Introducción
Israel González es ingeniero de soluciones en el equipo de Servicios Avanzados de Cisco México para la Arquitectura de Borderless Networks. Se especializa en soluciones de seguridad y productos. Su atención principal está apoyando a varios de nuestros clientes principales en América Latina en el diseño e implementación de soluciones de seguridad.
Israel tiene 13 años de experiencia en TI. Gonzalez cuenta con una licenciatura en Comunicaciones y Electrónica del Instituto Politécnico Nacional en la Ciudad de México. También tiene tres certificaciones CCIE de Security, Service Providers y Routing & Switching (CCIE # 15732), así como Ethical Hacker EC-Council, CISSP y certificaciones ISO27001 Lead implement certifications.
P. ¿Cómo se maneja la utilización en relación a licencias estándar y avanzadas, cómo se consumen y cuándo?
R. El tema de licenciamiento lo puedes consultar en esta liga http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/guide_c07-656177.htm
P. ¿El licenciamiento del equipo es por cliente (equipo de red) o por usuario final?
R. El licenciamiento es por dispositivo, es decir, por laptop, tablet, smartphone etc.
P. ¿Cuál es la mejor forma de desplegar el NAC client, sobre todo para una red donde los usuarios no tienen privilegio de administrador para instalar el programa?
R. Existen varias opciones para realizar el despliegue, la mas común que hemos visto con nuestros clientes es a través de algun producto de distribución de software como SMS, Altiris, etc. Otra opción es realizarlo a través del ISE.
P. ¿Existe alguna documentación formal de Cisco para encontrar información detallada para integrar la solución a openldap?
R. En esta liga puedes encontrar información sobre la integración de ISE con ldap http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_man_id_stores.html
P. ¿Qué aplicación se necesita para Android para que pueda registrarse en el ISE?
R. No se necesita ninguna aplicación para registrar un dispositivo con Android hacia el ISE. El ISE identifica de manera automática el dispositivo y sistema operativo y le aplica las políticas correspondientes.
P. ¿Cuándo se considera utilizada una licencia base y cuando se considera utilizada una licencia?
R. La licencia base es forzosa para poder tener la licencia avanzada. La licencia base se consume cuando se utiliza alguno de los siguientes features AAA, Guest Provisioning. La licencia avanzada se consume cuando se utiiza Postura, Profiling, sga, MDM.
P. ¿El ISE debe reconocer inmediatamente el dispositivo conectado por Profiling?
R. El profiling se hace a través de diferentes probes, dependiendo de los probes puedes o no identificar un dispositivo. Habría que verificar la configuración de manera puntual.
P. ¿Aplica el mismo concepto para ISE en NAC cuando la inspección se podía hacer in-band o OOB?
P. No aplica el mismo concepto, este proceso se realiza a través de un mecanismo conocido como Change of Authorization (CoA) en este link puedes ver mayor información http://www.cisco.com/en/US/products/ps10315/products_tech_note09186a0080bba10d
P. ¿Se puede restringir el acceso a internet en cuestión de contenidos, dependiendo el usuario o dispositivo conectado?
P. El ISE permite aplicar diferentes políticas dependiendo del usuario o dispositivo conectado para asignarlo de manera dinámica a una Vlan o un Acl, aquí en esta Vlan se puede integrar con otras soluciones para filtrar por contenido.