January | 2015 | Miftah Rahman (Go)-Blog

Klo komputer kita ga punya dot1x, tapi pengen pake dot1x…kita bisa pake 3^rd party software seperti Cisco AnyConnect

AnyConnect yang mana tapi?? Pake AnyConnect Secure Mobility Client

Requirement:

Like the first lab
CCO Login alias Cisco.com login untuk download file
File AnyConnect (4.x atau 3.x), contohnya anyconnect-win-3.1.05187-pre-deploy-k9.iso
(optional) AnyConnect Profile Editor seperti anyconnect-profileeditor-3.1.06073-k9.msi
Jangan SALAH download yaks (gw pake windows..download-nya ya untuk windows)

Note: ga bisa login pake user account biasa, biasanya yang bisa download adalah account dari vendor atau dari certified learning partner (klo dapet di 4shared/torrent silahkan2 saja)

Contohnya dibawah ini

=======================================================

Cisco NAM (Network Access manager)

Cisco NAM inilah yang akan provide authentikasi untuk dot1x, darimana ini dapetnya? Dari file Cisco AnyConnect yang kita download tadi

Nah, setelah download…install setup.exe, pilih AnyConnect NAM (Network Access Manager), trus klik install selected

Nanti disuru restart kompie, ikutin aja (kalau sudah nanti dikanan bawah layar kompie ada icon Cisco AnyConnect)

Klik kanan -> pilih Open AnyConnect

Nanti ada tulisan AnyConnect-nya authenticating…otomatis ke detect konek via “wired”

Nah, kata2 “wired” ini adalah profile default di dalam Cisco AnyConnect, kita ga bisa edit default-nya ini…klo mau edit, kita harus download Cisco AnyConnect Profile Editor (that’s why I told you to download both files)

Default profile “wired”-nya AnyConnect ini authenticating via certificates…berarti kita harus edit…klo edit berarti kita harus install Profile Editor

Tinggal install…klik Custom

Pilih NAM Profile Editor aja, next2 aja terus

Nah, tinggal cari di start menu itu NAM Profile Editor (RUN AS ADMINISTRATOR!!! gw abis 1 jam gara2 ga bisa nge-save editan profile gw T_T )

Klik Network tree (dibawah Authentication Policy) -> klik default profile “wired” -> klik edit

Pilih Certificates tab (dibawah User Auth tab) -> pilih option Include Root Certificate Authority (CA) Certificates -> klik add -> files of type-nya pilih all files (biar keliatan semua, default-nya hanya detect .pem format) -> trus masukin certificate-nya, recommended pake Base-64 Certificate

Dapet dari mana itu Base-64 certificate? Ya dari PKI Server….download lagi

note: klo kita udah install itu CA di local computer…ya ga usa di setting ini (biarkan saja option “Trust any Root Certificate...”

Klo udah di add di NAM Profile Editor, langsung pilih tab credentials tab (dibawahnya PAC Files tab) untuk klik done (kenapa harus disini sih tombol done nya)

Trus kita save as…format-nya XML

Jgn di rubah folder-nya…soalnya NAM Profile Editor-nya nyari config disitu

Klo sudah..klik lagi AnyConnect icon di kanan bawah layar monitor -> pilih Network Repair

Nanti ada muncul authentikasi dari AnyConnect…input deh

Hasilnya klo bener seperti dibawah ini…Connected

note: deploy CA/PKI with fully working DNS…

Biasanya klo awal2 implementasi Cisco ISE kita akan menemukan bahwa komputer kita ga percaya dengan Certificate yang diberikan oleh ISE “this certificate is not trusted” klo di Firefox, analoginya kek gini: “klo gw mau buka account rekening di bank (anggeplah PC kita) tentu gw harus punya semacam kartu identitas (certificate), trus kartu identitas apa yang diakui oleh bank?? Tentunya oleh pemerintah (trusted CA)…ga mungkin kartu surat keterangan menikah lu pake buat buka rekening hahahaha… nah, berarti kita harus daftar (request CA) ke institusi yang di trusted oleh bank (yaitu pemerintah-trusted CA) untuk dibikinin KTP (valid and trusted certificate), Sedangkan untuk bikin KTP berarti harus ada data2 identitas yang harus diisi sebelum KTP itu dibuat (self-certificate), data2 identitas inilah yang kita kasi ke institusi pembuat sertifikat resmi, setelah data2 identitas ini disetujui (approved request by trusted-CA)…dibikinlah KTP Baru dah lu dengan identitas resmi lu (binding self-certificate with trusted-CA-certficate) diterima oleh bank” Begitulah cara ISE (dan semua device2 yang menggunakan PKI) bekerja Step2nya:

Create PKI Server
Download Certificate from PKI Server and Install it into ISE
Bind ISE Certificate with CA from PKI Server
Download Certificate from PKI Server and Install it into internet browser biar masuk dalam list trusted server (ga lucu kan klo gw mau bikin rekening bank pake KTP trus ditolak gara2 pembuat KTP-nya ga dikenal oleh bank wkwkwk, yang buat PEMERINTAH ENEEEH!!!)

Requirement:

Same like first Lab, but with additional Server
PKI Server (I’m using win2008)…link how to install PKI Server

========================================= Unduh Sertifikat from PKI Server (unduh?!? Wkwkw download aja kali bahasanya…) Masuk ke internet browser, ketik http://ip-nya-pki-server/certsrv (klo ga bisa diakses link-nya berarti lu belum bikin role Certificate Authority di Server), klik “download a CA certificate…” Lu boleh langsung install this CA certificate klo mau langsung di install di web browser, atau mau download (gw prefer yang download), nanti hasilnya kek dibawah ini: File yang udah di download di klik 2x. Sebelum itu CA diinstall, kita bisa liat certificate information-nya…valid dari tgl brp sampe tgl brp, trus klik deh install certificate Ada beberapa folder untuk certificate, taro aja di Trusted Root Certification Authorities Klo uda silahkan di cek di web browser option (IE: Internet Option -> Content -> Certificates, Firefox: Options -> Advance tab -> Certificates -> View Certificates) Ada tuh…PKI Server bernama “CA” ============================================ (Optional) Connecting End User using Certificates Karena kita pake certificate…ada baiknya kita setting dot1x authentication di PC pake “verify the server’s identity by validating the certificate” Hasilnya seperti dibawah (Authentication Failed because PC doesn’t recognize ISE certificate) So what do we do to make PC recognize ISE, the answer is in below chapter =============================================== Enroll ISE to PKI Server Masuk ke Administration -> System -> Certificates Trus klik Certificate Operations -> Certificate Store -> klik Import Masukin certificate file yang udah kita download, centang/check option “trust for client authentication or Scure Syslog services” dan klik submit ========================================= Binding ISE Certificate with CA Masuk ke Certificate Operations -> Local Certificate -> klik add -> Generate Certificate Signing Request Masukin data2 sertifikatnya (PKI server gw namanya CN=ise.domain.com, liatnya pas lo bikin CA/PKI Server pertama kali…ada informasi ini), key length dan Hashing nya, klik submit Nah, nanti di Certificate Operations -> Certificate Signing Request…ada sertifikat bernama “ise.domain.com” yang ready untuk di upload ke PKI Server untuk di “bikinin” versi “resmi”-nya Caranya?? Ya klik Export Nah, download dah itu file isedomaincom.pem Setelah itu kita akan masuk ke PKI Server kembali untuk upload itu file isedomaincom.pem Masuk ke http://ip-nya-pki-server/certsrv kembali, trus klik Request a certificate Klik advanced certificate request Copy paste informasi isedomaincom.pem kedalam text box yang disediakan oleh kolom Saved Requestl, trus klik Submit Lah, informasi-nya isedomaincom.pem-nya dapet darimana?? Oh iya… Masuk ke folder tempat lo download file isedomaincom.pem, trus klik kanan file-nya -> open with -> wordpad (gw pake notepad++…sama aja) Nah…lo blok semua kata2nya…paste ke kolom saved request yang tadi (ctrl+a trus ctrl+c aja) Setelah di submit, catet nomor Your Request Id-nya, gw nomor 8…nyok kita masuk ke PKI Server-nya Masuk ke Server Manager -> Roles -> Active Directory Certificate Services -> CA -> Pending Request, cari nomor kita Klik kanan -> all tasks -> pilih issue Masuk lagi ke alamat web tempat kita request certificate…pilih “View the status of a pending certificate…” Klik “Saved-Request Certificate…” (klo lo belum issue ini pending request…tulisan saved-request ini ga ada) Download dengan option DER (Distinguished encoding Rules) Encoded trus klik download certificate (Ga usa pusing dengan apa itu DER…klo lo belajar lebih dalam tentang security terutama yang berkaitan dengan PKI Server dan X.509 baru dah lu oprek2) note: klo CA ga bisa issue gara2 di deny, mungkin lo harus liat microsoft link ini: https://technet.microsoft.com/en-us/library/dd441378(office.13).aspx Download…kasi nama yang beda (contohnya ise-certnew), sertifikat inilah yang akan dibinding ke ISE, jadi ISE akan ngomong ke PC kita dengan nama ISE yang terotorisasi PKI Server (ceritanya ISE punya KTP Resmi inih) Masuk ke Certificate Operations -> Certificate Store -> klik add Bind CA signed Certificate Masukin file yang uda kita download tadi ke ISE, jgn lupa di centang EAP dan HTTPS nya Nanti pas di submit, ada notice dari ISE klo servernya harus direstart..OK-in aja Wait a couple of minutes…then login back to ISE ==================== Verification Harusnya sih…klo gw mau ke GUI-nya ISE lewat web browser…ga ada tulisan certificate error lagi, yuk kita coba Weleh…masuk “certificate error”, pas dilihat…valid from 15 januari 2015….HAHAHAHA (gw posting ini tanggal 14 januari…so…kita tunggu besok dah) ….updated, masih error…kek-nya Certificate yang gw bikin di PKI Server-nya engga valid deh (salah domain) nih screenshotnya “this certificate is only valid for ise.domain.com” yah…tapi klo lu bener domain dan setting CA di PKI server-nya…harusnya ga ada lagi tulisan “certificate error” nah…skrg kita tes show authen sess int fa0/2, success ga yup…success