Cisco ISE là gì?
Cisco Identity Services Engine (ISE) là một loại Giải pháp kiểm soát truy cập mạng sử dụng việc ra quyết định dựa trên chính sách để xác định xem một thiết bị có được phép truy cập vào mạng hay không và thiết bị này được cấp ở mức độ truy cập nào.
Cisco ISE là một Ứng dụng bảo mật được đóng gói phức tạp và có nhiều tính năng kiểm soát quyền truy cập vào mạng cho cả thiết bị Có dây và Không dây bằng cách sử dụng chủ yếu giao thức 802.1x và EAPoL (EAP over LAN). ISE cũng cung cấp Authentication, Authorization và Accounting (AAA) thông qua giao thức RADIUS và TACACS+
Cài đặt Cisco ISE
Tải image của ISE bản mới nhất tại trang chủ. Cisco ISE khá nặng (khoảng 15GB image, cần chuẩn bị server 4 CPU, 8GB Ram, 100GB Disk).
Sau khi deploy lên server thì tiến hành mở Cisco ISE lên và cài đặt. Tại giao diện login, nhập setup
để cấu hình ban đầu.
Sau đó khai báo các thông tin:
- Hostname: tên server
- IP Address: địa chỉ ip tĩnh cùng dải mạng
- Subnet mask: subnet của dải mạng
- IP Gateway: địa chỉ ip gateway
- DNS domain: domain của DC
- Nameserver: IP của DC
- Timezone: Asia/Ho_Chi_Minh
- Sau đó để mặc định
- Nhập user và mật khẩu quản trị (đủ bảo mật)
Sau đó đợi Cisco ISE cài đặt xong và tiến hành cấu hình ban đầu (mất khoảng 15-20p).
Sau khi hoàn thành ISE sẽ tự khởi động lại, bạn đăng nhập với tài khoản vừa tạo. Đợi dịch vụ hoàn tất thì bạn có thể truy cập web GUI của Cisco ISE
Lưu ý: Lỗi dịch vụ không chạy “not running” và web GUI không khởi tạo là do không đáp ứng requirement hardware.
Với ISE 3.0.0+, bạn nâng lên tối thiểu 4-8 CPU, 16-32GB Ram hoặc chạy bản cũ hơn (ISE 2.7.0)
Thiết lập một số điều cơ bản
Truy cập với IP của ISE để vào trang quản trị trên trình duyệt.
Đầu tiên, khi cấu hình một giao thức nào đó có kết hợp với cisco ISE, ta có thể bỏ qua bước thăm dò (probe), điều này giúp kết quả nhanh hơn.
Vào Administration -> System -> Deployment sau đó chọn Cisco ISE
Qua tab Profiling Configuration bỏ chọn hết các giao thức và ấn Save.
Điều thứ 2 dành cho cấu hình Radius Server, khi thực hiện mô phỏng, vì lý do nào đó ta đăng nhập nhiều lần lặp đi lặp lại (cả thành công lẫn thất bại), ISE sẽ block user đó.
Vào Administration -> System -> Settings. Menu bên trái chọn Protocols -> Radius, bỏ chọn 2 mục dưới đây và Save lại.
Vấn đề thứ 3 là cisco ISE yêu cầu bạn phải reset password sau 1 khoảng thời gian nhất định.
Vào Administration -> System -> Admin Access, sang thẻ Password Policy, bỏ chọn phần password expire.
Thứ 4, chẳng hạn khi bạn không nhớ rõ password, mà ISE lại chỉ cho nhập có 3 lần rồi deny.
Vào Administration -> Admin Access, sang thẻ Lock/Suspend Settings, bỏ chọn Suspend account.