miércoles, 7 de mayo de 2025

ISE - 02 - Gestion de Identidades

 

:

El Capítulo 2 se centra en la Gestión de Identidades en Cisco Identity Services Engine (ISE). Explora qué es una identidad y cómo se utiliza en el diseño de la infraestructura de ISE. El capítulo cubre opciones de almacenamiento de identidades como LDAP, AD, PKI, OTP, tarjetas inteligentes y opciones locales, así como fuentes de identidad especiales. También aborda varias opciones de configuración de autenticación en ISE, incluyendo Active Directory, LDAP, contraseñas de un solo uso (one-time token), tarjetas inteligentes y la base de datos interna de usuarios de ISE. Se incluye una discusión detallada sobre el uso de la infraestructura de clave pública (PKI) con certificados X.509 para la autenticación.


¿Qué es una Identidad? Una identidad es una representación de quién eres. En el mundo de la seguridad y el control de acceso, las identidades representan a una persona o un dispositivo. Ejemplos incluyen el nombre de usuario y contraseña de un empleado o la dirección MAC (Media Access Control) de un endpoint como una impresora.

Credenciales La evidencia "confiable" utilizada para verificar una identidad, como una licencia de conducir o un pasaporte, se conoce como credencial. Las credenciales son fundamentales en la seguridad y el control de acceso.

Almacenes de Identidades (Identity Stores) Un almacén de identidades es esencialmente una base de datos que alberga credenciales de usuarios o endpoints. Se utiliza para autenticar la identidad de un usuario o un endpoint. También se pueden utilizar para recuperar atributos de usuario o máquina usados en políticas de autorización. Cada almacén de identidades individual se denomina fuente de identidad.

ISE puede aprovechar fuentes de identidad tanto internas como externas.

  • Almacenes de Identidades Internos: Cisco ISE tiene algunos almacenes internos críticos para ciertos casos de uso, aunque la mayoría de las organizaciones usan almacenes externos.

    • Identidades de Usuario Internas: ISE tiene una base de datos interna de usuarios para un número limitado de cuentas, a veces llamadas usuarios de acceso a red. Un ejemplo de uso es autenticar y autorizar cuentas preconfiguradas para contratistas o trabajadores temporales sin agregarlos al almacén principal de la empresa. También se pueden usar para cuentas de administración de dispositivos como routers.
    • Grupos de Identidades de Usuario: Las cuentas de usuario internas pueden asociarse con grupos de identidad de usuario definidos. Hay grupos preconfigurados, incluyendo el grupo Employees y grupos para acceso de invitados. Se pueden agregar nuevos grupos, pero se desaconseja usar un gran número de identidades o grupos internos a menos que sea necesario, ya que la mayoría de las organizaciones usan fuentes externas como Active Directory.
    • Grupos de Endpoints: ISE mantiene una base de datos interna de endpoints que almacena información sobre los dispositivos endpoint que se conectan a la red.

  • Almacenes de Identidades Externos: Es probable que una organización tenga un almacén de identidades existente que sea la base de datos maestra para identidades de usuario, considerándose la "única fuente de verdad". ISE puede integrarse con estas bases de datos existentes, refiriéndose a ellas como almacenes de identidad externos. El uso de almacenes externos permite una mejor escalabilidad y gestión para la autenticación y autorización de ISE, además de integrar otros servicios de autenticación. ISE se conecta a la fuente externa para verificar credenciales de usuario y contraseña, y puede recuperar información de certificados.

    • Ejemplos de almacenes de identidad externos incluyen Perfiles de Autenticación de Certificados, Active Directory (AD), Lightweight Directory Access Protocol (LDAP), servidores de tokens RADIUS, RSA SecurID, SAML e inicio de sesión social (solo para portales de invitados). SAML y el inicio de sesión social no pueden usarse como fuentes de identidad externas estándar para el acceso a la red.

Tipos Comunes de Almacenes de Identidades Externos:

  • Active Directory (AD): Es uno de los almacenes de identidad externos más populares para ISE, utilizado en más del 90% de los despliegues de ISE. AD sigue la estructura X.500 y está estrechamente acoplado con DNS, requiriendo que DNS sea robusto. AD usa dominios, que son agrupaciones de cuentas de usuario y máquina, permisos y políticas. Los dominios pertenecen a un bosque de AD, que es una colección de dominios con relaciones de confianza entre ellos. Para que ISE pueda autenticar usuarios y máquinas de diferentes dominios en un bosque, es crucial que ISE se una a un dominio que tenga una relación de confianza válida con los otros dominios. ISE se une a un dominio AD y consulta AD para autenticación y autorización. Nota: A partir de la versión 2.7, Azure AD de Microsoft no era un almacén de identidad soportado de forma nativa.

  • Lightweight Directory Access Protocol (LDAP): LDAP es un protocolo estándar para conectar a bases de datos de servicios de directorio X.500 y recuperar información. Soporta directorios como Microsoft AD, NetIQ eDirectory, Sun Directory Server, Oracle Identity Manager, IBM Tivoli Identity Manager, entre otros. Aunque soporta AD, LDAP no se usa muy a menudo con ISE para conectarse a Active Directory porque ISE tiene un conector más potente incorporado. LDAP es compatible para la autenticación de usuarios y la recuperación de información de membresía de grupo y atributos de cuenta para políticas de autenticación y autorización de ISE. LDAP usa el puerto TCP 389. Se recomienda encarecidamente asegurar las comunicaciones LDAP usando SSL, que usa el puerto TCP 636, para evitar el envío de credenciales en texto plano. Los directorios X.500 están organizados jerárquicamente y usan namespaces para localizar objetos.

Autenticación con ISE:

ISE soporta varias opciones de autenticación, incluyendo:

  • Autenticación Multifactor (MFA) y Autenticación de Dos Factores (2FA): Estas son mejoras de seguridad que requieren presentar dos o más piezas de evidencia al iniciar sesión. Las credenciales deben provenir de dos categorías diferentes de las tres posibles:

    • Algo que sabes (por ejemplo, una contraseña o PIN).
    • Algo que tienes (por ejemplo, una tarjeta inteligente o un smartphone para notificaciones push o SMS).
    • Algo que eres (por ejemplo, tu huella digital o reconocimiento facial - biometría). MFA/2FA requiere una combinación de "algo que tienes" y un "algo que sabes" o "algo que eres". Biometría (como Windows Hello, Face ID, huellas digitales) se está volviendo más común. Cisco adquirió Duo Security, una solución MFA popular, en 2018. Un ejemplo de MFA con Duo implica verificar nombre de usuario y contraseña, y luego aprobar una notificación push en un dispositivo móvil.

  • Servicios de Contraseña de Un Solo Uso (OTP): OTP es una forma específica de MFA. El "algo que tienes" es un generador de tokens (hardware o software). Estos tokens usan un algoritmo para crear un código que solo puede usarse una vez, a menudo por un tiempo limitado. El estándar IETF RFC 6238 se utiliza comúnmente para OTPs basados en tiempo (como Google Authenticator o Authy), que rotan a intervalos específicos. Es crucial entender que cada código OTP solo puede usarse una vez. Nota: MFA y OTP a menudo se usan indistintamente hoy en día, pero son distintos; OTP es una forma de MFA, pero no toda MFA usa OTP.

  • Tarjetas Inteligentes: ISE soporta tarjetas inteligentes con circuitos integrados, que pueden usarse para autenticación de acceso a la red segura. Ejemplos incluyen tarjetas de crédito con chip, licencias de conducir y tarjetas de identificación de pacientes. Una Common Access Card (CAC) es un tipo específico de tarjeta inteligente usada en algunos entornos. La autenticación con CAC implica "tener algo" (la tarjeta) y "saber algo" (el PIN). Las tarjetas inteligentes almacenan certificados X.509 y utilizan una infraestructura de clave pública (PKI) para almacenar certificados digitales cifrados para la autenticación.

  • Infraestructura de Clave Pública (PKI) y Certificados X.509: Un certificado es un documento electrónico para identificar una entidad (dispositivo, usuario, sitio web) que usa una firma digital para su validación. X.509 es un estándar PKI que especifica el formato de certificados, jerarquía de autoridades certificadoras (CA) y verificación de revocación. Es comparable a una licencia de conducir "firmada" por una autoridad confiable como el DMV. Una autoridad certificadora (CA) es la autoridad reconocida que firma el certificado. Cuando un servidor de autenticación como ISE recibe un certificado de identidad, realiza varias tareas:

    1. Asegurar que el certificado fue emitido y firmado correctamente por una CA conocida y confiable. La CA confiable debe tener su certificado público almacenado en la base de datos de certificados confiables del servidor de autenticación y estar marcada como confiable para el uso específico requerido (por ejemplo, autenticación de cliente).
    2. Asegurar que el certificado no ha expirado. Los certificados tienen fechas de "válido desde" y "válido hasta". Es crucial que el certificado sea válido para la fecha y hora de la solicitud de autenticación. La sincronización de tiempo en la red usando NTP es crítica para evitar problemas relacionados con la validez de los certificados.
    3. Asegurar que el certificado no ha sido revocado por la CA. Para verificar esto, el servidor de autenticación consulta un servicio de la CA que publica una lista de certificados revocados. Hay dos formas principales de verificar la revocación:
      • Lista de Revocación de Certificados (CRL): Una CA publica una CRL, que es una lista firmada de números de serie de certificados revocados. Los dispositivos o aplicaciones pueden descargarla y almacenarla localmente. Un problema de seguridad es que la CRL podría no incluir certificados revocados recientemente si la CA o el servidor de autenticación no la actualizan con frecuencia.
      • Online Certificate Status Protocol (OCSP): Este es el método preferido hoy en día para verificar revocaciones porque proporciona actualizaciones casi en tiempo real. OCSP permite que el servidor de autenticación envíe una solicitud en tiempo real al servicio de la CA para verificar el estado de un certificado inmediatamente. Si el certificado ha sido revocado, se deniega el acceso.
    4. Asegurar que el cliente ha proporcionado prueba de posesión.

Secuencias de Fuentes de Identidad (Identity Source Sequences) Puedes combinar múltiples fuentes de identidad en una lista ordenada llamada secuencia de fuentes de identidad. Esta secuencia se procesa para la autenticación y autorización de usuarios y endpoints. La secuencia se procesa de arriba a abajo en el orden definido.

Fuentes de Identidad Especiales Hay dos fuentes de identidad que solo pueden usarse para los servicios de invitado de ISE: proveedores de identidad SAML (IdPs) e inicio de sesión social. Estos se usan únicamente para autenticación en portales de autenticación web y portales de patrocinador alojados en ISE.

  • SAML IdPs: A partir de la Versión 2.6, ISE permite autenticar usuarios aprovechando IdPs SAML. SAML es un estándar abierto basado en XML para autenticación (AuthN) y autorización (AuthZ) para Single Sign-On (SSO) basado en web. Conceptos clave incluyen el proveedor de servicios (SP) (la aplicación o servicio accedido, como el portal web de ISE), la aserción SAML (contiene identidad y atributos del usuario, pasada del IdP al SP), y el IdP SAML (el proveedor de identidad contra el cual ISE autentica). Usar SAML en un portal web permite a los usuarios autenticarse con SSO en portales de patrocinador e invitados. Si un portal está configurado para usar SAML, es el único tipo de autenticación disponible porque los proveedores SAML no pueden usarse dentro de una secuencia de fuentes de identidad. Nota: SAML no era una opción para el inicio de sesión administrativo en ISE en el momento de la publicación.

  • Inicio de Sesión Social: Esta es una fuente de identidad especial solo para portales de invitados. Permite a un usuario invitado usar credenciales de una red social, como Facebook, para obtener acceso de invitado. A partir de la Versión 2.6, Facebook era la única fuente de medios sociales soportada por ISE para inicios de sesión de invitados.

Este capítulo sienta las bases para comprender cómo ISE identifica y autentica entidades que intentan acceder a la red, utilizando una variedad de fuentes y métodos para verificar la identidad. Los conceptos de almacenes de identidad, secuencias de fuentes de identidad y los distintos métodos de autenticación (incluyendo MFA, PKI y fuentes externas como AD y LDAP) son fundamentales para diseñar e implementar ISE de manera efectiva.



at
Labels: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...