Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC

 
SEGUIR LEYENDO
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Como abordar despliegues de NAC cableado con ClearPass
                              vicente.martinez-barres@hpe.com

                       Componentes Proyecto NAC

        Arquitectura de Red             Switches              Usuarios y dispositivos

          Autenticación Acceso a Red               Asignacion dinámica politicas

                                                     VLAN                ACLs #ArubaAgoraTech19   2

                                                                                                           1
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Arquitectura de red

                                                       #ArubaAgoraTech19   3

Arquitectura de red

– VLANes
– Direccionamiento
                                         DHCP Server
– Aplicación de políticas de seguridad

                                                       #ArubaAgoraTech19   4

                                                                                    2
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Depliegues típicos de VLANes

                •   Todos los usuarios/dispositivos en la                •   Política sin
 Single VLAN        misma VLAN                                               asignación de VLAN

                •   VLAN usuarios                                                                                            Profiling
 VLANes por     •   VLAN telefonía                                       •   Política con
                                                                             asignación de VLAN
   tipo de      •   VLAN impresoras
                                                                             por tipo de
 dispositivo    •   VLAN videovigilancia
                •   …                                                        dispositivo
                                                                                                                   Whitelist
                •   VLAN usuario it
  VLANes por    •   VLAN usuario corporativo dirección                   •   Política con                              Profiling
                                                                             asignación de VLAN
tipo de usuario •   VLAN usuario corporativo
                •   VLAN telefonía                                           por tipo de
      y de      •   VLAN impresoras                                          dispositivo y tipo de
   dispositivo                                                                                                                   AD
                •   VLAN videovigilancia                                     usuario
                •   …                                                                                           Whitelist

                                                                         •   Sin asignación de VLAN
                •   Diferentes IDs de VLAN por edificio o
 VLANes por         bloque de distribución con la misma
                                                                         •   Asignación de VLAN por
                                                                             nombre
   edificio         funcionalidad                                        •   Asignación de VLAN según
                                                                             NAD
                                                                                                        #ArubaAgoraTech19       5

Asignación de Direccionamiento

                •   Permite profiling de dispositivo por DHCP (y otros métodos)
                                                                                                        Necesario para
                •   Asociación dispositivo con IP en CPPM
                                                                                                        ejecutar otros
  Dinámico           •   Switch: DHCP Snooping + RADIUS Accounting                                      métodos de
   (DHCP)       •   Permite cambiar a un dispositivo de VLAN                                            profiling activo
                     • Es posible asignar temporalmente el dispositivo a una VLAN
                        de profiling

                •   Otros métodos de profiling excepto DHCP. Necesaria IP EndPoint.
                •   Asociación dispositivo con IP en CPPM                                                VLAN                  IP
                     •   Switch: ip client-tracker + RADIUS Accounting
   Estático
                      • Network Scan
                •   El dispositivo sólo puede funcionar en la VLAN adecuada
                      • El rol “profiling” se puede componer mediante ACLs
                                                                                                                 Profiling
                                                                             Profiling complicado. Pescadilla
                                                                             que se muerde la cola.
                                                                                                #ArubaAgoraTech19               6
                                                                             Entornos de Single VLAN

                                                                                                                                              3
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Aplicación de políticas de seguridad y QoS

                                                                                           Útil para
                    •   Filtrar tráfico a destinos dentro de la misma VLAN                 dispositivos IoT
                          • Impedir acceso a IPs de la misma VLAN
      Default
  Gateway es un    • Denegar acceso a determinados puertos UDP/TCP
    firewall (o • Rate-limit y remarcado QoS de tráfico                                    Útil para limitar la
     Router +                                                                              propagación de
                   • flujos VoIP o video -> identificación por puerto y dir destino
       ACLs)                                                                               amenazas
                   • Otros flujos -> identificación por puerto y dir destino
                         •   Resto del tráfico -> remarcado a clase default

                    •   Posibilidad de incluir ACLs por usuario para limitar el acceso a
                         • Internet
   No se hace            •   Redes Corporativas
                          • Redes Campus
                    •   También políticas del caso anterior

                                                                                           #ArubaAgoraTech19   7

Usuarios y dispositivos

                                                                                           #ArubaAgoraTech19   8

                                                                                                                        4
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Usuarios y dispositivos

– 802.1x
– MAC                                                                  DHCP Server

– Web

                                                                                           #ArubaAgoraTech19   9

Endpoints autenticados con credenciales de usuario
Autenticación 802.1x

                 •   Integración con repositorio externo de usuarios           •     Política depende del
                     (LDAP, AD,..)                                                   resultado de
 Autenticación                                                                       consulta a fuentes
                 •   Windows: Autenticación de máquina y de usuario                  de autorización

                                                                                           #ArubaAgoraTech19   10

                                                                                                                         5
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Dispositivos IoT
Autenticación MAC

   Allow All
                                                                       •   Política depende del
                 •   Existe un acceso por defecto -> p.e: Invitados,
  Sin listado        VLAN default
                                                                           resultado del
  manual de                                                                profiling
 dispositivos

                                                                       •   Política definida
                 •   Se pueden rechazar dispositivos no autorizados        manualmente por el
                                                                           usario
Listas Blancas • Static Host List
                 •   Guest                                             •   Profiling para
                 •   Repositorio externo: AD                               confirmar asignación
                                                                           manual

                                                                                 #ArubaAgoraTech19   11

Switches
Funcionalidades que van a simplificar y
enriquecer el despliege NAC

                                                                                 #ArubaAgoraTech19   12

                                                                                                               6
Como abordar despliegues de NAC cableado con ClearPass - Componentes Proyecto NAC
4/15/19

Funcionalidades legacy de los switches que dan
soporte a NAC

                                      • Autenticación 802.1x
                                      • Autenticación MAC
                                      • Autenticación MAC y 802.1x en el
                                        mismo puerto
                                      • Múltiples usuarios autenticados por
                  Soporte               puerto
                  RADIUS              • Asignación dinámica de VLANes
                                      • Varios usuarios autenticados con
                                        diferente VLAN untagged en el
                                        mismo Puerto.
                                      • Definición de varios servidores
                                        RADIUS
                                      • Accounting de sesiones
                                      • Establecimiento session-timeout
                                        mediante RADIUS

                                                          #ArubaAgoraTech19   13

Funcionalidades avanzadas

                                                          #ArubaAgoraTech19   14

                                                                                        7
4/15/19

Posibilidad de cambiar la politica de un usuario
conectado
Soporte Change Of Authority (COA)                                                                     e)
                                                                       th                           nc
                                                                     Au            a              ou
                                                                              litic          ort B
                                                                            Po           or
                                                                                            P
                                                                                 DM
                                     User traffic or                           A(
                                     802.1x                                  CO

                                     User traffic
                                                                X              Au
                                                                                 th

                                                                                litic
                                                                                     a
                                     User traffic                             Po

– Cambiar de política como resultado de profiling
– Portal de invitados
– Cambio de política por cambio de las condiciones del dispositivo
– Cambio de política por evento externo

                                                                                                            #ArubaAgoraTech19   15

Posibilidad de redirigir el HTTP de usuario a un
portal externo                                  pti
                                                   ve
                                                                                        a ct
                                                                      th           a C dire
                                                                    Au       olitictal re
                                                                            P or
                                                                              p                            URL de redirección
                                                                                                           Filtro de redirección
                                    DHCP & DNS

                                    Generic traffic
                                                                X
                                    http or https

                                    https://captiveportal....

– Proporcionar funcionalidad de acceso de invitados
– Llevar al usuario a páginas de anuncio cuando se le está bloqueando el tráfico:
  – Cuarentena
  – Profiling

                                                                                                            #ArubaAgoraTech19   16

                                                                                                                                          8
4/15/19

¿Como trato con la telefonía IP?
Multititud de casos con la telefonía IP
                                                                                     th
                                                                                   Au       litic
                                                                                                 a
                                                                                          Po
                                                  802.1x (opt)
                                                  LLDP-MED
                                               Tagged
                                               VLAN     Voice Traffic                   th
                                                                                      Au
                                                   802.1x (opt)                         litic
                                                                                             a
                                                                                      Po
                                                   User traffic

   – VLAN VOZ y DATOS                     – VLAN VOZ estática y                  – VLAN VOZ dinámica y
     estáticas en puerto                    DATOS dinámica                         DATOS dinámica
                                            – ALLOW debe permitir                    – ALLOW + tagged VLAN
     – ALLOW debe permitir                                                             asigna telefono a tagged
       tráfico tagged y                       tráfico tagged y                         VLAN y permite tráfico
       untagged*                              untagged*                                untagged*
                                            – ALLOW + untagged                            – LLDP-MED anuncia la
                                                                                            tagged VLAN asignada
                                              VLAN cambia la VLAN
                                              para el usuario                        – ALLOW + untagged VLAN
                                                                                       cambia la VLAN para el
                                                                        MBV            usuario                MBV
                                                                                                     #ArubaAgoraTech19   17

¿Qué pasa si se pierde la conexión con el CPPM?
Servicio de Contingencia: Critical VLAN/Rol
                                                                                   Au
                                                                                     th
                                                                                                 X
                                                  802.1x (opt)                 Critical
                                                  LLDP-MED                      VLAN
                                               Tagged
                                               VLAN     Voice Traffic
                                                                               tagged

                                                                                      Au
                                                                                        th           X
                                                   802.1x (opt)
                                                                               Critical
                                                   User traffic                VLAN
                                                                              untagged

 – Capaz de asignar VLAN a usuarios y teléfonos
 – Tracking de los servidores RADIUS
   – Radius timeout | Radius retries | Radius dead-time
   – Radius Tracking

                                                                                                     #ArubaAgoraTech19   19

                                                                                                                                   9
4/15/19

Quiero empezar con un NAC que no afecte al servicio
Acceso a la red inmediato: Open VLAN/Rol
                                                                                  th
                                                                                Au
                                                                       Open
                                               LLDP-MED               VLAN t             litic
                                                                                              a
                                                                     Assigned          Po
                                            Tagged
                                            VLAN     Voice Traffic    VLAN t
                                                                                    th
                                                                                  Au
                                                                      Open
                                               User traffic                                   a
                                                                     VLAN u              litic
                                                                     Assigned          Po
                                                                     VLAN u

– Capaz de asignar VLAN OPEN a usuarios y teléfonos
– Open VLAN = VLAN definitiva
  – No se debería asignar diferentes VLANes dinámicas

                                                                                                  #ArubaAgoraTech19   20

Quiero empezar con un NAC que no afecte al servicio
Acceso a la red aunque CPPM mande REJECT: Initial VLAN/Rol
                                                                                  th
                                                                                Au     CT
                                                                                     JE
                                                                                   RE
                                               LLDP-MED               Initial
                                                                      VLAN
                                            Tagged                   tagged
                                            VLAN     Voice Traffic
                                                                                   th
                                                                                 Au        CT
                                                                                         JE
                                                                                       RE
                                               User traffic            Initial
                                                                      VLAN
                                                                     untagged

– Capaz de asignar VLAN INITIAL a usuarios y teléfonos

                                                                                                  #ArubaAgoraTech19   21

                                                                                                                               10
4/15/19

Ajuste del orden y prioridad de Autenticación                                   Autenticaciones
                                                                                simultaneas
                                                                     x
                                                               2.1
                                                             80
                                                          th
                                                        Au          c a
                                                                liti
                                                             Po
                                                                         uth
                                                                    CA
                                  802.1x                         MA
                                                                        a
                                                                   litic
                                                                 Po
                                  User traffic
 MAC
                                                                                  Puede pasar que la auth
                                                                                  MAC termine antes y
          Posibilidad de                                                          asigne temporalmente
          seleccionar el orden:                                                   un servicio inadecuado
                                                                    x
          (1) 802.1x (2) MAC ó                                 2.1
                                                             80
                                                          th
          (1) MAC (2) 802.1x                            Au
                                                                litic
                                                                     a
                                                             Po

                                  802.1x
                                                                         uth
                                                                    CA
                                                                 MA
>=16.08                                                                 a
                                                                   litic
                                  User traffic                   Po
                                                                               Posibilidad de seleccionar
                                  User traffic
                                                 Politica                      la prioridad: (1) 802.1x (2)
                                                 802.1x
                                                 > MAC                         MAC ó (1) MAC (2)
                                                                               802.1x #ArubaAgoraTech19  22

Ejemplos de despliegue NAC

                                                                                      #ArubaAgoraTech19   28

                                                                                                                   11
4/15/19

Configuración inicial equipos de acceso
Asignación estática del servicio sin autenticación

                        Puertos para         Puertos para
                      puestos de trabajo    dispositivos IoT

                        PC+ Telefono

                                                               #ArubaAgoraTech19   29

                                                               #ArubaAgoraTech19   30

                                                                                            12
4/15/19

Fase 1. Monitorización de la autenticación
Sin afectación del servcio       Definición Servidor RADIUS                                                                  WALKTHROUGH
                                                                                                                               ClearPass
radius-server host 10.150.0.43 key hpnaruba
radius-server host 10.150.0.43 dyn-authorization
radius-server host 10.150.0.43 time-window 0

aaa server-group radius "CPPM" host 10.150.0.43                                     Definición AAA
aaa   accounting update periodic 10
aaa
aaa
      accounting network start-stop radius server-group "CPPM"
      authentication port-access eap-radius server-group "CPPM"                   Cuando el Switch recibe un REJECT: Rol
                                                                                  permit any sin asignación especifica de VLAN.
aaa   authentication mac-based chap-radius server-group "CPPM"
aaa   accounting session-id common

                                                                                  Permite todo el tráfico y deja las VLANes
aaa authorization
   exit
                     user-role name "Rechazado-LocalVLAN"
                                                                                  definidas en el puerto
                                                                                           Cuando el Switch recibe un ACCEPT: Rol
aaa authorization    user-role name "Autenticado-LocalVLAN"
   exit
aaa authorization    user-role name "IoT-Open"
   vlan-id 104
   exit
                                                                                           permit any sin asignación especifica de VLAN.
aaa authorization
   vlan-id 101
                     user-role name "Puesto-Trabajo-Open"
                                                                                           Permite todo el tráfico y deja las VLANes
   vlan-id-tagged
   exit
                     103
                                                                                           definidas en el puerto
aaa authorization user-role enable

aaa port-access 1-47 initial-role "Rechazado-LocalVLAN"
                                                                                  Roles Open-Auth: dan servicio antes de que el
aaa port-access 1-24 open-auth user-role "Puesto-Trabajo-Open"
                                                                                  RADIUS conteste a las peticiones. Deben
aaa port-access 25-47 open-auth user-role "IoT-Open"                              mantener la configuración final del servicio tras
                                                                                  la respuesta del RADIUS
aaa   port-access   authenticator 1-47
aaa   port-access   authenticator 1-47 client-limit 2
aaa
aaa
      port-access
      port-access
                    mac-based 1-47
                    mac-based 1-47 addr-limit 2
                                                                        Asignación Roles Open-Auth. Mantiene la
aaa
aaa
      port-access
      port-access
                    mac-based 1-47 mac-pin
                    authenticator active
                                                                        configuración del Puerto.
                                                              Activar Auth 802.1x y MAC en todos los
                                                              puertos                                                 #ArubaAgoraTech19   31

Fase 2. Análisis de los fallos de autenticación

– Activación agentes 802.1x
– Alta de MACs en lista blanca

                                                                                                                      #ArubaAgoraTech19   32

                                                                                                                                                   13
4/15/19

Fase 3. Enforcement de Autenticación

no aaa port-access 1-47 initial-role
                                                            Se elimina la asignación del initial-role. El
no aaa port-access 1-47 open-auth user-role
                                                            initial-role por defecto es deny-all. Ya no se da
                                                            servicio ante un reject

                                                                                              #ArubaAgoraTech19   33

Fase 4. Autenticación + Asignación Dinámica de
Políticas
  –Cambiar políticas en Clearpass

  –Reconfigurar Switches: Puertos colorless
     vlan 1
          untagged 1-47
     vlan 103
          no tagged 1-24
     exit

     radius-server cppm identity "switch_ro" key aruba123

     aaa authorization user-role enable download

                                                                                              #ArubaAgoraTech19   34

                                                                                                                           14
4/15/19

    15
También puede leer