Heutiger Workshop war mit einem externen Dienstleister zum Thema Cisco ISE.

Ausgangslage war der Wunsch des Endkunden, sämtliche Netzwerkports und WLAN-Zugänge über 802.1x abzusichern.

Was ist Cisco ISE?

Cisco ISE ist ein auf RedHat-Linux basierendes Linux-System mit grafischer Oberfläche. Der Unterbau könnte ein FreeRadius sein, wurde durch den Dienstleister nicht dementiert, aber auch nicht bestätigt.

Lizenzierung:

Cisco ISE bietet primär die Smart-Lizenzierung. Hierzu baut die Appliance (VM oder physikalisches System) in regelmäßigen Abständen eine Verbindung zu Cisco auf und validiert die eigene Lizenz.

Alternativ – wenn man die ISE nicht ins Internet lassen möchte, existiert ein Smart-Licensing Satelite-Server, der als Proxy fungiert.

Wie redundant ist Cisco ISE?

Durch eine „Verclusterung“ können mehrere ISEs installiert werden, die sich gegenseitig synchronisieren. Wichtig: aus Switchsicht ist jeder ISE-Knoten ein eigener Radius-Server welcher hinterlegt und befragt werden kann. Hier entsteht also die Redundanz durch mehrere ISEs sowie die Fähigkeit, dass das Endgerät (Switch usw.) bei Ausfall eines ISEs dies erkennt und selbstständig den nächsten in der Liste befragt.

Welche Anforderung hat Cisco ISE an die Endgeräte?

Primär erfolgt die Authentisierung der Endgeräte ggü. dem Switch durch 802.1x. Hier haben alle großen Betriebssysteme eingebaute dot1x-Agenten installiert die nur aktiviert werden müssen. Früher gab es von Cisco einen Anyclient welcher alternativ genutzt werden konnte.

Besonderheiten der multi-Authentifizierung?

Hängt ein Telefon hinter einem PC, müssen beide Endgeräte unabhängig voneinander authentifiziert werden. Unifi nennt dieses Feature Multi-Authentifizierung.

Lizenzbesonderheiten?

Cisco ISE wird jährlich lizenziert für die Appliance, sowie die Zugriffslizenzen – also die tatsächlichen zu authentifizieren Clients.

Preis von Cisco ISE?

Unverbindlicher Preis für 2 ISEs + 600 Zugriffslizenzen und Wartungsvertrag für 3 Jahre -> 20.000 €.

Alternativen zu Cisco ISE?

Alternativen gibt es immer. So kann ein klassischer FreeRadius genutzt werden.

Fazit zu Cisco ISE:

Ciso ISE ist ein Enterpriseprodukt mit grafischer Oberfläche, welche die Authentifizierung ggü Active-Directory, die Konfiguration sowie die Visualisierung und Alarmierung übernimmt. Kann man auf die GUI verzichten, lässt sich dies auch mit Boardmitteln und Freeradius abbilden. Die Redundanz kann z.B. über ein Syncen der Konfiguration zwischen einzelnen Radius-Systemen erfolgen. So z.b. über Puppet + Git und zentrales Repo für Konfigurationsänderungen.

Betrachtet man die hohen und laufenden Lizenzkosten sowie die Abhängigkeit von Cisco, ist Vorsicht geboten bei der Entscheidung für ein zentrales AAA-System.

Categories: Blog