Безопасность в беспроводных сетях с помощью ISE

Cisco Community
Сообщество Live
Безопасность в беспроводных сетях с помощью Cisco ISE
Julia Sevostianova, Security Consulting Engineer

Sergey Sazhin, Security Technical Leader
12.02.2020
«Спросить всё о безопасности
в беспроводных сетях с помощью ISE»
c 12 февраля
по 28 февраля 2020
Юлия Сергей Сажин

Севостьянова
инженер-консультант инженер-консультант
Cisco (Краков)
Cisco (Москва)
http://bit.ly/ame-ise-wifi
© 2019 Cisco and/or its affiliates. All rights reserved.
Материалы после Сообщества Live

Оценивайте контент в Сообществе Cisco
Оценивайте ответы, документы, видео, блоги!
Помогите нам распознать качественный контент в

Сообществе!
Отправляйте Свои Вопросы Прямо Сейчас!
Используйте панель
«Вопросы и ответы» (Q&A),
чтобы задать свои вопросы
На все вопросы будут даны ответы

И муха не проскочит
Безопасность в беспроводных сетях с помощью Cisco ISE
Julia Sevostianova, Security Consulting Engineer

Sergey Sazhin, Security Technical Leader
12.02.2020
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Повестка
ISE для Wireless - особенности/отличия от

внедрения в проводной сети
Внедрение ISE для беспроводных

корпоративных устройств

некорпоративных устройств
4. HTTP Get request (80)

Основные дополнения в ISE 2.6+



ISE для Wireless
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Обзор Cisco ISE
Cisco Identity Services Engine (ISE)
является лидирующей в индустрии
платформой обеспечения контроля
доступа к сети и применения
политик WHO WHEN
CISCO ISE SIEM, MDM, NBA, IPS, IPAM, etc.
WHAT WHERE PxGRID

Видеть HOW HEALTH
& APIs
Пользователей, рабочие THREATS CVSS

Partner Eco System
ACCESS POLICY
станции и приложения
for endpoints for network
WIRELESS VPN
Обеспечить безопасность WIRED
Контролем доступа к сети VPN
и сегментацией
Делиться информацией
Передавать информацию
в другие платформы для
© 2020 дальнейшего
Cisco and/or анализа
its affiliates. All rights reserved. Cisco Highly Confidential
Role-based Access Control | Guest Access | BYOD | Secure Access
Что не рассматривается в рамках вебинара:
• Posture
• Интеграция ISE с другими решениями
• Конфигурация WLC
• SDA
ISE варианты развертывания
STANDALONE ISE Policy Services Node (PSN) MULTI-NODE ISE
- Makes policy decisions
- RADIUS / TACACS+ Servers
Policy Administration Node (PAN)

- Single plane of glass for ISE admin
- Replication hub for all database config changes
Network
Monitoring and Troubleshooting Node (MnT)
- Reporting and logging node
- Syslog collector from ISE Nodes
pXGrid Controller
- Facilitates sharing of context
Одно устройство (Virtual / Appliance) Несколько устройств (Virtual / Appliance)

До 20,000 оконечных устройств До 500,000 оконечных устройств
Нет отказоустойчивости Масштабируемость + Отказоустойчивость
IEEE 802.1x
• Стандарт, описывающий контроль доступа к сети на уровне порта
(port-based Network Access Control)
• Определяет механизмы для аутентификации и авторизации
устройств и/или пользователей, которые пытаются получить доступ к
сети
• Типы аутентификации:
• Аутентификация пользователя (доменные пользователи и др.)
• Машинная аутентификация (в основном для доменных рабочих станций)
• Аутентификация может быть на основании:

• Имени пользователя и пароля
• Сертификата
• Рекомендуется использовать для корпоративных

пользователей/компьютеров, опционально для IPтелефонов
Основы 802.1X
Credentials
(Certificate /
Endpoint Cisco ISE Active Directory
Password / Token) Network Device (Authentication Server)
(Supplicant) (Authenticator) (Identity Store)
EAP
EAP EAP EAP

802.1X RADIUS
RADIUS: ACCESS-REQUEST
RADIUS SERVICE-TYPE: FRAMED
EAP: EAP-RESPONSE-IDENTITY
EAP: Extensible Authentication Protocol
Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator
Основы of 802.1X
Endpoint Cisco ISE Active Directory

Network Device (Authentication Server)
(Supplicant) (Authenticator) (Identity Store)
Port-Authorized
EAP EAP
802.1X RADIUS
RADIUS: ACCESS-ACCEPT
EAP: EAP-SUCCESS
Port-Unauthorized
(If authentication fails)
Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator
Вопрос:
На основании чего НЕ МОЖЕТ быть произведена аутентификация 802.1x?
• На основании комбинации имя пользователя/пароль.
• На основании mac адреса рабочей станции.
• На основании сертификата.
WLC Cisco ISE
AP (Authenticator)
Endpoint (Authentication Server)
(Supplicant)
1. 802.1x Authentication
2. Access Accept
(URL redirect port 80, ACL)
3. Apply ACL and move to posture state
5. URL Redirect received in Access Accept
6. NAC Initiates Posture Validation 7. ACL Allowing traffic to reach ISE
8. If Posture OK, CoA req to re-

auth the client
9. Send EAP-Start
10. 802.1x re-authentication phase

10. Access Accept – New ACL



Внедрение 802.1x для
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
История внедрения 802.1x для беспроводной сети
• BANK – крупный банк, с большим количеством отделений
• Безопасность сети является приоритетом для менеджмента BANK
• Предоставление сетевого доступа реализовано с помощью Cisco ISE
• BANK активно использует беспроводную

сеть (контроллер Cisco WLC)
Выбираем Supplicant:
AnyConnect NAM Native supplicant
Поддержка EAP-chaining
Лицензирование Не требует
лицензирования
Возможности траблшутинга
Установка дополнительного Требует установки на Не требует установки

ПО рабочие станции
Какой протокол выбрать?
• EAP-TLS
• EAP-FAST
• PEAP-MSCHAPv2
EAP/PEAP-MSCHAPv2
• Комбинация имя пользователя/пароль
• Наиболее распространенный сценарий:

аутентификация пользователя
или рабочей станции
с помощью Active Directory.
Вопрос:
Для чего используется Master Session Key?
• Для синхронизации баз данных ISE нод.
• Для шифрования данных в защищенном туннеле, в котором будут передаваться данные
аутентификации пользователя EAP-MSCHAPv2.
• Для отслеживания сессии клиента, это значение остается уникальным с момента
аутентификации, до завершения сессии.
Настраиваем устройства
клиентов
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Windows 7 , 8/8.1, 10 – Native Supplicant
Используется групповая политика AD для:
• настройки Supplicant
• распространения сертификатов
• предварительной настройка SSID
Стоит иметь в виду при внедрении:
• возможны проблемы с драйверами на рабочих станциях

• не поддерживается EAP-chaining
MAC OS X Supplicant
• Для версий 10.8+процесс аутентификации
802.1x запускается автоматически
• Pop-up появляется при подключении к сети
Сертификаты:
• Client Provisioning и BYOD настройки для установки

сертификата
• JAML либо иной MDM для установки сертификата и
профиля
Мобильные устройства
(Опционально) Онбординг через ISE для PEAP или EAP-TLS
Apple iOS устанавливает supplicant ПО во время процесса provisioning
Для Android:
• Не доверяет приложения установленным не через app store

• Скачать Cisco Network Setup Assistant App в Google Play
• Следующие URL должны быть разрешены в DNS ACL на контроллере
- android.clients.google.com
- google.com
Стадии развёртывания
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Стадии развертывания
802.1x:
1 этап – тестирование в отдельном скрытом SSID

2 этап – пилот с выделенной группой пользователей (IT департамент)
3 этап – постепенная миграция корпоративных пользователей
Гостевой доступ:
зачастую может быть внедрен без рисков для бизнеса сразу для большого
количества пользователей
Опционально можно создать открытый SSID до внедрения BYOD для сбора

информации о типах устройств, OS и тд
Рекомендации по
мониторингу
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Где проверять, если что-то пошло не так?
• Operations – RADIUS – Live Logs
• Reports – Failed Authentication



Реализация гостевого
доступа
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Доступ гостевых пользователей
Основные подходы:
• Веб-портал на Wi-Fi контроллере (LWA).
• Веб-портал на Cisco ISE (CWA).
• Веб-портал на внешнем веб-сервере.
• Веб-портал в облаке (Cisco DNA Spaces) – с точки зрения гостевого
доступа, кейс для Public Hotspot, не рассматриваем.
Вопрос:
Как клиент попадает на Web-портал на WLC?
• WLC находится в пути трафика, поэтому перенаправление не требуется.
• WLC отправляет в клиенту Java-апплет, который направляет пользователя на Web-
портал WLC.
• WLC отправляет клиенту http redirect на Web-портал WLC.
• WLC выступает в роли DHCP-сервера, выдаёт в качестве DNS-сервера свой IP, поэтому
все запросы перенаправляются на него.
Веб-портал на Wi-Fi
контроллере (LWA)
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Реализация LWA для WLC
Пользователь WLC DNS/DHCP Cisco ISE
Точка доступа 2. Применяется redirect ACL
1. Подключение к Open SSID
3. Клиент получает IP по DHCP
4. Клиент открывает
браузер:
• WLC перенаправляет 3. Apply ACL and move to posture state
на страницу входа
• Клиент вводит
учётные данные
5. WLC отправляет RADIUS-запрос
на ISE
7. WLC отключает 6. ISE аутентифицирует и авторизует

redirect ACL и применяет ACL пользователя
Справочная
информация
Реализация LWA для WLC
Пример взаимодействия при использовании Web-портала на WLC

(AireOS):
https://www.cisco.com/c/en/us/support/docs/wireless/5500-series-
wireless-controllers/108501-webauth-tshoot.html
Веб-портал на Wi-Fi контроллере (LWA)
Плюсы:
• Простота реализации.
• “Изоляция” web-трафика пользователя на WLC.
• Бесплатный функционал (при использовании аутентификации с ISE
потребуется лицензия Base).
Минусы:
• Нет функционала “device registration” (при каждом подключении аутентификация на
WLC).
• Невозможно реализовать: BYOD, MDM, Posture.
• Profiling только на контроллере.
• В реальной сети не получится использовать 802.1x + LWA (аутентификация LWA при
каждом подключении).
• На WLC нет Sponsor Portal для создания гостевых учётных записей (можно
реализовать на Prime Infrastructure).
При необходимости кастомизации веб-страниц, используйте готовые customization bundles на Cisco.com:
http://software.cisco.com/download/release.html?mdfid=283848165&flowid=24841&softwareid=282791507&release=1.0.2&r
elind=AVAILABLE&rellifecycle=&reltype=latest
Ознакомьтесь с ограничениями по масштабируемости веб-портала на WLC:

https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/115951-web-auth-wlc-guide-00.html#anc20
Возможна кастомизация только с использованием HTML.
Веб-порталы на Cisco ISE
(CWA)
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Реализация CWA на ISE
Порталы, связанные с гостевыми пользователями на ISE
• Guest Portal (Self-Registered, Sponsored, Hotspot).

• Sponsor Portal – управление гостевыми учётными записями.
• My Devices – для управления устройствами, зарегистрированными
на веб-порталах ISE (Self-Registered / Sponsored).
• Blacklist – перенаправление, если устройство было добавлено в
группу Blacklist (обычно через My Devices портал).
Порталы, связанные с гостевыми пользователями на ISE
Браузеры, официально поддерживаемые порталами ISE:
https://tinyurl.com/u3m9t2f
Лицензирование:
Guest Portal и Sponsor Portal – требуют Base лицензии ISE.
Все порталы могут располагаться как на eth0, так и на eth1.
Не забудьте добавить в сертификат портала FQDN каждой PSN-ноды, на

которой будет развёрнут веб-портал.
Гостевые веб-порталы на Cisco ISE
Work Centers -> Guest Access -> Portals & Components -> Guest Portals:
Гостевые веб-порталы на Cisco ISE
Workflow*
Hotspot Sponsored Self-Registered
Guest Portal Guest Portal Guest Portal
* Показан Workflow по умолчанию

К каким порталам гостевой пользователь
подключается напрямую?
• My Devices
• Sponsor
Можно посмотреть в Authorization profile, на какие основные типы

порталов редирект есть:
My Devices портал
My Devices портал
Отличие состояния устройства Lost от Stolen
Lost:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, не отзываются.
Stolen:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, отзываются.
Blacklist портал
Для перенаправления на этот портал необходимо использовать

Authorization Profile: Blackhole_Wireless_Access
Единственный портал, для которого нельзя создать дополнительный

(duplicate).
Кастомизация порталов
Cisco ISE
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Кастомизация порталов на Cisco ISE
Базовые возможности
• Текст сообщений/ошибок
• Картинки для баннера,
лого.
• C ISE 2.2 добавлена
возможность изменять
background.
Кастомизация порталов на Cisco ISE
Расширенные возможности
Добавление файлов кастомизации типов:
• .png, .gif, .jpg, .jpeg, ico – изменение внешнего вида веб-портала.
• .htm, .html, .js, .json, .css, .m4a, .m4v, .mp3, .mp4, .mpeg, .ogg, .wav -
изменение логики портала.
Требуются знания по CSS/HTML/JavaScript.
Все файлы размещаются только на PSN (автоматически синхронизируются на

всех PSN). Хранение на внешних серверах не поддерживается.
Возможности кастомизации ограничены внешним видом веб-портала, изменить

логику работы (workflow) – не получится).
Включение JavaScript для кастомизации
По умолчанию для кода, добавляемого на Web-порталы,
включена поддержка только HTML:
ISE Portal Builder
https://isepb.cisco.com
Выбор из доступных шаблонов:
Рекомендуется вносить незначительные изменения в выбранный шаблон (текст, картинки).

При изменении масштаба/добавлении новых полей, портал может отображаться на ISE некорректно.
ISE Portal Builder – создание веб-портала
При создании указывается:

• Язык веб-портала.
• Тип Веб-портала.
• Версию ISE (уже добавлен 2.7).
Если портал отображается

некорректно, напишите
разработчикам ISE Portal Builder:
isepb@external.cisco.com
Пример кастомизации портала ISE
Blacklist портал
Стандартный вид blacklist портал:
Добавление файлов кастомизации на ISE
Administration -> Devices Portal Management -> Custom Portal Files
Добавление файла кастомизации на портал
Раздел “Portal Page Customization” Blacklist портала
Добавление файла: Просмотр HTML-кода:
Результат кастомизации Blacklist портала
Добавлена дополнительная картинка на портал:
Поддержка веб-порталов на русском
Все Web-порталы, с которыми взаимодействует гостевой

пользователь или спонсор, полностью переведены на русский.
• Guest Portal (Self-Registered, Sponsored, Hotspot).

• Sponsor Portal.
• My Devices.
• Blacklist.
Если locale в браузере отличается от поддерживаемой ISE, портал

будет отображён на английском (необходимо убедиться, что
текст кастомизирован).
Пример изменения текста для Blacklist портал
Чтобы изменить текст на языке, отличном от browser locale
• Экспортировать (Export) Language File (zip-архив).
• Внести изменения в текстовый файл.
• Импортировать (Import) Language File (zip-архив).
Пример изменения текста для Blacklist портал
• Внеcение изменений в файл с русским текстом веб-портала (Russian.properties).
• Импорт (Import) Language File (zip-архив)
Проверка соответствия locale языковой информация
версии веб-портала
Проверка параметра “LocaleKeys” в файле для соответствующего языка
(ниже список всех соответствий):
./ChineseSimplified.properties:LocaleKeys=zh,zh-cn,zh-hk,zh-mo,zh-sg,zh-hans
./ChineseTraditional.properties:LocaleKeys=zh-tw,zh-hant
./Czech.properties:LocaleKeys=cs,cs-cz
./Dutch.properties:LocaleKeys=nl,nl-nl,nl-be
./English.properties:LocaleKeys=en,en-us,en-gb,en-au,en-nz,en-za,en-ca,en-ie
./French.properties:LocaleKeys=fr,fr-fr,fr-ca,fr-be,fr-ch
./German.properties:LocaleKeys=de,de-de,de-at,de-li,de-ch,de-lu
./Hungarian.properties:LocaleKeys=hu,hu-hu
./Italian.properties:LocaleKeys=it,it-it,it-ch
./Japanese.properties:LocaleKeys=ja,ja-jp
./Korean.properties:LocaleKeys=ko,ko-kr
./Polish.properties:LocaleKeys=pl,pl-PL
./Portuguese.properties:LocaleKeys=pt,pt-br
./Russian.properties:LocaleKeys=ru,ru-ru,ru-mo,ru-md
./Spanish.properties:LocaleKeys=es,es-es,es-mx
Гостевой веб-портал на
внешнем сервере
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Ограничения гостевых веб-порталов на ISE
Стоит ли переходить на внешний веб-сервер?
Основные ограничения веб-порталов на Cisco ISE:
1. Количество аутентификаций в секунду для гостевых пользователей
(учитывайте, если используете 802.1x + CWA).
До ~100 одновременных аутентификаций/сек (SNS-3615), до 1М

гостевых пользователей в БД.
Информация по масштабируемости:
https://tinyurl.com/yx5dafr7
2. Ограничения по изменению внешнего вида (даже с Guest Portal Builder).

3. Ограничения guest flows, реализованных на веб-порталах ISE.
Реализация гостевого веб-портала на внешнем
сервере
Рекомендованная архитектура:
• ISE выступает в качестве RADIUS-сервера (идентификация по MAC-адресу устройства,
политики авторизации GuestAccess и RegisteredDevice).
• Внешний сервер – для аутентификации пользователя.
My Devices портал должен быть на внешнем сервере, т.к. устройство не

регистрируется через веб-портал ISE.
ERS API требует ISE Plus лицензию.
Session ID передавать на внешний веб-портал не нужно, т.к. для CoA Reauth потребуется
MAC устройства.
Гостевой веб-портал на внешнем сервере
Workflow
Пользователь WLC Cisco ISE Внешний веб-сервер

3. Правило авторизации с (extweb.dcloud.com)
2. WLC запускает MAB
Точка доступа перенаправлением на
внешний Web-портал
(GuestAccess)
1. Подключение к Open SSID
4. https://extweb.dcloud.com/
portal/gateway?client_mac=Clie
ntMacValue
5. Клиент открывает
браузер:
WLC возвращает
перенаправление на
extweb.dcloud.com
6.Пользователь
проходит аутентификацию на
extweb.dcloud.com
Гостевой веб-портал на внешнем сервере
Workflow
Пользователь WLC Cisco ISE Внешний веб-сервер

(extweb.dcloud.com)
Точка доступа 6.Пользователь
проходит аутентификацию на
extweb.dcloud.com
1. 7. REST API-запрос (ERS) на

ISE PAN для помещения
MAC устройства в Identity
Group: RegisteredDevices.
1. 8. API-запрос (URL) на ISE MnT

для RADIUS CoA на WLC (для
MAC устройства).
1. 9. Отправка RADIUS CoA.
1. 10. WLC запускает MAB
11. Правило авторизации

Access Type = без перенаправления на
12. Ограничение доступа с ACCESS_ACCEPT
клиента снято внешний Web-портал
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential (RegisteredDevice)
Реализация гостевых веб-порталов на информация
Настройка Network Device Profile для
использования MAC-адреса в redirect
URL (вместо SessionId):
Настройка Authorization Profile для
аутентификации на внешнем веб-сервере:
Корректировка Network Device Profile в
настройках Network Device:
Access Type = ACCESS_ACCEPT

cisco-av-pair = url-redirect-acl=ACL_WEBAUTH
cisco-av-pair = url-
redirect=https://extweb.dcloud.com/portal/gateway?client_mac=ClientMacValue&portal=404e0f70
-2e02-11e8-ba71-005056872c7f&daysToExpiry=value&action=cwa
REST API (ERS) на ISE (изменение Identity Group для Endpoint):

https://developer.cisco.com/docs/identity-services-engine/#!setting-up/using-the-api
Monitoring REST API (для отправки CoA reauth)

https://www.cisco.com/c/en/us/td/docs/security/ise/2-
6/api_ref_guide/api_ref_book/ise_api_ref_ch1.html
Guest troubleshooting
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Guest troubleshooting – ISE
Логи, относящиеся к Web-порталам
Перевести логи в уровень DEBUG*:
• portal-web-action
• guestaccess
Debug добавляется в лог на ISE:

guest.log
(Operations -> Troubleshoot -> Download Logs -> ISE-нода ->
Debug Logs)
* Раздел GUI ISE:

Administration -> System -> Logging -> Debug Log Configuration
Guest troubleshooting – ISE
Отчёты, относящиеся к гостевым Web-порталам
Operations -> Reports -> Reports -> Guest -> Guest Accounting
Master Guest Report – включает данные из разных отчётов

раздела Guest
Реализация BYOD
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Что необходимо учитывать при развёртывании
• Типы устройств/операционные системы (поддержка BYOD flow/802.1x).
• Типы пользователей (сотрудники, подрядчики, гости).
• Количество устройств для одного пользователя.
• Single/Dual-SSID.
• Политики доступа для BYOD-устройств.
• Для BYOD provisioning необходимы права администратора*.
*https://tinyurl.com/w2ntp2t
Что необходимо учитывать при развёртывании
BYOD flow не поддерживается с Cisco Anyconnect NAM (этот агент
используется только для корпоративных устройств, которые получают
настройки заранее).
Лицензирование:
• Каждое устройство, подключающееся к сети с выданным сертификатом
для BYOD onboarding, будет использовать одну ISE Plus лицензию.
• Для активации My Devices портала требуется (хотя бы одна) Plus
лицензия.
Вопрос:
Поддерживается ли BYOD onboarding с ISE для Linux?

• Поддерживается только для Ubuntu, начиная с 18.04.
• Поддерживается на Centos 8 (требует установки Cisco Anyconnect NAM).

• Поддерживается на Ubuntu 18.04, Centos 8 и Debian 10.
• Не поддерживается
Dual vs Single-SSID
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
BYOD single-SSID workflow
Устройство
Нет
Подключение к PEAP
зарегистри
Перенаправление на Устройство
802.1x SSID (MSCHAPv2) BYOD портал зарегистрировано*
ровано?
Да
SSID: CORPORATE
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA
Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
(Access-Accept)
Cisco Highly Confidential
Single-SSID
Основные соображения
• Для iOS требуется вручную отключиться и повторно подключиться к SSID

• При установлении первого подключения пользователю не просто понять,
является ли сертификат сервера доверенным.
Рекомендуется использовать, если уже есть open SSID и в нём Hotspot портал.
BYOD dual-SSID workflow
Нет Перенаправление на
Подключение к зарегистри Guest портал
“Open” SSID зарегистрировано*
ровано? (c включенным BYOD)
Да
SSID: GUEST
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA
Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
(Access-Accept)
Cisco Highly Confidential
Dual-SSID
Дополнительный SSID:
• Дополнительная сущность и
конфигурационная единица.
• Дополнительная загруженность
Wi-Fi каналов.
При использовании BYOD Хорошо подходит в случаях, если

Dual-SSID есть возможность внедряется 802.1x в проводной
разрешить на BYOD-портале сети и нет уверенности, что
гостевой доступ. 802.1x настроен успешно на всех
устройствах.
Dual-SSID
Т.к. EAP-сертификат устанавливается На Web-портале в open SSID
в момент BYOD onboarding, можно разместить инструкцию по
пользователь не подвергается риску, подключению к 802.1x SSID.
подтверждая не доверенный
сертификат при подключении к
802.1x SSID.
Т.к. устройство ранее подключалось После регистрации устройства на

к Web-порталу ISE, точность Guest Portal, можно направить его
профилирования при подключении к на отдельный BYOD-портал, в
802.1x SSID выше. зависимости от авторизации.
Поддерживаемые операционные системы
BYOD provisioning
• Windows (7, Vista, 8, 10)
• macOS
• Android
• iOS (iPod, iPhone, iPad)
• Chromebook (не рассматриваем)
Матрица совместимости:
Типы веб-порталов на ISE для BYOD provisioning
• BYOD-портал как компонент Self-Registered/Sponsored Guest Portal (dual-

SSID).
• Отдельный BYOD-портал – работает только если пользователь был успешно
аутентифицирован c учётными данными по 802.1x* (single-SSID).
• Client Provisioning – для BYOD provisioning (загрузка настроек встроенного
суппликанта и получение сертификатов клиента и сервера).
*нельзя настраивать перенаправление на него без предварительной аутентификации

пользователя.
Provisioning сертификатов
BYOD provisioning для разных типов устройств
• Android – Cisco Network Setup Assistant (загружается из Google Play, кнопка на
BYOD-портале).
• iOS – используется встроенный функционал в iOS – OTA (Over-the-Air).
• Windows - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).
• macOS - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).
Пример BYOD портала на этапе загрузки NSA для

Android:
Нюансы с BYOD
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ
BRKSEC-3229:
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ
Cisco ISE 2.6 Ports Reference:

https://tinyurl.com/yxyxv7sa
Нюансы с BYOD: macOS
CSCvq70256 Day0: MAC OSx 10.15 Beta 4 Byod flow not able to complete
BYOD flow
Ошибка на macOS 10.15 при попытке открыть SPW:

"Cisco_Network_supplicant.dmg can't be opened because apple cannot
check it for malicious software“.
macOS 10.15 поддерживается начиная с MAC SPW 2.7.0.1

Для поддержки новой ОС требуется обновление Posture:
Administration > System > Settings > Posture > Updates.
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в macOS 10.15 и iOS13
1. Длина RSA-ключей >= 2048 бит

2. Сертификат сервера и УЦ, выпустившего его, должен иметь
3. SHA-2 алгоритм (пока не касается сертификата корневого
УЦ)
4. FQDN сервера должен быть в SAN сертификата
5. Сертификат, выпущенный после 1.07.2019 должен иметь :
• OID Web Server Authentication (1.3.6.1.5.5.7.3.1)
• Срок действия менее 825 дней
https://support.apple.com/en-us/HT210176
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в iOS13 и macOS 10.15
В процессе BYOD onboarding на iOS 12+ выдаётся ошибка:
“Profile Installation failed An ssl error has occurred and a secure connection to
the server cannot be made”. Это результат изменений на стороне iOS.
Открытые дефекты в Cisco:
CSCvr44568 BYOD TLS not working for Apple iOS 13
CSCvm57650 BYOD TLS not working for IOS 12 FCS release
Дополнена документация требованиями к сертификатам ISE для iOS:

Нюансы с BYOD: iOS
Изменения в работе iOS 12.2+
Для iOS 12.2+ пользователю необходимо вручную установить сертификат и профиль,

загруженный c ISE:
После загрузки профиля на iOS открыть:
Settings > General > Profile, выбрать загруженный профиль и нажать Install (см. скрытые
слайды).
Вручную отключиться от SSID и подключиться к SSID с EAP-TLS.
CSCvo58362 Day0: IOS 12.2 is not able to If you are using Apple iOS 12.2 or later
install Certificate/profile Automatically version, you must manually install the
downloaded Certificate/Profile. To do
Добавлена информация в ISE compatibility this, choose Settings > General >
документ: Profile in the Apple iOS device and
Click Instal
Добавление инструкции на BYOD-портал

для пользователей iOS :
Нюансы с BYOD: iOS информация
CSCvo58362 Day0: IOS 12.2 is not able to

install Certificate/profile Automatically
Добавлена информация в документ по

совместимости компонентов для ISE:
Что нужно сделать пользователю при подключении (пример для iOS 13)
Загрузка профиль завершена, нужно В случае, если пользователь более 30 сек
нажать Close и подтвердить не подтверждает загрузку профиля,
сохранение на устройстве: выдаётся ошибка (нужно игнорировать):
Что нужно сделать пользователю при подключении (пример для iOS 13)
На iOS открыть: В списке профилей После установки,

Settings > General > Profile выбрать загруженный будут загружены
и нажать Install: сертификаты:
Вручную
отключиться от SSID
и подключиться к
SSID с EAP-TLS.
Изменения в логике работы iOS 12.2+
CSCvp54949 - BYOD flow is broken in IOS 12.2
При BYOD provisioning на iOS может возникать

следующая ошибка:
"Unable to complete the provisioning of your
device."
Исправление в релизах ISE (увеличены

таймеры ожидания загрузки и установки
профиля для iOS):
• 2.6 Patch 2
• 2.4 Patch 9
• 2.2 Patch 15
Captive Network Assistant (CNA)
Для Guest SSID – нет проблем.
Если в Guest SSID добавляется BYOD provisioning (dual-SSID) – CNA
мешает процессу BYOD onboarding:
Во время BYOD provisioning пользователь должен принять iOS profile
(сертификат УЦ и enrollment package), в это время CNA уходит в
background и отключает устройство от сети.
“Captive bypass” на WLC (не делать перенаправление для WISPr) –

единственный способ для ISE до версии 2.2
(до WLC 8.3 – глобальная настройка, в WLC 8.4+ на уровне SSID).
Известные проблемы с BYOD - iOS
• Версии iOS 12.2+ могут не доверять сертификату ISE в случае, если в
ISE FQSN указан “локальный” домен (например: .local)
• В iOS 11+ если ISE использует самоподписанный сертификат,

пользователь должен подтвердить установку сертификата для
завершения BYOD provisioning
Нюансы с BYOD: Android
Начиная с ISE 2.2 и Android 6+ используется новый вариант provisioning
сертификата - Enrollment over Secure Transport (EST).
Для поддержки EST необходимо внести изменения в конфигурацию ISE,

а так же разрешить TCP/8084 до PSN в redirect ACL:
https://tinyurl.com/unfwaq6
Во время процедуры получения профиля с ISE через EST,

пользователю необходимо ввести пароль.
Для поддержки EST, в ISE 2.2, специальное “невидимое” устройство

ISE_EST_Local_Host есть в списке NAD на ISE (при использовании EST видно в
RADIUS Live Log).
Для отслеживания EST в политиках авторизации на ISE, необходимо использовать

одно из правил:
1. Cisco: cisco-av-pair Equals est-csr-request=true
Или:
2. Network Access: NetworkDeviceName Equals ISE_EST_Local_Host
Android 9+ требует заполненное поле SAN (нужно перевыпустить сертификат,
добавив FQDN из CN в SAN):
/sdcards/Downloads/spw.log:
2020.01.20 12:34:55 INFO:Downloading config from198.18.133.27
2020.01.20 12:34:55 INFO:checkServerTrusted call
2020.01.20 12:34:55 ERROR:DownloadprofileAsynchTask
2020.01.20 12:34:55 ERROR:javax.net.ssl.SSLPeerUnverifiedException:
Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 ERROR:Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 INFO:ISEDownloadProfileAsynchTask.onPostExecute
:FAILED
© 2020
2020.01.20 12:34:55 INFO:Internal system error.
Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что делать с устройствами, не
поддерживающими BYOD?
• BYOD onboarding вручную (инструкция по запросу сертификата с Web-
портала, например, ISE и настройка supplicant пользователем
самостоятельно).
• Предоставление ограниченного доступа без BYOD onboarding (требовать
регистрацию устройства на My Devices портале и подключение с PEAP-
MSCHAPv2).
• Использование iPSK SSID для устройств, не поддерживающих BYOD
onboarding (с веб-порталом регистрации устройств на iPSK Manager):
https://tinyurl.com/unwlzuk
Что делать с устройствами, не
поддерживающими BYOD?
• Для BYOD Dual-SSID можно разрешить гостевой доступ на
BYOD-портале.
• Разрешить доступ для неподдерживаемых устройств (Allow
Network Access). Проверять в политике авторизации тип
устройства (на основе profiling).
Administration -> System -> Settings -> Client Provisioning:
BYOD onboarding вручную:
Certificate Provisioning портал
Используется для устройств,
для которых не
поддерживается BYOD
workflow
Необходимо лимитировать
доступ к этому порталу для
узкого круга администраторов.
Выписанные сертификаты
В GUI ISE:
Administration -> System -> Certificates -> Issued Certificates
Рекомендации
Т.к. при выдаче сертификата на этом портале не проверяется имя
пользователя в CN сертификата, рекомендуется включить проверку
наличия пользователя в AD при аутентификации по сертификату:
Work Centers -> Ext Id Sources -> Certificate Authentication Profile:
Рекомендации
Не замена удостоверяющему центру предприятия (ограничения как
с точки зрения поддерживаемого функционала, так и с точки
зрения масштабируемости и удобства сопровождения). Не
рекомендуется использовать кроме выдачи сертификатов для
BYOD-устройств.
На Certificate Provisioning портал нет перенаправления

(пользователь подключается напрямую).
Диагностика BYOD
ISE и клиентская сторона
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
BYOD troubleshooting – клиентская сторона
Android
Если в процессе создания профиля возникла ошибка:
Открыть директорию с загрузками на Android, скопировать файлы
(анализ самостоятельно или с TAC):
/sdcards*/Downloads/spw.log
/sdcards*/Downloads/estlog.txt (лог EST**)
* “внутренний накопитель” - в русской версии Android

** EST (Enrollment over Secure Transport (EST)
macOS
Последние логи SPW:
Finder -> Console Application
Поиск по слову: “spw”.
Полный лог:
/var/log/system.log
Профиль, полученный с ISE, сохраняется в директории (spwProfile.xml):

/Volumes/cisco_network_setup_assistant/Cisco Network Setup
Assistant.app/
iOS
Для просмотра логов использовать утилиту Apple Configurator 2.

Windows
Лог SPW:
%temp%\spwProfileLog.txt
BYOD troubleshooting – сторона ISE
Следующие логи в уровень DEBUG (Administration ->
System -> Logging -> Debug Log Configuration):
• ca-service
• client-webapp
• portal
• portal-session-manager
• provisioning
guest.log (логи, относящиеся к Web-порталам).

ise-psc.log (общий ход BYOD provisioning).
caservice.log (логи связанные с выпуском сертификатов для BYOD).
Отчёты, относящиеся к BYOD provisioning
Operations -> Reports -> Reports -> Endpoints and Users ->
Supplicant Provisioning
Если проблемы наблюдаются с конкретным устройством,
Рекомендуется использовать endpoint debug на ISE
(Operations -> Troubleshoot -> Diagnostic Tools -> EndPoint Debug)
Запуск EndPoint Debug из RADIUS Live Logs:
Вопрос:
Поддерживается EAP-Chaining в native 802.1x-суппликантах?

• Поддерживается только в macOS (начиная с 10.15).
• Поддерживается на macOS 10.13 и Windows 10 (April 2018 Update).

• Поддерживается только начиная с iOS 12.2.
• Не поддерживается



Основные дополнения в ISE 2.7
Auto-Logon of Self-Registered Guest after Sponsor Approval
После подтверждения
аккаунта спонсором, гость
попадает в сеть минуя Guest
Portal.
Добавлена новая веб-
страница: “Auto Login”
(действительна до 15 мин).
Auto-Logon of Self-Registered Guest after Sponsor Approval
Настройка на Self-Registered Guest Portal:
Нельзя закрывать Auto Login страницу, иначе придётся пройти

аутентификацию на веб-портале.
Phone Number as the Guest User Identifier
Возможность использовать номер телефона в качестве имени
пользователя (ранее только через JavaScript)
Настройка на Self-Registered Guest Portal: Вид на портале:
Guest Password Recovery
Можно ввести email/телефон, использованные при
регистрации и получить пароль:
Guest Password Recovery
Workflow:
Поддержка EAP-TEAP
В ISE 2.7 EAP-TEAP теперь поддерживается на стороне ISE (можно

использовать EAP Chaining).
Ожидаем реализацию на стороне встроенных суппликантов
(переговоры с Microsoft).
• Interactive Help – интерактивные подсказки гостевым пользователям
по использованию порталов.
• Grace Access – возможность дать 5-30 мин временного доступа

гостевому пользователю (до того, как аккаунт подтверждён
спонсором)
• dACLs/ACLs на ISE поддерживают IPv6.
• Kerberos Authentication for the Sponsor Portal – поддержка Kerberos SSO

для аутентификации спонсоров на Sponsor Portal.
Заключение
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Резюме
Для надёжной защиты Wi-Fi необходимо:
Знать Cisco ISE и основы архитектуры беспроводной сети.

Знать, как работают суппликанты на основных операционных
системах.
Принципы работы браузеров на клиентских устройствах.
Тонкости работы BYOD provisioning (workflow).
Могут возникать нюансы с оконечными устройствами.
В реальной сети рекомендуется использовать лабораторию

для тестирования обновлений.
Дополнительные
материалы
© 2020 Cisco
© 2020 Ciscoand/or
Confidential
Продолжение обучения
ISE Guest Access Prescriptive Deployment Guide:
https://community.cisco.com/t5/security-documents/ise-guest-access-prescriptive-deployment-
guide/ta-p/3640475
Cisco ISE BYOD Prescriptive Deployment Guide:

https://community.cisco.com/t5/security-documents/cisco-ise-byod-prescriptive-deployment-
guide/ta-p/3641867
ISE Training:
https://community.cisco.com/t5/security-documents/ise-training/ta-p/3619944
Продолжение обучения
ISE Guest & Web Authentication:
https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-
p/3657224
Cisco ISE for BYOD and Secure Unified Access, 2nd Edition
Отправляйте
Свои Вопросы
Прямо Сейчас!
Используйте панель «Вопросы и

ответы», чтобы задать вопросы и
получить ответы от экспертов.
© 2019 Cisco and/or its affiliates. All rights reserved
reserved.
«Спросить всё о безопасности
в беспроводных сетях с помощью ISE»
c 12 февраля
по 28 февраля 2020
Юлия Сергей Сажин

Севостьянова
инженер-консультант инженер-консультант
Cisco (Краков)
Cisco (Москва)
http://bit.ly/ame-ise-wifi
Сообщество есть и на других языках
Если вы говорите на английском, испанском, португальском, китайском или японском, мы приглашаем Вас
принять участие на другом языке.
Cisco Community Сообщество Cisco

Английский Русский
ツスコサポートコミュ
Comunidad de 二ティ
Soporte de Cisco Японский
Испанский
思科服务支持社区
Comunidade de Китайский
Suporte de Cisco Communauté Cisco
Португальский Французский
Спасибо за Ваше
Время!
Пожалуйста, примите участие в

оценке сегодняшнего мероприятия
© 2018
2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Благодарим за Ваше Участие
сегодня!

Безопасность в беспроводных сетях с помощью ISE

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Безопасность в беспроводных сетях с помощью ISE

Загружено:

Авторское право:

Доступные форматы

Cisco Community

Julia Sevostianova, Security Consulting Engineer

Юлия Сергей Сажин

© 2019 Cisco and/or its affiliates. All rights reserved.

Оценивайте ответы, документы, видео, блоги!

Помогите нам распознать качественный контент в

© 2019 Cisco and/or its affiliates. All rights reserved.

Julia Sevostianova, Security Consulting Engineer

ISE для Wireless - особенности/отличия от

Внедрение ISE для беспроводных

Внедрение ISE для беспроводных

4. HTTP Get request (80)

4. HTTP Get request (80)

Внедрение ISE для беспроводных

4. HTTP Get request (80)

WHAT WHERE PxGRID

Пользователей, рабочие THREATS CVSS

Контролем доступа к сети VPN

• Интеграция ISE с другими решениями

Policy Administration Node (PAN)

Одно устройство (Virtual / Appliance) Несколько устройств (Virtual / Appliance)

• Аутентификация может быть на основании:

• Рекомендуется использовать для корпоративных

EAP EAP EAP

EAP: Extensible Authentication Protocol

Endpoint Cisco ISE Active Directory

3. Apply ACL and move to posture state

4. HTTP Get request (80)

5. URL Redirect received in Access Accept

6. NAC Initiates Posture Validation 7. ACL Allowing traffic to reach ISE

8. If Posture OK, CoA req to re-

10. 802.1x re-authentication phase

4. HTTP Get request (80)

Внедрение ISE для беспроводных

4. HTTP Get request (80)

• Безопасность сети является приоритетом для менеджмента BANK

• Предоставление сетевого доступа реализовано с помощью Cisco ISE

• BANK активно использует беспроводную

AnyConnect NAM Native supplicant

Установка дополнительного Требует установки на Не требует установки

• Комбинация имя пользователя/пароль

• Наиболее распространенный сценарий:

Стоит иметь в виду при внедрении:

• возможны проблемы с драйверами на рабочих станциях

• Pop-up появляется при подключении к сети

• Client Provisioning и BYOD настройки для установки

Apple iOS устанавливает supplicant ПО во время процесса provisioning

• Не доверяет приложения установленным не через app store

1 этап – тестирование в отдельном скрытом SSID

Опционально можно создать открытый SSID до внедрения BYOD для сбора

4. HTTP Get request (80)

Внедрение ISE для беспроводных

4. HTTP Get request (80)

Пользователь WLC DNS/DHCP Cisco ISE

Точка доступа 2. Применяется redirect ACL

1. Подключение к Open SSID

3. Клиент получает IP по DHCP

7. WLC отключает 6. ISE аутентифицирует и авторизует

Пример взаимодействия при использовании Web-портала на WLC

Ознакомьтесь с ограничениями по масштабируемости веб-портала на WLC:

Возможна кастомизация только с использованием HTML.

• Guest Portal (Self-Registered, Sponsored, Hotspot).

Все порталы могут располагаться как на eth0, так и на eth1.

Не забудьте добавить в сертификат портала FQDN каждой PSN-ноды, на