반응형 전체 글132 ISE Posture 구성 절차 Posture 구성을 위한 전체적인 진행은 아래의 순서로 수행하며, 기본적인 AuthC, AuthZ 를 정의하고 AD 연동까지 완료한 이후 분리해서 진행하는 것이 편리했음. 1. ISE 구성 - 몇 개의 노드로 구성할 지 결정. - 정책 구성 대상의 결정 (ex 유선, 무선, PC, 스마트폰, A빌딩 등등) - 예외 대상의 정책 결정. 2.. AD 연동 - 각각의 ISE(정책을 공유하는)는 연동되어 있는 Domain 에서 우선하여, DB정보를 참조하는 것으로 보임. - AD 인증서를 생성하여 ISE에 Import 하여, User/Password 또는 Certificate 인증 둘 모두 가능해짐. - 같은 방식으로, Domain Join 되어있는 Device 에 한해 '신뢰할 수 없는... ' 메세지를 띄.. 2024. 1. 24. ISE Posture 흐름 구성 Posture 동작을 위한 고려 사항 및 Flow 구성 1. 대상의 분류 및 정의. - 어떤 구성원에 대하여 어떤 Posture Policy를 적용할 지를 정의해야함 ex) 임직원 : 문서보안 프로그램 / AD Join 상태 체크 / 백신 동작 여부 , 게스트 : 백신 동작 여부 - 구성원에 따른 네트웍 접근 권한의 변경. 2. Posture Policy 의 정의 - 1번 항목의 분류대상에 대해 적용해야할 Posture Policy 정의 및 Compliant 상태에 따른 Flow 구성 - 정의된 Policy 에 따른 Remediation 방식도 구성이 필요. 3. Device 의 802.1x 일괄 적용 및 Agent 설치에 대한 방법 - GPupdate 를 통한 방식으로 802.1x 에 대한 적용. - .. 2024. 1. 16. ISE Posture 준비. ISE 에서 NAC(Network Access Control) 장비들과 같은 기능을 수행할 수 있는 기능을 Posture 를 통해 수행할 수 있음. (ISE 3.1 기준으로 작성) 1. 기본적으로 정책 802.1x 증을 기반으로 수행하며, Authz 정책으로 Posture를 수행. 2. Posture 는 정책으로 Endpoint 를 제어 ( CoA를 활용하여 dACL 또는 생성되어 있는 ACL을 덧씌우는 형태) 3. Endpoint 의 상태 Check 는 Agent 를 활용하여 수행.( Agentless 도 가능하나 상태확인에 제약이 생김) Agent 형태별 지원가능 옵션 표 4. ISE 가 AD 도메인에 Join 되어있어야 함 ( 그렇지않을 경우 단말 설정을 개개별로 수행해야하는 등의 Posture P.. 2024. 1. 15. ISE 어플라이언스 SNS-37x5 시리즈 ISE 의 현재 어플라이언스 모델인 SNS-37X5 시리즈의 Datasheet 중 필요한 내용만 정리. (2023.7.21 업데이트된 시스코 공식 사이트 참조.) Cisco Secure Network Server - SNS-3715, 3755 ,3795 의 3가지 모델이 있으며, UCS C220 서버를 베이스로 ISE를 서포트 하는 어플라이언스 모델. 1. Active Endpoint 체크. - 대부분은 Small 사이즈인 3715에서 구성 가능. 2. 모델별 서버 사양 - 3715는 파워 서플라이가 단일. 3. SNS 시리즈의 Connectors and LEDs - 일단 Amber 면 뭔가 이상. 2023. 8. 30. SW에 Static IP 넣기. Meraki 스위치를 대쉬보드에 붙이기 위해 DHCP를 사용하는게 가장 편리하고 쉬우나, 사이트 특성 또는 구성에 따라서 Static 하게 IP 를 구성하여 대쉬보드에 넣어야 할때 아래와 같은 절차로 가능함. MS 225을 기준으로 Cisco Meraki 문서를 참조하여 작성함. 1. 노트북을 유선 연결을 통해 스위치에 연결. 2. 웹 브라우저를 사용하여 http://my.meraki.com 또는 http://1.1.1.100 접속 3. “Uplink Configuration” 탭을 클릭. 디폴트 로그인은 ID : 시리얼(예: Qxxx-xxxx-xxxx) PW 없음. 4. 스위치의 연결에 사용할 고정 IP 주소, 넷 마스크, 게이트웨이 IP 주소 및 DNS 서버 설정. 이후 대쉬보드에서 스위치의 Join .. 2023. 8. 29. Cisco AP EWC 0. EWC - Standalone -> ME (Mobility Express) -> EWC (Ebbedded Wireless Controller) 1. 사전 준비 - 9100 시리즈 AP , EWC 이미지, TFTP 서버, 콘솔. - C9105 및 WiFi6E AP 는 지원되지 않음. 2. 제약사항. - Gig 0 인터페이스 트렁크 구성 안됨. - SVI 인터페이스 지원되지 않음. - Wireless MGMT 인터페이스 Gig 0 only - 모든 트래픽은 Gig 0 인터페이스에서 소싱. - 패킷 캡처 기능 수행되지 않음. - 스니퍼 모드 AP 지원되지 않음. - 동일한 Broadcast domain 에 다른 EWC 또는 WLC가 있으면, EWC 이미지가 부팅되지 않음. - 혼합 AP 모델이 있을경우 .. 2023. 8. 24. 이전 1 2 3 4 ··· 22 다음
