homologação cisco acs.pdf

Download Homologação Cisco ACS.pdf

Post on 30-Dec-2015

58 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 1

    Homologao de Cisco ACS

  • 2

    Por que AAA?

  • 3

    Expanso do Conceito de Acesso Rede

  • 4

    O que AAA?

  • 5

    Desafios do AAA

    Como posso facilmente controlar a autenticao de usurios e o acesso para a rede?

    Como eu posso rastrear e reportar o comportamento do usurio na rede, e manter um registro sobre cada acesso?

    Como eu posso reduzir os esforos sobre o gerenciamento do acesso rede?

  • 6

    O Jeito Difcil de Gerenciar os Acessos

    Configuraes Individuais Requeridas:

    No escalvel

    Consome tempo

    Dificulta a logstica

    Administrao de Dispositivo

    Opes de acessos e privilgios limitadas

    No escalvel

  • 7

    A Melhor Forma

    AAA Client/Server

    AAA Client defere autorizao para servidor AAA centralizado

    Altamente escalvel

    Utiliza protocolos baseados em padres para servios AAA

  • 8

    Protocolos AAA

  • 9

    Controle AAA Centralizado

  • 10

    Recursos de Autenticao do Cisco ACS

    Variedade de mtodos de Autenticao:

    ASCII, PAP, CHAP, MS-CHAP, LEAP, EAP-CHAP, EAP-TLS

    Opes de senhas

    Senhas simples e separadas

    Inbound / outbound

    Password aging

    Variedade de bases de usurios internas e externas

  • 11

    Recursos de Authorization do Cisco ACS

    Diferentes nveis de servio por usurio ou grupo

    Permite ou rejeita logins baseados em dia/hora

    Desabilita a conta baseada em tentativas de login ou data especfica

    Sesses mximas por usurio ou grupo

    Quotas de uso dinmicas

  • 12

    Recursos de Accounting do Cisco ACS

    Registros de Accounting CSV ou ODBC

    Durao start/stop de registros de sesso

    Mensagens de cliente AAA com o username

    Identificao de Caller-line

  • 13

    Recursos para Gerenciamento de Dispositivos do Cisco ACS

    Authentication Acesso por usurio, grupo, ou grupo de dispositivos de rede

    Authorization Comandos do Cisco IOS por usurio, grupo, ou network device group

    Accontung Lista de comandos executados pelo usurio durante a sesso

  • 14

    Componentes da Arquitetura AAA

  • 15

    Componentes do Cisco ACS

  • 16

    Como o ACS Funciona? Conceitos de Authentication & Authorization

    Groups contm polticas de autorizao para grupos de usurios

    At 500 grupos distintos

    Polticas de acesso de usurios sobrepem as polticas de groups

  • 17

    Como o ACS Funciona? Conceitos de Authentication & Authorization

  • 18

    Como o ACS Funciona? Conceitos de Authentication & Authorization

  • 19

    Como o ACS Funciona? Conceitos de Authentication & Authorization

  • 20

    Roadmap de Implantao do Cisco ACS

  • 21

    Roadmap: Planejamento

  • 22

    802.1X

    Introduo e Conceitos Avanados

  • 23

    Modelo de Controle de Acesso Baseado em Porta (802.1X)

  • 24

    Protocolos EAP e RADIUS

  • 25

    Em Linhas Gerais, Como Funciona?

  • 26

    O que Authentication?

    Authentication o processo de estabelecimento e confirmao da identidade de um cliente requisitante de servios.

    Eu gostaria de sacar R$ 1000,00. Por favor

    Voc possui alguma identificao?

    Sim, possuo. Aqui est.

    Um Sistema de Autenticao Somente To Forte Quanto o Seu Mtodo de Verificao Empregado

    Em redes, o mtodo mais forte de autenticao o 802.1X.

  • 27

    Principais Componentes

    802.1X Client Cisco SSC

    Authenticator Cisco Catalyst Switches & WLAN

    Authentication Server Cisco ACS

    IEEE 802.1X Prov Port-Based Access Control Usando Authentication

    EAP over LAN (EAPoL)

    RADIUS

    Port-Based

    Utilizando encapsulamento via Extensible Authentication

    Protocol (EAP) over IEEE 802 media EAPoL

    Enforcement via MAC-based filtering e port-state

    monitoring

    Supplicant Authenticator AAA Server

    Authentication

  • 28

    Autenticao Bsica 802.1X

    Layer 2 Point-to-Point Layer 3 Link

    EAPoL Start

    Authenticator AAA Server Supplicant

    EAPoL Response Identity

    EAPoL Request Identity

    RADIUS Access Request

    [AVP: EAP-Response: Alice]

    EAP-Request: PEAP

    EAP-Response: PEAP

    EAP Success RADIUS Access-Accept

    [AVP: EAP Success] [AVP: VLAN 10, dACL-n]

    RADIUS Access-Challenge

    [AVP: EAP-Request PEAP]

    RADIUS Access Request

    [AVP: EAP-Response: PEAP]

    Mltiplos Challenge-Request

    Exchanges Possveis

  • 29

    Credentials para a Autenticao 802.1X

    Username/Pwd Directory

    Certificate Authority

    fulana c1sC0L1v

    Tipos Comuns

    Passwords

    Certificates

    Tokens

    Fatores Decisivos

    Poltica de Segurana

    Validao

    Distribuio & Manuteno

    Token Server

    Melhores Prticas para Implantao

    Aproveitar as Credenciais Existentes, Se Possvel

  • 30

    802.1X Authentication Credentials

    Tipo de

    Credencial

    Por que Voc Dever

    Us-lo

    Por que Voc No

    Dever Us-lo

    Exemplo de

    EAP-Type

    Username

    Password

    Conceito familiar Todo mundo j possui um

    (ex: AD)

    Poder reutilizar pwds existentes, e tcnicas de

    gerenciamento de

    senhas

    Passwords podem ser roubadas

    Single factor authentication

    Precisa ser enviado atravs de um tnel

    criptografado

    PEAP-MSCHAPv2

    Soft certificates

    (armazenados no

    disco rgido)

    Two-factor auth Auto-enrollment simplifica

    o PKI

    Extensive PKI (server certs, user certs,

    machine certs) requer

    IT/admin dedicados

    EAP-TLS

    Hard certificates

    (USB, TPM)

    At three-factor auth

    Overhead significativo EAP-TLS

    PAC (Protected

    Access

    Credential)

    Processamento mais rpido

    Assim mesmo precisar de password ou cert

    para provisionamento

    inicial

    EAP-FAST

  • 31

    Mutual Authentication

    Server dever validar a identidade do cliente e vice versa

    Segurana

    Credenciais de clientes no podero ser capturadas ou quebradas.

    802.1X Authentication Recomendaes para Emisso de Credenciais

    host/alice-xp.mycorp.com MachinePwd

    server CA

    Server Cert Authentication: Signed by trusted CA

    Pertence ao allowed server

    Encrypted Tunnel

    Client Authentication: Username Conhecido

    Senha Vlida

    server CA

    Server Cert Authentication: Signed by trusted CA

    Pertence ao allowed server

    client CA

    Client Cert Authentication: Signed by trusted CA Verificaes adicionais

    PEAP-MSCHAPv2 EAP-TLS

  • 32

    Quem (ou o Que) Pode ser Autenticado?

    alice

    User Authentication Device Authentication

    host\XP2 host\XP2

    Permite Dispositivos a Acessar a Rede Antes (ou na ausncia de) User Login

    Permite Trfego Crtico do Disp. (DHCP, NFS, Machine GPO)

    Requirido Em Ambientes Cabeados Gerenciados

    Permite User-Based Access Control e Visibilidade

    Se Habilitado, Dever Ser Em Adio ao Device Authentication

  • 33

    Case 2: Call Center

    Objetivo: Acesso Diferenciado para Agentes Distintos

    Condies: Uso Compartilhado de PCs

    Caso1: Rede Corporativa

    Objetivo: Acesso aos Recursos Corporativos

    Condies: Um Laptop = Um Usurio

    O Caso de Negcios & Poltica de Segurana Respondero

    Quem (ou o Que) Dever Ser Autenticado?

    Device Authentication

    Apenas

    Device + User Authentication

  • 34

    Exemplos de Configurao Autenticao de Machine e User

    AuthMode=0: User Auth se o Machine Auth Falhar

    AuthMode=1: User Auth Enabled AuthMode=2: User Auth Disabled

    Authenticate as computer when computer information is available

    Start -> Run -> Regedit Control Panel -> Network

    MS

    XP

    SP

    2

    MS

    XP

    SP

    2

    Edite o Network Profile XML: machineOrUser Adicione o network profile:

    1) C:\> netsh lan add profile filename=PathofXMLFile 2) Crie o startup script que lana o arquivo XML para os hosts

    OBS: SP3 & Vista possuem dois servios: um para wired, e outro para wireless

    OBS 2: O servio WiredAutoConfig no habilitado por default no XP SP3 ou Vista

    KB 929847

    XP

    SP

    3,V

    ista

    , 7

    OBS: XP SP2 possui um servio para ambos wired e wireless

  • 35

    SS

    C

    OS

    X

    Win

    dow

    s 7

    Exemplos de Configurao Autenticao de Machine e User

  • 36

    Exemplo de Credencial de Cliente Client certs para machine & user auth EAP-TLS Requerido

    No CLIENTE: Start -> Run -> MMC -> File -> Add/Remove Snap-in -> Add -> Certificates

    Machine Client Certificate

    Trusted CA Certificate

    User Client Certificate

    DICA: Utilize auto-enrollment sempre

    que possvel

  • 37

    Authentication Para Dispositivos Clientless MAC Authentication Bypass (MAB)

    Endpoint Host Dot1x/MAB

    00.0a.95.7f.de.06

    EAP-Identity-Request

    Fallback to MAB

    Learn MAC

    RADIUS

    RADIUS-Access Request: 00.0a.95.7f.de.06

    RADIUS-Access Accept Port Enabled

    Link up 1

    4

    EAP-Identity-Request