La nouvelle version d’ISE 1.1.1 (alias 1.1mr) est disponible, au programme un bon nombre de nouveautés et de correctifs :
Fonctions BYOD
En premier lieu un gros Focus sur l’intégration BYOD (Bring Your own Devices) avec un système complet d’enrôlement et de provisioning des devices :
– Nouveau portail d’enregistrement des devices
– Nouveau profil par défaut « blacklist » pour les équipements mis en quarantaine avec redirection vers une page dédiée en cas de tentative d’accès d’un équipement blacklisté
– Enrolement automatique des certificats sur les devices (via SCEP)
Pour bien comprendre le mode de fonctionnement de la solution, voici les différentes phases d’un enregistrement d’équipement
- Un employé de l’entreprise de connect au SSID du réseau interne
- Il s’authentifie en PEAP/MSCHAPv2 ou EAP-TLS sur ISE et l’AD de l’entreprise
- Si l’équipement est déjà enregistré il a immédiatement accès au réseau
- L’équipement est profilé (identification du type device)
- Si le type d’équipement n’est pas autorisé l’accès au réseau est refusé
- Si l’équipement est nouveau et que le type de device est autorisé dans le réseau l’utilisateur est renvoyé vers un portail d’enregistrement
Une fois sur le portail d’enregistrement l’utilisateur va devoir soir télécharger un petit Wizard (Mac OSx, Windows ou Android) soit directement recevoir son profil de connexion et donc l’accepter.
Deux éléments distincts sont envoyés par ISE :
– La configuration du réseau Wifi et/ou filaire de l’interface intégrée à l’OS
– Optionnellement un certificat utilisateur généré par la PKI entreprise via SCEP.
Dans le cas de device apple IOS, la technologie OTA (Over The Air) d’Apple est utilisée pour pousser le nouveau profil de connexion, dans le cas des autres OS un petit client d’enregistrement Cisco sera installé préalablement sur le poste. Ce wizard d’enregistrement sera distribué directement d’ISE pour les devices Windows et MacOSX ou via google play pour les devices Android.
A noter qu’il est également possible d’enregistrer manuellement un équipement via le portail Web Dédié.
En dehors du BYOD, ISE 1.1.1 supporte la liste des nouveautés suivantes :
Support des environnements VMware ESXi 5
Pour rappel ISE peut soit s’installer sur des appliances, soit s’installer en environnement virtualisé VMware, la version 1.1.1 supporte maintenant VMware ESXi 5.
RADIUS Proxy Attribute
En cas d’utilisation de la fonction Radius-Proxy, avec ISE vous avez le choix pour l’autorisation d’utiliser la table d’autorisation locale ou bien même d’ajouter ou d’enlever des attributs que ce soit dans le dialogues vers les radius externes ou bien dans la réponses qui est renvoyée à ISE. Cela permet à ISE d’offrir une des plus puissantes fonctions de proxy Radius du marché
EAP Chaining
ISE 1.1.1 supporte la nouvelle version d’EAP-FAST qui permet d’avoir une authentification machine+user dans un même authentification. Pour rappel il n’existait aujourd’hui aucune méthode EAP capable d’associer une authentification machine à l’authentification de l’utilisateur
EAP-FAST avec TLS en méthode interne
Toujours avec EAP-FAST, nous avions jusqu’ici le choix entre méthode EAP interne MSchap-v2 ou GTC, avec ISE 1.1.1 il est maintenant disponible d’utiliser des certificats et donc d’avoir de l’EAP-TLS comme méthode interne.
Nouveaux rappors dans Cisco ISE 1.1.1
Cisco ISE, Release 1.1.1 dispose de deux nouveaux rapports dans le cadre du BYOD:
• Supplicant Provisioning Report
• Registered Endpoint Report.
Change of Authorization
Le changement d’autorisation permet de modifier à tout moment une politique d’accès. Avec ISE 1.1.1 un message CoA est envoyé à chaque fois qu’un équipement change de groupe de profiling.
Imaginons par exemple une imprimante qui est connecté sur le réseau et identifiée comme tel, si un pirate tente d’utiliser la même adresse MAC que l’imprimante et qu’il se connecte à sa place dès que ISE détectera un changement de profiling un message CoA sera envoyé au commutateur et le pirate sera déconnecté.
Rien ne change au niveau de la configuration d’ISE il faut juste active globalement CoA :
ISE 1.1.1 est disponible au téléchargement sur www.cisco.com que ce soit pour une nouvelle installation ou une mise à jour depuis les versions précédentes.
Vous trouverez la release notes ici