Presentación del webinar Community Live

Configuración y Troubleshooting de Autenticación Pasiva en FTD, administrado por FMC

Con la colaboración de Laura Villafranca y Michel Lepicard.

En este webinar revisamos el uso de la funcionalidad de identidad pasiva en los dispositivos Cisco FMC y FTD. Se explicó cómo las identidades de los usuarios pueden ser recopiladas de manera automática a partir de fuentes externas, sin requerir autenticación activa por parte de los mismos. Esta capacidad permite asociar usuarios con sus direcciones IP de forma transparente, facilitando la aplicación de políticas de seguridad y proporcionando una mayor visibilidad y control sobre la red.

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!

Algunos links importantes que nos compartieron nuestros expertos:

Documento de integración entre FDM y ISE: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/217234-configure-fdm-external-authentication-an.html  

Aquí encontrarán más información referente a Cisco Secure Firewall y VPN technologies: 
Cisco Secure Firewall Reference Guide http://cs.co/9003poE27 Cisco VPN Reference Guides http://cs.co/9009po1nP 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

• Configuración y Troubleshooting de Autenticación Pasiva en FTD, administrado por FMC
• Pregunta: Para el Passive Identity Agent, ¿a partir de qué versión de Windows server se puede instalar? - Efraín H. (min.21)
• Pregunta: ¿Por qué es necesario el pxGrid si el ISE y FMC son de Cisco? - Daniel N. (min.23)
• Pregunta: La cuenta de servicio para conectarse al dominio ¿debe tener algún nivel de privilegio o configuración en particular? - Javier M. (min.37)
• Pregunta: ¿El agente se debe instalar obligatoriamente en el servidor de dominio? ¿No puede ser una VM aparte ? - Javier M. (min.37)
• Pregunta: ¿Se requiere de algún licenciamiento adicional para habilitar esta funcionalidad? - Javier M. (min.38)
• Pregunta: A nivel de flujo ¿cómo es el procesamiento de paquetes cuando se implementa una Identity policy? Por ej. ¿se hace antes o después de un NAT, o tomar un veredicto de sí permitir o denegar un tráfico ? - Javier M. (min.41)
• Pregunta: ¿Cuál sería la opción más recomendada, usar ISE o PIA? o de que depende usar una u otra? - Efraín H. (min.43)
• Pregunta: ¿Si el FMC está en HA se instalaría en los dos? - Gustavo (min.49)
• Pregunta: ¿Se tiene algún documento y/o paso a paso para la integración entre el ISE y el AD con el fin de obtener las autenticaciones de los usuarios en el AD y que esto a su vez se envíe al FMC? ¿También se hace a través de PxGrid? - Leonardo S. (m...
• Pregunta: Gracias por la respuesta Christian, ¿tienes el link de la integración entre ISE y AD por favor? - Leonardo S. (min.71)
• Pregunta PQ#1: ¿Cuál de los siguientes métodos requiere interacción del usuario?​
• Pregunta PQ#2: ¿En qué versión fue descontinuado User Agent?​
• Pregunta PQ#3: ¿De qué manera se espera que el FMC reciba la información con el user-ip-map desde ISE?​

Pregunta: Para el Passive Identity Agent, ¿a partir de qué versión de Windows server se puede instalar? - Efraín H. (min.21)

Respuesta (Adrián L.R.): La versión mínima debe ser Windows server 2008, esta información se puede consultar en la siguiente documentación https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/passive-identity-agent.html 

Pregunta: ¿Por qué es necesario el pxGrid si el ISE y FMC son de Cisco? - Daniel N. (min.23)

Respuesta (Christian H.R.): Hola Daniel, buena pregunta: Te comento, la utilización de pxGrid responde a la necesidad de un método seguro, estandarizado y flexible para la integración de información contextual entre productos de seguridad, incluso dentro del portafolio de Cisco.

Pregunta: La cuenta de servicio para conectarse al dominio ¿debe tener algún nivel de privilegio o configuración en particular? - Javier M. (min.37)

Respuesta (Adrián L.R.): La cuenta que se usa debe tener al menos privilegios para comunicarse con el agente de Passive Identity, esto se configura en System > Users del lado del FMC y habilitar el rol de "Passive Identity User".

Pregunta: ¿El agente se debe instalar obligatoriamente en el servidor de dominio? ¿No puede ser una VM aparte ? - Javier M. (min.37)

Respuesta (Said P.P.): Hola Javier, gracias por tu pregunta. El agente se puede instalar en cualquier máquina que sea parte del dominio que quieres utilizar. Esto lo encuentras documentado en el siguiente vínculo: https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/m_user-control-with-the-passive-identity-agent.html 

Pregunta: ¿Se requiere de algún licenciamiento adicional para habilitar esta funcionalidad? - Javier M. (min.38)

Respuesta (Adrián L.R.): Esta funcionalidad se encuentra en la licencia base del FMC, por lo que no se requiere una licencia adicional.

Pregunta: A nivel de flujo ¿cómo es el procesamiento de paquetes cuando se implementa una Identity policy? Por ej. ¿se hace antes o después de un NAT, o tomar un veredicto de sí permitir o denegar un tráfico ? - Javier M. (min.41)

Respuesta (Christian H.R.): Hola Javier, buena pregunta: El NAT ocurre primero, después se aplica la política de identidad, y luego la política de acceso (Access Control Policy) que puede usar la identidad del usuario para tomar decisiones, después de esto aplica inspecciones avanzadas de (IPS, Malware, File policy, etc.) y al final aplica políticas de QOS.

Pregunta: ¿Cuál sería la opción más recomendada, usar ISE o PIA? o de que depende usar una u otra? - Efraín H. (min.43)

Respuesta (Adrián L.R.): Esto depende de diversos factores, por ejemplo versiones, PIA esta desde FMC 7.6, por lo que en versiones anteriores no se podría usar este método y habría que usar ISE por ejemplo. Otro factor seria la escalabilidad, si ya se cuenta con una integración ISE - AD, idealmente se podría integrar ISE al FMC ya que ISE ya cuenta con la información de sesión y la compartiría al FMC.

Pregunta: ¿Si el FMC está en HA se instalaría en los dos? - Gustavo (min.49)

Respuesta (Christian H.R.): En una solución de alta disponibilidad de FMC (HA), NO necesitas replicar manualmente la configuración de Identity Policies ni Realms. La replicación es automática entre el FMC activo y el standby.

Respuesta (Said P.P.): Durante el proceso de instalación del agente, hay una opción que menciona que tienes un FMC secundario (I have Secondary FMC) justo después del botón de Test. Se introduce el FQDN o la IP y el puerto en el que está escuchando el FMC secundario

Pregunta: ¿Se tiene algún documento y/o paso a paso para la integración entre el ISE y el AD con el fin de obtener las autenticaciones de los usuarios en el AD y que esto a su vez se envíe al FMC? ¿También se hace a través de PxGrid? - Leonardo S. (min.64)

Respuesta (Christian H.R.): Sí claro, aquí un muy buen documento para esta integración entre ISE y FMC utilizando PxGrid: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-32/220856-configure-and-troubleshoot-ise-3-2-with.html 

Pregunta: Gracias por la respuesta Christian, ¿tienes el link de la integración entre ISE y AD por favor? - Leonardo S. (min.71)

Respuesta (Adrián L.R.): Hola Leonardo, esta documentación te puede resultar útil: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215233-identity-service-engine-ise-and-active.html#toc-hId--419565782 

Pregunta PQ#1: ¿Cuál de los siguientes métodos requiere interacción del usuario?​

Opciones de respuesta: a) Active Authentication b) Passive Authentication c) Network Discovery // Respuesta correcta: a) Active Authentication

Pregunta PQ#2: ¿En qué versión fue descontinuado User Agent?​

Opciones de respuesta: a) 6.7 b) 6.6.5 c) 7.6 d) 7.4 // Respuesta correcta: a) 6.7

Pregunta PQ#3: ¿De qué manera se espera que el FMC reciba la información con el user-ip-map desde ISE?​

Opciones de respuesta: a) pxGrid subscription b) API GET c) Bulk Download // Respuesta correcta: a) pxGrid subscription

Nuestros expertos

Laura Villafranca - se unió a Cisco en el año 2022 trayendo consigo más de 15 años de experiencia en la industria de redes que van desde colaboración, switching, routing, seguridad y ahora ingeniera especializada y certificada en Cisco Secure Firewall. Ha construido una carrera que combina una sólida experiencia técnica con un enfoque centrado en el cliente. Inició como ingeniera de campo en sitio y evolucionó hacia el rol de consultora técnica remota, aportando una perspectiva integral tanto del lado del cliente como del proveedor.

Michel Lepicard - se unió a Cisco en 2020, certificándose como experto en el área de networking. Posteriormente, se incorporó al equipo de Next Generation Firewall, donde rápidamente se convirtió en uno de los mejores miembros del equipo técnico. Actualmente, desempeña el rol de ingeniero de escalación para su equipo, demostrando su habilidad y conocimiento en el campo.