jueves, 8 de mayo de 2025

ISE - 03 - Extensible Authentication Protocol (EAP) over LAN: 802.1X

 

El Capítulo 3 de las fuentes cubre el Protocolo de Autenticación Extensible (EAP) sobre LAN, conocido como 802.1X. Este estándar fue creado por el IEEE a principios de la década de 2000 para el control de acceso a la red basado en puertos. La idea era que ningún dispositivo pudiera conectarse y comunicarse en una red sin que los usuarios se identificaran y fueran autorizados. 

Hay tres componentes fundamentales de 802.1X: el solicitante(supplicant), el autenticador y el servidor de autenticación. El capítulo explica estos componentes, así como elementos críticos de una solución 802.1X, como los diferentes tipos de EAP que se pueden usar.

Componentes de 802.1X:

  • Solicitante (Supplicant): Es el software en el endpoint (también llamado peer por el IETF) que se comunica con EAP en la Capa 2. Este software responde al autenticador y proporciona las credenciales de identidad con la comunicación EAP. El solicitante nativo de Windows y el Cisco AnyConnect NAM son ejemplos.
  • Autenticador (Authenticator): Es el dispositivo de red que controla el acceso físico a la red basándose en el estado de autenticación del endpoint. Actúa como un intermediario o proxy. Encapsula la comunicación EAP de Capa 2 del solicitante en RADIUS, dirigida al servidor de autenticación activo. Ejemplos comunes de autenticadores en una implementación de Cisco ISE son switches LAN y controladores de LAN inalámbrica (WLCs). Cisco ISE se refiere a estos autenticadores genéricamente como dispositivos de acceso a la red (NADs). El autenticador no tiene conocimiento del tipo de EAP utilizado o si las credenciales del usuario son válidas; simplemente encapsula la trama EAP sin modificarla dentro del paquete RADIUS enviado al servidor de autenticación y autoriza el puerto si el servidor de autenticación se lo indica. Por lo tanto, la autenticación EAP es completamente transparente para el autenticador.
  • Servidor de autenticación (Authentication server): Es el servidor que realiza la autenticación del cliente. Valida la identidad del endpoint y proporciona al autenticador un resultado (por ejemplo, aceptar o denegar). Cisco ISE es un ejemplo de servidor de autenticación. La autenticación EAP real (el intercambio de identidad y la validación) ocurre entre el solicitante y el servidor de autenticación.

La autenticación puede ser iniciada por el autenticador (cuando el estado del enlace cambia de inactivo a activo, o periódicamente si el puerto permanece activo y no autenticado) o por el solicitante (enviando un mensaje EAPoL-Start en cualquier momento). La iniciación por parte del solicitante (EAPoL-Start) proporcionó una mejor experiencia de usuario con 802.1X.

Tipos de EAP:

EAP es un framework de autenticación que define el transporte y uso de credenciales de identidad (nombres de usuario, contraseñas, certificados, tokens, contraseñas de un solo uso, etc.). Se ha convertido en el estándar de facto para protocolos de autenticación y se utiliza en diversas aplicaciones, incluyendo VPNs y, de manera importante, en IEEE 802.1X (EAP sobre LAN). El tipo de EAP define el mecanismo de autenticación a utilizar. Los tipos de EAP se dividen en dos categorías: nativos y tunelizados.

Tipos de EAP Nativos (EAP sin Tunel): Envían sus credenciales inmediatamente.

  • EAP-MD5: Utiliza un algoritmo de resumen de mensaje (hash) para ocultar las credenciales. No tiene mecanismo para autenticación mutua (el servidor valida al cliente, pero el cliente no autentica al servidor). Común en teléfonos IP y solicitudes MAB. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado.
  • EAP-TLS: Utiliza Transport Layer Security (TLS), similar a SSL. Proporciona una transacción de identidad segura y soporta autenticación mutua (el cliente debe confiar en el certificado del servidor y viceversa). Utiliza certificados X.509. Es un estándar abierto IETF y se considera universalmente soportado. Se considera uno de los tipos de EAP más seguros ya que la captura de contraseñas no es una opción; el endpoint debe tener la clave privada. Se está convirtiendo rápidamente en el tipo de EAP preferido para soportar BYOD en la empresa.
  • EAP-MS-CHAPv2: Las credenciales del cliente (nombre de usuario, contraseña, nombre de equipo, contraseña de equipo) se envían cifradas dentro de una sesión MS-CHAPv2 al servidor RADIUS, que las autentica contra Active Directory. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.
  • EAP-GTC: Creado por Cisco como alternativa a MS-CHAPv2. Permite la autenticación genérica a prácticamente cualquier almacén de identidad (servidores de tokens OTP, LDAP, Novell eDirectory). Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.


Tipos de EAP Tunelizados: Forman un túnel cifrado primero (típicamente TLS) y luego transmiten las credenciales dentro de ese túnel. Funcionan de manera similar a un túnel seguro entre un navegador web y un sitio web seguro.

  • PEAP (Protected EAP): Propuesto originalmente por Microsoft, es el método EAP más popular y ampliamente desplegado. Forma un túnel TLS (potencialmente cifrado) entre el cliente y el servidor, utilizando el certificado X.509 del servidor (a menudo una confianza unidireccional). Después de formar el túnel, PEAP usa otro tipo de EAP como "método interno" para autenticar al cliente. Los tres métodos internos soportados para PEAP son EAP-MS-CHAPv2, EAP-GTC y, aunque raro, EAP-TLS.
  • EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco como una alternativa a PEAP para permitir una re-autenticación más rápida y soportar el roaming inalámbrico rápido. También forma un túnel exterior TLS y transmite las credenciales del cliente dentro de él. Se diferencia de PEAP en la capacidad de usar Protected Access Credentials (PACs). Un PAC es como una cookie segura almacenada localmente como prueba de autenticación exitosa, utilizada para la reanudación rápida de sesión y para permitir el encadenamiento EAP. Usa un tipo de EAP nativo como método interno. Los tres métodos internos soportados para FAST son EAP-MS-CHAPv2, EAP-GTC y EAP-TLS. EAP-TLS como método interno se ha vuelto popular con el encadenamiento EAP.
  • EAP-TTLS (EAP Tunneled Transport Layer Security): Otro tipo de EAP tunelizado desarrollado principalmente por Funk Software. Es similar a PEAP y EAP-FAST, creando un túnel exterior TLS primero y luego realizando la autenticación dentro de él. Ofrece mejoras en la simplicidad de configuración y en la capacidad de reanudar una sesión TLS. Usa un tipo de EAP nativo o protocolos de autenticación nativos no EAP como método interno. Soportado en ISE desde la Versión 2.0. Soporta seis métodos internos: PAP/ASCII (envía nombre de usuario y contraseña en texto plano dentro del túnel cifrado), CHAP (envía nombre de usuario en texto plano y un hash calculado de la contraseña), MS-CHAPv1/v2 (versiones nativas con mejoras de seguridad), EAP-MD5 y EAP-MS-CHAPv2. Muchos creen que el principal beneficio de soportar EAP-TTLS es que la iniciativa eduroam lo exige para permitir a los estudiantes universitarios itinerar entre campus usando sus mismas credenciales.
  • TEAP (Tunnel EAP): Definido en RFC 7170, fue diseñado como el tipo de EAP para "terminar las guerras del EAP". Fue desarrollado por un grupo de trabajo del IETF con miembros de muchos proveedores (incluyendo Cisco y Juniper). Incorpora los beneficios de FAST, TTLS y PEAP, además de nuevas capacidades. Las capacidades únicas de TEAP incluyen encadenamiento EAP, aprovisionamiento/renovación de certificados dentro del túnel, distribución de la lista de certificados de servidores EAP de confianza a los clientes, y channel binding (para prevenir ataques man-in-the-middle). Soportado en ISE en Versión 2.7 y Windows 10 (iniciativa conjunta Microsoft/Cisco). Forma un túnel exterior TLS. Puede usar PACs, pero no es necesario para el roaming rápido y la reanudación de sesión. Al momento de imprimir el libro, ISE y Windows 10 soportaban EAP-MS-CHAPv2 y EAP-TLS como métodos internos para TEAP, pero no todas las funciones del RFC como aprovisionamiento/distribución de certificados.


Identidades Internas y Externas: Los tipos de EAP tunelizados usan el concepto de identidades internas y externas.

  • La identidad interna (inner identity) son las credenciales reales del usuario o dispositivo, enviadas con el EAP nativo o protocolo de autenticación.
  • La identidad externa (outer identity), típicamente configurada como anonymous, es la identidad utilizada entre el solicitante y el servidor de autenticación para la configuración inicial del túnel TLS. Cisco ISE puede leer esta identidad externa para ayudar a decidir la selección del almacén de identidad. La identidad externa puede contener información (como el nombre de dominio) que le dice a ISE a qué almacén de identidad (AD, LDAP, etc.) enviar las credenciales. La mayoría de los solicitantes ocultan esta opción al usuario final; el solicitante nativo de Android la expone como "anonymous identity".

Dispositivos de Acceso a la Red (NADs): Cisco ISE llama al rol de autenticador NAD. Un NAD cumple múltiples funciones: es un autenticador para 802.1X, proxy de comunicaciones EAP al servidor de autenticación, y punto de aplicación de políticas. Es responsable de aplicar el resultado de autorización recibido del servidor de autenticación (por ejemplo, Cisco ISE). Un NAD es típicamente un dispositivo de capa de acceso, pero puede ser cualquier dispositivo que envíe solicitudes de autenticación RADIUS a Cisco ISE. Tipos comunes de NADs incluyen switches Ethernet cableados, controladores LAN inalámbricos (WLC), Cisco ASA, dispositivos Cisco Firepower, balanceadores de carga y aplicaciones de software que usan ISE para AAA. Los NADs aplican la política al usuario final. Ejemplos de tipos de aplicación comunes son la asignación de VLAN Dinámicas (dVLAN), listas de control de acceso descargables (dACL), etiquetas de grupo de seguridad (SGT), nombre de ACL de Airespace y redirección de URL. Los NADs son cruciales en cualquier diseño de acceso a red seguro y realizan funciones que antes requerían dispositivos de superposición (overlay appliances).

Opciones de Solicitante: El solicitante es el software en el endpoint que sabe comunicarse con EAP en la LAN. Debe configurarse para usar credenciales (almacenadas o nombre de usuario/contraseña).

  • Solicitante Nativo de Windows: El más común en redes cableadas, integrado en Windows. Su principal ventaja es el control centralizado a través de políticas de grupo de Active Directory. Requiere que el servicio Wired AutoConfig esté configurado en "Automatic" (su estado por defecto es Manual). El servicio WLAN AutoConfig para inalámbrico está configurado en Automatic por defecto. La configuración incluye:

    • Habilitar la autenticación IEEE 802.1X.
    • Permitir al solicitante almacenar credenciales.
    • Retorno a acceso de red no autorizado: permite la conexión si el dispositivo de red no es un autenticador.
    • Configuración de PEAP (en "Protected EAP Properties"): Validar Certificado del Servidor (requiere que el solicitante confíe en el certificado del servidor RADIUS), especificar servidores específicos permitidos, seleccionar Autoridades de Certificación Raíz confiables, controlar si se solicita a los usuarios autorizar nuevos servidores/CAs. Permite seleccionar el método interno para PEAP: Secured Password (EAP-MSCHAPv2) o Smart Card or Other Certificate (EAP-TLS). La configuración de EAP-MSCHAPv2 interno incluye la opción de habilitar inicio de sesión único. La configuración de EAP-TLS interno permite usar una tarjeta inteligente o certificado local, con opciones para filtrar certificados ("simple certificate selection") y validar certificados de servidor, especificar servidores, etc.. La opción Enable Identity Privacy permite configurar la identidad externa; si no está marcada, la identidad externa se establece en Anonymous.
    • Configuración Adicional (en "Additional Settings"): Specify Authentication Mode (Usuario o Equipo, Equipo, Usuario, Invitado). Opciones de Single Sign-On Timing: Perform Immediately Before User Logon (la autenticación 802.1X ocurre antes de que el usuario vea el escritorio) y Perform Immediately After User Logon (permite al usuario interactuar inmediatamente, puede incluir prompts para credenciales). Maximum Delay establece un tiempo límite para la autenticación. Opción This Network Uses Separate Virtual LANs for Machine and User Authentication fuerza un IP release/renew y un nuevo intento de obtener dirección IP cuando el usuario inicia sesión.

  • Autenticación de Usuario (User Authentication): La autenticación 802.1X más común. Proporciona las credenciales del usuario al servidor de autenticación para control de acceso basado en roles. Puede usar nombre de usuario/contraseña, certificado de usuario o tarjeta inteligente. Las máquinas Windows tienen un almacén de certificados separado para certificados de usuario.

  • Autenticación de Máquina (Machine Authentication / Computer Authentication): Diseñada para permitir que los equipos administrados por Active Directory (AD) se autentiquen en la red incluso cuando no hay un usuario interactivo conectado. Esto es vital para la comunicación entre los equipos administrados por AD (actualizaciones de políticas, tareas de gestión). Microsoft creó múltiples estados para su solicitante: estado de máquina y estado de usuario. Cuando no hay usuario conectado, la máquina inicia sesión en la red con sus propias credenciales. Tan pronto como un usuario inicia sesión, el solicitante envía un nuevo EAPoL-Start, disparando una nueva autenticación con las credenciales del usuario. La autenticación de máquina puede usar el nombre de equipo y la contraseña negociada con AD (PEAP-MS-CHAPv2) o un certificado de máquina (EAP-TLS o PEAP-EAP-TLS). Los equipos Windows mantienen su propio almacén de certificados del sistema separado de los almacenes de usuario. Microsoft y Cisco colaboraron para actualizar el solicitante de Windows 10 e ISE v2.7 con soporte nativo para TEAP, específicamente para casos de uso de encadenamiento EAP.



  • Solicitante Cisco AnyConnect NAM: Es un módulo del Cisco AnyConnect Secure Mobility Client. Otros módulos incluyen DART (Diagnostics and Reporting Tool). Históricamente, se basó en un solicitante OEM de Meeting House, empaquetado anteriormente como Cisco Secure Services Client (CSSC). Desde AnyConnect 3.1, el solicitante CSSC se integró como AnyConnect Network Access Manager (NAM). La configuración de NAM se realiza a través de un editor de perfiles standalone o en un Cisco ASA. El editor de perfiles tiene vistas para:

    • Client Policy: Opciones de conexión, medios (cableado/inalámbrico), control de usuario final, configuración administrativa. Incluye configuraciones similares al inicio de sesión único de Windows.
    • Authentication Policy: Especifica métodos permitidos para transmitir credenciales. Permite controlar a qué tipos de redes se puede conectar (por ejemplo, evitar redes inalámbricas abiertas). Permite denegar tipos de cifrado débiles (como WPA/TKIP) y forzar WPA2/AES. Puede controlar la conectividad cableada (por ejemplo, exigir 802.1X o MACsec).
    • Networks: Define las redes corporativas y la seguridad a utilizar. Al añadir una nueva red, un asistente guía la configuración. Para redes autenticadas (Authenticating Network), se pueden ajustar temporizadores 802.1X, habilitar cifrado MACsec (AES-GCM 128-bit) entre el solicitante y el switch, y configurar la Política de Excepción de Autenticación de Puerto (Port Authentication Exception Policy) para controlar el envío de datos antes o después de la autenticación/MACsec. Permite seleccionar Machine and User Connection, lo que añade pestañas de configuración separadas para la autenticación de máquina y usuario.
    • Configuración de Autenticación de Máquina/Usuario en Networks view: Permite seleccionar el método EAP entonelado (por ejemplo, EAP-FAST) y el método interno (EAP-MS-CHAPv2, EAP-GTC, EAP-TLS). Pestañas para Certificados (definir qué certificados de servidor confiar para el túnel TLS, incluyendo reglas de filtrado flexibles). Pestaña PAC Files (específica de EAP-FAST, usar PACs en lugar de o además de certificados para el túnel seguro). Pestaña Credentials (opciones para identidades interna y externa). Para la autenticación de máquina, la identidad externa comienza con host/ y es anonymous por defecto; la identidad interna es el nombre de cuenta de máquina de AD. Para la autenticación de usuario, permite usar credenciales de inicio de sesión único, solicitar al usuario o usar credenciales estáticas. Para la autenticación de usuario, hay una opción para extender la conexión de usuario más allá del cierre de sesión.
    • Network Groups: Permite organizar perfiles de red en grupos lógicos para facilitar la gestión.

La implementación de perfiles NAM requiere guardarlos como configuration.xml en una ruta específica (%SystemDrive%\ProgramData\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\newConfigFiles) y distribuirlos utilizando mecanismos de despliegue de software existentes (Política de Grupo de AD, SCCM, IBM Big Fix) o publicándolos en un Cisco ASA para que se actualicen por VPN. La experiencia del usuario final es a través de una GUI simplificada.

Encadenamiento EAP (EAP Chaining): Permite autenticar la máquina y el usuario de forma conjunta. Anteriormente, las autenticaciones de máquina y usuario eran sesiones EAP separadas. Cisco mejoró EAP-FAST a EAP-FASTv2 para diferenciar PACs de usuario y máquina. Tras una autenticación de máquina exitosa, ISE emite un PAC de máquina. Durante la autenticación de usuario, ISE solicita el PAC de máquina para probar que la máquina también fue autenticada. Esto fue la primera vez que se autenticaron múltiples credenciales dentro de una única transacción EAP. El IETF creó TEAP (un estándar abierto basado en EAP-FASTv2) que soporta encadenamiento EAP. Al momento de imprimir el libro, Windows 10 era el único solicitante en el mundo en soportar TEAP y encadenamiento EAP. Cisco AnyConnect NAM soporta encadenamiento EAP pero con EAP-FASTv2, no con TEAP (aún no se había actualizado para soportar TEAP nativo de Windows).

Preguntas del tema:


  1. ¿Qué dos tipos de EAP soportan la capacidad de encadenar la autenticación de máquina y la autenticación de usuario?

    • Los dos tipos de EAP que soportan la capacidad de encadenar la autenticación de máquina y usuario son EAP-FASTv2 y EAP-TEAP.
    • El concepto de EAP chaining implica autenticar múltiples credenciales (como las de la máquina y el usuario) dentro de una sola transacción EAP.
    • El supplicant Windows 10 soporta TEAP con EAP chaining.
    • El supplicant Cisco AnyConnect NAM soporta EAP-FASTv2 para EAP chaining.

  2. ¿Qué software en un endpoint se utiliza para autenticarse en una red mediante EAP?

    • El software en un endpoint (también llamado peer por el IETF) que se utiliza para autenticarse en una red mediante EAP es el supplicant.
    • Este software se comunica con EAP en la Capa 2.
    • El supplicant responde al authenticator y proporciona las credenciales de identidad con la comunicación EAP.

  3. ¿Qué módulo de AnyConnect se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host?

    • El módulo de Cisco AnyConnect Secure Mobility Client que se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host es el AnyConnect Diagnostics and Reporting Tool (DART).
    • Este es uno de los módulos clave de interés con Cisco ISE y el examen SISE 300-715.

  4. ¿Qué sistema operativo puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario?

    • El sistema operativo que puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario es Microsoft Windows.
    • Las estaciones de trabajo Windows tienen múltiples estados de supplicant, incluyendo un estado de máquina (machine state).
    • Cuando no hay un usuario interactivo logueado, la máquina puede autenticarse en la red con sus propias credenciales (como nombre y contraseña de la máquina o un certificado de máquina).
    • Esto fue diseñado para resolver el problema de comunicación con las computadoras administradas por Active Directory cuando no había un usuario logueado y prevenir un escenario de denegación de servicio (DoS).

  5. ¿Qué supplicant es capaz de evitar que una computadora administrada se una a redes abiertas (es decir, redes inalámbricas sin seguridad)?

    • El supplicant capaz de evitar que una computadora administrada se una a redes abiertas (redes inalámbricas sin seguridad) es el Cisco AnyConnect Network Access Manager (NAM).
    • La vista de Política de Autenticación (Authentication Policy view) de AnyConnect NAM permite especificar qué métodos son permisibles para transmitir credenciales a la red y controlar los tipos de redes a las que el usuario final tiene permiso para conectarse.
    • Por ejemplo, se puede crear una política para prevenir que las laptops administradas se conecten a redes inalámbricas abiertas, como hotspots públicos, para evitar comunicaciones no cifradas.


at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...