ISE 2.4 WIRED , GUEST

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

ISE 2.4 WIRED , GUEST

#1

#1 Post autor: piter1789 »

Hej,

taki scenariusz:.

uruchamiam 802.1X/MAB na porcie przełącznika. Na komputerze (z Windows 10) uruchamiam 802.1X. Niby wszytko jest ok, tylko pytanie:
Czy da się zrobić tak, że jak na komputerze mamy uruchomione 802.1X, a gdy nie powiedzie się 802.1X/MAB to dostaniemy CWA? (gdy na PC mam wyłączone 802.1X to CWA działa!)

Chodzi o to, że jak ktoś przyjdzie z zewnątrz(a ma włączone 802.1X) a podłączy się do LAN to powinienem dostać CWA.

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ISE 2.4 WIRED , GUEST

#2

#2 Post autor: qligowski »

Tak zalezy jak zbudujesz policy, poczytaj tez o EAP Chaining gdzie mozna polaczyc/ rozdzielic machine i username authentication.

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#3

#3 Post autor: piter1789 »

no własnie czytam, ale jakoś idzie mi to akurat opornie strasznie:) a jeszcze Cisco nie zawsze to opisuje w "przyswajalny" sposób;)

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ISE 2.4 WIRED , GUEST

#4

#4 Post autor: qligowski »

Authentication policy:
dot1.x Wired -if authentication failed -> Continue

Authorization policy
dot1.x wired failed authentication -> Guest portal. Tam gdzies trzeba zazacznyc w authoirzation profile zeby byl Guest portal rediret czy jakos tak. I pamietaj zeby dac ta policy pod ta ktora mowi ze authentication bylo successful;

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#5

#5 Post autor: piter1789 »

Tak, udało się. to zrobić. Przepraszam, za spóźnione info.

A czy próbował ktoś scenariusza, że najpierw komputer jest uwierzytelniony za pomocą MAB(baza mac w ise), a jak np. system się uruchomi to jest uwierzytelnienie hosta i usera np. EAP-TLS, EAP-TTLS, czy EAP-FAST.

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ISE 2.4 WIRED , GUEST

#6

#6 Post autor: piter1789 »

Hej,

wpadłem jeszcze na jeden ciekawy pomysł;)

Zrobiłem tak:
komputer(jego mac) jest dodany do ISE i leci jako MAB(potem bedzie jeszcze profiling), dostaje dostęp do sieci -częściowy,
następnie jak system się uruchomi leci 802.1X. User się autoryzuje dostaje full dostęp (czyli wszystko ok).
no i tutaj mam problem.. po czasie wygaśnięcia sesji 802.1X komputer wraca do mab.. nie ma ponownej reautoryzacji 802.1X..

ktoś ma pomysł na ten problem?

chunkpunk
wannabe
wannabe
Posty: 55
Rejestracja: 31 mar 2011, 10:40

Re: ISE 2.4 WIRED , GUEST

#7

#7 Post autor: chunkpunk »

To troche bez sensu .
Po co ci mab sokro masz 802.1 na mab rob to co sie nie da na 802.1
Ja robie MAB np. dla starych drukarek + acl
Dla komow w domeny to dajesz jakies gpo.
Potem komp jesli jes w domenie to go autentyfikuje do jakiegos posredniego vlanu (aby mial dostep do kontrolera)
Potem jesli sie user zaloguje to go przewala do vlanu jaki mu przypisalem w AD.
Jak sie wyloguje to wpadnie spowrotem do vlannu kompa z domeny .
Generalnie mozliwosci ise ma sporo i od Ciebie zalezy co wymyslisz.
:)

ODPOWIEDZ