Blog

Cisco ISE 2.3 újdonságok

Megjelent a Cisco Identity Services Engine 2.3 verziója. Az újdonságok közül a legszembetűnőbb a Policy Set-ek új struktúrája. Az eddig megszokotthoz képest nemcsak grafikai megjelenésben különbözik, hanem a felépítésében is eltér a 2.0-2.2 verziók szabályrendszerétől.

Az ISE 2.2-ben az Authentication Policy-kban használt kétszintű szabályokat a 2.3-ban felbontották, ennek köszönhetően az áttérés után a korábbinál több Policy Set is keletkezhet. A szabályainkat ezért érdemes áttekinteni és újragondolni egy upgrade után. A megjelenítésben az is változott, hogy a Policy Set-ek listája már nem látható a képernyő bal oldalán, ha az egyiknek a tartalmát kinyitjuk. Az oldalon viszont az ISE kijelzi az egyes Policy Set-ek és a szabályok hit count értékeit.

A 2.3-ban lehetőség van read-only adminisztrátorokat létrehozni, ők a grafikus felületen a teljes funkciókészletet el tudják érni, viszont módosításokat nem tudnak végrehajtani.

Az ISE guest wifi portálokon használt authentikációs lehetőségeket kibővítették a Social login-nel. Egyelőre a Facebook felhasználóval való belépést támogatja a szoftver, így nem feltétlenül kell accountokat létrehozni, ha új felhasználóknak pl. alkalmi hozzáférést akarunk nyújtani.

A funkció beállítható akár a vendég saját automatikus regisztrációjával (a Facebook gombra kattintva azonnal megkapja az elérést), de akár a vendéglátó jóváhagyásához is köthető.

Az ISE 2.3 az utolsó verzió, amelyhez ACS 4.x/5.x -> ISE konvertálóeszközt biztosít a gyártó, és a Cisco Secure ACS immár End-of-Sale fázisba került. Ezért az ACS-t használó vállalatoknak erősen javasolt a funkciók áthelyezése ISE-re. A kliensállapot-ellenőrzés (posture) kibővült egy Cisco Temporal Agenttel, amellyel lefuttatható úgy is az ellenőrzés, hogy a kliensen nincs telepítve AnyConnect Posture modul:

További újdonság, hogy most már hozzáadhatunk az ISE-hez IPv6 címmel rendelkező hálózati eszközt.

Ha 2.3-ra akarunk áttérni, letölthető egy Upgrade Readiness Tool (URT), amely bármikor lefuttatható és megvizsgálja a beállításokat és az adatbázist. Az upgrade-et akadályozó dolgok így előre napvilágra kerülhetnek és javíthatók.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Költl Péter Költl Péter • Rendszermérnök, vállalati hálózati és security tapasztalattal. A Budapesti Műszaki Egyetemen szerzett okleveles villamosmérnöki diplomát. 2016-ban csatlakozott az S&T-hez, ahol Cisco biztonsági termékekkel foglalkozik.

ITT és MOST VÁRJUK A HOZZÁSZÓLÁST!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük