Regresa

Por qué la automatización es imprescindible para implementar 802.1x en una red cableada

NB autor by Felipe Gervasi 4 de mayo de 2018

he estado haciendo un montón de 802.1x proyectos últimamente. Y por mucho, quiero decir mucho. Soluciones como el motor de servicios de identidad de Cisco, Packetfence y nuestro antiguo servidor de políticas de red favorito de Microsoft se están convirtiendo rápidamente en la piedra angular del acceso a la red cableada en lugar de un caso de esquina interesante solo para el más preocupado por la seguridad.

Para mí, los mayores desafíos no han sido las políticas, las integraciones o las licencias (no me hagan empezar con las licencias). El mayor desafío para implementar 802.1x en una red cableada ha sido el increíble tedio de deteccion de redes y tener que configurar cada uno de los puertos de conmutación en la capa de acceso.

Normalmente iniciamos sesión en nuestra computadora unida al dominio y nos autenticamos con un nombre de usuario y contraseña en un directorio LDAP como Microsoft Active Directory. Esto controla el acceso a los recursos de la red, como archivos compartidos, aplicaciones e impresoras de red. Sin embargo, el uso de autenticación y autorización 802.1x nos permite llevar la seguridad de la red a un nivel completamente nuevo.

Una solución 802.1x como Cisco ISE puede usar la misma base de datos LDAP de back-end para otorgar o denegar el acceso a la red. En otras palabras, el switchport ni siquiera reenviará el tráfico si un usuario final no se autentica. Y en lugar de usar solo un nombre de usuario y una contraseña, una solución sólida de acceso a la red puede considerar múltiples condiciones para otorgar acceso.

El mayor desafío para implementar 802.1x en una red cableada ha sido el increíble tedio del descubrimiento de la red y tener que configurar cada uno de los puertos de conmutación en la capa de acceso.

 

El enfoque manual: una pesadilla de meses

Hoy en día, muchas organizaciones están yendo aún más lejos y utilizan este método para asignar dinámicamente ACL y VLAN a un puerto de conmutación en particular según la identidad del usuario, la identidad de la computadora, el tipo de dispositivo, el estado de la computadora o alguna combinación de estos y otros factores. Esto es muy poderoso, porque brinda a los administradores de red un control mucho más granular sobre el acceso a la red, especialmente cuando se trata de BYOD, espacios de trabajo compartidos y usuarios invitados.

Trabajé en un proyecto ISE para una organización global con varios cientos de miles de empleados, distritos escolares con mil miembros del personal y miles de estudiantes, y pequeñas empresas con solo unos pocos cientos de empleados en total. El back-end siempre es más o menos el mismo: algunos controladores de dominio, quizás en un clúster o quizás no, algunos servidores ISE, también posiblemente en un clúster y políticas muy similares. La diferencia, sin embargo, es cuántos interruptores debo mirar y cuántos puertos debo tocar.

NetBrain descubrimiento de dispositivosNetBrain descubre automáticamente más de 2,000 dispositivos por hora: cientos de modelos de docenas de proveedores.

Aquí es donde se pone interesante. Cisco ISE no actúa por sí solo. El conmutador al que se conecta un dispositivo es en realidad un proxy que se comunica con el servidor Cisco ISE en nombre del cliente. Por lo tanto, la versión de hardware y software del conmutador debe ser compatible con la versión de ISE que se está utilizando.

Para implementar Cisco ISE con éxito, debe hacer un inventario de toda su capa de acceso para ver si hay algún conmutador que deba reemplazarse o actualizarse. En una organización grande, un equipo pequeño puede tardar literalmente semanas en lograrlo.

Incluso con los diagramas de red como ayuda, rastrear una red grande para obtener versiones específicas de hardware y software del conmutador es abrumadoramente tedioso. Para un proyecto en particular, me tomó varios meses de descubrimiento manual diario con mostrar vecinos cdp y mostrar versión.

Después de abordar la compatibilidad y configurar los servidores ISE, un ingeniero debe configurar cada conmutador con unas pocas líneas de configuración dot1x global y luego configurar cada puerto individual con la configuración dot1x adecuada también.

Si alguna vez hubo un caso para la automatización de la red, es este.

El enfoque automatizado: descubrimiento y solución de problemas en minutos

NetBrainLa función de descubrimiento automatizado de crea un Dynamic Map, es decir, una topología de red en tiempo real que puede actualizarse periódicamente. Esto proporciona a los ingenieros un mapa preciso de la red en minutos en lugar de las horas, días o semanas que podría tomar manualmente, y este no es un beneficio trivial. NetBrain puede descubrir miles de dispositivos en una hora, incluidos cientos de modelos de docenas de proveedores. Ciertas versiones de Cisco ISE simplemente no funcionarán con plataformas de hardware o software particulares, por lo que para que funcione una implementación de 802.1x por cable, un descubrimiento de red no solo es útil, es esencial.

Para que una implementación de 802.1x con cable funcione, un descubrimiento de red no solo es útil, es esencial.

 

Después de actualizar el hardware y el software a las versiones correctas, el siguiente paso es habilitar globalmente 802.1x en cada switch y agregar la configuración de switchport relevante a cada switchport. Las configuraciones en sí mismas no son difíciles, pero hacen los cálculos. . . .

Incluso una organización de tamaño moderado puede tener cientos de conmutadores. E incluso después de tener en cuenta los servidores y los puertos troncales, esto aún podría significar decenas de miles de puertos de conmutación.

En mi experiencia, la implementación de 802.1x por cable se realiza en fases. Por lo general, es ubicación por ubicación, utilizando una estrategia de apertura por error en caso de que las cosas salgan mal durante una transición. La mayor parte de la ventana de cambio, sin embargo, es configurar dispositivos. Algunas configuraciones se pueden configurar previamente, como los comandos 802.1x globales, pero muchas están a nivel de puerto y entran en vigencia tan pronto como se agregan.

Después de cortar un sitio, comienza la solución de problemas. Siempre hay al menos un dispositivo que simplemente no se conecta, y se trata de rastrear el interruptor y el puerto al que está conectado el dispositivo y verificar la configuración. Sin embargo, cuando hablamos de muchos interruptores, rara vez es solo un dispositivo el que tiene problemas.

Después de un post-corte Dynamic Map es creado, NetBrain, Ejecutable Runbooks puede buscar mediante programación anomalías de configuración o, en nuestro ejemplo, solucionar problemas de una gran implementación 802.1x cableada, con solo unos pocos clics. Esta es una herramienta increíblemente poderosa cuando se integran tantos dispositivos en una solución de autenticación general.

Tenga en cuenta que, para mí, los mayores desafíos a los que me he enfrentado al implementar 802.1x en una red cableada no han sido las políticas del servidor de acceso a la red que estaba usando. El mayor desafío es inspeccionar toda la red con precisión y rapidez para implementar muchas líneas de configuraciones en casi todos los conmutadores de la capa de acceso.

El descubrimiento manual y la resolución de problemas es una completa pérdida de tiempo; lo sé porque he estado allí. Automatizar estas tareas mundanas con NetBrain garantiza una visión mucho más precisa de la red, así como un medio mucho más eficiente para solucionar problemas de una gran cantidad de dispositivos a la vez.

Relacionado: