IT BLOG(KR)

안녕하세요.

오늘은 Cisco ISE Certificate에 대해서 알아보겠습니다.

Certificate:

인증서는 신원을 나타내는 서명된 문서입니다. 증명서는 여권, 운전면허증, 기타 개인 신분증과 같습니다. 그 신분증은 귀하를 대표하고 귀하가 누구인지 증명하기 위한 것입니다. 해당 인증서에는 해당 엔터티의 공개 키도 포함되어 있으므로 공개 인증서가 있는 사람은 누구나 인증서 소유자만 해독할 수 있는 데이터를 암호화할 수 있습니다. 인증서는 보안 액세스를 구현하는 네트워크에서 자주 사용됩니다. 인증서는 엔드포인트에 대한 ISE(Identity Services Engine)를 식별하고 해당 엔드포인트와 ISE 노드 간의 통신을 보호하는 데 사용됩니다. 인증서는 EAP(확장 가능 인증 프로토콜) 통신은 물론 모든 HTTPS 통신에 사용됩니다.

Admin Certificate:

관리자 인증서는 노드 간 통신 및 관리자 포털 인증에 사용됩니다. 관리자 인증서는 ISE와의 통신을 인증하거나 보안하는 데 사용되는 서버 인증서입니다. 또한 다중 노드 구축에서 ISE 노드 간의 신뢰 관계를 설정하고 통신을 보안하는 데에도 사용됩니다. 다른 HTTPS 서버와 마찬가지로 엔드포인트에서 ISE GUI를 탐색할 때마다 ISE는 해당 인증서를 클라이언트 브라우저에 제공하고 클라이언트가 인증서를 신뢰하는 경우 TLS/SSL 터널이 형성됩니다. 그런 다음 클라이언트는 설정된 터널을 통해 필요한 로그인 자격 증명과 추가 요청/응답을 보냅니다. 클라이언트가 인증서를 신뢰하지 않은 경우 브라우저에 경고가 표시되며 대부분의 경우 사용자에게 위험을 수락하고 서버와의 통신 설정을 진행할 수 있는 권한이 제공됩니다. 그러나 클라이언트가 인증서를 신뢰하지 않고 위험을 감수할 의사가 없는 경우 ISE에 대한 HTTPS 연결이 종료됩니다.

Example)

cisco ise GUI로 접속하면 cisco ise 발급한 인증서는 자체 인증서이기때문에, 제 컴퓨터 trusted certificate 폴더에 cisco ise 인증서가 없습니다.

그래서 신뢰 하지 않는 인증서라고 표시가 됩니다. 

EAP Authentication Certificate:

Client(Supplicant)  <---------------------> NAD <--------------------------> ISE

인증서는 가능한 거의 모든 EAP 방법인 EAP-TLS, PEAP 및 EAP-FAST와 함께 사용됩니다. PEAP 및 FAST와 같은 터널링된 EAP 방법에서는 TLS(전송 계층 보안)를 사용하여 자격 증명 교환을 보호합니다. HTTPS 웹 사이트로 이동하는 것과 마찬가지로 클라이언트는 서버에 대한 연결을 설정하고 서버는 해당 인증서를 클라이언트에 제공합니다. 클라이언트가 인증서를 신뢰하면 TLS 터널이 형성됩니다. 클라이언트의 자격 증명은 이 터널이 설정될 때까지 서버로 전송되지 않으므로 보안 교환이 보장됩니다. 보안 액세스 구축에서 클라이언트는 신청자이고 서버는 ISE 정책 서비스 노드입니다. 클라이언트는 서버를 신뢰해야 하며 인증서 내의 키는 통신을 암호화하고 해독하는 데 사용됩니다.

Wildcard Certificates:

와일드카드 인증서는 와일드카드 표기법(도메인 이름 앞에 별표와 마침표)을 사용하고 조직의 여러 호스트에서 인증서를 공유할 수 있도록 하는 인증서입니다. 와일드카드 인증서의 주체 이름에 대한 CN 값의 예는 *.test.local과 같습니다. *.test.local을 사용하도록 와일드카드 인증서를 구성하는 경우 동일한 인증서를 사용하여 DNS 이름이 ".test.local"로 끝나는 모든 호스트(예: aaa.test.local, psn.test.local)를 보호할 수 있습니다. 

System Certificate:

개별 ISE 노드에 연결된 인증서입니다. 이는 클라이언트 애플리케이션에 대해 Cisco ISE 노드를 식별하는 서버 인증서입니다. 모든 Cisco ISE 노드에는 자체 시스템 인증서가 있으며, 각 인증서는 해당 개인 키와 함께 노드에 저장됩니다.

Trusted Certificate:

인증 기관 ISE는 신뢰합니다. 이는 사용자 및 장치로부터 받은 공개 키에 대한 신뢰를 설정하는 데 사용되는 인증 기관(CA) 인증서입니다. 신뢰할 수 있는 인증서 저장소의 인증서는 PAN(기본 관리 노드)에서 관리되며 Cisco ISE 구축의 다른 모든 노드에 자동으로 복제됩니다.

Certificate Signing Requests:

CA를 통한 서명 요청을 생성하기 위한 템플릿입니다. 인증 기관(CA)이 서명된 인증서를 발급하려면 CSR(인증서 서명 요청)을 생성하여 CA에 제출해야 합니다. CA(인증 기관)에서 서명을 얻으려면 CSR을 내보낸 다음 CA에 인증서를 보내야 합니다. CA는 인증서에 서명하고 반환합니다.

Certificate Authority:

ISE를 CA 서버로 전환하기 위한 설정입니다. Cisco ISE CA(내부 인증 기관)는 직원이 회사 네트워크에서 개인 장치를 사용할 수 있도록 중앙 콘솔에서 엔드포인트에 대한 디지털 인증서를 발급하고 관리합니다.

지금까지 [2025][CISCO ISE#20] - Certificate 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 Cisco ISE license를 등록 하는 방법에 대해서 알아보겠습니다.

Cisco ISE license를 구매할때 아래 정보를 꼭 확인 합니다.

SLR방식애 대해서 알아보겠습니다. - 고객사가 보안 차원에서 cisco ise가 인터넷이 불가능 합니다. 

1. 고객사에 필요한 라이센스를 구매합니다. 

2. cisco CSSM SA/VA에 라이센스가 있는지 확인 합니다. 

3. cisco ise에서 reservation code를 생성 합니다.

4. CSSM을 통해서 라이센스를 다운로드 받습니다.

Cisco ISE에서 생성한 reservation code를 입력 합니다. 

5. cisco ISE에서 라이센스를 등록 합니다. 

6. 라이센스가 제대로 등ㄹ록 되었는지 확인 합니다. 

Smart Account를 사용해서 Key를 등록하면 인터넷이 가능하면 자동으로 라이센스 등록도 가능 합니다.

지금까지 [2025][CISCO ISE#19] - License Register 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Cisco ISE License에 대해서 알아보겠습니다. 

cisco ISE 2.7에서는 영구 라이센스, 구독형 라이센스를 동시에 제공 하였으나, 이후 버전에서는 구독형 라이센스만 제공합니다. 즉 1/3/5 마다 라이센스를 갱신해야 합니다. 

고객사 입장에서는 cisco ISE 2.7 downgrade하고 사용 하면 영구적으로 라이센스를 사용 할수 있습니다.

하지만 cisco ISE 2.7 EOS, EOL, EOS되면 TAC엔지니어 support도 받을수 없습니다. 그래도 보안 차원에서 권장 하지 않습니다.

** 결국 cisco ISE 라이센스는 구동형입니다. **

ISE Subscription Licenses

구독 라이선스는 ISE를 사용하여 네트워크 내에서 관리하고 보호하려는 활성 엔드포인트 수를 기반으로 하는 라이선스를 의미합니다. 이러한 라이선스는 ISE에서 인증, 권한 부여, 모니터링 또는 보호할 수 있는 활성 엔드포인트 수를 결정하므로 ISE 배포의 중요한 부분입니다.

ISE Essentials:

ISE Essential은 기본적인 ID 및 액세스 관리 기능을 제공하는 기본 라이선싱 계층입니다. 여기에는 802.1X 기반 네트워크 액세스, 게스트 액세스 관리, 상태 평가, 기본 프로파일링 기능과 같은 기능이 포함되어 있습니다. 이 계층은 네트워크 리소스에 대한 액세스를 제어하기 위해 필수적인 보안 기능을 찾는 조직에 적합합니다.

ISE Advantage:

ISE Advantage는 Essential 계층에서 제공되는 기능을 기반으로 구축된 중간 계층 라이선싱 옵션입니다. Essential에서 제공되는 기능 외에도 Advantage에는 프로파일링, BYOD, Cisco pxGrid 통합, TrustSec SGT(보안 그룹 태깅) 시행과 같은 고급 기능이 포함되어 있습니다. 이 계층은 보다 광범위한 정책 시행과 고급 네트워크 액세스 제어 기능이 필요한 조직에 적합합니다.

ISE Premier:

Cisco ISE Premier는 Cisco ISE에 사용할 수 있는 가장 높은 라이선싱 계층입니다. 이는 Essential 및 Advantage 계층에서 제공되는 모든 기능을 포함하며 엔드포인트 규정 준수, MDM 및 Posture와 같은 보안 자동화 통합, 고급 위협 억제 및 가시성 기능 TC-NAC와 같은 향상된 기능을 추가합니다. 이 계층은 복잡한 네트워크 환경과 고급 보안 요구 사항이 있는 조직에 적합합니다.

Table 2.           ISE licensing consumption

Reference - 자세한 내용은 Cisco 공식 홈페이지에서 참고 부탁드립니다.

https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-guide-og.html

아래처럼 Licensing 클릭 하면 정보를 확인 가능 합니다. 

Device Admin 

TACACS+기능을 의미 합니다. 장비에 AAA를 설정해서 Authentication, Authorization, Audit 기능을 제공합니다.

이 부분은 구독형 라이센스가 아니라 영구 라이센스 방식 입니다. 

2. 라이센스 등록 방법. 

2-1 License 구매

2-2 구매한 곳에서 License를 CSSM SA/VA 계정에 옮깁니다. 

2-3 cisco ise가 인터넷이 가능 하면 CSSM을 통해서 라이센스 관리 하도록 설정

2-4 cisco ise가 인터넷이 불가능 하면 SLR방식으로 라이센스를 수동으로 cisco ISE등록 합니다. 

지금까지 [2025][CISCO ISE#18] - License 글을 읽어주 셔서 감사합니다.

안녕하세요.

오늘은 cisco ise persona에 대해서 좀 더 상세히 알아보겠습니다.

저번 글에서 cisco ise persona는 4가지가 있다고 설명 하였습니다. 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

** PAN **

1. GUI로 기능들을 설정 할수 있습니다.

2. PAN은 다른 NODE를 SYN 합니다. 

3. PAN HA - 최대 2개 Node만 지원합니다. 그리거 Active/Standby 기능만 지원 합니다. 

4. GUI 설정/수정/삭제 등을 하면 PAN은 설정값을 PSN으로 Push합니다. 

** PSN **

1. 인증,권한 등을 처리 합니다.

2. PSN HA, 최대 50개 까지 가능합니다. Active/Active로 동작 합니다. 

3. PSN은 Network Access, Posture, Guest access, Client provisioning * Profiling 서비스를 제공합니다. 

4. Radius/Tacacs기능을 수행합니다.

5. COA, Posturing and Profileling Service를 기능을 수행합니다. 

6. Bulit-in CA기능도 수행합니다.

7. Authentication request 받고 인증된 사용자 또는 단말기인지를 확인 합니다. 

8. PSN은 직접 External identity store 통신합니다. 

** MnT  **

1. Log를 수집하는 역활을 하고 Log 관련 정보를 확인 가능 합니다.

2. Log는 cisco ISE 자체 storage에 저장 됩니다. 

3. Troubleshoot에 필요한 Tools도 제공합니다.

4. MnT HA Node는 최대 2개입니다. - Active/Standby만 지원

5. Active/Standby node 모두다 Log를 저장합니다. 

6. Report를 생성 할 수 있습니다. 

7. MnT는 PAn, PSN, RADIUS & TACACS 등에 로그들 수집합니다. 

**pxGrid **

1. 외부 Third pard vendor랑 연동 할때 사용 합니다. 

아래 사진에 보시면 Operations이 MnT에 해당 됩니다. 

1. Administration -> system -> Deployment 클릭 합니다. 

2. ise01를 클릭 합니다. 

위에 사진처럼 현재 어떤 Persona가 Enable되어져 있고 동작중인지 확인 가능 합니다. 

위에 사진에 pxGrid를 Enable하면, 현재 cisco ISE standalone으로 동작중이고 아래처럼 4가지 Persona기능을 하고 있습니다.

만약에 HA로 구성하면 어떤 ISE Node가 어떤 Persona기능을 할지 선택 가능 합니다.

지금 까지 [2025][CISCO ISE#17] - Personas 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Cisco ISE Deployment Terminology에 대해서 알아보겠습니다.

기본적으로 아래 용어를 많이 사용 합니다.

Service: 서비스는 네트워크 액세스, 프로파일러, 상태, 보안 그룹 액세스, 모니터링 및 문제 해결 등과 같이 페르소나가 제공하는 특정 기능입니다.

Node: 노드는 Cisco ISE 소프트웨어를 실행하는 개별 인스턴스입니다. Cisco ISE는 어플라이언스로 사용할 수 있을 뿐만 아니라 VMware에서 실행할 수 있는 소프트웨어로도 사용할 수 있습니다. Cisco ISE 소프트웨어를 실행하는 각 인스턴스(어플라이언스 또는 VMware)를 노드라고 합니다.

Persona: 노드의 Persona는 노드가 제공하는 서비스를 결정합니다. Cisco ISE 노드는 관리, 정책 서비스, 모니터링, pxGrid 등의 Persona 는 관리 포털을 통해 사용할 수 있는 메뉴 옵션은 Cisco ISE 노드가 맡은 역할과 Persona에 따라 다릅니다.

Deployment Model: Standalone 또는 High Availability 등으로 구성 가능 합니다. 

여기에서 Persona에 대해서 더 알아보도록 하겠습니다. 

Policy Services Node(PSN) - Makes policy decisions, RADIUS/TACACS+ Servers 

Policy Administration Node(PAN) - Single Plane of glass for ISE admin, Replication hg for all database config changes

Monitoring and Troubleshooting Node (MnT) - Reporting and logging node, syslog collector from ISE nodes

pxGrid Contoller - Facilitates sharing of conext 

Standard-alone일때 동작 방식은 아래와 같습니다. 

High Availablity 

PAN - Active/Standby 역활만 가능 합니다. Active/Active 지원하지 않습니다.

PSN - Active/Active 역활만 가능 합니다.

MnT - Active/Standby 역활만 가능 합니다.  Active/Active 지원하지 않습니다.

pxGrid - Active/Active 역활만 가능 합니다. 

Reference: 자세한 내용은 Cisco 홈페이지를 확인 부탁드립니다.  

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_deployment.html

cisco ISE design guide 

https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html

지금까지 [2025][CISCO ISE#16] - Deployment Terminology 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Cisco ISE를 Dashboard에 대해서 알아보겠습니다. 

1. Cisco ISE를 로그인하고 아래 햄버거 버튼을 클릭 합니다. 

아래 사진처럼 메인 메뉴를 보실수 있습니다. 

Context Visibility - Information for endpoints, Users and Nework Access Devices

Operation: Tolls for Radius, Tacacs logs and session and provide troubleshoot tools.

Policy: Tools for managing network security in the areas of authentication, authorization, profiling, posture, and client provisioning

Administration: tools for maning Cisco ISE nodes, licneses, Certification, Network Devicess, Users, Endpoints and Guest services

Work Ceters: additional futures will be provided 

Cisco ISE Main 화면에 접속 하시면 아래처럼 Total Endpoints, Active Endpoints 등이 표시 됩니다.

이 부분은 삭제 할수 없고 현재 Devices관련 Total, Active Rejected, 등 정보를 확인 할 수 있습니다. 

아래 사진들은 Dashboard에 추가 삭제가 가능 합니다. 

Add Dashlet를 클릭 합니다. 

아래 같은 정보들을 삭제 또는 추가 할 수 있습니다. 

아래 사진을 보시면 어떤 내용을 표시 되는지 확인 가능 합니다. 상세 설명은 생략 하겠습니다. 

GUI에서 ISE정보도 확인 가능 합니다.

지금까지 [2025][CISCO ISE#15] - Dashboard 글을 읽어주셔서 감사합니다. 

안녕하세요. 

Cisco ISE 테스트를 위해서 WLC를 설치 하고 기본 설정을 해보겠습니다.

Diagram

WLC g1 - Data interface

WLC g3 - MGMT interface - vrf mgmt

스위치에서 기본 설정을 합니다.

WLC 기본 설정을 합니다. 

수동으로 WLC를 설정 합니다.

Ping Test

아주 간단한 설정만 하기 추후에 필요한 부분은 수동으로 설정 하도록 하겠습니다.

설정이 완료 되면 다시 로그인을 합니다.

지금까지 [2025][CISCO ISE#14] - WLC configuration   글을 읽어주셔서 감사합니다. 

안녕하세요. 

cisco ISE에 설정값등을 백업하고 복구 하기 위해서 windows server에 file 서버를 구축해 보겠습니다.

1. Add Roles and Features를 선택 합니다. 

2. Next버튼을 클릭 합니다. 

3. Next버튼을 클릭 합니다.

4. Next버튼을 클릭 합니다.

5. 아래처럼 선택하고 next버튼을 클릭 합니다. 

6. Next버튼을 클릭 합니다. 

7. Install버튼을 클릭 합니다.

8. 설치가 완료 되면 Close버튼을 클릭 합니다. 

9. FTP설정하기

IIS Manager 클릭 하기

10. 폴더를 생성하고 아래처럼 선택 합니다.

11. 아래처럼 설정하고 Next버튼을 클릭 합니다.

12. 아래처럼 설정하고 Finish버튼을 클릭 합니다. 

ISE_BACKUP 폴더에 텍스트 파일을 하나 만들고 PC에서 아래처럼 테스트 합니다.

위에 처럼 test.txt 파일이 정상적으로 보입니다. 

FTP서버가 잘 동작중에 있습니다.

안녕하세요.

오늘은 cisco ISE 실습을 위해서 Windows Server에서 Certification Server (CA)를 만들어 보겠습니다.

0. Add Roles and Features

1. Next를 클릭 합니다.

2. Next를 클릭 합니다.

3. Next버튼을 클릭 합니다.

4. Next버튼을 클릭 합니다.

5. Next버튼을 클릭 합니다.

6. Next버튼을 클릭 합니다. 

7. 아래 부분을 모두 체크 하고 Next버튼을 클릭 합니다. 

8. Next버튼을 클릭 합니다.

9. 디폴트값으로 두고 Next버튼을 클릭 합니다.

10. Install 버튼을 클릭 합니다. 

11. CA서버를 설정 하기 위해서 아래 처럼 클릭 합니다.

12. Next버튼을 클릭 합니다.

13. 아래처럼 박스 3개를 선택 합니다.

14. Next를 선택 합니다.

15. Next를 선택 합니다. 

16. Next를 선택 합니다.

17. Next를 선택 합니다.

18. Next를 선택 합니다.

19. Next를 선택 합니다.

20. Next를 선택 합니다.

21. Configure를 선택 합니다.

22. close버튼을 클릭 합니다.

23. Yes를 클릭 합니다.

24. Next를 클릭 합니다.

25. 아래처럼 체크 박스에 체크를 합니다.

administrator 계정에 IIS 그룹에 속하지 않기 때문에 에러 메시지가 뜹니다.

아래 링크 클릭 합니다. 

add to a group를 선택 합니다. 

Administrator 계정에 IIS_IUSERS 그룹 추가하기

그리고 계정을 다시 입력하면 제대로 적용 됩니다.

26. Next버튼을 클릭 합니다.

27. Next버튼을 클릭 합니다.

28. Next버튼을 클릭 합니다.

29. Next버튼을 클릭 합니다.

30. Next버튼을 클릭 합니다. 

31. administrator 계정으로 로그인 합니다. 그리고 Next버튼을 클릭 합니다. 

32. Next버튼을 클릭 합니다.

33. Next버튼을 클릭 합니다.

34. Configure 버튼을 클릭 합니다.

35. Close버튼을 클릭 합니다. 

36. 제대로 동작하는지 확인하기

http://192.168.10.93/certsrv

입력하고 로그인 합니다. 

위에 처럼 접속 되면 CA서버가 제대로 동작중입니다. 

안녕하세요.

cisco ISE 테스트를 위해서 이번에는 서버에 NTP server를 설정해보겠습니다.

Diagram

1. run

gpedit.msc 입력

2. 아래 경로로가서 Enable Windows NTP Server를 클릭 합니다. 

3. Global Configuration Setting를 클릭 합니다.

4. Service를 클릭 합니다.

정상적으로 서비스가 동작중에 있습니다.

윈도우서버에서 시간을 확인후 만약에 수정이 필요하면 아래처럼 수정합니다.

그럼 테스트를 해보겠습니다.

1. SW01 더블 클릭 합니다. 

2. 기본 설정을 합니다

3. NTP Server ip주소를 설정 합니다. 

4. NTP 서버랑 시간이 Syn 되었는지 확인하는 방법

지금까지 [2025][CISCO ISE#11] - NTP Server Configuration 글을 읽어주셔서 감사합니다.