Вы находитесь на странице: 1из 143

Cisco Community

Сообщество Live
Безопасность в беспроводных сетях с помощью Cisco ISE

Julia Sevostianova, Security Consulting Engineer


Sergey Sazhin, Security Technical Leader
12.02.2020
«Спросить всё о безопасности
в беспроводных сетях с помощью ISE»

c 12 февраля
по 28 февраля 2020

Юлия Сергей Сажин


Севостьянова
инженер-консультант инженер-консультант
Cisco (Краков)
Cisco (Москва)

http://bit.ly/ame-ise-wifi
© 2019 Cisco and/or its affiliates. All rights reserved.
Материалы после Сообщества Live

© 2019 Cisco and/or its affiliates. All rights reserved.


Оценивайте контент в Сообществе Cisco

Оценивайте ответы, документы, видео, блоги!

Помогите нам распознать качественный контент в


Сообществе!
© 2019 Cisco and/or its affiliates. All rights reserved.
Отправляйте Свои Вопросы Прямо Сейчас!

Используйте панель
«Вопросы и ответы» (Q&A),
чтобы задать свои вопросы
На все вопросы будут даны ответы

© 2019 Cisco and/or its affiliates. All rights reserved.


И муха не проскочит
Безопасность в беспроводных сетях с помощью Cisco ISE

Julia Sevostianova, Security Consulting Engineer


Sergey Sazhin, Security Technical Leader
12.02.2020
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Повестка

ISE для Wireless - особенности/отличия от


внедрения в проводной сети

Внедрение ISE для беспроводных


корпоративных устройств

Внедрение ISE для беспроводных


некорпоративных устройств

4. HTTP Get request (80)


Основные дополнения в ISE 2.6+

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети

4. HTTP Get request (80)


Внедрение ISE для беспроводных
корпоративных устройств

Внедрение ISE для беспроводных


некорпоративных устройств

4. HTTP Get request (80)


Основные дополнения в ISE 2.6+

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Обзор Cisco ISE
Cisco Identity Services Engine (ISE)
является лидирующей в индустрии
платформой обеспечения контроля
доступа к сети и применения
политик WHO WHEN
CISCO ISE SIEM, MDM, NBA, IPS, IPAM, etc.

WHAT WHERE PxGRID


Видеть HOW HEALTH
& APIs

Пользователей, рабочие THREATS CVSS


Partner Eco System
ACCESS POLICY
станции и приложения
for endpoints for network
WIRELESS VPN
Обеспечить безопасность WIRED

Контролем доступа к сети VPN

и сегментацией

Делиться информацией
Передавать информацию
в другие платформы для
© 2020 дальнейшего
Cisco and/or анализа
its affiliates. All rights reserved. Cisco Highly Confidential
Role-based Access Control | Guest Access | BYOD | Secure Access
Что не рассматривается в рамках вебинара:

• Posture

• Интеграция ISE с другими решениями

• Конфигурация WLC

• SDA

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE варианты развертывания
STANDALONE ISE Policy Services Node (PSN) MULTI-NODE ISE
- Makes policy decisions
- RADIUS / TACACS+ Servers

Policy Administration Node (PAN)


- Single plane of glass for ISE admin
- Replication hub for all database config changes
Network
Monitoring and Troubleshooting Node (MnT)
- Reporting and logging node
- Syslog collector from ISE Nodes

pXGrid Controller
- Facilitates sharing of context

Одно устройство (Virtual / Appliance) Несколько устройств (Virtual / Appliance)


До 20,000 оконечных устройств До 500,000 оконечных устройств
Нет отказоустойчивости Масштабируемость + Отказоустойчивость
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
IEEE 802.1x
• Стандарт, описывающий контроль доступа к сети на уровне порта
(port-based Network Access Control)
• Определяет механизмы для аутентификации и авторизации
устройств и/или пользователей, которые пытаются получить доступ к
сети

• Типы аутентификации:
• Аутентификация пользователя (доменные пользователи и др.)
• Машинная аутентификация (в основном для доменных рабочих станций)

• Аутентификация может быть на основании:


• Имени пользователя и пароля
• Сертификата

• Рекомендуется использовать для корпоративных


пользователей/компьютеров, опционально для IPтелефонов
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основы 802.1X

Credentials
(Certificate /
Endpoint Cisco ISE Active Directory
Password / Token) Network Device (Authentication Server)
(Supplicant) (Authenticator) (Identity Store)

EAP

EAP EAP EAP


802.1X RADIUS
RADIUS: ACCESS-REQUEST
RADIUS SERVICE-TYPE: FRAMED
EAP: EAP-RESPONSE-IDENTITY

EAP: Extensible Authentication Protocol

Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основы of 802.1X

Endpoint Cisco ISE Active Directory


Network Device (Authentication Server)
(Supplicant) (Authenticator) (Identity Store)

Port-Authorized

EAP EAP
802.1X RADIUS
RADIUS: ACCESS-ACCEPT
EAP: EAP-SUCCESS

Port-Unauthorized
(If authentication fails)
EAP: Extensible Authentication Protocol

Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
На основании чего НЕ МОЖЕТ быть произведена аутентификация 802.1x?
• На основании комбинации имя пользователя/пароль.
• На основании mac адреса рабочей станции.

• На основании сертификата.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
WLC Cisco ISE
AP (Authenticator)
Endpoint (Authentication Server)
(Supplicant)
1. 802.1x Authentication

2. Access Accept
(URL redirect port 80, ACL)

3. Apply ACL and move to posture state

4. HTTP Get request (80)

5. URL Redirect received in Access Accept

6. NAC Initiates Posture Validation 7. ACL Allowing traffic to reach ISE

8. If Posture OK, CoA req to re-


auth the client
9. Send EAP-Start

10. 802.1x re-authentication phase


10. Access Accept – New ACL

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
EAP: Extensible Authentication Protocol
ISE для Wireless - особенности/отличия от
внедрения в проводной сети

4. HTTP Get request (80)


Внедрение ISE для беспроводных
корпоративных устройств

Внедрение ISE для беспроводных


некорпоративных устройств

4. HTTP Get request (80)


Основные дополнения в ISE 2.6+

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Внедрение 802.1x для
корпоративных устройств

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
История внедрения 802.1x для беспроводной сети
• BANK – крупный банк, с большим количеством отделений

• Безопасность сети является приоритетом для менеджмента BANK

• Предоставление сетевого доступа реализовано с помощью Cisco ISE

• BANK активно использует беспроводную


сеть (контроллер Cisco WLC)

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Выбираем Supplicant:

AnyConnect NAM Native supplicant

Поддержка EAP-chaining

Лицензирование Не требует
лицензирования
Возможности траблшутинга

Установка дополнительного Требует установки на Не требует установки


ПО рабочие станции

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Какой протокол выбрать?

• EAP-TLS

• EAP-FAST

• PEAP-MSCHAPv2

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
EAP/PEAP-MSCHAPv2

• Комбинация имя пользователя/пароль

• Наиболее распространенный сценарий:


аутентификация пользователя
или рабочей станции
с помощью Active Directory.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
Для чего используется Master Session Key?
• Для синхронизации баз данных ISE нод.
• Для шифрования данных в защищенном туннеле, в котором будут передаваться данные
аутентификации пользователя EAP-MSCHAPv2.
• Для отслеживания сессии клиента, это значение остается уникальным с момента
аутентификации, до завершения сессии.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Настраиваем устройства
клиентов

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Windows 7 , 8/8.1, 10 – Native Supplicant
Используется групповая политика AD для:

• настройки Supplicant
• распространения сертификатов
• предварительной настройка SSID

Стоит иметь в виду при внедрении:

• возможны проблемы с драйверами на рабочих станциях


• не поддерживается EAP-chaining

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
MAC OS X Supplicant
• Для версий 10.8+процесс аутентификации
802.1x запускается автоматически

• Pop-up появляется при подключении к сети

Сертификаты:

• Client Provisioning и BYOD настройки для установки


сертификата
• JAML либо иной MDM для установки сертификата и
профиля

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Мобильные устройства
(Опционально) Онбординг через ISE для PEAP или EAP-TLS

Apple iOS устанавливает supplicant ПО во время процесса provisioning

Для Android:

• Не доверяет приложения установленным не через app store


• Скачать Cisco Network Setup Assistant App в Google Play
• Следующие URL должны быть разрешены в DNS ACL на контроллере
- android.clients.google.com
- google.com

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Стадии развёртывания

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Стадии развертывания
802.1x:

1 этап – тестирование в отдельном скрытом SSID


2 этап – пилот с выделенной группой пользователей (IT департамент)
3 этап – постепенная миграция корпоративных пользователей

Гостевой доступ:
зачастую может быть внедрен без рисков для бизнеса сразу для большого
количества пользователей

Опционально можно создать открытый SSID до внедрения BYOD для сбора


информации о типах устройств, OS и тд
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Рекомендации по
мониторингу

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Где проверять, если что-то пошло не так?
• Operations – RADIUS – Live Logs
• Reports – Failed Authentication

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети

4. HTTP Get request (80)


Внедрение ISE для беспроводных
корпоративных устройств

Внедрение ISE для беспроводных


некорпоративных устройств

4. HTTP Get request (80)


Основные дополнения в ISE 2.6+

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация гостевого
доступа

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Доступ гостевых пользователей

Основные подходы:
• Веб-портал на Wi-Fi контроллере (LWA).
• Веб-портал на Cisco ISE (CWA).
• Веб-портал на внешнем веб-сервере.
• Веб-портал в облаке (Cisco DNA Spaces) – с точки зрения гостевого
доступа, кейс для Public Hotspot, не рассматриваем.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
Как клиент попадает на Web-портал на WLC?
• WLC находится в пути трафика, поэтому перенаправление не требуется.
• WLC отправляет в клиенту Java-апплет, который направляет пользователя на Web-
портал WLC.
• WLC отправляет клиенту http redirect на Web-портал WLC.

• WLC выступает в роли DHCP-сервера, выдаёт в качестве DNS-сервера свой IP, поэтому
все запросы перенаправляются на него.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi
контроллере (LWA)

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Реализация LWA для WLC

Пользователь WLC DNS/DHCP Cisco ISE

Точка доступа 2. Применяется redirect ACL

1. Подключение к Open SSID

3. Клиент получает IP по DHCP

4. Клиент открывает
браузер:
• WLC перенаправляет 3. Apply ACL and move to posture state
на страницу входа
• Клиент вводит
учётные данные
5. WLC отправляет RADIUS-запрос
на ISE

7. WLC отключает 6. ISE аутентифицирует и авторизует


redirect ACL и применяет ACL пользователя

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Реализация LWA для WLC

Пример взаимодействия при использовании Web-портала на WLC


(AireOS):
https://www.cisco.com/c/en/us/support/docs/wireless/5500-series-
wireless-controllers/108501-webauth-tshoot.html

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi контроллере (LWA)

Плюсы:
• Простота реализации.
• “Изоляция” web-трафика пользователя на WLC.
• Бесплатный функционал (при использовании аутентификации с ISE
потребуется лицензия Base).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi контроллере (LWA)
Минусы:
• Нет функционала “device registration” (при каждом подключении аутентификация на
WLC).
• Невозможно реализовать: BYOD, MDM, Posture.
• Profiling только на контроллере.
• В реальной сети не получится использовать 802.1x + LWA (аутентификация LWA при
каждом подключении).
• На WLC нет Sponsor Portal для создания гостевых учётных записей (можно
реализовать на Prime Infrastructure).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Веб-портал на Wi-Fi контроллере (LWA)
При необходимости кастомизации веб-страниц, используйте готовые customization bundles на Cisco.com:
http://software.cisco.com/download/release.html?mdfid=283848165&flowid=24841&softwareid=282791507&release=1.0.2&r
elind=AVAILABLE&rellifecycle=&reltype=latest

Ознакомьтесь с ограничениями по масштабируемости веб-портала на WLC:


https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/115951-web-auth-wlc-guide-00.html#anc20

Возможна кастомизация только с использованием HTML.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-порталы на Cisco ISE
(CWA)

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Реализация CWA на ISE

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Порталы, связанные с гостевыми пользователями на ISE

• Guest Portal (Self-Registered, Sponsored, Hotspot).


• Sponsor Portal – управление гостевыми учётными записями.
• My Devices – для управления устройствами, зарегистрированными
на веб-порталах ISE (Self-Registered / Sponsored).
• Blacklist – перенаправление, если устройство было добавлено в
группу Blacklist (обычно через My Devices портал).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Порталы, связанные с гостевыми пользователями на ISE
Браузеры, официально поддерживаемые порталами ISE:
https://tinyurl.com/u3m9t2f

Лицензирование:
Guest Portal и Sponsor Portal – требуют Base лицензии ISE.

Все порталы могут располагаться как на eth0, так и на eth1.

Не забудьте добавить в сертификат портала FQDN каждой PSN-ноды, на


которой будет развёрнут веб-портал.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевые веб-порталы на Cisco ISE
Work Centers -> Guest Access -> Portals & Components -> Guest Portals:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевые веб-порталы на Cisco ISE
Workflow*
Hotspot Sponsored Self-Registered
Guest Portal Guest Portal Guest Portal

* Показан Workflow по умолчанию


© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
К каким порталам гостевой пользователь
подключается напрямую?
• My Devices
• Sponsor

Можно посмотреть в Authorization profile, на какие основные типы


порталов редирект есть:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
My Devices портал

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
My Devices портал
Отличие состояния устройства Lost от Stolen

Lost:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, не отзываются.

Stolen:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, отзываются.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Blacklist портал

Для перенаправления на этот портал необходимо использовать


Authorization Profile: Blackhole_Wireless_Access

Единственный портал, для которого нельзя создать дополнительный


(duplicate).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Кастомизация порталов
Cisco ISE

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Кастомизация порталов на Cisco ISE
Базовые возможности
• Текст сообщений/ошибок
• Картинки для баннера,
лого.
• C ISE 2.2 добавлена
возможность изменять
background.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Кастомизация порталов на Cisco ISE
Расширенные возможности
Добавление файлов кастомизации типов:
• .png, .gif, .jpg, .jpeg, ico – изменение внешнего вида веб-портала.
• .htm, .html, .js, .json, .css, .m4a, .m4v, .mp3, .mp4, .mpeg, .ogg, .wav -
изменение логики портала.

Требуются знания по CSS/HTML/JavaScript.

Все файлы размещаются только на PSN (автоматически синхронизируются на


всех PSN). Хранение на внешних серверах не поддерживается.

Возможности кастомизации ограничены внешним видом веб-портала, изменить


логику работы (workflow) – не получится).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Включение JavaScript для кастомизации
По умолчанию для кода, добавляемого на Web-порталы,
включена поддержка только HTML:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE Portal Builder
https://isepb.cisco.com
Выбор из доступных шаблонов:

Рекомендуется вносить незначительные изменения в выбранный шаблон (текст, картинки).


При изменении масштаба/добавлении новых полей, портал может отображаться на ISE некорректно.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE Portal Builder – создание веб-портала

При создании указывается:


• Язык веб-портала.
• Тип Веб-портала.
• Версию ISE (уже добавлен 2.7).

Если портал отображается


некорректно, напишите
разработчикам ISE Portal Builder:
isepb@external.cisco.com

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Пример кастомизации портала ISE
Blacklist портал

Стандартный вид blacklist портал:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Добавление файлов кастомизации на ISE

Administration -> Devices Portal Management -> Custom Portal Files

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Добавление файла кастомизации на портал
Раздел “Portal Page Customization” Blacklist портала

Добавление файла: Просмотр HTML-кода:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Результат кастомизации Blacklist портала
Добавлена дополнительная картинка на портал:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Поддержка веб-порталов на русском

Все Web-порталы, с которыми взаимодействует гостевой


пользователь или спонсор, полностью переведены на русский.

• Guest Portal (Self-Registered, Sponsored, Hotspot).


• Sponsor Portal.
• My Devices.
• Blacklist.

Если locale в браузере отличается от поддерживаемой ISE, портал


будет отображён на английском (необходимо убедиться, что
текст кастомизирован).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Пример изменения текста для Blacklist портал
Чтобы изменить текст на языке, отличном от browser locale
• Экспортировать (Export) Language File (zip-архив).
• Внести изменения в текстовый файл.
• Импортировать (Import) Language File (zip-архив).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Пример изменения текста для Blacklist портал
• Внеcение изменений в файл с русским текстом веб-портала (Russian.properties).

• Импорт (Import) Language File (zip-архив)

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Проверка соответствия locale языковой информация

версии веб-портала
Проверка параметра “LocaleKeys” в файле для соответствующего языка
(ниже список всех соответствий):
./ChineseSimplified.properties:LocaleKeys=zh,zh-cn,zh-hk,zh-mo,zh-sg,zh-hans
./ChineseTraditional.properties:LocaleKeys=zh-tw,zh-hant
./Czech.properties:LocaleKeys=cs,cs-cz
./Dutch.properties:LocaleKeys=nl,nl-nl,nl-be
./English.properties:LocaleKeys=en,en-us,en-gb,en-au,en-nz,en-za,en-ca,en-ie
./French.properties:LocaleKeys=fr,fr-fr,fr-ca,fr-be,fr-ch
./German.properties:LocaleKeys=de,de-de,de-at,de-li,de-ch,de-lu
./Hungarian.properties:LocaleKeys=hu,hu-hu
./Italian.properties:LocaleKeys=it,it-it,it-ch
./Japanese.properties:LocaleKeys=ja,ja-jp
./Korean.properties:LocaleKeys=ko,ko-kr
./Polish.properties:LocaleKeys=pl,pl-PL
./Portuguese.properties:LocaleKeys=pt,pt-br
./Russian.properties:LocaleKeys=ru,ru-ru,ru-mo,ru-md
./Spanish.properties:LocaleKeys=es,es-es,es-mx

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на
внешнем сервере

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Ограничения гостевых веб-порталов на ISE
Стоит ли переходить на внешний веб-сервер?
Основные ограничения веб-порталов на Cisco ISE:
1. Количество аутентификаций в секунду для гостевых пользователей
(учитывайте, если используете 802.1x + CWA).

До ~100 одновременных аутентификаций/сек (SNS-3615), до 1М


гостевых пользователей в БД.

Информация по масштабируемости:
https://tinyurl.com/yx5dafr7

2. Ограничения по изменению внешнего вида (даже с Guest Portal Builder).


3. Ограничения guest flows, реализованных на веб-порталах ISE.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация гостевого веб-портала на внешнем
сервере
Рекомендованная архитектура:
• ISE выступает в качестве RADIUS-сервера (идентификация по MAC-адресу устройства,
политики авторизации GuestAccess и RegisteredDevice).
• Внешний сервер – для аутентификации пользователя.

My Devices портал должен быть на внешнем сервере, т.к. устройство не


регистрируется через веб-портал ISE.

ERS API требует ISE Plus лицензию.

Session ID передавать на внешний веб-портал не нужно, т.к. для CoA Reauth потребуется
MAC устройства.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на внешнем сервере
Workflow

Пользователь WLC Cisco ISE Внешний веб-сервер


3. Правило авторизации с (extweb.dcloud.com)
2. WLC запускает MAB
Точка доступа перенаправлением на
внешний Web-портал
(GuestAccess)
1. Подключение к Open SSID

4. https://extweb.dcloud.com/
portal/gateway?client_mac=Clie
ntMacValue

5. Клиент открывает
браузер:
WLC возвращает
перенаправление на
extweb.dcloud.com
6.Пользователь
проходит аутентификацию на
extweb.dcloud.com

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на внешнем сервере
Workflow

Пользователь WLC Cisco ISE Внешний веб-сервер


(extweb.dcloud.com)
Точка доступа 6.Пользователь
проходит аутентификацию на
extweb.dcloud.com

1. 7. REST API-запрос (ERS) на


ISE PAN для помещения
MAC устройства в Identity
Group: RegisteredDevices.

1. 8. API-запрос (URL) на ISE MnT


для RADIUS CoA на WLC (для
MAC устройства).
1. 9. Отправка RADIUS CoA.

1. 10. WLC запускает MAB

11. Правило авторизации


Access Type = без перенаправления на
12. Ограничение доступа с ACCESS_ACCEPT
клиента снято внешний Web-портал
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential (RegisteredDevice)
Справочная
Реализация гостевых веб-порталов на информация

внешнем сервере
Настройка Network Device Profile для
использования MAC-адреса в redirect
URL (вместо SessionId):

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Реализация гостевых веб-порталов на информация

внешнем сервере
Настройка Authorization Profile для
аутентификации на внешнем веб-сервере:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Реализация гостевых веб-порталов на информация

внешнем сервере
Корректировка Network Device Profile в
настройках Network Device:

Access Type = ACCESS_ACCEPT


cisco-av-pair = url-redirect-acl=ACL_WEBAUTH
cisco-av-pair = url-
redirect=https://extweb.dcloud.com/portal/gateway?client_mac=ClientMacValue&portal=404e0f70
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
-2e02-11e8-ba71-005056872c7f&daysToExpiry=value&action=cwa
Справочная
Реализация гостевых веб-порталов на информация

внешнем сервере

REST API (ERS) на ISE (изменение Identity Group для Endpoint):


https://developer.cisco.com/docs/identity-services-engine/#!setting-up/using-the-api

Monitoring REST API (для отправки CoA reauth)


https://www.cisco.com/c/en/us/td/docs/security/ise/2-
6/api_ref_guide/api_ref_book/ise_api_ref_ch1.html

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Guest troubleshooting

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Guest troubleshooting – ISE
Логи, относящиеся к Web-порталам
Перевести логи в уровень DEBUG*:
• portal-web-action
• guestaccess

Debug добавляется в лог на ISE:


guest.log
(Operations -> Troubleshoot -> Download Logs -> ISE-нода ->
Debug Logs)

* Раздел GUI ISE:


Administration -> System -> Logging -> Debug Log Configuration

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Guest troubleshooting – ISE
Отчёты, относящиеся к гостевым Web-порталам
Operations -> Reports -> Reports -> Guest -> Guest Accounting

Master Guest Report – включает данные из разных отчётов


раздела Guest

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация BYOD

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Что необходимо учитывать при развёртывании
• Типы устройств/операционные системы (поддержка BYOD flow/802.1x).
• Типы пользователей (сотрудники, подрядчики, гости).
• Количество устройств для одного пользователя.
• Single/Dual-SSID.
• Политики доступа для BYOD-устройств.
• Для BYOD provisioning необходимы права администратора*.

*https://tinyurl.com/w2ntp2t

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что необходимо учитывать при развёртывании
BYOD flow не поддерживается с Cisco Anyconnect NAM (этот агент
используется только для корпоративных устройств, которые получают
настройки заранее).

Лицензирование:
• Каждое устройство, подключающееся к сети с выданным сертификатом
для BYOD onboarding, будет использовать одну ISE Plus лицензию.
• Для активации My Devices портала требуется (хотя бы одна) Plus
лицензия.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:

Поддерживается ли BYOD onboarding с ISE для Linux?


• Поддерживается только для Ubuntu, начиная с 18.04.

• Поддерживается на Centos 8 (требует установки Cisco Anyconnect NAM).


• Поддерживается на Ubuntu 18.04, Centos 8 и Debian 10.

• Не поддерживается

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Dual vs Single-SSID

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
BYOD single-SSID workflow
Устройство
Нет
Подключение к PEAP
зарегистри
Перенаправление на Устройство
802.1x SSID (MSCHAPv2) BYOD портал зарегистрировано*
ровано?

Да
SSID: CORPORATE
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA

Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
зарегистри
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
© 2020 Cisco and/or its affiliates. All rights reserved.
(Access-Accept)
Cisco Highly Confidential
Single-SSID
Основные соображения

• Для iOS требуется вручную отключиться и повторно подключиться к SSID


• При установлении первого подключения пользователю не просто понять,
является ли сертификат сервера доверенным.

Рекомендуется использовать, если уже есть open SSID и в нём Hotspot портал.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD dual-SSID workflow
Устройство
Нет Перенаправление на
Подключение к зарегистри Guest портал
Устройство
“Open” SSID зарегистрировано*
ровано? (c включенным BYOD)

Да
SSID: GUEST
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA

Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
зарегистри
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
© 2020 Cisco and/or its affiliates. All rights reserved.
(Access-Accept)
Cisco Highly Confidential
Dual-SSID
Основные соображения
Дополнительный SSID:
• Дополнительная сущность и
конфигурационная единица.
• Дополнительная загруженность
Wi-Fi каналов.

При использовании BYOD Хорошо подходит в случаях, если


Dual-SSID есть возможность внедряется 802.1x в проводной
разрешить на BYOD-портале сети и нет уверенности, что
гостевой доступ. 802.1x настроен успешно на всех
устройствах.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Dual-SSID
Основные соображения
Т.к. EAP-сертификат устанавливается На Web-портале в open SSID
в момент BYOD onboarding, можно разместить инструкцию по
пользователь не подвергается риску, подключению к 802.1x SSID.
подтверждая не доверенный
сертификат при подключении к
802.1x SSID.

Т.к. устройство ранее подключалось После регистрации устройства на


к Web-порталу ISE, точность Guest Portal, можно направить его
профилирования при подключении к на отдельный BYOD-портал, в
802.1x SSID выше. зависимости от авторизации.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Поддерживаемые операционные системы
BYOD provisioning
• Windows (7, Vista, 8, 10)
• macOS
• Android
• iOS (iPod, iPhone, iPad)
• Chromebook (не рассматриваем)

Матрица совместимости:
https://tinyurl.com/u3m9t2f

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Типы веб-порталов на ISE для BYOD provisioning

• BYOD-портал как компонент Self-Registered/Sponsored Guest Portal (dual-


SSID).
• Отдельный BYOD-портал – работает только если пользователь был успешно
аутентифицирован c учётными данными по 802.1x* (single-SSID).
• Client Provisioning – для BYOD provisioning (загрузка настроек встроенного
суппликанта и получение сертификатов клиента и сервера).

*нельзя настраивать перенаправление на него без предварительной аутентификации


пользователя.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Provisioning сертификатов

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD provisioning для разных типов устройств
• Android – Cisco Network Setup Assistant (загружается из Google Play, кнопка на
BYOD-портале).
• iOS – используется встроенный функционал в iOS – OTA (Over-the-Air).
• Windows - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).
• macOS - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).

Пример BYOD портала на этапе загрузки NSA для


Android:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ

BRKSEC-3229:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ

Cisco ISE 2.6 Ports Reference:


https://tinyurl.com/yxyxv7sa
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: macOS
CSCvq70256 Day0: MAC OSx 10.15 Beta 4 Byod flow not able to complete
BYOD flow

Ошибка на macOS 10.15 при попытке открыть SPW:


"Cisco_Network_supplicant.dmg can't be opened because apple cannot
check it for malicious software“.

macOS 10.15 поддерживается начиная с MAC SPW 2.7.0.1


Для поддержки новой ОС требуется обновление Posture:
Administration > System > Settings > Posture > Updates.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в macOS 10.15 и iOS13

1. Длина RSA-ключей >= 2048 бит


2. Сертификат сервера и УЦ, выпустившего его, должен иметь
3. SHA-2 алгоритм (пока не касается сертификата корневого
УЦ)
4. FQDN сервера должен быть в SAN сертификата
5. Сертификат, выпущенный после 1.07.2019 должен иметь :
• OID Web Server Authentication (1.3.6.1.5.5.7.3.1)
• Срок действия менее 825 дней

https://support.apple.com/en-us/HT210176

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в iOS13 и macOS 10.15
В процессе BYOD onboarding на iOS 12+ выдаётся ошибка:
“Profile Installation failed An ssl error has occurred and a secure connection to
the server cannot be made”. Это результат изменений на стороне iOS.
Открытые дефекты в Cisco:
CSCvr44568 BYOD TLS not working for Apple iOS 13
CSCvm57650 BYOD TLS not working for IOS 12 FCS release

Дополнена документация требованиями к сертификатам ISE для iOS:


https://tinyurl.com/u3m9t2f

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в работе iOS 12.2+

Для iOS 12.2+ пользователю необходимо вручную установить сертификат и профиль,


загруженный c ISE:
После загрузки профиля на iOS открыть:
Settings > General > Profile, выбрать загруженный профиль и нажать Install (см. скрытые
слайды).
Вручную отключиться от SSID и подключиться к SSID с EAP-TLS.

CSCvo58362 Day0: IOS 12.2 is not able to If you are using Apple iOS 12.2 or later
install Certificate/profile Automatically version, you must manually install the
downloaded Certificate/Profile. To do
Добавлена информация в ISE compatibility this, choose Settings > General >
документ: Profile in the Apple iOS device and
Click Instal
https://tinyurl.com/u3m9t2f

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в работе iOS 12.2+

Добавление инструкции на BYOD-портал


для пользователей iOS :

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная

Нюансы с BYOD: iOS информация

Изменения в работе iOS 12.2+

CSCvo58362 Day0: IOS 12.2 is not able to


install Certificate/profile Automatically

Добавлена информация в документ по


совместимости компонентов для ISE:
https://tinyurl.com/u3m9t2f

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная

Нюансы с BYOD: iOS информация

Что нужно сделать пользователю при подключении (пример для iOS 13)
Загрузка профиль завершена, нужно В случае, если пользователь более 30 сек
нажать Close и подтвердить не подтверждает загрузку профиля,
сохранение на устройстве: выдаётся ошибка (нужно игнорировать):

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная

Нюансы с BYOD: iOS информация

Что нужно сделать пользователю при подключении (пример для iOS 13)

На iOS открыть: В списке профилей После установки,


Settings > General > Profile выбрать загруженный будут загружены
и нажать Install: сертификаты:

Вручную
отключиться от SSID
и подключиться к
SSID с EAP-TLS.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в логике работы iOS 12.2+
CSCvp54949 - BYOD flow is broken in IOS 12.2

При BYOD provisioning на iOS может возникать


следующая ошибка:
"Unable to complete the provisioning of your
device."

Исправление в релизах ISE (увеличены


таймеры ожидания загрузки и установки
профиля для iOS):
• 2.6 Patch 2
• 2.4 Patch 9
• 2.2 Patch 15
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Captive Network Assistant (CNA)
Для Guest SSID – нет проблем.
Если в Guest SSID добавляется BYOD provisioning (dual-SSID) – CNA
мешает процессу BYOD onboarding:
Во время BYOD provisioning пользователь должен принять iOS profile
(сертификат УЦ и enrollment package), в это время CNA уходит в
background и отключает устройство от сети.

“Captive bypass” на WLC (не делать перенаправление для WISPr) –


единственный способ для ISE до версии 2.2
(до WLC 8.3 – глобальная настройка, в WLC 8.4+ на уровне SSID).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Известные проблемы с BYOD - iOS
• Версии iOS 12.2+ могут не доверять сертификату ISE в случае, если в
ISE FQSN указан “локальный” домен (например: .local)

• В iOS 11+ если ISE использует самоподписанный сертификат,


пользователь должен подтвердить установку сертификата для
завершения BYOD provisioning

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: Android
Начиная с ISE 2.2 и Android 6+ используется новый вариант provisioning
сертификата - Enrollment over Secure Transport (EST).

Для поддержки EST необходимо внести изменения в конфигурацию ISE,


а так же разрешить TCP/8084 до PSN в redirect ACL:

https://tinyurl.com/unfwaq6

Во время процедуры получения профиля с ISE через EST,


пользователю необходимо ввести пароль.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Нюансы с BYOD: Android

Для поддержки EST, в ISE 2.2, специальное “невидимое” устройство


ISE_EST_Local_Host есть в списке NAD на ISE (при использовании EST видно в
RADIUS Live Log).

Для отслеживания EST в политиках авторизации на ISE, необходимо использовать


одно из правил:
1. Cisco: cisco-av-pair Equals est-csr-request=true
Или:
2. Network Access: NetworkDeviceName Equals ISE_EST_Local_Host

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: Android
Android 9+ требует заполненное поле SAN (нужно перевыпустить сертификат,
добавив FQDN из CN в SAN):

/sdcards/Downloads/spw.log:
2020.01.20 12:34:55 INFO:Downloading config from198.18.133.27
2020.01.20 12:34:55 INFO:checkServerTrusted call
2020.01.20 12:34:55 ERROR:DownloadprofileAsynchTask
2020.01.20 12:34:55 ERROR:javax.net.ssl.SSLPeerUnverifiedException:
Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 ERROR:Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 INFO:ISEDownloadProfileAsynchTask.onPostExecute
:FAILED
© 2020
2020.01.20 12:34:55 INFO:Internal system error.
Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что делать с устройствами, не
поддерживающими BYOD?
• BYOD onboarding вручную (инструкция по запросу сертификата с Web-
портала, например, ISE и настройка supplicant пользователем
самостоятельно).
• Предоставление ограниченного доступа без BYOD onboarding (требовать
регистрацию устройства на My Devices портале и подключение с PEAP-
MSCHAPv2).
• Использование iPSK SSID для устройств, не поддерживающих BYOD
onboarding (с веб-порталом регистрации устройств на iPSK Manager):
https://tinyurl.com/unwlzuk

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что делать с устройствами, не
поддерживающими BYOD?
• Для BYOD Dual-SSID можно разрешить гостевой доступ на
BYOD-портале.
• Разрешить доступ для неподдерживаемых устройств (Allow
Network Access). Проверять в политике авторизации тип
устройства (на основе profiling).
Administration -> System -> Settings -> Client Provisioning:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD onboarding вручную:
Certificate Provisioning портал
Используется для устройств,
для которых не
поддерживается BYOD
workflow

Необходимо лимитировать
доступ к этому порталу для
узкого круга администраторов.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Выписанные сертификаты
В GUI ISE:
Administration -> System -> Certificates -> Issued Certificates

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Рекомендации
Т.к. при выдаче сертификата на этом портале не проверяется имя
пользователя в CN сертификата, рекомендуется включить проверку
наличия пользователя в AD при аутентификации по сертификату:
Work Centers -> Ext Id Sources -> Certificate Authentication Profile:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Рекомендации
Не замена удостоверяющему центру предприятия (ограничения как
с точки зрения поддерживаемого функционала, так и с точки
зрения масштабируемости и удобства сопровождения). Не
рекомендуется использовать кроме выдачи сертификатов для
BYOD-устройств.

На Certificate Provisioning портал нет перенаправления


(пользователь подключается напрямую).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Диагностика BYOD
ISE и клиентская сторона

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
BYOD troubleshooting – клиентская сторона
Android
Если в процессе создания профиля возникла ошибка:
Открыть директорию с загрузками на Android, скопировать файлы
(анализ самостоятельно или с TAC):
/sdcards*/Downloads/spw.log
/sdcards*/Downloads/estlog.txt (лог EST**)

* “внутренний накопитель” - в русской версии Android


** EST (Enrollment over Secure Transport (EST)

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – клиентская сторона
macOS
Последние логи SPW:
Finder -> Console Application
Поиск по слову: “spw”.

Полный лог:
/var/log/system.log

Профиль, полученный с ISE, сохраняется в директории (spwProfile.xml):


/Volumes/cisco_network_setup_assistant/Cisco Network Setup
Assistant.app/

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – клиентская сторона
iOS
Для просмотра логов использовать утилиту Apple Configurator 2.

BYOD troubleshooting – клиентская сторона


Windows
Лог SPW:
%temp%\spwProfileLog.txt

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – сторона ISE
Следующие логи в уровень DEBUG (Administration ->
System -> Logging -> Debug Log Configuration):
• ca-service
• client-webapp
• portal
• portal-session-manager
• provisioning

guest.log (логи, относящиеся к Web-порталам).


ise-psc.log (общий ход BYOD provisioning).
caservice.log (логи связанные с выпуском сертификатов для BYOD).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – сторона ISE
Отчёты, относящиеся к BYOD provisioning
Operations -> Reports -> Reports -> Endpoints and Users ->
Supplicant Provisioning

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
BYOD troubleshooting – сторона ISE
Если проблемы наблюдаются с конкретным устройством,
Рекомендуется использовать endpoint debug на ISE
(Operations -> Troubleshoot -> Diagnostic Tools -> EndPoint Debug)

Запуск EndPoint Debug из RADIUS Live Logs:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:

Поддерживается EAP-Chaining в native 802.1x-суппликантах?


• Поддерживается только в macOS (начиная с 10.15).

• Поддерживается на macOS 10.13 и Windows 10 (April 2018 Update).


• Поддерживается только начиная с iOS 12.2.

• Не поддерживается

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети

4. HTTP Get request (80)


Внедрение ISE для беспроводных
корпоративных устройств

Внедрение ISE для беспроводных


некорпоративных устройств

4. HTTP Get request (80)


Основные дополнения в ISE 2.6+

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Auto-Logon of Self-Registered Guest after Sponsor Approval
После подтверждения
аккаунта спонсором, гость
попадает в сеть минуя Guest
Portal.
Добавлена новая веб-
страница: “Auto Login”
(действительна до 15 мин).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Auto-Logon of Self-Registered Guest after Sponsor Approval
Настройка на Self-Registered Guest Portal:

Нельзя закрывать Auto Login страницу, иначе придётся пройти


аутентификацию на веб-портале.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Phone Number as the Guest User Identifier
Возможность использовать номер телефона в качестве имени
пользователя (ранее только через JavaScript)

Настройка на Self-Registered Guest Portal: Вид на портале:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Guest Password Recovery
Можно ввести email/телефон, использованные при
регистрации и получить пароль:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Guest Password Recovery

Workflow:

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Поддержка EAP-TEAP

В ISE 2.7 EAP-TEAP теперь поддерживается на стороне ISE (можно


использовать EAP Chaining).
Ожидаем реализацию на стороне встроенных суппликантов
(переговоры с Microsoft).

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Основные дополнения в ISE 2.7
• Interactive Help – интерактивные подсказки гостевым пользователям
по использованию порталов.

• Grace Access – возможность дать 5-30 мин временного доступа


гостевому пользователю (до того, как аккаунт подтверждён
спонсором)

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Основные дополнения в ISE 2.6
• dACLs/ACLs на ISE поддерживают IPv6.

• Kerberos Authentication for the Sponsor Portal – поддержка Kerberos SSO


для аутентификации спонсоров на Sponsor Portal.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Заключение

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Резюме
Для надёжной защиты Wi-Fi необходимо:

Знать Cisco ISE и основы архитектуры беспроводной сети.


Знать, как работают суппликанты на основных операционных
системах.
Принципы работы браузеров на клиентских устройствах.
Тонкости работы BYOD provisioning (workflow).

Могут возникать нюансы с оконечными устройствами.

В реальной сети рекомендуется использовать лабораторию


для тестирования обновлений.

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Дополнительные
материалы

© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Продолжение обучения
ISE Guest Access Prescriptive Deployment Guide:
https://community.cisco.com/t5/security-documents/ise-guest-access-prescriptive-deployment-
guide/ta-p/3640475

Cisco ISE BYOD Prescriptive Deployment Guide:


https://community.cisco.com/t5/security-documents/cisco-ise-byod-prescriptive-deployment-
guide/ta-p/3641867

ISE Training:
https://community.cisco.com/t5/security-documents/ise-training/ta-p/3619944

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Продолжение обучения
ISE Guest & Web Authentication:
https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-
p/3657224

Cisco ISE for BYOD and Secure Unified Access, 2nd Edition

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Отправляйте
Свои Вопросы
Прямо Сейчас!

Используйте панель «Вопросы и


ответы», чтобы задать вопросы и
получить ответы от экспертов.
© 2019 Cisco and/or its affiliates. All rights reserved
reserved.
«Спросить всё о безопасности
в беспроводных сетях с помощью ISE»

c 12 февраля
по 28 февраля 2020

Юлия Сергей Сажин


Севостьянова
инженер-консультант инженер-консультант
Cisco (Краков)
Cisco (Москва)

http://bit.ly/ame-ise-wifi
© 2019 Cisco and/or its affiliates. All rights reserved.
Сообщество есть и на других языках
Если вы говорите на английском, испанском, португальском, китайском или японском, мы приглашаем Вас
принять участие на другом языке.

Cisco Community Сообщество Cisco


Английский Русский

ツスコサポートコミュ
Comunidad de 二ティ
Soporte de Cisco Японский
Испанский

思科服务支持社区
Comunidade de Китайский
Suporte de Cisco Communauté Cisco
Португальский Французский
© 2019 Cisco and/or its affiliates. All rights reserved.
Спасибо за Ваше
Время!

Пожалуйста, примите участие в


оценке сегодняшнего мероприятия

© 2018
2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Благодарим за Ваше Участие
сегодня!
© 2019 Cisco and/or its affiliates. All rights reserved.