lunes, 19 de mayo de 2025

ISE - 10 - Authorization Policies

Políticas de Autorización en Cisco ISE

Las políticas de autorización son una parte fundamental del control de acceso seguro a la red, complementando el proceso de autenticación. Mientras que la autenticación valida una credencial o identidad (por ejemplo, verificar un pasaporte en un banco), la autorización determina el nivel de derecho o acceso que se debe conceder (por ejemplo, si puedes retirar dinero).

En el contexto de la seguridad de red, la política de autorización en Cisco ISE decide qué nivel de acceso a la red se otorga a un usuario o dispositivo entrante. Esta decisión se basa en el "contexto de seguridad" del usuario o dispositivo, que incluye quién, qué, dónde, cuándo y cómo se realizó la autenticación. El contexto de seguridad puede incluir una amplia variedad de atributos como el tipo de dispositivo, la ubicación, la unidad de negocio, la identidad del usuario, la pertenencia a grupos de Active Directory (AD), la entidad certificadora (CA) que firmó un certificado, la hora del día, el resultado de la autenticación, el protocolo utilizado, o incluso el contenido de campos específicos de un certificado.

El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD).

La lógica básica de una regla de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan de arriba a abajo en la política de autorización, y se aplica la primera regla cuyas condiciones coincidan.

Después de que un endpoint se ha autenticado con éxito, el proceso autenticado se pasa a la política de autorización, que determina los resultados finales de acceso. La flexibilidad para asignar diferentes niveles de acceso basándose en el contexto es la razón por la que se dedica la mayor parte del tiempo en productos como Cisco ISE a configurar y ajustar la política de autorización.

Resultados de Autorización Comunes: Un resultado de autorización puede ser tan simple como enviar un mensaje RADIUS Access-Accept o Access-Reject. Sin embargo, también puede incluir factores más avanzados como:

  • Asignación de VLAN.
  • Listas de control de acceso descargables (dACLs).
  • Security Group Tags (SGTs).
  • Redirección de URL.
  • Permisos de Dominio de Voz (para teléfonos IP).
  • Asignación de Roles.
  • WebAuth Local.
  • Auto Smart Port.
  • Reautenticación.
  • Políticas MACsec.
  • NEAT.
  • Plantillas de Interfaz.
  • Nombres de ACL Airespace (para controladores inalámbricos).
  • Políticas ASA VPN.
  • Perfiles AVC.

Estos resultados se agrupan en un perfil de autorización, que es un conjunto de resultados que deben enviarse juntos. Cada regla de autorización debe tener un resultado, que típicamente es un perfil de autorización. Los perfiles de autorización contienen la respuesta RADIUS Access-Accept o Access-Reject junto con atributos de autorización adicionales que se envían al dispositivo de red para su aplicación.

Condiciones: Las condiciones pueden ser atributos internos o externos. Un ejemplo de condición simple es un único atributo. Las condiciones se pueden guardar en una biblioteca para su reutilización y para mejorar la legibilidad de las políticas.

Condiciones Compuestas y Jerárquicas: Una condición compuesta es más de una condición unida por operadores como AND u OR. Para requisitos más complejos que combinan operadores AND y OR, se pueden crear bloques de condiciones o condiciones compuestas jerárquicas en el Conditions Studio. El objetivo de usar condiciones compuestas jerárquicas es crear variaciones de condiciones casi infinitas para cumplir con los requisitos de seguridad de una empresa.

Reglas de Autorización Específicas de Rol: Un concepto importante es la defensa en profundidad. Simplemente implementar 802.1X o autenticar un dispositivo (como una impresora usando MAB) no hace que la red esté inmediatamente segura o segmentada. Las políticas de seguridad que construyas son clave. El objetivo final de un despliegue de acceso seguro debe ser proporcionar permisos muy específicos a cualquier autorización en lugar de acceso completo, incluso después de una autenticación exitosa. Esto limita el impacto si un usuario malicioso suplanta una identidad.

ACLs Descargables (dACLs): Las dACLs de Cisco se crean completamente en el servidor RADIUS (ISE en este caso), y una ACL completa se envía al dispositivo de red dentro de pares AV de RADIUS. Los dispositivos de red que no son de Cisco pueden requerir la creación de ACLs locales si no soportan el atributo RADIUS NAS-Filter-Rule. Las dACLs son una forma de aplicar políticas de tráfico específicas en el NAD.

Las políticas de autorización preconfiguradas en ISE abordan casos de uso comunes como teléfonos IP perfilados o dispositivos en listas negras. Por ejemplo, una regla para teléfonos IP perfilados podría coincidir con dispositivos en un grupo de identidad "Cisco-IP-Phone" y enviar un Access-Accept con un par AV que permita el acceso a la VLAN de voz. Una regla de lista negra inalámbrica podría usar condiciones compuestas (acceso inalámbrico Y grupo de identidad de lista negra) para enviar un Access-Accept con un par AV que aplique una ACL y una redirección de URL a una página de lista negra, restringiendo efectivamente el acceso a pesar de la aceptación inicial.

El despliegue de políticas de acceso seguro, especialmente la implementación de permisos específicos, debe manejarse mediante un enfoque por etapas para limitar el impacto en los usuarios finales.

Temas Clave para Revisar:

  • Objetivos de las políticas de autorización.
  • Reglas de autorización específicas de rol.
  • Guardar condiciones para su reutilización.

Términos Clave a Definir:

  • Contexto de seguridad.
  • Condición simple.
  • Condición compuesta.

Preguntas del Q&A y Respuestas:

  1. What are the goals of an authorization policy? (¿Cuáles son los objetivos de una política de autorización?) El objetivo principal de las políticas de autorización es examinar las condiciones en las reglas de autorización para finalmente enviar un resultado de autorización a un dispositivo de acceso a la red (NAD). Una política de autorización no solo permite o deniega el acceso a la red, sino que también puede incluir cualquier restricción para limitar el acceso a la red para el usuario o endpoint.

  2. What kind of conditions can be added to an authorization policy? (¿Qué tipo de condiciones se pueden añadir a una política de autorización?) Se pueden añadir una multitud de condiciones, incluyendo atributos internos y externos. Esto puede basarse en el contexto de seguridad, que incluye quién, qué, dónde, cuándo y cómo de la autenticación. Ejemplos incluyen pertenencia a grupos de Active Directory o grupos internos en ISE, ubicación, hora, si un dispositivo está registrado, si un dispositivo móvil ha sido "jail broken", o casi cualquier otro atributo imaginable. Incluso el resultado de la autenticación puede usarse como atributo (si fue exitosa, qué protocolo se usó, contenido de campos de certificado, etc.).

  3. What is the basic logic of an authorization policy? (¿Cuál es la lógica básica de una política de autorización?) La lógica básica de las reglas de política de autorización es: SI [condiciones] ENTONCES [AsignaEstosPermisos]. Las reglas se procesan en orden de arriba a abajo, y se aplica la primera regla que coincida.

  4. Does authentication make a network segmented and secure? (¿La autenticación hace que una red esté segmentada y segura?) No, simplemente porque hayas implementado 802.1X o MAB con Cisco ISE como controlador de políticas y se produzca una autenticación exitosa, no significa que la red esté inmediatamente segura o que se haya logrado la segmentación. Todo depende de las políticas de seguridad construidas por el administrador. El objetivo final debe ser proporcionar permisos muy específicos a cualquier autorización para proporcionar defensa en profundidad.

  5. What is the goal in using hierarchical compound conditions? (¿Cuál es el objetivo de usar condiciones compuestas jerárquicas?) Cuando las condiciones que deben cumplirse no son tan simples como un único operador AND u OR, las condiciones compuestas jerárquicas permiten crear bloques de condiciones para formar estructuras más complejas. El objetivo es combinar operadores AND y OR con condiciones para otorgar acceso, creando una política que sea tan flexible o compleja como se necesite. Esto permite crear casi infinitas variaciones de condiciones para cumplir con los requisitos de seguridad de una empresa.


“Do I Know This Already?” Quiz - Capítulo 10

  1. ¿Qué es un perfil de autorización?
    • d. Explicación: Un perfil de autorización es el resultado obligatorio de una regla de autorización. Una regla de autorización es del formato "IF condición THEN resultado".
  2. ¿Cuál es el propósito de un perfil de autorización?
    • b. Explicación: Contiene la respuesta RADIUS Access-Accept o Access-Reject junto con los atributos de autorización adicionales para enviar al dispositivo de red para su aplicación.
  3. ¿Cuáles de las siguientes son tareas comunes en un perfil de autorización?
    • d. Explicación: Nombre dACL, redirección web, Local WebAuth y auto smart port son tareas comunes que se envían a un NAD para la aplicación segura de políticas en el endpoint. Las opciones a y b mezclan incorrectamente los resultados de Access Type (Accept/Reject son resultados, Continue/Terminate son acciones de la política de autenticación, no resultados del perfil de autorización). La opción c incluye "role assignment" que no es una tarea común listada, mientras que dACL, web redirection, Local WebAuth y auto smart port sí lo son.
  4. ¿Cuál de las siguientes es correcta?
    • a. Explicación: Una política de autorización contiene reglas de autorización, y cada regla tiene al menos un perfil de autorización. La política de autorización se compone de reglas que se procesan en orden de arriba abajo, y cada regla que coincide lleva a un resultado definido en un perfil de autorización.
  5. ¿Cuál es el propósito principal de guardar condiciones en la biblioteca?
    • a. Explicación: Para uso futuro y legibilidad mejorada. Guardar condiciones simples o compuestas hace que las políticas sean más fáciles de leer y permite reutilizarlas fácilmente en múltiples reglas.
  6. ¿Qué hay de especial en el perfil de autorización requerido para un teléfono IP?
    • b. Explicación: Contiene el par atributo/valor de permiso de dominio de voz (cisco-av-pair = device-traffic-class = voice), que autoriza al endpoint a acceder a la VLAN de voz asignada a la interfaz.
  7. ¿Cuál es la diferencia entre condiciones simples y compuestas?
    • c. Explicación: Una condición simple contiene solo un atributo. Una condición compuesta contiene múltiples atributos junto con un operador como AND u OR.
  8. Si necesitas combinar operadores OR y AND con condiciones para otorgar acceso, ¿qué haces?
    • a. Explicación: Crear condiciones compuestas jerárquicas. Estas permiten combinar operadores AND y OR en diferentes niveles para cumplir requisitos complejos.
  9. ¿Cuál debe ser el objetivo final de un despliegue de Acceso Seguro de Cisco?
    • d. Explicación: Proporcionar permisos muy específicos a cualquier autorización para ofrecer defensa en profundidad mientras se cumplen los objetivos de la política de seguridad de la organización. El objetivo no es dar acceso completo y depender únicamente de firewalls, ni simplemente basarse en la autenticación exitosa.
  10. ¿Qué es único acerca de las listas de control de acceso descargables (dACLs) de Cisco?
    • c. Explicación: Las dACLs de Cisco se crean completamente en el servidor RADIUS, y se envía una ACL completa al dispositivo de red dentro de los pares AV de RADIUS. Los dispositivos de red que no son Cisco deben crear ACLs en dispositivos de red locales individuales si no admiten el atributo RADIUS NAS-Filter-Rule. Esto centraliza la creación y gestión de ACLs en ISE.


 

at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...