精选
当涉及到对端点进行概要分析时,我已经注意到,即使是一些以ISE为重点的工程师,甚至都将其视为幕后发生的神奇而模糊的事情。这也不是特定于ISE的。我认为我从未见过网络访问控制产品具有100%的配置保真度或客户期望的粒度。我想说,ISE的内置配置文件可能至少从较高级别识别了90%的端点。这篇博客文章的目的是帮助您为您删除一些“幕后”魔术,以便您进行分析工作。
我花了一些时间将很多第三方供应商的RADIUS供应商字典导入并更新到ISE中。我从各个社区和开源站点获取了这些信息,但是显然我无法针对每个供应商进行测试,因为我的实验室中没有选择140多个第三方NAD。将它们导入ISE之后,将它们导出并上传到此处。
我想写这篇文章,介绍如何通过使用模板访问列表将ACL复制并粘贴到无线控制器的命令行中来节省一些时间。在这篇小博客文章中,我将分享几个可供任何人使用的Blackhole,Employee,Guest和Web Redirect ACL模板。
在此博客文章中,我将介绍一种称为思科通用分类策略语言(C3PL)的另一种为ISE配置交换机的方法。我已经对此配置了解了一段时间,但我承认直到最近我才真正尝试学习它。如果您阅读IBNS 2.0部署指南 这里,这本令人生畏的指南长达65页,读起来就像一本典型的手册。我最终阅读了Jamey Heary和Aaron Woland的 思科ISE BYOD第二版 他们用4页精美地将其分解,使我成为“ Team C3PL”。
在此博客文章中,我将介绍ISE 2.3中的新策略集。很多人来找我,说他们担心必须学习新的政策。好吧,我对您有个好消息:尽管有一些增强,但它并不是您想的那样新颖或新颖。有增强功能吗?当然!但这并不意味着您不想重新学习整个过程。
在本文中,我将回顾ISE 2.2和2.3中新增的ISE PassiveID功能。在这篇特别的文章中,我将通过ISE 2.3进行所有操作,但是请记住,您也可以从ISE 2.3进行所有操作。在ISE 2.0中,添加了一个名为EasyConnect的功能,该功能利用了Active Directory域控制器中的WMI日志来检查登录事件。基于这些登录事件,ISE将决定授予访问权限。这使ISE可以授予超出典型802.1x和性能分析方法的网络访问权限。此功能运行良好,但需要大量后端工作来准备Active Directory以共享WMI日志,如果您阅读了我之前的文章, 这里,您将明白我的意思。ISE的创建者决定修改此过程,并在ISE 2.2及更高版本中创建一种更好的方法来实现此目的。
在此博客文章中,我将介绍Catalyst 3650交换机和无线控制器的TrustSec和SXP配置。我将逐步进行配置,创建SXP连接并进行验证。之后,我将通过将客户端连接到交换机来测试策略,观察在入口上应用标记以及所应用的策略。
在此博客文章中,我们将介绍ISE 2.1中TrustSec的配置。此配置在大多数情况下也适用于ISE 2.0。尽管TrustSec不是安全ISE部署的必需配置,但它无疑具有一些巨大的优势。这是一种利用安全组标记(SGT)的安全体系结构,该体系结构允许该网络强制执行访问控制策略,降低ACL复杂度,并且可用于其他安全设备中的策略,当我浏览pxGrid时,我将在以后的博客文章中进一步介绍该策略。在不同的系统上。
这篇文章将介绍ISE 2.1和AMP for Endpoints的集成。 ISE 2.1引入了“以威胁为中心的NAC”的概念,该概念使您可以配置易受攻击性和威胁适配器,以向ISE发送高保真威胁指示器(IoC),检测到威胁的事件和CVSS分数,从而可以以威胁为中心的访问策略创建以相应地更改端点的特权。
在理想情况下,您可以使用dot1x或通过访客门户对主机进行身份验证以进入网络,但现实情况是,并非每个连接到网络的设备都具有导航访客流或使用dot1x的能力。不幸的是,我们大多数人并不生活在一个完美的世界中,必须将设备连接到我们的网络,例如电话,IP摄像头,打印机,徽章读取器,访问点等,因此,配置文件应运而生。ISE将做什么ISE从端点所连接的NAD收集了一系列属性,并基于这些属性集合,ISE能够确定该端点是哪种设备
在这篇文章中,我将配置热点访问。热点访问与ISE中的常规访客访问有所不同。 Hotspot的用例是您可能希望允许访客访问Internet而无需颁发凭据或直接识别它们,但仍具有一定程度的控制权。例如,如果您拥有连锁零售店,并且想让客户访问互联网,而又不想让他们自行注册或披露有关其身份的信息。热点将是提供访问权限的解决方案。使用热点访问,您可以出于营销原因而拥有品牌门户,让用户出于法律原因而接受AUP,将其重定向到您公司的页面或带有最新交易/优惠券的网页,甚至可以让他们输入访问权限您在此位置显示的代码,以减少用户不在企业中的网络随机连接。
在这篇文章中,我将创建我的访客无线策略。来宾访问通常是您在访问公司,连接到无线设备然后进入初始页面以输入您提供的某种凭证或自行注册以获取自己的凭证时所想到的。我将创建一个基本的访客无线策略,但是如果您想在自己的实验室中尝试使用该策略,或者想要在其中部署该策略,我将带您逐步了解该策略可以使用的一些其他选项。您的生产网络。
在本指南中,我将逐步介绍与ISE的MDM集成。 MDM用于在工作场所中部署,保护,监视,集成和管理移动设备。下载到移动设备的MDM软件可以控制应用程序和补丁的分发,以及控制端点上的数据和配置。
在本文中,我将逐步介绍BYOD策略的配置。该政策将通过我们先前在ISE中创建的SCEP配置文件将证书推送给我的用户。我将逐步介绍您可以在此策略中配置的一些不同选项,但总的来说,我将使策略本身保持非常简单。
在下一篇文章中,我将逐步介绍dot1x用于有线和无线访问的策略创建。如前一篇文章所述,我将使用PEAP-EAP-TLS,但是可以使用许多不同的方法。我还将基于用户角色配置差异化访问,以演示ISE的一些可能性。
在这篇博客中,我将网络访问设备(NAD)添加到ISE部署中。这些设备将向ISE发送RADIUS请求和配置信息 有关网络上端点的信息,ISE将根据策略返回一个授权配置文件,该配置文件将为访问设备提供有关如何处理该端点的说明。
在本文中,我们将在此博客文章中为ISE节点启用服务,并配置ISE和Active Directory之间的身份映射服务(在ISE 2.1中称为PassiveID)。身份映射服务使ISE能够监视由域控制器而非ISE认证的用户。此功能对于EasyConnect配置非常有用,我将在以后的文章中进行介绍。它可以通过使用Microsoft WMI界面连接到Active Directory以及通过查询Windows事件消息中的日志来收集此信息。
在下一篇文章中,我们是 将创建证书身份验证配置文件。对于我们将在以后的帖子中创建的身份验证方法,此配置文件是必需的。由于我们将在策略中使用基于EAP证书的身份验证方法,因此ISE会将从客户端收到的证书与服务器中的证书进行比较,以验证用户或计算机的真实性。这被认为比传统的用户名和密码方法安全得多。
在此视频中,我们将介绍ISE上的配置以支持远程访问VPN