Quy Trinh Cau Hinh Cisco ISE

Số hợp đồng:
Tên dự án:
Khách hàng: ABBANK
Tài liệu hướng dẫn sử dụng

Quy trình cấu hình Cisco ISE
1 Kiểm soát tài liệu..................................................................................................................................4
2 Phê duyệt tài liệu..................................................................................................................................4
3 Mục đích và phạm vi tài liệu................................................................................................................5
4 Nội dung tài liệu...................................................................................................................................5
Bước 4.1 Cài đặt các thông số cơ bản trên hệ thống Cisco ISE.........................................................5
Bước 4.1.1 Deploy thiết bị Cisco ISE-01.........................................................................................5
Bước 4.1.2 Deploy thiết bị Cisco ISE-02.........................................................................................8
Bước 4.2 Cấu hình cài đặt Certificate cho hệ thống ISE..................................................................12
Bước 4.2.1 Cấu hình Export Root CA............................................................................................12
Bước 4.2.2 Cấu hình Import Root CA vào hệ thống Cisco ISE.....................................................14
Bước 4.2.3 Cấu hình tạo Certificate Signing Request cho hệ thống ISE........................................15
Bước 4.3 Cấu hình HA trên hệ thống Cisco ISE..............................................................................20
Bước 4.4 Cấu hình Join Domain cho hệ thống Cisco ISE...............................................................23
Bước 4.5 Cấu hình Indentity Source Sequences..............................................................................25
Bước 4.6 Cấu hình log trên hệ thống Cisco ISE..............................................................................26
Bước 4.6.1 Cấu hình Local Log.....................................................................................................26
Bước 4.6.2 Cấu hình Remote Log..................................................................................................26
Bước 4.6.3 Cấu hình Logging Categories......................................................................................27
Bước 4.7 Cấu hình Network Device tích hợp với hệ thống Cisco ISE............................................27
Bước 4.7.1 Cấu hình Network Device Wireless Controller...........................................................28
Bước 4.7.2 Cấu hình Network Device Switch 2960.......................................................................29
Bước 4.8 Cấu hình Posture về AntiVirus và Window Update.........................................................31
Bước 4.8.1 Cấu hình Posture Requirement Condition về AntiVirus..............................................31
Bước 4.8.2 Cấu hình Posture Requirement Condition về Window Update....................................33
Bước 4.8.3 Cấu hình Posture Requirement Result.........................................................................33
Bước 4.8.4 Cấu hình Posture Policy...............................................................................................34
Bước 4.9 Cấu hình Client Provisioning...........................................................................................36
Bước 4.9.1 Cấu hình Client Provisioning.......................................................................................36
Bước 4.9.2 Cấu hình Add Resource về Agent................................................................................36
Bước 4.9.3 Cấu hình Resource Profile...........................................................................................37
Bước 4.9.4 Cấu hình Client Provisioning Policy............................................................................38
Bước 4.10 Cấu hình Profile Device...................................................................................................40
Bước 4.10.1 Cấu hình Profiler Settings.......................................................................................40
Bước 4.10.2 Cấu hình Policy Profiler..........................................................................................41
Bước 4.11 Cấu hình Authentication...................................................................................................44
Bước 4.11.1 Cấu hình Authentication policy MAB.....................................................................44
Bước 4.11.2 Cấu hình Authentication policy Dot1X...................................................................45
Bước 4.12 Cấu hình Authorization....................................................................................................45
Bước 4.12.1 Cấu hình Authorization Condition..........................................................................45
Bước 4.12.2 Cấu hình Authorization Results Downloadable ACLs............................................46
Bước 4.12.3 Cấu hình Authorization Results Authorization Profiles..........................................49
Bước 4.12.4 Cấu hình Authorization policy................................................................................55
Bước 4.13 Cấu hình trên Cisco Wireless Controller..........................................................................60
Bước 4.13.1 Cấu hình tạo Radius Server.....................................................................................60
Bước 4.13.2 Cấu hình tạo WLAN...............................................................................................61
Bước 4.13.3 Cấu hình tạo Access Control Lists..........................................................................67
Bước 4.13.4 Cấu hình Bypass Captive Portal cho các thiết bị của Apple....................................68
Bước 4.14 Cấu hình trên Switch Cisco 2960.....................................................................................68
Bước 4.14.1 Cấu hình bật các tính năng cần thiết........................................................................68
Bước 4.14.2 Cấu hình kết nối đến hệ thống Cisco ISE................................................................69
Bước 4.14.3 Cấu hình tạo access list để redirect đến hệ thống Cisco ISE...................................69
Bước 4.14.4 Cấu hình tạo access list cho guest...........................................................................70
Bước 4.14.5 Cấu hình trên Interface kết nối đến người dùng......................................................70
Bước 4.15 Cấu hình trên card mạng không dây của người dùng.......................................................70
Bước 4.16 Cấu hình trên card mạng dây của người dùng..................................................................75
Bước 4.17 Cài đặt NAC Agent trên máy người dùng........................................................................85
Bước 4.17.1 Cài đặt Web Agent..................................................................................................85
Page 2
Bước 4.17.2 Cài đặt NAC Agent.................................................................................................88
Bước 4.17.3 Kiểm tra kết nối sau khi cài đặt NAC Agent...........................................................92
Page 3
1 Kiểm soát tài liệu
Bảng theo dõi cập nhật
Phiên bản Ngày Người thực hiện Nội dung thay đổi
1.0 Phạm Hoàng Đạt
2 Phê duyệt tài liệu
Tên Vị trí/Vai trò Ngày duyệt Chữ ký
Page 4
3 Mục đích và phạm vi tài liệu
- Tài liệu này sử dụng cho cán bộ kĩ thuật Sao Bắc Đẩu và ABBank.
4 Nội dung tài liệu

Bước 4.1 Cài đặt các thông số cơ bản trên hệ thống Cisco ISE
- Trên DNS Server của ABBank phải tạo 2 bản ghi A cho hệ thống ISE, tương ứng là:
 Dise-app-vm-d1.north.abbank.corp : 10.32.1.79
 Dise-app-vm-d2.north.abbank.corp : 10.32.1.80
- Các bản ghi trên đều nằm trong domain north.abbank.vn .
Bước 4.1.1 Deploy thiết bị Cisco ISE-01

- Cài đặt file OVA máy ảo trên VMWare ESXi
- Gõ setup ở màn hình console của VM để cấu hình
- Điền các tham số về IP, DNS, NTP được quy hoạch trong hệ thống
Enter hostname[]: Dise-app-vm-d1
Enter IP address[]: 10.32.1.79
Enter Netmask[]: 255.255.255.0
Enter IP default gateway[]:10.32.1.2
Enter default DNS domain[]: north.abbank.corp
Enter Primary nameserver[]:10.32.1.19
Add/Edit another nameserver? Y/N: Y
Enter Secondary nameserver[]:10.32.1.20
Enter primary NTP domain[]:10.32.1.19
Add/Edit another NTP domain? Y/N:
Enter system time zone[]: Asia/Ho_Chi_Minh
Enter username [admin]: admcuong
Enter password: Abbank@1234
Enter password again: Abbank@1234
Bringing up the network interface...
Pinging the gateway...
Page 5
Pinging the primary nameserver...
Do not use `Ctrl-C' from this point on...
Virtual machine detected, configuring VMware tools...
Appliance is configured
Installing applications...
Installing ISE...
Application bundle (ise) installed successfully
- Quá trình cài đặt diễn ra trong ~ 15p
- Sau khi khởi động, đăng nhập bằng account đã tạo ở bước trên.
- Kiểm tra bằng lệnh #show application status ise, cho đến khi service Application
Server ở trạng thái Running thì có thể đăng nhập vào ISE qua https
Page 6
- Kiểm tra thời gian trên ISE đã chính xác và đồng bộ với NTP server bằng câu lệnh
“show ntp” và “show clock”.
Page 7
- Kiểm tra kết nối từ ISE ra ngoài Internet, vì cần thiết để update các package
Từ bước này, ta có thể đăng nhập qua ssh/https với IP quản trị của ISE và cấu hình.
Bước 4.1.2 Deploy thiết bị Cisco ISE-02

- Cài đặt file OVA máy ảo trên VMWare ESXi
- Gõ setup ở màn hình console của VM để cấu hình
Page 8
- Điền các tham số về IP, DNS, NTP được quy hoạch trong hệ thống
Enter hostname[]: Dise-app-vm-d2
Enter IP address[]: 10.32.1.80
Enter Netmask[]: 255.255.255.0
Enter IP default gateway[]:10.32.1.2
Enter default DNS domain[]: north.abbank.corp
Enter Primary nameserver[]:10.32.1.19
Add/Edit another nameserver? Y/N: Y
Enter Secondary nameserver[]:10.32.1.20
Enter primary NTP domain[]:10.32.1.19
Add/Edit another NTP domain? Y/N:
Enter system time zone[]: Asia/Ho_Chi_Minh
Enter username [admin]: admcuong
Enter password: Abbank@1234
Enter password again: Abbank@1234
Bringing up the network interface...
Pinging the gateway...
Pinging the primary nameserver...
Do not use `Ctrl-C' from this point on...
Virtual machine detected, configuring VMware tools...
Appliance is configured
Installing applications...
Installing ISE...
Application bundle (ise) installed successfully
- Quá trình cài đặt diễn ra trong ~ 15p
Page 9
- Sau khi khởi động, đăng nhập bằng account đã tạo ở bước trên.
- Kiểm tra bằng lệnh #show application status ise, cho đến khi service Application
Server ở trạng thái Running thì có thể đăng nhập vào ISE qua https
Page 10
- Kiểm tra thời gian trên ISE đã chính xác và đồng bộ với NTP server bằng câu lệnh
“show ntp” và “Show clock”.
Page 11
- Kiểm tra kết nối từ ISE ra ngoài Internet, vì cần thiết để update các package
- Từ bước này, ta có thể đăng nhập qua ssh/https với IP quản trị của ISE và cấu hình.
Bước 4.2 Cấu hình cài đặt Certificate cho hệ thống ISE
Bước 4.2.1 Cấu hình Export Root CA

- Hệ thống ISE sẽ sử dụng certificate được signing bởi hệ thống CA nội bộ của
ABBank, mục đích của việc này là để khi client kết nối tới hệ thống ISE thì sẽ tự động
Trust Certificate của ISE do đã được sign bởi Trusted CA. Mục đích thứ hai là các
Node ISE muốn Register với nhau để đồng bộ cấu hình và chạy ở cơ chế HA thì cần
quá trình trao đổi Trusted CA giữa các Node, nếu sử dụng Self Signed Certificate trên
chính các node đó thì quá trình Register sẽ không thành công.
Page 12
- Truy cập vào đường dẫn http://ip_cert_server/certsrv
- Root CA download về máy tính quản trị có kết quả như sau:
Page 13
Bước 4.2.2 Cấu hình Import Root CA vào hệ thống Cisco ISE
- Trong giao diện quản trị ban đầu chọn Administration > System > Certificates >
Certificate Management >Trusted Certificates
- Click “Import”.
Page 14
- Click “Browse” để trỏ đến thu mục chưa root CA.
- “Friendly Name” nhập “ABB_ROOT_CA”.
- Tích chọn “Trust for authentication within ISE”.
- Tích chọn “Trust for client authentication and Syslog”.
- Click “Submit” để tiến hành Import.
Bước 4.2.3 Cấu hình tạo Certificate Signing Request cho hệ thống ISE
- Trong giao diện quản trị ban đầu chọn Administration > System > Certificates >
Certificate Management > Certificate Signing Requests
- Click chọn “Generate Certificate Signing Requests (CSR)”.
Page 15
- “Certificate(s) will he used for” chọn “Multi-Use”.
- Tích chọn “Dise-app-vm-d1”.
- “Common Name (CN)” nhập “Dise-app-vm-d1.north.abbank.corp”.

- “Organizational Unit (OU)” nhập “IT”.
- “Organizational (O)” nhập “ABBANK”.
- “City (L)” nhập “HN”.
- “State (ST)” nhập “Dongda”.
- “Country (C)” nhập “VN”.
Page 16
- Chọn “Generate”.
-
- Click “Export” file định dạng .PEM để Sign bởi CA Server
- Copy nội dung Certificate request để Sign bởi CA

- Đăng nhập vào CA server theo đường dẫn web http://ip_CA/certsrv
-
Page 17
- Copy nội dung Certificate request để Sign bởi CA
- Chọn Template là Web server và Submit
Page 18
- Download Certificate loại DER encoded hoặc Base 64 Encoded đều được
- Làm tương tự trên thiết bị Cisco ISE-02 ta được như sau:
- Sau khi đã Sign Request cho ISE bởi CA, ta Bind Certificate đó vào Node ISE tương
ứng
Page 19
- Click “Browse” để trỏ đến thu mục chưa file cert.
- “Friendly Name” nhập “Dise-app-vm-d1.north.abbank.corp”.
- Tích chọn “Admin”.
- Tích chọn “Portal”.
- “Portal group tag” nhập “ABBank-Guest”.
- Click “Submit” để tiến hành Import.
Bước 4.3 Cấu hình HA trên hệ thống Cisco ISE

- Hệ thống PoC sẽ bao gồm 2 Node ISE hoạt động ở chế độ Admin và Monitoring,
Policy Service Node theo mô hình Distribution Deployment giống với thực tế sẽ triển
khai sau này. Vai trò của các Node như sau:
 Policy Admin, Monitoring Node (ISE-PAN): thành phần chính trong việc quản
trị, định nghĩa các policy, thực hiện việc lưu trữ log kết nối và hỗ trợ
troubleshoot.
 Policy Service Node (ISE-PSN): thành phần chính thực hiện nhiệm vụ thực thi
các policy mà ta định nghĩa.
- Trong đó ta định nghĩa Dise-app-vm-d1 có vai trò PRIMARY, Dise-app-vm-d2 có vai
trò SECONDARY. Khi chạy HA thì chỉ có duy nhất 1 Policy Admin Node sẽ có toàn
quyền cấu hình hệ thống, các Node khác không thể thực hiện thay đổi cấu hình.
Page 20
- Trong giao diện quản trị ban đầu chọn Administration > System > Deployment
- Click “Create Node Group”.
- “Node Group Name” nhập “ISE_GROUP”.

- Click “Submit”.
- Click chọn “Make Primary”.

- “Inculde Node in Node Group” chọn “ISE_GROUP”.
- Các thông số còn lại để mặc định như ban đầu.
Page 21
- Click “Register” và chọn “Register an ISE Node”.
- “Host FQDN” nhập “Dise-app-vm-d2.north.abbank.corp”.

- Nhập username password của thiết bị.
- Quá trình Register mất khoảng 2 phút. Khi đó Dise-app-vm-d2 sẽ được coi là
SECONDARY
Quá trình Register thành công các Node sẽ có thông báo
Page 22
- Việc đồng bộ dữ liệu giữa các Node sẽ mất khoảng 15 phút, sau đó các Node (ngoại
trừ Primary Node) sẽ tự động Restart lại Service trong thời gian 15 phút nữa.
- Sau khi đồng bộ thành công:
Bước 4.4 Cấu hình Join Domain cho hệ thống Cisco ISE
Trong giao diện quản trị ban đầu chọn Administration > Identity Management > External
Identity Sources
- Click “Add”.
- “Join Point Name” nhập “ABBANK”.

- “Active Directory Domain” nhập “north.abbank.corp”.
Page 23
- Nhập username và password user AD để join domain.
- Click “OK”.
- Quá trình join domain đã thành công.
- Trạng thái của hệ thống ISE sau khi join domain.
- Chọn tab “Group” để thực hiện thêm các group trên AD.
- Click “Add” và chọn “Select Groups From Directory”.
Page 24
Bước 4.5 Cấu hình Indentity Source Sequences
- Trong giao diện quản trị ban đầu chọn Administration > Identity Management >
Identity Source Sequences
- Click “Add”.
Page 25
- “Name” nhập “ABBANK_GROUP”.
- “Selected” chọn “ABBANK”, “Guest Users”, “Internal Users”, “Internal
Endpoints”.
- Click “Save” để lưu cấu hình.
Bước 4.6 Cấu hình log trên hệ thống Cisco ISE
- Trong giao diện quản trị ban đầu chọn Administration > System > Logging
Bước 4.6.1 Cấu hình Local Log
- “Keep up to” nhập “10 days”.

- Click “Save” để lưu cấu hình.
Bước 4.6.2 Cấu hình Remote Log
- Click “Add” để thêm mới remote log.
- “Name” nhập “Qradar”.

- “Target Type” chọn “UDP SysLog”.
Page 26
- “Status” chọn “Enable”.
- “IP/Host Address” nhập “10.32.1.59”.
- “Port” nhập “5170”.
- “Facility Code” chọn “LOCAL6”.
- Click “Submit” để lưu cấu hình.
Bước 4.6.3 Cấu hình Logging Categories
- Click chọn “Parent category” và click “Edit”.
- Chuyển “Qradar” sang cột “Selected”.

Bước 4.7 Cấu hình Network Device tích hợp với hệ thống Cisco ISE
- Trong giao diện quản trị ban đầu chọn Administration > Network Resources >
Network Devices
Page 27
- Click “Add” để thêm mới các thiết bị vào hệ thống ISE.
Bước 4.7.1 Cấu hình Network Device Wireless Controller
- “Name” nhập “wlc”.

- “Description” nhập “wireless controller”.
- “IP Address” nhập “10.32.4.101/32”.
- “Device Profile” chọn “Cisco”.
- “Device Type” chọn “All Device Types”.
- “Location” chọn “All Locations”.
- Tích chọn “RADIUS Authentication Settings”.
Page 28
o “Shared Secret” nhập “abb@2016#”.
Bước 4.7.2 Cấu hình Network Device Switch 2960
- “Name” nhập “Switch”.

- “Description” nhập “Switch 2960”.
Page 29
- “IP Address” nhập “10.32.1.92/32”.
- “Device Profile” chọn “Cisco”.
- “Device Type” chọn “All Device Types”.
- “Location” chọn “All Locations”.
- Tích chọn “RADIUS Authentication Settings”.
o “Shared Secret” nhập “abb@2016#”.

- Tích chọn “SNMP Settings”.
o “SNMP Version” chọn “2c”.

o “SNMP RO Community” nhập “abb@2016#”.
Page 30
Bước 4.8 Cấu hình Posture về AntiVirus và Window Update
- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Conditions
>Posture
Bước 4.8.1 Cấu hình Posture Requirement Condition về AntiVirus

>Posture > Anti-Virus Condition
- Click “Add”.
Bước 4.8.1.1 Cấu hình Posture Requirement Condition về Installed AntiVirus User
ABBank
- “Name” nhập “ABBank_AV_installed”.

- “Vendor” chọn “Symantec Corp.”.
- “Check Type” chọn “Installation”.
- “Products for Selected Vendor” chọn “Symantec Endpoint Protection” và chọn
“12.1.x”.
Page 31
Bước 4.8.1.2 Cấu hình Posture Requirement Condition về Installed AntiVirus User
Guest
- “Name” nhập “Guest_AV”.

- “Vendor” chọn “Any”.
- “Check Type” chọn “Installation”.
- “Products for Selected Vendor” chọn “Any” và chọn “Any”.
Bước 4.8.1.3 Cấu hình Posture Requirement Condition về Update AntiVirus
- “Name” nhập “ABBank_AV_Update”.

- “Vendor” chọn “Symantec Corp.”.
- “Check Type” chọn “Definition”.
- Tích chọn “Allow virus definition file to be 3 days older than” và tích chọn “latest file
date”.
Page 32
Bước 4.8.2 Cấu hình Posture Requirement Condition về Window Update
>Posture > Service Condition
- “Name” nhập “ABBank_ Update_OS”.

- “Operating Systems” chọn “Windows All”.
- “Service Name” nhập “wuauserv”.
- “Service Operator” chọn “Running”.
- Click “Submit” để lưu cấu hình.
Bước 4.8.3 Cấu hình Posture Requirement Result

- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Results >Posture >
Requirement
- Click “Edit” và chọn “Insert new Requirement”.
Bước 4.8.3.1 Cấu hình Posture Requirement Result ABBank AntiVirus Install
Page 33
Bước 4.8.3.2 Cấu hình Posture Requirement Result Guest AntiVirus Install
Bước 4.8.3.3 Cấu hình Posture Requirement Result ABBank AntiVirus Update
Bước 4.8.3.4 Cấu hình Posture Requirement Result Update Window
Bước 4.8.4 Cấu hình Posture Policy

- Trong giao diện quản trị ban đầu chọn Policy > Posture
Bước 4.8.4.1 Cấu hình Posture Policy User ABBank
- “Rule Name” nhập “ABBANK_USER”.

- “Identify Groups” chọn “Any”.
- “Compliance Module” chọn “3.x or eariler”.
Page 34
- “ABBANK:ExternalGroups” chọn “Equals” và chọn
“NORTH.ABBANK.CORP/Users/Domain Users”.
- “Requirements” chọn “ABBank_AV_INSTALLED”, “ABBank_AV_Update”,

“ABBank_Windows_update”.
Bước 4.8.4.2 Cấu hình Posture Policy User Guest
- “Rule Name” nhập “ABBANK_GUEST”.

- “Identify Groups” chọn “GuestType_Daily (default)”, “GuestType_Weekly
(default)”, “GuestType_Contractor (default)” .

- “Compliance Module” chọn “3.x or eariler”.
Page 35
- “Requirements” chọn “ABBank_Guest”.
Bước 4.9 Cấu hình Client Provisioning
Bước 4.9.1 Cấu hình Client Provisioning

- Trong giao diện quản trị ban đầu chọn Administration > System > Settings > Client
Provisioning
- “Enable Provisioning” chọn “Enable”.

- “Enable Automatic Download” chọn “Enable”.
- “Update Feed URL” chọn “https://www.cisco.com/web/secure/pmbu/provisioning-
update.xml”.
Bước 4.9.2 Cấu hình Add Resource về Agent

- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Results > Client
Provisioning > Resources
- Click “Add” và chọn “Agent resources from Cisco site” để download các agent về.
Page 36
Bước 4.9.3 Cấu hình Resource Profile
- Click “Add” và chọn “NAC Agent or AnyConnect Posture Profile” để tạo profile cho
các user được cài Agent.
- “Name” nhập “ABBANK_PROFILE”.

- Trong phần “Agent Behavior” thực hiện các bước sau:
o “Disable agent exit” chọn “Yes”.
o “Enable auto close” chọn “Yes”.
o “Auto close timer” chọn “5secs”.
Page 37
- Trong phần “Posture Protocol” thực hiện các bước sau:
o “Enable discovery host” chọn “Yes”.
o “Disable L3 SWISS delay” chọn “Yes”.
o “HTTP discovery timeout” chọn “5secs”.
o “HTTP timeout” chọn “120secs”.
Bước 4.9.4 Cấu hình Client Provisioning Policy

- Trong giao diện quản trị ban đầu chọn Policy > Client Provisioning
Page 38
Bước 4.9.4.1 Cấu hình Client Provisioning Policy cho Guest Wired
- “Rule Name” nhập “Windows_Guest_Wired”.

- “Identify Groups” chọn “Any” .
- “Other Condition” chọn “ABBANK:ExternalGroups” chọn “Not Equals” và chọn
“NORTH.ABBANK.CORP/Users/Domain Users”
- “Results” chọn “WebAgent 4.9.5.7”.
Bước 4.9.4.2 Cấu hình Client Provisioning Policy cho Guest Wifi
- “Rule Name” nhập “Windows_Guest_Wifi”.

- “Identify Groups” chọn “GuestType_Daily (default)”, “GuestType_Weekly
(default)”, “GuestType_Contractor (default)” .
Bước 4.9.4.3 Cấu hình Client Provisioning Policy cho User domain sử dụng mạng wifi
- “Rule Name” nhập “Windows_Domain_wifi”.

Page 39
- “Other Condition” chọn “ABBANK:ExternalGroups” chọn “Equals” và chọn
“NORTH.ABBANK.CORP/Users/Domain Users” và “Airespace:Airespace-Wlan-
Id” chọn “Equals” và chọn “4”
Bước 4.9.4.4 Cấu hình Client Provisioning Policy cho User domain sử dụng mạng dây
- “Rule Name” nhập “Windows_Domain_wired”.

- “Other Condition” chọn “ABBANK:ExternalGroups” chọn “Equals” và chọn
“NORTH.ABBANK.CORP/Users/Domain Users”.
- “Results” chọn:
o “Agent” chọn “NACAgent 4.9.5.10”.
o “Profile” chọn “ABBANK_PROFILE”.
o “Compliance Module” chọn “ComplianceModule 3.6.10785.2”.
Bước 4.10 Cấu hình Profile Device
Bước 4.10.1 Cấu hình Profiler Settings

- Trong giao diện quản trị ban đầu chọn Administration > System > Settings > Posture
> Profiling
- “CoA Type” chọn “Reauth”.

- “Change custom SNMP Community strings” nhập “abb@2016#”.
Page 40
- “Confirm changed custom SNMP Community strings” nhập “abb@2016#”.
Bước 4.10.2 Cấu hình Policy Profiler

- Trong giao diện quản trị ban đầu chọn Policy > Profiling
Bước 4.10.2.1 Cấu hình Profiling Apple Device
- Trong phần “Profiling Policies” chọn đến phần “Apple-Device”.

- Tích chọn “Policy Enable”.
- “Create an Identity Group for the policy” chọn “Yes, create matching Identity
Group”.
- “Associated CoA Type” chọn “Global Settings”.
Bước 4.10.2.2 Cấu hình Profiling Android
- Trong phần “Profiling Policies” chọn đến phần “Android”.

Group”.
Page 41
Bước 4.10.2.3 Cấu hình Profiling BlackBerry
- Trong phần “Profiling Policies” chọn đến phần “BlackBerry”.

Group”.
Bước 4.10.2.4 Cấu hình Profiling Sony-Device
- Trong phần “Profiling Policies” chọn đến phần “Sony-Device”.

Group”.
Page 42
Bước 4.10.2.5 Cấu hình Profiling Samsung-Device
- Trong phần “Profiling Policies” chọn đến phần “Samsung-Device”.

Group”.
Bước 4.10.2.6 Cấu hình Profiling Worstation
- Trong phần “Profiling Policies” chọn đến phần “Workstation”.

Page 43
Group”.
- Trong giao diện quản trị ban đầu chọn Administration > Identity Management >
Groups sẽ thấy các thiết bị được register vào Group “Profiled”.
Bước 4.11 Cấu hình Authentication

- Trong giao diện quản trị ban đầu chọn Policy > Authentication
Bước 4.11.1 Cấu hình Authentication policy MAB
- “Rule Name” nhập “MAB”.

- “If” chọn “Wired_MAB” hoặc “Wireless_MAB”.
- “Allow Protocols” chọn “Default Network Access”.
- “Use” chọn:
o “Identity Source” chọn “ABBANK_GROUP”.
o “If authentication fail” chọn “Reject”.
o “If user not found” chọn “Continue”.
o “If process failed” chọn “Drop”.
Page 44
Bước 4.11.2 Cấu hình Authentication policy Dot1X
- “Rule Name” nhập “Dot1X”.

- “If” chọn “Wired_802.1X” hoặc “Wireless_802.1X”.
- “Allow Protocols” chọn “Default Network Access”.
- “Use” chọn:
o “Identity Source” chọn “ABBANK_GROUP”.
o “If authentication fail” chọn “Reject”.
o “If user not found” chọn “Reject”.
o “If process failed” chọn “Drop”.
Bước 4.12 Cấu hình Authorization
Bước 4.12.1 Cấu hình Authorization Condition

- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Condition >
Authorization > Simple Conditions
- Click “Add”.
Bước 4.12.1.1 Cấu hình Authorization Condition ABB_User
- “Name” nhập “ABB_AD_USER”.
Page 45
- “Attribute” chọn “ABBANK:ExternalGroups”.
- “Operator” chọn “Equals”.
- “Value” chọn “NORTH.ABBANK.CORP/Users/Domain Users”.
Bước 4.12.1.2 Cấu hình Authorization Condition ABB_Computer
- “Name” nhập “ABB_COMPUTERS”.

- “Attribute” chọn “ABBANK:ExternalGroups”.
- “Operator” chọn “Equals”.
- “Value” chọn “NORTH.ABBANK.CORP/Users/Domain Computers”.
Bước 4.12.2 Cấu hình Authorization Results Downloadable ACLs

- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Results >
Authorization > Downloadable ACLs
- Click “Add”.
Page 46
Bước 4.12.2.1 Cấu hình Downloadable ACLs DENY_ALL_TRAFFIC
- “Name” nhập “DENY_ALL_TRAFFIC”.

- “DACL Content” nhập “deny ip any any”.
Bước 4.12.2.2 Cấu hình Downloadable ACLs PERMIT_ALL_TRAFFIC
- “Name” nhập “PERMIT_ALL_TRAFFIC”.

- “DACL Content” nhập “permit ip any any”.
Page 47
Bước 4.12.2.3 Cấu hình Downloadable ACLs PERMIT_GUEST
- “Name” nhập “PERMIT_GUEST”.

- “DACL Content” nhập như sau:
o “permit udp any host 10.32.16.19 eq domain”.
o “permit udp any host 10.32.16.20 eq domain”.
o “permit udp any eq bootpc any eq bootps”.
o “permit icmp any any”.
o “permit tcp any host 10.32.1.79 eq 8443”.
o “deny ip any 10.0.0.0 255.0.0.0”.
o “permit tcp any any eq 80”.
Bước 4.12.2.4 Cấu hình Downloadable ACLs POSTURE_REMEDATION
- “Name” nhập “POSTURE-REMEDIATION”.

- “DACL Content” nhập như sau:
o “permit udp any any eq domain”.
o “permit udp any eq bootpc any eq bootps”.
o “permit icmp any any”.
Page 48
o “permit udp any host 10.32.1.79 eq 8905”.
Bước 4.12.3 Cấu hình Authorization Results Authorization Profiles

- Trong giao diện quản trị ban đầu chọn Policy > Policy Elements > Results >
Authorization > Authorization Profiles
- Click “Add”.
Page 49
Bước 4.12.3.1 Cấu hình Authorization Profile ABB_USER
- “Name” nhập “ABB_USERS”.

- “Access Type” chọn “ACCESS_ACCEPT”.
- “Network Devive Profile” chọn “Cisco”.
- Trong “Common Tasks” tích chọn “DACL Name” và chọn
“PERMIT_ALL_TRAFFIC”.
Page 50
Bước 4.12.3.2 Cấu hình Authorization Profile ABB_COMPUTER
- “Name” nhập “ABB_COMPUTER”.

- Trong “Common Tasks” tích chọn “DACL Name” và chọn
“PERMIT_ALL_TRAFFIC”.
Page 51
Bước 4.12.3.3 Cấu hình Authorization Profile ABB_ Posture_Remediation
- “Name” nhập “ABB_Posture_Remediation”.

- Trong “Common Tasks”:
o Tích chọn “DACL Name” và chọn “POSTURE-REMEDIATION”.
o Tích chọn “Web Redirection (CWA, MDM, NSP, CPP)” chọn “Client
Provisioning (Posture)”, “ACL” chọn “ACL-POSTURE-REDIRECT” và
“Value” chọn “Client Provisioning (default)”.
Page 52
Bước 4.12.3.4 Cấu hình Authorization Profile ABB_GUEST
- “Name” nhập “ABB_GUEST”.

- Trong “Common Tasks” tích chọn “DACL Name” và chọn “PERMIT_GUEST”.
Page 53
Bước 4.12.3.5 Cấu hình Authorization Profile ABB_GUEST_WIRED
- “Name” nhập “ABB_GUEST_WIRED”.

- Trong “Common Tasks” tích chọn “ACL” và chọn “guest_wired”.
Page 54
Bước 4.12.3.6 Cấu hình Authorization Profile ABB_GUEST_WebAuth
- “Name” nhập “ABB_GUEST_WebAuth”.

- Trong “Common Tasks”:
o Tích chọn “Web Redirection (CWA, MDM, NSP, CPP)” chọn “Centralized
Web Auth”, “ACL” chọn “guest-redirect” và “Value” chọn
“ABBANK_Portal”.
Bước 4.12.4 Cấu hình Authorization policy

- Trong giao diện quản trị ban đầu chọn Policy > Authorization
Page 55
Bước 4.12.4.1 Cấu hình Authorization policy Smartphone_802.1X
- “Rule Name” nhập “Smartphone802.1X”.

- “If” chọn “Apple-iPhone” hoặc “Android” hoặc “BlackBerry” hoặc “Sony-
Device” hoặc “Samsung-Device” và “ABB_USER”.
- “Then” chọn “ABB_USERS”.
Bước 4.12.4.2 Cấu hình Authorization policy ABBank Whilelist
- “Rule Name” nhập “ABB_Whilelist”.

- “If” chọn “ABB_Whilelist”.
- “Then” chọn “PermitAccess”.
Bước 4.12.4.3 Cấu hình Authorization policy ABBank Computer
- “Rule Name” nhập “ABB_Computer”.
Page 56
- “If” chọn “any” và “ABB_COMPUTERS”.
- “Then” chọn “ABB_COMPUTER”.
Bước 4.12.4.4 Cấu hình Authorization policy ABBank User
- “Rule Name” nhập “ABB_User”.

- “If” chọn “any” và “ABB_AD_USER” và “Session:PostureStatus” chọn “Equals” và
chọn “Compliant”.
- “Then” chọn “ABB_USERS”.
Bước 4.12.4.5 Cấu hình Authorization policy ABBank Posture
- “Rule Name” nhập “ABB_Posture_Check”.

- “If” chọn “any” và “ABB_AD_USER” và “Session:PostureStatus” chọn “ Not
Equals” và chọn “Compliant”.
- “Then” chọn “ABB_Posture_Remediation”.

Bước 4.12.4.6 Cấu hình Authorization policy Wifi Guest
- “Rule Name” nhập “ABB_Posture_Check”.

- “If” chọn “GuestType_Daily (default)” hoặc “GuestType_Weekly (default)” hoặc
“GuestType_Contractor (default)” và “ABB_AD_USER” và
“Session:PostureStatus” chọn “Equals” và chọn “Compliant”.
Page 57
- “Then” chọn “ABB_GUEST”.
Bước 4.12.4.7 Cấu hình Authorization policy Guest Wired
- “Rule Name” nhập “Guest_Access_Wired”.
- “If” chọn “Profiled” và “Session:PostureStatus” chọn “Equals” và chọn

“Compliant”.
- “Then” chọn “ABB_GUEST_WIRED”.

Page 58
Bước 4.12.4.8 Cấu hình Authorization policy Guest Wired Posture
- “Rule Name” nhập “Guest_Access_Wired”.
- “If” chọn “Profiled” và “Session:PostureStatus” chọn “Not Equals” và chọn
“Compliant”.
- “Then” chọn “ABB_Posture_Remediation”.

Bước 4.12.4.9 Cấu hình Authorization policy Default
- “Rule Name” nhập “Default”.

- “If” chọn “no matches”.
- “Then” chọn “ABB_GUEST_WebAuth”.
Page 59
Bước 4.13 Cấu hình trên Cisco Wireless Controller
Bước 4.13.1 Cấu hình tạo Radius Server

- Trong giao diện quản trị ban đầu chọn Security > AAA > RADIUS
Bước 4.13.1.1 Cấu hình tạo Radius Server Authentication
- “Server IP Address(Ipv4/Ipv6)” nhập “10.32.1.79”.

- “Shared Secret Format” chọn “ASCII”.
- “Shared Secret” nhập password là “abb@2016#”.
- “Support for RFC 3576” chọn “Enable”
- Các thông số khác để mặc định như ban đầu.
- Click “Apply”.

- “Support for RFC 3576” chọn “Enable”
Page 60
Bước 4.13.1.2 Cấu hình tạo Radius Server Accouting


Bước 4.13.2 Cấu hình tạo WLAN

- Trong giao diện quản trị ban đầu chọn WLANs > WLANs
Bước 4.13.2.1 Cấu hình tạo WLAN ABBANK

- Chọn “Create New” và click “Go”.
Page 61
- “Type” chọn “WLAN”.
- “Profile Name” nhập “ABBANK”.
- “SSID” nhập “ABBANK”.
- Trong tab “General” thực hiện các bước sau:

o “Broadcast SSID” tích chọn “Enable”.
- Trong tab “Security” và tab “Layer 2” thực hiện các bước sau:
o “Layer 2 Security” chọn “None”.
o Tích chọn “MAC Filtering”.
Page 62
- Trong tab “Security” và tab “AAA Servers” thực hiện các bước sau:
o “Server 1” chọn “10.32.1.79”.
o “Server 2” chọn “10.32.1.80”.
Page 63
- Trong tab “Advanced” thực hiện các bước sau:
o “Allow AAA Override” tích chọn “Enable”.
o “Enable Session Timeout” chọn “1800secs”.

o “Client user idle timeout(15-100000)” chọn “1800secs”.
o “NAC State” chọn “Radius NAC”.
- Click “Save configuration” để lưu cấu hình.
Bước 4.13.2.2 Cấu hình tạo WLAN ABB_802.1X

- Chọn “Create New” và click “Go”.
- “Type” chọn “WLAN”.

- “Profile Name” nhập “ABB_802.1X”.
- “SSID” nhập “ABB_802.1X”.
- Trong tab “General” thực hiện các bước sau:
Page 64
o “Broadcast SSID” tích chọn “Enable”.
o “Layer 2 Security” chọn “WPA+WPA2”.
o Tích chọn “WPA2 policy-AES”
o Trong phần “Auhentication Key Management” chọn “802.1x” và tích chọn
“Enable”.
Page 65
- Trong tab “Security” và tab “AAA Servers” thực hiện các bước sau:
o “Server 1” chọn “10.32.1.79”.
o “Server 2” chọn “10.32.1.80”.
- Trong tab “Advanced” thực hiện các bước sau:

o “Enable Session Timeout” chọn “1800secs”.

o “Client user idle timeout(15-100000)” chọn “1800secs”.
o “NAC State” chọn “Radius NAC”.
Page 66
- Click “Save configuration” để lưu cấu hình.
Bước 4.13.3 Cấu hình tạo Access Control Lists

- Trong giao diện quản trị ban đầu chọn Security > Access Control Lists > Access
Control Lists
- Click “New” để thêm mới các access control list.
Bước 4.13.3.1 Cấu hình tạo Access Control List guest-redirect
- “Access Control List Name” nhập “guest-redirect”.

- “ACL Type” chọn “IPv4”.
Bước 4.13.3.2 Cấu hình tạo Access Control List ACL-POSTURE-REDIRECT
- “Access Control List Name” nhập “ACL-POSTURE-REDIRECT”.

- “ACL Type” chọn “IPv4”.
Page 67
Bước 4.13.4 Cấu hình Bypass Captive Portal cho các thiết bị của Apple
- Sử dụng phần mềm putty hoặc secureCRT để SSH vào thiết bị Wireless Controller và
thực hiện câu lệnh sau:
- Sau đó tiến hành reboot lại thiết bị Wireless Controller.
- Sau khi thiết bị đã khởi động xong kiểm tra lại cấu hình bằng câu lệnh “Show network
summary”.
Bước 4.14 Cấu hình trên Switch Cisco 2960

- Sử dụng phần mềm putty hoặc secureCRT để SSH vào thiết bị Switch Cisco 2960 và
thực hiện các câu lệnh sau:
Bước 4.14.1 Cấu hình bật các tính năng cần thiết
aaa new-model
aaa authentication dot1x default group radius
Page 68
aaa authorization network default group radius
aaa authorization auth-proxy default group radius-server
aaa accounting delay-start all
aaa accounting auth-proxy default start-stop group radius
aaa accounting dot1x default start-stop group radius
aaa accounting network default start-stop group radius
!
aaa session-id common
!
dot1x system-auth-control
!
ip device tracking
!
ip http server
ip http secure-server
!
Bước 4.14.2 Cấu hình kết nối đến hệ thống Cisco ISE
aaa server radius dynamic-author
client 10.32.1.79 server-key abb@2016#
client 10.32.1.80 server-key abb@2016#
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server dead-criteria time 5 tries 3
radius-server host 10.32.1.79 auth-port 1812 acct-port 1813
radius-server host 10.32.1.80 auth-port 1812 acct-port 1813
radius-server host 10.32.1.79 auth-port 1645 acct-port 1646 key abb@2016#
radius-server host 10.32.1.80 auth-port 1645 acct-port 1646 key abb@2016#
radius-server key abb@2016#
radius-server vsa send accounting
radius-server vsa send authentication
!
ip radius source-interface Vlan111
logging source-interface Vlan111
logging host 10.32.1.79 transport udp port 20514
logging host 10.32.1.80 transport udp port 20514
snmp-server host 10.32.1.79 version 2c abb@2016#
snmp-server host 10.32.1.80 version 2c abb@2016#
Bước 4.14.3 Cấu hình tạo access list để redirect đến hệ thống Cisco ISE
ip access-list extended ACL-POSTURE-REDIRECT
deny udp any eq bootpc any eq bootps
deny udp any any eq domain
deny icmp any any
deny udp any host 10.32.1.79 eq 8905
deny tcp any host 10.32.1.79 eq 8905
Page 69
permit ip any any
Bước 4.14.4 Cấu hình tạo access list cho guest

ip access-list extended guest_wired
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
Bước 4.14.5 Cấu hình trên Interface kết nối đến người dùng
interface range FastEthernet0/1-24
switchport access vlan 62
switchport mode access
authentication event fail action next-method
authentication host-mode multi-auth
authentication open
authentication order mab dot1x
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
authentication timer inactivity server
authentication violation restrict
mab
dot1x pae authenticator
spanning-tree portfast
Bước 4.15 Cấu hình trên card mạng không dây của người dùng
- Thay đổi cấu hình card mạng sang 802.1x bằng cách truy cập vào Control Panel >
Network and Internet > Network and Sharing Center
Page 70
- Chọn “Set up a new connection or network”.
- Chọn “Manually connect to a wireless network”.

- Click “Next”.
Page 71
- “Network name” nhập “802.1X”.
- “Security type” chọn “WPA2-Enterprise”.
- Click “Start this connection automatically”.
- Click “Next”.
- Chọn “Change connection settings”.
Page 72
- Tích chọn “Remember my credentials for this connection each time I’m logged on”.
- Click “Settings”.
- Bỏ chọn “Validate server certificate”.
Page 73
- Tích chọn “Enable Fast Reconnect”.
- Click “Configure…”.
- Bỏ chọn “Automatically use…”.

- Click “OK”.
- Click “Advanced settings”.
Page 74
- Click chọn “Specify authentication mode” và chọn “User authentication”.
- Click “Save Credentials” và nhập tài khoản để lưu thông tin xác thực.
- Click “OK”.
Bước 4.16 Cấu hình trên card mạng dây của người dùng
- Note: Sử dụng tài khoản admin local để tiến hành chỉnh sửa cấu hình card mạng của
người dùng.
Page 75
- “Enable Wired Auto Config service” của Window bằng cách truy cập vào
“services.msc”.
- Mặc định service “Wired Auto Config” sẽ là “Manual và Stop”, ta cần Enable service
ở dạng “Automatic và Start”.
Page 76
- Thay đổi cấu hình card mạng sang 802.1x bằng cách truy cập vào Control Panel >
Network and Internet > Network and Sharing Center
- Chọn card mạng muốn chuyển sang 802.1X.
Page 77
- Chọn “Properties”.
- Chọn Tab Authentication > Enable IEEE 802.1x Authentication
Page 78
- Tích chọn “Enable IEEE 802.1X authentication”.
- Tích chọn “Remember my credentials for this connection each time I’m logged on”.
- Tích chọn “Fallback to unauthorized network access”.
- Chọn “Settings”.
Page 79
- Bỏ chọn “Validate server certificate”.
- Chọn Configure > Ok
Page 80
- Chọn Additional Settings > Specify Authentication Mode và chọn User or Computer
Authentication > Ok
- Khởi động lại Window và xác thực lại bằng tài khoản user account domain.
- Note: các bước trên có thể thực hiện bằng cách đẩy Group Policy Update trên AD tới
các máy tính được Join Domain như sau
- Trên máy chủ AD, enable service về “Wired Auto Config”
o Computer Configuration > Policies > Windows Settings > Security
Settings> SystemServices > Wired Autoconfig
- Cấu hình 802.1x Policy
Page 81
o ComputerConfiguration>Policies>WindowsSettings>SecuritySettings>Wi
red network (802.3)
o Đặt tên cho policy và Ok, sau khi tạo xong cửa sổ Properties sẽ hiển thị:
o Chọn Tab “Security”.
Page 82
o Chọn “Properties” và bỏ chọn “Validate server Certificate, chọn Secure
password (EAP-MS-CHAP v2)”.
Page 83
o Chọn “Configure và chọn Automatically use….”.
o Chọn “Advanced” và để các cấu hình là mặc định
Page 84
- Chạy GPO update force trên AD để refresh policy trên các máy Client.
Bước 4.17 Cài đặt NAC Agent trên máy người dùng
Bước 4.17.1 Cài đặt Web Agent

- Truy cập vào 1 trang web bất kì bằng trình duyệt web, hệ thống sẽ redirect đến trang
portal đăng nhập cho người dùng.
- Ở đây người dùng có thể tự tạo tài khoản cho mình (tài khoản này có hiệu lực trong
vòng 24 giờ).
- Click chọn “Don’t have an account?”.
Page 85
- Nhập các thông tin của người dùng xong click “Register” để đăng kí tài khoản sử dụng
internet.
- Sau khi đã tạo được tài khoản click “Sign On” để trở về màn hình đăng nhập.
Page 86
- Click “Accept”.
- Click “Continue”.
- Hệ thống sẽ yêu cầu người dùng tiến hành cài đặt Web Agent (Add-on trên trình
duyệt) để kiểm tra các yêu cầu được phép truy cập internet của ABBank.
Page 87
- Sau khi đã thỏa mãn được các yêu cầu của hệ thống thì người dùng sẽ được phép truy
cập ra internet và tự động redirect đến trang web của ABBank.
Bước 4.17.2 Cài đặt NAC Agent
Page 88
- Click “Start”.
- Hệ thống Cisco ISE sẽ kiểm tra xem người dùng đã cài đặt phần mềm NAC Agent hay
chưa. Nếu chưa cài đặt thì người dùng sẽ tự động được download và cài đặt phần mềm
NAC Agent.
Page 89
- Click “Next”.
- Click “I accept the terms in the license agreement”.

- Click “Next”.
Page 90
- Click “Next”.
- Click “Install”.
Page 91
- Click “Finish”.
- Click “Yes”.
Bước 4.17.3 Kiểm tra kết nối sau khi cài đặt NAC Agent
- Ở đây việc kết nối máy tính của người dùng vào mạng sẽ xảy ra 2 trường hợp:
o Người dùng đáp ứng đủ điều kiện của hệ thống
o Người dùng không đáp ứng đủ điều kiện của hệ thống
- Các điều kiện hiện tại của hệ thống như sau:

o Các máy tính của người dùng phải join domain
o Các máy tính đều phải được Update window, service Window Update
(wuauserv) phải được bật
o Các máy tính phải được cài Antivirus Symantec Endpoint Protection ver 12.1
o Bản update AV trên máy tính phải không cũ hơn quá 3 ngày so với bản
update mới nhất trên Symantec AV Server
Trường hợp 1: với các máy tính của người dùng đáp ứng đủ điều kiện của hệ thống
Bước 1. Sau khi đăng nhập máy tính, cửa sổ NAC Agent hiển thị kết quả
Page 92
Bước 2. Truy cập thử Internet hoặc các hệ thống trong nội bộ
Trường hợp 2: với các máy tính của người dùng không đáp ứng đủ điều kiện của hệ thống,
NAC Agent sẽ hiển thị chi tiết các điều kiện trên máy tính đang không đáp ứng để người
quản trị fix
Page 93
- Như hình trên ta có thể thấy máy tính không đáp ứng đủ điều kiện về Update
Signature cho phần mềm Symantec Endpoint Protection. Do đó cần người quản trị
Update policy về AV trên máy tính và thực hiện Scan lại. Nếu update thành công thì
người dùng sẽ được truy cập hệ thống:
Page 94
- Kiểm tra thông tin authentication trên cổng switch 2960 ta thu được kết quả như sau:
Page 95

Quy Trinh Cau Hinh Cisco ISE

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Quy Trinh Cau Hinh Cisco ISE

Uploaded by

Copyright:

Available Formats

Số hợp đồng:

Khách hàng: ABBANK

Tài liệu hướng dẫn sử dụng

1.0 Phạm Hoàng Đạt

2 Phê duyệt tài liệu

Tên Vị trí/Vai trò Ngày duyệt Chữ ký

4 Nội dung tài liệu

Bước 4.1.1 Deploy thiết bị Cisco ISE-01

- Quá trình cài đặt diễn ra trong ~ 15p

Bước 4.1.2 Deploy thiết bị Cisco ISE-02

- Quá trình cài đặt diễn ra trong ~ 15p

Bước 4.2.1 Cấu hình Export Root CA

- Click chọn “Generate Certificate Signing Requests (CSR)”.

- “Common Name (CN)” nhập “Dise-app-vm-d1.north.abbank.corp”.

- Click “Export” file định dạng .PEM để Sign bởi CA Server

- Copy nội dung Certificate request để Sign bởi CA

- Chọn Template là Web server và Submit

Bước 4.3 Cấu hình HA trên hệ thống Cisco ISE

- Click “Create Node Group”.

- “Node Group Name” nhập “ISE_GROUP”.

- Click chọn “Make Primary”.

- “Host FQDN” nhập “Dise-app-vm-d2.north.abbank.corp”.

Quá trình Register thành công các Node sẽ có thông báo

- “Join Point Name” nhập “ABBANK”.

- Click “Add” và chọn “Select Groups From Directory”.

Bước 4.6.1 Cấu hình Local Log

- “Keep up to” nhập “10 days”.

Bước 4.6.2 Cấu hình Remote Log

- Click “Add” để thêm mới remote log.

- “Name” nhập “Qradar”.

Bước 4.6.3 Cấu hình Logging Categories

- Click chọn “Parent category” và click “Edit”.

- Chuyển “Qradar” sang cột “Selected”.

Bước 4.7.1 Cấu hình Network Device Wireless Controller

- “Name” nhập “wlc”.

Bước 4.7.2 Cấu hình Network Device Switch 2960

- “Name” nhập “Switch”.

o “Shared Secret” nhập “abb@2016#”.

o “SNMP Version” chọn “2c”.

Bước 4.8.1 Cấu hình Posture Requirement Condition về AntiVirus

- “Name” nhập “ABBank_AV_installed”.

- “Name” nhập “Guest_AV”.

- “Name” nhập “ABBank_AV_Update”.

- “Name” nhập “ABBank_ Update_OS”.

Bước 4.8.3 Cấu hình Posture Requirement Result

- Click “Edit” và chọn “Insert new Requirement”.

Bước 4.8.3.4 Cấu hình Posture Requirement Result Update Window

Bước 4.8.4 Cấu hình Posture Policy

Bước 4.8.4.1 Cấu hình Posture Policy User ABBank

- “Rule Name” nhập “ABBANK_USER”.

- “Requirements” chọn “ABBank_AV_INSTALLED”, “ABBank_AV_Update”,

Bước 4.8.4.2 Cấu hình Posture Policy User Guest

- “Rule Name” nhập “ABBANK_GUEST”.

- “Operating Systems” chọn “Windows All”.

Bước 4.9 Cấu hình Client Provisioning

Bước 4.9.1 Cấu hình Client Provisioning

- “Enable Provisioning” chọn “Enable”.

Bước 4.9.2 Cấu hình Add Resource về Agent

- “Name” nhập “ABBANK_PROFILE”.

Bước 4.9.4 Cấu hình Client Provisioning Policy

- “Rule Name” nhập “Windows_Guest_Wired”.

- “Rule Name” nhập “Windows_Guest_Wifi”.

- “Rule Name” nhập “Windows_Domain_wifi”.