// INFORME: Especificaciones Técnicas de Despliegue ISE
// MÓDULO: Arquitectura Distribuida y Mensajería RADIUS
// HERRAMIENTAS: Cisco ISE 3.x / RADIUS CoA / Packet Capture
// ESTADO: Guía de Troubleshooting Avanzado
0x01: Las "Personas" de los Nodos ISE
Ligado al anterior post aquí desgranamos un poco más "friki" todo.
En mis auditorías para entender lo máximo posible la arquitectura monstruosa donde trabajo, he verificado que un despliegue de ISE no es una caja negra única.
Se divide en roles o "personas" que deben trabajar en perfecta sincronía para evitar latencias o fallos en la autenticación:
- PAN (Policy Administration Node): El cerebro administrativo.
- Donde se configuran las políticas.
- MNT (Monitoring Node): El forense.
- Recolecta logs y genera reportes.
- PSN (Policy Service Node): El músculo.
- Es quien realmente habla RADIUS con los switches y APs.
0x02: Escalamiento y Alta Disponibilidad (HA)
Existen diferentes modelos de despliegue según la carga de la organización.
Un error común es subestimar la redundancia de los PSNs en sedes remotas (red exterior).
| Modelo | Nodos | Escenario |
|---|---|---|
| Standalone | 1 | Laboratorio / Pruebas |
| Small/Medium | 2 - 5 | Sedes regionales con HA |
| Large (Distributed) | Hasta 50+ | Multinacionales con balanceo local |
0x03: Referencia de Errores CoA (NAK)
Cuando el Change of Authorization falla, el dispositivo de red (NAS) devuelve un paquete NAK con un código de error.
He compilado los códigos más críticos que he hallado en mis investigaciones de correos electrónicos infinitos.
// TABLA DE CÓDIGOS DE ERROR (Atributo 101)
403: NAS Identification Mismatch (Atributos de ID no coinciden).
501: Administratively Prohibited (El NAS tiene el CoA desactivado).
503: Session Context Not Found (La sesión ya expiró o no existe en el NAD).
506: Resources Unavailable (Falta de memoria en el dispositivo de red).
0x04: Problemas de Redirección y Errores 400
He investigado el fallo de la "página en blanco" durante la redirección al portal cautivo.
Generalmente se debe a una ACL mal configurada en el switch que bloquea el tráfico DNS o DHCP antes de que el usuario llegue al portal.
Ojo que también se han dado casos de caídas de servidores bajo este mismo error sin anunciar ningún 500.
SOLUCIÓN TÉCNICA: EL DUEÑO DE LA SESIÓN
Si recibes un Error 400 Bad Request, he verificado que la causa suele ser que el PSN que procesa el tráfico web no es el "dueño" original de la sesión RADIUS.
(De RADIUS hay que hablar más adelante es un mundo)
La solución es crear perfiles de autorización únicos por PSN o utilizar FQDNs específicos para forzar la afinidad de sesión.
0x05: Conclusiones del Analista
La maestría en Cisco ISE requiere entender que la visibilidad es bidireccional.
No basta con lo que ISE dice; hay que escuchar lo que el dispositivo de red responde.
Solo analizando los flujos de redirección y los códigos NAK de CoA podemos romper el ciclo de "pasarse la pelota" entre departamentos.
Seguidamente un esquema mental de lo tratado más o menos en estos dos post, bon apetite.
"Security is not a product, it's a mindset."
[ EOF ] 2DevNullPoisonXploit