Category: ISE

FMC INTEGRATION WITH ISE VIA PXGrid

FMC INTEGRATION WITH ISE VIA PXGrid

Merhaba ;

Yazımızın konusu Cisco FirePower , ISE entegrasyonu

Öncelikle PXGrid teknolojisinden bahsedeyim ;Network altyapısını oluşturan güvenlik, monitoring, kimlik yönetimi, tehdit algılama, önleme gibi tüm bileşenlerin arasındaki entegrasyonu sağlayıp ,aralarında bilgi alışverişi sağlayan multivendor çalışan bir teknolojidir.

Ağımıza yeni katılan bir cihazın ip adresi, mac adresi, kimlik bilgisi, konumu, üzerindeki yazılımları vs gibi önemli bilgileri ISE ile öğrenebiliyoruz. Bu öğrendiğimiz bilgileri networkdeki diğer cihazlar ile paylaşıp ,bu bilgiler üzerinden yetkilendirme , gruplama gibi işlemleri yapabiliriz. PXGrid in yaptığı da bu cihazlar arası bilgi alışverişi sağlamak.

Makalenin sonunda ISE üzerindeki SGT (Security Group Tags) lere göre Firepower üzerinde kural yazabilir. FirePower ile Active Directory entegrasyonunu sağlayabilir duruma geleceğiz.

ISE üzerinde yapılması gereken işlemler;

PXGrid servisini enable etmek için

Administrator > Deployment

Servislerin durumunu kontrol etmek için kullanacağımız komut

show application status ise

Entegrasyonun sağlandığında PXGrid isteğini otomatik olarak kabul edilmesi ile ilgili bir ayardır, manuel de yapılabilir.

ISE üzerinde sertfika konfigürasyonunu tekrardan anlatmayacağım ,detaylı bilgiyi sitemde bulabilirsiniz.

FMC üzerinde yapılması gereken ayarlar;

Microsoft CA Root sertfikamızı ,FMC sunucumuza import ediyoruz.

Object > PKI > Trusted CAs

PXGrid servisi için bir sertifika kullanacağız , bunun için CSR oluşturuyoruz.

Object > PKI >Internal Cas Generate CA

İlgili alanları doldurduktan sonra Generate CSR diyoruz.

Oluşturduğumuz CSR ı kopyalayıp Microsoft CA üzerinden onaylıyoruz.

Bu işlem sonunda elimizde pxgrid2.cer adında Microsoft CA in onayladığı bir sertifikaya sahip oluyoruz.

Sertifika işlemini bitirmek için aynı ekranda pxgird2.cer gösterip save diyoruz.

FMC için oluşturduğumuz Internal CA sertifika hazır , internal sertfikalar altında görebilmek için bir işlemimiz daha var

Oluşturduğumuz sertifikayı private key i ile birlikte export alıyoruz.

Export ettiğimiz *.p12 uzantılı dosyamızı pem formatına çevirmemiz gerekmektedir. Bu işlem için online bir tool kullanacağız.

Object > PKI >Internal Certs Add Internal Cert

Certificate Date yazan kısım için pxgrid2.cer , Key için *.pem dosyamızı gösteriyoruz.

Bag Attributes ile başlayan kısımları silerek OK diyoruz.

Internal Certs altında sertifikamızı görebiliyoruz artık.

Bir sonraki adım Integration > Identity Sources kısmından entegrasyon yapacağımız alana ulaşıyoruz.

İstenilen bilgileri sağlayıp Test butonuna basıyoruz.

Active Directoy entegrasyonu için tanımlarımıza devam ediyoruz.

System > Integration Directory bu kısımda Active Directory sunucumuzu ekliyoruz.

System > Integration Realm configuration Active Directory erişim bilgilerimizi giriyoruz.

System > Integration User Download Active Directory üzerindeki gruplarımızı seçiyoruz.

Firewall kurallarında bu entegrasyonu kullanabilmek için

Policy > Identity New Policy

Bir önceki adımda Realm konfigürasyonumuzu burada seçiyoruz.

Policy sekmesinde de identity Policy miz artık seçilebilir duruma geliyor.

Artık kurallarımızda Active Directory objelerimizi kullanabiliriz.

SGT için ISE üzerinde oluşturduğum statik grupların FMC üzerine geldiğini kontrol edelim.

COSKUN1 ve COSKUN2 adındaki 2 adet Grup firewall a gelmiş.

FMC 6.5 sürümüne kadar Active Directory entegrasyonunu agent ile yapabiliyorduk , 6.5 den sonra bu işlem için ISE veya ISE PIC kullanılması gerekecek bunu da dipnot olarak belirtmeykte fayda var.

Makalemizin başında PXGrid için multivendor çalışan bir teknoloji olduğundan bahsetmiştim ,bir sonraki makalemizin konusu da ISE / Checkpoint entegrasyonu PXGrid ile sağlayabiliriz.

Görüşmek üzere.

Configure ISE Threat-Centric NAC with Rapid7

Configure ISE Threat-Centric NAC with Rapid7

Cisco ISE Makaleler serimde bugün ISE Threat-Centric NAC özelliğinin ne işe yaradığını ve Rapid7 InsighVM ürünü ile nasıl birlikte çalıştığını, bizlere ne gibi faydalar sağladığını anlatmaya çalışacağım.

Rapid7 InsignVM ürünü tam anlamıyla zafiyet yönetim sistemidir, perentasyon dediğimiz zafiyet analizi yapan bunları bizim anlayabileceğimiz bir dile çeviren, bu zafiyetlerin nasıl kapanacağını, hangi işlemleri yapmamız gerektiğini, rapor şeklinde de sunabilen bir SIEM çözümünün parçasıdır.

Bu işlemleri nasıl yapar;

Networku discover ederek ağımızdaki asset leri bulur.

Buldukları asset leri gruplar.

Read More Read More

Cisco ISE Posture

Cisco ISE Posture

Makalemizin konusu Cisco ISE Posture ;

Networkumuze erişim sağlayacak clientlarda belli kriterler aradığımız , bu kriterler sağlandığı taktirde kaynaklara erişim izni verdiğimiz bir sistemdir. Antivirüs yazılımı yüklü olmayan ,Windows updateleri eksik , Windows Defender servisi çalışmayan clientları networke dahil etme , bu kriterler sağlanırsa dahil et gibi örnekler verebiliriz.

Makalemde konuyu anyconnect yazılımını kullanarak yapacağım.Anyconnect in deploy edilmesi profil belirlenmesi ve posture işlemi şeklinde devam edeceğim.

Önceki makalelerde Anyconnect yazılımını GPO üzerinden deploy edilmesini açıklamıştım , bu makalede client kendi yükleyecek.

Read More Read More

Cisco ISE Portal Builder

Cisco ISE Portal Builder

Cisco ISE Portal Builder;

Bir önceki makalemizin konusu Guest Portal dı bu makaleyi konunun devamı olarak görecek olursak kısaca ; Networkümüze bağlanmak isteyen kullanıcılar kurum politikası gereği istenen bilgileri dolduruyor sonrasında bir kullanıcı şifreye sahip oluyor ve bu bilgilerle networke yada internete erişim sağlıyorlardı.

Cisco ISE Portal Builder ; ISE Server da portal sayfaları için tek bir template bulunmaktadır.ISE Portal bizlere daha fazla template ve bu templateleri daha fazla özelleştirme imkanı veren bir portaldır.Bu makalemizde bir template seçip bunu kurumumuza göre hazırlayacağız ardından ISEPB Portal Upload & Config Tool yardımı ile ISE serverımıza import etmeyi göreceğiz.

Read More Read More

Cisco ISE 2.3 Guest Portal

Cisco ISE 2.3 Guest Portal

Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.

Bu işlemler sırayla ;

  • Switchde ISE Server tanımı
  • ISE Serverda switch tanımı
  • ISE serverın Active Directory entegrasyonu
  • Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.

Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.

Read More Read More

CISCO ISE Upgrade

CISCO ISE Upgrade

Merhaba Arkadaşlar CISCO ISE makaleler serisinde sıra geldi upgrade işlemine
Cisco download sayfasını incelediğimizde versiyonlar arası geçiş paketlerini görebilirsiniz.
ISE 1.4 den ISE 2.0 , 2.2 ye direk geçiş paketleri varken 2.3 için minumum 2.0 a geçmeniz gerekmektedir.
Bu makalemde sizlere 2.1 den 2.3 e geçiş aşamasını anlatacağım
Öncelikle download paketlerini indiriyorum.

Sonrasında ISE Sunucumun bir snapshot ını alıp aksi bir durumda geri dönüşü hızlandırıyorum.

İndirdiğim upgrade dosyasını ftp ile ISE sunucumun diskine çekiyorum kullanacağım komut seti
” copy ftp://10.10.10.10/ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz disk:/

Kopyalama işlemi bitti dosyam artık ISE serverımda

Upgrade için önce repository oluşturuyorum bu repository local disk de bulunacak ve adı da” upgrade ” olacak

ise01/admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ise01/admin(config)# repository upgrade
ise01/admin(config-Repository)# url disk:
e% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes. If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.
ise01/admin(config-Repository)# end
ise01/admin#

Upgrade işlemini tetiklemeye geldi sıra kullanacağımız komut

” application upgrade prepare ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz upgrade “

Bu işlem datanın boyutuna göre değişiklik gösterecek aşağıdaki linki incelerseniz Standalone bir yapıda 240 dakika diyor
Upgrade işlemini takip edeceğiniz komut seti
ise01/admin# application upgrade proceed

Burada belirtmek istediğim son bir nokta upgrade sonrasında Guest Operating System Red Hat Linux seçilmeli . (Red Hat Linux vmxnet ve e1000 desteklemektedir.)
https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/upgrade_guide/b_ise_upgrade_guide_21/b_ise_upgrade_guide_21_chapter_00.html

Cisco ISE Certificate + User Authentication

Cisco ISE Certificate + User Authentication

Merhaba arkadaşlar makalemin bu bölümde networkteki kullanıcılarımın authentication işlemlerinde kullanacağım yöntem olarak sertifika ve active directory bilgisi isteyeceğim

Bir önceki makalemde Cisco Ise üzerinde sertifika oluşturmayı anlatmıştım makaleyi okumadan önce o postu incelemenizde fayda var.

Elimde iki adet sertifika var bir tanesi local deki CA serverım root , diğeride ISE üzerinden CSR kodumuzla oluşturduğumuz sertifika bu ikisini bir GPO ile Computers OU sunun üzerine basıyorum.

Read More Read More

Cisco AnyConnect Deploy via GPO

Cisco AnyConnect Deploy via GPO

Merhaba arkadaşlar Cisco ISE Makalelerimin  bu bölümünde enterprise yapılarda Anyconnect yazılımının clientlara deploy aşamasında dikkat edilmesi gereken hususlar konusuna değineceğim

Anyconnect üzerinde vpn posture amp umbrella gibi diğer Cisco ürün ailesi ile konuşan agentlar mevcut, ISE için kurulması gereken agentlar Core , Network Access Manager ve son olarak posture işlemi için ISE Posture

Anyconnect ISE server ımızla nasıl konuşuyor biraz ondan bahsedelim , ISE Server üzerinde kullanacağımız protokol EAP-FAST olmalı sonrasında daha önceki makalemizde bahsettiğimiz AnyConnect Editor vasıtasıyla clientların bu protokolu kullanırken user machine authentication için nasıl yol izleyeceğini seçiyorum ve bunlardan bir profil çıkarıyorum

Sonrasında bu profil dosyamız Clinet üzerindeki AnyConnect yazılımıma gösteriyorum ve ISE Serverım üzerindeki policy ilerime göre networke erişimini sağlıyorum.

GPO üzerinden software install seçeneğinden Anyconnect kurulumu yapamıyoruz burada önerilen Microsoft System Center ürünlerini kullanıp kullanıcıya deploy etmek ama ben bu işlemi bat file hazırlayıp deploy işlemini gerçekleştiricem.

İlk olarak kurulum dosyalarımızı dc üzerinde bir paylaşıma açıyorum 

Sonrasında bat filemızı aşağıdaki gibi hazırlıyorum

Önce core agent sonrasında network access manager ve posture agentlarını kur ve en son agenttan sonrada restart et diyorum

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-core.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-nam.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-posture.msi /restart /quiet 

Hazırladığım bat file ı  computer Policy altında startup Policy yerleştiriyorum

2.adımda NAM (Network Access Manager) için konfigüration dosyasının kopyalanacağı yere user için yetki vermem gerekiyor.Aşağıdaki resimde windows xp ve sonrası için işletim sistemlerinde bu dosyaların tutulduğu yer gösterilmekte.

Bizim kullanıcımız windows10 ve policy m aşağıdaki gibi yaratıyorum

Sıra geldi konfigürasyon dosyamızı client a kopyalama işlemine bunun için de aslında 2 yöntem var  1. yol xcopy ile bir bat file hazırlanması   2.yol ise GPO üzerinden source destination ların belirlenip dosyayı göstermek

Son işlemimiz Anyconnect Agent client üzerine kuruldu, configuration file üzerine kopyalandı ama ISE üzerinde machine authentication hatası alıyorsunuz , ISE üzerindeki policyleriniz doğru ama bir türlü machine authentication sağlayamıyor, sebebi windows 8 ve sonrası işletim sistemlerindeki değişen güvenlik tanımlarından kaynaklanmaktadır, aslında burda machine bilgisini ISE a gönderirken bu işlemi şifreli olarak göndermesi ve bunu ISE çözemiyor olması sorunun asıl kaynağıdır bu cisco da bir BUG olarak geçmekte çözümü ise gene GPO üzerinden hazırlaycağım register kaydı.

ISE loglarına baktığımızda artık user+machine authentication sağlanmış durumdadır.

 

EAP Chaining Cisco ISE 2.1

EAP Chaining Cisco ISE 2.1

EAP-FAST Cisco tarafından geliştirilmiştir. Networkde dijital sertifika veya güçlü şifre kullanmaya gerek duymayan bir protokoldür.

EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tünel bir kez kurulduğunda, kullanıcı adı ve şifreleriyle kimlik denetimini bu tunelden  yapar.

Windows sunucunun yapabildiği; önce user sonra machine bilgisini gönderir bu durumda user and machine authentication aynı anda yapamaz.

User+certificate (PEAP+EAP+TLS) bu iki etken ile authentication yapmak istiyorsak Any Connect Kullanmamız gerekmekte.

Read More Read More

Enjoy this blog? Please spread the word :)