Escolar Documentos
Profissional Documentos
Cultura Documentos
O que AAA?
Desafios do AAA
Como posso facilmente controlar a autenticao de usurios e o acesso para a rede?
Como eu posso rastrear e reportar o comportamento do usurio na rede, e manter um registro sobre cada acesso? Como eu posso reduzir os esforos sobre o gerenciamento do acesso rede?
5
Consome tempo
Dificulta a logstica
Administrao de Dispositivo
Opes de acessos e privilgios limitadas No escalvel
A Melhor Forma
AAA Client/Server
AAA Client defere autorizao para servidor AAA centralizado Altamente escalvel Utiliza protocolos baseados em padres para servios AAA
7
Protocolos AAA
Opes de senhas
Senhas simples e separadas Inbound / outbound Password aging
Diferentes nveis de servio por usurio ou grupo Permite ou rejeita logins baseados em dia/hora
11
Identificao de Caller-line
12
Authentication Acesso por usurio, grupo, ou grupo de dispositivos de rede Authorization Comandos do Cisco IOS por usurio, grupo, ou network device group Accontung Lista de comandos executados pelo usurio durante a sesso
13
14
15
16
17
18
19
20
Roadmap: Planejamento
21
802.1X
22
23
24
25
O que Authentication?
Authentication o processo de estabelecimento e confirmao da identidade de um cliente requisitante de servios.
Eu gostaria de sacar R$ 1000,00. Por favor Voc possui alguma identificao? Sim, possuo. Aqui est.
Authenticator
Cisco Catalyst Switches & WLAN
Authentication Server
Cisco ACS
Supplicant
Authenticator
RADIUS
AAA Server
Port-Based
Authentication
Utilizando encapsulamento via Extensible Authentication Protocol (EAP) over IEEE 802 media EAPoL
27
Layer 2 Point-to-Point
Layer 3 Link
EAPoL Start EAPoL Request Identity EAPoL Response Identity RADIUS Access Request
[AVP: EAP-Response: Alice]
EAP-Request: PEAP
RADIUS Access-Challenge
[AVP: EAP-Request PEAP]
EAP-Response: PEAP
EAP Success
RADIUS Access-Accept
[AVP: EAP Success] [AVP: VLAN 10, dACL-n]
28
Fatores Decisivos
Poltica de Segurana Validao Distribuio & Manuteno
Certificate Authority
Token Server
Username/Pwd Directory
802.1X Authentication
Credentials
Tipo de Credencial
Username Password
Exemplo de EAP-Type
PEAPMSCHAPv2
Conceito familiar Passwords podem ser Todo mundo j possui um roubadas (ex: AD) Single factor Poder reutilizar pwds authentication existentes, e tcnicas de Precisa ser enviado gerenciamento de atravs de um tnel senhas criptografado
Two-factor auth Extensive PKI (server Auto-enrollment simplifica certs, user certs, o PKI machine certs) requer IT/admin dedicados At three-factor auth Processamento mais rpido Overhead significativo Assim mesmo precisar de password ou cert para provisionamento inicial
EAP-TLS
EAP-TLS EAP-FAST
30
802.1X Authentication
Recomendaes para Emisso de Credenciais Mutual Authentication
Server dever validar a identidade do cliente e vice versa
Segurana
Credenciais de clientes no podero ser capturadas ou quebradas. PEAP-MSCHAPv2
Server Cert Authentication: Signed by trusted CA Pertence ao allowed server
EAP-TLS
Server Cert Authentication: Signed by trusted CA Pertence ao allowed server
CA
host/alice-xp.mycorp.com MachinePwd
server
CA
client
server
CA
Encrypted Tunnel
Device Authentication
host\XP2
host\XP2
Permite User-Based Access Control e Visibilidade Se Habilitado, Dever Ser Em Adio ao Device Authentication
Permite Dispositivos a Acessar a Rede Antes (ou na ausncia de) User Login Permite Trfego Crtico do Disp. (DHCP, NFS, Machine GPO) Requirido Em Ambientes Cabeados Gerenciados
32
33
MS XP SP2
AuthMode=0: User Auth se o Machine Auth Falhar AuthMode=1: User Auth Enabled AuthMode=2: User Auth Disabled OBS: XP SP2 possui um servio para ambos wired e wireless
MS XP SP2
Authenticate as computer when computer information is available
XP SP3,Vista, 7
Edite o Network Profile XML: <authMode>machineOrUser</authMode> Adicione o network profile: 1) C:\> netsh lan add profile filename=PathofXMLFile 2) Crie o startup script que lana o arquivo XML para os hosts
KB 929847
OBS: SP3 & Vista possuem dois servios: um para wired, e outro para wireless OBS 2: O servio WiredAutoConfig no habilitado por default no XP SP3 ou Vista
34
35
Trusted CA Certificate
Endpoint Host
No Response
No Response No Response Fallback to MAB Learn MAC EAP-Identity-Request EAP-Identity-Request EAP-Identity-Request Link up
Dot1x/MAB 1 0:30 0:20 0:10 0:00 Timeout 2 0:30 0:20 0:10 0:00 Timeout 3 4 5 6
0:00 0:20 0:10 0:30
RADIUS
Timeout
7
Port Enabled
RADIUS-Access Accept
00.0a.95.7f.de.06
37
Printer VLAN
Guest VLAN
RADIUS
ACS
LDAP
MAC Database
38
Servidor AAA determina a policy para unknown endpoints (ex: nveis de acesso a rede, re-authentication policy) Bom para controle & visibilidade centralizada de guest policy (VLAN, ACL)
39
Switch
AAA Server
802.1X Timeout 802.1X Failure MAB Failure 2 Port Enabled, Pre-Auth ACL Aplicado
Acesso VLAN somente Pre-Auth ACL dever permitir DHCP, DNS ACL aplicada a porta -> phones devem usar MDA DHCP, ARP trigger State
3
Host Abre o Browser 4 Login Page Host Envia a Password
IP HTTP (Secure-)Server Habilitado User Poder ser Questionado por um Cert Trust
Use Web Auth AAA Fail Policy para Falhas do Servio AAA
Server Autoriza o User
(2)
(3)
Redirect
Switch
(4)
41
42
Mltiplos Mtodos
Employee
Partner
1X
802.1X Client
MAB
EAP
MAB
Guest User
Sub Contractor
WEB
URL
Sequncia do Flex-Auth
802.1X
802.1X Timeout
MAB
MAB fails
MAB
MAB fails
802.1X
802.1X Timeout
Guest VLAN
ou
LWA
Guest VLAN
ou
LWA
44
MAB
MAB fails
EAPoL-Start Received
MAB passes
802.1X
Priority determina qual mtodo poder sobrepor outros mtodos. Por default, a sequncia de mtodos determina a prioridade (primeiro mtodo possui a prioridade mais alta). Se MAB possui priority, EAPoL-Starts sero ignorados se o MAB passar.
45
O que Authorization?
Authorization o processo de conceder um nvel de acesso rede
Gostaria de sacar R$ 1.000,00. Por favor Voc possui identificao? Sim, possuo. Aqui est.
46
Authorization:
Opes de Pre-Authentication
Default: Closed
switch(config-if)#authentication open
47
Authorization:
Passed Authentication
Default: Open
Alice
48
Authorization:
Failed 802.1X Authentication
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods
?
Next-method*
Auth-Fail VLAN
Authorization:
No 802.1X Authentication (no client)
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods
?
Next-method*
Guest VLAN
switch(config-if)#mab
*Autorizao Final determinada pelos resultados do prximo mtodo
Authorization:
No 802.1X Authentication (AAA server dead)
Default: Closed
Priority, Order FlexAuth Timeout, AAA Failed Down Methods
Critical VLAN
VM
52
Data Domain
MDA substitui o CDP Bypass Suporta Cisco & 3rd Party Phones Phones e PCs usam 802.1X ou MAB
interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-domain
53
interface fastEthernet 3/48 dot1x pae authenticator authentication port-control auto authentication host-mode multi-auth
VM
54
Resumo do Authorization
Single-host
Authentication Status
Pre-802.1X
Default Authorization
Closed
Alternativa 1
Open Dynamic VLAN Auth-Fail VLAN Guest VLAN Dynamic VLAN Guest VLAN Critical VLAN
Alternativa 2
Selectively Open Dynamic ACL Next-Method Next-Method Dynamic ACL Next-Method
Successful 802.1X Open Failed 802.1X No 802.1X (no client) Successful MAB Failed MAB No 802.1X, MAB (server down) Idem ao Pre-Auth Idem ao Pre-Auth Open Idem ao Pre-Auth Idem ao Pre-Auth
Multi-Domain-Auth Multi-Auth
55
Princpios Bsicos:
Comee simples
Critrio e deteco
Desabilitar o Authorization
SSC
57
Multi-Auth
Open Open
Phones
Terceirizado/Guest Todos
Open
Open Open
58
59
AAA Server
Dever ser completamente configurado, exceto para a authorization policy:
Comunicao com os clientes AAA (ex: switches) Comunicao com um repositrio de credenciais (ex: AD, MAC Database) PKI (CA certs, server cert) Configurao EAP
Endpoints
Dever ser completamente configurado:
PKI (CA certs, client cert) ou outras credenciais Supplicants configurados & instalados onde for suportado Habilitar machine auth Habilitar user auth se necessrio
Configurao MAB
60
SSC
Limite o nmero de dispositivos conectando para a porta Adicione novos recursos para suportar IP Phones
62
Single-host
Todos Funcionrios Funcionrios Failed Terceirizados/Guest Recurso Corporativo Terceirizado/Guest Recurso Corporativo
Selectively Open
Dynamic ACL Next-Method (MAB)
Next-Method (MAB)
Dynamic ACL Dynamic ACL + Voice VSA Dynamic ACL + Voice VSA Idem ao Pre-Auth Idem ao Pre-Auth
63
Pinhole de portas tcp/udp explcitas para permitir o acesso desejado Bloqueia o Acesso Geral At o 802.1X, MAB ou WebAuth Bem Sucedido
Para Low Impact
Do Monitor Mode
64
ACL
Pre-auth port ACL arbitrrio poder progredir conforme voc possuir melhor conhecimento sobre o trfego em sua rede Lembre-se: Esta ACL estar em ao antes da autenticao e aps as autenticaes que falharam.
65
Pre-Auth ACL
permit ip host 10.100.20.200 any permit tcp any any established permit udp any any eq bootps permit udp any host 10.100.10.116 eq domain permit udp any host 10.100.10.117 eq tftp
SSC
Contedos da dACL so arbitrrios. Poder haver tantas dACLs nicas quanto grupos para permisso de usurios Mesmos princpios que o pre-auth port ACL
66
SSC
SSC
67
68
MIC ou LSC
EAP-TLS
MIC ou LSC
Cert-based 802.1X Tranquilo com Cisco IP Phones e ACS 5! Pre-installed em cada phone que
Certificates Pr-Instalados
suporta EAP-TLS & EAP-FAST Automaticamente usado se o 802.1X estiver habilitado Exporta Cisco Man Root Sub CA e Cisco Root CA do CUCM para o ACS Fcil de combinar com ACS 5 Authz rule
CAPF
70
No Phone Config ou BAT Template Selecione Enabled No necessrio tocar no telefone Phone dever estar na rede quando isto for feito. 71
10.100.10.238
permit ip host 10.100.20.200 any permit udp any any eq bootps Pre-Auth permit udp any host 10.100.10.238 eq tftp ACL permit udp any host 10.100.10.238 range 32768 61000
Pre-auth ACL permite acesso suficiente para config, CTL Nova config habilita o 802.1X no phone Aps o 802.1X, o phone ter acesso completo Mesmo conceito poder ter o MAB para permitir o acesso dos phones antes do timeout do 802.1X
73
A
S:0011.2233.4455
1X
B
S:6677.8899.AABB
Violao de segurana
1X
Brecha na segurana
74
Proxy EAPoL-Logoff
Catalyst 3750 SERIES
37 38 39 40 41 42 43 44 45 46 47 48 47X 1 3 2 4 48X
SSC
Proxy EAPoL-Logoff
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 15X 17X 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 31X 33X 33 34 35 36
1X
2X
16X 18X
32X 34X
Somente funciona para endpoints 802.1X Requer phone com recurso Logoff
Inactivity Timer
Session Cleared
Catalyst 3750 SERIES
Inactivity Timer
1 3 2 4
10
11 12
13 14
15 16 15X 17X
17 18
19 20
21 22
23 24
25 26
27 28
29 30
31 32 31X 33X
33 34
35 36
37 38
39 40
41 42
43 44
45 46
47 48 47X
1X
2X
16X 18X
32X 34X
48X
Funciona para endpoints MAB Porta vulnervel durante o timeout Dispositivos ociosos so desconectados
1X
2X
16X 18X
32X 34X
MAB & 802.1X Endpoints IP Phone: 8.4(1) 3K: 12.2(50)SE 4K: 12.2(50)SG 6K: 12.2(33)SXI
75
MAC Move
1
PC MAC: 00-1C-25-BA-6D-3B
PC connects (assume 802.1X/MAB process occurs) Authentication Succeeds CAM Table updated (MAC/Port) PC Moved to new location PC Authenticates (802.1X/MAB) CAM Table updated with new entry
CAM TABLE MAC Addr
00-1C-25-BA-6D-3B 00-1C-25-BA-6D-3B
2
3
Intermediary Device
Escritrio
4 5 6
Switchport
Gigabit Ethernet 1/0/1 Gigabit Ethernet 1/0/14
Wiring Closet
Sala de Reunies
76
Resumo
Dynamic ACL-based Access Control Impacto Mnimo para os Endpoints Suporta Cenrios Bootstrap Impacto Mnimo na Rede Sem mudanas nas VLANs
Prximos Passos
Monitorar a Rede Ajustar as ACLs conforme necessrio Avaliar os Riscos Restantes
77
78
Single-host
Recursos Corporativos
Successful MAB
Successful 802.1X Successful MAB Failed MAB No 802.1X, MAB (server down)
Dynamic VLAN
Voice VSA Voice VSA Guest-Fail-Critical VLAN Guest-Fail-Critical VLAN
79
10.10.50.x/24
G0/5
10.10.10.x/24 10.10.20.x/24
81
83
84
Cat6K(config)#vlan 2
Cat6K(configvlan)#name VLAN2 Cat6K(configvlan)#vlan 3 Cat6K(configvlan)#name VLAN3 ! VLAN dever existir no switch para uma autenticao bem sucedida. Cat6K(configvlan)#vlan 10 Cat6K(configvlan)#name RADIUS_SERVER ! Esta uma VLAN dedicada para o servidor RADIUS. Cat6K(configvlan)#exit Cat6K(configif)#interface fastEthernet3/1
85
Cat6K(config)#dot1x systemauthcontrol
! Habilita globalmente o 802.1x. Cat6K(config)#interface range fastEthernet3/248 Cat6K(configifrange)#switchport
Cat6K(configifrange)#exit
86
87
89
90
91
92
93
94
95
96
97
98
99