View
10
Download
0
Category
Preview:
Citation preview
4/15/19
1
Como abordar despliegues de NAC cableado con ClearPassvicente.martinez-barres@hpe.com
2#ArubaAgoraTech19
Arquitectura de Red Switches Usuarios y dispositivos
Autenticación Acceso a Red Asignacion dinámica politicas
VLAN ACLs
Componentes Proyecto NAC
4/15/19
2
3#ArubaAgoraTech19
Arquitectura de red
4#ArubaAgoraTech19
Arquitectura de red
– VLANes– Direccionamiento
– Aplicación de políticas de seguridadDHCP Server
4/15/19
3
5#ArubaAgoraTech19
Depliegues típicos de VLANes
Single VLAN • Todos los usuarios/dispositivos en la misma VLAN
VLANes portipo de
dispositivo
• VLAN usuarios• VLAN telefonía• VLAN impresoras• VLAN videovigilancia• …
VLANes portipo de usuario
y de dispositivo
• VLAN usuario it• VLAN usuario corporativo dirección• VLAN usuario corporativo• VLAN telefonía• VLAN impresoras• VLAN videovigilancia• …
• Política sin asignación de VLAN
• Política con asignación de VLAN por tipo de dispositivo
• Política con asignación de VLAN por tipo de dispositivo y tipo de usuario
VLANes poredificio
• Diferentes IDs de VLAN por edificio o bloque de distribución con la mismafuncionalidad
• Sin asignación de VLAN• Asignación de VLAN por
nombre• Asignación de VLAN según
NAD
Profiling
Whitelist
Profiling
WhitelistAD
6#ArubaAgoraTech19
Asignación de Direccionamiento
Dinámico(DHCP)
• Permite profiling de dispositivo por DHCP (y otros métodos)
• Asociación dispositivo con IP en CPPM
• Switch: DHCP Snooping + RADIUS Accounting
• Permite cambiar a un dispositivo de VLAN
• Es posible asignar temporalmente el dispositivo a una VLAN
de profiling
Estático
• Otros métodos de profiling excepto DHCP. Necesaria IP EndPoint.
• Asociación dispositivo con IP en CPPM
• Switch: ip client-tracker + RADIUS Accounting
• Network Scan
• El dispositivo sólo puede funcionar en la VLAN adecuada
• El rol “profiling” se puede componer mediante ACLs
Necesario para ejecutar otros
métodos de
profiling activo
Profiling complicado. Pescadillaque se muerde la cola.
Entornos de Single VLAN
IP
Profiling
VLAN
4/15/19
4
7#ArubaAgoraTech19
Aplicación de políticas de seguridad y QoS
Default Gateway es un
firewall (o Router +
ACLs)
• Filtrar tráfico a destinos dentro de la misma VLAN • Impedir acceso a IPs de la misma VLAN
• Denegar acceso a determinados puertos UDP/TCP
• Rate-limit y remarcado QoS de tráfico• flujos VoIP o video -> identificación por puerto y dir destino
• Otros flujos -> identificación por puerto y dir destino
• Resto del tráfico -> remarcado a clase default
No se hace
• Posibilidad de incluir ACLs por usuario para limitar el acceso a• Internet
• Redes Corporativas
• Redes Campus• También políticas del caso anterior
Útil para dispositivos IoT
Útil para limitar la propagación de amenazas
8#ArubaAgoraTech19
Usuarios y dispositivos
4/15/19
5
9#ArubaAgoraTech19
Usuarios y dispositivos
– 802.1x– MAC
– Web
DHCP Server
10#ArubaAgoraTech19
Endpoints autenticados con credenciales de usuarioAutenticación 802.1x
Autenticación• Integración con repositorio externo de usuarios
(LDAP, AD,..)• Windows: Autenticación de máquina y de usuario
• Política depende del resultado de consulta a fuentesde autorización
4/15/19
6
11#ArubaAgoraTech19
Dispositivos IoTAutenticación MAC
Allow All
Sin listadomanual de
dispositivos
• Existe un acceso por defecto -> p.e: Invitados, VLAN default
Listas Blancas
• Se pueden rechazar dispositivos no autorizados
• Static Host List• Guest• Repositorio externo: AD
• Política depende del resultado del profiling
• Política definidamanualmente por el usario
• Profiling para confirmar asignaciónmanual
12#ArubaAgoraTech19
SwitchesFuncionalidades que van a simplificar y enriquecer el despliege NAC
4/15/19
7
13#ArubaAgoraTech19
Funcionalidades legacy de los switches que dansoporte a NAC
SoporteRADIUS
• Autenticación 802.1x• Autenticación MAC• Autenticación MAC y 802.1x en el
mismo puerto• Múltiples usuarios autenticados por
puerto• Asignación dinámica de VLANes• Varios usuarios autenticados con
diferente VLAN untagged en el mismo Puerto.
• Definición de varios servidoresRADIUS
• Accounting de sesiones• Establecimiento session-timeout
mediante RADIUS
14#ArubaAgoraTech19
Funcionalidades avanzadas
4/15/19
8
15#ArubaAgoraTech19
Soporte Change Of Authority (COA)
User traffic or 802.1x
Auth
Politica
Auth
Politica
User traffic
User traffic
XCOA (D
M or Port Bounce)
Posibilidad de cambiar la politica de un usuarioconectado
– Cambiar de política como resultado de profiling– Portal de invitados– Cambio de política por cambio de las condiciones del dispositivo– Cambio de política por evento externo
16#ArubaAgoraTech19
DHCP & DNS
AuthPolitic
a Captive
portal redirect
http or https
https://captiveportal....
XGeneric traffic
URL de redirecciónFiltro de redirección
Posibilidad de redirigir el HTTP de usuario a un portal externo
– Proporcionar funcionalidad de acceso de invitados– Llevar al usuario a páginas de anuncio cuando se le está bloqueando el tráfico:
– Cuarentena– Profiling
4/15/19
9
17#ArubaAgoraTech19
¿Como trato con la telefonía IP?Multititud de casos con la telefonía IP
– VLAN VOZ y DATOS estáticas en puerto– ALLOW debe permitir
tráfico tagged y untagged*
LLDP-MEDVoice TrafficTagged
VLAN
AuthPolitic
a
– VLAN VOZ estática y DATOS dinámica– ALLOW debe permitir
tráfico tagged y untagged*
– ALLOW + untagged VLAN cambia la VLAN para el usuario
– VLAN VOZ dinámica y DATOS dinámica– ALLOW + tagged VLAN
asigna telefono a tagged VLAN y permite tráficountagged*– LLDP-MED anuncia la
tagged VLAN asignada
– ALLOW + untagged VLAN cambia la VLAN para el usuario
802.1x (opt)Auth
Politica
802.1x (opt)
User traffic
MBV MBV
19#ArubaAgoraTech19
¿Qué pasa si se pierde la conexión con el CPPM?Servicio de Contingencia: Critical VLAN/Rol
– Capaz de asignar VLAN a usuarios y teléfonos
– Tracking de los servidores RADIUS– Radius timeout | Radius retries | Radius dead-time
– Radius Tracking
X
LLDP-MEDVoice TrafficTagged
VLAN
Auth
802.1x (opt)Auth
802.1x (opt)
User traffic
CriticalVLANtagged XCriticalVLAN
untagged
4/15/19
10
20#ArubaAgoraTech19
Quiero empezar con un NAC que no afecte al servicioAcceso a la red inmediato: Open VLAN/Rol
LLDP-MED
Voice TrafficTagged VLAN
Auth
Auth
User traffic
OpenVLAN t
OpenVLAN u
Politica
AssignedVLAN t
Politica
AssignedVLAN u
– Capaz de asignar VLAN OPEN a usuarios y teléfonos– Open VLAN = VLAN definitiva
– No se debería asignar diferentes VLANes dinámicas
21#ArubaAgoraTech19
Quiero empezar con un NAC que no afecte al servicioAcceso a la red aunque CPPM mande REJECT: Initial VLAN/Rol
LLDP-MED
Voice TrafficTagged VLAN
Auth
Auth
User traffic
REJECT
InitialVLAN tagged
– Capaz de asignar VLAN INITIAL a usuarios y teléfonos
REJECT
InitialVLAN
untagged
4/15/19
11
22#ArubaAgoraTech19
802.1x
Auth 802.1x
Politica
MACAuth
Politica
User traffic
User traffic
Autenticacionessimultaneas
Politica802.1x> MAC
802.1x
Auth 802.1x
Politica
MACAuth
Politica
User traffic
User trafficPolitica802.1x> MAC
Puede pasar que la authMAC termine antes y asigne temporalmenteun servicio inadecuado
Posibilidad de seleccionar el orden: (1) 802.1x (2) MAC ó(1) MAC (2) 802.1x
Posibilidad de seleccionarla prioridad: (1) 802.1x (2) MAC ó (1) MAC (2) 802.1x
<16.08
>=16.08
Ajuste del orden y prioridad de Autenticación
28#ArubaAgoraTech19
Ejemplos de despliegue NAC
4/15/19
12
29#ArubaAgoraTech19
Configuración inicial equipos de accesoAsignación estática del servicio sin autenticación
Puertos para puestos de trabajo
PC+ Telefono
Puertos para dispositivos IoT
30#ArubaAgoraTech19
4/15/19
13
31#ArubaAgoraTech19
Asignación Roles Open-Auth. Mantiene la configuración del Puerto.
Activar Auth 802.1x y MAC en todos lospuertos
Roles Open-Auth: dan servicio antes de que el RADIUS conteste a las peticiones. Deben mantener la configuración final del servicio trasla respuesta del RADIUS
Cuando el Switch recibe un ACCEPT: Rolpermit any sin asignación especifica de VLAN. Permite todo el tráfico y deja las VLANesdefinidas en el puerto
Fase 1. Monitorización de la autenticaciónSin afectación del servcioradius-server host 10.150.0.43 key hpnarubaradius-server host 10.150.0.43 dyn-authorizationradius-server host 10.150.0.43 time-window 0
aaa server-group radius "CPPM" host 10.150.0.43
aaa accounting update periodic 10aaa accounting network start-stop radius server-group "CPPM"aaa authentication port-access eap-radius server-group "CPPM"aaa authentication mac-based chap-radius server-group "CPPM"aaa accounting session-id common
aaa authorization user-role name "Rechazado-LocalVLAN"exit
aaa authorization user-role name "Autenticado-LocalVLAN"exit
aaa authorization user-role name "IoT-Open"vlan-id 104exit
aaa authorization user-role name "Puesto-Trabajo-Open"vlan-id 101vlan-id-tagged 103exit
aaa authorization user-role enable
aaa port-access 1-47 initial-role "Rechazado-LocalVLAN"
aaa port-access 1-24 open-auth user-role "Puesto-Trabajo-Open"
aaa port-access 25-47 open-auth user-role "IoT-Open"
aaa port-access authenticator 1-47aaa port-access authenticator 1-47 client-limit 2aaa port-access mac-based 1-47aaa port-access mac-based 1-47 addr-limit 2aaa port-access mac-based 1-47 mac-pinaaa port-access authenticator active
Definición Servidor RADIUS
Definición AAA
Cuando el Switch recibe un REJECT: Rolpermit any sin asignación especifica de VLAN. Permite todo el tráfico y deja las VLANesdefinidas en el puerto
WALKTHROUGHClearPass
32#ArubaAgoraTech19
Fase 2. Análisis de los fallos de autenticación
– Activación agentes 802.1x– Alta de MACs en lista blanca
4/15/19
14
33#ArubaAgoraTech19
Fase 3. Enforcement de Autenticación
no aaa port-access 1-47 initial-role
no aaa port-access 1-47 open-auth user-roleSe elimina la asignación del initial-role. El initial-role por defecto es deny-all. Ya no se da servicio ante un reject
34#ArubaAgoraTech19
Fase 4. Autenticación + Asignación Dinámica de Políticas
–Cambiar políticas en Clearpass
–Reconfigurar Switches: Puertos colorlessvlan 1
untagged 1-47vlan 103
no tagged 1-24exit
radius-server cppm identity "switch_ro" key aruba123
aaa authorization user-role enable download
4/15/19
15
Recommended