Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
4/15/19
Como abordar despliegues de NAC cableado con ClearPass
vicente.martinez-barres@hpe.com
Componentes Proyecto NAC
Arquitectura de Red Switches Usuarios y dispositivos
Autenticación Acceso a Red Asignacion dinámica politicas
VLAN ACLs #ArubaAgoraTech19 2
1
4/15/19
Arquitectura de red
#ArubaAgoraTech19 3
Arquitectura de red
– VLANes
– Direccionamiento
DHCP Server
– Aplicación de políticas de seguridad
#ArubaAgoraTech19 4
2
4/15/19
Depliegues típicos de VLANes
• Todos los usuarios/dispositivos en la • Política sin
Single VLAN misma VLAN asignación de VLAN
• VLAN usuarios Profiling
VLANes por • VLAN telefonía • Política con
asignación de VLAN
tipo de • VLAN impresoras
por tipo de
dispositivo • VLAN videovigilancia
• … dispositivo
Whitelist
• VLAN usuario it
VLANes por • VLAN usuario corporativo dirección • Política con Profiling
asignación de VLAN
tipo de usuario • VLAN usuario corporativo
• VLAN telefonía por tipo de
y de • VLAN impresoras dispositivo y tipo de
dispositivo AD
• VLAN videovigilancia usuario
• … Whitelist
• Sin asignación de VLAN
• Diferentes IDs de VLAN por edificio o
VLANes por bloque de distribución con la misma
• Asignación de VLAN por
nombre
edificio funcionalidad • Asignación de VLAN según
NAD
#ArubaAgoraTech19 5
Asignación de Direccionamiento
• Permite profiling de dispositivo por DHCP (y otros métodos)
Necesario para
• Asociación dispositivo con IP en CPPM
ejecutar otros
Dinámico • Switch: DHCP Snooping + RADIUS Accounting métodos de
(DHCP) • Permite cambiar a un dispositivo de VLAN profiling activo
• Es posible asignar temporalmente el dispositivo a una VLAN
de profiling
• Otros métodos de profiling excepto DHCP. Necesaria IP EndPoint.
• Asociación dispositivo con IP en CPPM VLAN IP
• Switch: ip client-tracker + RADIUS Accounting
Estático
• Network Scan
• El dispositivo sólo puede funcionar en la VLAN adecuada
• El rol “profiling” se puede componer mediante ACLs
Profiling
Profiling complicado. Pescadilla
que se muerde la cola.
#ArubaAgoraTech19 6
Entornos de Single VLAN
3
4/15/19
Aplicación de políticas de seguridad y QoS
Útil para
• Filtrar tráfico a destinos dentro de la misma VLAN dispositivos IoT
• Impedir acceso a IPs de la misma VLAN
Default
Gateway es un • Denegar acceso a determinados puertos UDP/TCP
firewall (o • Rate-limit y remarcado QoS de tráfico Útil para limitar la
Router + propagación de
• flujos VoIP o video -> identificación por puerto y dir destino
ACLs) amenazas
• Otros flujos -> identificación por puerto y dir destino
• Resto del tráfico -> remarcado a clase default
• Posibilidad de incluir ACLs por usuario para limitar el acceso a
• Internet
No se hace • Redes Corporativas
• Redes Campus
• También políticas del caso anterior
#ArubaAgoraTech19 7
Usuarios y dispositivos
#ArubaAgoraTech19 8
4
4/15/19
Usuarios y dispositivos
– 802.1x
– MAC DHCP Server
– Web
#ArubaAgoraTech19 9
Endpoints autenticados con credenciales de usuario
Autenticación 802.1x
• Integración con repositorio externo de usuarios • Política depende del
(LDAP, AD,..) resultado de
Autenticación consulta a fuentes
• Windows: Autenticación de máquina y de usuario de autorización
#ArubaAgoraTech19 10
5
4/15/19
Dispositivos IoT
Autenticación MAC
Allow All
• Política depende del
• Existe un acceso por defecto -> p.e: Invitados,
Sin listado VLAN default
resultado del
manual de profiling
dispositivos
• Política definida
• Se pueden rechazar dispositivos no autorizados manualmente por el
usario
Listas Blancas • Static Host List
• Guest • Profiling para
• Repositorio externo: AD confirmar asignación
manual
#ArubaAgoraTech19 11
Switches
Funcionalidades que van a simplificar y
enriquecer el despliege NAC
#ArubaAgoraTech19 12
6
4/15/19
Funcionalidades legacy de los switches que dan
soporte a NAC
• Autenticación 802.1x
• Autenticación MAC
• Autenticación MAC y 802.1x en el
mismo puerto
• Múltiples usuarios autenticados por
Soporte puerto
RADIUS • Asignación dinámica de VLANes
• Varios usuarios autenticados con
diferente VLAN untagged en el
mismo Puerto.
• Definición de varios servidores
RADIUS
• Accounting de sesiones
• Establecimiento session-timeout
mediante RADIUS
#ArubaAgoraTech19 13
Funcionalidades avanzadas
#ArubaAgoraTech19 14
74/15/19
Posibilidad de cambiar la politica de un usuario
conectado
Soporte Change Of Authority (COA) e)
th nc
Au a ou
litic ort B
Po or
P
DM
User traffic or A(
802.1x CO
User traffic
X Au
th
litic
a
User traffic Po
– Cambiar de política como resultado de profiling
– Portal de invitados
– Cambio de política por cambio de las condiciones del dispositivo
– Cambio de política por evento externo
#ArubaAgoraTech19 15
Posibilidad de redirigir el HTTP de usuario a un
portal externo pti
ve
a ct
th a C dire
Au olitictal re
P or
p URL de redirección
Filtro de redirección
DHCP & DNS
Generic traffic
X
http or https
https://captiveportal....
– Proporcionar funcionalidad de acceso de invitados
– Llevar al usuario a páginas de anuncio cuando se le está bloqueando el tráfico:
– Cuarentena
– Profiling
#ArubaAgoraTech19 16
84/15/19
¿Como trato con la telefonía IP?
Multititud de casos con la telefonía IP
th
Au litic
a
Po
802.1x (opt)
LLDP-MED
Tagged
VLAN Voice Traffic th
Au
802.1x (opt) litic
a
Po
User traffic
– VLAN VOZ y DATOS – VLAN VOZ estática y – VLAN VOZ dinámica y
estáticas en puerto DATOS dinámica DATOS dinámica
– ALLOW debe permitir – ALLOW + tagged VLAN
– ALLOW debe permitir asigna telefono a tagged
tráfico tagged y tráfico tagged y VLAN y permite tráfico
untagged* untagged* untagged*
– ALLOW + untagged – LLDP-MED anuncia la
tagged VLAN asignada
VLAN cambia la VLAN
para el usuario – ALLOW + untagged VLAN
cambia la VLAN para el
MBV usuario MBV
#ArubaAgoraTech19 17
¿Qué pasa si se pierde la conexión con el CPPM?
Servicio de Contingencia: Critical VLAN/Rol
Au
th
X
802.1x (opt) Critical
LLDP-MED VLAN
Tagged
VLAN Voice Traffic
tagged
Au
th X
802.1x (opt)
Critical
User traffic VLAN
untagged
– Capaz de asignar VLAN a usuarios y teléfonos
– Tracking de los servidores RADIUS
– Radius timeout | Radius retries | Radius dead-time
– Radius Tracking
#ArubaAgoraTech19 19
94/15/19
Quiero empezar con un NAC que no afecte al servicio
Acceso a la red inmediato: Open VLAN/Rol
th
Au
Open
LLDP-MED VLAN t litic
a
Assigned Po
Tagged
VLAN Voice Traffic VLAN t
th
Au
Open
User traffic a
VLAN u litic
Assigned Po
VLAN u
– Capaz de asignar VLAN OPEN a usuarios y teléfonos
– Open VLAN = VLAN definitiva
– No se debería asignar diferentes VLANes dinámicas
#ArubaAgoraTech19 20
Quiero empezar con un NAC que no afecte al servicio
Acceso a la red aunque CPPM mande REJECT: Initial VLAN/Rol
th
Au CT
JE
RE
LLDP-MED Initial
VLAN
Tagged tagged
VLAN Voice Traffic
th
Au CT
JE
RE
User traffic Initial
VLAN
untagged
– Capaz de asignar VLAN INITIAL a usuarios y teléfonos
#ArubaAgoraTech19 21
104/15/19
Ajuste del orden y prioridad de Autenticación Autenticaciones
simultaneas
x
2.1
80
th
Au c a
liti
Po
uth
CA
802.1x MA
a
litic
Po
User traffic
MAC
Puede pasar que la auth
MAC termine antes y
Posibilidad de asigne temporalmente
seleccionar el orden: un servicio inadecuado
x
(1) 802.1x (2) MAC ó 2.1
80
th
(1) MAC (2) 802.1x Au
litic
a
Po
802.1x
uth
CA
MA
>=16.08 a
litic
User traffic Po
Posibilidad de seleccionar
User traffic
Politica la prioridad: (1) 802.1x (2)
802.1x
> MAC MAC ó (1) MAC (2)
802.1x #ArubaAgoraTech19 22
Ejemplos de despliegue NAC
#ArubaAgoraTech19 28
114/15/19
Configuración inicial equipos de acceso
Asignación estática del servicio sin autenticación
Puertos para Puertos para
puestos de trabajo dispositivos IoT
PC+ Telefono
#ArubaAgoraTech19 29
#ArubaAgoraTech19 30
124/15/19
Fase 1. Monitorización de la autenticación
Sin afectación del servcio Definición Servidor RADIUS WALKTHROUGH
ClearPass
radius-server host 10.150.0.43 key hpnaruba
radius-server host 10.150.0.43 dyn-authorization
radius-server host 10.150.0.43 time-window 0
aaa server-group radius "CPPM" host 10.150.0.43 Definición AAA
aaa accounting update periodic 10
aaa
aaa
accounting network start-stop radius server-group "CPPM"
authentication port-access eap-radius server-group "CPPM" Cuando el Switch recibe un REJECT: Rol
permit any sin asignación especifica de VLAN.
aaa authentication mac-based chap-radius server-group "CPPM"
aaa accounting session-id common
Permite todo el tráfico y deja las VLANes
aaa authorization
exit
user-role name "Rechazado-LocalVLAN"
definidas en el puerto
Cuando el Switch recibe un ACCEPT: Rol
aaa authorization user-role name "Autenticado-LocalVLAN"
exit
aaa authorization user-role name "IoT-Open"
vlan-id 104
exit
permit any sin asignación especifica de VLAN.
aaa authorization
vlan-id 101
user-role name "Puesto-Trabajo-Open"
Permite todo el tráfico y deja las VLANes
vlan-id-tagged
exit
103
definidas en el puerto
aaa authorization user-role enable
aaa port-access 1-47 initial-role "Rechazado-LocalVLAN"
Roles Open-Auth: dan servicio antes de que el
aaa port-access 1-24 open-auth user-role "Puesto-Trabajo-Open"
RADIUS conteste a las peticiones. Deben
aaa port-access 25-47 open-auth user-role "IoT-Open" mantener la configuración final del servicio tras
la respuesta del RADIUS
aaa port-access authenticator 1-47
aaa port-access authenticator 1-47 client-limit 2
aaa
aaa
port-access
port-access
mac-based 1-47
mac-based 1-47 addr-limit 2
Asignación Roles Open-Auth. Mantiene la
aaa
aaa
port-access
port-access
mac-based 1-47 mac-pin
authenticator active
configuración del Puerto.
Activar Auth 802.1x y MAC en todos los
puertos #ArubaAgoraTech19 31
Fase 2. Análisis de los fallos de autenticación
– Activación agentes 802.1x
– Alta de MACs en lista blanca
#ArubaAgoraTech19 32
134/15/19
Fase 3. Enforcement de Autenticación
no aaa port-access 1-47 initial-role
Se elimina la asignación del initial-role. El
no aaa port-access 1-47 open-auth user-role
initial-role por defecto es deny-all. Ya no se da
servicio ante un reject
#ArubaAgoraTech19 33
Fase 4. Autenticación + Asignación Dinámica de
Políticas
–Cambiar políticas en Clearpass
–Reconfigurar Switches: Puertos colorless
vlan 1
untagged 1-47
vlan 103
no tagged 1-24
exit
radius-server cppm identity "switch_ro" key aruba123
aaa authorization user-role enable download
#ArubaAgoraTech19 34
144/15/19
15También puede leer
