Upload
marcos-barbosa
View
108
Download
0
Embed Size (px)
Citation preview
1
Homologação de Cisco ACS
2
Por que AAA?
3
Expansão do Conceito de Acesso à Rede
4
O que é AAA?
5
Desafios do AAA
Como posso facilmente controlar a autenticação de usuários e o acesso para a rede?
Como eu posso rastrear e reportar o comportamento do usuário na rede, e manter um registro sobre cada acesso?
Como eu posso reduzir os esforços sobre o gerenciamento do acesso à rede?
6
O Jeito Difícil de Gerenciar os Acessos
Configurações Individuais Requeridas:
Não é escalável
Consome tempo
Dificulta a logística
Administração de Dispositivo
Opções de acessos e privilégios limitadas
Não é escalável
7
A Melhor Forma
AAA Client/Server
AAA Client defere autorização para servidor AAA centralizado
Altamente escalável
Utiliza protocolos baseados em padrões para serviços AAA
8
Protocolos AAA
9
Controle AAA Centralizado
10
Recursos de Autenticação do Cisco ACS
Variedade de métodos de Autenticação:
ASCII, PAP, CHAP, MS-CHAP, LEAP, EAP-CHAP, EAP-TLS
Opções de senhas
Senhas simples e separadas
Inbound / outbound
Password aging
Variedade de bases de usuários internas e externas
11
Recursos de Authorization do Cisco ACS
Diferentes níveis de serviço por usuário ou grupo
Permite ou rejeita logins baseados em dia/hora
Desabilita a conta baseada em tentativas de login ou data específica
Sessões máximas por usuário ou grupo
Quotas de uso dinâmicas
12
Recursos de Accounting do Cisco ACS
Registros de Accounting CSV ou ODBC
Duração start/stop de registros de sessão
Mensagens de cliente AAA com o username
Identificação de Caller-line
13
Recursos para Gerenciamento de Dispositivos do Cisco ACS
Authentication – Acesso por usuário, grupo, ou grupo de dispositivos de rede
Authorization – Comandos do Cisco IOS por usuário, grupo, ou network device group
Accontung – Lista de comandos executados pelo usuário durante a sessão
14
Componentes da Arquitetura AAA
15
Componentes do Cisco ACS
16
Como o ACS Funciona? Conceitos de Authentication & Authorization
Groups contém políticas de autorização para grupos de usuários
Até 500 grupos distintos
Políticas de acesso de usuários sobrepõem as políticas de groups
17
Como o ACS Funciona? Conceitos de Authentication & Authorization
18
Como o ACS Funciona? Conceitos de Authentication & Authorization
19
Como o ACS Funciona? Conceitos de Authentication & Authorization
20
Roadmap de Implantação do Cisco ACS
21
Roadmap: Planejamento
22
802.1X
Introdução e Conceitos Avançados
23
Modelo de Controle de Acesso Baseado em Porta (802.1X)
24
Protocolos EAP e RADIUS
25
Em Linhas Gerais, Como Funciona?
26
O que é Authentication?
Authentication é o processo de estabelecimento e confirmação da identidade de um cliente requisitante de serviços.
Eu gostaria de sacar R$ 1000,00. Por favor
Você possui alguma identificação?
Sim, possuo. Aqui está.
Um Sistema de Autenticação Somente é Tão Forte Quanto o Seu Método de Verificação Empregado
Em redes, o método mais forte de autenticação é o 802.1X.
27
Principais Componentes
802.1X Client Cisco SSC
Authenticator Cisco Catalyst Switches & WLAN
Authentication Server Cisco ACS
IEEE 802.1X Provê Port-Based Access Control Usando Authentication
EAP over LAN (EAPoL)
RADIUS
Port-Based
Utilizando encapsulamento via Extensible Authentication
Protocol (EAP) over IEEE 802 media— ―EAPoL‖
Enforcement via MAC-based filtering e port-state
monitoring
Supplicant Authenticator AAA Server
Authentication
28
Autenticação Básica 802.1X
Layer 2 Point-to-Point Layer 3 Link
EAPoL Start
Authenticator AAA Server Supplicant
EAPoL Response Identity
EAPoL Request Identity
RADIUS Access Request
[AVP: EAP-Response: Alice]
EAP-Request: PEAP
EAP-Response: PEAP
EAP Success RADIUS Access-Accept
[AVP: EAP Success] [AVP: VLAN 10, dACL-n]
RADIUS Access-Challenge
[AVP: EAP-Request PEAP]
RADIUS Access Request
[AVP: EAP-Response: PEAP]
Múltiplos Challenge-Request
Exchanges Possíveis
29
Credentials para a Autenticação 802.1X
Username/Pwd Directory
Certificate Authority
fulana c1sC0L1v
Tipos Comuns
Passwords
Certificates
Tokens
Fatores Decisivos
Política de Segurança
Validação
Distribuição & Manutenção
Token Server
Melhores Práticas para Implantação
Aproveitar as Credenciais Existentes, Se Possível
30
802.1X Authentication Credentials
Tipo de
Credencial
Por que Você Deverá
Usá-lo
Por que Você Não
Deverá Usá-lo
Exemplo de
EAP-Type
Username
Password
• Conceito familiar
• Todo mundo já possui um
(ex: AD)
• Poderá reutilizar pwds
existentes, e técnicas de
gerenciamento de
senhas
• Passwords podem ser
roubadas
• Single factor
authentication
• Precisa ser enviado
através de um túnel
criptografado
• PEAP-
MSCHAPv2
Soft certificates
(armazenados no
disco rígido)
• Two-factor auth
• Auto-enrollment simplifica
o PKI
• Extensive PKI (server
certs, user certs,
machine certs) requer
IT/admin dedicados
• EAP-TLS
Hard certificates
(USB, TPM)
• Até three-factor auth
• Overhead significativo • EAP-TLS
PAC (Protected
Access
Credential)
• Processamento mais
rápido
• Assim mesmo precisará
de password ou cert
para provisionamento
inicial
• EAP-FAST
31
Mutual Authentication
• Server deverá validar a identidade do cliente e vice versa
Segurança
• Credenciais de clientes não poderão ser capturadas ou quebradas.
802.1X Authentication Recomendações para Emissão de Credenciais
host/alice-xp.mycorp.com MachinePwd
server CA
Server Cert Authentication: Signed by trusted CA
Pertence ao allowed server
Encrypted Tunnel
Client Authentication: Username Conhecido
Senha Válida
server CA
Server Cert Authentication: Signed by trusted CA
Pertence ao allowed server
client CA
Client Cert Authentication: Signed by trusted CA Verificações adicionais
PEAP-MSCHAPv2 EAP-TLS
32
Quem (ou o Que) Pode ser Autenticado?
alice
User Authentication Device Authentication
host\XP2 host\XP2
• Permite Dispositivos a Acessar a Rede Antes (ou na ausência de) User Login
• Permite Tráfego Crítico do Disp. (DHCP, NFS, Machine GPO)
• É Requirido Em Ambientes Cabeados Gerenciados
• Permite User-Based Access Control e Visibilidade
• Se Habilitado, Deverá Ser Em Adição ao Device Authentication
33
Case 2: Call Center
Objetivo: Acesso Diferenciado para Agentes Distintos
Condições: Uso Compartilhado de PC’s
Caso1: Rede Corporativa
Objetivo: Acesso aos Recursos Corporativos
Condições: Um Laptop = Um Usuário
O Caso de Negócios & Política de Segurança Responderão
Quem (ou o Que) Deverá Ser Autenticado?
Device Authentication
Apenas
Device + User Authentication
34
Exemplos de Configuração Autenticação de Machine e User
AuthMode=0: User Auth se o Machine Auth Falhar
AuthMode=1: User Auth Enabled AuthMode=2: User Auth Disabled
Authenticate as computer when computer information is available
Start -> Run -> Regedit Control Panel -> Network
MS
XP
SP
2
MS
XP
SP
2
Edite o Network Profile XML: <authMode>machineOrUser</authMode> Adicione o network profile:
1) C:\> netsh lan add profile filename=PathofXMLFile 2) Crie o startup script que lança o arquivo XML para os hosts
OBS: SP3 & Vista possuem dois serviços: um para wired, e outro para wireless
OBS 2: O serviço WiredAutoConfig não é habilitado por default no XP SP3 ou Vista
KB 929847
XP
SP
3,V
ista
, 7
OBS: XP SP2 possui um serviço para ambos wired e wireless
35
SS
C
OS
X
Win
dow
s 7
Exemplos de Configuração Autenticação de Machine e User
36
Exemplo de Credencial de Cliente Client certs para machine & user auth EAP-TLS Requerido
No CLIENTE: Start -> Run -> MMC -> File -> Add/Remove Snap-in -> Add -> Certificates
Machine Client Certificate
Trusted CA Certificate
User Client Certificate
DICA: Utilize auto-enrollment sempre
que possível
37
Authentication Para Dispositivos Clientless MAC Authentication Bypass (MAB)
Endpoint Host Dot1x/MAB
00.0a.95.7f.de.06
EAP-Identity-Request
Fallback to MAB
Learn MAC
RADIUS
RADIUS-Access Request: 00.0a.95.7f.de.06
RADIUS-Access Accept Port Enabled
√
Link up 1
4
EAP-Identity-Request 2
EAP-Identity-Request 3
5
6
7 8
0:00 0:10 0:20 0:30
0:00 0:10 0:20 0:30
0:00 0:10 0:20 0:30
Timeout
Timeout
Timeout
No Response
No Response
No Response
38
802.1X com MAB Considerações de Implantação
MAB habilita controle de acesso diferenciado
MAB aproveita as policies centralizadas no servidor AAA
• Timeout default é de 30 segundos com três tentativas (90 segundos total)
• 90 segundos > DHCP timeout.
Dependência do timeout do 802.1X -> retardo no acesso a rede
MAB requer um database de endereços MAC conhecidos
Guest VLAN
Printer VLAN
MAC Database
RADIUS LDAP ACS
39
Falhar ou Não Falhar o MAB? Duas opções para endereços MAC desconhecidos
1) Sem Acesso
2) Switch-based Web-Auth
3) Guest VLAN
RADIUS-Access Request (MAB)
RADIUS-Access Reject
RADIUS-Access Request (MAB)
RADIUS-Access Accept Guest Policy
Unknown MAC. Apply Guest Policy
1) MAB Falha – controle da sessão passa para o switch
2) MAC é Desconhecido mas MAB ―Passa‖
• Servidor AAA determina a policy para unknown endpoints (ex: níveis de acesso a rede, re-authentication policy)
• Bom para controle & visibilidade centralizada de guest policy (VLAN, ACL)
40
Switch
DHCP/DNS AAA Server
802.1X com Web Authentication Básico
•Múltiplos Triggers •Port Config Única •Auth mais flexível
•802.1X Timeout •802.1X Failure •MAB Failure
1
Port Enabled, Pre-Auth ACL Aplicado
2
Host Obtém End. IP, Aciona o Session State 3
Host Abre o Browser
Login Page
Host Envia a Password
4
Switch Consulta o AAA Server
AAA Server Retorna a Policy
Server Autoriza o
User 5
Switch Aplica a Nova ACL Policy 6
•Acesso VLAN somente •Pre-Auth ACL deverá permitir DHCP, DNS
•ACL aplicada a porta -> phones devem usar MDA
DHCP, ARP trigger State
Use Web Auth AAA Fail Policy para Falhas do
Serviço AAA
VLAN assignment não suportado
•IP HTTP (Secure-)Server Habilitado •User Poderá ser Questionado por um
Cert Trust
41
Enhanced Web Auth Páginas Centralizadas para Login
1) Administrador Cria um Wired Login Page no NGS
2) Wired guest abre o Web browser
3) O Tráfego Web é interceptado pelo switch e redirecionado para o
Guest Server.
4) O Guest Server retorna a página de login
(1) (2)
(4) Switch
(3)
Redirect
42
802.1X com Web-Auth Considerações de Implantação
Web-Auth somente para usuários
• browser é requerido
• Entrada manual de username/passw
Web-Auth poderá ser fallback do 802.1X ou MAB.
Web-Auth e Guest VLAN são mutuamente exclusivos
Web-Auth suporta ACL authorization somente
Web-Auth atrás de um IP Phone requer Multi-Domain
Authentication (MDA)
43
Múltiplos Métodos
Ordem e prioridade de métodos configuráveis
Comportamento configurável após a falha ou timeout do 802.1X
Comportamento configurável quando o servidor AAA ―morre‖ / ―ressucita‖
Flex-Auth permite maior uso de casos
com uma única configuração
Consolidando os Métodos: “Flex-Auth” Uma Configuração Atende a Maioria dos Casos
• 802.1X: devices/users gerenciados
• MAB: non-802.1X devices
• WebAuth: non-802.1X users
Unknown MAC
EAP 1X
MAB MAB
URL
802.1x times out or fails
WEB
802.1X Client
Valid Host Asset
Guest User
Employee Partner
Faculty
Sub Contractor
Valid MAC Address
Guest User
802.1X Client
Valid MAC Addr
Known MAC - Access Accept
Port Authorized
Alteração do Host
EAP Credentials Sent & Validated
Port Authorized
44
Sequência do Flex-Auth
Por default, o switch tenta o método mais
seguro primeiro.
802.1X Timeout
802.1X
MAB
MAB fails
Guest VLAN
Timeout poderá significar muito
delay até ocorrer o MAB.
MAB fails
MAB
802.1X
802.1X Timeout
Guest VLAN
Ordem alternativa
tenta o MAB no primeiro pacote do dispositivo
Ordem Default: 802.1X Primeiro Flex-Auth Order: MAB Primeiro
LWA ou LWA ou
45
Flex-Auth Order com Flex-Auth Priority
Default Priority: 802.1X ignorado após um MAB sucedido
MAB fails
MAB
802.1X
EAPoL-Start Received M
AB
p
asses Port
Authorized pelo MAB
Flex-Auth Priority: 802.1X inicia mesmo com MAB sucedido
Priority determina qual método poderá sobrepor outros métodos.
Por default, a sequência de métodos determina a prioridade (primeiro método possui a prioridade mais alta).
Se MAB possui priority, EAPoL-Starts serão ignorados se o MAB passar.
802.1X
46
O que é Authorization?
Authorization é o processo de conceder um nível de acesso à rede
Gostaria de sacar R$ 1.000,00. Por favor
Você possui identificação?
Sim, possuo. Aqui está.
Obrigado. Aqui estão os mil Reais.
Cinco estágios de authorization:
Pre-Authentication
Passed Authentication
Failed Authentication
No Authentication (no client)
No Authentication (AAA server dead)
Três tipos de MAC Filtering:
Single MAC per port
Single MAC per domain per port
Multiple MACs per port
47
Default: Closed
Authorization: Opções de Pre-Authentication
?
Open
Selectively Open
switch(config-if)#authentication open switch(config-if)#ip access-group PRE-AUTH in
switch(config-if)#authentication open
48
Authorization: Passed Authentication
Default: Open
Dynamic ACL
Dynamic VLAN
Alice
49
Default: Closed
Authorization: Failed 802.1X Authentication
?
Auth-Fail VLAN
Next-method*
switch(config-if)#authentication event fail action authorize vlan 50
switch(config-if)#authentication event fail action next-method
*Autorização Final é determinada pelos resultados do próximo método
Methods Priority, Order
Timeout, Failed
AAA Down
Flex-Auth
50
Default: Closed
Authorization: No 802.1X Authentication (no client)
?
Guest VLAN
Next-method*
switch(config-if)#authentication event no-response action authorize vlan 51
switch(config-if)#mab
Methods Priority, Order
Timeout, Failed
AAA Down
Flex-Auth
*Autorização Final é determinada pelos resultados do próximo método
51
Default: Closed
Authorization: No 802.1X Authentication (AAA server dead)
?
Critical VLAN
switch(config-if)#authentication event server dead action authorize vlan 52
Methods Priority, Order
Timeout, Failed
AAA Down
Flex-Auth
52
Múltplos MACs não permitidos para garantir a validade da sessão de autenticada
Hubs, VMWare, Phones, Grat Arp…
Aplicável aos Modos Open e Closed
interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto
VM
Default: Single Host Mode
Authorization: Single MAC Filtering
53
interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-domain
Multi-Domain Authentication (MDA) Host Mode
Single device por porta Single device per domain por porta
IEEE 802.1X MDA
MDA substitui o CDP Bypass Suporta Cisco & 3rd Party Phones Phones e PCs usam 802.1X ou MAB
Data Domain
Voice Domain
Modificando o Requerimento de Single-MAC IP Phones
54
MAC –based enforcement para cada dispositivo
802.1X e/ou MAB
Sem dynamic VLAN
interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-auth
VM
Multi-Authentication Host Mode
Modificando o Requerimento de Single-MAC Endpoints Virtualizados
55
Resumo do Authorization
Authentication
Status
Pre-802.1X
Successful 802.1X
Failed 802.1X
No 802.1X
(no client)
Successful MAB
Failed MAB
No 802.1X, MAB
(server down)
Sin
gle
-host
Multi-A
uth
M
ulti-D
om
ain
-Auth
?
Default
Authorization
Closed
Open
Idem ao Pre-Auth
Idem ao Pre-Auth
Open
Idem ao Pre-Auth
Idem ao Pre-Auth
Alternativa 1
Open
Dynamic VLAN
Auth-Fail VLAN
Guest VLAN
Dynamic VLAN
Guest VLAN
Critical VLAN
Alternativa 2
Selectively Open
Dynamic ACL
Next-Method
Next-Method
Dynamic ACL
Next-Method
56
Qual é o Cenário de Implantação mais Indicado?
Um conjunto de guias de configuração projetadas para atender a um objetivo específico
Simplificar a implantação com um blueprint validado
Aumentar a eficiência através da combinação de fatores que interagem mais eficientemente
Implantações por fases para o mínimo de impacto no usuário final
Customizar o blueprint básico conforme exigido
Princípios Básicos:
Começe simples
Inicie com restrições mínimas
Evolua conforme necessário
57
Monitor Mode: Como Fazer
Habilitar o 802.1X & MAB
Habilitar o Open Access
Todo o tráfego em adição ao EAP é permitido
É como se não tivesse 802.1X habilitado, exceto que as autenticações ainda ocorrerão
Habilitar Multi-Auth Host-Mode
Desabilitar o Authorization
Objetivos do Monitor Mode
Sem impacto no acesso existente a rede
Observe… …o que está na rede …quem tem um supplicant …quem tem boas credentials …quem tem bad credentials
Critério e detecção
Cenário1: Visão do Monitor Mode
SSC
58
Monitor Mode: Tabela de Acesso a Rede Authentication Status
Pre-802.1X
Successful 802.1X
Failed 802.1X
No 802.1X
(no client)
Successful MAB
Successful 802.1X
Successful MAB
Failed MAB
No 802.1X, MAB (server down)
Multi-A
uth
Endpoints
Todos
Funcionários
Funcionários Failed
Terceirizados/Guest
Recurso Corporativo
Terceirizado/Guest
Recurso Corporativo
Phones
Phones
Terceirizado/Guest
Todos
Authorization
(Network Access)
Open
Open
Open
Next-Method (MAB)
Open
Open
Open
Open
Open
59
Monitor Mode: Switch
interface GigabitEthernet1/4
switchport access vlan 60
switchport mode access
switchport voice vlan 61
authentication host-mode multi-auth
authentication open
authentication port-control auto
mab
dot1x pae authenticator
aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control
radius-server host 10.100.10.150 auth-port 1645 acct-port 1646 key cisco
radius-server vsa send authentication
Note que o ―aaa network authorization‖ não é configurado, portanto mesmo que o servidor AAA envie dynamic VLAN/ACL authorization, o switch ignorará estas mensagens
Basic 802.1X/MAB
Monitor Mode
Global Config do Switch
Interface Config do Switch
60
Monitor Mode: AAA Server e Endpoints
Deverá ser completamente configurado, exceto para a authorization policy:
Comunicação com os clientes AAA (ex: switches)
Comunicação com um repositório de credenciais (ex: AD, MAC Database)
PKI (CA certs, server cert)
Configuração EAP
Configuração MAB
Deverá ser completamente configurado:
PKI (CA certs, client cert) ou outras credenciais
Supplicants configurados & instalados onde for suportado
Habilitar machine auth
Habilitar user auth se necessário
AAA Server Endpoints
61
RADIUS Authentication & Accounting Logs Passed/failed 802.1x/eap attempts
Lista de endpoints 802.1X-capable válidos Lista de endpoints 802.1X-capable inválidos
Passed/Failed MAB attempts Lista de endereços MACs válidos Lista de endereços MAC inválidos ou desconhecidos
Monitor Mode: Próximos Passos
SSC
Monitor Mode
Analisar o Risco Remanescente
Preparar a Rede para Access Control nas Fases Seguintes
62
Low Impact Mode: How To Objetivos do Low Impact Mode
Cenário 2: Modo de Baixo Impacto
Iniciar o Controle Diferenciado do Acesso a Rede
Minimizar Impacto para o Acesso Existente a Rede
Reter Visibilidade do Monitor Mode
―Low Impact‖ == sem necessidade de reprojetar a sua rede
Manter o projeto de VLAN existente
Minimizar mudanças na LAN
Inicie do Monitor Mode
Adicione novos recursos para access-control
downloadable ACLs
Negociação flexível do auth fail
Limite o número de dispositivos conectando para a porta
Adicione novos recursos para suportar IP Phones
63
Baixo Impacto: Tabela de Acesso a Rede Endpoints Authentication Status
Todos Pre-802.1X
Funcionários Successful 802.1X
Funcionários Failed
Terceirizados/Guest
Failed 802.1X
Recurso Corporativo
Terceirizado/Guest
No 802.1X
(no client)
Recurso Corporativo
Successful MAB
Phones Successful 802.1X
Phones Successful MAB
Terceirizado/Guest
Failed MAB
Todos
No 802.1X, MAB (server
down)
Sin
gle
-host
Multi-D
om
ain
-Auth
(w
ith
lin
k-s
tate
so
lutio
n)
Authorization
Selectively Open
Dynamic ACL
Next-Method (MAB)
Next-Method (MAB)
Dynamic ACL
Dynamic ACL + Voice VSA
Dynamic ACL + Voice VSA
Idem ao Pre-Auth
Idem ao Pre-Auth
64
Baixo Impacto: Switch
Bloqueia o Acesso Geral Até o 802.1X, MAB ou WebAuth Bem
Sucedido
Pinhole de portas tcp/udp explícitas para permitir o
acesso desejado
interface GigabitEthernet1/4
switchport access vlan 60
switchport mode access
switchport voice vlan 61
ip access-group PRE-AUTH in
authentication open
authentication port-control auto
mab
dot1x pae authenticator
aaa authorization network default group radius
ip device-tracking
Switch Interface Config
Pre-Authentication Port Authorization State
Do Monitor Mode
Para Low Impact
Switch Global Config (adicione para o Monitor Mode)
65
Considerações sobre o Pre-Auth ACL
Pre-auth port ACL é arbitrário é poderá progredir conforme você possuir melhor conhecimento sobre o tráfego em sua rede
Lembre-se: Esta ACL estará em ação antes da autenticação e após as autenticações que falharam.
Abordagem1: Bloqueio Seletivo de Tráfego
Proteger seletivamente certos recursos/subredes
Baixo risco acidental de bloquear tráfego desejado
Exemplo: Bloquear usuários não autenticados ao Servidor de Finanças
X
X
X
X
Abordagem 2: Seletivamente Permitir Tráfego
Mais seguro, melhor controle
Poderá bloquear tráfego legítimo
Exemplo: Somente permitir acesso pre-auth para PXE devices bootarem
Progressão ACL
ACL
ACL
66
Modo Baixo Impacto: Servidor AAA
Configure downloadable ACLs para os usuários autenticados
permit ip host 10.100.20.200 any permit tcp any any established permit udp any any eq bootps permit udp any host 10.100.10.116 eq domain permit udp any host 10.100.10.117 eq tftp
SSC
Pre-Auth ACL
Switch dinamicamente substitui os endereços dos endpoints
• Conteúdos da dACL são arbitrários. • Poderá haver tantas dACLs únicas quanto
grupos para permissão de usuários • Mesmos princípios que o pre-auth port ACL
67
Baixo Impacto: Failed Authentication
Dispositivos que falham no 802.1X terão acesso restrito (Pre-Auth ACL)
Pergunta de Política: Isto representa acesso suficiente?
Alternativa: configurar um mecanismo de autenticação para failback authentication (ex: MAB) com policy de autorização apropriada
interface GigabitEthernet1/4
switchport access vlan 60
switchport mode access
switchport voice vlan 61
ip access-group PRE-AUTH in
authentication event fail action next-method
authentication open
authentication port-control auto
mab
dot1x pae authenticator
Switch Interface Config
SSC
Cert expired
Não consigo acssar o
website de TI!
SSC
MAB passed
HTTP agora é
permitido
Cert expired
68
Baixo Impacto: Host Mode
Com Multi-Auth, port piggybacking não pode ser mitigado tão eficazmente.
No modo ―Low Impact‖, transição para Multi-domain (para IP Telephony) ou Single-host (non-IPT).
interface GigabitEthernet1/4
switchport access vlan 60
switchport mode access
switchport voice vlan 61
ip access-group PRE-AUTH in
authentication host-mode multi-domain
authentication open
authentication event fail action next
authentication port-control auto
mab
dot1x pae authenticator
Switch Interface Config
69
EAP-FAST
with TLS
MIC ou LSC • Não suportado no ACS 5.0 ou 5.1
• Suportado no ACS 4.2 com PAC-Free
+ recurso PKI Authz Bypass no NAP
802.1X EAP Methods em Phones
Method Phone Credential Considerações de Implantação
EAP-MD5 Username / password • Password manualmente configurada
no telefone
• Phone name / password deverão
estar no AAA database
EAP-TLS MIC ou LSC • Nunca precisará mexer no phone:
Toda a config é feita no CUCM GUI
(7.1.2)
• ACS 5 não requer username lookup
após a validação do TLS cert -> Não
é necessário inserir os nomes dos
phones em qualquer database
70
Cert-based 802.1X É Tranquilo com Cisco IP Phones e ACS 5!
• Pre-installed em cada phone que suporta EAP-TLS & EAP-FAST
• Automaticamente usado se o 802.1X estiver habilitado
• Exporta Cisco Man Root Sub CA e Cisco Root CA do CUCM para o ACS
• Fácil de combinar com ACS 5 Authz rule
Certificates Pré-Instalados
Certificates de Significância Local
CAPF
• LSCs são controlados pelo cliente • CUCM emite LSCs para os phones • CAPF pode ser self- ou CA-signed • Exporta CAPF e CA root certs do
CUCM para ACS • Coincide com o ACS 5 Authz rule
71
Habilitando 802.1X nos phones
Método Antigo Novo Método (CUCM 7.1.2)
• No Phone Config ou BAT Template • Selecione ―Enabled‖ • Não é necessário ―tocar‖ no
telefone • Phone deverá estar na rede
quando isto for feito.
72
2. Faça como o “Old Way” Funciona bem, mas não em massa
4. Low Impact Mode
3. MAB -> 802.1X Use o MAB para o dispositivo acessar a rede Conceda acesso suficiente para baixar a config O phone reinicia com o 802.1X habilitado
1. Staging Area sem 802.1X Boot inicial do phone em uma rede sem 802.1X
Habilitando Post-Deployment de 802.1X
Como você habilita o 802.1X em um phone via a rede se o phone precisa do 802.1X para acessar a rede?
73
Exemplo: Usando o Low Impact Mode para bootstrap de um Novo Phone
permit ip host 10.100.20.200 any permit udp any any eq bootps permit udp any host 10.100.10.238 eq tftp permit udp any host 10.100.10.238 range 32768 61000
Pre-Auth ACL
Pre-auth ACL permite acesso suficiente para config, CTL
Nova config habilita o 802.1X no phone
Após o 802.1X, o phone terá acesso completo
Mesmo conceito poderá ter o MAB para permitir o acesso dos
phones antes do timeout do 802.1X
10.100.10.238
74
MODE
STACKSPEEDDUPLXSTATMASTRRPSSYST
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10
1X
2X
15X
16X
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
17X
18X
31X
32X
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
33X
34X
47X
48X
43 44 45 46 47 48
2 4
1 3A
B
Porta autorizada para 0011.2233.4455 apenas
Violação de segurança S:0011.2233.4455
S:6677.8899.AABB
1) Usuários legítimos podem causar violações de segurança
MODE
STACKSPEEDDUPLXSTATMASTRRPSSYST
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10
1X
2X
15X
16X
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
17X
18X
31X
32X
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
33X
34X
47X
48X
43 44 45 46 47 48
2 4
1 3A Brecha na segurança
S:0011.2233.4455
S:0011.2233.4455
2) Hackers poderão spoofar o MAC para acessar a rede sem autenticação
O Incidente do Link State do IP Phone
75
Link State: Três Soluções
75
CDP Link Down
MODE
STACKSPEEDDUPLXSTATMASTRRPSSYST
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10
1X
2X
15X
16X
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
17X
18X
31X
32X
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
33X
34X
47X
48X
43 44 45 46 47 48
2 4
1 3
MODE
STACKSPEEDDUPLXSTATMASTRRPSSYST
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10
1X
2X
15X
16X
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
17X
18X
31X
32X
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
33X
34X
47X
48X
43 44 45 46 47 48
2 4
1 3
MODE
STACKSPEEDDUPLXSTATMASTRRPSSYST
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10
1X
2X
15X
16X
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
17X
18X
31X
32X
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
33X
34X
47X
48X
43 44 45 46 47 48
2 4
1 3
Proxy EAPoL-Logoff SSC
Inactivity Timer
Session Cleared
Session Cleared
Session Cleared
Proxy EAPoL-Logoff Somente funciona para endpoints
802.1X Requer phone com recurso
Logoff
Inactivity Timer Funciona para endpoints MAB Porta vulnerável durante o
timeout Dispositivos ociosos são
desconectados
CDP 2nd Port Status MAB & 802.1X Endpoints IP Phone: 8.4(1) 3K: 12.2(50)SE 4K: 12.2(50)SG 6K: 12.2(33)SXI
76
Wiring Closet
MAC Addr Switchport
CAM TABLE Escritório
Sala de Reuniões
ACS - AAA RADIUS
1 PC connects (assume 802.1X/MAB process occurs)
2 Authentication Succeeds
3 CAM Table updated (MAC/Port)
PC MAC: 00-1C-25-BA-6D-3B
Gigabit Ethernet 1/0/1 00-1C-25-BA-6D-3B 4 PC Moved to new location
Gigabit Ethernet 1/0/14 5 PC Authenticates (802.1X/MAB)
6 CAM Table updated with new entry
Intermediary Device
00-1C-25-BA-6D-3B
MAC Move
authentication mac-move permit
77
Low Impact “In a Nutshell”
• Dynamic ACL-based Access Control
• Impacto Mínimo para os Endpoints
• Suporta Cenários Bootstrap
• Impacto Mínimo na Rede
• Sem mudanças nas VLANs
Resumo
• Monitorar a Rede
• Ajustar as ACLs conforme necessário
• Avaliar os Riscos Restantes
Próximos Passos
78
High Security: How To
Retorne para o acesso default ―closed‖
Alterar os Timers Authentication Order
Implementar atribuição de VLANs ―identity-based‖
High Security Mode
Sem acesso antes da autenticação
Rápido acesso para dispositivos corporativos sem suporte ao 802.1X
Isolamento lógico do tráfego na borda
Solução de Virtualização de Rede
Cenário 3: High Security Mode
79
High Security Mode: Tabela de Acesso a Rede
Endpoint Authentication Status
Todos Pre-802.1X
Funcionários Successful 802.1X
Funcionários Failed,
Terceirizados, Guest
Failed 802.1X
Recursos Corporativos,
Terceirizado,Guest
No 802.1X
(no client)
Recursos Corporativos Successful MAB
Phones Successful 802.1X
Phones Successful MAB
Terceirizado/Guest Failed MAB
Todos No 802.1X, MAB (server
down)
Sin
gle
-host
Multi-D
om
ain
-Auth
(c
om
so
luçã
o lin
k-s
tate
Authorization
Closed
Dynamic VLAN
Guest-Fail-Critical VLAN
Next-Method (ativado por
default se MAB = ligado)
Dynamic VLAN
Voice VSA
Voice VSA
Guest-Fail-Critical VLAN
Guest-Fail-Critical VLAN
80
802.1X e Dynamic VLANs Considerações de Implantação
VLAN 10: DATA
VLAN 20: VOICE
VLAN 30: MACHINE
VLAN 40: ENG
VLAN 50: UNAUTH
10.10.10.x/24
10.10.20.x/24
10.10.30.x/24
10.10.40.x/24
10.10.50.x/24
Network Interface
10.10.10.x/24 G0/1
10.10.20.x/24 G0/2
10.10.30.x/24 G0/3
10.10.40.x/24 G0/4
10.10.50.x/24 G0/5
Cada VLAN Atribuída Deverá ser Definida em Todos os Switches de Acesso Mais VLANs para Trunking (Multi-Layer Deployments) Mais Subredes para Routing (mitigado pelo VSS)
Melhor Prática: Usar o Menor Número Possível de VLANs
81
Non-802.1X Endpoints
• Sem conhecimento de mudanças de VLAN, sem mecanismos para alterar o endereço IP
• Melhor Prática: Dynamic VLAN em High Security Mode apenas
802.1X Endpoints Antigos (ex: Windows XP)
• Supplicants podem renovar o endereço IP em mudança de VLAN mas o OS poderá não lidar corretamente (sem impacto) com a mudança do endereço IP
• Melhor Prática: Use a mesma VLAN para o User e Machine Auth
Novos 802.1X Endpoints (ex: Windows Vista, 7)
• Supplicant e OS podem lidar bem com mudanças de VLAN/IP
• Melhor Prática: Usar a VLAN policy que melhor atender a sua necessidade de segurança.
802.1X e Dynamic VLANs Considerações de Implantação
82
High Security Mode: Switch
interface GigabitEthernet1/4
switchport access vlan 60
switchport mode access
switchport voice vlan 61
no authentication open
authentication event fail authorize vlan 63
authentication event no-response authorize vlan 63
authentication event server dead action authorize vlan 63
authentication port-control auto
mab
dot1x pae authenticator
aaa authorization network default group radius
vlan 60
name data
vlan 61
name voice
vlan 62
name video
vlan 63
name fail-guest-critical
Auth-Fail VLAN
Guest VLAN*
Critical VLAN
*Não é necessário se o servidor AAA possuir uma Unknown MAC policy
Switch Global Config (Adiciona para o Monitor Mode)
Switch Interface Config
83
High Security Mode: Servidor AAA
Se nenhuma VLAN for enviada, o switch utilizará a VLAN estática definida no switchport
Configura dynamic VLANs para qualquer usuário que deverá estar em uma VLAN diferente
84
Exemplo de Cenário de 802.1X com Catalyst 6500 (IOS) e Cisco ACS
Topologia empregada neste exemplo
85
Exemplo de Configuração no Catalyst 6500
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Cat6K
!−−− Configura o hostname para o switch.
Cat6K(config)#vlan 2
Cat6K(config−vlan)#name VLAN2
Cat6K(config−vlan)#vlan 3
Cat6K(config−vlan)#name VLAN3
!−−− VLAN deverá existir no switch para uma autenticação bem sucedida.
Cat6K(config−vlan)#vlan 10
Cat6K(config−vlan)#name RADIUS_SERVER
!−−− Esta é uma VLAN dedicada para o servidor RADIUS.
Cat6K(config−vlan)#exit
Cat6K(config−if)#interface fastEthernet3/1
86
Cat6K(config−if)#switchport
Cat6K(config−if)#switchport mode access
Cat6K(config−if)#switchport access vlan 10
Cat6K(config−if)#no shut
!−−− Atribui a porta conectada ao servidor RADIUS para a VLAN 10.
!−−− OBS:− Todas as portas ativas de acesso estão na VLAN 1 por default.
Cat6K(config−if)#exit
Cat6K(config)#dot1x system−auth−control
!−−− Habilita globalmente o 802.1x.
Cat6K(config)#interface range fastEthernet3/2−48
Cat6K(config−if−range)#switchport
Cat6K(config−if−range)#switchport mode access
Cat6K(config−if−range)#dot1x port−control auto
Cat6K(config−if−range)#no shut
!−−− Habilita o 802.1x em todas as interfaces FastEthernet.
Cat6K(config−if−range)#exit
Exemplo de Configuração no Catalyst 6500 (cont)
87
Exemplo de Configuração no Catalyst 6500 (cont)
Cat6K(config)#aaa new−model
!−−− Habilita o AAA.
Cat6K(config)#aaa authentication dot1x default group radius
!−−− Method list deverá ser default. Do contrário dot1x não funcionará.
Cat6K(config)#aaa authorization network default group radius
!−−− Você precisa de authorization para atribuição dinâmica de VLANs para trabalhar com o RADIUS.
Cat6K(config)#radius−server host 172.16.1.1
!−−− Configura o endereço IP do servidor RADIUS.
Cat6K(config)#radius−server key cisco
!−−− Esta key deverá coincidir com a key usada no servidor RADIUS.
88
Exemplo de Configuração no Catalyst 6500 (cont)
Cat6K(config)#interface vlan 10
Cat6K(config−if)#ip address 172.16.1.2 255.255.255.0
Cat6K(config−if)#no shut
!−−− Este é usado como endereço de gateway no servidor RADIUS
!−−− e também como identificador de cliente no servidor RADIUS.
Cat6K(config−if)#interface vlan 2
Cat6K(config−if)#ip address 172.16.2.1 255.255.255.0
Cat6K(config−if)#no shut
!−−− Este é o endereço de gateway para clientes da VLAN 2.
Cat6K(config−if)#interface vlan 3
Cat6K(config−if)#ip address 172.16.3.1 255.255.255.0
Cat6K(config−if)#no shut
!−−− Este é o endereço de gateway para clientes da VLAN 3.
Cat6K(config−if)#exit
89
Exemplo de Configuração no Catalyst 6500 (cont)
Cat6K(config)#ip dhcp pool vlan2_clients
Cat6K(dhcp−config)#network 172.16.2.0 255.255.255.0
Cat6K(dhcp−config)#default−router 172.16.2.1
!−−− Este pool atribui endereços IP para os clientes da VLAN 2.
Cat6K(dhcp−config)#ip dhcp pool vlan3_clients
Cat6K(dhcp−config)#network 172.16.3.0 255.255.255.0
Cat6K(dhcp−config)#default−router 172.16.3.1
!−−− Este pool atribui os endereços IP para os clientes da VLAN 3.
Cat6K(dhcp−config)#exit
Cat6K(config)#ip dhcp excluded−address 172.16.2.1
Cat6K(config)#ip dhcp excluded−address 172.16.3.1
Cat6K(config−if)#end
90
Configuração do Servidor RADIUS (Cisco ACS)
91
Configuração do Servidor RADIUS (cont)
92
Configuração do Servidor RADIUS (cont)
93
94
95
96
Configuração do Cliente (Windows XP)
97
Acessando a Rede no Windows XP
98
99
Em Caso de Falhas na Autenticação...