802.1x wired

4
3. Corporativa inalámbrico y por cable 802.1X (Nativo Suplicante) Una de las características más comunes implementados en ISE es la autenticación 802.1X para dispositivos corporativos. Aquí hablamos de dos protocolos de autenticación más populares: PAEP (nombre de usuario / contraseña basada) y EAP-TLS (certificado basado). Nuestras manifestaciones son sólo aplicables al equipo con Windows, pero usted puede hacer que funcione en Macintosh. Como notas al margen, esta característica también se puede implementar en Cisco ACS así que esto es nada único a ISE. SEC0043 - ISE 1.1 con cable 802.1X y autenticación en la máquina con PEAP SEC0044 - ISE 1.1 inalámbrico 802.1X y autenticación en la máquina con PEAP SEC0045 - ISE 1.1 con cable 802.1X y autenticación en la máquina con EAP-TLS SEC0046 - ISE 1.1 inalámbrico 802.1X y autenticación en la máquina con EAP-TLS También hemos incluido aquí cómo utilizar GPO para distribuir la configuración de red para el cliente de Windows para aquellos ingenieros de redes por ahí que pueden no saber demasiado acerca de GPO. :-) SEC0042 - Windows 2008 con cable e inalámbrica Configurar Despliegue con GPO ------------------------------------------------------------------ -- ¿Qué son las GPO, políticas de grupo en Windows Server? Vamos a tratar de comprender que son las políticas de grupo o GPO de Windows Server, una herramienta fundamental que nos da Microsoft para administrar la infraestructura de nuestro dominio.

Upload: javier-laime

Post on 18-Jan-2016

222 views

Category:

Documents


0 download

DESCRIPTION

cisco ISE

TRANSCRIPT

Page 1: 802.1x Wired

3. Corporativa inalámbrico y por cable 802.1X (Nativo Suplicante)

Una de las características más comunes implementados en ISE es la autenticación 802.1X para dispositivos corporativos. Aquí hablamos de dos protocolos de autenticación más populares: PAEP (nombre de usuario / contraseña basada) y EAP-TLS (certificado basado). Nuestras manifestaciones son sólo aplicables al equipo con Windows, pero usted puede hacer que funcione en Macintosh. Como notas al margen, esta característica también se puede implementar en Cisco ACS así que esto es nada único a ISE.

SEC0043 - ISE 1.1 con cable 802.1X y autenticación en la máquina con PEAP

SEC0044 - ISE 1.1 inalámbrico 802.1X y autenticación en la máquina con PEAP

SEC0045 - ISE 1.1 con cable 802.1X y autenticación en la máquina con EAP-TLS

SEC0046 - ISE 1.1 inalámbrico 802.1X y autenticación en la máquina con EAP-TLS

También hemos incluido aquí cómo utilizar GPO para distribuir la configuración de red para el cliente de Windows para aquellos ingenieros de redes por ahí que pueden no saber demasiado acerca de GPO. :-)

SEC0042 - Windows 2008 con cable e inalámbrica Configurar Despliegue con GPO

--------------------------------------------------------------------

¿Qué son las GPO, políticas de grupo en Windows Server?

Vamos a tratar de comprender que son las políticas de grupo o GPO de Windows Server, una herramienta fundamental que nos da Microsoft para administrar la infraestructura de nuestro dominio.

Básicamente las políticas nos dan el control de los equipos de la red, pudiendo establecer configuraciones para los distintos componentes de sistema operativo, para poder lograrlo vamos a necesitar un Windows Server que tenga el servicio o rol de active directory, y podremos aplicar la configuración a sitios, dominios, unidades organizativas. También debemos tener en claro que las políticas pueden aplicarse a equipos y usuarios.

gpopolicy

Page 2: 802.1x Wired

Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir:

Las OU’s de primer nivel heredan del Dominio

Las OU’s hijas heredan de las de primer nivel

Las OU’s de nivel 3º heredan de las hijas

Vamos a familiarizarnos con algunos conceptos fundamentales sobre las GPO:

Herencia de GPOs: si aplico una política en el nivel más alto del dominio, bosque o sitio, se distribuirá a los equipos o usuarios que esten en los niveles inferiores.

Bloqueo de Herencia de GPOs: sirve para evitar que se apliquen configuraciones a determinados equipos o usuarios del dominio, por lo general se usa para no aplicarle a los administradores de dominio o equipos puntuales.

GPOs Exigidas: vamos a usar esta opción cuando queremos estar seguros que desde usuarios hasta administradores tengan aplicadas las políticas en la infraestructura, por lo tanto si esta exigida se va a forzar a que se aplique la herencia.

--------------------------------------------------------------------

El video que usted guía a través la configuración de cableado 802.1X con PEAP en Cisco ISE. Vamos a ver cómo configurar las políticas de autenticación y autorización para apoyar tanto la autenticación de usuario y la máquina, cómo restringir el acceso a la red con DACL, y cómo usar Restricción de acceso de la máquina (MAR) para correlacionar las sesiones de usuario y de la máquina para asegurar un usuario puede tener acceso a la red sólo desde un ordenador (corporativa) de dominio. Vamos a realizar las pruebas de los equipos, tanto de dominio y no de dominio y observar los resultados de la autenticación.

Tema:

Autenticación de usuarios y de la máquina con PEAP

Política Elemento Condición

Autorización (Condición Compuesto)

Elemento Política Resultado

Autenticación (Protocolo de mascotas)

Page 3: 802.1x Wired

Autorización (Descargable ACL)

Autorización (Autorización Perfil)

política de autenticación

política de autorización

Nota:

PEAP es una autenticación basada en contraseñas con MSCHAPv2.

Con PEAP, aunque no se requiere certificado de cliente, el certificado raíz de servidor tiene que ser de confianza o la validación del certificado debe ser exento en el suplicante cliente

Autenticación de la máquina sólo ocurre en el inicio de sesión de Windows

Cuenta log-off o una máquina de reinicio puede ser necesario para forzar la autenticación del equipo