Download - Homologação Cisco ACS.pdf

1

Homologação de Cisco ACS

2

Por que AAA?

3

Expansão do Conceito de Acesso à Rede

4

O que é AAA?

5

Desafios do AAA

Como posso facilmente controlar a autenticação de usuários e o acesso para a rede?

Como eu posso rastrear e reportar o comportamento do usuário na rede, e manter um registro sobre cada acesso?

Como eu posso reduzir os esforços sobre o gerenciamento do acesso à rede?

6

O Jeito Difícil de Gerenciar os Acessos

Configurações Individuais Requeridas:

Não é escalável

Consome tempo

Dificulta a logística

Administração de Dispositivo

Opções de acessos e privilégios limitadas

Não é escalável

7

A Melhor Forma

AAA Client/Server

AAA Client defere autorização para servidor AAA centralizado

Altamente escalável

Utiliza protocolos baseados em padrões para serviços AAA

8

Protocolos AAA

9

Controle AAA Centralizado

10

Recursos de Autenticação do Cisco ACS

Variedade de métodos de Autenticação:

ASCII, PAP, CHAP, MS-CHAP, LEAP, EAP-CHAP, EAP-TLS

Opções de senhas

Senhas simples e separadas

Inbound / outbound

Password aging

Variedade de bases de usuários internas e externas

11

Recursos de Authorization do Cisco ACS

Diferentes níveis de serviço por usuário ou grupo

Permite ou rejeita logins baseados em dia/hora

Desabilita a conta baseada em tentativas de login ou data específica

Sessões máximas por usuário ou grupo

Quotas de uso dinâmicas

12

Recursos de Accounting do Cisco ACS

Registros de Accounting CSV ou ODBC

Duração start/stop de registros de sessão

Mensagens de cliente AAA com o username

Identificação de Caller-line

13

Recursos para Gerenciamento de Dispositivos do Cisco ACS

Authentication – Acesso por usuário, grupo, ou grupo de dispositivos de rede

Authorization – Comandos do Cisco IOS por usuário, grupo, ou network device group

Accontung – Lista de comandos executados pelo usuário durante a sessão

14

Componentes da Arquitetura AAA

15

Componentes do Cisco ACS

16

Como o ACS Funciona? Conceitos de Authentication & Authorization

Groups contém políticas de autorização para grupos de usuários

Até 500 grupos distintos

Políticas de acesso de usuários sobrepõem as políticas de groups

17


18


19


20

Roadmap de Implantação do Cisco ACS

21

Roadmap: Planejamento

22

802.1X

Introdução e Conceitos Avançados

23

Modelo de Controle de Acesso Baseado em Porta (802.1X)

24

Protocolos EAP e RADIUS

25

Em Linhas Gerais, Como Funciona?

26

O que é Authentication?

Authentication é o processo de estabelecimento e confirmação da identidade de um cliente requisitante de serviços.

Eu gostaria de sacar R$ 1000,00. Por favor

Você possui alguma identificação?

Sim, possuo. Aqui está.

Um Sistema de Autenticação Somente é Tão Forte Quanto o Seu Método de Verificação Empregado

Em redes, o método mais forte de autenticação é o 802.1X.

27

Principais Componentes

802.1X Client Cisco SSC

Authenticator Cisco Catalyst Switches & WLAN

Authentication Server Cisco ACS

IEEE 802.1X Provê Port-Based Access Control Usando Authentication

EAP over LAN (EAPoL)

RADIUS

Port-Based

Utilizando encapsulamento via Extensible Authentication

Protocol (EAP) over IEEE 802 media— ―EAPoL‖

Enforcement via MAC-based filtering e port-state

monitoring

Supplicant Authenticator AAA Server

Authentication

28

Autenticação Básica 802.1X

Layer 2 Point-to-Point Layer 3 Link

EAPoL Start

Authenticator AAA Server Supplicant

EAPoL Response Identity

EAPoL Request Identity

RADIUS Access Request

[AVP: EAP-Response: Alice]

EAP-Request: PEAP

EAP-Response: PEAP

EAP Success RADIUS Access-Accept

[AVP: EAP Success] [AVP: VLAN 10, dACL-n]

RADIUS Access-Challenge

[AVP: EAP-Request PEAP]

RADIUS Access Request

[AVP: EAP-Response: PEAP]

Múltiplos Challenge-Request

Exchanges Possíveis

29

Credentials para a Autenticação 802.1X

Username/Pwd Directory

Certificate Authority

fulana c1sC0L1v

Tipos Comuns

Passwords

Certificates

Tokens

Fatores Decisivos

Política de Segurança

Validação

Distribuição & Manutenção

Token Server

Melhores Práticas para Implantação

Aproveitar as Credenciais Existentes, Se Possível

30

802.1X Authentication Credentials

Tipo de

Credencial

Por que Você Deverá

Usá-lo

Por que Você Não

Deverá Usá-lo

Exemplo de

EAP-Type

Username

Password

• Conceito familiar

• Todo mundo já possui um

(ex: AD)

• Poderá reutilizar pwds

existentes, e técnicas de

gerenciamento de

senhas

• Passwords podem ser

roubadas

• Single factor

authentication

• Precisa ser enviado

através de um túnel

criptografado

• PEAP-

MSCHAPv2

Soft certificates

(armazenados no

disco rígido)

• Two-factor auth

• Auto-enrollment simplifica

o PKI

• Extensive PKI (server

certs, user certs,

machine certs) requer

IT/admin dedicados

• EAP-TLS

Hard certificates

(USB, TPM)

• Até three-factor auth

• Overhead significativo • EAP-TLS

PAC (Protected

Access

Credential)

• Processamento mais

rápido

• Assim mesmo precisará

de password ou cert

para provisionamento

inicial

• EAP-FAST

31

Mutual Authentication

• Server deverá validar a identidade do cliente e vice versa

Segurança

• Credenciais de clientes não poderão ser capturadas ou quebradas.

802.1X Authentication Recomendações para Emissão de Credenciais

host/alice-xp.mycorp.com MachinePwd

server CA

Server Cert Authentication: Signed by trusted CA

Pertence ao allowed server

Encrypted Tunnel

Client Authentication: Username Conhecido

Senha Válida

server CA

Server Cert Authentication: Signed by trusted CA

Pertence ao allowed server

client CA

Client Cert Authentication: Signed by trusted CA Verificações adicionais

PEAP-MSCHAPv2 EAP-TLS

32

Quem (ou o Que) Pode ser Autenticado?

alice

User Authentication Device Authentication

host\XP2 host\XP2

• Permite Dispositivos a Acessar a Rede Antes (ou na ausência de) User Login

• Permite Tráfego Crítico do Disp. (DHCP, NFS, Machine GPO)

• É Requirido Em Ambientes Cabeados Gerenciados

• Permite User-Based Access Control e Visibilidade

• Se Habilitado, Deverá Ser Em Adição ao Device Authentication

33

Case 2: Call Center

Objetivo: Acesso Diferenciado para Agentes Distintos

Condições: Uso Compartilhado de PC’s

Caso1: Rede Corporativa

Objetivo: Acesso aos Recursos Corporativos

Condições: Um Laptop = Um Usuário

O Caso de Negócios & Política de Segurança Responderão

Quem (ou o Que) Deverá Ser Autenticado?

Device Authentication

Apenas

Device + User Authentication

34

Exemplos de Configuração Autenticação de Machine e User

AuthMode=0: User Auth se o Machine Auth Falhar

AuthMode=1: User Auth Enabled AuthMode=2: User Auth Disabled

Authenticate as computer when computer information is available

Start -> Run -> Regedit Control Panel -> Network

MS

XP

SP

2

MS

XP

SP

2

Edite o Network Profile XML: <authMode>machineOrUser</authMode> Adicione o network profile:

1) C:\> netsh lan add profile filename=PathofXMLFile 2) Crie o startup script que lança o arquivo XML para os hosts

OBS: SP3 & Vista possuem dois serviços: um para wired, e outro para wireless

OBS 2: O serviço WiredAutoConfig não é habilitado por default no XP SP3 ou Vista

KB 929847

XP

SP

3,V

ista

, 7

OBS: XP SP2 possui um serviço para ambos wired e wireless

35

SS

C

OS

X

Win

dow

s 7

Exemplos de Configuração Autenticação de Machine e User

36

Exemplo de Credencial de Cliente Client certs para machine & user auth EAP-TLS Requerido

No CLIENTE: Start -> Run -> MMC -> File -> Add/Remove Snap-in -> Add -> Certificates

Machine Client Certificate

Trusted CA Certificate

User Client Certificate

DICA: Utilize auto-enrollment sempre

que possível

37

Authentication Para Dispositivos Clientless MAC Authentication Bypass (MAB)

Endpoint Host Dot1x/MAB

00.0a.95.7f.de.06

EAP-Identity-Request

Fallback to MAB

Learn MAC

RADIUS

RADIUS-Access Request: 00.0a.95.7f.de.06

RADIUS-Access Accept Port Enabled

√

Link up 1

4

EAP-Identity-Request 2

EAP-Identity-Request 3

5

6

7 8

0:00 0:10 0:20 0:30

0:00 0:10 0:20 0:30

0:00 0:10 0:20 0:30

Timeout

Timeout

Timeout

No Response

No Response

No Response

38

802.1X com MAB Considerações de Implantação

MAB habilita controle de acesso diferenciado

MAB aproveita as policies centralizadas no servidor AAA

• Timeout default é de 30 segundos com três tentativas (90 segundos total)

• 90 segundos > DHCP timeout.

Dependência do timeout do 802.1X -> retardo no acesso a rede

MAB requer um database de endereços MAC conhecidos

Guest VLAN

Printer VLAN

MAC Database

RADIUS LDAP ACS

39

Falhar ou Não Falhar o MAB? Duas opções para endereços MAC desconhecidos

1) Sem Acesso

2) Switch-based Web-Auth

3) Guest VLAN

RADIUS-Access Request (MAB)

RADIUS-Access Reject

RADIUS-Access Request (MAB)

RADIUS-Access Accept Guest Policy

Unknown MAC. Apply Guest Policy

1) MAB Falha – controle da sessão passa para o switch

2) MAC é Desconhecido mas MAB ―Passa‖

• Servidor AAA determina a policy para unknown endpoints (ex: níveis de acesso a rede, re-authentication policy)

• Bom para controle & visibilidade centralizada de guest policy (VLAN, ACL)

40

Switch

DHCP/DNS AAA Server

802.1X com Web Authentication Básico

•Múltiplos Triggers •Port Config Única •Auth mais flexível

•802.1X Timeout •802.1X Failure •MAB Failure

1

Port Enabled, Pre-Auth ACL Aplicado

2

Host Obtém End. IP, Aciona o Session State 3

Host Abre o Browser

Login Page

Host Envia a Password

4

Switch Consulta o AAA Server

AAA Server Retorna a Policy

Server Autoriza o

User 5

Switch Aplica a Nova ACL Policy 6

•Acesso VLAN somente •Pre-Auth ACL deverá permitir DHCP, DNS

•ACL aplicada a porta -> phones devem usar MDA

DHCP, ARP trigger State

Use Web Auth AAA Fail Policy para Falhas do

Serviço AAA

VLAN assignment não suportado

•IP HTTP (Secure-)Server Habilitado •User Poderá ser Questionado por um

Cert Trust

41

Enhanced Web Auth Páginas Centralizadas para Login

1) Administrador Cria um Wired Login Page no NGS

2) Wired guest abre o Web browser

3) O Tráfego Web é interceptado pelo switch e redirecionado para o

Guest Server.

4) O Guest Server retorna a página de login

(1) (2)

(4) Switch

(3)

Redirect

42

802.1X com Web-Auth Considerações de Implantação

Web-Auth somente para usuários

• browser é requerido

• Entrada manual de username/passw

Web-Auth poderá ser fallback do 802.1X ou MAB.

Web-Auth e Guest VLAN são mutuamente exclusivos

Web-Auth suporta ACL authorization somente

Web-Auth atrás de um IP Phone requer Multi-Domain

Authentication (MDA)

43

Múltiplos Métodos

Ordem e prioridade de métodos configuráveis

Comportamento configurável após a falha ou timeout do 802.1X

Comportamento configurável quando o servidor AAA ―morre‖ / ―ressucita‖

Flex-Auth permite maior uso de casos

com uma única configuração

Consolidando os Métodos: “Flex-Auth” Uma Configuração Atende a Maioria dos Casos

• 802.1X: devices/users gerenciados

• MAB: non-802.1X devices

• WebAuth: non-802.1X users

Unknown MAC

EAP 1X

MAB MAB

URL

802.1x times out or fails

WEB

802.1X Client

Valid Host Asset

Guest User

Employee Partner

Faculty

Sub Contractor

Valid MAC Address

Guest User

802.1X Client

Valid MAC Addr

Known MAC - Access Accept

Port Authorized

Alteração do Host

EAP Credentials Sent & Validated

Port Authorized

44

Sequência do Flex-Auth

Por default, o switch tenta o método mais

seguro primeiro.

802.1X Timeout

802.1X

MAB

MAB fails

Guest VLAN

Timeout poderá significar muito

delay até ocorrer o MAB.

MAB fails

MAB

802.1X

802.1X Timeout

Guest VLAN

Ordem alternativa

tenta o MAB no primeiro pacote do dispositivo

Ordem Default: 802.1X Primeiro Flex-Auth Order: MAB Primeiro

LWA ou LWA ou

45

Flex-Auth Order com Flex-Auth Priority

Default Priority: 802.1X ignorado após um MAB sucedido

MAB fails

MAB

802.1X

EAPoL-Start Received M

AB

p

asses Port

Authorized pelo MAB

Flex-Auth Priority: 802.1X inicia mesmo com MAB sucedido

Priority determina qual método poderá sobrepor outros métodos.

Por default, a sequência de métodos determina a prioridade (primeiro método possui a prioridade mais alta).

Se MAB possui priority, EAPoL-Starts serão ignorados se o MAB passar.

802.1X

46

O que é Authorization?

Authorization é o processo de conceder um nível de acesso à rede

Gostaria de sacar R$ 1.000,00. Por favor

Você possui identificação?

Sim, possuo. Aqui está.

Obrigado. Aqui estão os mil Reais.

Cinco estágios de authorization:

Pre-Authentication

Passed Authentication

Failed Authentication

No Authentication (no client)

No Authentication (AAA server dead)

Três tipos de MAC Filtering:

Single MAC per port

Single MAC per domain per port

Multiple MACs per port

47

Default: Closed

Authorization: Opções de Pre-Authentication

?

Open

Selectively Open

switch(config-if)#authentication open switch(config-if)#ip access-group PRE-AUTH in

switch(config-if)#authentication open

48

Authorization: Passed Authentication

Default: Open

Dynamic ACL

Dynamic VLAN

Alice

49

Default: Closed

Authorization: Failed 802.1X Authentication

?

Auth-Fail VLAN

Next-method*

switch(config-if)#authentication event fail action authorize vlan 50

switch(config-if)#authentication event fail action next-method

*Autorização Final é determinada pelos resultados do próximo método

Methods Priority, Order

Timeout, Failed

AAA Down

Flex-Auth

50

Default: Closed

Authorization: No 802.1X Authentication (no client)

?

Guest VLAN

Next-method*

switch(config-if)#authentication event no-response action authorize vlan 51

switch(config-if)#mab


Timeout, Failed

AAA Down

Flex-Auth

*Autorização Final é determinada pelos resultados do próximo método

51

Default: Closed

Authorization: No 802.1X Authentication (AAA server dead)

?

Critical VLAN

switch(config-if)#authentication event server dead action authorize vlan 52


Timeout, Failed

AAA Down

Flex-Auth

52

Múltplos MACs não permitidos para garantir a validade da sessão de autenticada

Hubs, VMWare, Phones, Grat Arp…

Aplicável aos Modos Open e Closed

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto

VM

Default: Single Host Mode

Authorization: Single MAC Filtering

53

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-domain

Multi-Domain Authentication (MDA) Host Mode

Single device por porta Single device per domain por porta

IEEE 802.1X MDA

MDA substitui o CDP Bypass Suporta Cisco & 3rd Party Phones Phones e PCs usam 802.1X ou MAB

Data Domain

Voice Domain

Modificando o Requerimento de Single-MAC IP Phones

54

MAC –based enforcement para cada dispositivo

802.1X e/ou MAB

Sem dynamic VLAN

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-auth

VM

Multi-Authentication Host Mode

Modificando o Requerimento de Single-MAC Endpoints Virtualizados

55

Resumo do Authorization

Authentication

Status

Pre-802.1X

Successful 802.1X

Failed 802.1X

No 802.1X

(no client)

Successful MAB

Failed MAB

No 802.1X, MAB

(server down)

Sin

gle

-host

Multi-A

uth

M

ulti-D

om

ain

-Auth

?

Default

Authorization

Closed

Open

Idem ao Pre-Auth

Idem ao Pre-Auth

Open

Idem ao Pre-Auth

Idem ao Pre-Auth

Alternativa 1

Open

Dynamic VLAN

Auth-Fail VLAN

Guest VLAN

Dynamic VLAN

Guest VLAN

Critical VLAN

Alternativa 2

Selectively Open

Dynamic ACL

Next-Method

Next-Method

Dynamic ACL

Next-Method

56

Qual é o Cenário de Implantação mais Indicado?

Um conjunto de guias de configuração projetadas para atender a um objetivo específico

Simplificar a implantação com um blueprint validado

Aumentar a eficiência através da combinação de fatores que interagem mais eficientemente

Implantações por fases para o mínimo de impacto no usuário final

Customizar o blueprint básico conforme exigido

Princípios Básicos:

Começe simples

Inicie com restrições mínimas

Evolua conforme necessário

57

Monitor Mode: Como Fazer

Habilitar o 802.1X & MAB

Habilitar o Open Access

Todo o tráfego em adição ao EAP é permitido

É como se não tivesse 802.1X habilitado, exceto que as autenticações ainda ocorrerão

Habilitar Multi-Auth Host-Mode

Desabilitar o Authorization

Objetivos do Monitor Mode

Sem impacto no acesso existente a rede

Observe… …o que está na rede …quem tem um supplicant …quem tem boas credentials …quem tem bad credentials

Critério e detecção

Cenário1: Visão do Monitor Mode

SSC

58

Monitor Mode: Tabela de Acesso a Rede Authentication Status

Pre-802.1X

Successful 802.1X

Failed 802.1X

No 802.1X

(no client)

Successful MAB

Successful 802.1X

Successful MAB

Failed MAB

No 802.1X, MAB (server down)

Multi-A

uth

Endpoints

Todos

Funcionários

Funcionários Failed

Terceirizados/Guest

Recurso Corporativo

Terceirizado/Guest

Recurso Corporativo

Phones

Phones

Terceirizado/Guest

Todos

Authorization

(Network Access)

Open

Open

Open

Next-Method (MAB)

Open

Open

Open

Open

Open

59

Monitor Mode: Switch

interface GigabitEthernet1/4

switchport access vlan 60

switchport mode access

switchport voice vlan 61

authentication host-mode multi-auth

authentication open

authentication port-control auto

mab

dot1x pae authenticator

aaa new-model

aaa authentication dot1x default group radius

dot1x system-auth-control

radius-server host 10.100.10.150 auth-port 1645 acct-port 1646 key cisco

radius-server vsa send authentication

Note que o ―aaa network authorization‖ não é configurado, portanto mesmo que o servidor AAA envie dynamic VLAN/ACL authorization, o switch ignorará estas mensagens

Basic 802.1X/MAB

Monitor Mode

Global Config do Switch

Interface Config do Switch

60

Monitor Mode: AAA Server e Endpoints

Deverá ser completamente configurado, exceto para a authorization policy:

Comunicação com os clientes AAA (ex: switches)

Comunicação com um repositório de credenciais (ex: AD, MAC Database)

PKI (CA certs, server cert)

Configuração EAP

Configuração MAB

Deverá ser completamente configurado:

PKI (CA certs, client cert) ou outras credenciais

Supplicants configurados & instalados onde for suportado

Habilitar machine auth

Habilitar user auth se necessário

AAA Server Endpoints

61

RADIUS Authentication & Accounting Logs Passed/failed 802.1x/eap attempts

Lista de endpoints 802.1X-capable válidos Lista de endpoints 802.1X-capable inválidos

Passed/Failed MAB attempts Lista de endereços MACs válidos Lista de endereços MAC inválidos ou desconhecidos

Monitor Mode: Próximos Passos

SSC

Monitor Mode

Analisar o Risco Remanescente

Preparar a Rede para Access Control nas Fases Seguintes

62

Low Impact Mode: How To Objetivos do Low Impact Mode

Cenário 2: Modo de Baixo Impacto

Iniciar o Controle Diferenciado do Acesso a Rede

Minimizar Impacto para o Acesso Existente a Rede

Reter Visibilidade do Monitor Mode

―Low Impact‖ == sem necessidade de reprojetar a sua rede

Manter o projeto de VLAN existente

Minimizar mudanças na LAN

Inicie do Monitor Mode

Adicione novos recursos para access-control

downloadable ACLs

Negociação flexível do auth fail

Limite o número de dispositivos conectando para a porta

Adicione novos recursos para suportar IP Phones

63

Baixo Impacto: Tabela de Acesso a Rede Endpoints Authentication Status

Todos Pre-802.1X

Funcionários Successful 802.1X

Funcionários Failed

Terceirizados/Guest

Failed 802.1X

Recurso Corporativo

Terceirizado/Guest

No 802.1X

(no client)

Recurso Corporativo

Successful MAB

Phones Successful 802.1X

Phones Successful MAB

Terceirizado/Guest

Failed MAB

Todos

No 802.1X, MAB (server

down)

Sin

gle

-host

Multi-D

om

ain

-Auth

(w

ith

lin

k-s

tate

so

lutio

n)

Authorization

Selectively Open

Dynamic ACL

Next-Method (MAB)

Next-Method (MAB)

Dynamic ACL

Dynamic ACL + Voice VSA

Dynamic ACL + Voice VSA

Idem ao Pre-Auth

Idem ao Pre-Auth

64

Baixo Impacto: Switch

Bloqueia o Acesso Geral Até o 802.1X, MAB ou WebAuth Bem

Sucedido

Pinhole de portas tcp/udp explícitas para permitir o

acesso desejado





ip access-group PRE-AUTH in

authentication open


mab


aaa authorization network default group radius

ip device-tracking

Switch Interface Config

Pre-Authentication Port Authorization State

Do Monitor Mode

Para Low Impact

Switch Global Config (adicione para o Monitor Mode)

65

Considerações sobre o Pre-Auth ACL

Pre-auth port ACL é arbitrário é poderá progredir conforme você possuir melhor conhecimento sobre o tráfego em sua rede

Lembre-se: Esta ACL estará em ação antes da autenticação e após as autenticações que falharam.

Abordagem1: Bloqueio Seletivo de Tráfego

Proteger seletivamente certos recursos/subredes

Baixo risco acidental de bloquear tráfego desejado

Exemplo: Bloquear usuários não autenticados ao Servidor de Finanças

X

X

X

X

Abordagem 2: Seletivamente Permitir Tráfego

Mais seguro, melhor controle

Poderá bloquear tráfego legítimo

Exemplo: Somente permitir acesso pre-auth para PXE devices bootarem

Progressão ACL

ACL

ACL

66

Modo Baixo Impacto: Servidor AAA

Configure downloadable ACLs para os usuários autenticados

permit ip host 10.100.20.200 any permit tcp any any established permit udp any any eq bootps permit udp any host 10.100.10.116 eq domain permit udp any host 10.100.10.117 eq tftp

SSC

Pre-Auth ACL

Switch dinamicamente substitui os endereços dos endpoints

• Conteúdos da dACL são arbitrários. • Poderá haver tantas dACLs únicas quanto

grupos para permissão de usuários • Mesmos princípios que o pre-auth port ACL

67

Baixo Impacto: Failed Authentication

Dispositivos que falham no 802.1X terão acesso restrito (Pre-Auth ACL)

Pergunta de Política: Isto representa acesso suficiente?

Alternativa: configurar um mecanismo de autenticação para failback authentication (ex: MAB) com policy de autorização apropriada






authentication event fail action next-method

authentication open


mab



SSC

Cert expired

Não consigo acssar o

website de TI!

SSC

MAB passed

HTTP agora é

permitido

Cert expired

68

Baixo Impacto: Host Mode

Com Multi-Auth, port piggybacking não pode ser mitigado tão eficazmente.

No modo ―Low Impact‖, transição para Multi-domain (para IP Telephony) ou Single-host (non-IPT).






authentication host-mode multi-domain

authentication open

authentication event fail action next


mab



69

EAP-FAST

with TLS

MIC ou LSC • Não suportado no ACS 5.0 ou 5.1

• Suportado no ACS 4.2 com PAC-Free

+ recurso PKI Authz Bypass no NAP

802.1X EAP Methods em Phones

Method Phone Credential Considerações de Implantação

EAP-MD5 Username / password • Password manualmente configurada

no telefone

• Phone name / password deverão

estar no AAA database

EAP-TLS MIC ou LSC • Nunca precisará mexer no phone:

Toda a config é feita no CUCM GUI

(7.1.2)

• ACS 5 não requer username lookup

após a validação do TLS cert -> Não

é necessário inserir os nomes dos

phones em qualquer database

70

Cert-based 802.1X É Tranquilo com Cisco IP Phones e ACS 5!

• Pre-installed em cada phone que suporta EAP-TLS & EAP-FAST

• Automaticamente usado se o 802.1X estiver habilitado

• Exporta Cisco Man Root Sub CA e Cisco Root CA do CUCM para o ACS

• Fácil de combinar com ACS 5 Authz rule

Certificates Pré-Instalados

Certificates de Significância Local

CAPF

• LSCs são controlados pelo cliente • CUCM emite LSCs para os phones • CAPF pode ser self- ou CA-signed • Exporta CAPF e CA root certs do

CUCM para ACS • Coincide com o ACS 5 Authz rule

71

Habilitando 802.1X nos phones

Método Antigo Novo Método (CUCM 7.1.2)

• No Phone Config ou BAT Template • Selecione ―Enabled‖ • Não é necessário ―tocar‖ no

telefone • Phone deverá estar na rede

quando isto for feito.

72

2. Faça como o “Old Way” Funciona bem, mas não em massa

4. Low Impact Mode

3. MAB -> 802.1X Use o MAB para o dispositivo acessar a rede Conceda acesso suficiente para baixar a config O phone reinicia com o 802.1X habilitado

1. Staging Area sem 802.1X Boot inicial do phone em uma rede sem 802.1X

Habilitando Post-Deployment de 802.1X

Como você habilita o 802.1X em um phone via a rede se o phone precisa do 802.1X para acessar a rede?

73

Exemplo: Usando o Low Impact Mode para bootstrap de um Novo Phone

permit ip host 10.100.20.200 any permit udp any any eq bootps permit udp any host 10.100.10.238 eq tftp permit udp any host 10.100.10.238 range 32768 61000

Pre-Auth ACL

Pre-auth ACL permite acesso suficiente para config, CTL

Nova config habilita o 802.1X no phone

Após o 802.1X, o phone terá acesso completo

Mesmo conceito poderá ter o MAB para permitir o acesso dos

phones antes do timeout do 802.1X

10.100.10.238

74

MODE

STACKSPEEDDUPLXSTATMASTRRPSSYST

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10

1X

2X

15X

16X

11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

17X

18X

31X

32X

27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

33X

34X

47X

48X

43 44 45 46 47 48

2 4

1 3A

B

Porta autorizada para 0011.2233.4455 apenas

Violação de segurança S:0011.2233.4455

S:6677.8899.AABB

1) Usuários legítimos podem causar violações de segurança

MODE



1 2 3 4 5 6 7 8 9 10

1X

2X

15X

16X

11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

17X

18X

31X

32X

27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

33X

34X

47X

48X

43 44 45 46 47 48

2 4

1 3A Brecha na segurança

S:0011.2233.4455

S:0011.2233.4455

2) Hackers poderão spoofar o MAC para acessar a rede sem autenticação

O Incidente do Link State do IP Phone

75

Link State: Três Soluções

75

CDP Link Down

MODE



1 2 3 4 5 6 7 8 9 10

1X

2X

15X

16X

11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

17X

18X

31X

32X

27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

33X

34X

47X

48X

43 44 45 46 47 48

2 4

1 3

MODE



1 2 3 4 5 6 7 8 9 10

1X

2X

15X

16X

11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

17X

18X

31X

32X

27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

33X

34X

47X

48X

43 44 45 46 47 48

2 4

1 3

MODE



1 2 3 4 5 6 7 8 9 10

1X

2X

15X

16X

11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

17X

18X

31X

32X

27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

33X

34X

47X

48X

43 44 45 46 47 48

2 4

1 3

Proxy EAPoL-Logoff SSC

Inactivity Timer

Session Cleared

Session Cleared

Session Cleared

Proxy EAPoL-Logoff Somente funciona para endpoints

802.1X Requer phone com recurso

Logoff

Inactivity Timer Funciona para endpoints MAB Porta vulnerável durante o

timeout Dispositivos ociosos são

desconectados

CDP 2nd Port Status MAB & 802.1X Endpoints IP Phone: 8.4(1) 3K: 12.2(50)SE 4K: 12.2(50)SG 6K: 12.2(33)SXI

76

Wiring Closet

MAC Addr Switchport

CAM TABLE Escritório

Sala de Reuniões

ACS - AAA RADIUS

1 PC connects (assume 802.1X/MAB process occurs)

2 Authentication Succeeds

3 CAM Table updated (MAC/Port)

PC MAC: 00-1C-25-BA-6D-3B

Gigabit Ethernet 1/0/1 00-1C-25-BA-6D-3B 4 PC Moved to new location

Gigabit Ethernet 1/0/14 5 PC Authenticates (802.1X/MAB)

6 CAM Table updated with new entry

Intermediary Device

00-1C-25-BA-6D-3B

MAC Move

authentication mac-move permit

77

Low Impact “In a Nutshell”

• Dynamic ACL-based Access Control

• Impacto Mínimo para os Endpoints

• Suporta Cenários Bootstrap

• Impacto Mínimo na Rede

• Sem mudanças nas VLANs

Resumo

• Monitorar a Rede

• Ajustar as ACLs conforme necessário

• Avaliar os Riscos Restantes

Próximos Passos

78

High Security: How To

Retorne para o acesso default ―closed‖

Alterar os Timers Authentication Order

Implementar atribuição de VLANs ―identity-based‖

High Security Mode

Sem acesso antes da autenticação

Rápido acesso para dispositivos corporativos sem suporte ao 802.1X

Isolamento lógico do tráfego na borda

Solução de Virtualização de Rede

Cenário 3: High Security Mode

79

High Security Mode: Tabela de Acesso a Rede

Endpoint Authentication Status

Todos Pre-802.1X

Funcionários Successful 802.1X

Funcionários Failed,

Terceirizados, Guest

Failed 802.1X

Recursos Corporativos,

Terceirizado,Guest

No 802.1X

(no client)

Recursos Corporativos Successful MAB

Phones Successful 802.1X

Phones Successful MAB

Terceirizado/Guest Failed MAB

Todos No 802.1X, MAB (server

down)

Sin

gle

-host

Multi-D

om

ain

-Auth

(c

om

so

luçã

o lin

k-s

tate

Authorization

Closed

Dynamic VLAN

Guest-Fail-Critical VLAN

Next-Method (ativado por

default se MAB = ligado)

Dynamic VLAN

Voice VSA

Voice VSA



80

802.1X e Dynamic VLANs Considerações de Implantação

VLAN 10: DATA

VLAN 20: VOICE

VLAN 30: MACHINE

VLAN 40: ENG

VLAN 50: UNAUTH

10.10.10.x/24

10.10.20.x/24

10.10.30.x/24

10.10.40.x/24

10.10.50.x/24

Network Interface

10.10.10.x/24 G0/1

10.10.20.x/24 G0/2

10.10.30.x/24 G0/3

10.10.40.x/24 G0/4

10.10.50.x/24 G0/5

Cada VLAN Atribuída Deverá ser Definida em Todos os Switches de Acesso Mais VLANs para Trunking (Multi-Layer Deployments) Mais Subredes para Routing (mitigado pelo VSS)

Melhor Prática: Usar o Menor Número Possível de VLANs

81

Non-802.1X Endpoints

• Sem conhecimento de mudanças de VLAN, sem mecanismos para alterar o endereço IP

• Melhor Prática: Dynamic VLAN em High Security Mode apenas

802.1X Endpoints Antigos (ex: Windows XP)

• Supplicants podem renovar o endereço IP em mudança de VLAN mas o OS poderá não lidar corretamente (sem impacto) com a mudança do endereço IP

• Melhor Prática: Use a mesma VLAN para o User e Machine Auth

Novos 802.1X Endpoints (ex: Windows Vista, 7)

• Supplicant e OS podem lidar bem com mudanças de VLAN/IP

• Melhor Prática: Usar a VLAN policy que melhor atender a sua necessidade de segurança.

802.1X e Dynamic VLANs Considerações de Implantação

82

High Security Mode: Switch





no authentication open

authentication event fail authorize vlan 63

authentication event no-response authorize vlan 63

authentication event server dead action authorize vlan 63


mab


aaa authorization network default group radius

vlan 60

name data

vlan 61

name voice

vlan 62

name video

vlan 63

name fail-guest-critical

Auth-Fail VLAN

Guest VLAN*

Critical VLAN

*Não é necessário se o servidor AAA possuir uma Unknown MAC policy

Switch Global Config (Adiciona para o Monitor Mode)


83

High Security Mode: Servidor AAA

Se nenhuma VLAN for enviada, o switch utilizará a VLAN estática definida no switchport

Configura dynamic VLANs para qualquer usuário que deverá estar em uma VLAN diferente

84

Exemplo de Cenário de 802.1X com Catalyst 6500 (IOS) e Cisco ACS

Topologia empregada neste exemplo

85

Exemplo de Configuração no Catalyst 6500

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname Cat6K

!−−− Configura o hostname para o switch.

Cat6K(config)#vlan 2

Cat6K(config−vlan)#name VLAN2

Cat6K(config−vlan)#vlan 3

Cat6K(config−vlan)#name VLAN3

!−−− VLAN deverá existir no switch para uma autenticação bem sucedida.

Cat6K(config−vlan)#vlan 10

Cat6K(config−vlan)#name RADIUS_SERVER

!−−− Esta é uma VLAN dedicada para o servidor RADIUS.

Cat6K(config−vlan)#exit

Cat6K(config−if)#interface fastEthernet3/1

86

Cat6K(config−if)#switchport

Cat6K(config−if)#switchport mode access

Cat6K(config−if)#switchport access vlan 10

Cat6K(config−if)#no shut

!−−− Atribui a porta conectada ao servidor RADIUS para a VLAN 10.

!−−− OBS:− Todas as portas ativas de acesso estão na VLAN 1 por default.

Cat6K(config−if)#exit

Cat6K(config)#dot1x system−auth−control

!−−− Habilita globalmente o 802.1x.

Cat6K(config)#interface range fastEthernet3/2−48

Cat6K(config−if−range)#switchport

Cat6K(config−if−range)#switchport mode access

Cat6K(config−if−range)#dot1x port−control auto

Cat6K(config−if−range)#no shut

!−−− Habilita o 802.1x em todas as interfaces FastEthernet.

Cat6K(config−if−range)#exit

Exemplo de Configuração no Catalyst 6500 (cont)

87


Cat6K(config)#aaa new−model

!−−− Habilita o AAA.

Cat6K(config)#aaa authentication dot1x default group radius

!−−− Method list deverá ser default. Do contrário dot1x não funcionará.

Cat6K(config)#aaa authorization network default group radius

!−−− Você precisa de authorization para atribuição dinâmica de VLANs para trabalhar com o RADIUS.

Cat6K(config)#radius−server host 172.16.1.1

!−−− Configura o endereço IP do servidor RADIUS.

Cat6K(config)#radius−server key cisco

!−−− Esta key deverá coincidir com a key usada no servidor RADIUS.

88


Cat6K(config)#interface vlan 10

Cat6K(config−if)#ip address 172.16.1.2 255.255.255.0


!−−− Este é usado como endereço de gateway no servidor RADIUS

!−−− e também como identificador de cliente no servidor RADIUS.

Cat6K(config−if)#interface vlan 2



!−−− Este é o endereço de gateway para clientes da VLAN 2.

Cat6K(config−if)#interface vlan 3



!−−− Este é o endereço de gateway para clientes da VLAN 3.

Cat6K(config−if)#exit

89


Cat6K(config)#ip dhcp pool vlan2_clients

Cat6K(dhcp−config)#network 172.16.2.0 255.255.255.0

Cat6K(dhcp−config)#default−router 172.16.2.1

!−−− Este pool atribui endereços IP para os clientes da VLAN 2.

Cat6K(dhcp−config)#ip dhcp pool vlan3_clients

Cat6K(dhcp−config)#network 172.16.3.0 255.255.255.0

Cat6K(dhcp−config)#default−router 172.16.3.1

!−−− Este pool atribui os endereços IP para os clientes da VLAN 3.

Cat6K(dhcp−config)#exit

Cat6K(config)#ip dhcp excluded−address 172.16.2.1

Cat6K(config)#ip dhcp excluded−address 172.16.3.1

Cat6K(config−if)#end

90

Configuração do Servidor RADIUS (Cisco ACS)

91

Configuração do Servidor RADIUS (cont)

92

Configuração do Servidor RADIUS (cont)

96

Configuração do Cliente (Windows XP)

97

Acessando a Rede no Windows XP

99

Em Caso de Falhas na Autenticação...

Download - Homologação Cisco ACS.pdf

Top Related