martes, 20 de mayo de 2025

ISE - 14 - Profiling

Introducción al Profiling

  • El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva externa.
  • Se diferencia de la postura, que realiza un examen interno del sistema.
  • El profiling se usa para construir una base de datos de endpoints en la red y asignarlos a categorías basadas en sus atributos externos.
  • Inicialmente se usó para automatizar MAC Authentication Bypass (MAB), pero se ha convertido en una parte integral del control de acceso.
  • Permite recopilar atributos de dispositivos de fuentes como DHCP, NetFlow, HTTP User-Agent strings, DNS, Active Directory, entre otros.
  • Estos atributos se comparan con firmas predefinidas, comúnmente llamadas perfiles, para clasificar los dispositivos.
  • La información de profiling se utiliza como condición en las políticas de autorización.

Comportamiento Anómalo

  • Anomalous Behaviour Detection busca contradicciones o ciertos cambios en los datos de profiling para ayudar a detectar posible MAC spoofing.
  • Verifica el tipo de puerto, el DHCP Class-Identifier, y la política del endpoint.
  • No cambia automáticamente el acceso a la red; establece el atributo AnomalousBehaviour en verdadero.
  • Anomalous Behaviour Enforcement permite que ISE emita un Cambio de Autorización (CoA) al detectar comportamiento anómalo, permitiendo reautenticar y cambiar el acceso.
  • Se recomienda una estrategia de mínimo privilegio independientemente de si las funciones de comportamiento anómalo están habilitadas.

Cisco ISE Probes (Sondas)

  • Las probes son mecanismos de recopilación de datos utilizados por ISE Profiler para determinar qué es un dispositivo.
  • Se habilitan en cada Policy Services Node (PSN) desde la GUI del Policy Administration Node (PAN) en Administration > System > Deployment > Profiling Configuration.
  • Existen 11 probes:
    • NETFLOW: Recopila registros de flujos de tráfico. Se recomienda un colector NetFlow para filtrar datos.
    • DHCP: Recopila información de solicitudes DHCP directamente al PSN (usando ip helper-address).
    • DHCPSPAN: Recopila solicitudes y respuestas DHCP a través de una sesión SPAN. No se recomienda habilitar ambos DHCP y DHCPSPAN en la misma interfaz.
    • HTTP: Captura tráfico HTTP y examina el campo User-Agent. Puede usar SPAN o los portales web de ISE para recopilar esta información. El WLC con Device Sensor también puede enviar esta información vía RADIUS.
    • RADIUS: El mecanismo principal de comunicación entre NAD e ISE, proporciona datos como MAC y dirección IP, y activa el probe SNMPQUERY. Es especialmente crítico con Device Sensor.
    • Network Scan (Nmap): Utiliza escaneo de puertos, SNMP, SMB para identificar atributos del dispositivo. Puede ser manual o reactivo a un evento de profiling.
    • DNS: Recopila el FQDN de un endpoint mediante una búsqueda inversa, útil para activos corporativos. Se activa después de la detección por DHCP, RADIUS, HTTP o SNMP.
    • SNMPQUERY: Realiza la mayor parte del trabajo de profiling al interrogar a los NADs habilitados para SNMP. Se activa periódicamente o por SNMPTRAP o RADIUS.
    • SNMPTRAP: Recibe información de los NADs sobre cambios en la tabla MAC y cambios en el estado del enlace, y activa el probe SNMPQUERY.
    • Active Directory: Recopila información detallada del sistema operativo para endpoints unidos al dominio. Requiere que ISE esté unido al dominio y aprende el hostname a través de DHCP o DNS.
    • pxGrid: Recibe contexto de endpoints de otros sistemas Cisco y de terceros. Utiliza la especificación pxGrid Versión 2 y el tema Endpoint Asset.

Configuración de la Infraestructura

  • DHCP Helper: Configurar ip helper-address en las interfaces de capa 3 para reenviar copias de las solicitudes DHCP a los PSNs.
  • SPAN Configuration: Configurar sesiones de monitor para copiar tráfico a las interfaces de los PSNs.
  • VLAN Access Control Lists (VACLs): Se pueden usar para filtrar el tráfico enviado a una sesión SPAN, mejorando la utilización de recursos.
  • Device Sensor: Característica en switches y controladores que recopila atributos de endpoints localmente y los envía a ISE dentro de los paquetes de contabilidad RADIUS. Requiere configurar listas de filtros para DHCP, CDP y LLDP.
  • VMware Configurations: Necesario habilitar el modo promiscuo en los vSwitches para usar probes SPAN con ISE.

Profiling Policies (Políticas de Profiling)

  • Las profiling policies son como firmas que definen los perfiles de endpoint.
  • El Profiler Feed Service descarga nuevas políticas de perfil y actualiza las existentes desde Cisco. Se configura en Administration > Feed Service > Profiler. También hay una opción de actualización manual offline.
  • Las políticas de perfil tienen un tipo de sistema (Cisco provided, administrator modified, administrator created).
  • Los perfiles son jerárquicos e inclusivos. Se puede usar cualquier nivel de la jerarquía en las políticas de autorización.
  • Cada perfil tiene un Minimum Certainty Factor. La certainty factor es un valor agregado basado en las condiciones coincidentes.
  • Se pueden crear Logical Profiles para agrupar perfiles no jerárquicamente.

ISE Profiler y CoA (Cambio de Autorización)

  • El CoA es importante para aplicar los resultados del profiling sin esperar la próxima autenticación.
  • Se puede configurar un CoA global para profiling en Administration > System > Settings > Profiler. Las opciones son No CoA, Port Bounce y Reauth. Se recomienda Reauth.
  • También se puede configurar un CoA por perfil individual, que tiene prioridad sobre el CoA global.

Configuración Global del Profiler

  • Las cadenas de comunidad SNMP para los escaneos SNMP de Nmap se configuran en Administration > System > Settings > Profiler.
  • El Endpoint Attribute Filter (en la misma ubicación) crea una lista blanca de atributos utilizados en las políticas de perfil existentes para minimizar el tráfico de replicación. Se recomienda habilitarlo después de un tiempo de funcionamiento estable.
  • Se pueden crear Custom Attributes para endpoints en Administration > Identity Management > Settings > Endpoint Custom Attributes y usarlos en políticas de autorización después de habilitarlos en la configuración del Profiler.
  • Se puede habilitar la publicación de datos de probes de endpoints en pxGrid en la configuración del Profiler.

Profiles en Políticas de Autorización

  • Originalmente se requerían Endpoint Identity Groups para usar perfiles en políticas de autorización. Estos se crean al seleccionar "Yes, Create Matching Identity Group" al ver un perfil.
  • Actualmente, se recomienda usar el atributo Endpoints:EndPointPolicy directamente en las reglas de autorización. Los perfiles lógicos también pueden simplificar las políticas.

Verificación del Profiling

  • El Dashboard en Context Visibility > Endpoints > Endpoint Classification proporciona información general sobre los endpoints.
  • La Global Search permite buscar perfiles y ver los endpoints coincidentes.
  • La base de datos de endpoints en Context Visibility > Endpoints > Authentication muestra todos los endpoints y sus perfiles. Los detalles de un endpoint específico se pueden ver haciendo clic en su dirección MAC.
  • Los switches con Device Sensor tienen comandos show device-sensor cache [all | mac] para verificar la recopilación de datos.

Términos Clave

  • ISE Profiler: Componente de ISE responsable de la detección y clasificación de endpoints.
  • Anomalous Behaviour Detection: Característica para detectar posibles suplantaciones de MAC comparando datos de perfil.
  • Logical profiles: Agrupación de perfiles no jerárquica.
  • Global CoA: Configuración de Cambio de Autorización a nivel del sistema para profiling.


at
Labels: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...