Tag: cisco ise

Configure ISE Threat-Centric NAC with Rapid7

Configure ISE Threat-Centric NAC with Rapid7

Cisco ISE Makaleler serimde bugün ISE Threat-Centric NAC özelliğinin ne işe yaradığını ve Rapid7 InsighVM ürünü ile nasıl birlikte çalıştığını, bizlere ne gibi faydalar sağladığını anlatmaya çalışacağım.

Rapid7 InsignVM ürünü tam anlamıyla zafiyet yönetim sistemidir, perentasyon dediğimiz zafiyet analizi yapan bunları bizim anlayabileceğimiz bir dile çeviren, bu zafiyetlerin nasıl kapanacağını, hangi işlemleri yapmamız gerektiğini, rapor şeklinde de sunabilen bir SIEM çözümünün parçasıdır.

Bu işlemleri nasıl yapar;

Networku discover ederek ağımızdaki asset leri bulur.

Buldukları asset leri gruplar.

Read More Read More

Cisco ISE 2.3 Guest Portal

Cisco ISE 2.3 Guest Portal

Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.

Bu işlemler sırayla ;

  • Switchde ISE Server tanımı
  • ISE Serverda switch tanımı
  • ISE serverın Active Directory entegrasyonu
  • Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.

Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.

Read More Read More

CISCO ISE Upgrade

CISCO ISE Upgrade

Merhaba Arkadaşlar CISCO ISE makaleler serisinde sıra geldi upgrade işlemine
Cisco download sayfasını incelediğimizde versiyonlar arası geçiş paketlerini görebilirsiniz.
ISE 1.4 den ISE 2.0 , 2.2 ye direk geçiş paketleri varken 2.3 için minumum 2.0 a geçmeniz gerekmektedir.
Bu makalemde sizlere 2.1 den 2.3 e geçiş aşamasını anlatacağım
Öncelikle download paketlerini indiriyorum.

Sonrasında ISE Sunucumun bir snapshot ını alıp aksi bir durumda geri dönüşü hızlandırıyorum.

İndirdiğim upgrade dosyasını ftp ile ISE sunucumun diskine çekiyorum kullanacağım komut seti
” copy ftp://10.10.10.10/ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz disk:/

Kopyalama işlemi bitti dosyam artık ISE serverımda

Upgrade için önce repository oluşturuyorum bu repository local disk de bulunacak ve adı da” upgrade ” olacak

ise01/admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ise01/admin(config)# repository upgrade
ise01/admin(config-Repository)# url disk:
e% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes. If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.
ise01/admin(config-Repository)# end
ise01/admin#

Upgrade işlemini tetiklemeye geldi sıra kullanacağımız komut

” application upgrade prepare ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz upgrade “

Bu işlem datanın boyutuna göre değişiklik gösterecek aşağıdaki linki incelerseniz Standalone bir yapıda 240 dakika diyor
Upgrade işlemini takip edeceğiniz komut seti
ise01/admin# application upgrade proceed

Burada belirtmek istediğim son bir nokta upgrade sonrasında Guest Operating System Red Hat Linux seçilmeli . (Red Hat Linux vmxnet ve e1000 desteklemektedir.)
https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/upgrade_guide/b_ise_upgrade_guide_21/b_ise_upgrade_guide_21_chapter_00.html

Cisco ISE Certificate + User Authentication

Cisco ISE Certificate + User Authentication

Merhaba arkadaşlar makalemin bu bölümde networkteki kullanıcılarımın authentication işlemlerinde kullanacağım yöntem olarak sertifika ve active directory bilgisi isteyeceğim

Bir önceki makalemde Cisco Ise üzerinde sertifika oluşturmayı anlatmıştım makaleyi okumadan önce o postu incelemenizde fayda var.

Elimde iki adet sertifika var bir tanesi local deki CA serverım root , diğeride ISE üzerinden CSR kodumuzla oluşturduğumuz sertifika bu ikisini bir GPO ile Computers OU sunun üzerine basıyorum.

Read More Read More

EAP Chaining Cisco ISE 2.1

EAP Chaining Cisco ISE 2.1

EAP-FAST Cisco tarafından geliştirilmiştir. Networkde dijital sertifika veya güçlü şifre kullanmaya gerek duymayan bir protokoldür.

EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tünel bir kez kurulduğunda, kullanıcı adı ve şifreleriyle kimlik denetimini bu tunelden  yapar.

Windows sunucunun yapabildiği; önce user sonra machine bilgisini gönderir bu durumda user and machine authentication aynı anda yapamaz.

User+certificate (PEAP+EAP+TLS) bu iki etken ile authentication yapmak istiyorsak Any Connect Kullanmamız gerekmekte.

Read More Read More

Enjoy this blog? Please spread the word :)