tipos de políticas. El portal administrativo de ISE es una interfaz web utilizada para la administración.

Inicio de Sesión en ISE

• Para iniciar sesión, necesitas abrir un navegador web compatible. A partir de ISE versión 2.4, Flash ha sido completamente eliminado y se utiliza HTML5. La versión 2.6 admite navegadores específicos como Mozilla Firefox (v69 e inferiores, ESR 60.9 e inferiores), Google Chrome (v77 e inferiores) y Microsoft Edge Beta (v77 e inferiores), así como Internet Explorer (v10.x y 11.x).
• La resolución de pantalla mínima requerida para todos los navegadores es 1280 × 800 píxeles.
• Para mantener el más alto nivel de seguridad, la GUI de Cisco ISE utiliza HTTPS para el acceso administrativo. La URL para acceder es https://<ISE_FQDN>, o la dirección IP si no está en el DNS.
• Al acceder por primera vez, puedes recibir una alerta de seguridad porque el certificado X.509 predeterminado utilizado para identificar el portal administrativo HTTPS es un certificado autofirmado. Puedes aceptar permanentemente este certificado o cargar uno nuevo emitido por una CA de confianza. El uso de certificados X.509 se discute más en el Capítulo 8.
• La pantalla de inicio de sesión autentica a un usuario administrativo válido. El nombre de usuario y la contraseña, y por lo tanto el rol administrativo resultante, determinan el nivel de acceso.
• El usuario administrativo inicial (configurado durante el arranque) es admin y tiene el rol de "super admin". Este rol tiene permisos completos de creación, lectura, actualización, eliminación y ejecución (CRUDX) en todos los recursos de ISE.
• Se pueden crear usuarios administrativos adicionales después del inicio de sesión inicial, asignando a cada uno un rol administrativo específico. Los roles administrativos predefinido y controlan el nivel de acceso, los permisos y las restricciones. Algunos ejemplos de roles son Customization admin, Helpdesk admin, Identity admin, MnT admin, Network device admin, Policy admin, RBAC admin, Read-only admin, Super admin, System admin, Elevated system admin (v2.6 patch 2+), External RESTful Services (ERS) admin/operator, y TACACS+ admin.
• Para acceder a los roles administrativos, navega a Administration > System > Admin Access > Administrators > Admin Groups. Para añadir un usuario administrativo, ve a Administration > System > Admin Access > Administrators > Admin Users.

Organización de la GUI de ISE

La GUI de Cisco ISE está organizada en cinco componentes funcionales principales, además de la pantalla de inicio (Home):

ISE Home Dashboards: La primera pantalla al iniciar sesión, proporciona una vista general en tiempo real de la implementación de ISE, incluyendo el estado de los endpoints y la salud general. Solo se puede ver desde el nodo principal de Policy Administration Node (PAN).

• Tiene cinco pestañas predeterminadas: Summary (resumen de endpoints y salud), Endpoints (estado de endpoints y dispositivos de red), Guests (información de usuarios invitados), Vulnerability (información de vulnerabilidades vía adaptador Threat Centric NAC) y Threat (información de amenazas vía adaptador Threat Centric NAC).
• Se pueden crear dashboards personalizados (hasta 15 adicionales) y añadir "dashlets" (componentes visuales) a ellos. Las opciones de configuración permiten añadir, exportar (PDF, CSV), cambiar el diseño y gestionar dashboards (marcar como predeterminado, restablecer).
• Los dashlets en la pestaña Summary incluyen Metrics, Authentications, Network Devices, Endpoints (si el profiling está habilitado), BYOD Endpoints y Alarms (se refresca automáticamente cada 30 segundos), y System Summary (se refresca cada 60 segundos).
• La pestaña Endpoints muestra dashlets como Status (estado de conexión), Endpoints (profiling) y Endpoint Categories (profiling), y Network Devices (endpoints autenticados por dispositivo).
• La pestaña Guests muestra dashlets como Guest Status, Guest Type, Failure Reason y Location.
• La pestaña Vulnerability muestra dashlets como Total Vulnerable Endpoints (por puntaje CVSS), Top Vulnerability (por número de endpoints o severidad), Vulnerability Watchlist y Vulnerable Endpoints Over Time.
• La pestaña Threat muestra dashlets como Total Compromised Endpoints, Top Threats, Threat Watchlist y Compromised Endpoints Over Time.

Administration Portal: Proporciona acceso a herramientas de configuración y reporte. Incluye elementos interactivos en la parte superior, como pestañas y un menú superior derecho.

• Las pestañas principales son Context Visibility, Policy y Administration.

• El menú superior derecho incluye:
  • Search icon: Permite realizar una búsqueda global de endpoints. Se requieren al menos tres caracteres para la búsqueda. Los resultados proporcionan información general y detallada para troubleshooting. Los criterios de búsqueda incluyen Username, User type, MAC address, IP address, Authorization profile, Endpoint profile, Failure reason, Identity group, Identity store, Network device name, Network device type, Operating system, Posture status, Location, y Security group.
  • Help icon: Proporciona acceso a recursos útiles como ayuda a nivel de página, la comunidad ISE, documentación oficial, descargas de software, canal de YouTube, socios del ecosistema y una herramienta para construir portales personalizados (Portal Builder). También permite hacer preguntas a expertos.
  • PassiveID Setup: Inicia un wizard para configurar identidades pasivas usando Active Directory, recogiendo identidades de usuario y IPs de servidores externos.
  • Visibility Setup: Un servicio PoV que recoge datos de endpoint (aplicaciones, inventario hardware, estado USB/firewall, compliance) de endpoints Windows usando un agente temporal (Cisco Stealth temporal agent). Permite especificar rangos IP para descubrimiento. Incluye opciones de logging para debugging del agente.
  • Wireless Setup (BETA): Una opción fácil para configurar flujos inalámbricos (802.1X, guest, BYOD) y personalizar portales.
  • System activities: Permite acceder a la ayuda online y configurar ajustes de cuenta.
  • ISE Setup Wizards: Un menú desplegable con wizards para configurar rápidamente funciones como profiling, posturing básico y acceso inalámbrico (guest/corporativo).
  • Settings Menu: Proporciona información sobre ajustes del sistema de alto nivel y ayuda.

1. Context Visibility: Permite ver información granular sobre endpoints, usuarios, dispositivos de red y aplicaciones a través de dashboards preconstruidos. La información se segmenta por características, aplicaciones, BYOD, etc.. Utiliza una base de datos central para actualizaciones rápidas. Se puede filtrar la información para personalizar las vistas y exportar datos. Incluye cuatro pestañas principales: Endpoints (filtrar por tipo, compliance, auth, inventario, asignar política/grupo), Users (filtrar por identidad, fuente, tipo), Network Devices (listar dispositivos, endpoints conectados, filtrar por dispositivo), Application (aplicaciones descubiertas y dispositivos con ellas).

2. Operations: Permite a los administradores monitorizar, reportar y solucionar problemas activamente con sesiones de autenticación y autorización en curso, dispositivos de red y políticas configuradas. Incluye seis pestañas principales:

   • RADIUS: Contiene Live Logs (información en tiempo real sobre autenticaciones RADIUS recientes, primera parada para troubleshooting de auth, permite ver detalles de sesión) y Live Sessions (muestra el estado de sesiones activas, play-by-play de la sesión, permite forzar terminación o reautenticación - CoA Action).
   • Threat-Centric NAC Live Logs: Lista eventos de amenaza y vulnerabilidad de adaptadores externos.
   • TACACS Live Log: Información en tiempo real sobre autenticaciones TACACS, similar a RADIUS Live Logs.
   • Troubleshoot: Proporciona herramientas para administradores de red. Incluye herramientas como RADIUS Authentication Troubleshooting, Execute Network Device Command, Evaluate Configuration Validator, Posture Troubleshooting, Endpoint Debug, TCP Dump, Session Trace Tests y herramientas TrustSec. También permite descargar logs (Support bundle, Debug logs) para soporte técnico.
   • Adaptive Network Control (ANC): Herramienta útil para cambiar el acceso de red de un endpoint (cuarentena, sin cuarentena, apagado). "Cuarentena" es una etiqueta interna; la acción real depende de la política de seguridad correspondiente. Puede bloquear el acceso a la red basándose en la dirección MAC (más efectivo) o IP. Las pestañas son Policy List (crear políticas/etiquetas ANC: Quarantine, Shut_Down, Port_Bounce) y Endpoint Assignment (ver/añadir/eliminar endpoints de una política ANC). Una política ANC no hace nada sin una política de autorización correspondiente.
   • Reports: Permite generar reportes para funciones y sesiones de ISE. Las categorías incluyen Audit, Device Administration, Diagnostics, Endpoints and Users, Guest, Threat Centric NAC y TrustSec.

3. Policy: Se utiliza para configurar la política de seguridad, incluyendo sets de políticas, profiling, posture, client provisioning, y policy elements (elementos de política). Procesa las credenciales de un dispositivo de red y devuelve la política de seguridad resultante.

   • Policy Sets: Configura la política de autenticación y autorización para el control de acceso a la red. Permite agrupar lógicamente políticas de autenticación y autorización. Se pueden gestionar diferentes casos de uso (inalámbrico, cableado, invitado) en conjuntos de políticas separados. La evaluación es jerárquica, de arriba hacia abajo, con el primer resultado coincidente. Las subsecciones incluyen Authentication Policy, Authorization Policy—Local Exceptions, Authorization Policy—Global Exceptions, y Authorization Policy.
   • Profiling: La capacidad de determinar el tipo de dispositivo que accede a la red. Se logra monitorizando protocolos (DHCP, HTTP, RADIUS por proxy, etc.). Se pueden crear perfiles personalizados o ver los existentes.
   • Posture: Mecanismo mediante el cual un suplicante o agente en un endpoint proporciona información detallada sobre su configuración de software y hardware (OS, antivirus, parches) a ISE. Basado en la evaluación, un endpoint con posture no conforme o desconocido puede ser puesto en cuarentena con acceso reducido para remediación.
   • Client Provisioning: Proceso por el cual se implementan credenciales y configuraciones necesarias en un endpoint (onboarding) para que se una a la red más fácilmente (certificados X.509, perfiles inalámbricos, cliente posture). La política de client provisioning es un árbol de decisión basado en criterios como el OS del endpoint.
   • Policy Elements: Componentes básicos reutilizables que simplifican la configuración de políticas. Ayudan a definir las partes IF-THEN de una política. Incluye tres pestañas: Dictionaries (elementos/atributos con pares atributo/valor), Conditions (sentencias IF, "pruebas" que resultan en TRUE/FALSE) y Results (sentencias THEN, acciones que se ejecutan si las condiciones son TRUE).
   • TrustSec: Una política de seguridad en la que se asigna un Security Group Tag (SGT) a un endpoint después de la autenticación. El SGT determina el nivel de acceso en la red. La política determina el SGT basándose en el usuario, tipo de endpoint, método de acceso, etc..

4. Work Centers: Agrupan lógicamente todas las páginas relacionadas con la configuración, monitorización y reporte de casos de uso comunes de ISE. Proporcionan todo lo necesario para configurar, monitorizar y solucionar problemas en estos casos de uso. Hay ocho Work Centers: Network Access, Guest Access, TrustSec, BYOD, Profiler, Posture, Device Administration y PassiveID.

Tipos de Políticas en ISE

ISE gestiona varios tipos de políticas para endpoints cableados, inalámbricos y de acceso remoto. Muchas de estas políticas utilizan la estructura IF-THEN. Los tipos de políticas son:

• Authentication: Para identificar un endpoint o usuario al conectarse a la red.
• Authorization: Para determinar qué acceso tendrá un endpoint o usuario después de ser autenticado.
• Profiling: Para determinar el tipo de dispositivo que accede a la red.
• Posture: Para evaluar la configuración de seguridad del endpoint (OS, software de seguridad, parches).
• Client Provisioning: Para desplegar credenciales y configuraciones necesarias en un endpoint (onboarding).
• TrustSec: Para asignar un Security Group Tag (SGT) a un endpoint y aplicar políticas de acceso basadas en este tag.

Q&A

Aquí están las respuestas a las preguntas de Q&A:

1. Nombra algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE. Algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE son: Nombre de usuario (Username), Tipo de usuario (User type), Dirección MAC (MAC address), Dirección IP (IP address), Perfil de autorización (Authorization profile), Perfil de endpoint (Endpoint profile), Motivo de fallo (Failure reason), Grupo de identidad (Identity group), Almacén de identidad (Identity store), Nombre del dispositivo de red (Network device name), Tipo de dispositivo de red (Network device type), Sistema operativo (Operating system), Estado de posture (Posture status), Ubicación (Location) y Grupo de seguridad (Security group).
2. ¿Qué es importante sobre los dashboards de Context Visibility? Los dashboards de Context Visibility muestran información sobre endpoints, usuarios y NADs. La información puede segmentarse por características, aplicaciones, BYOD y otras categorías. Lo importante es que utilizan una base de datos central y recopilan información de tablas, cachés y buffers, lo que hace que las actualizaciones sean muy rápidas. Permiten filtrar datos modificando los atributos de columna en la lista, y los dashlets se actualizan para mostrar el contenido modificado. Proporcionan información granular sobre los endpoints en ISE.
3. ¿Cómo ayuda RADIUS Live Log en la solución de problemas? RADIUS Live Log muestra información en tiempo real sobre las autenticaciones RADIUS recientes. Es la primera parada para un administrador al probar nuevas políticas o solucionar problemas de autenticación, para verificar si un endpoint se autenticó correctamente. Permite ver detalles adicionales para la solución de problemas sobre autenticaciones exitosas o rechazadas. Al hacer clic en los detalles, se accede a una gran cantidad de información sobre la sesión de autenticación, incluyendo detalles del intercambio RADIUS, el endpoint, el NAD y el almacén de identidad. Al revisar estos detalles y conocer el resultado esperado de la política, se puede determinar la razón por la que se eligió una política (correcta o incorrectamente).
4. ¿Cuáles son los tres elementos principales de una política? Los elementos de política son los componentes básicos reutilizables que se utilizan para construir políticas en ISE. Los tres elementos principales, que se encuentran bajo la pestaña Policy Elements, son: Dictionaries (proporcionan una lista de elementos definidos por el sistema y el usuario y sus atributos disponibles), Conditions (definen las partes IF de las políticas, sentencias condicionales que pueden ser VERDADERAS o FALSAS) y Results (definen las partes THEN de las políticas, acciones que se ejecutan si las condiciones son VERDADERAS). Las políticas en ISE a menudo se basan en una estructura programática IF-THEN.
5. ¿Cuáles son los diferentes tipos de políticas en ISE? Los diferentes tipos de políticas en ISE son: Authentication (identificar un endpoint o usuario), Authorization (determinar el acceso después de la autenticación), Profiling (determinar el tipo de dispositivo), Posture (evaluar la configuración de seguridad del endpoint), Client Provisioning (desplegar credenciales y configuraciones para el onboarding) y TrustSec (asignar un Security Group Tag y aplicar políticas basadas en él).