Cisco ISE Posture

Cisco ISE Posture

Makalemizin konusu Cisco ISE Posture ;

Networkumuze erişim sağlayacak clientlarda belli kriterler aradığımız , bu kriterler sağlandığı taktirde kaynaklara erişim izni verdiğimiz bir sistemdir. Antivirüs yazılımı yüklü olmayan ,Windows updateleri eksik , Windows Defender servisi çalışmayan clientları networke dahil etme , bu kriterler sağlanırsa dahil et gibi örnekler verebiliriz.

Makalemde konuyu anyconnect yazılımını kullanarak yapacağım.Anyconnect in deploy edilmesi profil belirlenmesi ve posture işlemi şeklinde devam edeceğim.

Önceki makalelerde Anyconnect yazılımını GPO üzerinden deploy edilmesini açıklamıştım , bu makalede client kendi yükleyecek.

Provisioning;

Clientların portala yönlendikten sonra ihtiytac duyacağı kurulum dosyaları;

Policy>Policy Elements>Results>Client Provisioning>Resource

Add deyip iki dosyayı da upload ediyorum.

Aynı ekranda bu sefer posture profilimi tanımlıyorum.

Dikkat edilmesi gereken kolon Server name rules * 

Son olarak anyconnect profilimde yukardaki tanımlarım ile ilişkilendiriyorum.

Upload ettiğim kurulum dosyaları ve posture profilimi ilgili yerlerde seçiyorum.

Provisioning son adımı hangi platformlarda hangi profilin kullanacağını belirlemek.

Provisioning işlemi bu kadar , sıra policy kısmında.

Policy;

Networke dahil olan client ISE üzerinde 3 şekilde değerlendirilir , bunlar UNKNOW, NON_COMPLIANT , COMPLIANT 

Herbir durum için yazılması gereken condition ve result aşağıdaki gibi olmalıdır.

UNKNOW: Client networke ilk giriş yaptığında ISE anyconnect yazılımının yüklü olup olmadığını kontrol eder.Bu durumda status Unknow durumdadır.

Contitions;

Result;

Bu işlem sırasında dns ve dhcp isteklerini kabul etmek için aşağıdaki gibi DACL yazıyoruz.

Kullanıcıları Web authentication veya Provisioning sayfasına yönlendirmek için kullanacağımız switch üzerindeki ACL

Result kısmında tüm bu tanımları  aşağıdaki gibi seçiyorum,

Web Redirection kısmında Switch üzerindeki ACL ve Provisioning sayfamızı gösteriyorum.

NON_COMPLIANT:Client Anyconnect yazılımı kuruldu, istenen kriterlerin denetlenmesi ve sağlanması durumudur.

Conditions;

Results;

Bu süre zarfında DACL hala deny şeklindedir.Yani hiçbir yere erişemez.

COMPLIANT:Belirlediğimiz tüm şartlar karşılandı ve networke erişim sağlandığı durumdur.

Conditions;

Results;

Tüm gereksinimler karşılandığından result permit access dir.

Son olarak Policylerimizin son hali;

Posture:

Posture işlemlerinde bir adet condition ve buna karşılık gelen result tanımlarını yapacağım.

Örneklerimiz;

Windows Update Servisini kontrol et ,çalışmıyorsa kullanıcı uyar.

Antivirüs yüklü olmasını kontrol et

Antivirüs yüklü değilse ilgili linkten indirip kurmasını sağlamak.

Kullanıcının masaüstünde coskun.bin adında bir dosya olması

Coskun.bin dosyası yoksa ilgili linkten download etmesini sağla

Policy>Policy Elements>Results>Requirements

Yukarda oluşturduğumuz conditions ve remedation actions ları burda ilişkilendiriyorum.

Windows Update servisi için kullanıcıya uyarı çıkart.

Antivirüs ve dosya için linklere yönlendir.

Posture daki son işlem Policy>Posture tabında hangi kullanıcılar hangi kurallara çarpacak , herbiri için ne kadar süre mühlet verilecek şeklinde ayarlarımızı belirliyorum.

Client testlerimizi yapmaya bağlayabiliriz.

İlk olarak portalımız karşılıyor bizi

Anyconnect yazılımını indirip devam ediyoruz.

Bu işlem sırasında cihazımınız durumu UNKNOW dur.

NONCOMPLIANT duruma geçtik artık anyconnect cihazımı kontrol etti eksiklerimizi söylüyor ,

Start dediğimizde bizi ilgili dosyalar için linkimize yönlendiriyor.

windows servisi başlatım, antivirüs yükledim ve coskun.bin dosyasını masaüstüne koydum.

Artık compliant durumdayım yani networkteki diğer kaynaklara erişim sağlayabilirim.

Son olarak sırasıyla Operation >Radius>Live Log üzerinden clientımızın önce unknow ,non compliant ve permit access durumuna geçtiğini görebiliriz.

Posture genel anlamda bu şekilde makale biraz uzun oldu ama birkaç örnekten sonra menulere alışacaksınızdır.

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)