viernes, 9 de mayo de 2025

ISE - 05 - Introduction to Advanced Concepts

 

El capítulo trata sobre conceptos avanzados en un servidor de autenticación, como la Autorización de Cambio (CoA), la Automatización de MAC Authentication Bypass (MAB), la Evaluación de Postura (Posture Assessment) y la Gestión de Dispositivos Móviles (MDM). Estas características avanzadas permiten implementaciones más completas y granulares, mejorando la seguridad de la red.


1. Cambio de Autorización (CoA)

  • La seguridad de la red exige que ningún usuario o dispositivo tenga acceso antes de ser autenticado. La autenticación establece quién es el usuario o dispositivo. Después de la autenticación, se determina el nivel de acceso, que puede variar desde acceso completo hasta ninguno. Es una mejor práctica dar el menor nivel de acceso necesario para cumplir las tareas.
  • Sin embargo, las condiciones de un usuario, dispositivo o la red pueden cambiar después de la autenticación/autorización inicial. Por ejemplo, un dispositivo podría ser robado, infectado o dejar de estar "en gracia" con los administradores. La red debe ser capaz de reaccionar a estos cambios y ajustar el nivel de autorización.
  • Aquí es donde entra el Cambio de Autorización (CoA). Es un estándar definido en RFC 5176. Permite cambiar los atributos AAA de una sesión que ya ha sido autenticada. Funciona como un modelo "push", originado desde el servidor de autenticación (ISE).
  • Cuando el nivel de autorización de un dispositivo cambia, el servidor de autenticación puede optar por no hacer nada (no emitir un CoA), realizar un "port bounce" (determinar si apagar el puerto), o instruir al dispositivo de acceso a la red para que reautentique al usuario.
  • Algunas solicitudes que se pueden iniciar como parte de CoA por sesión incluyen reautenticación de sesión, reautenticación con rerun, terminación de sesión (con o sin port shutdown/bounce), y cambios de seguridad/contraseña/contabilidad.
  • El proceso CoA permite al servidor de autenticación "repensar" o "re-ejecutar" la autorización de un dispositivo a medida que cambian la red o el dispositivo.

2. Automatización de MAC Authentication Bypass (MAB)

  • MAB es el proceso por el cual un dispositivo evita la autenticación utilizando solo su dirección MAC. Esto se logra cuando el dispositivo de red (el autenticador) envía un mensaje RADIUS Access-Request en nombre del dispositivo final, usando la dirección MAC en los campos Identity y Password, y el atributo RADIUS Service-Type configurado como Call Check. Esto indica al servidor RADIUS que el dispositivo no tiene o no está usando un 802.1X supplicant. Estos dispositivos a menudo se llaman dispositivos "tontos" o "headless".
  • Si la dirección MAC de un dispositivo está en la base de datos de dispositivos "tontos" autorizados en el servidor de autenticación, se autentica y luego se autoriza según la política. Se pueden crear grupos de identidad de dispositivos (como impresoras, teléfonos IP) para asignar diferentes niveles de acceso.
  • MAB no es una tecnología segura y es mejor usarla como un método de autenticación secundario, no primario.
  • Gestionar manualmente los dispositivos MAB (teléfonos IP, cámaras IP, impresoras, etc.) puede ser una pesadilla, incluso para negocios pequeños. Cada vez que se añade un dispositivo nuevo, su dirección MAC debe añadirse manualmente a una base de datos en el servidor de autenticación.
  • Algunos servidores de autenticación pueden automatizar este proceso mediante el Perfilado de Dispositivos (Device Profiling). El perfilado es el proceso por el cual el servidor hace observaciones inteligentes sobre qué es un dispositivo basándose en varios atributos.
  • Cuando un dispositivo se conecta, el dispositivo de acceso a la red (NAD) usa 802.1X, a menudo con MAB como respaldo. El NAD inicia el intercambio RADIUS, enviando información crucial al servidor de autenticación, como la dirección MAC (en el campo Calling-Station-Id) y el ID de sesión.
  • Mientras el dispositivo se conecta (obtiene IP, descubre vecinos, etc.), estos intercambios de red producen atributos que se envían al servidor de autenticación y se asocian a la dirección MAC. Estos atributos forman una "huella digital" del dispositivo.
  • Para un perfilado efectivo, se deben habilitar opciones de perfilado en el servidor de autenticación, como RADIUS y DHCP.
  • Con el perfilado RADIUS, el servidor recopila, registra y correlaciona la información de los paquetes RADIUS en una base de datos de dispositivos, haciendo observaciones inteligentes. La dirección MAC (Calling-Station-Id) y el ID de sesión permiten asociar la información correcta al dispositivo.
  • Solo la dirección MAC puede revelar mucho. Los primeros tres octetos son el identificador único de organización (OUI), que indica el fabricante del dispositivo. El servidor mantiene una base de datos de OUIs y los tipos de dispositivos asociados, permitiendo asociar dinámicamente un dispositivo a una función o grupo.
  • Para fabricantes con muchos tipos de dispositivos bajo un solo OUI (como Cisco), se usan atributos de perfilado adicionales. Dispositivos como switches y WLCs pueden proporcionar atributos adicionales usando la función Device Sensor. Device Sensor (disponible en ciertas versiones de IOS/IOS XE) recopila información del dispositivo y la envía al servidor de autenticación. Protocolos vecinos como CDP y LLDP proporcionan información útil (capacidades, descripción, hostname, plataforma). Device Sensor también puede usar DHCP snooping para enviar información DHCP al servidor.
  • Toda esta información (de RADIUS, Device Sensor, CDP, LLDP, DHCP snooping) se encapsula (ej., en paquetes de contabilidad RADIUS) y se envía al servidor. El servidor la procesa y la vincula a la dirección MAC y al ID de sesión.
  • Cualquier otro campo o combinación de campos en el intercambio RADIUS puede usarse para decisiones de perfilado final. La información recopilada permite que muchos dispositivos MAB se añadan automáticamente a listas de dispositivos y se les asigne el nivel de autorización adecuado.
  • El perfilado DHCP también es útil. La solicitud DHCP de un dispositivo puede enviarse al servidor de autenticación añadiendo una dirección "IP helper" al switch o activando Device Sensor. El servidor usa campos DHCP (que contienen la MAC) para determinar el tipo de dispositivo. Información útil incluye el identificador de cliente DHCP (o MAC), la dirección IP solicitada (para correlación MAC-IP), y la lista de solicitud de parámetros DHCP (que puede ser una "huella digital" del tipo de dispositivo).
  • Analizando el proceso DHCP completo, el servidor puede establecer la identidad del dispositivo con certeza razonable.
  • A medida que un dispositivo pasa por el perfilado RADIUS y DHCP, su nivel de acceso a la red puede necesitar cambiar. Al usar estos métodos, se pueden identificar y asociar automáticamente dispositivos "tontos" a listas y niveles de autorización. Esto también sirve para perfilar dispositivos "inteligentes" y tomar decisiones de autorización específicas por tipo de dispositivo (ej., una impresora que solo accede a ciertos puertos). Los dispositivos no identificados con certeza pueden ir a una lista de "Desconocidos" con acceso básico para triage manual.
  • Para desencadenar un nuevo nivel de autorización después del perfilado, se puede usar un Cambio de Autorización (CoA). Si a un dispositivo se le dio acceso básico para recopilar información de perfilado, una vez que el servidor tiene una vista actualizada, puede enviar un CoA al NAD. El NAD fuerza al dispositivo a reautenticarse, y luego se reautoriza con un nivel de acceso diferente.

3. Evaluación de Postura (Posture Assessment)

  • La autenticación se enfoca a menudo en el usuario, pero no siempre en el dispositivo que se usa. Históricamente, los dispositivos IT estaban muy controlados, pero esto ha cambiado con la movilidad, permitiendo a los usuarios modificar sus laptops.
  • El desafío es asegurar que los cambios hechos por los usuarios no comprometan la seguridad de la red corporativa y que el dispositivo cumpla con la política de seguridad. Aquí es donde entra la evaluación de postura.
  • Una evaluación de postura es un proceso donde una aplicación (como Cisco AnyConnect ISE Posture Module) o un ejecutable temporal (como Cisco Temporal Agent) en el dispositivo proporciona información crítica sobre el software o sistema operativo en ejecución.
  • Se pueden verificar varias condiciones:
    • Condición de archivo: existencia, fecha o versión de un archivo.
    • Condición de firewall: si un firewall específico está ejecutándose.
    • Condición de registro: existencia o valor de una clave de registro en Windows.
    • Condición de aplicación: si una aplicación se está ejecutando o está instalada.
    • Condición de servicio: si un servicio se está ejecutando en Windows.
    • Condición de diccionario simple: verifica un atributo asociado a un usuario y valor.
    • Verificación de Windows Update: confirma si está habilitado.
    • Verificación de antivirus: confirma que hay una solución instalada (y si se requiere una específica) y que las definiciones están presentes y actualizadas (más nuevas que una fecha o las últimas).
    • Verificación de antispyware/antimalware: similar a antivirus, verifica instalación y definiciones actualizadas.
    • Condición de gestión de parches: verifica que productos de gestión de parches estén instalados, habilitados y actualizados.
    • Condición USB: verifica si un dispositivo de almacenamiento USB está conectado.
    • Condición de cifrado de disco: verifica instalación y estado del software de cifrado.
    • Condición de atributos de hardware: verifica atributos del hardware.
    • Condición de fuente de datos externa: verifica atributos del dispositivo en Active Directory.
  • Esta información se envía al servidor de autenticación, que la compara con la política de seguridad configurada. El dispositivo se evalúa como Compliant (Cumple), NonCompliant (No Cumple) o Unknown (Desconocido).
  • El resultado de esta evaluación se usa para la decisión de autorización.
    • Si el dispositivo es Compliant, se le puede dar acceso a la red basado en la política de autorización.
    • Si es NonCompliant o Unknown, la política de autorización podría redirigir el dispositivo a un portal de remediación usando un ACL de redirección (redirect ACL) definido en el switch.
    • Si el estado de postura es Unknown, se instala o ejecuta el agente de postura para completar la evaluación.
  • Una vez que el dispositivo ha sido remediado a través del portal, se puede emitir un CoA al NAD para reautenticar al usuario.

4. Gestión de Dispositivos Móviles (MDM)

  • Un Mobile Device Manager (MDM) es un sistema de software de seguridad que permite a un administrador configurar y proteger un dispositivo móvil sin importar su ubicación.
  • Cuando un dispositivo se registra con un MDM, el propietario instala el software y le da permisos para acceder y recopilar información. Esto usa un agente MDM (aplicación separada o integrada en el SO) y un servidor MDM (on-premises o en la nube). El software MDM evalúa el estado de seguridad, software y red, entre otros factores. La información se pasa al servidor MDM. Pueden usarse servidores de soporte adicionales en la nube (como los de notificaciones push de Apple o Google).
  • Hay varios proveedores de MDM, que ofrecen aprovisionamiento de dispositivos, contexto de usuario/dispositivo, y seguridad mejorada. La elección depende de la base de usuarios, coste, modelo de despliegue y política de seguridad.
  • Características comunes de los MDM:
    • Soporte para la mayoría de plataformas móviles y laptops (Android, iOS, Mac OSX, Windows).
    • Aprovisionamiento de aplicaciones (enviar apps necesarias al dispositivo).
    • Postura de seguridad (si tiene PIN lock habilitado, cifrado habilitado, o si está "jailbroken").
    • Modificar capacidades del dispositivo (habilitar/deshabilitar Wi-Fi, GPS, Bluetooth, cámara, etc.).
    • Borrado remoto (parcial o completo) en un dispositivo perdido o robado.
    • Soporte Active Directory (autenticar usuarios MDM con credenciales AD).
    • Aprovisionamiento de VPN (desplegar configs VPN para conexión segura a la red corporativa).
    • Copia de seguridad del dispositivo (asegurar copias recientes).
  • Muchas de estas características no están directamente disponibles en el proceso de evaluación de postura del servidor de autenticación. Los MDM proporcionan control adicional sobre el dispositivo incluso fuera de la red corporativa.
  • El MDM puede comunicar explícitamente algunas características al servidor de autenticación, o simplemente proporcionar una evaluación resumen final (Compliant o NonCompliant).
  • Los MDM pueden ver una gran cantidad de detalles y proporcionar un mayor nivel de seguridad remota (bloqueo, borrado seguro) a través de un portal MDM o por proxy vía el servidor de autenticación.
  • La política de autorización de un servidor de autenticación puede consultar el estado MDM (compliant/noncompliant) y otros estados explícitos (jailbroken, PIN lock). Si un dispositivo necesita registrarse con el MDM o no cumple, la política puede realizar un redireccionamiento a un portal MDM.
  • Los MDM son una herramienta importante para gestionar y aplicar políticas de seguridad en dispositivos móviles, que son cada vez más críticos para el negocio.

Preguntas y Respuestas (Q&A)

Basándome en la información que acabo de repasar de las fuentes:

  1. ¿Qué es un Cambio de Autorización? Es un mecanismo que permite a un servidor de autenticación cambiar los atributos AAA de una sesión después de que ya ha sido autenticada. Funciona como un modelo push desde el servidor de autenticación y permite la reconfiguración dinámica de la sesión. Las acciones posibles incluyen no hacer nada, "port bounce", o reautenticar.

  2. ¿Qué se puede usar para ayudar a automatizar MAB? Se puede usar el perfilado de dispositivos (device profiling) para ayudar a automatizar MAB. El perfilado permite al servidor de autenticación hacer observaciones educadas sobre el dispositivo basándose en varios atributos recopilados, por ejemplo, de RADIUS y DHCP.

  3. ¿Qué hace el perfilado? El perfilado es el proceso por el cual un servidor de autenticación puede hacer observaciones educadas sobre qué es un dispositivo, basándose en varios atributos del endpoint. Recopila información de fuentes como RADIUS (incluyendo OUI de la MAC) y DHCP, y puede usar funciones como Device Sensor que recopila datos de protocolos vecinos como CDP y LLDP.

  4. ¿Qué ayuda a lograr la postura? La evaluación de postura (posturing) ayuda a los administradores de red a asegurar que los cambios hechos por los usuarios en los dispositivos no comprometan la seguridad de la red corporativa. Ayuda a confirmar que el dispositivo sigue cumpliendo con la política de seguridad de la empresa. Permite evaluar un dispositivo como Compliant, NonCompliant o Unknown y usar ese resultado para tomar decisiones de autorización, como otorgar acceso o redirigir a un portal de remediación.

  5. ¿Cuáles son algunos de los beneficios que puede proporcionar un gestor de dispositivos móviles que no se pueden hacer con la postura? Algunos beneficios que proporciona un MDM que no se pueden hacer directamente con la evaluación de postura del servidor de autenticación incluyen: aprovisionamiento de aplicaciones, modificar capacidades del dispositivo (como habilitar/deshabilitar Wi-Fi, GPS, cámara), borrado remoto de un dispositivo perdido o robado, soporte Active Directory para autenticar usuarios MDM, y aprovisionamiento de VPN. Los MDM también proporcionan control y seguridad incluso cuando el dispositivo está fuera de la red corporativa.





at
Labels: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...