Miftah Rahman (Go)-Blog

Kali ini kita belajar nge-lab ISE basic configuration

Lab pertama yang akan kita oprek adalah monitoring mode

Apa itu monitoring mode? Kalau ada end device mau konek ke jaringan akan di authentikasi di ISE, hanya saja klo end device authentikasi-nya FAIL, tetap diperbolehkan masuk

Cocok untuk fase awal2 deployment implementasi, biar kita bisa melihat (monitor) user2 mana yang FAIL, apa yang menyebabkan FAIL, dan bagaimana cara menanggulangi-nya tanpa harus mengganggu kinerja user

Untuk lebih jelas liat disini

Requirement:

• Ngerti dot1x alias 802.1x (port-based authentication)
• Internet Browser (IE/Firefox only…Chrome not recommended)
• Switch dengan IOS version 12.2(55)SE keatas, IOS version 15 recommended (banyak command baru untuk benerin syntax command yang lama)
  • Untuk liat IOS yang sesuai kebutuhan: Feature Navigator
• ISE Appliance (boleh ditaro di VM, jgn tanya gw image/iso-nya dari mana wkwkw)
• Test PC/Laptop (untuk ngetes konektivitas, klo bisa windows based – XP keatas)

Scenario: switch interface fa0/1 untuk ke server ISE dan interface fa0/2 untuk ke end device (PC), untuk konek ke jaringan maka PC harus provide credentials (like username password) ke ISE (dengan bantuan switch tentunya)

==========================

First…Define Local User in Cisco ISE

Wokeh, pertama2 kita akan create local user di ISE (nanti kita bisa pake ActiveDir klo mau)

Masuk ke https://ip-nya-ISE/ -> isi username password -> navigasi ke Administration -> Identity Management -> Identities

Klik Users folder -> add

Isi Name, Password, dan User Group-nya, klik save

Nanti dikanan bawah layar ada server response-nya tiap kita klik save (berlaku untuk hamper semua settingan)

==================================

Setting NAD (Network Access Device)…which is switch

Setting user udah, nah…supaya ISE “ngenalin” Switch nya sebagai NAD berarti kita setting juga

Masuk ke Administration -> Network Resources -> Network Device Groups

Masing2 All Device Types dan All Location, kita klik Add

Kasih aja nama HQ untuk Location-nya

Untuk Device Type-nya kita kasih nama IOS-SW

Nah, skerang kita add switch-nya

Masuk ke Administration -> Network Resources -> Network Devices

Klik Network Devices folder -> klik add

Isi name-nya (hostname switch-nya), ip address management switch-nya, Network Device Group-nya, dan Authentication Settings-nya..kita pake secret “radius-key”

=====================================

Setting Switch to Accept ISE

Nah, di ISE sudah, skrg kita masuk ke switch-nya…kita setting supaya ini alat nerusin informasi2 yang user kasih ke ISE

Set hostname dan ip address management yang sama dengan yang terdaftar di ISE

FIRST…setting AAA dulu

Karena kita pake authentication, authorization, dan accounting (AAA) untuk network kita…keyword aaa new-model hukum-nya wajib ‘ain (bukan sunnah apalagi makruh wkwkwk)

Supaya semua login behavior-nya ganti pake aaa (walaupun cuma level “enable”)…kita pake aaa authentication login default enable

Untuk authentication, kita pake dot1x dengan konfigurasi yang ada di ISE-RADIUS configuration template (aaa authentication dot1x default group ISE-RADIUS)

Untuk authorization yang mau akses jaringan, kita pake ISE-RADIUS juga (aaa authorization network default group ISE-RADIUS)

Untuk accounting, kita pake dot1x, dengan ISE-RADIUS juga (aaa accounting dot1x default start-stop group ISE-RADIUS)

Maksudnya ISE-RADIUS apa?? Bukannya belum di defined?? Iya…makanya ada tulisan “%AAAA-4-SERVUNDEF” wkwkwk

Note: start-stop buat supaya bikin accounting di switch langsung jalan tapa harus nunggu perintah (default, mau diilangin ini command juga ga bisa, harus diketik)

Nah, sekarang yuk kita bikin ISE-RADIUS nya

Contohnya kayak diatas, note: ini di IOS 15 version, yang jadul punya konfig-nya kek dibawah ini:

Kita define di switch agar klo mau kirim user credentials ke ISE lewat IP berapa (IP nya ISE), password untuk connect ke ISE-nya dan pake port apa (baik authorization maupun accounting-nya), yang semua itu ditaro di ISE-RADIUS configuration template-nya

Radius-server host 10.2.22.111 auth-port 1812 acct-port 1813 key radius-key

Note: ISE pake port 1812 dan 1813 untuk authorization dan accounting-nya

Optional: set radius timeout jadi 10 detik dan retries 3x

Lalu kita set attribute2 yang digunakan oleh protocol radius untuk dikirim ke ISE (hafalan ini, udah ada nomor2-nya)

Radius-server attribute 6 on-for-login-auth

Radius-server attribute 8 include-in-access-req

Radius-server attribute 25 access-request include

Yang intinya…kita minta tolong switch pake protocol radius untuk kirim ke ISE supaya di-prompt untuk login, minta ijin include kirim IP user juga, dan prompt untuk request akses jaringan (udah…ikutin aja wkwkwk)

Nah, tiap vendor punya settingan customized untuk radius-nya (allowed in RFC 2882) yang dinamakan VSA (vendor specific attributes)

Kita liat diatas…Cisco Switch bisa kirim accounting, authentication, sampe NAS (network access server port, ya buat handle vsa2 ini)

Trus karena kita pengen switch ngirim IP kedalam radius authentication request (attribute 8), kita juga harus ketik ip device tracking

Kenapa ga sekalian disetting pas “radius-server attribute”?? Dah…ikutin aja haha, klo lo yang bikin gpp deh…wkwkkw

Dah, setting AAA-nya selese…yuk kita coba test authentikasi (test aaa group ISE-RADIUS [username yang di ISE] [password] new-code)

Yup…success, si switch kirim user dengan nama rahman dan password-nya ke ISE…dan ISE-nya kenal credential itu

Nah, itu dari sisi switchnya sendiri…klo dari sisi end-user berarti kita harus setting apa di switch…?? Setting port-nya

Metode apa yang bisa ngirimin credentials dari port switch ke ISE…?? Dot1x

SECOND…setting dot1x

Dot1x system-auth-control untuk enable dot1x authentication globally on switch

Switchport mode access (atau switchport host juga bisa)…mandatory, alias wajib…klo ga, command authentication open ga akan keluar (tes sendiri)

Authentication open…ini keyword untuk monitor mode, open…alias klo authentikasi-nya fail pun tetep allowed accessing network

Authentication host-mode multi-auth…ada beberapa mode untuk metode authentikasi host, salah satunya ini (apa itu multiple authentication lihat disini)

Authentication periodic supaya authentikasi-nya ga cuma 1x pas initial aja…periodic nanyain terus untuk authentikasi (bahaya kan klo fail, klo udah di blok..ya udah, ga coba attempt lagi)

Authentication timer reauthenticate server supaya si server yang nentuin/specify re-authentication interval (klo pake authen timer reauth 10 berarti tiap 10 detik attempt-nya)

Dot1x pae authenticator untuk membuat role/tugas/mode port menjadi authenticator dot1x (pae = port access entity)

Dot1x timeout tx-period 10 supaya supplicant (PC end user) retries attempt negosiasi dot1x setiap 10 detik

Authentication port-control auto supaya dot1x yang ngontrol port ini authorized apa engga secara otomatis

Nah, kita liat status dot1x di switch dengan show dot1x all atau show dot1x interface x/x

Yaks..statusnya ENABLED dan status port-nya jadi AUTHENTICATOR

Trus kita liat status authentikasi dot1x di interface fa0/2 dengan show authentication session interface fa0/2

Yaks…username: unresponsive, status: authz failed, dan dot1x: failed over

Why? Ya karena supplicant alias end user PC-nya belum kita setting apa2

===========================================================

The End User Device (PC/Laptop) Configuration

In Windows Environment (klo UNIX/LINUX cari sendiri ya…gw windows-oriented soalnya haha), type services.msc on run

Cari Wired AutoConfig service (default-nya ga aktif/stopped), aktifkan/klik kanan -> start

Setelah itu masuk ke network properties (Control Panel\Network and Internet\Network Connections), klik kanan Local Area Network -> pilih Authentication tab (klo Wired AutoConfig-nya ga ada…ga ada ini tab)

Pastikan dot1x nya di enable dan pake PEAP (default ini), trus klik settings (disamping Microsoft: Protected EAP)

Uncheck Verify the Server Identity (nanti LAB berikutnya kita bahas tentang Validating Server Identity Certificate) dan klik configure (disamping EAP-MSCHAP v2)

Uncheck “Automatically use my Windows logon”, OK…trus masuk ke authentication tab -> Additional Settings

Kita pake User Authentication

(optional: klik save credential untuk input userpass, jadi windows otomatis kasi credentials tanpa harus di prompt untuk lakukan verify lagi)

Nah, sekarang kita konekin PC ke switch (interface fa0/2), nanti ada tampilan dibawah ini

Klik…trus isi username dan password (yg terdaftar di ISE)

Klo sukses, ya bagus…klo ga sukses nanti ada tulisan “failed to authenticate” dan berhubung kita pake monitor mode, jadi ga berpengaruh terhadap end user (fail-ga fail tetep konek)

Yuk kita liat di Cisco ISE, klik Operation -> Authentication

hasilnya

(sorry kecil banget….intinya warna biru/ijo menandakan authentikasi sukses, merah = gagal)

Yaks..sukses, coba kita lihat di switch

Authz success !!!

=================================

Misc.

Kita bisa ganti konfigurasi dasar Cisco ISE dengan masuk ke CLI-nya ISE (contoh kita mau ganti IP address, gateway, dll), mirip lah command-nya dengan IOS

Note: biasanya klo ganti IP Address, ISE nya ngasih tau bahwa ISE-nya harus direstart

Untuk ngeliat process dan status yang ada di ISE (jalan apa engga, hang/unresponsive apa engga) kita bisa ketik show application status ise di CLI-nya

kita juga bisa reset admin password untuk GUI ISE-nya dengan command application reset-passwd ise [nama administrator]

==================================================

Troubleshooting…

Test user account di reject

Cek:

• IP address-nya bener ga (baik ISE dan Switch)
• Radius authentication key (switch dan ISE harus di cek)
• User-nya ada engga di ISE (klo pake ActiveDir, cek udah singkron sama ISE engga)
• Cek port 1812 dan 1813 (udah ada apa engga, di blok ama firewall/ASA apa engga)

Cek Radius Activity (Logging) dengan masuk ke Operation -> Authentication-> klik Details (yang ada gambar kaca pembesarnya)

Nanti akan keliatan proses yang fail

lihat FAILURE REASON-nya “11007 Could not locate Network Device or AAA Client”

Diatas adalah contoh bahwa gw salah ngasi IP switch di ISE wakakakak (sempet fail wkwkw)

Windows Credentials ga dikenal di ISE (padahal udah di input di ISE)

Ada beberapa cara:

1. Uncheck “Automatically use my windows logon”, biar manual prompt
2. Kalau bisa bikin user account baru, biar gampang
3. Kalau mau coba2 rename existing account silahkan tetapi kita harus rubah user information kita di Computer Management juga
4. Klo semuanya ga bisa…Restart ISE-nya wkwkwk (seriusan tapi ini…kadang suka gitu)

Note: catatan untuk yang nomor 2 dan nomor 3 dibawah ini

Masuk ke Computer Management

Klik ke Local Users and Group -> Users

Nah, user dengan nama ABC klo kita rename jadi XYZ di Control Panel…di Computer Management tetep terdaftar dengan nama ABC (so…be careful)

================================================

Reference:

Cisco IOS Radius Server Configuration (old and new) @link

Radius NAS on RFC 2882 @https://www.ietf.org/rfc/rfc2882.txt

Radius NAS on Wiki @http://en.wikipedia.org/wiki/Network_access_server

Port Access Entity (Pae) @https://learningnetwork.cisco.com/thread/14910

IEEE 802.1x Port Based Auth on Wiki @http://en.wikipedia.org/wiki/IEEE_802.1X