Tag: aaa

LAB – ISE jako radius dla PaloAlto dla kont Admina

Po dłuższej przerwie wróciłem do integracji Cisco ISE 2.0 z Palo Alto Networks wykorzystując Radiusa z ISE jako punkt uwierzytelniania kont administracyjnych. Wiem, że zapewne większość autoryzacji kont administracyjnych opiera się o LDAP oraz AD. Natomiast ja jak zawszę muszę kombinować i komplikować scenariusze do labowania, ale dzięki takiemu podejściu jestem w stanie bardziej poznać oba systemy.

Konfiguracja ISE

przechodzimy do Policy –> Policy Elements –> Dictationaries wybieramy system –> radiusRADIUS Vendors. Tutaj będzie nam pomocny link– gdzie mamy opisane atrybuty.
klikamy add

palo_ise01

Dictionary Name: PaloAlto – nasza nazwa
Vendor ID: 25461

klikamy submit

przechodzimy do nowo utworzonego profilu po czym przechodzimy do Dictionary Attributes. Klikamy add
zgodnie z dokumentacją PaloAlto. W tej chwili będzie nam potrzebny jeden atrybut
palo_ise02

Attribute Name: PaloAlto-Admin-Role
Data Type: String
Direction: Both
ID: 1
W kroku kolejnym tworzymy profil dla urządzań typu PaloAlto. Przechodzimy do Administration –> Network Resources –> Network Device Profiles klikamy Add

palo_ise03
Dodajemy nasze urządzenie do ISE, przechodzimy do Administration –> Network Resources –> Network Devices klikamy Add

palo_ise09
Podajemy dane:
Name: nazwę dla naszego urządzenia
IP Address: podajemy adres ip, z którego nasze urządzenie będzie się komunikowało z serwerem ISE
Device Profile: wybieramy nasz profil dla urządzeń Palo
Device Type: ja stworzyłem oddzielne repo dla urządzęń tego typu
Location: również podzieliłem na lokalizację
Wybieramy: RADIUS Authentication Settings
w polu Shared Secret wpisujemy nasze hasło, które będzie wykorzystywane do połączenia PALO do ISE

Wybieramy grupę AD, w  której będą użytkownicy mogący zalogować się na Palo

Przechodzimy do Administration –> Indetity Management –> External Identity Soures, wybieramy Active Direcory oraz nasz punkt spięcia z naszym AD. Tam wybieramy Groups, dodajemy Add z menu Select Dictionary Groups po czym otworzy się okno, w którym możemy wyszukać naszą grupę dodając ją do ISE.

palo_ise04

Tworzymy profil dozwolonych protokołów komunikacji PALO ISE, przechodzimy do Policy –> Policy Elements –> Results –> Authentication –> Allowed Protocols, klikamy Add

palo_ise05

Tworzymy profil autoryzacyjny, przechodzimy do Policy –> Policy Elements –> Results –> Authorization –> Authoriztion Profiles, kliamy Add

palo_ise06
w polu Advanced Attributes Settings wybieramy z menu PaloAlto –> PaloAlto-Admin-Role, w polu obok wpisujemy nazwę naszego profilu z Palo, który później zostanie skonfigurowany na Palo.

W polu Attributes Details mamy taki wynik:

przechodzimy do utworzenia reguły autoryzacyjnej, gdzie idziemy do Polcy –> Authorization

palo_ise07

dodajemy nową rulę gdzie:
Rule Name: nasza nazwa reguły
warunki:
If ANY and ISE-SRV:memberOf maches CN=PA-admin-full,CN=Users,DC=safekom,DC=pl
and DEVICE:Device Type Equals Device Type#All Device Types#Palo
then Palo-auth

 

Konfiguracja Palo

Prszyszedł czas na konfigurację naszego Palo. Po zalogowaniu się przechodzimy do Device –> Server Profiles –> Radius, dodajemy nowy profil z ISE

palo_ise08

gdzie:

Profil Name: nasz profil Radiusa

w polu servers dodajemy nasze serwery radiusa (w mym przypadku jest to jeden serwer)

Name: nasza nazwa rozpoznawcza

RADIUS Server: adres IP lub FQDN naszego radiusa

Secret: nasze ustawione hasło

Port: Standardowo 1812

CLI

Tworzymy profil Admin Roles – dzięki temu profilowi możliwe będzie zalogowanie się użytkownika z odpowiednimi uprawnieniami.

palo_ise10

W tym miejscu ważne jest aby nazwa profilu była taka sama jak zdefiniowaliśmy ją na serwerze ISE admin-radius

Cli

Tworzymy profil dla Authentication Profile, gdzie będziemy wykorzystywać nasz profil dla ISE:

palo_ise11
w Type wybieramy RADIUS
Server Profile wybieramy nasz profil ISE
W Advanced
w Allow List dajemy all

palo_ise12

Cli

Po wykonaniu commitu próbujemy zalogować się do urządzenia po ssh

palo_ise13

w logach PA widzimy:

Web

wyszukujemy po:

lub jak niżej na screenie:

Jak chcemy wyszukać błędne autoryzacje stosujemy filtr:

palo_ise18

CLI

 

Taki użytkownik nie może dodawać kont lokalnych i modyfikować ich oraz dodawać/modyfkować Admin Rulses tak jak widać niżej pola add oraz delete mam wyszarzane:

palo_ise17
Aby umożliwić dostęp na pełnych prawach musimy utworzyć konto Administratora:

palo_ise15

gdzie Name jest naszym userem, który jest w Radiusie.

CLI

Po takim zabiegu mamy konto z full uprawnieniami, zalogowany administrator już może modyfikować Admin Roles

palo_ise19

Poprzednie wpisy dotyczące ISE:

  1. LAB – Cisco ISE 2.0 w Labie – cz1
  2. LAB – Cisco ISE join AD cz.2
  3. Lab – Cisco ISE – AAA dla Junosa

ASAv – pierwsze uruchomienie w labie

Dzięki uprzejmości człowieka z Cisco Polska dostałem dostęp do Cisco ASA w wersji wirtualnej. Postanowiłem ją odpalić w labie. Poniżej przedstawię krok po kroku jak to zrobić.

  1. Ściągamy nasze pliki maszyny.
  2. Rozpakowujemy plik zip
  3. Importujemy naszą wirtualną maszynę do Workstation

asa01

wybieramy wersję dla esxi:

asa02

nadajemy nazwę dla maszyny oraz lokalizację gdzie będzie przetrzymywana maszyna.

asa03

akceptujemy regulamin:

asa04

po zaimportowaniu sprawdzamy wersję oraz sprawdzamy licencję:

Musimy odpowiednio edytować interfejsy sieciowe aby mieć do niej dostęp, wykorzystujemy do tego MAC adresy interfejsów które mamy wyżej. I edytujemy w Workstation przypisania Interfejsów:

asa05

Konfiguracja Interfejsu sieciowego aby mieć dostęp do wirtualki.

Konfigurujemy ssh tak aby było można dostać się po interfejsie wcześniej skonfigurowanym NET_LAB

Konfigurujemy Usera który będzie mógł się logować po ssh

Konfigurujemy aaa dla ssh, enable oraz http:

Włączamy ASDM

tak jak dla ssh musimy pozwolić na dostęp do ASDM przez interfejs NET_LAB

Zmieniamy hostname:

po wykonaniu powyższych działań będziemy mogli zalogować się po ssh oraz przez ADSM do naszej maszynki.

asa08

Lab – Cisco ISE – AAA dla Junosa

W poprzednich wpisach opisałem jak zainstalować oraz jak podłączyć do AD ISE. Poniżej opiszę jak wykorzystać ISE jak radius który będzie serwować użytkowników do logowania po ssh i www dla urządzeń Juniper pod systemem Junos. Jak centralne repozytorium użytkowników będzie służyć AD. Mam nadzieję że komuś się przyda.

Bierzemy się do pracy.

Tworzymy grupy i userów:

Grupa AD User User Junos
Network-RW netrw RW
Network-RO netro RO
Network-OP netop OP

Od strony AD:

Logujemy się na kontroler domeny uruchamiamy przystawkę Active Directory Users and Computers.

Tworzymy grupy zgodnie z Tabelką wyżej:

ise_junos_19

Tworzymy userów zgodnie z tabelką:

ise_junos_21\

Przypisujemy userów do grup zgodnie z tabelką:

ise_junos_20

Na tym kończymy pracę po stronie AD

Logujemy się do ISE

ise_junos_01

Zaczytujemy grupy utworzone w AD do ISE:

przechodzimy do: Administration–>Active Directory–>ise1–>Groups klikamy Add z menu wybieramy Select Groups From Directory

ise_junos_22

pokazuje się okno w którym wyszykujemy nasze grupy, które wcześnie utworzyliśmy oraz je wybieramy:

ise_junos_15

Przechodzimy do zakładki Attributes gdzie wybieramy wpisujemy usera na podstawie tego wybierzemy atrybuty które użyjemy w kolejnych krokach.

ise_junos_16

klikamy ok

ise_junos_17

włączamy usługę dla Radius i Tacacs

przechodzimy do Administration > System > Deployment Nodes List > nasz node Ise zaznaczamy kwadracik przy Enable Device Admin Service

ise_jun03

Tworzymy lokalizację w której będziemy umieszczać urządzenia według jakiegoś typu – wym przypadku jest to Vendor. Przechodzimy do  Network Device Groups > All Device Types List > New Network Device Group

ise_junos_23

Tworzymy na podobnej zasadzie lokalizacje urządzeń przechodzimy do Network Device Groups > All Locations List > New Network Device Group:

ise_junos_03

Tworzymy profil dla urządzeń Juniper przechodzimy do Administration > Network Resources > Network Device Profile List klikamy Add

ise_jun01

w następnym oknie uzupełniamy:

  • nazwa profilu
  • w polu Vendor z menu wybieramy Other
  • w polu RADIUS Dictionaries z menu wybieramy Juniper
    ise_junos_08

Przechodzimy do dodania urządzenie które będzie mogło łączyć się do Radiusa

Administration > Network Resources > Network Devices klikamy Add i w nowej stronie uzupełniamy:

  • name – wpisujemy nazwę dla urządzenia lub puli urządzń
  • IP Address – adres urządzenia możemy dodać kilka jak dodajemy pulę urządzeń lub całą sieć
  • Device Profile – wybieramy wcześniej utworzony profil dla Junipera
  • Device Type – wybieramy z listy profil dla typu który utworzyliśmy wcześniej
  • Location – tak jak wyżej wybieramy lokalizację którą zdefiniowaliśmy
  • zaznaczamy kwadracik przy: RADIUS Authentication Settings tam w polu:
    • Shared Secret: ustawiamy hasło dla połączenia to samo hasło w późniejszym etapie będziemy ustawiać na urządzeniu

ise_jun02

Kolejnym etapem jest utworzenie profilu ale dozwolonych protokołów przechodzimy do Policy > Policy Elements > Results > Authentication > Allowed Protocols 

ise_jun04

klikamy Add na nowej stronie:

  • Name – nazywamy profil
  • Authentication Protocols – zaznaczamy Allow PAP/ASCII

ise_jun05

w sekcji Policy > Policy Elements > Results > Authorization Profiles klikamy Add

uzupełniamy pola:

  • w Name – Nazywamy profil ja go nazwałem zgodnie z profilem użytkownika oraz vendora
  • Network Device Profile – wybieramy Juniper profil który utworzyliśmy dla Junipera
  • Advanced Attributes Settings:
    • w polu pierwszym z menu wybieramy Juniper:Juniper-Local-User-Name oraz wpisujemy nazwę użytkownika którego będziemy konfigurować na urządzeniu w późniejszym etapie w mym przypadku to jest RW  pola mają wartości: Juniper-Local-User-Name = RW
    • dodajemy drugie pole gdzie z menu wybieramy Radius:Service-Type w polu obok wybieramy Login

ise_jun08

ostatni krok powtarzamy dla każdej z grup.

ise_jun11

Przechodzimy do Policy > Authentication dodajemy nową politykę klikając na strzałkę przy edit i wybieramy Insert new row above i uzupełniamy politykę

  • nazywamy politykę
  • w polu if budujemy politykę: DEVICE:Device Type Equals Device Type#All Device Types#Juniper
  • Allow Protocols wybieramy utworzony profil dopuszczonych protokołów
  • use – wybieramy naszą konfigurację AD

ise_jun06

ise_jun07

Przechodzimy do Policy > Authorization budujemy polityki dla trzech zdefiniowanych grup zgodnie z tabelką z początku wpisu.

w polach:

  • Rule Name – nazywamy politykę
  • Conditions (identity groups and other conditions) –  definiujemy na na jakiej podstawie następuje Autoryzacja użytkownika
  • Permissions wybieramy profil uprawnień na podstawie profilu który wcześniej zdefiniowaliśmy.

Politykę budujemy przez menu w każdym polu oraz dopisaniu wartości. W mym przypadku polityka wygląda tak:

Rule Name Conditions Permissions
Juniper-RW if ANY and (ise1:memberOf Contains CN=Network-RW,CN=Users,DC=safekom,DC=pl and DEVICE:Device Type Contains Device Type#All Device Types#Juniper) Juniper-RW

ise_jun09

Ten krok powtarzamy dla każdej grupy

ise_jun10

 

przechodzimy do konfiguracji po stronie urządzenia:

Logujemy się na urządzenie – ja preferuję CLI

Konfigurujemy Radiusa:

Konfigurujemy jaka sekwencja ma być przy autoryzacji użytkownika – w labie wybieram radius a jako drugie password (lokalny user)

Tworzymy userów jak wzorce dla użytkowników którzy będą logować się z wykorzystanie radiusa z godnie z tabelką na początku wpisu oraz konfiguracji ISE:

 

Pora na testy, jeżeli wszystko mamy skonfigurowane zgodnie założeniami nie będziemy mieli problemów. W ISE przechodzimy Operations > RADIUS Livelog klikamy na Show Live Authentications 

ise_jun12

i zaczynamy logować się na poszczególnych użytkowników do naszego urządzenia po ssh.

na pierwszy ogień idzie user netwr, jak widać poniżej możemy zalogować, przejść do konfiguracji oraz wyświetlić konfigurację

po stronie ISE widzimy:

ise_jun13

po kliknięciu na ikonę w kolumnie Details możemy dowiedzieć się wszystkie o procesie autoryzacji. Log otworzy nam się w nowym oknie lub zakładce:

ise_jun14

powtarzamy operację dla każdego usera.

sprawdzamy jak to wygląda po stronie ISE:

ise_jun15

od strony urządzenia:

User netop:

user netro:

Część 1 – Instalacja ISE w Labie

Część 2 – Integracja ISE z AD