Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
4/15/19 Como abordar despliegues de NAC cableado con ClearPass vicente.martinez-barres@hpe.com Componentes Proyecto NAC Arquitectura de Red Switches Usuarios y dispositivos Autenticación Acceso a Red Asignacion dinámica politicas VLAN ACLs #ArubaAgoraTech19 2 1
4/15/19 Arquitectura de red #ArubaAgoraTech19 3 Arquitectura de red – VLANes – Direccionamiento DHCP Server – Aplicación de políticas de seguridad #ArubaAgoraTech19 4 2
4/15/19 Depliegues típicos de VLANes • Todos los usuarios/dispositivos en la • Política sin Single VLAN misma VLAN asignación de VLAN • VLAN usuarios Profiling VLANes por • VLAN telefonía • Política con asignación de VLAN tipo de • VLAN impresoras por tipo de dispositivo • VLAN videovigilancia • … dispositivo Whitelist • VLAN usuario it VLANes por • VLAN usuario corporativo dirección • Política con Profiling asignación de VLAN tipo de usuario • VLAN usuario corporativo • VLAN telefonía por tipo de y de • VLAN impresoras dispositivo y tipo de dispositivo AD • VLAN videovigilancia usuario • … Whitelist • Sin asignación de VLAN • Diferentes IDs de VLAN por edificio o VLANes por bloque de distribución con la misma • Asignación de VLAN por nombre edificio funcionalidad • Asignación de VLAN según NAD #ArubaAgoraTech19 5 Asignación de Direccionamiento • Permite profiling de dispositivo por DHCP (y otros métodos) Necesario para • Asociación dispositivo con IP en CPPM ejecutar otros Dinámico • Switch: DHCP Snooping + RADIUS Accounting métodos de (DHCP) • Permite cambiar a un dispositivo de VLAN profiling activo • Es posible asignar temporalmente el dispositivo a una VLAN de profiling • Otros métodos de profiling excepto DHCP. Necesaria IP EndPoint. • Asociación dispositivo con IP en CPPM VLAN IP • Switch: ip client-tracker + RADIUS Accounting Estático • Network Scan • El dispositivo sólo puede funcionar en la VLAN adecuada • El rol “profiling” se puede componer mediante ACLs Profiling Profiling complicado. Pescadilla que se muerde la cola. #ArubaAgoraTech19 6 Entornos de Single VLAN 3
4/15/19 Aplicación de políticas de seguridad y QoS Útil para • Filtrar tráfico a destinos dentro de la misma VLAN dispositivos IoT • Impedir acceso a IPs de la misma VLAN Default Gateway es un • Denegar acceso a determinados puertos UDP/TCP firewall (o • Rate-limit y remarcado QoS de tráfico Útil para limitar la Router + propagación de • flujos VoIP o video -> identificación por puerto y dir destino ACLs) amenazas • Otros flujos -> identificación por puerto y dir destino • Resto del tráfico -> remarcado a clase default • Posibilidad de incluir ACLs por usuario para limitar el acceso a • Internet No se hace • Redes Corporativas • Redes Campus • También políticas del caso anterior #ArubaAgoraTech19 7 Usuarios y dispositivos #ArubaAgoraTech19 8 4
4/15/19 Usuarios y dispositivos – 802.1x – MAC DHCP Server – Web #ArubaAgoraTech19 9 Endpoints autenticados con credenciales de usuario Autenticación 802.1x • Integración con repositorio externo de usuarios • Política depende del (LDAP, AD,..) resultado de Autenticación consulta a fuentes • Windows: Autenticación de máquina y de usuario de autorización #ArubaAgoraTech19 10 5
4/15/19 Dispositivos IoT Autenticación MAC Allow All • Política depende del • Existe un acceso por defecto -> p.e: Invitados, Sin listado VLAN default resultado del manual de profiling dispositivos • Política definida • Se pueden rechazar dispositivos no autorizados manualmente por el usario Listas Blancas • Static Host List • Guest • Profiling para • Repositorio externo: AD confirmar asignación manual #ArubaAgoraTech19 11 Switches Funcionalidades que van a simplificar y enriquecer el despliege NAC #ArubaAgoraTech19 12 6
4/15/19 Funcionalidades legacy de los switches que dan soporte a NAC • Autenticación 802.1x • Autenticación MAC • Autenticación MAC y 802.1x en el mismo puerto • Múltiples usuarios autenticados por Soporte puerto RADIUS • Asignación dinámica de VLANes • Varios usuarios autenticados con diferente VLAN untagged en el mismo Puerto. • Definición de varios servidores RADIUS • Accounting de sesiones • Establecimiento session-timeout mediante RADIUS #ArubaAgoraTech19 13 Funcionalidades avanzadas #ArubaAgoraTech19 14 7
4/15/19 Posibilidad de cambiar la politica de un usuario conectado Soporte Change Of Authority (COA) e) th nc Au a ou litic ort B Po or P DM User traffic or A( 802.1x CO User traffic X Au th litic a User traffic Po – Cambiar de política como resultado de profiling – Portal de invitados – Cambio de política por cambio de las condiciones del dispositivo – Cambio de política por evento externo #ArubaAgoraTech19 15 Posibilidad de redirigir el HTTP de usuario a un portal externo pti ve a ct th a C dire Au olitictal re P or p URL de redirección Filtro de redirección DHCP & DNS Generic traffic X http or https https://captiveportal.... – Proporcionar funcionalidad de acceso de invitados – Llevar al usuario a páginas de anuncio cuando se le está bloqueando el tráfico: – Cuarentena – Profiling #ArubaAgoraTech19 16 8
4/15/19 ¿Como trato con la telefonía IP? Multititud de casos con la telefonía IP th Au litic a Po 802.1x (opt) LLDP-MED Tagged VLAN Voice Traffic th Au 802.1x (opt) litic a Po User traffic – VLAN VOZ y DATOS – VLAN VOZ estática y – VLAN VOZ dinámica y estáticas en puerto DATOS dinámica DATOS dinámica – ALLOW debe permitir – ALLOW + tagged VLAN – ALLOW debe permitir asigna telefono a tagged tráfico tagged y tráfico tagged y VLAN y permite tráfico untagged* untagged* untagged* – ALLOW + untagged – LLDP-MED anuncia la tagged VLAN asignada VLAN cambia la VLAN para el usuario – ALLOW + untagged VLAN cambia la VLAN para el MBV usuario MBV #ArubaAgoraTech19 17 ¿Qué pasa si se pierde la conexión con el CPPM? Servicio de Contingencia: Critical VLAN/Rol Au th X 802.1x (opt) Critical LLDP-MED VLAN Tagged VLAN Voice Traffic tagged Au th X 802.1x (opt) Critical User traffic VLAN untagged – Capaz de asignar VLAN a usuarios y teléfonos – Tracking de los servidores RADIUS – Radius timeout | Radius retries | Radius dead-time – Radius Tracking #ArubaAgoraTech19 19 9
4/15/19 Quiero empezar con un NAC que no afecte al servicio Acceso a la red inmediato: Open VLAN/Rol th Au Open LLDP-MED VLAN t litic a Assigned Po Tagged VLAN Voice Traffic VLAN t th Au Open User traffic a VLAN u litic Assigned Po VLAN u – Capaz de asignar VLAN OPEN a usuarios y teléfonos – Open VLAN = VLAN definitiva – No se debería asignar diferentes VLANes dinámicas #ArubaAgoraTech19 20 Quiero empezar con un NAC que no afecte al servicio Acceso a la red aunque CPPM mande REJECT: Initial VLAN/Rol th Au CT JE RE LLDP-MED Initial VLAN Tagged tagged VLAN Voice Traffic th Au CT JE RE User traffic Initial VLAN untagged – Capaz de asignar VLAN INITIAL a usuarios y teléfonos #ArubaAgoraTech19 21 10
4/15/19 Ajuste del orden y prioridad de Autenticación Autenticaciones simultaneas x 2.1 80 th Au c a liti Po uth CA 802.1x MA a litic Po User traffic MAC Puede pasar que la auth MAC termine antes y Posibilidad de asigne temporalmente seleccionar el orden: un servicio inadecuado x (1) 802.1x (2) MAC ó 2.1 80 th (1) MAC (2) 802.1x Au litic a Po 802.1x uth CA MA >=16.08 a litic User traffic Po Posibilidad de seleccionar User traffic Politica la prioridad: (1) 802.1x (2) 802.1x > MAC MAC ó (1) MAC (2) 802.1x #ArubaAgoraTech19 22 Ejemplos de despliegue NAC #ArubaAgoraTech19 28 11
4/15/19 Configuración inicial equipos de acceso Asignación estática del servicio sin autenticación Puertos para Puertos para puestos de trabajo dispositivos IoT PC+ Telefono #ArubaAgoraTech19 29 #ArubaAgoraTech19 30 12
4/15/19 Fase 1. Monitorización de la autenticación Sin afectación del servcio Definición Servidor RADIUS WALKTHROUGH ClearPass radius-server host 10.150.0.43 key hpnaruba radius-server host 10.150.0.43 dyn-authorization radius-server host 10.150.0.43 time-window 0 aaa server-group radius "CPPM" host 10.150.0.43 Definición AAA aaa accounting update periodic 10 aaa aaa accounting network start-stop radius server-group "CPPM" authentication port-access eap-radius server-group "CPPM" Cuando el Switch recibe un REJECT: Rol permit any sin asignación especifica de VLAN. aaa authentication mac-based chap-radius server-group "CPPM" aaa accounting session-id common Permite todo el tráfico y deja las VLANes aaa authorization exit user-role name "Rechazado-LocalVLAN" definidas en el puerto Cuando el Switch recibe un ACCEPT: Rol aaa authorization user-role name "Autenticado-LocalVLAN" exit aaa authorization user-role name "IoT-Open" vlan-id 104 exit permit any sin asignación especifica de VLAN. aaa authorization vlan-id 101 user-role name "Puesto-Trabajo-Open" Permite todo el tráfico y deja las VLANes vlan-id-tagged exit 103 definidas en el puerto aaa authorization user-role enable aaa port-access 1-47 initial-role "Rechazado-LocalVLAN" Roles Open-Auth: dan servicio antes de que el aaa port-access 1-24 open-auth user-role "Puesto-Trabajo-Open" RADIUS conteste a las peticiones. Deben aaa port-access 25-47 open-auth user-role "IoT-Open" mantener la configuración final del servicio tras la respuesta del RADIUS aaa port-access authenticator 1-47 aaa port-access authenticator 1-47 client-limit 2 aaa aaa port-access port-access mac-based 1-47 mac-based 1-47 addr-limit 2 Asignación Roles Open-Auth. Mantiene la aaa aaa port-access port-access mac-based 1-47 mac-pin authenticator active configuración del Puerto. Activar Auth 802.1x y MAC en todos los puertos #ArubaAgoraTech19 31 Fase 2. Análisis de los fallos de autenticación – Activación agentes 802.1x – Alta de MACs en lista blanca #ArubaAgoraTech19 32 13
4/15/19 Fase 3. Enforcement de Autenticación no aaa port-access 1-47 initial-role Se elimina la asignación del initial-role. El no aaa port-access 1-47 open-auth user-role initial-role por defecto es deny-all. Ya no se da servicio ante un reject #ArubaAgoraTech19 33 Fase 4. Autenticación + Asignación Dinámica de Políticas –Cambiar políticas en Clearpass –Reconfigurar Switches: Puertos colorless vlan 1 untagged 1-47 vlan 103 no tagged 1-24 exit radius-server cppm identity "switch_ro" key aruba123 aaa authorization user-role enable download #ArubaAgoraTech19 34 14
4/15/19 15
También puede leer