Homologao de Cisco ACS

Por que AAA?

Expanso do Conceito de Acesso Rede

O que AAA?

Desafios do AAA
Como posso facilmente controlar a autenticao de usurios e o acesso para a rede?
Como eu posso rastrear e reportar o comportamento do usurio na rede, e manter um registro sobre cada acesso? Como eu posso reduzir os esforos sobre o gerenciamento do acesso rede?
5

O Jeito Difcil de Gerenciar os Acessos

Configuraes Individuais Requeridas:
No escalvel

Consome tempo
Dificulta a logstica

Administrao de Dispositivo
Opes de acessos e privilgios limitadas No escalvel

A Melhor Forma

AAA Client/Server
AAA Client defere autorizao para servidor AAA centralizado Altamente escalvel Utiliza protocolos baseados em padres para servios AAA
7

Protocolos AAA

Controle AAA Centralizado

Recursos de Autenticao do Cisco ACS

Variedade de mtodos de Autenticao:

ASCII, PAP, CHAP, MS-CHAP, LEAP, EAP-CHAP, EAP-TLS

Opes de senhas
Senhas simples e separadas Inbound / outbound Password aging

Variedade de bases de usurios internas e externas

10

Recursos de Authorization do Cisco ACS

Diferentes nveis de servio por usurio ou grupo Permite ou rejeita logins baseados em dia/hora

Desabilita a conta baseada em tentativas de login ou data especfica

Sesses mximas por usurio ou grupo

Quotas de uso dinmicas

11

Recursos de Accounting do Cisco ACS

Registros de Accounting CSV ou ODBC

Durao start/stop de registros de sesso Mensagens de cliente AAA com o username

Identificao de Caller-line

12

Recursos para Gerenciamento de Dispositivos do Cisco ACS

Authentication Acesso por usurio, grupo, ou grupo de dispositivos de rede Authorization Comandos do Cisco IOS por usurio, grupo, ou network device group Accontung Lista de comandos executados pelo usurio durante a sesso
13

Componentes da Arquitetura AAA

14

Componentes do Cisco ACS

15

Como o ACS Funciona? Conceitos de Authentication & Authorization

Groups contm polticas de autorizao para grupos de usurios At 500 grupos distintos

Polticas de acesso de usurios sobrepem as polticas de groups

16

Como o ACS Funciona? Conceitos de Authentication & Authorization

17

Como o ACS Funciona? Conceitos de Authentication & Authorization

18

Como o ACS Funciona? Conceitos de Authentication & Authorization

19

Roadmap de Implantao do Cisco ACS

20

Roadmap: Planejamento

21

802.1X

Introduo e Conceitos Avanados

22

Modelo de Controle de Acesso Baseado em Porta (802.1X)

23

Protocolos EAP e RADIUS

24

Em Linhas Gerais, Como Funciona?

25

O que Authentication?
Authentication o processo de estabelecimento e confirmao da identidade de um cliente requisitante de servios.
Eu gostaria de sacar R$ 1000,00. Por favor Voc possui alguma identificao? Sim, possuo. Aqui est.

Um Sistema de Autenticao Somente To Forte Quanto o Seu Mtodo de Verificao Empregado

Em redes, o mtodo mais forte de autenticao o 802.1X.

26

IEEE 802.1X Prov Port-Based Access Control Usando Authentication

Principais Componentes
802.1X Client
Cisco SSC

Authenticator
Cisco Catalyst Switches & WLAN

Authentication Server
Cisco ACS

Supplicant

EAP over LAN (EAPoL)

Authenticator

RADIUS

AAA Server

Port-Based

Authentication
Utilizando encapsulamento via Extensible Authentication Protocol (EAP) over IEEE 802 media EAPoL
27

Enforcement via MACbased filtering e port-state monitoring

Autenticao Bsica 802.1X

Supplicant
Authenticator AAA Server

Layer 2 Point-to-Point

Layer 3 Link

EAPoL Start EAPoL Request Identity EAPoL Response Identity RADIUS Access Request
[AVP: EAP-Response: Alice]

EAP-Request: PEAP

RADIUS Access-Challenge
[AVP: EAP-Request PEAP]

EAP-Response: PEAP

RADIUS Access Request

[AVP: EAP-Response: PEAP]

Mltiplos ChallengeRequest Exchanges Possveis

EAP Success

RADIUS Access-Accept
[AVP: EAP Success] [AVP: VLAN 10, dACL-n]

28

Credentials para a Autenticao 802.1X

Tipos Comuns
Passwords Certificates Tokens
fulana c1sC0L1v

Fatores Decisivos
Poltica de Segurana Validao Distribuio & Manuteno

Certificate Authority

Token Server
Username/Pwd Directory

Melhores Prticas para Implantao

Aproveitar as Credenciais Existentes, Se Possvel
29

802.1X Authentication
Credentials
Tipo de Credencial
Username Password

Por que Voc Dever Us-lo

Por que Voc No Dever Us-lo

Exemplo de EAP-Type
PEAPMSCHAPv2

Conceito familiar Passwords podem ser Todo mundo j possui um roubadas (ex: AD) Single factor Poder reutilizar pwds authentication existentes, e tcnicas de Precisa ser enviado gerenciamento de atravs de um tnel senhas criptografado
Two-factor auth Extensive PKI (server Auto-enrollment simplifica certs, user certs, o PKI machine certs) requer IT/admin dedicados At three-factor auth Processamento mais rpido Overhead significativo Assim mesmo precisar de password ou cert para provisionamento inicial

Soft certificates (armazenados no disco rgido)

EAP-TLS

Hard certificates (USB, TPM) PAC (Protected Access Credential)

EAP-TLS EAP-FAST

30

802.1X Authentication
Recomendaes para Emisso de Credenciais Mutual Authentication
Server dever validar a identidade do cliente e vice versa

Segurana
Credenciais de clientes no podero ser capturadas ou quebradas. PEAP-MSCHAPv2
Server Cert Authentication: Signed by trusted CA Pertence ao allowed server

EAP-TLS
Server Cert Authentication: Signed by trusted CA Pertence ao allowed server

CA
host/alice-xp.mycorp.com MachinePwd

server

CA
client

server

CA

Client Authentication: Username Conhecido Senha Vlida

Encrypted Tunnel

Client Cert Authentication: Signed by trusted CA Verificaes adicionais

31

Quem (ou o Que) Pode ser Autenticado?

User Authentication
alice

Device Authentication

host\XP2

host\XP2

Permite User-Based Access Control e Visibilidade Se Habilitado, Dever Ser Em Adio ao Device Authentication

Permite Dispositivos a Acessar a Rede Antes (ou na ausncia de) User Login Permite Trfego Crtico do Disp. (DHCP, NFS, Machine GPO) Requirido Em Ambientes Cabeados Gerenciados

32

Quem (ou o Que) Dever Ser Autenticado?

O Caso de Negcios & Poltica de Segurana Respondero Caso1: Rede Corporativa
Objetivo: Acesso aos Recursos Corporativos Condies: Um Laptop = Um Usurio

Device Authentication Apenas

Case 2: Call Center

Objetivo: Acesso Diferenciado para Agentes Distintos Condies: Uso Compartilhado de PCs

Device + User Authentication

33

Exemplos de Configurao Autenticao de Machine e User

Control Panel -> Network

MS XP SP2

AuthMode=0: User Auth se o Machine Auth Falhar AuthMode=1: User Auth Enabled AuthMode=2: User Auth Disabled OBS: XP SP2 possui um servio para ambos wired e wireless

MS XP SP2
Authenticate as computer when computer information is available

Start -> Run -> Regedit

XP SP3,Vista, 7

Edite o Network Profile XML: <authMode>machineOrUser</authMode> Adicione o network profile: 1) C:\> netsh lan add profile filename=PathofXMLFile 2) Crie o startup script que lana o arquivo XML para os hosts

KB 929847

OBS: SP3 & Vista possuem dois servios: um para wired, e outro para wireless OBS 2: O servio WiredAutoConfig no habilitado por default no XP SP3 ou Vista
34

Exemplos de Configurao Autenticao de Machine e User

SSC
Windows 7 OS X

35

Exemplo de Credencial de Cliente

Client certs para machine & user auth EAP-TLS Requerido
No CLIENTE: Start -> Run -> MMC -> File -> Add/Remove Snap-in -> Add -> Certificates
DICA: Utilize autoenrollment sempre que possvel

Trusted CA Certificate

Machine Client Certificate

User Client Certificate

36

Authentication Para Dispositivos Clientless

MAC Authentication Bypass (MAB)

Endpoint Host
No Response
No Response No Response Fallback to MAB Learn MAC EAP-Identity-Request EAP-Identity-Request EAP-Identity-Request Link up

Dot1x/MAB 1 0:30 0:20 0:10 0:00 Timeout 2 0:30 0:20 0:10 0:00 Timeout 3 4 5 6
0:00 0:20 0:10 0:30

RADIUS

Timeout

RADIUS-Access Request: 00.0a.95.7f.de.06

7
Port Enabled

RADIUS-Access Accept

00.0a.95.7f.de.06

37

802.1X com MAB

Consideraes de Implantao
MAB habilita controle de acesso diferenciado MAB aproveita as policies centralizadas no servidor AAA Dependncia do timeout do 802.1X -> retardo no acesso a rede
Timeout default de 30 segundos com trs tentativas (90 segundos total) 90 segundos > DHCP timeout.

MAB requer um database de endereos MAC conhecidos

Printer VLAN
Guest VLAN

RADIUS

ACS

LDAP
MAC Database
38

Falhar ou No Falhar o MAB?

Duas opes para endereos MAC desconhecidos

1) MAB Falha controle da sesso passa para o switch

1) Sem Acesso 2) Switch-based Web-Auth 3) Guest VLAN
RADIUS-Access Request (MAB) RADIUS-Access Reject

2) MAC Desconhecido mas MAB Passa

RADIUS-Access Request (MAB) RADIUS-Access Accept Guest Policy

Unknown MAC. Apply Guest Policy

Servidor AAA determina a policy para unknown endpoints (ex: nveis de acesso a rede, re-authentication policy) Bom para controle & visibilidade centralizada de guest policy (VLAN, ACL)
39

802.1X com Web Authentication Bsico

DHCP/DNS
Mltiplos Triggers Port Config nica Auth mais flexvel

Switch

AAA Server

802.1X Timeout 802.1X Failure MAB Failure 2 Port Enabled, Pre-Auth ACL Aplicado
Acesso VLAN somente Pre-Auth ACL dever permitir DHCP, DNS ACL aplicada a porta -> phones devem usar MDA DHCP, ARP trigger State

Host Obtm End. IP, Aciona o Session State

3
Host Abre o Browser 4 Login Page Host Envia a Password

IP HTTP (Secure-)Server Habilitado User Poder ser Questionado por um Cert Trust

Use Web Auth AAA Fail Policy para Falhas do Servio AAA
Server Autoriza o User

Switch Consulta o AAA Server 5 AAA Server Retorna a Policy

6

Switch Aplica a Nova ACL Policy

VLAN assignment no suportado
40

Enhanced Web Auth

Pginas Centralizadas para Login
1) Administrador Cria um Wired Login Page no NGS 2) Wired guest abre o Web browser

3) O Trfego Web interceptado pelo switch e redirecionado para o Guest Server.

4) O Guest Server retorna a pgina de login (1)

(2)

(3)
Redirect

Switch

(4)

41

802.1X com Web-Auth

Consideraes de Implantao

Web-Auth somente para usurios

browser requerido Entrada manual de username/passw

Web-Auth poder ser fallback do 802.1X ou MAB.

Web-Auth e Guest VLAN so mutuamente exclusivos Web-Auth suporta ACL authorization somente

Web-Auth atrs de um IP Phone requer Multi-Domain Authentication (MDA)

42

Consolidando os Mtodos: Flex-Auth

Uma Configurao Atende a Maioria dos Casos

Mltiplos Mtodos

802.1X: devices/users gerenciados MAB: non-802.1X devices WebAuth: non-802.1X users

Ordem e prioridade de mtodos configurveis

Valid MAC Address

Employee

Partner

Alterao 802.1X Guest User do Client Host

Faculty

1X

Valid MAC Addr

802.1X Client

MAB

Flex-Auth permite maior uso de casos com uma nica configurao

EAP 802.1x Credentials & Validated timesSent out or fails Port Authorized

EAP

Known Unknown MAC - Access MAC Accept

Port Authorized

MAB

Guest User

Sub Contractor

WEB

URL

Valid Host Asset

Comportamento configurvel aps a falha ou timeout do 802.1X

Comportamento configurvel quando o servidor AAA morre / ressucita

43

Sequncia do Flex-Auth

Ordem Default: 802.1X Primeiro Flex-Auth Order: MAB Primeiro

Por default, o switch tenta o mtodo mais seguro primeiro.

802.1X
802.1X Timeout

Ordem alternativa tenta o MAB no primeiro pacote do dispositivo

MAB
MAB fails

Timeout poder significar muito delay at ocorrer o MAB.

MAB
MAB fails

802.1X
802.1X Timeout

Guest VLAN

ou

LWA

Guest VLAN

ou

LWA

44

Flex-Auth Order com Flex-Auth Priority

Default Priority: 802.1X ignorado aps um MAB sucedido

MAB
MAB fails

Port Authorized pelo MAB

EAPoL-Start Received

MAB passes

802.1X

Flex-Auth Priority: 802.1X inicia mesmo com MAB sucedido

Priority determina qual mtodo poder sobrepor outros mtodos. Por default, a sequncia de mtodos determina a prioridade (primeiro mtodo possui a prioridade mais alta). Se MAB possui priority, EAPoL-Starts sero ignorados se o MAB passar.
45

O que Authorization?
Authorization o processo de conceder um nvel de acesso rede
Gostaria de sacar R$ 1.000,00. Por favor Voc possui identificao? Sim, possuo. Aqui est.

Obrigado. Aqui esto os mil Reais.

Cinco estgios de authorization:

Pre-Authentication Passed Authentication Failed Authentication No Authentication (no client) No Authentication (AAA server dead)

Trs tipos de MAC Filtering:

Single MAC per port Single MAC per domain per port Multiple MACs per port

46

Authorization:
Opes de Pre-Authentication
Default: Closed

Selectively Open Open

switch(config-if)#authentication open switch(config-if)#ip access-group PRE-AUTH in

switch(config-if)#authentication open

47

Authorization:
Passed Authentication
Default: Open

Alice

Dynamic ACL Dynamic VLAN

48

Authorization:
Failed 802.1X Authentication
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods

?
Next-method*

Auth-Fail VLAN

switch(config-if)#authentication event fail action next-method

*Autorizao Final determinada pelos resultados do prximo mtodo

switch(config-if)#authentication event fail action authorize vlan 50

49

Authorization:
No 802.1X Authentication (no client)
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods

?
Next-method*

Guest VLAN

switch(config-if)#mab
*Autorizao Final determinada pelos resultados do prximo mtodo

switch(config-if)#authentication event no-response action authorize vlan 51

50

Authorization:
No 802.1X Authentication (AAA server dead)
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods

Critical VLAN

switch(config-if)#authentication event server dead action authorize vlan 52

51

Authorization: Single MAC Filtering

Default: Single Host Mode

Mltplos MACs no permitidos para garantir a validade da sesso de autenticada

Hubs, VMWare, Phones, Grat Arp

Aplicvel aos Modos Open e Closed

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto

VM

52

Modificando o Requerimento de Single-MAC

IP Phones
Multi-Domain Authentication (MDA) Host Mode
IEEE 802.1X
MDA

Single device por porta

Single device per domain por porta

Voice Domain

Data Domain

MDA substitui o CDP Bypass Suporta Cisco & 3rd Party Phones Phones e PCs usam 802.1X ou MAB

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-domain
53

Modificando o Requerimento de Single-MAC

Endpoints Virtualizados
Multi-Authentication Host Mode

MAC based enforcement para cada dispositivo

802.1X e/ou MAB Sem dynamic VLAN

interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-auth

VM

54

Resumo do Authorization
Single-host
Authentication Status
Pre-802.1X

Default Authorization
Closed

Alternativa 1
Open Dynamic VLAN Auth-Fail VLAN Guest VLAN Dynamic VLAN Guest VLAN Critical VLAN

Alternativa 2
Selectively Open Dynamic ACL Next-Method Next-Method Dynamic ACL Next-Method

Successful 802.1X Open Failed 802.1X No 802.1X (no client) Successful MAB Failed MAB No 802.1X, MAB (server down) Idem ao Pre-Auth Idem ao Pre-Auth Open Idem ao Pre-Auth Idem ao Pre-Auth

Multi-Domain-Auth Multi-Auth

55

Qual o Cenrio de Implantao mais Indicado?

Um conjunto de guias de configurao projetadas para atender a um objetivo especfico
Simplificar a implantao com um blueprint validado

Aumentar a eficincia atravs da combinao de fatores que interagem mais eficientemente

Implantaes por fases para o mnimo de impacto no usurio final

Customizar o blueprint bsico conforme exigido

Princpios Bsicos:
Comee simples

Inicie com restries mnimas

Evolua conforme necessrio
56

Cenrio1: Viso do Monitor Mode

Objetivos do Monitor Mode
Sem impacto no acesso existente a rede Observe
o que est na rede quem tem um supplicant quem tem boas credentials quem tem bad credentials

Monitor Mode: Como Fazer

Habilitar o 802.1X & MAB
Habilitar o Open Access
Todo o trfego em adio ao EAP permitido

Critrio e deteco

como se no tivesse 802.1X habilitado, exceto que as autenticaes ainda ocorrero

Habilitar Multi-Auth Host-Mode

Desabilitar o Authorization

SSC

57

Monitor Mode: Tabela de Acesso a Rede

Endpoints Todos Funcionrios Authentication Status Pre-802.1X Successful 802.1X Failed 802.1X No 802.1X (no client) Successful MAB Successful 802.1X Successful MAB Failed MAB No 802.1X, MAB (server down) Authorization (Network Access) Open Open Open Next-Method (MAB)

Multi-Auth

Funcionrios Failed Terceirizados/Guest Recurso Corporativo Terceirizado/Guest Recurso Corporativo Phones

Open Open

Phones
Terceirizado/Guest Todos

Open
Open Open
58

Monitor Mode: Switch

Global Config do Switch
aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control radius-server host 10.100.10.150 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication Note que o aaa network authorization no configurado, portanto mesmo que o servidor AAA envie dynamic VLAN/ACL authorization, o switch ignorar estas mensagens

Interface Config do Switch

interface GigabitEthernet1/4 switchport access vlan 60 switchport mode access switchport voice vlan 61 authentication host-mode multi-auth authentication open authentication port-control auto mab Basic dot1x pae authenticator

Monitor Mode 802.1X/MAB

59

Monitor Mode: AAA Server e Endpoints

AAA Server
Dever ser completamente configurado, exceto para a authorization policy:
Comunicao com os clientes AAA (ex: switches) Comunicao com um repositrio de credenciais (ex: AD, MAC Database) PKI (CA certs, server cert) Configurao EAP

Endpoints
Dever ser completamente configurado:
PKI (CA certs, client cert) ou outras credenciais Supplicants configurados & instalados onde for suportado Habilitar machine auth Habilitar user auth se necessrio

Configurao MAB

60

Monitor Mode: Prximos Passos

Monitor Mode
Analisar o Risco Remanescente Preparar a Rede para Access Control nas Fases Seguintes

SSC

RADIUS Authentication & Accounting Logs

Passed/failed 802.1x/eap attempts
Lista de endpoints 802.1X-capable vlidos Lista de endpoints 802.1X-capable invlidos

Passed/Failed MAB attempts

Lista de endereos MACs vlidos Lista de endereos MAC invlidos ou desconhecidos
61

Cenrio 2: Modo de Baixo Impacto

Objetivos do Low Impact Mode Low Impact Mode: How To Inicie do Monitor Mode Adicione novos recursos para access-control
downloadable ACLs Negociao flexvel do auth fail

Iniciar o Controle Diferenciado do Acesso a Rede

Minimizar Impacto para o Acesso Existente a Rede Reter Visibilidade do Monitor Mode Low Impact == sem necessidade de reprojetar a sua rede
Manter o projeto de VLAN existente Minimizar mudanas na LAN

Limite o nmero de dispositivos conectando para a porta Adicione novos recursos para suportar IP Phones

62

Baixo Impacto: Tabela de Acesso a Rede

Endpoints Authentication Status Pre-802.1X Successful 802.1X Failed 802.1X No 802.1X (no client) Successful MAB Successful 802.1X Successful MAB Failed MAB No 802.1X, MAB (server down) Authorization

Single-host

Todos Funcionrios Funcionrios Failed Terceirizados/Guest Recurso Corporativo Terceirizado/Guest Recurso Corporativo

Selectively Open
Dynamic ACL Next-Method (MAB)

Next-Method (MAB)

Dynamic ACL Dynamic ACL + Voice VSA Dynamic ACL + Voice VSA Idem ao Pre-Auth Idem ao Pre-Auth
63

Multi-Domain-Auth (with link-state solution)

Phones Phones Terceirizado/Guest Todos

Baixo Impacto: Switch

Switch Global Config (adicione para o Monitor Mode)
aaa authorization network default group radius ip device-tracking Pre-Authentication Port Authorization State

Switch Interface Config

interface GigabitEthernet1/4 switchport access vlan 60 switchport mode access switchport voice vlan 61 ip access-group PRE-AUTH in authentication open authentication port-control auto mab dot1x pae authenticator

Pinhole de portas tcp/udp explcitas para permitir o acesso desejado Bloqueia o Acesso Geral At o 802.1X, MAB ou WebAuth Bem Sucedido
Para Low Impact
Do Monitor Mode

64

Consideraes sobre o Pre-Auth ACL

Abordagem1: Bloqueio Seletivo de Trfego
Proteger seletivamente certos recursos/subredes Baixo risco acidental de bloquear trfego desejado
Exemplo: Bloquear usurios no autenticados ao Servidor de Finanas X ACL X X X
Progresso ACL

Abordagem 2: Seletivamente Permitir Trfego

Mais seguro, melhor controle Poder bloquear trfego legtimo
Exemplo: Somente permitir acesso pre-auth para PXE devices bootarem

ACL

Pre-auth port ACL arbitrrio poder progredir conforme voc possuir melhor conhecimento sobre o trfego em sua rede Lembre-se: Esta ACL estar em ao antes da autenticao e aps as autenticaes que falharam.
65

Modo Baixo Impacto: Servidor AAA

Configure downloadable ACLs para os usurios autenticados
Switch dinamicamente substitui os endereos dos endpoints

Pre-Auth ACL

permit ip host 10.100.20.200 any permit tcp any any established permit udp any any eq bootps permit udp any host 10.100.10.116 eq domain permit udp any host 10.100.10.117 eq tftp

SSC

Contedos da dACL so arbitrrios. Poder haver tantas dACLs nicas quanto grupos para permisso de usurios Mesmos princpios que o pre-auth port ACL
66

Baixo Impacto: Failed Authentication

Dispositivos que falham no 802.1X tero acesso restrito (Pre-Auth ACL) Pergunta de Poltica: Isto representa acesso suficiente? Alternativa: configurar um mecanismo de autenticao para failback authentication (ex: MAB) com policy de autorizao apropriada
Cert expired

SSC

No consigo acssar o website de TI!

Switch Interface Config

interface GigabitEthernet1/4 switchport access vlan 60 switchport mode access switchport voice vlan 61 ip access-group PRE-AUTH in authentication event fail action next-method authentication open authentication port-control auto mab dot1x pae authenticator
Cert expired MAB passed

SSC

HTTP agora permitido

67

Baixo Impacto: Host Mode

Com Multi-Auth, port piggybacking no pode ser mitigado to eficazmente.
No modo Low Impact, transio para Multi-domain (para IP Telephony) ou Single-host (non-IPT).
Switch Interface Config
interface GigabitEthernet1/4 switchport access vlan 60 switchport mode access switchport voice vlan 61 ip access-group PRE-AUTH in authentication host-mode multi-domain authentication open authentication event fail action next authentication port-control auto mab dot1x pae authenticator

68

802.1X EAP Methods em Phones

Method EAP-MD5 Phone Credential Username / password Consideraes de Implantao Password manualmente configurada no telefone Phone name / password devero estar no AAA database No suportado no ACS 5.0 ou 5.1 Suportado no ACS 4.2 com PAC-Free + recurso PKI Authz Bypass no NAP Nunca precisar mexer no phone: Toda a config feita no CUCM GUI (7.1.2) ACS 5 no requer username lookup aps a validao do TLS cert -> No necessrio inserir os nomes dos phones em qualquer database
69

EAP-FAST with TLS

MIC ou LSC

EAP-TLS

MIC ou LSC

Cert-based 802.1X Tranquilo com Cisco IP Phones e ACS 5! Pre-installed em cada phone que
Certificates Pr-Instalados
suporta EAP-TLS & EAP-FAST Automaticamente usado se o 802.1X estiver habilitado Exporta Cisco Man Root Sub CA e Cisco Root CA do CUCM para o ACS Fcil de combinar com ACS 5 Authz rule

Certificates de Significncia Local

LSCs so controlados pelo cliente CUCM emite LSCs para os phones CAPF pode ser self- ou CA-signed Exporta CAPF e CA root certs do CUCM para ACS Coincide com o ACS 5 Authz rule

CAPF

70

Habilitando 802.1X nos phones

Mtodo Antigo
Novo Mtodo (CUCM 7.1.2)

No Phone Config ou BAT Template Selecione Enabled No necessrio tocar no telefone Phone dever estar na rede quando isto for feito. 71

Habilitando Post-Deployment de 802.1X

Como voc habilita o 802.1X em um phone via a rede se o phone precisa do 802.1X para acessar a rede? 1. Staging Area sem 802.1X
Boot inicial do phone em uma rede sem 802.1X

2. Faa como o Old Way

Funciona bem, mas no em massa

3. MAB -> 802.1X

Use o MAB para o dispositivo acessar a rede Conceda acesso suficiente para baixar a config O phone reinicia com o 802.1X habilitado

4. Low Impact Mode

72

Exemplo: Usando o Low Impact Mode para bootstrap de um Novo Phone

10.100.10.238

permit ip host 10.100.20.200 any permit udp any any eq bootps Pre-Auth permit udp any host 10.100.10.238 eq tftp ACL permit udp any host 10.100.10.238 range 32768 61000

Pre-auth ACL permite acesso suficiente para config, CTL Nova config habilita o 802.1X no phone Aps o 802.1X, o phone ter acesso completo Mesmo conceito poder ter o MAB para permitir o acesso dos phones antes do timeout do 802.1X
73

O Incidente do Link State do IP Phone

1) Usurios legtimos podem causar violaes de segurana
Porta autorizada para 0011.2233.4455 apenas

A
S:0011.2233.4455

Catalyst 3750 SERIES

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 15X 17X 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 31X 33X 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 47X 1 3

SYST RPS MASTR STAT DUPLX SPEED STACK MODE

1X

2 2X 16X 18X 32X 34X 48X

B
S:6677.8899.AABB

Violao de segurana

2) Hackers podero spoofar o MAC para acessar a rede sem autenticao A

S:0011.2233.4455 S:0011.2233.4455
Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 15X 17X 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 31X 33X 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 47X 1 3

SYST RPS MASTR STAT DUPLX SPEED STACK MODE

1X

2 2X 16X 18X 32X 34X 48X

Brecha na segurana

74

Link State: Trs Solues

Session Cleared

Proxy EAPoL-Logoff
Catalyst 3750 SERIES
37 38 39 40 41 42 43 44 45 46 47 48 47X 1 3 2 4 48X

SSC

Proxy EAPoL-Logoff
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 15X 17X 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 31X 33X 33 34 35 36

SYST RPS MASTR STAT DUPLX SPEED STACK MODE

1X

2X

16X 18X

32X 34X

Somente funciona para endpoints 802.1X Requer phone com recurso Logoff

Inactivity Timer

Session Cleared
Catalyst 3750 SERIES

Inactivity Timer
1 3 2 4

10

11 12

13 14

15 16 15X 17X

17 18

19 20

21 22

23 24

25 26

27 28

29 30

31 32 31X 33X

33 34

35 36

37 38

39 40

41 42

43 44

45 46

47 48 47X

SYST RPS MASTR STAT DUPLX SPEED STACK MODE

1X

2X

16X 18X

32X 34X

48X

Funciona para endpoints MAB Porta vulnervel durante o timeout Dispositivos ociosos so desconectados

Session Cleared CDP Link Down

Catalyst 3750 SERIES
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 15X 17X 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 31X 33X 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 47X 1 3

CDP 2nd Port Status

2 4 48X

SYST RPS MASTR STAT DUPLX SPEED STACK MODE

1X

2X

16X 18X

32X 34X

MAB & 802.1X Endpoints IP Phone: 8.4(1) 3K: 12.2(50)SE 4K: 12.2(50)SG 6K: 12.2(33)SXI

75

MAC Move
1
PC MAC: 00-1C-25-BA-6D-3B

PC connects (assume 802.1X/MAB process occurs) Authentication Succeeds CAM Table updated (MAC/Port) PC Moved to new location PC Authenticates (802.1X/MAB) CAM Table updated with new entry
CAM TABLE MAC Addr
00-1C-25-BA-6D-3B 00-1C-25-BA-6D-3B

2
3
Intermediary Device

Escritrio

4 5 6

Switchport
Gigabit Ethernet 1/0/1 Gigabit Ethernet 1/0/14

Wiring Closet
Sala de Reunies

authentication mac-move permit

ACS - AAA RADIUS

76

Low Impact In a Nutshell

Resumo
Dynamic ACL-based Access Control Impacto Mnimo para os Endpoints Suporta Cenrios Bootstrap Impacto Mnimo na Rede Sem mudanas nas VLANs

Prximos Passos
Monitorar a Rede Ajustar as ACLs conforme necessrio Avaliar os Riscos Restantes

77

Cenrio 3: High Security Mode

High Security Mode
Sem acesso antes da autenticao Rpido acesso para dispositivos corporativos sem suporte ao 802.1X Isolamento lgico do trfego na borda

High Security: How To

Retorne para o acesso default closed
Alterar os Timers Authentication Order

Implementar atribuio de VLANs identity-based

Soluo de Virtualizao de Rede

78

High Security Mode: Tabela de Acesso a Rede

Endpoint Authentication Status Pre-802.1X Successful 802.1X Failed 802.1X No 802.1X (no client) Authorization Closed Dynamic VLAN Guest-Fail-Critical VLAN Next-Method (ativado por default se MAB = ligado)

Single-host

Todos Funcionrios Funcionrios Failed, Terceirizados, Guest Recursos Corporativos, Terceirizado,Guest

Recursos Corporativos

Successful MAB
Successful 802.1X Successful MAB Failed MAB No 802.1X, MAB (server down)

Dynamic VLAN
Voice VSA Voice VSA Guest-Fail-Critical VLAN Guest-Fail-Critical VLAN
79

Multi-Domain-Auth (com soluo link-state

Phones Phones Terceirizado/Guest Todos

802.1X e Dynamic VLANs

Consideraes de Implantao

Network 10.10.10.x/24 10.10.20.x/24 10.10.30.x/24 10.10.40.x/24

Interface G0/1 G0/2 G0/3 G0/4

10.10.50.x/24

G0/5

VLAN 10: DATA VLAN 20: VOICE

10.10.10.x/24 10.10.20.x/24

VLAN 30: MACHINE 10.10.30.x/24

VLAN 40: ENG 10.10.40.x/24

VLAN 50: UNAUTH 10.10.50.x/24

Cada VLAN Atribuda Dever ser Definida em Todos os Switches de Acesso

Mais VLANs para Trunking (Multi-Layer Deployments) Mais Subredes para Routing (mitigado pelo VSS)

Melhor Prtica: Usar o Menor Nmero Possvel de VLANs

80

802.1X e Dynamic VLANs

Consideraes de Implantao
Non-802.1X Endpoints
Sem conhecimento de mudanas de VLAN, sem mecanismos para alterar o endereo IP Melhor Prtica: Dynamic VLAN em High Security Mode apenas

802.1X Endpoints Antigos (ex: Windows XP)

Supplicants podem renovar o endereo IP em mudana de VLAN mas o OS poder no lidar corretamente (sem impacto) com a mudana do endereo IP Melhor Prtica: Use a mesma VLAN para o User e Machine Auth

Novos 802.1X Endpoints (ex: Windows Vista, 7)

Supplicant e OS podem lidar bem com mudanas de VLAN/IP Melhor Prtica: Usar a VLAN policy que melhor atender a sua necessidade de segurana.

81

High Security Mode: Switch

Switch Global Config (Adiciona para o Monitor Mode)
aaa authorization network default group radius vlan 60 name data vlan 61 name voice vlan 62 name video vlan 63 name fail-guest-critical

Switch Interface Config

interface GigabitEthernet1/4 switchport access vlan 60 switchport mode access switchport voice vlan 61 no authentication open authentication event fail authorize vlan 63 authentication event no-response authorize vlan 63 authentication event server dead action authorize vlan 63 authentication port-control auto mab dot1x pae authenticator

Auth-Fail VLAN Guest VLAN* Critical VLAN

*No necessrio se o servidor AAA possuir uma Unknown MAC policy 82

High Security Mode: Servidor AAA

Se nenhuma VLAN for enviada, o switch utilizar a VLAN esttica definida no switchport Configura dynamic VLANs para qualquer usurio que dever estar em uma VLAN diferente

83

Exemplo de Cenrio de 802.1X com Catalyst 6500 (IOS) e Cisco ACS

Topologia empregada neste exemplo

84

Exemplo de Configurao no Catalyst 6500

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Cat6K ! Configura o hostname para o switch.

Cat6K(config)#vlan 2
Cat6K(configvlan)#name VLAN2 Cat6K(configvlan)#vlan 3 Cat6K(configvlan)#name VLAN3 ! VLAN dever existir no switch para uma autenticao bem sucedida. Cat6K(configvlan)#vlan 10 Cat6K(configvlan)#name RADIUS_SERVER ! Esta uma VLAN dedicada para o servidor RADIUS. Cat6K(configvlan)#exit Cat6K(configif)#interface fastEthernet3/1
85

Exemplo de Configurao no Catalyst 6500 (cont)

Cat6K(configif)#switchport Cat6K(configif)#switchport mode access Cat6K(configif)#switchport access vlan 10 Cat6K(configif)#no shut ! Atribui a porta conectada ao servidor RADIUS para a VLAN 10. ! OBS: Todas as portas ativas de acesso esto na VLAN 1 por default. Cat6K(configif)#exit

Cat6K(config)#dot1x systemauthcontrol
! Habilita globalmente o 802.1x. Cat6K(config)#interface range fastEthernet3/248 Cat6K(configifrange)#switchport

Cat6K(configifrange)#switchport mode access

Cat6K(configifrange)#dot1x portcontrol auto Cat6K(configifrange)#no shut ! Habilita o 802.1x em todas as interfaces FastEthernet.

Cat6K(configifrange)#exit

86

Exemplo de Configurao no Catalyst 6500 (cont)

Cat6K(config)#aaa newmodel
! Habilita o AAA. Cat6K(config)#aaa authentication dot1x default group radius ! Method list dever ser default. Do contrrio dot1x no funcionar.

Cat6K(config)#aaa authorization network default group radius

! Voc precisa de authorization para atribuio dinmica de VLANs para trabalhar com o RADIUS. Cat6K(config)#radiusserver host 172.16.1.1

! Configura o endereo IP do servidor RADIUS.

Cat6K(config)#radiusserver key cisco ! Esta key dever coincidir com a key usada no servidor RADIUS.

87

Exemplo de Configurao no Catalyst 6500 (cont)

Cat6K(config)#interface vlan 10
Cat6K(configif)#ip address 172.16.1.2 255.255.255.0 Cat6K(configif)#no shut ! Este usado como endereo de gateway no servidor RADIUS

! e tambm como identificador de cliente no servidor RADIUS.

Cat6K(configif)#interface vlan 2 Cat6K(configif)#ip address 172.16.2.1 255.255.255.0 Cat6K(configif)#no shut ! Este o endereo de gateway para clientes da VLAN 2. Cat6K(configif)#interface vlan 3 Cat6K(configif)#ip address 172.16.3.1 255.255.255.0 Cat6K(configif)#no shut ! Este o endereo de gateway para clientes da VLAN 3. Cat6K(configif)#exit
88

Exemplo de Configurao no Catalyst 6500 (cont)

Cat6K(config)#ip dhcp pool vlan2_clients
Cat6K(dhcpconfig)#network 172.16.2.0 255.255.255.0 Cat6K(dhcpconfig)#defaultrouter 172.16.2.1 ! Este pool atribui endereos IP para os clientes da VLAN 2.

Cat6K(dhcpconfig)#ip dhcp pool vlan3_clients

Cat6K(dhcpconfig)#network 172.16.3.0 255.255.255.0 Cat6K(dhcpconfig)#defaultrouter 172.16.3.1 ! Este pool atribui os endereos IP para os clientes da VLAN 3. Cat6K(dhcpconfig)#exit Cat6K(config)#ip dhcp excludedaddress 172.16.2.1 Cat6K(config)#ip dhcp excludedaddress 172.16.3.1 Cat6K(configif)#end

89

Configurao do Servidor RADIUS (Cisco ACS)

90

Configurao do Servidor RADIUS (cont)

91

Configurao do Servidor RADIUS (cont)

92

93

94

95

Configurao do Cliente (Windows XP)

96

Acessando a Rede no Windows XP

97

98

Em Caso de Falhas na Autenticao...

99