4/15/19

1

Como abordar despliegues de NAC cableado con ClearPassvicente.martinez-barres@hpe.com

2#ArubaAgoraTech19

Arquitectura de Red Switches Usuarios y dispositivos

Autenticación Acceso a Red Asignacion dinámica politicas

VLAN ACLs

Componentes Proyecto NAC

4/15/19

2

3#ArubaAgoraTech19

Arquitectura de red

4#ArubaAgoraTech19

Arquitectura de red

– VLANes– Direccionamiento

– Aplicación de políticas de seguridadDHCP Server

4/15/19

3

5#ArubaAgoraTech19

Depliegues típicos de VLANes

Single VLAN • Todos los usuarios/dispositivos en la misma VLAN

VLANes portipo de

dispositivo

• VLAN usuarios• VLAN telefonía• VLAN impresoras• VLAN videovigilancia• …

VLANes portipo de usuario

y de dispositivo

• VLAN usuario it• VLAN usuario corporativo dirección• VLAN usuario corporativo• VLAN telefonía• VLAN impresoras• VLAN videovigilancia• …

• Política sin asignación de VLAN

• Política con asignación de VLAN por tipo de dispositivo

• Política con asignación de VLAN por tipo de dispositivo y tipo de usuario

VLANes poredificio

• Diferentes IDs de VLAN por edificio o bloque de distribución con la mismafuncionalidad

• Sin asignación de VLAN• Asignación de VLAN por

nombre• Asignación de VLAN según

NAD

Profiling

Whitelist

Profiling

WhitelistAD

6#ArubaAgoraTech19

Asignación de Direccionamiento

Dinámico(DHCP)

• Permite profiling de dispositivo por DHCP (y otros métodos)

• Asociación dispositivo con IP en CPPM

• Switch: DHCP Snooping + RADIUS Accounting

• Permite cambiar a un dispositivo de VLAN

• Es posible asignar temporalmente el dispositivo a una VLAN

de profiling

Estático

• Otros métodos de profiling excepto DHCP. Necesaria IP EndPoint.

• Asociación dispositivo con IP en CPPM

• Switch: ip client-tracker + RADIUS Accounting

• Network Scan

• El dispositivo sólo puede funcionar en la VLAN adecuada

• El rol “profiling” se puede componer mediante ACLs

Necesario para ejecutar otros

métodos de

profiling activo

Profiling complicado. Pescadillaque se muerde la cola.

Entornos de Single VLAN

IP

Profiling

VLAN

4/15/19

4

7#ArubaAgoraTech19

Aplicación de políticas de seguridad y QoS

Default Gateway es un

firewall (o Router +

ACLs)

• Filtrar tráfico a destinos dentro de la misma VLAN • Impedir acceso a IPs de la misma VLAN

• Denegar acceso a determinados puertos UDP/TCP

• Rate-limit y remarcado QoS de tráfico• flujos VoIP o video -> identificación por puerto y dir destino

• Otros flujos -> identificación por puerto y dir destino

• Resto del tráfico -> remarcado a clase default

No se hace

• Posibilidad de incluir ACLs por usuario para limitar el acceso a• Internet

• Redes Corporativas

• Redes Campus• También políticas del caso anterior

Útil para dispositivos IoT

Útil para limitar la propagación de amenazas

8#ArubaAgoraTech19

Usuarios y dispositivos

4/15/19

5

9#ArubaAgoraTech19

Usuarios y dispositivos

– 802.1x– MAC

– Web

DHCP Server

10#ArubaAgoraTech19

Endpoints autenticados con credenciales de usuarioAutenticación 802.1x

Autenticación• Integración con repositorio externo de usuarios

(LDAP, AD,..)• Windows: Autenticación de máquina y de usuario

• Política depende del resultado de consulta a fuentesde autorización

4/15/19

6

11#ArubaAgoraTech19

Dispositivos IoTAutenticación MAC

Allow All

Sin listadomanual de

dispositivos

• Existe un acceso por defecto -> p.e: Invitados, VLAN default

Listas Blancas

• Se pueden rechazar dispositivos no autorizados

• Static Host List• Guest• Repositorio externo: AD

• Política depende del resultado del profiling

• Política definidamanualmente por el usario

• Profiling para confirmar asignaciónmanual

12#ArubaAgoraTech19

SwitchesFuncionalidades que van a simplificar y enriquecer el despliege NAC

4/15/19

7

13#ArubaAgoraTech19

Funcionalidades legacy de los switches que dansoporte a NAC

SoporteRADIUS

• Autenticación 802.1x• Autenticación MAC• Autenticación MAC y 802.1x en el

mismo puerto• Múltiples usuarios autenticados por

puerto• Asignación dinámica de VLANes• Varios usuarios autenticados con

diferente VLAN untagged en el mismo Puerto.

• Definición de varios servidoresRADIUS

• Accounting de sesiones• Establecimiento session-timeout

mediante RADIUS

14#ArubaAgoraTech19

Funcionalidades avanzadas

4/15/19

8

15#ArubaAgoraTech19

Soporte Change Of Authority (COA)

User traffic or 802.1x

Auth

Politica

Auth

Politica

User traffic

User traffic

XCOA (D

M or Port Bounce)

Posibilidad de cambiar la politica de un usuarioconectado

– Cambiar de política como resultado de profiling– Portal de invitados– Cambio de política por cambio de las condiciones del dispositivo– Cambio de política por evento externo

16#ArubaAgoraTech19

DHCP & DNS

AuthPolitic

a Captive

portal redirect

http or https

https://captiveportal....

XGeneric traffic

URL de redirecciónFiltro de redirección

Posibilidad de redirigir el HTTP de usuario a un portal externo

– Proporcionar funcionalidad de acceso de invitados– Llevar al usuario a páginas de anuncio cuando se le está bloqueando el tráfico:

– Cuarentena– Profiling

4/15/19

9

17#ArubaAgoraTech19

¿Como trato con la telefonía IP?Multititud de casos con la telefonía IP

– VLAN VOZ y DATOS estáticas en puerto– ALLOW debe permitir

tráfico tagged y untagged*

LLDP-MEDVoice TrafficTagged

VLAN

AuthPolitic

a

– VLAN VOZ estática y DATOS dinámica– ALLOW debe permitir

tráfico tagged y untagged*

– ALLOW + untagged VLAN cambia la VLAN para el usuario

– VLAN VOZ dinámica y DATOS dinámica– ALLOW + tagged VLAN

asigna telefono a tagged VLAN y permite tráficountagged*– LLDP-MED anuncia la

tagged VLAN asignada

– ALLOW + untagged VLAN cambia la VLAN para el usuario

802.1x (opt)Auth

Politica

802.1x (opt)

User traffic

MBV MBV

19#ArubaAgoraTech19

¿Qué pasa si se pierde la conexión con el CPPM?Servicio de Contingencia: Critical VLAN/Rol

– Capaz de asignar VLAN a usuarios y teléfonos

– Tracking de los servidores RADIUS– Radius timeout | Radius retries | Radius dead-time

– Radius Tracking

X

LLDP-MEDVoice TrafficTagged

VLAN

Auth

802.1x (opt)Auth

802.1x (opt)

User traffic

CriticalVLANtagged XCriticalVLAN

untagged

4/15/19

10

20#ArubaAgoraTech19

Quiero empezar con un NAC que no afecte al servicioAcceso a la red inmediato: Open VLAN/Rol

LLDP-MED

Voice TrafficTagged VLAN

Auth

Auth

User traffic

OpenVLAN t

OpenVLAN u

Politica

AssignedVLAN t

Politica

AssignedVLAN u

– Capaz de asignar VLAN OPEN a usuarios y teléfonos– Open VLAN = VLAN definitiva

– No se debería asignar diferentes VLANes dinámicas

21#ArubaAgoraTech19

Quiero empezar con un NAC que no afecte al servicioAcceso a la red aunque CPPM mande REJECT: Initial VLAN/Rol

LLDP-MED

Voice TrafficTagged VLAN

Auth

Auth

User traffic

REJECT

InitialVLAN tagged

– Capaz de asignar VLAN INITIAL a usuarios y teléfonos

REJECT

InitialVLAN

untagged

4/15/19

11

22#ArubaAgoraTech19

802.1x

Auth 802.1x

Politica

MACAuth

Politica

User traffic

User traffic

Autenticacionessimultaneas

Politica802.1x> MAC

802.1x

Auth 802.1x

Politica

MACAuth

Politica

User traffic

User trafficPolitica802.1x> MAC

Puede pasar que la authMAC termine antes y asigne temporalmenteun servicio inadecuado

Posibilidad de seleccionar el orden: (1) 802.1x (2) MAC ó(1) MAC (2) 802.1x

Posibilidad de seleccionarla prioridad: (1) 802.1x (2) MAC ó (1) MAC (2) 802.1x

<16.08

>=16.08

Ajuste del orden y prioridad de Autenticación

28#ArubaAgoraTech19

Ejemplos de despliegue NAC

4/15/19

12

29#ArubaAgoraTech19

Configuración inicial equipos de accesoAsignación estática del servicio sin autenticación

Puertos para puestos de trabajo

PC+ Telefono

Puertos para dispositivos IoT

30#ArubaAgoraTech19

4/15/19

13

31#ArubaAgoraTech19

Asignación Roles Open-Auth. Mantiene la configuración del Puerto.

Activar Auth 802.1x y MAC en todos lospuertos

Roles Open-Auth: dan servicio antes de que el RADIUS conteste a las peticiones. Deben mantener la configuración final del servicio trasla respuesta del RADIUS

Cuando el Switch recibe un ACCEPT: Rolpermit any sin asignación especifica de VLAN. Permite todo el tráfico y deja las VLANesdefinidas en el puerto

Fase 1. Monitorización de la autenticaciónSin afectación del servcioradius-server host 10.150.0.43 key hpnarubaradius-server host 10.150.0.43 dyn-authorizationradius-server host 10.150.0.43 time-window 0

aaa server-group radius "CPPM" host 10.150.0.43

aaa accounting update periodic 10aaa accounting network start-stop radius server-group "CPPM"aaa authentication port-access eap-radius server-group "CPPM"aaa authentication mac-based chap-radius server-group "CPPM"aaa accounting session-id common

aaa authorization user-role name "Rechazado-LocalVLAN"exit

aaa authorization user-role name "Autenticado-LocalVLAN"exit

aaa authorization user-role name "IoT-Open"vlan-id 104exit

aaa authorization user-role name "Puesto-Trabajo-Open"vlan-id 101vlan-id-tagged 103exit

aaa authorization user-role enable

aaa port-access 1-47 initial-role "Rechazado-LocalVLAN"

aaa port-access 1-24 open-auth user-role "Puesto-Trabajo-Open"

aaa port-access 25-47 open-auth user-role "IoT-Open"

aaa port-access authenticator 1-47aaa port-access authenticator 1-47 client-limit 2aaa port-access mac-based 1-47aaa port-access mac-based 1-47 addr-limit 2aaa port-access mac-based 1-47 mac-pinaaa port-access authenticator active

Definición Servidor RADIUS

Definición AAA

Cuando el Switch recibe un REJECT: Rolpermit any sin asignación especifica de VLAN. Permite todo el tráfico y deja las VLANesdefinidas en el puerto

WALKTHROUGHClearPass

32#ArubaAgoraTech19

Fase 2. Análisis de los fallos de autenticación

– Activación agentes 802.1x– Alta de MACs en lista blanca

4/15/19

14

33#ArubaAgoraTech19

Fase 3. Enforcement de Autenticación

no aaa port-access 1-47 initial-role

no aaa port-access 1-47 open-auth user-roleSe elimina la asignación del initial-role. El initial-role por defecto es deny-all. Ya no se da servicio ante un reject

34#ArubaAgoraTech19

Fase 4. Autenticación + Asignación Dinámica de Políticas

–Cambiar políticas en Clearpass

–Reconfigurar Switches: Puertos colorlessvlan 1

untagged 1-47vlan 103

no tagged 1-24exit

radius-server cppm identity "switch_ro" key aruba123

aaa authorization user-role enable download

4/15/19

15