Doc - Implementación y Configuración de Cisco ISE

Jimena Saez · ‎06-20-2024

Presentación del webinar Community Live

Con la colaboración de Avril Alonso y Julio Román.

En esta sesión, exploramos las consideraciones clave para realizar actualizaciones exitosas en Cisco Identity Services Engine (ISE) y los Firewall (NGFW) de Cisco. También les compartimos las mejores prácticas, los desafíos comunes que hemos identificado, y las estrategias recomendadas para planificar y ejecutar actualizaciones de manera efectiva. Considere desde la evaluación de requisitos de hardware y software, hasta la gestión de compatibilidad y la mitigación de riesgos. Esta presentación le brinda información valiosa para garantizar una transición fluida y segura a las versiones más recientes de Cisco ISE y NGFW.

Descargue la Presentación Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: En esos 90 días gratuitos a partir de la fecha de instalación del ISE, se tendrían todas las funcionalidades soportadas? Hasta posturas y MDM compliance? - Ernesto Javier G. (min.12)
Pregunta: Las licencias se basan de acuerdo con el número de usuarios independiente de cuantos equipos tenga el usuario? - David G. (min.17)
Pregunta: Cuáles son las funciones de los nodos pxgrid y PSN? - Ernesto Javier G. (min.18)
Pregunta: ISE Es compatible con dispositivos de red terceros para AAA? O únicamente con equipos cisco? - Jorge C. (min.35)
Pregunta: Soporta office 365??? - Mario R. (min.36)
Pregunta: Puedo usar como repositorio de identidades Azure AD? - Jorge C. (min.37)
Pregunta: Para la validación de los usuarios, no hay AD per se. - Mario R. (min.39)
Pregunta: ¿Cómo funciona la alta disponibilidad de ISE con dos nodos? ¿Cuáles son las condiciones para el switchover: caída de nodo PRIMARY o STOP de servicios? - Jorge C. (min.40)
Pregunta: Tengo versión 3.2 patch 4 y tengo alertas de recursos de algunos servers aunque estos ya cumplen con los requisitos de median, ¿en la versión 3.3 patch 2 ya viene solucionado este bug? - Martín N. (min.42)
Pregunta: Si tengo 2 PAN (Principal, Secundario) y 4 PSN. Si el PAN Principal se cae, automáticamente los PSN apuntan al PAN Secundario? - Francisco M. (min.42)
Pregunta: La autenticación con usuario y contraseña (PEAP) ya no es compatible con Windows 11 (Credential Guard ). Microsoft recomienda migrar a una versión más segura, como la autenticación mediante certificados digitales (TEAP). Sin embargo, no hem...
Pregunta: Buen día en cuanto a las redes hotspot ¿se pueden detectar en ISE? ¿Se pueden denegar para que no accedan a recursos de la red? - Valeria L. (min.42)
Pregunta: Se puede utilizar Tacacs y Radius juntos?, Tacacs para administración de acceso a equipos de red y Radius para perfilar otros dispositivos como impresoras, teléfonos, etc. - Paolo R. (min.43)
Pregunta: Buen día ¿Recomendaciones para un despliegue con identidad externa con AD tradicional y AD de Azure? - Valeria L. (min.44)
Pregunta: Ok entonces hasta que no se haga la promoción manual del PAN Secundario, no habrá autenticaciones de los endpoints? O sí? - Francisco M. (min.46)
Pregunta: Es obligatorio el uso de AnyConnect como suplicante? O podría usar el suplicante nativo del OS? (para el caso que el cliente solo requiera AAA) - Jorge C. (min.47)
Pregunta: Buen día, para la integración de ISE con AnyConnect se puede tanto para Radius como para TACACS y como se hace la distinción de usuarios al momento de la autenticación, autorización y accounting - Victor V. (min.47)
Pregunta: Ok, Gracias. Jonathan. Y una última pregunta, ya que está arriba el PAN Principal, se tendría que hacer de nuevo la promoción manual? Gracias ! - Francisco M. (min.49)
Pregunta: ¿Es posible utilizar Cisco ISE para autenticación con Azure AD? - Jorge C. (min.52)
Pregunta: Con la solución de Cisco ISE uno podría tener una visibilidad extendida de los usuarios y/o endpoints o requiere una integración con productos como DNA y SCA para tener la visibilidad que se requiere a nivel de usuarios? - Derlis G. (min.52...
Pregunta: ¿algún link que para autenticación con Azure que hayan aplicado y les haya funcionado? - Martín N. (min.56)
Pregunta: Tiene alguna guía para configuración de postura en ISE - Victor V. (min.57)
Pregunta: El coa es limitado en equipos de terceros correcto? O también debería funcionar por ser protocolos standard? - Jorge C. (min.57)
Pregunta: Hola para un despliegue ISE se puede adquirir diferentes tipos de licencias (50 essentials y 100 advantage) o deben ser todas del mismo tipo? - Viviana A. (min.57)
Pregunta: La autenticación con Azure AD es con EAP-TLS o EAP-TTLS? - Valeria L. (min.58)
Pregunta: Muy buenas tardes, si es posible podrían por favor compartir las configuraciones realizadas en la demo y mejores prácticas. - Felipe H. (min.58)
Pregunta: ¿ISE es compatible con otros vendors como Fortiswitch?, de ser así se requieren configuraciones adicionales?, se tiene algún link? - Marco T. (min.59)
Pregunta: En cuanto a la pregunta del Hotspot ¿Nos ha ocurrido que mobiles que se encuentran autenticados en ISE habilitan el hotspot? Y comparten red a dispositivo que no deberían estar autenticado y por tanto no deberían tener acceso a la red - Val...
Pregunta: Hola es posible liberar espacio en disco en los servidores físicos? Pregunto esto por alarmas que se detonan en los servidores por espacio insuficiente - Sonia Mercedes P. (min.66)
Pregunta: Hola si un endpoint se logra autenticar a la red mediante ISE y posteriormente se habilita la función de hotspot, hay alguna opción en ISE de controlar los dispositivos que se conecten a este - América O. (min.70)
Pregunta: Estimado tenía una consulta cuando una autenticación PEAP-mschapv2 veo tráfico de TLS en los Log? Ahí me genere la duda porque el TLS se usa cuando uso la autenticación por EAP-TLS - Luigi Dankur F. (min.70)
Pregunta: Hola, si un endpoint se logra autenticar a la red mediante ISE y posteriormente se habilita la función de hotspot, hay alguna opción en ISE de controlar los dispositivos que se conecten a este endpoint? - América O. (min.71)
Pregunta: Cual sería el comando comentado de accounting para que el switch vuelva a renegociar la auth cada xxx segundos? - Derlis G. (min.76)
Pregunta: Pero si uso un cifrado TLS para el PEAP-MSCHAP porque no uso certificados? - Luigi Dankur F. (min.76)
Pregunta: Al utilizar cisco secure client con autenticación por ISE y como dispositivo de borde ASA o FTD es posible diferenciar a través de grouppolicy a los usuarios y sus perfiles correspondientes y así evitar un perfil de AnyConnect incorrecto ? ...
Pregunta: Los equipos aparecen con su MAC-USER según lo visto, hay forma de que en vez de MAC se pueda ver el nombre del nodo/end point? - Igor L. (min.79)
Pregunta: Pero si uso un cifrado TLS para el PEAP-MSCHAP porque no uso certificados.... Como el suplicante será considerado como confiable? - Luigi Dankur F. (min.70)
Pregunta: Cuál es la diferencia de las OVA template Cisco-vise-XXX.3.3.0.430a.ova y saber cuál utilizar en una máquina virtual sobre una nube privada con esxi ? - Eduardo M. (min.70)
Pregunta: Así es - América O. (min.71)
Pregunta: ¿Es recomendable tomar el Support Bundle o Debug Log fuera de hora de producción (ventana de mantenimiento)? - Jorge C. (min.73)
Pregunta: Cuál es el comando en el sw de debug para ver los eventos de aut y si al aplicar el debug ocupa proceso en el sw? - Eliseo M. (min.74)
Pregunta: Me gustaría implementar está configuración de cero pero no cuento con un equipo ISE, se cuenta con alguna plataforma, al descargarlo por máquina virtual es pesado. - Nataly G. (min.75)
Pregunta: Es posible iniciar una actualización masiva de Secure Client en los endpoints desde el ISE? O será posible en el futuro? - Javier M. (min.86)
Pregunta: Hola! Hay roadmap para que el proceso de upgrade de ISE provea información sobre el estatus/avance? Actualmente no se muestra mucha información ni tampoco un tiempo estimado restante para concluir el upgrade ya sea CLI o GUI - Sonia Mercede...
Pregunta: Cómo se consume una licencia? Para el caso de AAA por dispositivo conectado o por usuario? Para el caso de profiling igual una por dispositivo? - Jorge C. (min.86)
Pregunta: Me refiero a enpoints windows - Javier M. (min.87)
Pregunta: Y para guest igual por dispositivo? - Jorge C. (min.87)
Pregunta: En el policy set tengo configurados identity groups para los diferentes perfiles de gestion (admin, soporte, monitoreo, etc.) y en los atributos esta la opción de radius clas mencionando el group policy pero los usuarios puedes iniciar sesi...
Pregunta: Se puede hacer que ISE con AD autentique con el correo electrónico en vez del sam account name - Víctor V. (min.88)
Pregunta: Favor, compartir los iconos del diagrama - Jorge C. (min.89)
Pregunta: Hola! Para autenticación de una red wifi vía radius, adicional a la conectividad q debe existir entre los aps e ISE, también es necesario q exista dicha comunicación desde el segmento de la VLAN al que pertenece el SSID con autenticación 80...
Pregunta: Cómo se consumen las licencias? Por dispositivo conectado a la red o por usuarios (incluso para casos de BYOD) - Jorge C. (min.90)
Pregunta: Pregunta para el asunto de los portales de self-registered como hago para activar el correo de respuesta con el usuario y contraseña, en mi caso trabajo con correo server de gmail Y tengo un problema para este caso para el momento donde el ...
Pregunta: La autenticación de un endpoint mediante AnyConnect por qué cada que realiza un romming en el ISE se ven nuevas reautenticaciones el AnyConnect tiene que ver algo. - Guillermo B. (min.91)
Pregunta: Pero entonces en PEAP el suplicante usa el certificado de ISE ? Pero yo no he cargado ningún certificado de ISE y me funciona. - Luigi Dankur F. (min.91)
Pregunta: Hola Jonathan respecto a la pregunta del hotspot, hemos visto que mobiles autenticados en ISE comparten la red con hotspot y dispositivos que no deberían tener acceso a red, acceden de esta forma. ¿hay manera de controlar esto a nivel de IS...
Pregunta: Recomiendan la integración con AD para acceso al ISE? - Juan José P. (min.93)
Pregunta: Tendrás alguna guía de cómo realizarlo por favor de ser posible - Víctor V. (min.94)
Pregunta: Tengo una consulta sobre los portales de self-registered. ¿Cómo puedo activar el envío de correos de respuesta con el usuario y la contraseña? En mi caso, estoy trabajando con un servidor de correo de Gmail. Además, estoy enfrentando un pro...
Pregunta: Excelente, tendrás alguna guía de cómo realizar esta configuración por favor - Víctor V. (min.95)
Pregunta: Pero entonces en PEAP el suplicante usa el el certificado de ISE ? Pero yo no he cargado ningun certificado de ISE y me funciona. - Luigi Dankur F. (min.96)
Pregunta: Se puede revisar cuantas sesiones se encuentran activas en ISE para revisar si estamos al limite - Gabriel S. (min.97)
Pregunta: Entonces en PEAP el ISE es el único que habla TLS y el suplicante confía en el certificado del ISE... Y para el EAP-TLS si es necesario instalar un certificado? - Luigi Dankur F. (min.101)
Pregunta: La migración de las licencias perpetuas 2.7 a licencias por suscripción 3.x es gratuita o tiene costo? - Ernesto Javier G. (min.101)
Pregunta: Recomiendan la integración con AD o mantener los usuarios locales en el ISE para acceso administrativo? - Juan José P. (min.103)

Pregunta: En esos 90 días gratuitos a partir de la fecha de instalación del ISE, se tendrían todas las funcionalidades soportadas? Hasta posturas y MDM compliance? - Ernesto Javier G. (min.12)

Respuesta (Julio R.): Hola, Ernesto, asi es los 90 días incluyen todas las funcionalidades.

Respuesta (Jonathan C.): A excepción de "Cisco AI-ML Rule Proposals for Endpoint Profiling" que se introdujo en 3.3

Respuesta (Glen J.): La licencia de device administration se compra por número de nodos corriendo TACACS y la licencia de virtual machine se compra una licencia por máquina virtual con ISE instalado.

Pregunta: Las licencias se basan de acuerdo con el número de usuarios independiente de cuantos equipos tenga el usuario? - David G. (min.17)

Respuesta (Julio R.): Hola David, el licenciamiento se basa al número de sesiones concurrentes, mayor detalle en los siguientes links:

https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html#1overviewofciscoidentityservicesengineusecases

https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/admin_guide/b_ise_admin_3_3/b_ISE_admin_33_licensing.html

Respuesta (Glen J.): La licencia de device administration se compra por número de nodos corriendo TACACS y la licencia de virtual machine se compra una licencia por máquina virtual con ISE instalado

Pregunta: Cuáles son las funciones de los nodos pxgrid y PSN? - Ernesto Javier G. (min.18)

Respuesta (Jonathan C.): Pxgrid - Tiene dos funciones:

1) Nos permite compartir información de usuarios y sus atributos a otras soluciones como DNAC o FMC (también a 3rd party vendors) y
2) Nos permite conectarnos con recursos en la nube para algunas features.

Respuesta (Glen J.): Los nodos PSN son los nodos que realizan las funciones AAA. Cuando tu configuras el RADIUS/TACACS server en tus network devices (switches, wlc, firewall) la ip que debes configurar es la IP de los PSN.

Pregunta: ISE Es compatible con dispositivos de red terceros para AAA? O únicamente con equipos cisco? - Jorge C. (min.35)

Respuesta (Glen J.): ISE es compatible con otros vendor ya que hace uso de protocolos standard como RADIUS, TACACS, pxgrid.

Pregunta: Soporta office 365??? - Mario R. (min.36)

Respuesta (Glen J.): Bajo qué contexto Mario? Cuál es el use case exacto en el que estás interesado?

Pregunta: Puedo usar como repositorio de identidades Azure AD? - Jorge C. (min.37)

Respuesta (Jonathan C.): Sí, te comparto la forma de hacerlo, a partir de la versión 3.2 ya está soportado EAP-TLS. https://www.cisco.com/c/es_mx/support/docs/security/identity-services-engine/216182-configure-ise-3-0-rest-id-with-azure-act.html

Importante mencionar que en la documentación se encuentra ya con el nuevo nombre, Entra ID - https://www.cisco.com/c/en/us/td/docs/security/ise/3-2/release_notes/b_ise_32_RN.html

Pregunta: Para la validación de los usuarios, no hay AD per se. - Mario R. (min.39)

Respuesta (Glen J.): ISE es capaz de utilizar diferentes bases de datos externas como Oracle Databases, External RADIUS servers, LDAP servers, etc. ISE también es capaz de guardar usuarios en su base de datos interna.

Respuesta (Glen J.): Para el caso específico de Office 365 personalmente no he visto el use case implementado, no obstante si Office 365 es capaz de funcionar con alguno de los protocolos soportados por ISE como LDAP, Oracle, etc., entonces podría ser posible la integración

Pregunta: ¿Cómo funciona la alta disponibilidad de ISE con dos nodos? ¿Cuáles son las condiciones para el switchover: caída de nodo PRIMARY o STOP de servicios? - Jorge C. (min.40)

Respuesta (Jimena S.): Respuesta de Jonathan: En un ambiente de dos nodos, si uno de ellos llega a no estar disponible el secundario puede seguir manejando autenticaciones mientras los NAD (switches, WLC) lo tengan en la lista de servidores de RADIUS

Pregunta: Tengo versión 3.2 patch 4 y tengo alertas de recursos de algunos servers aunque estos ya cumplen con los requisitos de median, ¿en la versión 3.3 patch 2 ya viene solucionado este bug? - Martín N. (min.42)

Respuesta (Glen J.): Una disculpa Martin. Es necesario hacer una investigación más profunda para definir si hay un defecto y si es el caso saber exactamente que defecto se está presentando. Recomiendo abrir un caso con TAC para hacer la investigación a fondo.

Pregunta: Si tengo 2 PAN (Principal, Secundario) y 4 PSN. Si el PAN Principal se cae, automáticamente los PSN apuntan al PAN Secundario? - Francisco M. (min.42)

Respuesta (Glen J.): Por default no, se necesita hacer promoción de forma manual. No obstante es posible configurar la promoción automática

Pregunta: La autenticación con usuario y contraseña (PEAP) ya no es compatible con Windows 11 (Credential Guard ). Microsoft recomienda migrar a una versión más segura, como la autenticación mediante certificados digitales (TEAP). Sin embargo, no hemos encontrado una guía de referencia oficial de cisco de cómo realizar este tipo de despliegue utilizando Active Directory (AD), Directivas de Grupo (gpos) y Autoridad de Certificación (CA). - José Luis V. (min.42)

Respuesta (Glen J.): El despliegue de certificados y las GPO son configuraciones del lado del Windows Server por lo que recomiendo buscar guías de Microsoft. En cuanto a la configuración de TEAP, contamos con este documento que muestra como configurar user and machine authentication usando TEAP con certificados: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/216510-eap-chaining-with-teap.html

Pregunta: Buen día en cuanto a las redes hotspot ¿se pueden detectar en ISE? ¿Se pueden denegar para que no accedan a recursos de la red? - Valeria L. (min.42)

Respuesta (Jonathan C.): Hola Valeria, ¿podrías brindarnos más detalles de esta pregunta por favor?

Pregunta: Se puede utilizar Tacacs y Radius juntos?, Tacacs para administración de acceso a equipos de red y Radius para perfilar otros dispositivos como impresoras, teléfonos, etc. - Paolo R. (min.43)

Respuesta (Jonathan C.): Correcto! Un PSN puede manejar sesiones de Radius y tacacs al mismo tiempo. Es común ver esto en un deployment pequeño con 2 nodos. Te comparto esta liga con información de los tamaños que puedes tener https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html

Pregunta: Buen día ¿Recomendaciones para un despliegue con identidad externa con AD tradicional y AD de Azure? - Valeria L. (min.44)

Respuesta (Glen J.): Table 9. Availability of Features

Respuesta (Glen J.): Puedes consultar el siguiente artículo. Uno de los retos más grandes cuando se trabaja esta integración es el manejo adecuado de los permisos: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215233-identity-service-engine-ise-and-active.html

Pregunta: Ok entonces hasta que no se haga la promoción manual del PAN Secundario, no habrá autenticaciones de los endpoints? O sí? - Francisco M. (min.46)

Respuesta (Jonathan C.): Hola Francisco, los PSN pueden seguir manejando autenticaciones aun si los dos nodos de administración no están disponibles.

Respuesta (Glen J.): Las autenticaciones son manejadas por los PSN. Si los nodos de administración caen esto no afecta a los PSN y las autenticaciones continúan. Hay algunos flujos específicos que pueden verse afectados. Puedes checar tales use cases aquí https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/admin_guide/b_ise_admin_3_3/b_ISE_admin_33_deployment.html

Respuesta (Glen J.): Table 9. Availability of Features

Pregunta: Es obligatorio el uso de AnyConnect como suplicante? O podría usar el suplicante nativo del OS? (para el caso que el cliente solo requiera AAA) - Jorge C. (min.47)

Respuesta (Glen J.): Es posible utilizar el suplicante nativo

Respuesta (Jonathan C.): Hola Jorge tenemos estas opciones: Windows - Nativo/anyconnect NAM, MAC- Nativo.

Pregunta: Buen día, para la integración de ISE con AnyConnect se puede tanto para Radius como para TACACS y como se hace la distinción de usuarios al momento de la autenticación, autorización y accounting - Victor V. (min.47)

Respuesta (Glen J.): AnyConnect no soporta TACACS. El suplicante de cisco es NAM Secure Client (antes conocido como AnyConnect). TACACS se usa para administración de dispositivos por lo que no es necesario usar un supplicant.

Pregunta: Ok, Gracias. Jonathan. Y una última pregunta, ya que está arriba el PAN Principal, se tendría que hacer de nuevo la promoción manual? Gracias ! - Francisco M. (min.49)

Respuesta (Jonathan C.): Sí, tendríamos que volver a promocionar el nodo de administración original. Es común hacer esto durante los upgrades a través de la GUI.

Pregunta: ¿Es posible utilizar Cisco ISE para autenticación con Azure AD? - Jorge C. (min.52)

Respuesta (Jimena S.): Respuesta de Jonathan: https://www.cisco.com/c/en/us/td/docs/security/ise/3-2/release_notes/b_ise_32_RN.html - Se encuentra en la guía oficial como Entra ID (anteriormente Azure AD)

Pregunta: Con la solución de Cisco ISE uno podría tener una visibilidad extendida de los usuarios y/o endpoints o requiere una integración con productos como DNA y SCA para tener la visibilidad que se requiere a nivel de usuarios? - Derlis G. (min.52)

Respuesta (Glen J.): ISE provee cierto grado de visibilidad a través de features como System 360, Reportes, Context Visibility Dashboards. No obstante tener productos como DNAC o SNA te permiten tener una visibilidad mejorada.

Pregunta: ¿algún link que para autenticación con Azure que hayan aplicado y les haya funcionado? - Martín N. (min.56)

Respuesta (Glen J.): https://www.cisco.com/c/es_mx/support/docs/security/identity-services-engine/216182-configure-ise-3-0-rest-id-with-azure-act.html

Respuesta (Jonathan C.): Hola Martín, para usar Azure como repositorio de usuarios - https://www.cisco.com/c/es_mx/support/docs/security/identity-services-engine/216182-configure-ise-3-0-rest-id-with-azure-act.html

Pregunta: Tiene alguna guía para configuración de postura en ISE - Victor V. (min.57)

Respuesta (Glen J.): Te recomiendo esta serie de videos creado por uno de nuestro Technical Marketing engineer: https://www.youtube.com/watch?V=6Kj8P8Hn7dY

Pregunta: El coa es limitado en equipos de terceros correcto? O también debería funcionar por ser protocolos standard? - Jorge C. (min.57)

Respuesta (Glen J.): Debería funcionar pero en algunos casos requiere de configuraciones adicionales ya que dependiendo del use case hay diferentes tipos de coa como coa port bounce, Cisco coa etc. 3rd party devices puede que no reconozcan Cisco coa pero se puede solucionar con configuraciones adicionales.

Respuesta (Jonathan C.): El COA esta soportado en la gran mayoría de dispositivos de red de terceros, pero no todos. Llegando a usar el puerto UDP: 1700 O el 3799

Pregunta: Hola para un despliegue ISE se puede adquirir diferentes tipos de licencias (50 essentials y 100 advantage) o deben ser todas del mismo tipo? - Viviana A. (min.57)

Respuesta (Glen J.): Se pueden adquirir diferentes tipos y en diferentes cantidades

Pregunta: La autenticación con Azure AD es con EAP-TLS o EAP-TTLS? - Valeria L. (min.58)

Respuesta (Jonathan C.): A partir de 3.2, soporta EAP-TLS y PEAP.

Respuesta (Jonathan C.): Https://www.cisco.com/c/en/us/td/docs/security/ise/3-2/release_notes/b_ise_32_RN.html - Se encuentra en la guía oficial como Entra ID (anteriormente Azure AD)

Pregunta: Muy buenas tardes, si es posible podrían por favor compartir las configuraciones realizadas en la demo y mejores prácticas. - Felipe H. (min.58)

Respuesta (Jimena S.): Hola Felipe! No sé si el diagrama que está en la presentación sea suficiente. Checa el slide 42 del PDF https://community.cisco.com/t5/documentos-seguridad/doc-implementación-y-configuración-de-cisco-ise/ta-p/5134145?Attachment-id=232405

Pregunta: ¿ISE es compatible con otros vendors como Fortiswitch?, de ser así se requieren configuraciones adicionales?, se tiene algún link? - Marco T. (min.59)

Respuesta (Glen J.): Dependiendo del caso de uso puede que requiera configuraciones extra. Por ejemplo: https://community.fortinet.com/t5/Support-Forum/Dynamic-vlan-assignment-with-Cisco-ISE/m-p/279588

Respuesta (Jonathan C.): En esta guía puedes encontrar los diccionarios que se necesitan en ISE para funcionar con 3rd party vendors - https://community.cisco.com/t5/security-knowledge-base/for-download-radius-vendor-dictionaries-for-3rd-parties/ta-p/3743448

Pregunta: En cuanto a la pregunta del Hotspot ¿Nos ha ocurrido que mobiles que se encuentran autenticados en ISE habilitan el hotspot? Y comparten red a dispositivo que no deberían estar autenticado y por tanto no deberían tener acceso a la red - Valeria L. (min.61)

Pregunta: Hola es posible liberar espacio en disco en los servidores físicos? Pregunto esto por alarmas que se detonan en los servidores por espacio insuficiente - Sonia Mercedes P. (min.66)

Respuesta (Jonathan C.): En caso de presentar alarmas de High Disk, favor de revisar que se tenga el disco de acuerdo a la documentación, si es una VM. https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/install_guide/b_ise_installationguide30/b_ise_installationguide30_chapter_2.html
Si todo esta en orden, favor de abrir un caso con TAC.

Pregunta: Hola si un endpoint se logra autenticar a la red mediante ISE y posteriormente se habilita la función de hotspot, hay alguna opción en ISE de controlar los dispositivos que se conecten a este - América O. (min.70)

Respuesta (Glen J.): Controlar en qué sentido?

Pregunta: Estimado tenía una consulta cuando una autenticación PEAP-mschapv2 veo tráfico de TLS en los Log? Ahí me genere la duda porque el TLS se usa cuando uso la autenticación por EAP-TLS - Luigi Dankur F. (min.70)

Respuesta (Jonathan C.): Para la autenticación PEAP-MSCHAP se usa cifrado vía TLS, primero se abre el túnel TLS para posteriormente enviar la autenticación.

Pregunta: Hola, si un endpoint se logra autenticar a la red mediante ISE y posteriormente se habilita la función de hotspot, hay alguna opción en ISE de controlar los dispositivos que se conecten a este endpoint? - América O. (min.71)

Respuesta (Jonathan C.): Una vez que un endpoint se conecta a ISE con una política X y después se cambia el tipo de acceso con una policy Y. Este endpoint tendrá el acceso de la política X hasta la reautenticación.

Respuesta (Glen J.): Con hotspot te refieres a por ejemplo conectarte al wifi y luego compartir ese wifi con otros dispositivos?

Pregunta: Cual sería el comando comentado de accounting para que el switch vuelva a renegociar la auth cada xxx segundos? - Derlis G. (min.76)

Respuesta (Glen J.): Para esto se usa el reauthentication timer: https://www.cisco.com/en/US/docs/ios/security/command/reference/sec_r2.pdf

Pregunta: Pero si uso un cifrado TLS para el PEAP-MSCHAP porque no uso certificados? - Luigi Dankur F. (min.76)

Pregunta: Al utilizar cisco secure client con autenticación por ISE y como dispositivo de borde ASA o FTD es posible diferenciar a través de grouppolicy a los usuarios y sus perfiles correspondientes y así evitar un perfil de AnyConnect incorrecto ? - Eduardo M. (min.76)

Respuesta (Glen J.): Sí es posible usar group policies. De hecho la group policy la puedes asignar usando ISE

Pregunta: Los equipos aparecen con su MAC-USER según lo visto, hay forma de que en vez de MAC se pueda ver el nombre del nodo/end point? - Igor L. (min.79)

Respuesta (Glen J.): El nombre del nodo es una de las columnas en los RADIUS Livelogs.

Pregunta: Pero si uso un cifrado TLS para el PEAP-MSCHAP porque no uso certificados.... Como el suplicante será considerado como confiable? - Luigi Dankur F. (min.70)

Respuesta (Glen J.): Sí se usa el certificado de ISE para levantar el túnel PEAP. ISE manda su EAP certificate en el Server Hello, esa es la llave publica que el supplicant va a usar para cifrar la comunicación. No es necesario instalar el certificado de ISE en el endpoint a menos que se configure la opción "Validate Server Certificate"

Pregunta: Cuál es la diferencia de las OVA template Cisco-vise-XXX.3.3.0.430a.ova y saber cuál utilizar en una máquina virtual sobre una nube privada con esxi ? - Eduardo M. (min.70)

Respuesta (Glen J.): Dependiendo del OVA se le asignan recursos específicos a la máquina virtual. Puedes consultar que recursos asigna cada ova en la installation guide: https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/install_guide/b_ise_installationguide33/b_ise_installationguide33_chapter_2.html

Pregunta: Así es @glen - América O. (min.71)

Respuesta (Glen J.): Creo que ese use case no es posible. Siendo 100% sincero, nunca he visto algo así implementado pero si fuera posible dependería mucho del endpoint. Normalmente la autenticación de hotspot es local, tu configuras el username y password para unirte al a red hotspot. Si el endpoint es capaz de forwardear la petición de conexión al AP entonces debería ser posible

Pregunta: ¿Es recomendable tomar el Support Bundle o Debug Log fuera de hora de producción (ventana de mantenimiento)? - Jorge C. (min.73)

Respuesta (Jonathan C.): Hola Jorge, se puede tomar a cualquier hora sin problema.

Pregunta: Cuál es el comando en el sw de debug para ver los eventos de aut y si al aplicar el debug ocupa proceso en el sw? - Eliseo M. (min.74)

Respuesta (Jonathan C.): En un momento Julio presentara los comandos de debug para autenticación

Pregunta: Me gustaría implementar está configuración de cero pero no cuento con un equipo ISE, se cuenta con alguna plataforma, al descargarlo por máquina virtual es pesado. - Nataly G. (min.75)

Pregunta: Es posible iniciar una actualización masiva de Secure Client en los endpoints desde el ISE? O será posible en el futuro? - Javier M. (min.86)

Respuesta (Jonathan C.): Es posible a traves del client provisioning portal, con excepción de los dispositivos conectados por VPN. Para estos se tiene que hacer a través del FTD/ASA.

Pregunta: Hola! Hay roadmap para que el proceso de upgrade de ISE provea información sobre el estatus/avance? Actualmente no se muestra mucha información ni tampoco un tiempo estimado restante para concluir el upgrade ya sea CLI o GUI - Sonia Mercedes P. (min.86)

Respuesta (Jonathan C.): Hola Sonia, se han agregado varias actualizaciones a la parte de upgrade, te comparto este link con más detalles: https://www.cisco.com/c/en/us/support/docs/instructions-guides/220857-understanding-new-split-upgrade-on-cisco.html

Pregunta: Cómo se consume una licencia? Para el caso de AAA por dispositivo conectado o por usuario? Para el caso de profiling igual una por dispositivo? - Jorge C. (min.86)

Respuesta (Glen J.): Correcto ambas se consumen por sesión

Pregunta: Me refiero a enpoints windows - Javier M. (min.87)

Pregunta: Y para guest igual por dispositivo? - Jorge C. (min.87)

Respuesta (Glen J.): Correcto

Pregunta: En el policy set tengo configurados identity groups para los diferentes perfiles de gestion (admin, soporte, monitoreo, etc.) y en los atributos esta la opción de radius clas mencionando el group policy pero los usuarios puedes iniciar sesión desde cualquier perfil que tiene disponible AnyConnect y la idea es que no pueda realizarlo y que solo pueda authenticarse por el perfil que le corresponde - Eduardo M. (min.87)

Pregunta: Se puede hacer que ISE con AD autentique con el correo electrónico en vez del sam account name - Víctor V. (min.88)

Respuesta (Glen J.): Sí es posible y es recomendado ya que el UPN (user principal name) debe ser único en todo el forest

Pregunta: Favor, compartir los iconos del diagrama - Jorge C. (min.89)

Pregunta: Hola! Para autenticación de una red wifi vía radius, adicional a la conectividad q debe existir entre los aps e ISE, también es necesario q exista dicha comunicación desde el segmento de la VLAN al que pertenece el SSID con autenticación 802.1x? - Ana S. (min.90)

Respuesta (Glen J.): Depende del use case pero si es authentication por Dot1x, no es necesario que el endpoint tenga conectividad con ISE, pero si utilizar flujos donde se usen portales como GUEST authentication, BYOD o posture entonces 'si es necesario que el endpoint contacte a ISE pues ISE fungirá como web server que despliega el portal

Pregunta: Cómo se consumen las licencias? Por dispositivo conectado a la red o por usuarios (incluso para casos de BYOD) - Jorge C. (min.90)

Respuesta (Glen J.): Por sesión

Pregunta: Pregunta para el asunto de los portales de self-registered como hago para activar el correo de respuesta con el usuario y contraseña, en mi caso trabajo con correo server de gmail Y tengo un problema para este caso para el momento donde el usuario crea su usuario y tengo que aprobar me sale una serie de mensajes antes de aprobar la solicitud. Ejemplo "Se ha producido un error inesperado. Póngase en contacto con el soporte técnico para obtener asistencia" - Tomy Tim (min.91)

Respuesta (Glen J.): Es necesario hacer una investigación profunda sobre esto para saber la razón por la cual se manda el error. Recomiendo abrir un caso con TAC.

Pregunta: La autenticación de un endpoint mediante AnyConnect por qué cada que realiza un romming en el ISE se ven nuevas reautenticaciones el AnyConnect tiene que ver algo. - Guillermo B. (min.91)

Respuesta (Glen J.): Es una mezcla entre configuración de AnyConnect y configuración del access-point.

Pregunta: Pero entonces en PEAP el suplicante usa el certificado de ISE ? Pero yo no he cargado ningún certificado de ISE y me funciona. - Luigi Dankur F. (min.91)

Respuesta (Glen J.): No es necesario cargar ningún certificado. ISE manda su certificado dentro del server hello. El Endpoint confiará en el certificado por default a menos que se configure la funcionalidad "Validate server certificate"

Pregunta: Hola Jonathan respecto a la pregunta del hotspot, hemos visto que mobiles autenticados en ISE comparten la red con hotspot y dispositivos que no deberían tener acceso a red, acceden de esta forma. ¿hay manera de controlar esto a nivel de ISE? - Valeria L. (min.91)

Respuesta (Glen J.): Habría que checar más a detalle este tema. Recomiendo abrir un caso con TAC para hacer una investigación más a fondo. No obstante, si las conexiones hotspot se quedan locales y nunca llegan a ISE por medio de RADIUS entonces ISE no tendrá visibilidad de esto y no será posible que ISE tome acciones

Pregunta: Recomiendan la integración con AD para acceso al ISE? - Juan José P. (min.93)

Pregunta: Tendrás alguna guía de cómo realizarlo por favor de ser posible - Víctor V. (min.94)

Pregunta: Tengo una consulta sobre los portales de self-registered. ¿Cómo puedo activar el envío de correos de respuesta con el usuario y la contraseña? En mi caso, estoy trabajando con un servidor de correo de Gmail. Además, estoy enfrentando un problema cuando un usuario crea su cuenta y yo necesito aprobarla. Aparecen una serie de mensajes antes de que pueda aprobar la solicitud, por ejemplo: "Se ha producido un error inesperado. Póngase en contacto con el soporte técnico para obtener asistencia". Agradezco su ayuda. - Tomy Tim (min.95)

Pregunta: Excelente, tendrás alguna guía de cómo realizar esta configuración por favor - Víctor V. (min.95)

Pregunta: Pero entonces en PEAP el suplicante usa el el certificado de ISE ? Pero yo no he cargado ningun certificado de ISE y me funciona. - Luigi Dankur F. (min.96)

Pregunta: Se puede revisar cuantas sesiones se encuentran activas en ISE para revisar si estamos al limite - Gabriel S. (min.97)

Respuesta (Glen J.): Sí es posible, en Operations > live sessions verás todas las sesiones activas

Pregunta: Entonces en PEAP el ISE es el único que habla TLS y el suplicante confía en el certificado del ISE... Y para el EAP-TLS si es necesario instalar un certificado? - Luigi Dankur F. (min.101)

Respuesta (Glen J.): Correcto porque en EAP-TLS el certificado del endpoint se usa para autenticación y no para cifrado

Pregunta: La migración de las licencias perpetuas 2.7 a licencias por suscripción 3.x es gratuita o tiene costo? - Ernesto Javier G. (min.101)

Respuesta (Glen J.): Tiene costo pero recomiendo contactar a tu account manager para obtener más detalles. Se tuvo un periodo especial donde se dieron descuentos para las migraciones.

Pregunta: Recomiendan la integración con AD o mantener los usuarios locales en el ISE para acceso administrativo? - Juan José P. (min.103)

Nuestros expertos

Avril Alonso es Ingeniera en Comunicaciones y Electrónica egresada del IPN de México (ESIME Culhuacán), Con más de 15 años de experiencia en la industria de TI, especializada en tecnologías Enterprise y Seguridad. Los últimos ocho años en Cisco ha formado parte del equipo de HTTS de Seguridad en México, encargada de brindar soporte a clientes Premium a nivel global en las tecnologías de Seguridad: NGFW, VPN y AAA/ISE, siendo esta última la tecnología primaria en la que brinda soporte a clientes alrededor del mundo. Actualmente se desempeña con el rol de Capitán de Equipo enfocada en brindar apoyo al equipo en asistencia técnica, administrativa o manejo de clientes. Cuenta con las certificaciones: CCNA, CCPN Enterprise y CCNP Security.

Julio Román cuenta con un amplia experiencia en el sector de TI desde 2007, tanto en integraciones CTI (computer-telephone-integration) / CRM (customer relationship management), como IVR (interactive voice response), grabación y WFO/M (workforce optimization / management) para sector de Contact Center bancario, y más reciente en temas de seguridad AAA relacionados con la identificación de usuarios / endpoints, el nivel de acceso, la micro-segmentación y visibilidad granular de los mismos. Julio se unió a Cisco en 2017 y actualmente se desempeña como Escalation Engineer dentro del equipo de HTTS-Security, con la especialidad en AAA/ISE.

Próximos Eventos Eventos Anteriores

Para obtener más información, visite los contenidos de la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.

Igor LVG · ‎06-20-2024

Muchas gracias por la presentación. Les quería consultar sobre el mapeo de usuario - equipo al momento de poder ingresar a la red. Suponiendo una integración con LDAP/AD con el ISE ya funcional, me gustaría saber si se puede saber si es posible tener el mapeo del usuario que ingresa, desde que equipo ingresa (llámese endpoint) y que más información se podría aprovechar. Tengo entenido que se tendría que usar las capacidades de licenciamiento advantage.

muchas gracias!

Jimena Saez · ‎06-21-2024

Hola @Igor LVG

Por favor ayúdanos compartiendo tu pregunta (haz clic en "Responder") en el foro del "Ask Me Anything" para que Avril y Julio puedan responderte. El acceso directo es este: https://community.cisco.com/t5/discusiones-seguridad/foro-implementación-y-configuración-de-cisco-ise/m-p/5134165

En breve estaremos incorporando las preguntas del Chat y las respuestas pendientes. Seguimos trabajando en la edición del video. Bonito fin de semana!