lunes, 12 de mayo de 2025

ISE - 08 - Configuración Inicial

 

Configuración Inicial de Cisco ISE

La configuración inicial de Cisco Identity Services Engine (ISE) es un proceso crucial para que funcione correctamente en tu entorno de red. Aunque la instalación en sí está fuera del alcance del examen SISE 300-715 y de este capítulo, sí se cubren los pasos críticos de configuración que determinan el éxito del despliegue.


Requisitos de Configuración Inicial:

Además de la configuración de red básica (como una dirección IP válida), ISE requiere:

  • Configuración de resolución de nombres (DNS).
  • Configuración de sincronización horaria (NTP). La sincronización horaria es crítica y el motivo número uno de fallos al unirse a un dominio de Active Directory.
  • Un nombre de dominio completamente calificado (FQDN) válido y resoluble para que cualquier dispositivo de red pueda resolver su dirección.
  • Un certificado instalado, firmado por una autoridad de certificación (CA) interna o pública.
  • Las direcciones IP y las claves secretas compartidas RADIUS de todos los dispositivos de red (NADs) que lo utilizarán.
  • Unirse a una infraestructura de Active Directory para usarla como fuente de identidad.

Factores de Forma de Cisco ISE:

ISE puede instalarse en dos factores de forma:

  • Dispositivo físico: Conocido como Cisco Secure Network Server (SNS). Las series soportadas eran SNS-3500 y SNS-3600. El SNS viene preinstalado con ISE.
  • Dispositivo virtual: Es diferente de una máquina virtual tradicional. Debe configurarse para ser una réplica exacta del dispositivo físico. Esto implica que los recursos de hardware no deben sobrecargarse, y se deben configurar reservas de memoria y CPU con valores iguales a los de los dispositivos físicos SNS. La misconfiguración de las reservas de recursos o el almacenamiento lento puede causar problemas como corrupción de base de datos.

Proceso de Bootstrapping (Configuración Inicial CLI):

Para dispositivos virtuales o instalaciones desde DVD/ISO, se comienza con un menú de opciones de instalación. Los dispositivos SNS llegan a la pantalla de configuración directamente. El sistema operativo subyacente es una versión personalizada de Linux llamada ADE-OS. Después de la instalación, el dispositivo arranca en el prompt de configuración CLI. Se utiliza el comando setup para lanzar el asistente CLI e introducir la información inicial. Después de validar la configuración, se instala la aplicación ISE, un proceso que lleva tiempo. Una vez instalado, el dispositivo se reinicia. Es importante verificar que la aplicación ISE se ha iniciado correctamente antes de intentar conectar a la GUI. El comando show application status ise lista los procesos de ISE y su estado. Cuando el servicio de aplicación está running, ISE está listo.

Uso de Certificados con Cisco ISE:

Los certificados X.509 son fundamentales para establecer comunicaciones seguras. Se utilizan para:

  • Probar la identidad de un sitio web o servidor (como ISE).
  • Servir como la base para la encriptación entre el cliente y el servidor.

Numerosos portales en ISE (Admin, web authentication, etc.) usan HTTPS y requieren un certificado para asegurar la comunicación. Con EAP sobre LAN (802.1X), los certificados se usan para formar un túnel TLS entre el endpoint y el servidor RADIUS (ISE), dentro del cual ocurre la autenticación EAP. El certificado identifica al servidor RADIUS (ISE) al cliente y forma la base del transporte encriptado.

Tipos de Certificados:

  • Certificados Auto-firmados: Generados por ISE durante la instalación inicial. No están firmados por una CA confiable, por lo que los clientes (navegadores, supplicants) no confían en ellos por defecto y muestran advertencias. Si se usan en producción, cada nodo ISE debe confiar en el certificado de los otros nodos. Se recomienda usar certificados firmados por una CA confiable (interna o pública) para despliegues de producción.
  • Certificados Firmados por CA: Se implementan generando una solicitud de firma de certificado (CSR) en ISE. La CSR contiene la clave pública y otra información. Se envía la CSR a la CA, que firma la clave pública y devuelve el certificado firmado. La gestión de certificados se realiza en la GUI de ISE bajo Administration > System > Certificates.

Solicitud de Firma de Certificado (CSR):

Se genera la CSR en la GUI. Los campos personalizables incluyen:

  • Common Name (CN): El único campo obligatorio. Debe ser un FQDN resoluble del nodo ISE. La capitalización importa.
  • Organization (O), Organizational Unit (OU), Locality (L), State (ST), Country (C).

El campo Subject Alternative Name (SAN) permite que un certificado represente múltiples nombres o IPs. Puede incluir DNS Name (FQDN, * para wildcard), IP Address, URN, Directory Name. Un cliente compara el nombre de host con el CN o SAN del certificado. Si no coinciden, hay un error de nombre de certificado. La especificación RFC 6125 recomienda que el FQDN del CN también aparezca como un DNSName en el SAN. Un certificado puede tener múltiples SANs.

Certificados Wildcard:

Utilizan un asterisco () en el CN antes del nombre de dominio (.dominio.com). Permiten que un certificado sea compartido y usado por múltiples hosts dentro de un mismo dominio. Por ejemplo, *.woland.com podría usarse para aaa.woland.com, psn.woland.com, etc.. Aunque resuelven el problema de diferentes hostnames, el nombre de dominio debe ser el mismo. Una desventaja clave es que los supplicants de Microsoft no confían en certificados wildcard para comunicaciones EAP. Usar un wildcard como DNSName en el SAN ofrece una solución "lo mejor de ambos mundos".

Proceso de Obtención e Importación de Certificados Firmados:

  1. Generar CSR en la GUI.
  2. Exportar la CSR como un archivo PEM (texto codificado en Base64).
  3. Enviar el contenido del archivo PEM a la CA (usualmente a través de una interfaz web).
  4. Descargar el certificado firmado de la CA en formato Base64/PEM. No descargar la cadena de certificados; se recomienda importar los certificados por separado.
  5. Descargar el certificado público de la CA.
  6. Importar el certificado de la CA en el almacén de Certificados Confiables de ISE (Administration > System > Certificates > Trusted Certificates). Seleccionar las funciones de confianza (ej: Trust for Client Authentication).
  7. Vincular el certificado de identidad firmado al CSR generado previamente en ISE.
  8. Seleccionar las opciones de uso para el certificado:
    • Admin: Para el portal de administración de ISE. Requiere reiniciar servicios para aplicarse.
    • EAP Authentication: Para protocolos EAP que usan túneles SSL/TLS.
    • RADIUS DTLS: Para asegurar la comunicación RADIUS entre ISE y el NAD.
    • pxGrid: Para establecer confianza y conexión segura con clientes pxGrid de terceros. Requiere que el certificado tenga la Extensión de Uso de Clave (EKU) para autenticación de servidor y cliente.
    • Portal: Para los portales de usuario de ISE.
  9. Exportar el par de claves público/privado del certificado firmado y guardarlo en un lugar seguro. Esto es importante para usar el mismo certificado en nodos adicionales o para copias de seguridad.

Dispositivos de Red (NADs):

Los NADs (switches, WLCs, VPNs) son los puntos de aplicación de políticas. La capacidad del NAD influye en la flexibilidad de las políticas de ISE. Para añadir un NAD a ISE, se navega a Administration > Network Resources > Network Devices. Se configura su dirección IP, la clave secreta compartida RADIUS (que debe coincidir exactamente) y opcionalmente cadenas SNMP para datos de profiling. La dirección IP identifica al NAD. Se puede asociar una subred completa, pero dificulta la resolución de problemas. También se seleccionan los grupos de dispositivos de red (NDGs) al añadir un NAD.

Grupos de Dispositivos de Red (NDGs):

Son agrupaciones lógicas de NADs. Son herramientas poderosas para crear políticas basadas en el tipo de dispositivo, ubicación u otra agrupación lógica. ISE incluye tres grupos de nivel superior por defecto: All Device Types, All Locations, y Is IPSEC Device. Se pueden crear grupos adicionales. Un NAD puede asignarse a un NDG de cada tipo.

Almacenes de Identidad de ISE:

ISE utiliza almacenes de identidad para obtener información sobre usuarios y endpoints.

  • Usuarios y Grupos Locales: Creados y almacenados directamente en ISE. Los usuarios locales pueden usarse para inicios de sesión de red, cuentas de patrocinadores para invitados, o cuentas de prueba. Aunque es posible usarlos para todo un despliegue, no es común; usualmente se usan para fines administrativos o pequeños POCs. Los grupos locales pueden definir niveles de acceso o atributos. Hay grupos preconstruidos. Los grupos de usuarios no pueden anidarse.
  • Grupos de Endpoints Locales: Usados para la gestión de direcciones MAC. Un endpoint solo puede existir en un grupo de identidad de endpoint, pero los grupos sí pueden anidarse. Antes de ISE 1.2, se requerían grupos para cada perfil; ahora se usan para la gestión de MACs. Hay grupos preconfigurados.
  • Almacenes de Identidad Externos: Comunes en grandes empresas para tener una "fuente única de verdad".
    • Active Directory (AD): El almacén externo más común. ISE se une al dominio AD, crea una cuenta de máquina y usa comunicación nativa para consultar usuarios y atributos. ISE 2.4 soporta hasta 50 uniones de dominio y consulta otros dominios con relaciones de confianza. Se requieren permisos específicos para la cuenta utilizada para unirse a AD. Se pueden preseleccionar grupos y atributos de AD para simplificar la creación de políticas. Las herramientas "Test User" y "Diagnostic Tool" ayudan a resolver problemas de comunicación con AD. AD puede usarse para autenticación y/o autorización; a menudo se usa solo para autorización.

Perfil de Autenticación de Certificado (CAP):

Es la fuente de identidad para autenticaciones basadas en certificados digitales. El CAP define qué valor del certificado (ej: el Common Name del sujeto) se usará como la identidad principal para la fase de autorización. También puede configurarse para realizar una comparación binaria del certificado contra una copia almacenada en un servidor LDAP o Active Directory.

Secuencias de Fuentes de Identidad (ISS):

Permiten comprobar una serie de fuentes de identidad (configuradas en orden) con una sola regla de autenticación, aportando flexibilidad. Se configuran en la GUI. ISE 2.4 tiene cinco ISS preexistentes. Una ISS puede incluir un CAP para autenticaciones basadas en certificados. Se puede configurar la acción a tomar si una fuente de identidad no está accesible: terminar la búsqueda con un error de proceso o continuar con la siguiente fuente.

Q&A (Preguntas y Respuestas)

  1. When initially setting up ISE at the command line, what key fields are required to finish installing ISE? Aunque la fuente no lista explícitamente todos los campos "requeridos", el proceso CLI setup wizard (setup command) pide la información de bootstrapping que incluye DNS, NTP, FQDN válido y resoluble, y durante la instalación/configuración básica se configura la cuenta de administrador inicial.
  2. What are some of the attributes that a SAN field can include? Un campo SAN puede incluir DNS Name (FQDN, wildcard *), IP Address, Uniform Resource Name (URN), y Directory Name.
  3. What are the advantages and disadvantages of using a wildcard certificate? Una ventaja es que permite que un único certificado asegure múltiples hosts dentro del mismo dominio, simplificando la gestión. Una desventaja significativa es que los supplicants de Microsoft no confían en certificados wildcard para comunicaciones EAP.
  4. What is the primary use case for network device groups? El uso principal de los grupos de dispositivos de red (NDGs) es como condición para construir diferentes conjuntos de políticas o para crear políticas basadas en el tipo de dispositivo, ubicación, o cualquier otra agrupación lógica.
  5. If an attempt to join an Active Directory domain fails initially, what are the three things to check first when troubleshooting? La fuente menciona que la sincronización horaria es el motivo número uno de fallos. Otros puntos a verificar serían los permisos de la cuenta AD utilizada para la unión y asegurarse de que los puertos de comunicación necesarios entre ISE y los controladores de dominio estén abiertos. Las herramientas "Test User" y "Diagnostic Tool" también son útiles para la resolución de problemas de comunicación con AD.

"Do I Know This Already?" Quiz

Aquí están las respuestas a las preguntas del cuestionario, basadas directamente en el texto fuente.

  1. Which rights and permissions are required for the account used to join Cisco ISE to the Active Directory domain? c. Search Active Directory, Add Workstation to Domain, Set Attributes on the New Machine Account. (Nota: La opción "Set Attributes" es opcional, pero esta opción es la que más se acerca a la lista completa de permisos necesarios o recomendados).
  2. What CLI command lists all the ISE processes and the status of each one? b. show application status ise.
  3. What two functions does a certificate fulfill when used with HTTPS and EAP over LAN? c. It authenticates the server to the client and is used as the basis for the encrypted transport between the client and server. (Nota: Aunque la opción c dice "client and server", la fuente especifica "client and website" para HTTPS y "client and a RADIUS server" para EAP, que es ISE). La opción b menciona "NAD" en lugar de "server", lo cual es incorrect en el contexto de la comunicación del certificado.
  4. Which of the following are form factors on which ISE appliances can be installed? (Choose two.) b. Virtual machine (aunque el texto enfatiza que es un virtual appliance diferente de una VM tradicional, la opción la lista así) c. Physical appliance
  5. In the ISE command-line interface, what command can be entered to show the running application processes? b. show application status ise. (Esta pregunta es idéntica a la 2).
  6. What is a valid use of a network device group? a. As the condition by which to build different policy sets for the staged deployment of ISE (o cualquier otro despliegue).
  7. Which certificate usage would you select if you wished to use the certificate for the Admin portal? b. Admin.
  8. Which of the following top-level network device groups are created by default in ISE? (Choose three.) a. All Device Types c. All Locations d. Is IPSEC Device
  9. What is the purpose of a certificate authentication profile? c. Serves as the identity source for certificate authentications and defines the field of a certificate whose data will be extracted and used as the principal identity for the authorization process.
  10. In order to join ISE to an Active Directory (AD) domain, what permissions must the AD account that will be used to join have? (Choose three.) a. Search Active Directory d. Add Workstation to Domain e. Set Attributes on New Machine Account (such as OS type and version) (Nota: La fuente indica que la opción e es opcional, pero es la que más se acerca a los requisitos listados entre las opciones).

at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...