Академический Документы
Профессиональный Документы
Культура Документы
Сообщество Live
Безопасность в беспроводных сетях с помощью Cisco ISE
c 12 февраля
по 28 февраля 2020
http://bit.ly/ame-ise-wifi
© 2019 Cisco and/or its affiliates. All rights reserved.
Материалы после Сообщества Live
Используйте панель
«Вопросы и ответы» (Q&A),
чтобы задать свои вопросы
На все вопросы будут даны ответы
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Обзор Cisco ISE
Cisco Identity Services Engine (ISE)
является лидирующей в индустрии
платформой обеспечения контроля
доступа к сети и применения
политик WHO WHEN
CISCO ISE SIEM, MDM, NBA, IPS, IPAM, etc.
и сегментацией
Делиться информацией
Передавать информацию
в другие платформы для
© 2020 дальнейшего
Cisco and/or анализа
its affiliates. All rights reserved. Cisco Highly Confidential
Role-based Access Control | Guest Access | BYOD | Secure Access
Что не рассматривается в рамках вебинара:
• Posture
• Конфигурация WLC
• SDA
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE варианты развертывания
STANDALONE ISE Policy Services Node (PSN) MULTI-NODE ISE
- Makes policy decisions
- RADIUS / TACACS+ Servers
pXGrid Controller
- Facilitates sharing of context
• Типы аутентификации:
• Аутентификация пользователя (доменные пользователи и др.)
• Машинная аутентификация (в основном для доменных рабочих станций)
Credentials
(Certificate /
Endpoint Cisco ISE Active Directory
Password / Token) Network Device (Authentication Server)
(Supplicant) (Authenticator) (Identity Store)
EAP
Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основы of 802.1X
Port-Authorized
EAP EAP
802.1X RADIUS
RADIUS: ACCESS-ACCEPT
EAP: EAP-SUCCESS
Port-Unauthorized
(If authentication fails)
EAP: Extensible Authentication Protocol
Supplicant: ПО на устройстве клиента, которое предоставляет учетные данные сетевому устройству Authenticator
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
На основании чего НЕ МОЖЕТ быть произведена аутентификация 802.1x?
• На основании комбинации имя пользователя/пароль.
• На основании mac адреса рабочей станции.
• На основании сертификата.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
WLC Cisco ISE
AP (Authenticator)
Endpoint (Authentication Server)
(Supplicant)
1. 802.1x Authentication
2. Access Accept
(URL redirect port 80, ACL)
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
EAP: Extensible Authentication Protocol
ISE для Wireless - особенности/отличия от
внедрения в проводной сети
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Внедрение 802.1x для
корпоративных устройств
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
История внедрения 802.1x для беспроводной сети
• BANK – крупный банк, с большим количеством отделений
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Выбираем Supplicant:
Поддержка EAP-chaining
Лицензирование Не требует
лицензирования
Возможности траблшутинга
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Какой протокол выбрать?
• EAP-TLS
• EAP-FAST
• PEAP-MSCHAPv2
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
EAP/PEAP-MSCHAPv2
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
Для чего используется Master Session Key?
• Для синхронизации баз данных ISE нод.
• Для шифрования данных в защищенном туннеле, в котором будут передаваться данные
аутентификации пользователя EAP-MSCHAPv2.
• Для отслеживания сессии клиента, это значение остается уникальным с момента
аутентификации, до завершения сессии.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Настраиваем устройства
клиентов
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Windows 7 , 8/8.1, 10 – Native Supplicant
Используется групповая политика AD для:
• настройки Supplicant
• распространения сертификатов
• предварительной настройка SSID
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
MAC OS X Supplicant
• Для версий 10.8+процесс аутентификации
802.1x запускается автоматически
Сертификаты:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Мобильные устройства
(Опционально) Онбординг через ISE для PEAP или EAP-TLS
Для Android:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Стадии развёртывания
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Стадии развертывания
802.1x:
Гостевой доступ:
зачастую может быть внедрен без рисков для бизнеса сразу для большого
количества пользователей
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Где проверять, если что-то пошло не так?
• Operations – RADIUS – Live Logs
• Reports – Failed Authentication
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация гостевого
доступа
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Доступ гостевых пользователей
Основные подходы:
• Веб-портал на Wi-Fi контроллере (LWA).
• Веб-портал на Cisco ISE (CWA).
• Веб-портал на внешнем веб-сервере.
• Веб-портал в облаке (Cisco DNA Spaces) – с точки зрения гостевого
доступа, кейс для Public Hotspot, не рассматриваем.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
Как клиент попадает на Web-портал на WLC?
• WLC находится в пути трафика, поэтому перенаправление не требуется.
• WLC отправляет в клиенту Java-апплет, который направляет пользователя на Web-
портал WLC.
• WLC отправляет клиенту http redirect на Web-портал WLC.
• WLC выступает в роли DHCP-сервера, выдаёт в качестве DNS-сервера свой IP, поэтому
все запросы перенаправляются на него.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi
контроллере (LWA)
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Реализация LWA для WLC
4. Клиент открывает
браузер:
• WLC перенаправляет 3. Apply ACL and move to posture state
на страницу входа
• Клиент вводит
учётные данные
5. WLC отправляет RADIUS-запрос
на ISE
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Реализация LWA для WLC
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi контроллере (LWA)
Плюсы:
• Простота реализации.
• “Изоляция” web-трафика пользователя на WLC.
• Бесплатный функционал (при использовании аутентификации с ISE
потребуется лицензия Base).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-портал на Wi-Fi контроллере (LWA)
Минусы:
• Нет функционала “device registration” (при каждом подключении аутентификация на
WLC).
• Невозможно реализовать: BYOD, MDM, Posture.
• Profiling только на контроллере.
• В реальной сети не получится использовать 802.1x + LWA (аутентификация LWA при
каждом подключении).
• На WLC нет Sponsor Portal для создания гостевых учётных записей (можно
реализовать на Prime Infrastructure).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Веб-портал на Wi-Fi контроллере (LWA)
При необходимости кастомизации веб-страниц, используйте готовые customization bundles на Cisco.com:
http://software.cisco.com/download/release.html?mdfid=283848165&flowid=24841&softwareid=282791507&release=1.0.2&r
elind=AVAILABLE&rellifecycle=&reltype=latest
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Веб-порталы на Cisco ISE
(CWA)
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Реализация CWA на ISE
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Порталы, связанные с гостевыми пользователями на ISE
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Порталы, связанные с гостевыми пользователями на ISE
Браузеры, официально поддерживаемые порталами ISE:
https://tinyurl.com/u3m9t2f
Лицензирование:
Guest Portal и Sponsor Portal – требуют Base лицензии ISE.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевые веб-порталы на Cisco ISE
Work Centers -> Guest Access -> Portals & Components -> Guest Portals:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевые веб-порталы на Cisco ISE
Workflow*
Hotspot Sponsored Self-Registered
Guest Portal Guest Portal Guest Portal
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
My Devices портал
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
My Devices портал
Отличие состояния устройства Lost от Stolen
Lost:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, не отзываются.
Stolen:
• Устройство отправляет в группу Blacklist.
• Статус устройства: Lost.
• “BYODRegistration” - No.
• Сертификаты, выданные через ISE, отзываются.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Blacklist портал
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Кастомизация порталов на Cisco ISE
Базовые возможности
• Текст сообщений/ошибок
• Картинки для баннера,
лого.
• C ISE 2.2 добавлена
возможность изменять
background.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Кастомизация порталов на Cisco ISE
Расширенные возможности
Добавление файлов кастомизации типов:
• .png, .gif, .jpg, .jpeg, ico – изменение внешнего вида веб-портала.
• .htm, .html, .js, .json, .css, .m4a, .m4v, .mp3, .mp4, .mpeg, .ogg, .wav -
изменение логики портала.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE Portal Builder
https://isepb.cisco.com
Выбор из доступных шаблонов:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Пример кастомизации портала ISE
Blacklist портал
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Добавление файлов кастомизации на ISE
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Добавление файла кастомизации на портал
Раздел “Portal Page Customization” Blacklist портала
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Результат кастомизации Blacklist портала
Добавлена дополнительная картинка на портал:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Поддержка веб-порталов на русском
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Пример изменения текста для Blacklist портал
Чтобы изменить текст на языке, отличном от browser locale
• Экспортировать (Export) Language File (zip-архив).
• Внести изменения в текстовый файл.
• Импортировать (Import) Language File (zip-архив).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Пример изменения текста для Blacklist портал
• Внеcение изменений в файл с русским текстом веб-портала (Russian.properties).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Проверка соответствия locale языковой информация
версии веб-портала
Проверка параметра “LocaleKeys” в файле для соответствующего языка
(ниже список всех соответствий):
./ChineseSimplified.properties:LocaleKeys=zh,zh-cn,zh-hk,zh-mo,zh-sg,zh-hans
./ChineseTraditional.properties:LocaleKeys=zh-tw,zh-hant
./Czech.properties:LocaleKeys=cs,cs-cz
./Dutch.properties:LocaleKeys=nl,nl-nl,nl-be
./English.properties:LocaleKeys=en,en-us,en-gb,en-au,en-nz,en-za,en-ca,en-ie
./French.properties:LocaleKeys=fr,fr-fr,fr-ca,fr-be,fr-ch
./German.properties:LocaleKeys=de,de-de,de-at,de-li,de-ch,de-lu
./Hungarian.properties:LocaleKeys=hu,hu-hu
./Italian.properties:LocaleKeys=it,it-it,it-ch
./Japanese.properties:LocaleKeys=ja,ja-jp
./Korean.properties:LocaleKeys=ko,ko-kr
./Polish.properties:LocaleKeys=pl,pl-PL
./Portuguese.properties:LocaleKeys=pt,pt-br
./Russian.properties:LocaleKeys=ru,ru-ru,ru-mo,ru-md
./Spanish.properties:LocaleKeys=es,es-es,es-mx
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на
внешнем сервере
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Ограничения гостевых веб-порталов на ISE
Стоит ли переходить на внешний веб-сервер?
Основные ограничения веб-порталов на Cisco ISE:
1. Количество аутентификаций в секунду для гостевых пользователей
(учитывайте, если используете 802.1x + CWA).
Информация по масштабируемости:
https://tinyurl.com/yx5dafr7
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация гостевого веб-портала на внешнем
сервере
Рекомендованная архитектура:
• ISE выступает в качестве RADIUS-сервера (идентификация по MAC-адресу устройства,
политики авторизации GuestAccess и RegisteredDevice).
• Внешний сервер – для аутентификации пользователя.
Session ID передавать на внешний веб-портал не нужно, т.к. для CoA Reauth потребуется
MAC устройства.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на внешнем сервере
Workflow
4. https://extweb.dcloud.com/
portal/gateway?client_mac=Clie
ntMacValue
5. Клиент открывает
браузер:
WLC возвращает
перенаправление на
extweb.dcloud.com
6.Пользователь
проходит аутентификацию на
extweb.dcloud.com
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Гостевой веб-портал на внешнем сервере
Workflow
внешнем сервере
Настройка Network Device Profile для
использования MAC-адреса в redirect
URL (вместо SessionId):
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Реализация гостевых веб-порталов на информация
внешнем сервере
Настройка Authorization Profile для
аутентификации на внешнем веб-сервере:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Реализация гостевых веб-порталов на информация
внешнем сервере
Корректировка Network Device Profile в
настройках Network Device:
внешнем сервере
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Guest troubleshooting
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Guest troubleshooting – ISE
Логи, относящиеся к Web-порталам
Перевести логи в уровень DEBUG*:
• portal-web-action
• guestaccess
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Guest troubleshooting – ISE
Отчёты, относящиеся к гостевым Web-порталам
Operations -> Reports -> Reports -> Guest -> Guest Accounting
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Реализация BYOD
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Что необходимо учитывать при развёртывании
• Типы устройств/операционные системы (поддержка BYOD flow/802.1x).
• Типы пользователей (сотрудники, подрядчики, гости).
• Количество устройств для одного пользователя.
• Single/Dual-SSID.
• Политики доступа для BYOD-устройств.
• Для BYOD provisioning необходимы права администратора*.
*https://tinyurl.com/w2ntp2t
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что необходимо учитывать при развёртывании
BYOD flow не поддерживается с Cisco Anyconnect NAM (этот агент
используется только для корпоративных устройств, которые получают
настройки заранее).
Лицензирование:
• Каждое устройство, подключающееся к сети с выданным сертификатом
для BYOD onboarding, будет использовать одну ISE Plus лицензию.
• Для активации My Devices портала требуется (хотя бы одна) Plus
лицензия.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
• Не поддерживается
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Dual vs Single-SSID
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
BYOD single-SSID workflow
Устройство
Нет
Подключение к PEAP
зарегистри
Перенаправление на Устройство
802.1x SSID (MSCHAPv2) BYOD портал зарегистрировано*
ровано?
Да
SSID: CORPORATE
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA
Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
зарегистри
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
© 2020 Cisco and/or its affiliates. All rights reserved.
(Access-Accept)
Cisco Highly Confidential
Single-SSID
Основные соображения
Рекомендуется использовать, если уже есть open SSID и в нём Hotspot портал.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD dual-SSID workflow
Устройство
Нет Перенаправление на
Подключение к зарегистри Guest портал
Устройство
“Open” SSID зарегистрировано*
ровано? (c включенным BYOD)
Да
SSID: GUEST
Доступ разрешён Отправка
(Access-Accept) RADIUS CoA
Нет
X
Повторное Устройство
PEAP (EAP-TLS) Доступ запрещён
подключение к EAP-TLS
зарегистри
(Access-Reject)
ровано?
802.1x SSID
Да
SSID: CORPORATE
Доступ разрешён
© 2020 Cisco and/or its affiliates. All rights reserved.
(Access-Accept)
Cisco Highly Confidential
Dual-SSID
Основные соображения
Дополнительный SSID:
• Дополнительная сущность и
конфигурационная единица.
• Дополнительная загруженность
Wi-Fi каналов.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Dual-SSID
Основные соображения
Т.к. EAP-сертификат устанавливается На Web-портале в open SSID
в момент BYOD onboarding, можно разместить инструкцию по
пользователь не подвергается риску, подключению к 802.1x SSID.
подтверждая не доверенный
сертификат при подключении к
802.1x SSID.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Поддерживаемые операционные системы
BYOD provisioning
• Windows (7, Vista, 8, 10)
• macOS
• Android
• iOS (iPod, iPhone, iPad)
• Chromebook (не рассматриваем)
Матрица совместимости:
https://tinyurl.com/u3m9t2f
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Типы веб-порталов на ISE для BYOD provisioning
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD provisioning для разных типов устройств
• Android – Cisco Network Setup Assistant (загружается из Google Play, кнопка на
BYOD-портале).
• iOS – используется встроенный функционал в iOS – OTA (Over-the-Air).
• Windows - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).
• macOS - Cisco Network Setup Assistant (загружается с Cisco ISE PSN).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ
BRKSEC-3229:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: ISE
Admin-cертификат PSN для BYOD должен быть подписан доверенным УЦ
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в macOS 10.15 и iOS13
https://support.apple.com/en-us/HT210176
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: macOS и iOS
Требования к сертификатам в iOS13 и macOS 10.15
В процессе BYOD onboarding на iOS 12+ выдаётся ошибка:
“Profile Installation failed An ssl error has occurred and a secure connection to
the server cannot be made”. Это результат изменений на стороне iOS.
Открытые дефекты в Cisco:
CSCvr44568 BYOD TLS not working for Apple iOS 13
CSCvm57650 BYOD TLS not working for IOS 12 FCS release
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в работе iOS 12.2+
CSCvo58362 Day0: IOS 12.2 is not able to If you are using Apple iOS 12.2 or later
install Certificate/profile Automatically version, you must manually install the
downloaded Certificate/Profile. To do
Добавлена информация в ISE compatibility this, choose Settings > General >
документ: Profile in the Apple iOS device and
Click Instal
https://tinyurl.com/u3m9t2f
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в работе iOS 12.2+
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Что нужно сделать пользователю при подключении (пример для iOS 13)
Загрузка профиль завершена, нужно В случае, если пользователь более 30 сек
нажать Close и подтвердить не подтверждает загрузку профиля,
сохранение на устройстве: выдаётся ошибка (нужно игнорировать):
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
Что нужно сделать пользователю при подключении (пример для iOS 13)
Вручную
отключиться от SSID
и подключиться к
SSID с EAP-TLS.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: iOS
Изменения в логике работы iOS 12.2+
CSCvp54949 - BYOD flow is broken in IOS 12.2
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Известные проблемы с BYOD - iOS
• Версии iOS 12.2+ могут не доверять сертификату ISE в случае, если в
ISE FQSN указан “локальный” домен (например: .local)
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: Android
Начиная с ISE 2.2 и Android 6+ используется новый вариант provisioning
сертификата - Enrollment over Secure Transport (EST).
https://tinyurl.com/unfwaq6
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Нюансы с BYOD: Android
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Нюансы с BYOD: Android
Android 9+ требует заполненное поле SAN (нужно перевыпустить сертификат,
добавив FQDN из CN в SAN):
/sdcards/Downloads/spw.log:
2020.01.20 12:34:55 INFO:Downloading config from198.18.133.27
2020.01.20 12:34:55 INFO:checkServerTrusted call
2020.01.20 12:34:55 ERROR:DownloadprofileAsynchTask
2020.01.20 12:34:55 ERROR:javax.net.ssl.SSLPeerUnverifiedException:
Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 ERROR:Hostname 198.18.133.27 not verified:
certificate: sha1/ABffdLgrtyqZ6Cy6OVwdazyZ7jS0=
DN: CN=ise1.dcloud.com
subjectAltNames: []
2020.01.20 12:34:55 INFO:ISEDownloadProfileAsynchTask.onPostExecute
:FAILED
© 2020
2020.01.20 12:34:55 INFO:Internal system error.
Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что делать с устройствами, не
поддерживающими BYOD?
• BYOD onboarding вручную (инструкция по запросу сертификата с Web-
портала, например, ISE и настройка supplicant пользователем
самостоятельно).
• Предоставление ограниченного доступа без BYOD onboarding (требовать
регистрацию устройства на My Devices портале и подключение с PEAP-
MSCHAPv2).
• Использование iPSK SSID для устройств, не поддерживающих BYOD
onboarding (с веб-порталом регистрации устройств на iPSK Manager):
https://tinyurl.com/unwlzuk
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Что делать с устройствами, не
поддерживающими BYOD?
• Для BYOD Dual-SSID можно разрешить гостевой доступ на
BYOD-портале.
• Разрешить доступ для неподдерживаемых устройств (Allow
Network Access). Проверять в политике авторизации тип
устройства (на основе profiling).
Administration -> System -> Settings -> Client Provisioning:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD onboarding вручную:
Certificate Provisioning портал
Используется для устройств,
для которых не
поддерживается BYOD
workflow
Необходимо лимитировать
доступ к этому порталу для
узкого круга администраторов.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Выписанные сертификаты
В GUI ISE:
Administration -> System -> Certificates -> Issued Certificates
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Рекомендации
Т.к. при выдаче сертификата на этом портале не проверяется имя
пользователя в CN сертификата, рекомендуется включить проверку
наличия пользователя в AD при аутентификации по сертификату:
Work Centers -> Ext Id Sources -> Certificate Authentication Profile:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Certificate Provisioning портал
Рекомендации
Не замена удостоверяющему центру предприятия (ограничения как
с точки зрения поддерживаемого функционала, так и с точки
зрения масштабируемости и удобства сопровождения). Не
рекомендуется использовать кроме выдачи сертификатов для
BYOD-устройств.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Диагностика BYOD
ISE и клиентская сторона
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
BYOD troubleshooting – клиентская сторона
Android
Если в процессе создания профиля возникла ошибка:
Открыть директорию с загрузками на Android, скопировать файлы
(анализ самостоятельно или с TAC):
/sdcards*/Downloads/spw.log
/sdcards*/Downloads/estlog.txt (лог EST**)
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – клиентская сторона
macOS
Последние логи SPW:
Finder -> Console Application
Поиск по слову: “spw”.
Полный лог:
/var/log/system.log
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – клиентская сторона
iOS
Для просмотра логов использовать утилиту Apple Configurator 2.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – сторона ISE
Следующие логи в уровень DEBUG (Administration ->
System -> Logging -> Debug Log Configuration):
• ca-service
• client-webapp
• portal
• portal-session-manager
• provisioning
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
BYOD troubleshooting – сторона ISE
Отчёты, относящиеся к BYOD provisioning
Operations -> Reports -> Reports -> Endpoints and Users ->
Supplicant Provisioning
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
BYOD troubleshooting – сторона ISE
Если проблемы наблюдаются с конкретным устройством,
Рекомендуется использовать endpoint debug на ISE
(Operations -> Troubleshoot -> Diagnostic Tools -> EndPoint Debug)
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Вопрос:
• Не поддерживается
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
ISE для Wireless - особенности/отличия от
внедрения в проводной сети
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Auto-Logon of Self-Registered Guest after Sponsor Approval
После подтверждения
аккаунта спонсором, гость
попадает в сеть минуя Guest
Portal.
Добавлена новая веб-
страница: “Auto Login”
(действительна до 15 мин).
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Auto-Logon of Self-Registered Guest after Sponsor Approval
Настройка на Self-Registered Guest Portal:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Guest Password Recovery
Можно ввести email/телефон, использованные при
регистрации и получить пароль:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Guest Password Recovery
Workflow:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Основные дополнения в ISE 2.7
Поддержка EAP-TEAP
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Основные дополнения в ISE 2.7
• Interactive Help – интерактивные подсказки гостевым пользователям
по использованию порталов.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Справочная
информация
Основные дополнения в ISE 2.6
• dACLs/ACLs на ISE поддерживают IPv6.
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Заключение
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Резюме
Для надёжной защиты Wi-Fi необходимо:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Дополнительные
материалы
© 2020 Cisco
© 2020 Ciscoand/or
and/oritsits affiliates.
affiliates. All rights
All rights reserved.
reserved. CiscoCisco
HighlyHighly Confidential
Confidential
Продолжение обучения
ISE Guest Access Prescriptive Deployment Guide:
https://community.cisco.com/t5/security-documents/ise-guest-access-prescriptive-deployment-
guide/ta-p/3640475
ISE Training:
https://community.cisco.com/t5/security-documents/ise-training/ta-p/3619944
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Продолжение обучения
ISE Guest & Web Authentication:
https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-
p/3657224
Cisco ISE for BYOD and Secure Unified Access, 2nd Edition
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Highly Confidential
Отправляйте
Свои Вопросы
Прямо Сейчас!
c 12 февраля
по 28 февраля 2020
http://bit.ly/ame-ise-wifi
© 2019 Cisco and/or its affiliates. All rights reserved.
Сообщество есть и на других языках
Если вы говорите на английском, испанском, португальском, китайском или японском, мы приглашаем Вас
принять участие на другом языке.
ツスコサポートコミュ
Comunidad de 二ティ
Soporte de Cisco Японский
Испанский
思科服务支持社区
Comunidade de Китайский
Suporte de Cisco Communauté Cisco
Португальский Французский
© 2019 Cisco and/or its affiliates. All rights reserved.
Спасибо за Ваше
Время!
© 2018
2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Благодарим за Ваше Участие
сегодня!
© 2019 Cisco and/or its affiliates. All rights reserved.