CISCO ISE

Identity Service Engine

Ernesto Gonzlez G.
Mara Fernanda Naranjo M.
Mnica Sojo O.

INTRODUCCIN
Movilidad:
-

Trabajadores mviles 47%

Utiliza dispositivo mvil para trabajo 60%

Dispositivo:

Trabajadores utilizan varios dispositivos mviles,

como porttiles, smartphones y tabletas, para
ayudarles a realizar sus tareas.

De media, los lderes de TI esperan que el

nmero de dispositivos aumente desde 2,3 por
empleado en 2012 hasta 2,8 en 2014.

INTRODUCCIN
El crecimiento en el nmero de dispositivos por
usuario es, en gran medida, resultado de BYOD.
Por ejemplo, un 42 por ciento de los smartphones
y un 38 por ciento de los porttiles usados en el
trabajo son ahora propiedad de los empleados.

QUE ES BYOD?
Traiga su propio dispositivo (BYOD) se convirti en una
de las tendencias ms influyentes para todas las
organizaciones de TI.
Se refiere a que los usuarios finales pueden usar los
dispositivos informticos y de comunicacin que deseen
para aumentar la productividad y la movilidad.
BYOD significa que se puede usar cualquier dispositivo,
de cualquier persona, en cualquier lugar.

IMPULSORES BYOD
Dispositivos Personales

Trabajo y vida personal

Con la explosin de los dispositivos

personales, como computadoras porttiles,
netbooks, tablets, smartphones, lectores de
libros
electrnicos,
entre
otros,
Los
empleados no tardaron en preguntar a las
empresas de TI donde trabajan: Por qu
no
podemos
usar
estas
increbles
herramientas de productividad en el
trabajo?

Cada vez ms, el trabajo es una

actividad
que
hacen
las
personas y no un lugar al que
van. Esto borra el lmite entre el
trabajo y la vida personal, de
esta forma, muchas veces, se
mezclan las tareas laborales y
personales. Un efecto colateral
de esta flexibilidad es que los
usuarios
probablemente
no
deseen
llevar
encima
dispositivos personales y de
trabajo

Cualquier momento y en
cualquier lugar
Se calcula que los dispositivos mviles y el
trfico que crean en las redes aumentarn
26 veces entre 2010 y 2015 como resultado
de la aparicin de smartphones y tablets
ms eficaces. Ms empleados pueden
acceder fcilmente a realizar su trabajo. El
resultado final es conectividad ubicua, en
cualquier momento y en cualquier lugar.

DESAFOS
Para obtener esa mayor productividad, satisfaccin del usuario,
incremento de la competitividad

y aparente reduccin de

costes, entre otros factores, los departamentos de TI de las

organizaciones tendrn que soportar un impacto considerable
en las infraestructuras tecnolgicas que sustentan los servicios y la

informacin crtica.
Es necesario regular y normalizar el fenmeno BYOD (Bring Your
Own Device) y evitar que la improvisacin lo convierta en BYOD
(Bring Your Own Disaster) con resultados inesperados nada
deseables.

DESAFOS

Eleccin de dispositivos y soporte.

Acceso seguro a la red corporativa.

Incorporacin de nuevos dispositivos.

Cumplimiento polticas de uso de la empresa.

Monitoreo.

Revocacin del acceso.

ARQUITECTURA
Una arquitectura para la solucin BYOD
debe combinar varios elementos de la red
para obtener un mtodo unificado que
garantice el acceso, la visibilidad y el
control de polticas de los dispositivos.
Para resolver los desafos antes descritos,
una implementacin de BYOD no es un
solo producto, sino que debe integrarse en
la red inteligente.
Es esencial que toda estrategia de BYOD
contemple el acceso total a la red
corporativa.

ARQUITECTURA

Cada componente cumple

su funcin especifica.

CISCO IDENTITY SERVICES ENGINE (ISE)

BENEFICIOS

ISE PERSONAS (TIPOS NODOS DE SERVICIO)

Propsito

principal

Cisco

ISE

es

proporcionar

la

infraestructura de gestin de todo en uno para la

autenticacin bsica, autorizacin y auditora.

Tambin ofrece servicios avanzados tales como perfiles,
gestin de clientes y servicios de evaluacin de la
postura para gestionar todo el ciclo de vida del acceso
a la red.
Las funciones del ISE se pueden dividir en varios nodos
de servicio dedicados llamados "personas.

Objetivo, es distribuir la carga y el trfico causado por

los servicios de autenticacin.

MODO DESPLIEGUE
STANDALONE
La implementacin autnoma es el tipo de implementacin ms

simple, que consiste en un aparato ISE o un dispositivo virtual. Todos

los personajes (PAN, MNT, y PSN) se ejecutan en el mismo aparato. Un
nodo ISE independiente soporta hasta 2.000 dispositivos finales.

MODO DESPLIEGUE
2-NODE (REDUNDANTE): HASTA 2.000 DISPOSITIVOS
Cuando

los

aparatos

ISE

forman

la

redundancia,

puede

configurarse para servir como nodos primario y secundario para los

servicios de administracin y monitoreo.

La imagen muestra una configuracin donde ISE-1 sirve como el
PAN primario y el MNT secundario. ISE-2 sirve como el PAN
secundario y el MNT primario. Balanceando los roles de servicios
primarios y secundarios, la carga de trfico puede ser equilibrada
mientras se mantiene una alta disponibilidad.

MODO DESPLIEGUE
DISTRIBUIDO: 2.000 A 10.000 DISPOSITIVOS
Para soportar entre 2.000-10.000 dispositivos finales, se separa el
PSN del PAN o MNT para que los recursos de PSN pueden servir
a un mayor nmero de solicitudes de acceso a la red.

Se recomiendan dos conjuntos de nodos Cisco ISE para la

administracin y las funciones de vigilancia y hasta cinco PSN

MODO DESPLIEGUE
DISTRIBUIDO: HASTA 100.000 DISPOSITIVOS
Para soportar este alto nmero de dispositivos y mantener el
rendimiento, las funciones del Cisco ISE necesitan separarse en
aparatos dedicados, el MNT necesita ser separado del PAN.

EQUIPAMIENTO
RECOMENDACIONES, REQUERIMIENTOS Y DESEMPEO DE LAS PLATAFORMAS

LICENCIAMIENTO
Los siguientes tipos de licencia estn disponibles en Cisco ISE:

Licencia de evaluacin

Licencia Base

Licencia avanzada

Licencia Wireless

Un nico dispositivo final con mltiples conexiones de red puede consumir ms de una licencia Base o Avanzada. Esta situacin
puede ocurrir, por ejemplo, si un dispositivo final tiene tanto una conexin por cable y una por red inalmbrica. Cada conexin
autenticada requerir su propia licencia.
El paquete bsico incluye todos los servicios bsicos que se requieren para habilitar la autenticacin y la autorizacin, servicios
de los clientes, y el cifrado de enlace. El paquete avanzado incluye Postura, Profiler, Registro de Dispositivos y Aprovisionamiento
de Suplicante, y los servicios de Acceso de Grupo de Seguridad.
La licencia de Base se consume cada vez que una notificacin de autenticacin es recibida por Cisco ISE. Una sola licencia
Avanzada se consume cuando uno o ms de los siguientes servicios o condiciones se aplican a la sesin de punto final:

Postura

Asignacin Group Security Tag

Autorizacin utilizando la informacin de perfil

Punto final se ha registrado en el Portal MyDevices

AUTENTICACIN
Las polticas de autenticacin definen los protocolos que el Cisco ISE
debe utilizar para comunicarse con los dispositivos de red y las
fuentes de identidad que debe utilizar para la autenticacin.
El Cisco ISE evala la condicin de la poltica y luego aplica el
resultado que se ha definido en funcin de si la evaluacin de la

poltica devuelve un valor verdadero o falso.

Entre las fuentes de identidad para la autenticacin encontramos las

siguientes:

Usuarios Locales

Active Directory

Base de datos LDAP

Servidor RADIUS

PERFIL DISPOSITIVO
El servicio proporciona las funciones
del descubrimiento, la localizacin, y
determinar

las

capacidades

de

todos los puntos finales asociados en

su red, sin importar su tipo de

dispositivo,
mantener

para
el

segn su perfile.

asegurar

acceso

apropiado

PERFIL DISPOSITIVO
Por ejemplo para la deteccin de este dispositivo mvil,
recomienda utilizar una combinacin de estas sondas para la

identificacin apropiada:
RADIUS (Llamar-Estacin-ID): Proporciona la direccin MAC

(el OUI)
DHCP (hostname): Nombre de host el nombre de host
predeterminado puede incluir el tipo de dispositivo; por
ejemplo: jsmith-ipad
DNS (operaciones de bsqueda reversas IP): FQDN - el

nombre de host predeterminado puede incluir el tipo de

dispositivo

HTTP (agente de usuario): Detalles en el tipo de dispositivo

mvil especfico, Safari.

PERFIL DISPOSITIVO
Una vez clasificados, los dispositivos finales
pueden ser autorizados a ingresar a la red con

base a su perfil. Por ejemplo, proporcionar

acceso a la red diferenciada a los usuarios en
funcin del dispositivo utilizado.

Los

empleados

pueden

obtener

acceso

completo al acceder a la red desde su estacin

de trabajo corporativo, pero ser concedido
acceso limitado a la red cuando se ingresa
desde su iPhone / iPad personal.

EVALUACIN DE LA POSTURA
El servicio postura comprueba el estado (postura)
de los clientes para el cumplimiento de sus
polticas de seguridad corporativas antes de que el

cliente gana el acceso privilegiado a la red. El

servicio

de

aprovisionamiento

de

cliente

se

asegura de que los clientes estn configurados

con los agentes adecuados que proporcionan
evaluacin postura y la remediacin de los
clientes.

EVALUACIN DE LA POSTURA
APROVISIONAMIENTO DEL CLIENTE
Para realizar la evaluacin de la postura y determinar el
estado de la conformidad de un punto final, es necesario

provisionar el punto final con un agente. El agente del

Network Admission Control (NAC) puede ser persistente, por el

que el agente est instalado y automticamente cargado

cada vez un usuario abra una sesin. Alternativamente, el

agente del NAC puede ser temporal, por el que un agente

basado en web se descargue dinmicamente al punto final
para cada nueva sesin y despus se quite despus del
proceso de la evaluacin de la postura.

EVALUACIN DE LA POSTURA
POLTICA DE POSTURA
La poltica de postura define el conjunto de los requisitos para que un
dispositivo final este alineado a los requerimientos basado en la presencia de
archivo, clave de registro, proceso, aplicacin, y los controles y las reglas de los

anti virus (AV) /anti-spyware (AS). La directiva de la postura se aplica a los

dispositivos finales basado en un conjunto de condiciones definido tal como
tipo de la identificacin del usuario y el OS cliente. El estatus de la conformidad
(postura) de un punto final puede ser:
-Desconocido: No se recogi ningunos datos para determinar el estado de la
postura.
-No confirme: Una evaluacin de la postura fue realizada, y uno o ms
requisitos fallaron.
-Conforme: El punto final est alineado a todos los requisitos obligatorios.

POLTICAS DE AUTORIZACIN
Permite configurar perfiles de autorizacin para los
usuarios y grupos de usuarios especficos que

acceden a los recursos de red.

Las polticas de autorizacin asociada reglas con

identidades de usuarios y grupos especficos para

crear los perfiles correspondientes. Siempre que
estas

normas

configurados,
correspondiente

coinciden
el
que

perfil

con
de

concede

los

atributos

autorizacin
permiso

es

devuelto por la poltica, el acceso a la red se

autoriza acorde.

CONCLUSIONES
PREGUNTAS?