ISE Najlepsze praktyki oraz rozwiązywanie problemó Secure 2014/cs2014... · ISE Najlepsze...

ISE Najlepsze praktyki oraz rozwiązywanie problemów

Michał Garcarz

Krakow TAC AAA Lead

CCIE #25272 (R&S, Security, Wireless)

Cisco Secure 2014

Cisco Public 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.

?


EAP – problemy i rozwiązania

Client suppression

Debug/runtime

Packet capture

Config validator

Posture

Active Directory

Cluster

Hasła – odzyskiwanie

Agenda


EAP


1. EAP: dot1x (wired, wireless), ASA/IOS VPN ikev2, integracja ISE 1.3

2. Olbrzymia liczba suplikantów 802.1x (Windows, Anyconnect, MAC OS, Linux, Open1X, Android, Apple IOS i wiele innych zwłaszcza mobilnych) –ich wszystkich musimy akceptować jako gości/BYOD

3. RFC nie zawsze precyzyjne (PEAP MSCHAPv2 draft)

4. Nie obsługiwanie „may” z RFC np.: atrybut Radius Framed-MTU (RFC 2865) pozwalający na ustalanie rozmiarów fragmentów EAP-TLS

5. Zachowania specyficzne np.: certyfikat Apple (potwierdzenia), niewłaściwe kończenie sesji EAP-PEAP

6. Kto najbardziej ? Sieci kampusowe, uczelnie, hotele

EAP


EAP-PEAP przykład


Event 5411 Supplicant stopped responding to ISE

Failure Reason 12930 Supplicant stopped responding to ISE after sending it the first PEAP message

Resolution Verify that supplicant is configured properly to conduct a full EAP

conversation with ISE. Verify that NAS is configured properly to transfer EAP messages to/from supplicant. Verify that supplicant or NAS does not have a short timeout for EAP conversation. Check the network that connects the Network Access Server to ISE.

Root cause Supplicant stopped responding to ISE after sending it the first PEAP message. Username anonymous.

EAP Troubleshooting – supplicant timeout

Dlaczego anonymous ? (AC)


EAP-PEAP przykład


Reason: 12930 Supplicant stopped responding to ISE after sending it the first PEAP message

Reason: 12931 Supplicant stopped responding to ISE after sending it the first EAP-TLS message

Reason: 12932 Supplicant stopped responding to ISE after sending it the first EAP-FAST message

Reason: 12933 Supplicant stopped responding to ISE during EAP-FAST tunnel establishment

Reason: 12934 Supplicant stopped responding to ISE during PEAP tunnel establishment

Reason: 12935 Supplicant stopped responding to ISE during EAP-TLS Certificate exchange

Reason: 12936 Supplicant stopped responding to ISE after sending it inner EAP Identity Request

Reason: 12937 Supplicant stopped responding to ISE after sending it the first inner EAP-MSCHAPv2 message

EAP Troubleshooting – supplicant timeout


Client Suppression


Problem: Nieudane autentykacje: zasoby (CPU, logowanie), limit sesji EAP (per węzeł).

Efekt:

„5405 RADIUS Request dropped” (limit sesji)

Oraz mnóstwo logów w Mnt (logowanie)

CPU i zasoby dyskowe przeciążone (CPU, dysk twardy)

Rozwiązanie:

Nie dopuszczenie do wielu nieudanych sesji (czy zawsze możliwe ?, kampus)

Client Suppression (blacklista na ISE)

Client Suppression


WLC (Client Exclusion Policies), ISE 1.2 (Client Suppression). AAA debug lub packet capture: pokaże gdzie.

Client Suppression


Endpoint na blackliście 2014-08-31 20:02:11,058,DEBUG,0x2b653bf8f940,cntx=0000003030,sesn=ISE-sec/167315226/509,

ClientSuppression endpoint is in reject mode ,ClientSuppression.cpp:357

2014-08-31 20:02:11,058,INFO ,0x2b653bf8f940,cntx=0000003030,sesn=ISE-sec/167315226/509, RadiusRequestFlow reject endpoint=87-32-4a-20-3a-20 due to suppression,RadiusRequestFlow.cpp:235

Endpoint poprawny 2014-08-31 14:18:23,869 DEBUG [Thread-316][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-

ClientSuppression,DEBUG,0x7f9395103700,cntx=0000001301,sesn=lise/198843988/16,CPMSessionID=c0a8010a0000500054032eae,CallingStationID=192.168.10.68,FramedIPAddress=192.168.1.50,ClientSuppression endpoint is not in the misconfigured list, ClientSuppression.cpp:395

Client Suppression


Endpoint (user?) nie jest dodawany do identity group „Blacklist” (to jest usługa Portalowa). Reguła authz dla Blacklist.

Logowanie jest ograniczone przez Reporting Interval, który domyślnie wynosi 15min (ochrona przed DoS). To oznacza, że w przypadku kolejnej nieudanej autentykacji zazwyczaj nie będzie logów.

Endpoint domyślnie jest blokowany przez 60min (Request RejectionInterval)

W raze wątpliwości: Diagnostic Tool/ Endpoint debug

Klient wyłączył suppression -> awaria. Unsupression per mac.

Client Suppression - podsumowanie


Debug runtime


Jeśli błędy raportowane przez ISE Mnt nie wystarczają (a kiedy ich brak ?)

Jeśli packet capture nie daje jednoznacznej odpowiedzi (pakiety uszkodzone, inne kodowanie) ?

Jeśli decyzja podejmowana przez ISE jest niejasna (np.: clientsuppression)

Rozwiązanie:

Packet capture

Debug aaa runtime

Debug AAA/runtime


Debug AAA/runtime - przykład

Dane o sesji, każdy pakiet Radiusa dokładnie wyświetlony (prrt.log):

Dokładnie przeanalizowany, np.: sprawdzony MAR cache i ustawiona flaga WasMachineAuthenticated:


Prrt.log (ISE 1.2): Eap,2014-07-14 12:31:28,451,WARN ,0x2b143f749940,NIL-

CONTEXT,configureServerCertificateChain - failed to configure the server-certificate chain ; will continue without the complete chain, EapConfigObjectBase.cpp:718

Eap,2014-09-07 09:07:53,513,WARN ,0x2b455c8d6940,cntx=0000052614,sesn=ise01/178019822/4743,user=example.com\mgarcarz,EAP-TLS: ProcessData failed with handshake error, EapTlsProtocol.cpp:588

Eap,2014-09-07 09:07:53,513,WARN ,0x2b455c8d6940,cntx=0000052614, sesn=ise01/178019822/4743, user=example.com\mgarcarz,EAP-TLS: SSL handshakefailed, connection state = 3, peek SSL error 1048, SSL message "SSL alert: code=0x230=560 ; source=remote ; type=fatal ; message="unknownCA"",EapTlsProtocol.cpp:659

Exception in parsing attributes !,RADIUSHandler.cpp:453 (Narzędzia TAC)

ISE 1.3 Prrt-server.log

Debug AAA/runtime - przykłady


Natywny suplikant 802.1x (EAP-TLS) na windows nie wysyła całego łańcucha w ClientHello (brak dołączonego CA) – Efekt ?

Debug AAA/runtime – windows zachowanie dla EAP-TLS


Debug AAA/runtime – przykłady, windows zachowanie

Authentication failed : 12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain"

Kiedy ? Jeśli certyfikat klienta podpisany subCA (którego zazwyczaj nie będzie na ISE, ponieważ tam wystarczy CA) klient->subCA->CA (Windows wyśle klient), ISE nie umie zweryfikować bo nie ma subCA (ma tylko CA w trusted store)

Objeście problemu: zainstalowanie subCA w trusted store na ISE

Rozwiązanie: Anyconnect NAM (poprawnie wysyła cały łańcuch certyfikatów klienta)


Packet capture


Problem: pakiety odrzucane, uszkodzone, fragmentacja

Rozwiązanie:

Packet capture na ISE

Debug aaa runtime

Gdzie podsłuchiwać ?

ISE

NAD

Packet capture


Wygodnie (z poziomu GUI)

Pakiety z dowolnego węzła (z poziomu GUI PAN – filozofia ISE)

Filtry

Interfejsy

Format pcap (wireshark)

Packet capture


Packet capture


Packet capture – przykład wyliczenia Message-Authenticator

11036 The Message-Authenticator Radius Attribute is invalid.5405 RADIUS Request dropped

Atrybut Radius zdefiniowany w RFC 3579 służący do walidacji poprawności (integralności, nadawcy) pakietów.

Obierający wylicza i porównuje: Message-Authenticator = HMAC-MD5 (Type, Identifier, Length, Request Message-Authenticator, Attributes)

Resolution: Check whether the Shared Secrets on the AAA Client and ISE Server, match.Ensure that the AAA Client and the network device, have no hardware problems or problemswith RADIUS compatibility. Also ensure that the network that connects the device to theISE, has no hardware problems.


Packet capture – przykład wyliczenia Message-Authenticator

pluton # cat packet30-clear-msgauth.bin | openssl dgst -md5 -hmac 'cisco'(stdin)= 01418d3b1865556918269d3cf73608b0


Packet capture – zdeszyfrowana i zdekodowana sesja PEAP-MSCHAPv2

Potrzeba analizy sesji MSCHAP w tunelu SSL (EAP-PEAP)

Wireshark posiada dekoder SSL (warunek: cipher RSA, nie DH, klucz prywatny serwera) – ale potrafi to zrobić tylko dla ruchu SSL overTCP (a nie SSL over EAP over Radius)

Rozwiązanie:

Skrypt perl tworzący sesje TCP do której zostaje przekopiowany payloadSSL z EAP (https://supportforums.cisco.com/blog/154046)


Packet capture – zdeszyfrowana i zdekodowana sesja PEAP-MSCHAPv2

Jeśli suplikant posiada poprawne hasło wyśle odpowiedź z 49 bajtami challenge response:16 octets: Peer-Challenge8 octets: Reserved, must be zero24 octets: NT-Response1 octet : Flags


Configuration Validator


Problem:

czy urządzenie sieciowe zostało skonfigurowane poprawnie

czy jest dostępne z/do ISE

czy ISE ma poprawne dane dostępu do urządzenia

per usługa/technologia (np.: Trustsec)

Rozwiązanie:

Configuration validator




Podajemy

Adres ip, Interfejs oraz usługę do sprawdzenia



Podajemy Dane do logowania (telnet

lub ssh)



Dostajemy wynik konfiguracji poszczególnych sekcji



• Radius global config• Device discovery config• Logging config



• Profiler config• Web auth config• Trustsec config


Posture


Posture

Cel

Instalacja na stacji aplikacji (NAC Agent) która sprawdzi czy stacja jest zgodna z politykami (compliance) i wyśle raport do ISE

Rezultat

ISE wiedząc czy stacja jest zgodna z politykami (lub nie) dynamicznie zmieni poprzez Radius CoA stan sesji na urządzeniu końcowym (switch, WLC, ASA): możliwość kwarantanny albo uzyskanie pełnego dostępu

Jak

Przekierowanie HTTP do ISE (CWA lub CPP flow)

Reguły „client provisioning” zależne od systemu operacyjnego (HTTP User-Agent)


Posture – client provisioning

Reguły kontrolujące jakiego agenta instalujemy

Niepoprawna regułka!


Posture – polityki

Reguły kontrolujące jakie polityki muszą być sprawdzone przez agenta


Posture – posture szczegóły

Weryfikacja:- Szczegóły dotyczące sesji(user, mac, ip)- Lista regułek polityki (które warunki zostały spełnione a które nie


Posture – posture szczegóły

Compliant

NonCompliant – lista wymagań

Kiedy pojawia się okno NAC Agenta ?


Posture – poprawne debugi posture (ise-psc.log)

Discovery

Poproszę o polityki Received posture requestPosture policy resource id posture_rule1….File Path Suffix=C:\test.txt, File Type=FileExistence,

Polityka z regułkami

Raport (compliant)

Konfiguracja

Posture state is compliant for endpoint with mac …..

Sending response to endpoint….X-Perfigo-VLAN-Change-Delay=3(NAC Agent profile)

NAC Agent Pop-up


Posture – debugi problemy (ise-psc.log)

2014-09-18 17:55:19,868 DEBUG [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- Session Id is null, setting to emptystring as part of audit logging

2014-09-18 17:55:19,868 DEBUG [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- Mac address is null, setting to emptystring as part of audit logging

2014-09-18 17:55:19,868 ERROR [portal-http-8443302][] cpm.client.provisioning.handler.ProvisioningHandler -:::::- doError: 500 - Unable to get sessionfrom session cache

2014-09-18 17:55:19,868 ERROR [portal-http-8443302][] cpm.client.provisioning.action.ProvisioningAction -:::::- ProvisioningHandler encountered anexception while handling the request

Wolne łącze, timeout przy ściąganiu klienta (sesja już nie istnieje). Kiedy ? Ustawienia Java/ActiveX.


Posture – debugi problemy (ise-psc.log)

cpm.client.provisioning.handler.PostureAgentHandler -:::::- is IE?: Firefox

cpm.client.provisioning.action.ProvisioningAction -:::::- Setting webagent_download_top3 = This portal requires you to disable CRL. To disable CRL: Control Panel, Java, Advanced, Perform certificate revocation checks on: Change to - Do not check (not recommended).

Dlaczego musimy rozpoznawać typ przeglądarki (IE, Firefox ?)

Firefox wykorzystuje własny store na certyfikaty (nie systemowy/Windows). Nie wspiera ActiveX wiec musi ufać podpisanemu apletowi Javy. Upewnić się, że certyfikat ISE którym aplet jest podpisany jest zaufany (CA w trusted storeFirefoxa).

Problemy z CRL (jeśli certyfikat ISE/CA wskazuje na serwer CA który jest niedostępny)


Active Directory


Active Directory

Częste problemy

Czas (Kerberos akceptuje 5 min)

Złe DNSy

Firewall, wiele DC, wiele domen

Wspierane AD, per node, wersja

Narzędzia

Adinfo

ADDT

Test User

CLI + debugs

Koncepcje

Join Point


Active DirectoryJeśli jest wiele DC w obrębie jednej domeny który serwer jest wybierany przez klienta ?wiele rekordów SRV _ldap._tcp.dc._msdcs.example.com

Efekt: różne węzły ISE podpięte do różnych DC w obrębie tej samej domeny (geograficznie, lokalizacje etc).


Active DirectoryJeśli jest wiele DC w obrębie jednej domeny który jest wybierany przez klienta ?A jak to zrobić ręcznie (nie zalecane – troubleshooting !)

ise/admin# application configure ise[3]Configure Active Directory settingsParameter Name: dns.gcParameter Value: 1.1.1.1Parameter Name: dns.dcParameter Value: 2.2.2.2Parameter Name: dns.serversParameter Value: 3.3.3.3

Efekt: różne węzły ISE podpięte do różnych DC w obrębie tej samej domeny (georaficznie, lokalizacje etc).

Co się stanie jak dc=2.2.2.2 nie osiągalny ?


Active Directory – Join PointJeśli jest wiele DC w obrębie różnych domen.ISE 1.3 - koncepcja Join Point

Efekt: różne węzły ISE podpięte do różnych domen (i w efekcie do różnych DC). Możliwość selekcji po poddomenach (np.: lokalizacja)


Active Directory – Join Point cdJeśli jest wiele DC w obrębie różnych domen.ISE 1.3 - koncepcja Join Point

Efekt: różne węzły ISE podpięte do różnych domen (i w efekcie do różnych DC). Możliwość selekcji po poddomenach (np.: lokalizacja)


Active Directory - Join Point cd

Możliwość granularnego wyboru domeny


Active Directory – troubleshooting z Adinfo

Opcja Test Connection/Details: wiele szczegółów dotyczących sesji


Active Directory – troubleshooting z Adinfo

„Failed to finddomain controller in domainEXAMPLE.COM: There are no available DC’s”

Czyli jest łączność z DNS ale brak odpowiednich rekordów SRV. Prawdopodobnie wskazujemy nie ten serwer DNS.A co jeśli „join” się udaje ale autentykacje użytkowników nie ???


Active Directory – troubleshooting z ADDT (ISE 1.3)

A co jeśli „join” się udaje ale autentykacje użytkowników nie ???


Active Directory – troubleshooting z Test User

Od ISE 1.3 – pełen proces autentykacji/autoryzacji po Kerberos/MS-RPC albo sam „Lookup”


Active Directory – troubleshooting z Test User

Lookup Kerberos


Cluster


Cluster (Distributed Deployment) – Role vs Persona

Rola – opisuje usługi które działają na danym węźle:

Administration (PAN)

Monitoring (MNT)

Service Policy (PSN)

pxGrid

Persona – opisuje stan tych ról

Standalone (jeden węzeł)

Primary (możliwe dla PAN oraz MNT)

Secondary (możliwe dla PAN oraz MNT)

Cluster

Max 2 x PAN (Primary+Secondary)

Max 2 x MNT (Primary+Secondary)

Wiele PSN (do 40)

10 PSN per nodegroup


Cluster – Problemy Rejestracji „nie Standalone”

Próba rejestracji (dodania) węzła:

2014-02-05 10:17:17,942 ERROR [admin-http-pool230][] cpm.admin.infra.action.DeploymentEditAction -:admin:30263645F28D9634384007944B540725:ise2-sec.test-cisco.com:registerNode:- Unable to register ise2-sec. Node isnot a Standalone node.

Węzeł już jest w „cluster”Rozwiązanie:- Derejestracja- Application reset-config ise


Cluster – Problemy Rejestracji „nie zaufany certyfikat”

Próba rejestracji (dodania) węzła:

2014-02-05 10:45:06,715 ERROR [admin-http-pool224][] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -:admin:30263645F28D9634384007944B540725: ise2-sec.test-cisco.com:registerNode:- An error occured while registering the node

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Certyfikat nowego węzła nie zaufany.Rozwiązanie:- Dodanie odpowiedniego CA do trustedcertificates


Hasła - odzyskiwanie


pluton CiscoSecure2014 # ssh [email protected]

[email protected]'s password:

You are required to change your password immediately (password aged)

Last login: Sun Aug 31 13:53:24 2014 from 10.61.212.8

WARNING: Your password has expired.

You must change your password now and login again!

Changing password for user admin.

Changing password for admin

(current) UNIX password:

New UNIX password:

BAD PASSWORD: is too similar to the old one

New UNIX password:

BAD PASSWORD: is too similar to the old one

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

Hasła administracyjne – CLI (Linux)

ise2/admin# password

Enter old password:

Enter new password:

Confirm new password:

ise2/admin#

Wygaśnięcie hasła CLI użytkownika admin

i wymuszona zmiana hasła

Hasła CLI (Linux) lokalne per węzeł !

Ręczna zmiana hasła CLI użytkownika admin


pluton CiscoSecure2014 # ssh [email protected]

[email protected]'s password:

ise2/admin# application reset-passwd ise admin

Enter new password:


Password reset successfully.

Hasła administracyjne – GUI (Aplikacja)

Hasła GUI (Aplikacja) takie samo dla wszystkich węzłów w klastrze !

Wygaśnięcie hasła GUI i brak możliwości zmiany przez GUI, zmiana tylko przez CLI


Hasła administracyjne - polityki

Polityka wspólna dla CLI oraz GUI, konfigurowana z GUI:

password-policy

password-expiration-enabled

password-expiration-days 1

min-password-length 4

Replikowana do CLI

Nie mylić z politykami haseł dla użytkowników sieciowych!


Hasła administracyjne – polityki sieci i gości

Oddzielne polityki dla administratorów, użytkowników, gości.

UżytkownicyGoście


CLI – poprzez bootowanie ISO z opcją recovery

Welcome to Cisco Identity Services Engine - ISE 3355

To boot from hard disk press <Enter>

Available boot options:

[1] Cisco Identity Services Engine Installation (Keyboard/Monitor)

[2] Cisco Identity Services Engine Installation (Serial Console)

[3] Reset Administrator Password (Keyboard/Monitor)

[4] Reset Administrator Password (Serial Console)

<Enter> Boot from hard disk

Please enter boot option and press <Enter>.

boot: 3

Hasła administracyjne - odzyskiwanie

GUI – poprzez application password-reset (z CLI)

ise2/admin# application reset-passwd ise admin

Enter new password:


Password reset successfully.


EAP – problemy i rozwiązania

Client suppression

Debug/runtime

Packet capture

Config validator

Posture

Active Directory

Cluster

Hasła – odzyskiwanie

Podsumowanie

Pytania ?

Dziękuję

ISE Najlepsze praktyki oraz rozwiązywanie problemó Secure 2014/cs2014... · ISE Najlepsze...

Documents

Transcript of ISE Najlepsze praktyki oraz rozwiązywanie problemó Secure 2014/cs2014... · ISE Najlepsze...