ISE 2.4 WIRED , GUEST

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 187
Rejestracja: 01 wrz 2014, 10:46

ISE 2.4 WIRED , GUEST

#1

#1 Post autor: piter1789 » 05 mar 2019, 17:32

Hej,

taki scenariusz:.

uruchamiam 802.1X/MAB na porcie przełącznika. Na komputerze (z Windows 10) uruchamiam 802.1X. Niby wszytko jest ok, tylko pytanie:
Czy da się zrobić tak, że jak na komputerze mamy uruchomione 802.1X, a gdy nie powiedzie się 802.1X/MAB to dostaniemy CWA? (gdy na PC mam wyłączone 802.1X to CWA działa!)

Chodzi o to, że jak ktoś przyjdzie z zewnątrz(a ma włączone 802.1X) a podłączy się do LAN to powinienem dostać CWA.

qligowski
wannabe
wannabe
Posty: 212
Rejestracja: 16 maja 2014, 18:35

Re: ISE 2.4 WIRED , GUEST

#2

#2 Post autor: qligowski » 06 mar 2019, 11:33

Tak zalezy jak zbudujesz policy, poczytaj tez o EAP Chaining gdzie mozna polaczyc/ rozdzielic machine i username authentication.

piter1789
wannabe
wannabe
Posty: 187
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#3

#3 Post autor: piter1789 » 06 mar 2019, 21:59

no własnie czytam, ale jakoś idzie mi to akurat opornie strasznie:) a jeszcze Cisco nie zawsze to opisuje w "przyswajalny" sposób;)

qligowski
wannabe
wannabe
Posty: 212
Rejestracja: 16 maja 2014, 18:35

Re: ISE 2.4 WIRED , GUEST

#4

#4 Post autor: qligowski » 07 mar 2019, 07:15

Authentication policy:
dot1.x Wired -if authentication failed -> Continue

Authorization policy
dot1.x wired failed authentication -> Guest portal. Tam gdzies trzeba zazacznyc w authoirzation profile zeby byl Guest portal rediret czy jakos tak. I pamietaj zeby dac ta policy pod ta ktora mowi ze authentication bylo successful;

piter1789
wannabe
wannabe
Posty: 187
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#5

#5 Post autor: piter1789 » 07 mar 2019, 20:48

Tak, udało się. to zrobić. Przepraszam, za spóźnione info.

A czy próbował ktoś scenariusza, że najpierw komputer jest uwierzytelniony za pomocą MAB(baza mac w ise), a jak np. system się uruchomi to jest uwierzytelnienie hosta i usera np. EAP-TLS, EAP-TTLS, czy EAP-FAST.

piter1789
wannabe
wannabe
Posty: 187
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#6

#6 Post autor: piter1789 » 14 mar 2019, 08:22

Hej,

wpadłem jeszcze na jeden ciekawy pomysł;)

Zrobiłem tak:
komputer(jego mac) jest dodany do ISE i leci jako MAB(potem bedzie jeszcze profiling), dostaje dostęp do sieci -częściowy,
następnie jak system się uruchomi leci 802.1X. User się autoryzuje dostaje full dostęp (czyli wszystko ok).
no i tutaj mam problem.. po czasie wygaśnięcia sesji 802.1X komputer wraca do mab.. nie ma ponownej reautoryzacji 802.1X..

ktoś ma pomysł na ten problem?

ODPOWIEDZ