Control de acceso red inalámbrica

Anuncio
Identificación de dispositivos
Control de acceso red inalámbrica
Índice
1.
Introducción ............................................................................................................................... 3
1.1. Alcance ............................................................................................................ 3
1.2. Dispositivos a identificar ................................................................................... 3
2.
Métodos para identificación ....................................................................................................... 4
2.1. DHCP fingerprinting ......................................................................................... 4
2.2. HTTP User Agent ............................................................................................. 5
2.3. MAC OUI ......................................................................................................... 5
2.4. RADIUS VSAs ................................................................................................. 6
2.5. Lectura via SNMP en los equipos de red. ........................................................ 6
2.6. Escaneo de red ................................................................................................ 7
2.7. IF-MAP............................................................................................................. 8
2.8. Exchange ActiveSync plugin ............................................................................ 8
2.9. Agente OnGuard .............................................................................................. 9
2.10. Profling tras OnBoard del dispositivo ............................................................. 10
3.
Protección contra spoofing ....................................................................................................... 11
3.1. Audit server .................................................................................................... 11
3.2. Prueba del servicio ........................................................................................ 12
3.3. Integración en el servicio de AAA................................................................... 13
3.3.1.
Habilitar Audit en el servicio AAA ............................................................ 13
3.3.2.
Configurar política de Audit ..................................................................... 13
3.3.3.
Aplicar “Enforcement” al cliente .............................................................. 14
1. Introducción
1.1.
Alcance
En el presente documento se pretenden mostrar las capacidades de identificación de
dispositivos finales de Clearpass Policy Manager. Este documento no pretende ser un
manual de uso de Clearpass, sino más bien una orientación de cara a poder comprender
mejor el funcionamiento de profiling y protección frente a MAC spoofing. De igual manera,
este es un documento elaborado por el departamento de preventa de Aruba Iberia para
facilitar la labor de sus partners. En ningún caso deberá ser considerado un documento
oficial de Aruba Networks.
1.2.
Dispositivos a identificar
Si bien es cierto que Clearpass realizará identificación de todos los dispositivos que se
conecten a la red, este documento se centrará en los dispositivos que, por no disponer de
cliente 802.1X, deban conectarse a la red utilizando autenticación MAC.
La intención, por tanto, no es entrar en el detalle de la identificación de dispositivos que se
conecten mediante 802.1X, sino aportar un grado extra de seguridad a la autenticación de
dispositivos que no soporten 802.1X.
2. Métodos para identificación
Incluido en el módulo básico de Clearpass Policy Manager se encuentra el módulo de
identificación de dispositivos. Se trata de un mecanismo de descubrimiento incremental que
permite descubrir, clasificar y agrupar todos los dispositivos conectados a la red, con
independencia del tipo que sean. Un amplio abanico de información puede ser recogida y
utilizada para la identificación de dispositivos conectados:










DHCP fingerprinting
HTTP User Agent
MAC OUI
RADIUS VSAs (Aruba y Cisco IOS)
Protocolos de red: CDP, LLDP, ARP…
Escaneo de redes
IF-MAP
Exchange Active Sync plugin
Agente OnGuard
Procedimiento OnBoard
2.1.
DHCP fingerprinting
Un método muy común para identificar el dispositivo conectado a la red es el de hacer
identificación en base a la huella que deja la petición de DHCP de un dispositivo. Para la
configuración de este método se puede optar por dos métodos:


Relay de las peticiones de DHCP desde el equipamiento de red hasta Clearpass. En
esta manera de funcionar, Clearpass tan sólo estaría escuchando las peticiones de
DCHP para identificación de dispositivos. Clearpass no es un servidor de DHCP y
por tanto no sirve direcciones IP.
Puerto de SPAN en Clearpass para escuchar el tráfico de DHCP. También existe la
posibilidad de configurar el puerto de datos de Clearpass en modo “monitor” para
escuchar todo el tráfico que le llega al servidor de DHCP. Este mecanismo suele
utilizarse cuando no es posible configurar un relay de DHCP adicional en la
electrónica de red.
La configuración de este mecanismo de funcionamiento es muy sencilla, y puede hacerse tal
como se muestra en la imagen a continuación:
Imagen 1 - DHCP Fingerprinting
2.2.
HTTP User Agent
Clearpass utiliza el “User Agent” de http para identificar los dispositivos que pasa por
cualquiera de sus portales (invitados, onboard u onguard). Para utilizar este mecanismo de
identificación no es preciso hacer ninguna configuración adicional.
Imagen 2 - HTTP User Agent
2.3.
MAC OUI
Clearpass utiliza el “vendor-id” de la MAC del dispositivo que se conecta a la red para ayudar
en la identificación del mismo.
No es necesario configurar nada en Clearpass para utilizar este mecanismo de detección.
2.4.
RADIUS VSAs
Muchos equipos de acceso modernos son capaces de identificar los dispositivos conectados
a la red. Algunos de estos equipos pueden, además, pasarle esa información al Clearpass
utilizando VSAs de RADIUS. Los ejemplos más claros son los de el equipamiento Aruba y los
switches o controllers Cisco con versión de IOS (versión 15.0 o superior).
En la imagen a continuación puede verse un ejemplo de este caso:
Imagen 3 - Profiling recibiendo VSA
2.5.
Lectura via SNMP en los equipos de red.
Los switches/controllers modernos son capaces de hacer identificación de dispositivos vía
CDP, LLDP, UPnP o mDNS. Este mecanismo es especialmente útil si se pretende identificar
dispositivos con dirección IP estática.
Clearpass puede interrogar a estos equipos via SNMP para obtener información leyendo las
MIB de SNMP de los equipos de red. Para hacer el profiling por SNMP se utiliza la siguiente
información:




sysDescr. Se emplea información de las MIB de la RFC1213 para la identificación
de dispositivos. Esto se emplea tanto para obtener información sobre dispositivos de
red configurados en Clearpass como para identificar dispositivos con IP estática
descubiertos por SNMP o barridos de red.
cdpCacheTable. Se emplea la información que los equipos de red descubren por
CDP para la identificación de dispositivos.
lldpRemTable. De manera análoga, se utiliza la información que los switches
obtienen por LLDP para la identificación de dispositivos.
ARPtable. La información de ARP obtenida de los dispositivos de red se emplea
para descubrir los dispositivos finales que están conectados a la red.
La identificación de dispositivos via SNMP se configure tal como se muestra en la imagen a
continuación.
Imagen 4 - Profiling basado en SNMP
Los dispositivos de red configurados con credenciales de lectura SNMP son interrogados
periódicamente en base al intervalo configurado en Server Manager > Service Parameters >
ClearPass Network Services. El valor por defecto es de una hora.
Los siguientes parámetros adicionales han de ser configurados para hacer la identificación
de dispositivos finales:


Read ARP Table Info – Se debe seleccionar para leer la tabla de ARP del equipo (en
caso de tratarse de un dispositivo de nivel 3) y poder así descubrir dispositivos
conectados a la red. Los equipos descubiertos de esta forma son posteriormente
escaneados vía SNMP para ser identificados.
Force Read – Se debe seleccionar para que todos los nodos del cluster de CPPM
lean información de este dispositivo, con independencia de si se han configurado
“traps” o no.
2.6.
Escaneo de red
Clearpass puede hacer barridos de ping y SNMP para hacer profiling. Nos permite obtener
información (profiling) de los dispositivos que tengan direccionamiento IP estático.
Este barrido puede configurarse en Configuration > Profile Settings
Imagen 5- Escaneo de red
Este barrido, por defecto, se hace cada 24 h, aunque este parámetro se puede modificar en
Administration > Server Manager > Cluster Settings > Profile subnet scan interval.
El detalle de cómo funcionan exactamente estos barridos de red sería el siguiente:


En primer lugar se lanza ping a los equipos definidos en la subred:
o ICMP Echo request (#8)
o ICMP Timestap (#13)
En segundo lugar se lanzan las siguientes sondas (utilizando community public) a
los equipos que hayan contestado a ping:
o Descripción - sysDescr (1.3.6.1.2.1.1.1.0 string)
o Nombre - sysName (1.3.6.1.2.1.1.5.0 string)
o IP Forwarding - ipForwarding (1.3.6.1.2.1.4.1.0 int)
o IP addresses
 ipAdEntAddress (1.3.6.1.2.4.20.1.1.0 IP)
 ipAdEntIndex (1.3.6.1.2.4.20.1.1.0 int)
o MAC address - ifPhysAddress (1.3.6.1.2.1.2.2.1.6.x octet string)
2.7.
IF-MAP
Al margen de la detección que pueda hacer el equipamiento de red, Clearpass puede
también recibir recibir información de patrones de tráfico web, UPnP y mDNS del
equipamiento de red utilizando protocolo IF-MAP1.
A continuación se muestra cómo ha de hacerse en un controlador de Aruba para configurar y
verificar la conexión IF-MAP con Clearpass.
Imagen 6 - Configuración de controller Aruba para utilizar IF-MAP
2.8.
Exchange ActiveSync plugin
Cada vez que un dispositivo se conecta a Exchange vía ActiveSync se hace un completo
inventario del equipo, y esta información quedar registrada en el servidor. Está información
puede ser obtenida de la propia base de datos de AD instalando un plugin en el servidor.
1
Interface for Metadata Access Points (IF-MAP) - (not to be confused with Wifi Access Points) is an open standard client/server
protocol developed by the Trusted Computing Group (TCG) as one of the core protocols of the Trusted Network Connect (TNC)
open architecture. IF-MAP provides a common interface between the Metadata Access Point (MAP), a database server acting as
a clearinghouse for information about security events and objects, and other elements of the TNC architecture. The IF-MAP
protocol defines a publish/subscribe/search mechanism with a set of identifiers and data types.
2.9.
Agente OnGuard
Cuando un dispositivo está controlador por el agente OnGuard, éste obtiene información
detallada de las características del equipo cliente. A continuación se muestra un par de
capturas de lo que puede obtenerse por medio del agente:
Imagen 7 - Profiling con agente OnGuard
Imagen 8 - Profiling con agente OnGuard
2.10. Profling tras OnBoard del dispositivo
De manera análoga al caso del agente OnGuard, los equipos provisionados mediante
OnBoard también son indentificados con un grado mucho mayor de detalle que el de un
dispositivo que simplemente ha sido “descubierto”. A continuación se muestra una captura de
la información que puede obtenerse:
3. Protección contra spoofing
Si bien con la variedad de mecanismos de profiling mencionados la posibilidad de poder
hacer un spoofing de la identificación de dispositivos se vuelve bastante complicada,
Clearpass cuenta con un mecanismo para poder protegerse de ataques de este tipo. Para
prevenir este tipo de ataques está la función de “audit”, que hace un NMAP de los
dispositivos finales para así poder caracterizarlos aún más.
Este NMAP se configura dentro del servicio de autenticación y, por lo tanto, se trata de un
mecanismo en tiempo real, que puede ser ejecutado cada vez que un dispositivo se
autentica contra Clearpass. A continuación se describe cómo aplicar este mecanismo para
proteger la red de ataques de ocultación de identidad.
A continuación se muestra cómo configurar Clearpass para poder lanzar NMAP condicionado
a autenticaciones.
3.1.
Audit server
En primer lugar, es necesario crear un “Audit Server” que sea capaz de hacer la clasificación
en función del dispositivo concreto que se quiera identificar. Esta configuración se hace
desde Configuration > Posture > Audit Servers.
Una vez en el servicio, podemos determinar qué análisis se hará del cliente en cuestión y
qué se derivará de ese análisis.
En primer lugar, se definen los parámetros de quieran utilizarse dentro del escaneo NMAP:
Imagen 9 - NMAP Options
A continuación, se crearán las reglas que se derivarán del escaneo realizado:
Imagen 10 - Reglas en base a Audit
Una vez tengamos listo el perfil de “audit” podremos aplicarlo a cualquier servicio de
autenticación configurado en Clearpass.
3.2.
Prueba del servicio
Dado que con este mecanismo se trata de identificar dispositivosconocidos por el
administrador como impresoras u otros equipos muy acotados, se recomienda analizar
previamente la respuesta de uno de estos dispositivos a un escaneo como el que tenemos
configurado. Para ello, podemos hacer pruebas en el apartado “Configuration > Policy
simulation” definiendo un servicio de tipo “audit” como el que se muestra a continuación.
Imagen 11 - Policy simulation
Tras configurar el servicio, pulsando el botón “results” se puede ver el resultado obtenido
sobre ese cliente en cuestión. Con esta información podremos redefinir las reglas del
apartado 3.1 para poder hacer políticas con un mayor grado de detalle.
Imagen 12 - Ejemplos de resultado obtenido
Nota: Para poder hacer “audit” de un dispositivo, Clearpass tiene que poder vincular la
dirección MAC del mismo a la dirección IP. Esto puede conseguirse de varias maneras:



Mediante la petición de DHCP
Mediante escaneo de la tabla de ARP de los equipos de red
Mediante barrido de las subredes marcadas para el efecto
3.3.
Integración en el servicio de AAA
Una vez configurada y probada la política de “audit” de clientes, el último paso que quedaría
sería integrar esta política en un servicio de AAA.
3.3.1.
Habilitar Audit en el servicio AAA
En primer lugar es necesario habilitar la funcionalidad de “audit” para el servicio en cuestión.
Para ello basta con marcar la casilla de “Audit End-Hosts” en la definición del servicio, tal
como se muestra en la imagen a continuación.
Imagen 13 - Habilitar Audit
3.3.2.
Configurar política de Audit
A continuación se deberá aplicar la política de “audit” creada en el apartado 3.1. Como puede
verse en la imagen a continuación, podemos definir parámetros para que el escaneo de
puertos no se haga en todas las autenticaciones, sino que quede condicionado a que se trate
de un dispositivo no conocido.
Imagen 14 - Configuración Audit
3.3.3.
Aplicar “Enforcement” al cliente
Por último, se pondrá en común toda la información recabada por los diferentes mecanismos
de “profiling” y “audit” de los clientes, se aplicará una política de “Enforcement” concreta. A
continuación se muestra una imagen con un posible ejemplo de política de “enforcement”.
Imagen 15 - Ejemplo de Enforcement
En la política mostrada en el ejemplo ocurriría lo siguiente:







Cliente categorizado como teléfono en la fase de “profiling” y en la fase de “audit”.
o Vlan de voz y marcado del equipo como conocido (y por tanto confiable)
Cliente categorizado como impresora en la fase de “profiling” y en la fase de “audit”.
o Vlan de impresión y marcado del equipo como conocido (y por tanto
confiable)
Cliente no categorizado en la fase de profiling y categorizado como teléfono en la
fase de “audit”.
o Vlan de voz.
Cliente no categorizado en la fase de profiling y categorizado como impresora en la
fase de “audit”.
o Vlan de impresión
Cliente categorizado como teléfono en la fase de profiling pero no identificado en la
fase de “audit”.
o Vlan de voz
o Dispositivo marcado como sospechoso
o Session timeout > 5 min
Cliente categorizado como impresora en la fase de profiling pero no identificado en
la fase de “audit”.
o Vlan de impresión
o Dispositivo marcado como sospechoso
o Session timeout > 5 min
Perfil por defecto:
o Vlan de cuarentena
Esto nos da una idea de cómo se podrían construir muy diversos tipos de políticas,
combinando la información recibida en el proceso de “profiling” con la que podemos recibir
mediante el mecanismo de “audit”. De igual manera, también se podrá hacer uso de otros
parámetros que puedan “marcar un dispositivo como conocido” o “marcar un dispositivo para
ser vigilado” o cualquier modificación del estilo.
Descargar