Tag: ise

FMC INTEGRATION WITH ISE VIA PXGrid

FMC INTEGRATION WITH ISE VIA PXGrid

Merhaba ;

Yazımızın konusu Cisco FirePower , ISE entegrasyonu

Öncelikle PXGrid teknolojisinden bahsedeyim ;Network altyapısını oluşturan güvenlik, monitoring, kimlik yönetimi, tehdit algılama, önleme gibi tüm bileşenlerin arasındaki entegrasyonu sağlayıp ,aralarında bilgi alışverişi sağlayan multivendor çalışan bir teknolojidir.

Ağımıza yeni katılan bir cihazın ip adresi, mac adresi, kimlik bilgisi, konumu, üzerindeki yazılımları vs gibi önemli bilgileri ISE ile öğrenebiliyoruz. Bu öğrendiğimiz bilgileri networkdeki diğer cihazlar ile paylaşıp ,bu bilgiler üzerinden yetkilendirme , gruplama gibi işlemleri yapabiliriz. PXGrid in yaptığı da bu cihazlar arası bilgi alışverişi sağlamak.

Makalenin sonunda ISE üzerindeki SGT (Security Group Tags) lere göre Firepower üzerinde kural yazabilir. FirePower ile Active Directory entegrasyonunu sağlayabilir duruma geleceğiz.

ISE üzerinde yapılması gereken işlemler;

PXGrid servisini enable etmek için

Administrator > Deployment

Servislerin durumunu kontrol etmek için kullanacağımız komut

show application status ise

Entegrasyonun sağlandığında PXGrid isteğini otomatik olarak kabul edilmesi ile ilgili bir ayardır, manuel de yapılabilir.

ISE üzerinde sertfika konfigürasyonunu tekrardan anlatmayacağım ,detaylı bilgiyi sitemde bulabilirsiniz.

FMC üzerinde yapılması gereken ayarlar;

Microsoft CA Root sertfikamızı ,FMC sunucumuza import ediyoruz.

Object > PKI > Trusted CAs

PXGrid servisi için bir sertifika kullanacağız , bunun için CSR oluşturuyoruz.

Object > PKI >Internal Cas Generate CA

İlgili alanları doldurduktan sonra Generate CSR diyoruz.

Oluşturduğumuz CSR ı kopyalayıp Microsoft CA üzerinden onaylıyoruz.

Bu işlem sonunda elimizde pxgrid2.cer adında Microsoft CA in onayladığı bir sertifikaya sahip oluyoruz.

Sertifika işlemini bitirmek için aynı ekranda pxgird2.cer gösterip save diyoruz.

FMC için oluşturduğumuz Internal CA sertifika hazır , internal sertfikalar altında görebilmek için bir işlemimiz daha var

Oluşturduğumuz sertifikayı private key i ile birlikte export alıyoruz.

Export ettiğimiz *.p12 uzantılı dosyamızı pem formatına çevirmemiz gerekmektedir. Bu işlem için online bir tool kullanacağız.

Object > PKI >Internal Certs Add Internal Cert

Certificate Date yazan kısım için pxgrid2.cer , Key için *.pem dosyamızı gösteriyoruz.

Bag Attributes ile başlayan kısımları silerek OK diyoruz.

Internal Certs altında sertifikamızı görebiliyoruz artık.

Bir sonraki adım Integration > Identity Sources kısmından entegrasyon yapacağımız alana ulaşıyoruz.

İstenilen bilgileri sağlayıp Test butonuna basıyoruz.

Active Directoy entegrasyonu için tanımlarımıza devam ediyoruz.

System > Integration Directory bu kısımda Active Directory sunucumuzu ekliyoruz.

System > Integration Realm configuration Active Directory erişim bilgilerimizi giriyoruz.

System > Integration User Download Active Directory üzerindeki gruplarımızı seçiyoruz.

Firewall kurallarında bu entegrasyonu kullanabilmek için

Policy > Identity New Policy

Bir önceki adımda Realm konfigürasyonumuzu burada seçiyoruz.

Policy sekmesinde de identity Policy miz artık seçilebilir duruma geliyor.

Artık kurallarımızda Active Directory objelerimizi kullanabiliriz.

SGT için ISE üzerinde oluşturduğum statik grupların FMC üzerine geldiğini kontrol edelim.

COSKUN1 ve COSKUN2 adındaki 2 adet Grup firewall a gelmiş.

FMC 6.5 sürümüne kadar Active Directory entegrasyonunu agent ile yapabiliyorduk , 6.5 den sonra bu işlem için ISE veya ISE PIC kullanılması gerekecek bunu da dipnot olarak belirtmeykte fayda var.

Makalemizin başında PXGrid için multivendor çalışan bir teknoloji olduğundan bahsetmiştim ,bir sonraki makalemizin konusu da ISE / Checkpoint entegrasyonu PXGrid ile sağlayabiliriz.

Görüşmek üzere.

Configure ISE Threat-Centric NAC with Rapid7

Configure ISE Threat-Centric NAC with Rapid7

Cisco ISE Makaleler serimde bugün ISE Threat-Centric NAC özelliğinin ne işe yaradığını ve Rapid7 InsighVM ürünü ile nasıl birlikte çalıştığını, bizlere ne gibi faydalar sağladığını anlatmaya çalışacağım.

Rapid7 InsignVM ürünü tam anlamıyla zafiyet yönetim sistemidir, perentasyon dediğimiz zafiyet analizi yapan bunları bizim anlayabileceğimiz bir dile çeviren, bu zafiyetlerin nasıl kapanacağını, hangi işlemleri yapmamız gerektiğini, rapor şeklinde de sunabilen bir SIEM çözümünün parçasıdır.

Bu işlemleri nasıl yapar;

Networku discover ederek ağımızdaki asset leri bulur.

Buldukları asset leri gruplar.

Read More Read More

Cisco ISE Posture

Cisco ISE Posture

Makalemizin konusu Cisco ISE Posture ;

Networkumuze erişim sağlayacak clientlarda belli kriterler aradığımız , bu kriterler sağlandığı taktirde kaynaklara erişim izni verdiğimiz bir sistemdir. Antivirüs yazılımı yüklü olmayan ,Windows updateleri eksik , Windows Defender servisi çalışmayan clientları networke dahil etme , bu kriterler sağlanırsa dahil et gibi örnekler verebiliriz.

Makalemde konuyu anyconnect yazılımını kullanarak yapacağım.Anyconnect in deploy edilmesi profil belirlenmesi ve posture işlemi şeklinde devam edeceğim.

Önceki makalelerde Anyconnect yazılımını GPO üzerinden deploy edilmesini açıklamıştım , bu makalede client kendi yükleyecek.

Read More Read More

Cisco AnyConnect Deploy via GPO

Cisco AnyConnect Deploy via GPO

Merhaba arkadaşlar Cisco ISE Makalelerimin  bu bölümünde enterprise yapılarda Anyconnect yazılımının clientlara deploy aşamasında dikkat edilmesi gereken hususlar konusuna değineceğim

Anyconnect üzerinde vpn posture amp umbrella gibi diğer Cisco ürün ailesi ile konuşan agentlar mevcut, ISE için kurulması gereken agentlar Core , Network Access Manager ve son olarak posture işlemi için ISE Posture

Anyconnect ISE server ımızla nasıl konuşuyor biraz ondan bahsedelim , ISE Server üzerinde kullanacağımız protokol EAP-FAST olmalı sonrasında daha önceki makalemizde bahsettiğimiz AnyConnect Editor vasıtasıyla clientların bu protokolu kullanırken user machine authentication için nasıl yol izleyeceğini seçiyorum ve bunlardan bir profil çıkarıyorum

Sonrasında bu profil dosyamız Clinet üzerindeki AnyConnect yazılımıma gösteriyorum ve ISE Serverım üzerindeki policy ilerime göre networke erişimini sağlıyorum.

GPO üzerinden software install seçeneğinden Anyconnect kurulumu yapamıyoruz burada önerilen Microsoft System Center ürünlerini kullanıp kullanıcıya deploy etmek ama ben bu işlemi bat file hazırlayıp deploy işlemini gerçekleştiricem.

İlk olarak kurulum dosyalarımızı dc üzerinde bir paylaşıma açıyorum 

Sonrasında bat filemızı aşağıdaki gibi hazırlıyorum

Önce core agent sonrasında network access manager ve posture agentlarını kur ve en son agenttan sonrada restart et diyorum

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-core.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-nam.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-posture.msi /restart /quiet 

Hazırladığım bat file ı  computer Policy altında startup Policy yerleştiriyorum

2.adımda NAM (Network Access Manager) için konfigüration dosyasının kopyalanacağı yere user için yetki vermem gerekiyor.Aşağıdaki resimde windows xp ve sonrası için işletim sistemlerinde bu dosyaların tutulduğu yer gösterilmekte.

Bizim kullanıcımız windows10 ve policy m aşağıdaki gibi yaratıyorum

Sıra geldi konfigürasyon dosyamızı client a kopyalama işlemine bunun için de aslında 2 yöntem var  1. yol xcopy ile bir bat file hazırlanması   2.yol ise GPO üzerinden source destination ların belirlenip dosyayı göstermek

Son işlemimiz Anyconnect Agent client üzerine kuruldu, configuration file üzerine kopyalandı ama ISE üzerinde machine authentication hatası alıyorsunuz , ISE üzerindeki policyleriniz doğru ama bir türlü machine authentication sağlayamıyor, sebebi windows 8 ve sonrası işletim sistemlerindeki değişen güvenlik tanımlarından kaynaklanmaktadır, aslında burda machine bilgisini ISE a gönderirken bu işlemi şifreli olarak göndermesi ve bunu ISE çözemiyor olması sorunun asıl kaynağıdır bu cisco da bir BUG olarak geçmekte çözümü ise gene GPO üzerinden hazırlaycağım register kaydı.

ISE loglarına baktığımızda artık user+machine authentication sağlanmış durumdadır.

 

Active Directory Integration with Cisco ISE 2.1

Active Directory Integration with Cisco ISE 2.1

Bu makalemizde ISE Server ımı Active Directory ile entegrasyonunu sağlayacağım  ardından Active Directory User ve Computer  bazlı ,authentication authorization policy leri nasıl yazılır onu göreceğim.

Active Directory Entegrasyonu;

External Identy Sources altında Active Directory add deyip bir isim veriyorum.

 

İlgili yerleri doldurduktan Submit diyorum.

ISE Node altında domain imiz işaretleyip join deyip entegrasyonu bitiriyorum.

Authentication policy mizi computer ve user bazlı yapacağımız için Active Directory mizden bu grupları çekelim

Aynı tab dan Groups > Add > Select Groups From Directory deyip “Retrieve Groups” ordan Domain Users ve Domain Computers  seçiyorum.

Örnek 1:

Çalışanlarımızdan Coşkun evinden notebookunu getirdi ama bilgisayarında antivirusü yok windows update leri eksik

Yapmamız gereken Coşkun kabloyu taktığında networkumden izole edilsin şirket kaynaklarına ulaşamasın ama internete çıkabilsin.

Authentication Policy ;

Authorization  Policy ;

Eğer bir cihaz sistemde tanımlı bir yetkiye gruba üye değilse mab_mach  kuralına çarpsın ve  VLAN_60_ONLY_INTERNET permission ile networkte gezinsin.

Peki nedir bu VLAN_60_ONLY_INTERNET

İlk önce ISE üzerinde switch lere gönderebildiğimiz Downloadable ACL yazıyoru.

Sonrasında Authorization Policy de vlan ataması yapıp bu vlan da bir önceki adımdaki DACL yi assing ediyorum.

Switch üzerinden durumu control etmek gerekirse kullanacağımız komut

“show authentication sessions interface gigabitEthernet 1/0/1 details”

Aldığı ip ,authentication method, uygulan DACL hepsini burada görebilirim.

Interface altındaki komutum.

ve son olaran client taki aksiyon,

Örnek 2:

Örneğimizde user yada machine bazlı authorization gerçekleştiğinde VLAN_10 herikiside gerçekleştiğinde VLAN_41 e assing et diyeceğim (windows işletim sistemi sadece açılışta machine bilgisi gönderir, yani machine authentication yapacaksanız bilgisayarı restart etmeniz gerek)

Authentication Policy ;

2.kuralda makalenin başında gerçekleştirdiğim active directory seçiyorum

Authorization  Policy ;

Client ımı restart ediyorum ve aksiyonumuzu loglardan adım adım takip ediyorum.

Kullanıcı adı şifremi yazdığım sırada Machine Auth oldu ardından user ve halka tamamlandı hem user hemde machine authentication olduğundan beni vlan 41 e assing etti.

Switch deki durumumuz.

 

 

 

 

 

Managing Network Devices Cisco ISE 2.1

Managing Network Devices Cisco ISE 2.1

Makalemizin bu bölümünde Switch konfigürasyonu Wireless Lan Controller konfigürasyonu ve bunların ISE tarafındaki tanımlamalarını anlatmaya çalışıcam

ISE kullanmamızın sebebi nedir diye düşünürsek ; ortamdaki bilgisayarlar ,tabletler, akıllı telefonlar ve diğer kullanıcı cihazlarını networküme girdiği vakit bir authentication mekanızmasından geçsin eğer şartları karşılıyor ise verdiğim yetkiler doğrultusunda networkte gezinebilsin  , aynı zamanda da port konfigürasyonları aynı olsun ki ben gerekli yetkilendirmeleri tek ekrandan yönetim logunu göreyim  gerekirse önlemimi alayım.

Read More Read More

Implement Cisco ISE 2.1 Server Certificates

Implement Cisco ISE 2.1 Server Certificates

Bir önceki makalemizde ISE Server  kurdum , erişim için ip adresi verdim.

Sıra geldi Client larımın networke girereken  yapacağı authentication işleminde sertifika kullanması için ISE Server ımda ve CA Server ımda yapılması gereken işlemlere

Öncelikli olarak CA server için yapımdaki Active Directory sunucuma iki servisin yüklenmesi gerekiyor.

 

Bunlar ;

Servisleri kurduktan sonra internet explorer üzerinden http://127.0.0.1/certsrv adresine giriyorum.

Bu makalede ; İhityacım olan ROOT sertifikamı indiriyorum sonrasında da ISE Server üzerinde oluşturduğum CRS kod ile sertifikamı  onaylayacağım.

ROOT Certificate ;

Download a CA certificate , certificate chain ,or CRL  linkini tıklıyorum.

Ikinci adımda Encoding method BASE64 seçip Download CA Certificate diyorum.

Bu sertifikaya ROOT deyip kaydediyorum.

Sonrasında ROOT Sertifikamı ISE Server ımın Trusted Certificates tabına ekliyorum.

Dikkat edilmesi gereken nokta “Trust for client authentication and Syslog” kutucuğunun işaretlenmesi.

Artık ROOT sertifikam ISE Database inde Trusted Certificate altında

CLIENT Certificate ;

Client Makinelerimin kullanacağı sertifika için ISE üzerinde CSR üretiyorum.

Boşluklara aşağıdaki şekilde düzenleyip CSR kodu export ediyorum.

Sonrasında tekrar CA  yı açıp , bu sefer “Request a certificate” ardından “advanced certificate request” tıklıyorum.

ISE üzerinden oluşturduğum CRS kodu buraya yapıştıryorum.

Son olarak Base64  seçip download ediyorum.

CA üzerinde işimiz bitti şimdi ISE üzerindeki Request imi sonlandırmam gerekiyor.

“Bind CA Signed Certificate” diyorum.

Sonrasında bu sertifikayı nerede kullanacağımı işaretliyorum ve submit diyorum

5 dakika kadar servislerin tekrar ayağa kalkmasını bekliyorum.

ISE server ım açıldı sertifikayı kontrol ediyorum.

 

 

 

Cisco ISE 2.1 Installation

Cisco ISE 2.1 Installation

Merhaba Arkadaşlar

Bu makale serimde uzun  zamandır merak ettiğim bir ürünün kurulumundan başlayıp en ince ayrıntısına kadar adım  adım anlatmaya çalışıcam .

Seri ilk olarak kurulum ile başlacak sonrasında kablolu ve kablosuz 802.1x örnekleri ile devam edecek , bloğumu takip eden arkadaşlar diğer makalelerde olduğu gibi bu seride de tanımlamalardan çok örnekler demolar bulacaktır.

Makale serisine aynı demo dan devam  edeceğim üzere yapıyı biraz açıklayayım.

Read More Read More

Enjoy this blog? Please spread the word :)