Configurar a restrição de acesso IP no ISE

Opções de download

  • PDF     (644.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (491.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (395.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de julho de 2024
ID do documento:222103

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as opções disponíveis para configurar a restrição de acesso IP no ISE 3.1, 3.2 e 3.3. 

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento do Cisco Identity Service Engine (ISE).

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ISE versão 3.1
    • Cisco ISE versão 3.2
    • Cisco ISE versão 3.3

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O recurso de restrição de acesso IP permite que os administradores controlem quais endereços IP ou intervalos podem acessar o portal e os serviços do administrador do ISE.

    Esse recurso se aplica a várias interfaces e serviços do ISE, incluindo:

    • Acesso ao portal do administrador e CLI
    • Acesso à API ERS
    • Acesso ao portal de convidados e patrocinadores
    • Acesso ao portal Meus dispositivos

    Quando ativado, o ISE permite apenas conexões dos endereços IP ou intervalos especificados. Todas as tentativas de acessar as interfaces de administração do ISE a partir de IPs não especificados são bloqueadas.

    Em caso de bloqueio acidental, o ISE fornece uma opção de inicialização de 'modo de segurança' que pode ignorar as restrições de acesso IP. Isso permite que os administradores recuperem o acesso e corrijam quaisquer configurações incorretas.

    Comportamento no ISE 3.1 e inferior

    Navegue até Administration > Admin Access > Settings > Access . Você tem estas opções:

    • Sessão
    • Acesso IP
    • Acesso MnT
      •

    Configurar

    • Selecione Allow only listed IP addresses to connect .
    • Clique em Add.
      •

    Configuração de acesso IPConfiguração de acesso IP

    • No ISE 3.1, você não tem uma opção para selecionar entre Admin e User  serviços, habilitando a Restrição de acesso IP para bloquear conexões a:
      • GUI
      • CLI
      • SNMP
      • SSH
    • Uma caixa de diálogo é aberta onde você insere os endereços IP, IPv4 ou IPv6, no formato CIDR.
    • Depois que o IP estiver configurado, defina a máscara no formato CIDR.
      •

    Editar CIDR IPEditar CIDR IP

    note-icon

    Observação: o formato IP Classless Inter-Domain Routing (CIDR) é um método de representação de endereços IP e seu prefixo de roteamento associado.

    Exemplo:

    IP: 10.8.16.32

    Máscara: /32
    ícone de cuidado

    Cuidado: deve-se tomar cuidado ao configurar restrições de IP para evitar o bloqueio acidental do acesso legítimo do administrador. A Cisco recomenda testar completamente qualquer configuração de restrição de IP antes de implementá-la completamente.
    ícone de dica

    Dica: para endereços IPv4:

    • Use /32 para endereços IP específicos.
    • Para sub-redes, use qualquer outra opção. Exemplo: 10.26.192.0/18

    Comportamento no ISE 3.2

    Navegue até Administration > Admin Access > Settings > Access. Você tem estas opções disponíveis:

    • Sessão
    • Acesso IP
    • Acesso MnT
      •

    Configurar

    • Selecionar  Allow only listed IP addresses to connect.
    • Clique em Add.
      •

    Configuração de acesso IPConfiguração de acesso IP

    • Uma caixa de diálogo é aberta onde você insere os endereços IP, IPv4 ou IPv6, no formato CIDR.
    • Depois que o IP estiver configurado, defina a máscara no formato CIDR.
    • Estas opções estão disponíveis para restrição de acesso IP:
      • Serviços de administração: GUI, CLI (SSH), SNMP, ERS, OpenAPI, UDN, API Gateway, PxGrid (desabilitado no Patch 2), MnT Analytics
      • Serviços de usuário: convidado, BYOD, postura, criação de perfis
      • Serviços de administrador e usuário
      •

    Editar CIDR IPEditar CIDR IP

    • Clique no Save botão.
    • ON significa que os serviços do administrador estão ativados, OFF significa que os serviços do usuário estão desativados.
      •

    Configuração de acesso IP no 3.2Configuração de acesso IP no 3.2

    Comportamento no ISE 3.2 P4 e superior

    Navegue até Administration > Admin Access > Settings > Access . Você tem estas opções disponíveis:

    • Sessão
    • GUI e CLI do administrador: GUI ISE (TCP 443), CLI ISE (SSH TCP22) e SNMP.
    • Serviços de administração: ERS API, Open API, pxGrid, DataConnect.
    • Serviços ao usuário: convidado, BYOD, postura.
    • Acesso MNT: com essa opção, o ISE não consome mensagens de Syslog enviadas de fontes externas.
      •
    note-icon

    Observação: a restrição de acesso ao pxGrid e Data Connect é para ISE 3.3+, mas não para ISE 3.2 P4+. 

    Configurar

    • Selecionar  Allow only listed IP addresses to connect.
    • Clique em  Add.
      •

    Configuração de acesso IP no 3.3Configuração de acesso IP no 3.3

    • Uma caixa de diálogo é aberta onde você insere os endereços IP, IPv4 ou IPv6, no formato CIDR.
    • Depois que o IP estiver configurado, defina a máscara no formato CIDR.
    • Clique em Add.
      •

    Recuperar GUI/CLI do ISE

    • Faça login com o console.
    • Pare os serviços do ISE usando  application stop ise
    • Inicie os serviços do ISE usando  application start ise safe
    • Remova a restrição de acesso IP da GUI.
      •

    Troubleshooting

    Faça uma captura de pacote para verificar se o ISE não está respondendo ou se está descartando o tráfego.

    Um exemplo de captura de pacote que mostra queda de SSH.

    Verificar regras de firewall do ISE

    • Para o 3.1 e versões anteriores, você pode verificar isso apenas no show tech. 
      • Você pode pegar um show tech e armazená-lo no disco local usando  show tech-support file <filename>
      • Em seguida, você pode transferir o arquivo para um repositório usando copy disk:/<filename> ftp://<ip_address>/path.  A URL do repositório é alterada dependendo do tipo de repositório que você está usando.
      • Você pode fazer download do arquivo para sua máquina para poder lê-lo e procurar  Running iptables -nvL.
      • As regras iniciais do show tech não estão incluídas aqui. Em outras palavras, aqui você pode encontrar as últimas regras anexadas ao recurso show tech by IP Access restricted.
        •  
    *****************************************
    Running iptables -nvL...
    *****************************************
    .
    .
    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    461 32052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    65 4048 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination 
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
    • Para o 3.2 e superior, você pode usar o comando show firewall para verificar as regras de firewall.
    • 3.2 e superiores fornecem mais controle sobre os serviços que estão sendo bloqueados pela Restrição de Acesso IP.
      •  
    gjuarezo-311/admin#show firewall
    .
    .

    Chain ACCEPT_22_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    170 13492 ACCEPT tcp -- eth0 * x.x.x.x/x 0.0.0.0/0 tcp dpt:22 Firewall rule permitting the SSH traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    13 784 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_161_udp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT udp -- * * x.x.x.x/x 0.0.0.0/0 udp dpt:161 Firewall rule permitting the SNMP traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8910_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8910 Firewall rule permitting the PxGrid traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    90 5400 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8443_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8443 Firewall rule permitting the HTTPS traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8444_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8444 Firewall rule permitting the Block List Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Chain ACCEPT_8445_tcp_ipv4 (1 references)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * x.x.x.x/x 0.0.0.0/0 tcp dpt:8445 Firewall rule permitting the Sponsor Portal traffic from segment x.x.x.x/x
    0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

    Verificar Logs de Depuração

    ícone de aviso

    Aviso: nem todo o tráfego gera logs. A restrição de acesso IP pode bloquear o tráfego no nível do aplicativo e usando o firewall interno do Linux. SNMP, CLI e SSH são bloqueados no nível do firewall para que nenhum registro seja gerado.
    • Ativar Infrastructure  componente para DEBUG a partir da GUI.
    • Ative o Admin-infra  componente para DEPURAR a partir da GUI.
    • Ative o NSF  componente para DEPURAR a partir da GUI.
    • Use show logging application ise-psc.log tail.
      •

    As entradas de log de exemplo podem ser vistas quando o acesso à webUI do administrador do ISE é restrito, onde a sub-rede permitida é 198.18.133.0/24, enquanto o administrador do ISE vem de 198.18.134.28.

    2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- IpList -> 198.18.133.0/24/basicServices
    2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Low ip address198.18.133.0
    2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- High ip address198.18.133.255
    2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.nsf.impl.NetworkElement -:::::- The ip address to check is v4 198.18.134.28
    2024-07-18 02:27:55,508 DEBUG [admin-http-pool4][[]] cisco.cpm.infrastructure.systemconfig.CpmIpFilterCache -:::::- Checkin Ip In ipList returned Finally ->false

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    05-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jonathan Casillas Gutierrez
      Líder técnico em segurança
    • Glen Juarez Olguin
      Líder técnico em segurança

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos