Prueba de concepto

Telefónica
BANCO RIPLEY: ISE
 Plataforma Cisco - ISE

Declaración de confidencialidad y protección de datos

La presente documentación es propiedad de Telefónica, están expuestos, ya provengan de la acción humana o del
tiene carácter confidencial y no podrá ser objeto de medio físico o natural.
reproducción total o parcial, tratamiento informático ni
transmisión de ninguna forma o por cualquier medio, ya
sea electrónico, mecánico, por fotocopia, registro o Los datos de contacto de los interlocutores
cualquiera otro. Asimismo, tampoco podrá ser objeto de proporcionados por el Cliente para la gestión de la
préstamo, alquiler o cualquier forma de cesión de uso sin presente solicitud de oferta comercial y/o relación
el permiso previo y escrito de Telefónica., titular del contractual con Telefónica, así como para otras
Copyright. El incumplimiento de las limitaciones finalidades que nos permita o autorice en virtud de lo
señaladas por cualquier persona que tenga acceso a la establecido en la Política de Datos de Empresa, cuyo
documentación será perseguido conforme a la ley. contenido íntegro podrá consultar en la web
www.movistar.es/privacidad. En este contexto, le
rogamos que facilite esta información a los interlocutores
Cualquier dato, inclusive de carácter personal, entregado cuyos datos se estén tratando por Telefónica.
y/u obtenido por las partes como consecuencia de la
provisión/recepción del Servicio, única y exclusivamente
podrá ser utilizado o aplicado para dicho fin, no pudiendo En caso de que como consecuencia de la provisión del
ser entregados o cedidos a terceros bajo ningún título Servicio el proveedor de este accediera o implicara la
(salvo el tratamiento o acceso por aquellos terceros realización de obligaciones o actuaciones que, según la
relacionados con la recepción/provisión del Servicio o normativa aplicable en materia de protección de datos, se
aquellos casos en los que legalmente la parte viniera consideren un encargo de tratamiento de datos de carácter
obligada, sirviendo en dicho caso esta cláusula como personal, tales actuaciones nunca constituirán una cesión
consentimiento expreso a tales efectos), ni siquiera a los de datos por parte del Cliente a Telefónica, sino un
meros efectos de su conservación. Las partes deberán tratamiento de datos personales por cuenta del Cliente
adoptar las medidas de índole técnico y organizativas que será el único responsable del tratamiento. En tal caso,
necesarias para garantizar la seguridad de los datos y las Partes formalizarán el correspondiente Anexo de
evitar su alteración, pérdida tratamiento o acceso no encargo del tratamiento.
autorizado, habida cuenta del estado de la tecnología, la
naturaleza de los datos suministrados y los riesgos a que
 Plataforma Cisco - ISE

Índice
1. Prueba de concepto. ................................................................................................................................................. 4
1.1 Alcance ......................................................................................................................................................... 4
1.2 Requerimientos .............................................................................................................................................. 6
1.3 Compatibilidad .............................................................................................................................................. 7
1.4 Exclusiones ................................................................................................................................................... 8
1.5 Asunciones .................................................................................................................................................... 9

3
 Plataforma Cisco - ISE

1. Prueba de concepto.

1.1 Alcance

Telefónica implementará un piloto de la solución ISE con la finalidad de probar los siguientes features:

 Autenticación 802.1X para usuarios cableados e inalámbricos

 Perfilamiento
 Postura
 Portal de Invitados

El alcance de usuarios de pruebas estimado para este piloto será de 10 endpoint:

 Sistema Operativo Windows o MAC

 Hasta dos versiones por sistema operativo

De acuerdo con ello, el alcance a nivel de configuraciones quedará limitado a:

 Administración
o Creación de Guest Portal con certificados públicos.
o Creación de interface adicional para Guest en el nodo 01
o Creación de Policy Set para WIRED/WLAN.
o Uso de certificado único tipo SAN para los dos nodos ISE.

 Perfil Corporativo Wired

o Authentication Machine (EAP-FAST: EAP-TLS)
o Authentication User (EAP-FAST : EAP-MSCHAP v2 )
o Reglas de Authenticacion y Autorizacion.
o Suplicante Anyconnect prefil WIRED_CORP

Pág.: 4
 Plataforma Cisco - ISE

 Perfil Corporativo Wireless

o Authenticacion Machine (EAP-FAST: EAP-TLS)
o Authenticacion User (EAP-FAST : EAP-MSCHAP v2 )
o Reglas de Authenticacion y Autorizacion.
o Suplicante Anyconnect prefil RIPLEY
o SSID: RIPLEY

 Perfil Invitados Wireless

o Authenticacion Self Register (Open/SSL)
o Reglas de Authenticacion y Autorizacion.
o Creación de Portal de invitados e integración con el SMTP del cliente para integración con el
correo.
o SSID: RIPLEY INVITADOS

 Postura (Wired / Wireless)

o Creacion de Anyconnect Profile y provisioning de agente ISE compliance para endpoints de
prueba
o Reglas de Authenticacion y Autorizacion.
o Verificación de cumplimientos de actualización de Antivirus.

El tiempo estimado de operación del piloto será de 4 semanas tiempo que estará estipulado
contemplando el apoyo condicional y activo de todas las áreas internas de RIPLEY.

Para cumplir con el cronograma establecido se requiere que RIPLEY provea todos los requerimientos
técnicos indicados en el presente documento.

Se podrá realizar las pruebas de manera secuencias contemplando la finalización de cada “hito”,
asimismo se está estableciendo una semana de prueba general.

Pág.: 5
 Plataforma Cisco - ISE

Duración
Ítem Entregables Responsable Semana 1 Semana 2 Semana 3 Semana 4
(días)
Configuracion previa 3 Ripley / TDP
1 Hito1: Administración 2
1.1 Creación de Guest Portal con certificados públicos. 1 Ripley / TDP
1.2 Creación de interface adicional para Guest en el nodo 01 1 Ripley / TDP
1.3 Creación de Policy Set para WIRED/WLAN. 1 TDP
2 Hito 2: Perfil Corporativo Wired 4
2.1 Authentication Machine (EAP-FAST: EAP-TLS) 1 TDP
2.2 Authentication User (EAP-FAST : EAP-MSCHAP v2 ) 1 TDP
2.3 Reglas de Authenticacion y Autorizacion. 2 TDP
2.4 Suplicante Anyconnect prefil WIRED_CORP 1 TDP
3 Hito 3: Perfil Corporativo Wireless 5
3.1 Authenticacion Machine (EAP-FAST: EAP-TLS) 1 TDP
3.2 Authenticacion User (EAP-FAST : EAP-MSCHAP v2 ) 1 TDP
3.3 Reglas de Authenticacion y Autorizacion. 1 TDP
3.4 Suplicante Anyconnect prefil RIPLEY 2 TDP
3.5 SSID: RIPLEY 1 Ripley / TDP
4 Hito 4: Perfil Invitados Wireless 4
4.1 Authenticacion Self Register (Open/SSL) 1 Ripley / TDP
4.2 Reglas de Authenticacion y Autorizacion. 2 TDP
4.3 Creación de Portal de invitados e integración con el SMTP del 1 Ripley / TDP
cliente para integración con el correo.
4.4 SSID: RIPLEY INVITADOS 1 Ripley / TDP
5 Hito 5: Postura (Wired / Wireless) 6
5.1 Creacion de Anyconnect Profile y provisioning de agente ISE 1 Ripley / TDP
compliance para endpoints de prueba
5.2 Reglas de Authenticacion y Autorizacion. 2 TDP
5.3 Verificación de cumplimientos de actualización de Antivirus. 3 Ripley / TDP
6 Hito 6: Pruebas 6

1.2 Requerimientos
1.2.1.1 Equipamiento

RIPLEY deberá proporcionar el siguiente equipamiento para la ejecución de la PoC:

 Máquinas virtuales para solución ISE.
 Certificados para la administración del ISE (Admin), Autenticacion (EAP) y portal de invitados. Se
considera usar 02 tipos de certificados.
o Firmados por CA interna de RIPLEY
 Certificado EAP, Admin
o Firmado por CA Público
 Certificado Portal
 Servicios DHCP, DNS, NTP habilitados
 Endpoints para pruebas
 Conectividad a internet
 Servidor de correo con capacidad para Relay para la prueba de portal de invitados
 Windows System Center Configuration Manager para aplicación de parches Windows
 McAfee ePolicy Orchestrator para aplicación de parches al antivirus

Pág.: 6
 Plataforma Cisco - ISE

1.2.2 Máquinas Virtuales ISE

Se implementará una sola máquina virtual en modo standalone.

A continuación, los requerimientos técnicos para cada máquina virtual:

# VM v CPU
RAM HDD NIC
**
2 2 16 200GB 1

** Clock speed >= 2.0 GHz

1.3 Entregable
Informe Final

Informe que compila de manera resumida los features activados y probados durante el despliegue
de la PoC.

1.4 Compatibilidad

Se desplegará la versión de ISE sugerida por el fabricante que garantice la máxima compatibilidad de la solución,
en los siguientes enlaces se pueden verificar los equipos y sistemas operativos soportados:

 Switches Cisco
Switches 2960 y 3850 soportados.

Pág.: 7
 Plataforma Cisco - ISE

https://www.cisco.com/c/en/us/td/docs/security/ise/2/compatibility_doc/b_ise_sdt_27.html#supporte
dciscoaccessswitches

 Access Point Meraki

Se recomienda la última versión disponible en el Dashboard.
https://www.cisco.com/c/en/us/td/docs/security/ise/27/compatibility_doc/b_ise_sdt_27.html#ciscowl
cs

 Dispositivos Finales Windows

Windows 7, 8 & 10
https://www.cisco.com/c/en/us/td/docs/security/ise/27/compatibility_doc/b_ise_sdt_27.html#micros
oftwindows

 Dispositivos Finales MAC

https://www.cisco.com/c/en/us/td/docs/security/ise/27/compatibility_doc/b_ise_sdt_27.html#applem
acosx

 Antivirus de plataformas Windows compatibles para Postura

Mcafee soportado

https://www.cisco.com/c/en/us/td/docs/security/ise/ac_compliance_module/cisco_anyconnect_ise_
posture_win_support_charts_for_compliance_module_4_3_1280_6145.html

 Identity Sources
Ms Active Directory Server

https://www.cisco.com/c/en/us/td/docs/security/ise/27/compatibility_doc/b_ise_sdt_27.html#externa
lidstores

1.5 Exclusiones
 Provisión de Hardware, software, licencias o certificados.
 Integración con plataformas de VPN para postura de usuarios remotos
 Configuración de servidor de correo, SCCM & ePolicy Orchestrator.
 Configuración WAN

Pág.: 8
Plataforma Cisco - ISE

1.6 Asunciones
 Las integraciones con diversos tipos de elementos de distintos fabricantes, inclusive con el mismo
fabricante está sujeta a las restricciones propias de cada uno de los componentes.
 El cliente abrirá los casos con los fabricantes, si se requiere, para validar temas de compatibilidad,
corrección de desperfectos de software o limitaciones del producto.
 Las actualizaciones, modificaciones de cada uno de los componentes es realizado por los responsables
de dicho componente.
 El protocolo de pruebas, deberá ser acordado en la primera etapa del proyecto, donde se fijan los
requerimientos técnicos funcionales de la integración. Modificaciones a los requerimientos iniciales será
considerado un control de cambios.
 El usuario de los servicios deberá de participar activamente para la validación de los mismos en los
tiempos acordados y con la suficiencia necesaria.
 Los componentes necesarios para una correcta validación de los requerimientos técnicos funcionales
serán provistos por el cliente.
 En caso el cliente no pueda suministrar los certificados en tiempos óptimos, se omitirá la prueba con
certificados públicos.

Pág.: 9