domingo, 18 de mayo de 2025

ISE - 07 - ISE Graphical User Interface

 

Este capítulo proporciona un recorrido guiado por la interfaz gráfica de usuario (GUI) de Cisco Identity Services Engine (ISE), cubriendo cómo iniciar sesión, la organización de la GUI y los tipos de políticas. El portal administrativo de ISE es una interfaz web utilizada para la administración.

Inicio de Sesión en ISE

  • Para iniciar sesión, necesitas abrir un navegador web compatible. A partir de ISE versión 2.4, Flash ha sido completamente eliminado y se utiliza HTML5. La versión 2.6 admite navegadores específicos como Mozilla Firefox (v69 e inferiores, ESR 60.9 e inferiores), Google Chrome (v77 e inferiores) y Microsoft Edge Beta (v77 e inferiores), así como Internet Explorer (v10.x y 11.x).
  • La resolución de pantalla mínima requerida para todos los navegadores es 1280 × 800 píxeles.
  • Para mantener el más alto nivel de seguridad, la GUI de Cisco ISE utiliza HTTPS para el acceso administrativo. La URL para acceder es https://<ISE_FQDN>, o la dirección IP si no está en el DNS.
  • Al acceder por primera vez, puedes recibir una alerta de seguridad porque el certificado X.509 predeterminado utilizado para identificar el portal administrativo HTTPS es un certificado autofirmado. Puedes aceptar permanentemente este certificado o cargar uno nuevo emitido por una CA de confianza. El uso de certificados X.509 se discute más en el Capítulo 8.
  • La pantalla de inicio de sesión autentica a un usuario administrativo válido. El nombre de usuario y la contraseña, y por lo tanto el rol administrativo resultante, determinan el nivel de acceso.
  • El usuario administrativo inicial (configurado durante el arranque) es admin y tiene el rol de "super admin". Este rol tiene permisos completos de creación, lectura, actualización, eliminación y ejecución (CRUDX) en todos los recursos de ISE.
  • Se pueden crear usuarios administrativos adicionales después del inicio de sesión inicial, asignando a cada uno un rol administrativo específico. Los roles administrativos predefinido y controlan el nivel de acceso, los permisos y las restricciones. Algunos ejemplos de roles son Customization admin, Helpdesk admin, Identity admin, MnT admin, Network device admin, Policy admin, RBAC admin, Read-only admin, Super admin, System admin, Elevated system admin (v2.6 patch 2+), External RESTful Services (ERS) admin/operator, y TACACS+ admin.
  • Para acceder a los roles administrativos, navega a Administration > System > Admin Access > Administrators > Admin Groups. Para añadir un usuario administrativo, ve a Administration > System > Admin Access > Administrators > Admin Users.


Organización de la GUI de ISE

La GUI de Cisco ISE está organizada en cinco componentes funcionales principales, además de la pantalla de inicio (Home):

ISE Home Dashboards: La primera pantalla al iniciar sesión, proporciona una vista general en tiempo real de la implementación de ISE, incluyendo el estado de los endpoints y la salud general. Solo se puede ver desde el nodo principal de Policy Administration Node (PAN).
    • Tiene cinco pestañas predeterminadas: Summary (resumen de endpoints y salud), Endpoints (estado de endpoints y dispositivos de red), Guests (información de usuarios invitados), Vulnerability (información de vulnerabilidades vía adaptador Threat Centric NAC) y Threat (información de amenazas vía adaptador Threat Centric NAC).
    • Se pueden crear dashboards personalizados (hasta 15 adicionales) y añadir "dashlets" (componentes visuales) a ellos. Las opciones de configuración permiten añadir, exportar (PDF, CSV), cambiar el diseño y gestionar dashboards (marcar como predeterminado, restablecer).
    • Los dashlets en la pestaña Summary incluyen Metrics, Authentications, Network Devices, Endpoints (si el profiling está habilitado), BYOD Endpoints y Alarms (se refresca automáticamente cada 30 segundos), y System Summary (se refresca cada 60 segundos).
    • La pestaña Endpoints muestra dashlets como Status (estado de conexión), Endpoints (profiling) y Endpoint Categories (profiling), y Network Devices (endpoints autenticados por dispositivo).
    • La pestaña Guests muestra dashlets como Guest Status, Guest Type, Failure Reason y Location.
    • La pestaña Vulnerability muestra dashlets como Total Vulnerable Endpoints (por puntaje CVSS), Top Vulnerability (por número de endpoints o severidad), Vulnerability Watchlist y Vulnerable Endpoints Over Time.
    • La pestaña Threat muestra dashlets como Total Compromised Endpoints, Top Threats, Threat Watchlist y Compromised Endpoints Over Time.



Administration Portal: Proporciona acceso a herramientas de configuración y reporte. Incluye elementos interactivos en la parte superior, como pestañas y un menú superior derecho.

  • Las pestañas principales son Context Visibility, Policy y Administration.


  • El menú superior derecho incluye:
    • Search icon: Permite realizar una búsqueda global de endpoints. Se requieren al menos tres caracteres para la búsqueda. Los resultados proporcionan información general y detallada para troubleshooting. Los criterios de búsqueda incluyen Username, User type, MAC address, IP address, Authorization profile, Endpoint profile, Failure reason, Identity group, Identity store, Network device name, Network device type, Operating system, Posture status, Location, y Security group.
    • Help icon: Proporciona acceso a recursos útiles como ayuda a nivel de página, la comunidad ISE, documentación oficial, descargas de software, canal de YouTube, socios del ecosistema y una herramienta para construir portales personalizados (Portal Builder). También permite hacer preguntas a expertos.
    • PassiveID Setup: Inicia un wizard para configurar identidades pasivas usando Active Directory, recogiendo identidades de usuario y IPs de servidores externos.
    • Visibility Setup: Un servicio PoV que recoge datos de endpoint (aplicaciones, inventario hardware, estado USB/firewall, compliance) de endpoints Windows usando un agente temporal (Cisco Stealth temporal agent). Permite especificar rangos IP para descubrimiento. Incluye opciones de logging para debugging del agente.
    • Wireless Setup (BETA): Una opción fácil para configurar flujos inalámbricos (802.1X, guest, BYOD) y personalizar portales.
    • System activities: Permite acceder a la ayuda online y configurar ajustes de cuenta.
    • ISE Setup Wizards: Un menú desplegable con wizards para configurar rápidamente funciones como profiling, posturing básico y acceso inalámbrico (guest/corporativo).
    • Settings Menu: Proporciona información sobre ajustes del sistema de alto nivel y ayuda.

  1. Context Visibility: Permite ver información granular sobre endpoints, usuarios, dispositivos de red y aplicaciones a través de dashboards preconstruidos. La información se segmenta por características, aplicaciones, BYOD, etc.. Utiliza una base de datos central para actualizaciones rápidas. Se puede filtrar la información para personalizar las vistas y exportar datos. Incluye cuatro pestañas principales: Endpoints (filtrar por tipo, compliance, auth, inventario, asignar política/grupo), Users (filtrar por identidad, fuente, tipo), Network Devices (listar dispositivos, endpoints conectados, filtrar por dispositivo), Application (aplicaciones descubiertas y dispositivos con ellas).

  2. Operations: Permite a los administradores monitorizar, reportar y solucionar problemas activamente con sesiones de autenticación y autorización en curso, dispositivos de red y políticas configuradas. Incluye seis pestañas principales:

    • RADIUS: Contiene Live Logs (información en tiempo real sobre autenticaciones RADIUS recientes, primera parada para troubleshooting de auth, permite ver detalles de sesión) y Live Sessions (muestra el estado de sesiones activas, play-by-play de la sesión, permite forzar terminación o reautenticación - CoA Action).
    • Threat-Centric NAC Live Logs: Lista eventos de amenaza y vulnerabilidad de adaptadores externos.
    • TACACS Live Log: Información en tiempo real sobre autenticaciones TACACS, similar a RADIUS Live Logs.
    • Troubleshoot: Proporciona herramientas para administradores de red. Incluye herramientas como RADIUS Authentication Troubleshooting, Execute Network Device Command, Evaluate Configuration Validator, Posture Troubleshooting, Endpoint Debug, TCP Dump, Session Trace Tests y herramientas TrustSec. También permite descargar logs (Support bundle, Debug logs) para soporte técnico.
    • Adaptive Network Control (ANC): Herramienta útil para cambiar el acceso de red de un endpoint (cuarentena, sin cuarentena, apagado). "Cuarentena" es una etiqueta interna; la acción real depende de la política de seguridad correspondiente. Puede bloquear el acceso a la red basándose en la dirección MAC (más efectivo) o IP. Las pestañas son Policy List (crear políticas/etiquetas ANC: Quarantine, Shut_Down, Port_Bounce) y Endpoint Assignment (ver/añadir/eliminar endpoints de una política ANC). Una política ANC no hace nada sin una política de autorización correspondiente.
    • Reports: Permite generar reportes para funciones y sesiones de ISE. Las categorías incluyen Audit, Device Administration, Diagnostics, Endpoints and Users, Guest, Threat Centric NAC y TrustSec.

  3. Policy: Se utiliza para configurar la política de seguridad, incluyendo sets de políticas, profiling, posture, client provisioning, y policy elements (elementos de política). Procesa las credenciales de un dispositivo de red y devuelve la política de seguridad resultante.

    • Policy Sets: Configura la política de autenticación y autorización para el control de acceso a la red. Permite agrupar lógicamente políticas de autenticación y autorización. Se pueden gestionar diferentes casos de uso (inalámbrico, cableado, invitado) en conjuntos de políticas separados. La evaluación es jerárquica, de arriba hacia abajo, con el primer resultado coincidente. Las subsecciones incluyen Authentication Policy, Authorization Policy—Local Exceptions, Authorization Policy—Global Exceptions, y Authorization Policy.
    • Profiling: La capacidad de determinar el tipo de dispositivo que accede a la red. Se logra monitorizando protocolos (DHCP, HTTP, RADIUS por proxy, etc.). Se pueden crear perfiles personalizados o ver los existentes.
    • Posture: Mecanismo mediante el cual un suplicante o agente en un endpoint proporciona información detallada sobre su configuración de software y hardware (OS, antivirus, parches) a ISE. Basado en la evaluación, un endpoint con posture no conforme o desconocido puede ser puesto en cuarentena con acceso reducido para remediación.
    • Client Provisioning: Proceso por el cual se implementan credenciales y configuraciones necesarias en un endpoint (onboarding) para que se una a la red más fácilmente (certificados X.509, perfiles inalámbricos, cliente posture). La política de client provisioning es un árbol de decisión basado en criterios como el OS del endpoint.
    • Policy Elements: Componentes básicos reutilizables que simplifican la configuración de políticas. Ayudan a definir las partes IF-THEN de una política. Incluye tres pestañas: Dictionaries (elementos/atributos con pares atributo/valor), Conditions (sentencias IF, "pruebas" que resultan en TRUE/FALSE) y Results (sentencias THEN, acciones que se ejecutan si las condiciones son TRUE).
    • TrustSec: Una política de seguridad en la que se asigna un Security Group Tag (SGT) a un endpoint después de la autenticación. El SGT determina el nivel de acceso en la red. La política determina el SGT basándose en el usuario, tipo de endpoint, método de acceso, etc..

  4. Work Centers: Agrupan lógicamente todas las páginas relacionadas con la configuración, monitorización y reporte de casos de uso comunes de ISE. Proporcionan todo lo necesario para configurar, monitorizar y solucionar problemas en estos casos de uso. Hay ocho Work Centers: Network Access, Guest Access, TrustSec, BYOD, Profiler, Posture, Device Administration y PassiveID.

Tipos de Políticas en ISE

ISE gestiona varios tipos de políticas para endpoints cableados, inalámbricos y de acceso remoto. Muchas de estas políticas utilizan la estructura IF-THEN. Los tipos de políticas son:

  • Authentication: Para identificar un endpoint o usuario al conectarse a la red.
  • Authorization: Para determinar qué acceso tendrá un endpoint o usuario después de ser autenticado.
  • Profiling: Para determinar el tipo de dispositivo que accede a la red.
  • Posture: Para evaluar la configuración de seguridad del endpoint (OS, software de seguridad, parches).
  • Client Provisioning: Para desplegar credenciales y configuraciones necesarias en un endpoint (onboarding).
  • TrustSec: Para asignar un Security Group Tag (SGT) a un endpoint y aplicar políticas de acceso basadas en este tag.

Q&A

Aquí están las respuestas a las preguntas de Q&A:

  1. Nombra algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE. Algunos de los criterios que se pueden utilizar para una búsqueda global de endpoints en ISE son: Nombre de usuario (Username), Tipo de usuario (User type), Dirección MAC (MAC address), Dirección IP (IP address), Perfil de autorización (Authorization profile), Perfil de endpoint (Endpoint profile), Motivo de fallo (Failure reason), Grupo de identidad (Identity group), Almacén de identidad (Identity store), Nombre del dispositivo de red (Network device name), Tipo de dispositivo de red (Network device type), Sistema operativo (Operating system), Estado de posture (Posture status), Ubicación (Location) y Grupo de seguridad (Security group).
  2. ¿Qué es importante sobre los dashboards de Context Visibility? Los dashboards de Context Visibility muestran información sobre endpoints, usuarios y NADs. La información puede segmentarse por características, aplicaciones, BYOD y otras categorías. Lo importante es que utilizan una base de datos central y recopilan información de tablas, cachés y buffers, lo que hace que las actualizaciones sean muy rápidas. Permiten filtrar datos modificando los atributos de columna en la lista, y los dashlets se actualizan para mostrar el contenido modificado. Proporcionan información granular sobre los endpoints en ISE.
  3. ¿Cómo ayuda RADIUS Live Log en la solución de problemas? RADIUS Live Log muestra información en tiempo real sobre las autenticaciones RADIUS recientes. Es la primera parada para un administrador al probar nuevas políticas o solucionar problemas de autenticación, para verificar si un endpoint se autenticó correctamente. Permite ver detalles adicionales para la solución de problemas sobre autenticaciones exitosas o rechazadas. Al hacer clic en los detalles, se accede a una gran cantidad de información sobre la sesión de autenticación, incluyendo detalles del intercambio RADIUS, el endpoint, el NAD y el almacén de identidad. Al revisar estos detalles y conocer el resultado esperado de la política, se puede determinar la razón por la que se eligió una política (correcta o incorrectamente).
  4. ¿Cuáles son los tres elementos principales de una política? Los elementos de política son los componentes básicos reutilizables que se utilizan para construir políticas en ISE. Los tres elementos principales, que se encuentran bajo la pestaña Policy Elements, son: Dictionaries (proporcionan una lista de elementos definidos por el sistema y el usuario y sus atributos disponibles), Conditions (definen las partes IF de las políticas, sentencias condicionales que pueden ser VERDADERAS o FALSAS) y Results (definen las partes THEN de las políticas, acciones que se ejecutan si las condiciones son VERDADERAS). Las políticas en ISE a menudo se basan en una estructura programática IF-THEN.
  5. ¿Cuáles son los diferentes tipos de políticas en ISE? Los diferentes tipos de políticas en ISE son: Authentication (identificar un endpoint o usuario), Authorization (determinar el acceso después de la autenticación), Profiling (determinar el tipo de dispositivo), Posture (evaluar la configuración de seguridad del endpoint), Client Provisioning (desplegar credenciales y configuraciones para el onboarding) y TrustSec (asignar un Security Group Tag y aplicar políticas basadas en él).
at No hay comentarios:

lunes, 12 de mayo de 2025

ISE - 09 - Authentication Policies

Políticas de Autenticación

Este capítulo trata sobre las Políticas de Autenticación en el contexto del control de acceso a la red, particularmente utilizando Cisco ISE. La autenticación es la validación de una credencial. Es una parte crucial del proceso de control de acceso a la red.

Se utiliza una analogía real, como ser detenido por exceso de velocidad, para explicar la autenticación: el oficial valida la licencia de conducir y el seguro, comprobando su validez, hologramas, fechas y bases de datos (como la del DMV). Si pasa estas verificaciones, la autenticación es exitosa.

Las políticas de autenticación tienen varios objetivos principales:

  • Descartar tráfico no permitido para ahorrar recursos de procesamiento. Similar a cómo un oficial rechazaría una tarjeta de biblioteca como identificación para conducir.
  • Dirigir las solicitudes de autenticación al almacen de identidad correcta. Esto se compara con un oficial que consulta la base de datos del DMV apropiado.
  • Validar la identidad. El oficial determina si la licencia es válida para el conductor.
  • Pasar las autenticaciones exitosas a la política de autorización. Similar a cómo el oficial anota las leyes que el conductor ha infringido.

Es fundamental comprender la diferencia entre autenticación y autorización. La autenticación es la verificación de una identidad. Un ejemplo es un empleado de banco verificando tu identificación. Sin embargo, una autenticación exitosa no significa automáticamente que tengas derecho al acceso solicitado.

La autorización determina qué acceso se debe conceder después de una autenticación exitosa. Utilizando la analogía del banco, después de validar tu identificación (autenticación), el empleado verifica si estás autorizado a retirar dinero de la cuenta y hasta qué límite (autorización). La mayor parte del trabajo en Cisco ISE se dedica a configurar y ajustar la política de autorización.

Políticas de Autenticación en ISE

Las políticas de autenticación son el primer punto de interacción de Cisco ISE con una solicitud RADIUS Access-Request de un dispositivo de acceso a la red (NAD). Su objetivo es procesar la solicitud rápidamente: descartarla si es inválida, denegarla si las credenciales son incorrectas, o reenviarla a las políticas de autorización si es exitosa.

Objetivo 1: Aceptar solo Protocolos Permitidos Por defecto, ISE permite casi todos los protocolos de autenticación soportados, pero se recomienda permitir solo los esperados y soportados por seguridad y eficiencia. Esto reduce la carga en los PSNs, ayuda a elegir almacén de identidad correcta y previene el uso de protocolos vulnerables u obsoletos. Por ejemplo, si solo se soporta EAP-TLS para un SSID corporativo, se puede configurar para que solo ese protocolo esté permitido. La elección de protocolos debe basarse en la política de seguridad de la organización. Deshabilitar protocolos menos seguros es una práctica recomendada. La configuración incluye no solo qué protocolos permitir, sino también su ajuste específico (como EAP-FAST con aprovisionamiento de PAC o EAP chaining).

Los protocolos permitidos se configuran en una lista. La lista Default Network Access por defecto es muy inclusiva, pero se recomienda limitarla. Puedes crear listas de protocolos permitidos más restrictivas para cada conjunto de políticas (Policy Set). Algunos protocolos de autenticación comunes son:

  • Process Host Lookup: Usado para MAC Authentication Bypass (MAB). ISE toma la MAC address como usuario/contraseña y la busca en la base de datos interna.
  • PAP (Password Authentication Protocol): Envía el usuario en texto plano y la contraseña opcionalmente encriptada.
  • CHAP (Challenge Handshake Authentication Protocol): Encripta usuario/contraseña usando un desafío del servidor. No muy común en acceso a red.
  • Tipos EAP (Extensible Authentication Protocol): Un framework para transportar credenciales (usuarios, contraseñas, certificados). 802.1X define EAP over LAN.
    • EAP-MD5: Usa un algoritmo de hash MD5 para ocultar credenciales. No soporta autenticación mutua (el cliente no autentica al servidor). Común en algunos teléfonos IP.
    • EAP-TLS: Usa TLS (Transport Layer Security) para transacciones seguras. Muy seguro, usa certificados X.509 y soporta autenticación mutua. Considerado el estándar de oro de los tipos EAP.
    • Tipos EAP Tunelizados: Forman túneles seguros encriptados primero y luego transmiten credenciales dentro del túnel.
      • PEAP (Protected EAP): Propuesto por Microsoft. El método EAP más popular. Forma un túnel TLS usando el certificado del servidor. Usa otro tipo EAP como "método interno" para autenticar al cliente. Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador, autentica a Active Directory), EAP-GTC (Generic Token Card, creado por Cisco, permite autenticaciones genéricas a casi cualquier tienda de identidad, como OTP, LDAP), EAP-TLS (raramente usado).
      • EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco. Similar a PEAP, forma un túnel TLS exterior. Permite reautenticación y roaming inalámbrico más rápidos usando PACs (Protected Access Credentials). Un PAC es como una cookie segura que prueba una autenticación exitosa. No soportado nativamente por Windows hasta Vista (requiere Cisco AnyConnect NAM). Métodos internos soportados: EAP-MS-CHAPv2 (el más común, para usuario/contraseña o nombre/contraseña de ordenador a Active Directory), EAP-GTC (para autenticaciones genéricas a varias tiendas de identidad), EAP-TLS (popular para EAP chaining). EAP chaining con EAP-FASTv2 permite autenticar múltiples credenciales (usuario y máquina) en una sola transacción EAP.
      • EAP-TTLS (Tunneled TLS EAP): Similar a PEAP. Encapsula una sesión TLS. Puede autenticar al servidor o tener autenticación mutua. Windows previo a Windows 8 no lo soporta nativamente. Métodos internos aceptados: PAP, CHAP, MS-CHAPv1, MS-CHAPv2, EAP-MD5.
      • TEAP: Nueva adición en Windows 10. Usa TLS para establecer un túnel mutuamente autenticado. Introduce la posibilidad de EAP-Chaining nativamente en Windows 10 (build 2004) y ISE 2.7 patch 1.

Objetivo 2: Seleccionar el almacén de Identidad Correcta Después de aceptar la autenticación, ISE decide qué almacén de identidad (fuente de identidad o PIP) usar para verificar las credenciales. La decisión se basa en los atributos de la solicitud entrante. Por ejemplo, si se presenta un certificado, ISE no lo validará contra una base de datos de usuarios y contraseñas. Si hay múltiples dominios de Active Directory o almacenes LDAP, ISE puede usar atributos de la solicitud para determinar cuál consultar.

Objetivo 3: Validar la Identidad Una vez identificada el almacén de identidad correcta, ISE verifica la validez de las credenciales.

  • Para autenticaciones basadas en contraseña: ¿Usuario válido? ¿Contraseña coincide?.
  • Para autenticaciones basadas en certificado: ¿Emitido por una CA de confianza? ¿Expirado? ¿Revocado? ¿Cliente probó posesión? ¿Certificado tiene el uso de clave y extensiones correctos?.

Objetivo 4: Pasar la Solicitud a la Política de Autorización Si una autenticación falla, la política de autenticación puede rechazar la solicitud. Si una solicitud pasa la autenticación, se evalúa la política de autorización.

Comprensión de los Conjuntos de Políticas (Policy Sets)

Los Conjuntos de Políticas son contenedores lógicos para las políticas de autenticación y autorización. En versiones anteriores de ISE, había una única política general de autenticación y autorización, lo que hacía los cambios y la resolución de problemas arriesgados. Los policy sets mitigan esto.

Cada policy set tiene una regla de nivel superior con condiciones que deben cumplirse. Si una solicitud RADIUS cumple las condiciones de la regla de nivel superior, se evalúa contra las políticas de autenticación y autorización dentro de ese policy set específico. Esto localiza las políticas y reduce el riesgo de que una mala configuración afecte otras solicitudes.

La regla de nivel superior define la lista de protocolos permitidos para ese policy set. Aunque parezca confuso que esto esté encima de la política de autenticación, simplifica la configuración al definirla una vez por policy set en lugar de por cada regla individual.

Los policy sets son jerárquicos. Si una solicitud RADIUS coincide con las reglas de nivel superior de varios policy sets, se elige el que aparece más alto en la lista.

Estructura de las Reglas de Autenticación

Las reglas básicas de autenticación en un policy set se estructuran lógicamente así: IF condiciones THEN CHECK THE IDENTITY STORE IN LIST IdentityStore

Las reglas se procesan de arriba hacia abajo, primera coincidencia.

  • Condiciones: Definen cuándo se aplica una regla. Pueden usar condiciones inteligentes predefinidas como Wired_MAB o Wireless_MAB, que contienen condiciones específicas. Las condiciones inteligentes pueden ser reutilizadas.
    • Las condiciones se configuran en el Conditions Studio. El Conditions Studio tiene un Editor (donde creas/editas condiciones simples/compuestas, agregas niveles jerárquicos con AND/OR, estableces "Is Not", seleccionas atributos y valores) y una Librería (donde se guardan las condiciones reutilizables, arrastras condiciones de la librería al editor para usarlas).
    • Wired_MAB busca el tipo de flujo RADIUS normalizado Wired_MAB. Wireless_MAB busca Wireless_MAB. El atributo Called-Station-ID describe el nombre del SSID inalámbrico.
  • Almacén de Identidad (Identity Store): Después de coincidir con las condiciones, la solicitud se autentica contra el almacén de identidad seleccionada. Para MAB, se compara con la base de datos interna de endpoints (direcciones MAC). Si la MAC address está en la base de datos, se considera un MAB exitoso. MAB omite la autenticación y no se considera seguro por sí mismo. Un almacén de identidad puede ser una secuencia de fuentes de identidad (ISS).
  • Opciones (Options): Un conjunto de opciones asociadas con la selección del almacén de identidad. Le dicen a ISE qué hacer si la autenticación falla, el usuario/dispositivo es desconocido o el proceso falla.
    • Reject: Envía Access-Reject de vuelta al NAD.
    • Continue: Continúa a la política de autorización, independientemente de si la autenticación pasó o falló. Usado con autenticación web.
    • Drop: No responde al NAD; el NAD actúa como si el servidor RADIUS estuviera caído.

Más sobre MAB (MAC Authentication Bypass)

El MAB a menudo no se entiende bien, especialmente al mezclar proveedores de dispositivos de acceso. No existe un estándar para MAB; los proveedores lo implementan de diferentes maneras. El objetivo es permitir que el supplicant en el switch ejecute una solicitud de autenticación para un endpoint que no tiene supplicant propio.

Algunos proveedores usan Service-Type Login o Framed en el mensaje RADIUS para MAB. Cisco utiliza Service-Type Call-Check para MAB. Cisco lo hace de manera diferente por seguridad. Históricamente, había una vulnerabilidad al no diferenciar las solicitudes MAB de las solicitudes de autenticación web local, permitiendo a un usuario malintencionado usar una MAC address como usuario/contraseña para obtener acceso.

Para cerrar esta brecha, Cisco implementó requisitos únicos para MAB:

  • Para ser procesadas como MAB (por defecto), las solicitudes deben tener Service-Type establecido en Call-Check.
  • Los servidores RADIUS (ISE) mantienen una base de datos de endpoints separada (direcciones MAC).
  • El valor de Calling-Station-Id se compara con la base de datos de endpoints, e IGNORA los campos de usuario y contraseña de la solicitud MAB.

Los NADs soportados por Cisco usan Call-Check para Service-Type en solicitudes MAB y aseguran que el campo Calling-Station-Id esté lleno con la MAC address del endpoint. ISE tiene una opción (Process Host Lookup) en la lista de protocolos permitidos para permitir/denegar acceso a la base de datos de endpoints para MAB.

MAB no es una tecnología segura. Al implementarlo, se omite la seguridad de 802.1X. Al usar MAB, siempre sigue un enfoque de defensa en profundidad: concede acceso solo a las redes y servicios que el dispositivo realmente necesita. No proporciones acceso completo a dispositivos autenticados por MAB, sino una autorización más limitada.

Respuestas al Q&A

Las respuestas a estas preguntas aparecen en el Apéndice A de la fuente. Basándome en el texto proporcionado:

  1. ¿Qué es autenticación? La autenticación es simplemente la validación de una credencial. En otras palabras, es la verificación de una identidad.
  2. ¿Qué es autorización? La autorización es el proceso que determina si, después de una autenticación exitosa, un usuario o dispositivo tiene el derecho o permiso para acceder a un recurso o realizar una acción. Es donde se especifica qué acceso debe concederse después de una autenticación exitosa.
  3. ¿Cuáles son los objetivos de una política de autenticación? Los objetivos de una política de autenticación son:
    • Descartar tráfico no permitido.
    • Dirigir las solicitudes de autenticación a la tienda de identidad correcta.
    • Validar la identidad.
    • Pasar las autenticaciones exitosas a la política de autorización. La opción 'c' en la pregunta 3 del quiz resume bien estos objetivos: Descartar solicitudes usando un método incorrecto, dirigir solicitudes a la tienda de identidad correcta, validar la identidad y pasar autenticaciones exitosas a la política de autorización.
  4. ¿Qué son los policy sets? Los policy sets son contenedores lógicos que encapsulan políticas de autenticación y autorización específicas. Proporcionan una forma de agrupar y organizar políticas para diferentes casos de uso de acceso a la red, mejorando la administración y reduciendo el riesgo de cambios. Cada policy set tiene una regla de nivel superior que determina si una solicitud RADIUS se evalúa contra las políticas dentro de ese contenedor.
  5. ¿Cómo hacen los NADs de Cisco el MAB de manera diferente a los NADs de otros proveedores? Mientras que otros proveedores pueden usar Service-Type Login o Framed para MAB, los NADs de Cisco soportados usan Service-Type Call-Check para las solicitudes MAB. Además, ISE mantiene una base de datos de endpoints separada y compara el valor de Calling-Station-Id (que contiene la MAC address del endpoint) con esa base de datos, ignorando los campos de usuario y contraseña de la solicitud MAB. Esta diferencia en el uso de Service-Type y el enfoque en Calling-Station-Id junto con una base de datos separada fue implementado por Cisco para mejorar la seguridad y mitigar vulnerabilidades históricas.

Respuestas al Cuestionario “Do I Know This Already?” Quiz

  1. ¿Cuál de los siguientes es requerido para realizar MAB desde un dispositivo de red Cisco?  El MAB de Cisco, Service-Type debe ser Call-Check y Calling-Station-Id debe estar poblado con la MAC address del endpoint. La opción que coincide es: b. The RADIUS packet must have Service-Type set to Call-Check and Calling-Station-Id populated with the MAC address of the endpoint.

  2. ¿Qué tipo de EAP es capaz de realizar EAP chaining? EAP chaining en la descripción de EAP-FAST (específicamente EAP-FASTv2) y también menciona la posibilidad con TEAP. De las opciones proporcionadas, EAP-FAST es el que se describe explícitamente como capaz de realizar EAP chaining. La opción que coincide es: b. EAP-FAST

  3. ¿Cuáles de los siguientes son propósitos de una política de autenticación? c. To drop requests using an incorrect authentication method, route authentication requests to the correct identity store, validate the identity, and pass successful authentications over to the authorization policy.

  4. ¿Qué opción necesita estar habilitada en la lista de protocolos permitidos de autenticación para aceptar MAB? La sección "Allowed Protocols" menciona que la opción Process Host Lookup se usa para MAC Authentication Bypass (MAB). La opción que coincide es: b. Process Host Lookup

  5. ¿Dónde se guardan las condiciones reutilizables? La sección Conditions Studio menciona que al hacer clic en "Save" en el editor, puedes añadir una condición a la Librería. La librería muestra los bloques de condición guardados. La opción que coincide es: a. Library

  6. ¿Qué método funcionará efectivamente para permitir que se seleccione un almacén de identidad diferente para cada tipo de EAP utilizado? La sección "Alternative ID Stores Based on EAP Type" describe el proceso de crear una regla separada en la política de autenticación para cada tipo de EAP (EAP-TLS, PEAP, EAP-FAST, EAP-MD5) y asociar cada regla con una tienda de identidad diferente. La opción que coincide es: d. Create a rule for each EAP type under the policy set’s authentication policy that points to the appropriate identity store for each rule.

  7. ¿Qué atributo RADIUS se usa para coincidir con el SSID? La sección "Using the Wireless SSID" indica que el atributo a usar es Called-Station-Id ya que es el campo que describe el nombre del SSID inalámbrico. La opción que coincide es: d. Called-Station-ID

  8. ¿Qué atributo RADIUS contiene la MAC address del endpoint? La sección "More on MAB" indica que el campo Calling-Station-Id está poblado con la MAC address del endpoint para las solicitudes MAB de Cisco. La opción que coincide es: a. Calling-Station-ID

  9. ¿Cuál es el propósito de la opción 'continue' de una regla de autenticación? La sección "Options" describe la opción Continue como la que permite continuar a la política de autorización, independientemente de si la autenticación pasó o falló. La opción que coincide es: c. The continue option is used to send an authentication to the authorization policy, even if the authentication was not successful.

  10. En el Conditions Studio, ¿cuál de las siguientes opciones no puedes hacer? (Elige tres.) El Conditions Studio con un Editor y una Librería. En el Editor, puedes crear y editar condiciones simples y compuestas y seleccionar atributos y valores. Puedes guardar condiciones creadas/editadas en el Editor a la Librería. Puedes usar condiciones de la Librería arrastrándolas al Editor. Las configuraciones de tienda de identidad y opciones (el "resultado" de la regla de autenticación) se realizan fuera del Conditions Studio. Basado en esta descripción:

    • b. Create and edit simple and compound conditions. SÍ puedes hacerlo en el Editor.
    • d. Select the attribute and attribute value to use. SÍ puedes hacerlo en el Editor. Esto significa que no puedes hacer 'b' ni 'd' según la pregunta, pero la descripción dice lo contrario.
    • a. Create and edit the authentication rule result. NO puedes hacerlo en el Conditions Studio, se hace fuera.
    • c. Create and edit library conditions. NO puedes hacerlo directamente en la lista de la librería. Creas/editas en el Editor y guardas a la librería, o usas de la librería arrastrando al Editor. No hay una función descrita para editar elementos dentro de la lista de la librería.

    Dado que las opciones 'b' y 'd' son claramente descritas como acciones posibles dentro del Conditions Studio Editor, y la pregunta pide TRES cosas que no puedes hacer, parece haber una inconsistencia en la pregunta tal como se presenta en la fuente o las opciones proporcionadas. No puedo identificar de manera concluyente TRES acciones que no se puedan realizar basándome únicamente en la descripción del Conditions Studio proporcionada. Sin embargo, 'a' (crear/editar el resultado de la regla) y 'c' (crear/editar directamente en la librería) parecen ser cosas que no se pueden hacer como se describe el flujo de trabajo. Necesitaría una tercera, pero las opciones b y d contradicen la descripción si se seleccionan como acciones imposibles. Por lo tanto, no puedo responder definitivamente a esta pregunta tal como está planteada con las opciones proporcionadas y la descripción del texto.

 

at No hay comentarios:

ISE - 08 - Configuración Inicial

 

Configuración Inicial de Cisco ISE

La configuración inicial de Cisco Identity Services Engine (ISE) es un proceso crucial para que funcione correctamente en tu entorno de red. Aunque la instalación en sí está fuera del alcance del examen SISE 300-715 y de este capítulo, sí se cubren los pasos críticos de configuración que determinan el éxito del despliegue.

Leer más »
at No hay comentarios:

domingo, 11 de mayo de 2025

ISE - 06 - Cisco Identity Services Engine Architecture

 


Este capítulo profundiza en Cisco ISE después de haber cubierto genéricamente conceptos como AAA, gestión de identidad y EAP/802.1X. Se centra específicamente en Cisco ISE, sus personas, si se instala en appliances físicos o virtuales, y varios escenarios de despliegue comunes.

Leer más »
at No hay comentarios:

viernes, 9 de mayo de 2025

ISE - 05 - Introduction to Advanced Concepts

 

El capítulo trata sobre conceptos avanzados en un servidor de autenticación, como la Autorización de Cambio (CoA), la Automatización de MAC Authentication Bypass (MAB), la Evaluación de Postura (Posture Assessment) y la Gestión de Dispositivos Móviles (MDM). Estas características avanzadas permiten implementaciones más completas y granulares, mejorando la seguridad de la red.

Leer más »
at No hay comentarios:
Labels: , , ,

ISE - 04 - Non-802.1X Authentication

El Capítulo 4 se titula "Non-802.1X Authentication" y aborda métodos de control de acceso a la red para dispositivos y escenarios donde la autenticación 802.1X no es factible o deseada.

La Necesidad de Autenticación No 802.1X

  • Aunque el estándar IEEE 802.1X fue estandarizado a principios de la década de 2000 como una solución para el control de acceso a la red basado en puertos y se predijo que revolucionaría la red, no se ha convertido en la solución única y universal como algunos anticiparon.
  • No es práctico ni posible que todos los puertos de red requieran autenticación 802.1X.
  • Hay complicaciones en la gestión de una gran cantidad de dispositivos que no son PCs administrados, especialmente con la explosión de los dispositivos IoT (Internet of Things).
  • Muchos dispositivos IoT no tienen o no pueden tener un suplicante configurado (el software cliente requerido para 802.1X). Piensa en impresoras, cámaras IP, lectores de credenciales, señalización digital. Configurar suplicantes y certificados en estos dispositivos a gran escala no es viable operativamente.
  • El enfoque original de simplemente deshabilitar 802.1X en puertos específicos para dispositivos sin suplicantes es inseguro (permite que cualquier dispositivo se conecte) y crea una carga de gestión significativa si los dispositivos se mueven.
  • Se necesitan otras formas de identificar y autorizar estos dispositivos. También para usuarios con suplicantes mal configurados o credenciales caducadas, o para usuarios invitados.
Leer más »
at No hay comentarios:
Labels: , ,

jueves, 8 de mayo de 2025

ISE - 03 - Extensible Authentication Protocol (EAP) over LAN: 802.1X

 

El Capítulo 3 de las fuentes cubre el Protocolo de Autenticación Extensible (EAP) sobre LAN, conocido como 802.1X. Este estándar fue creado por el IEEE a principios de la década de 2000 para el control de acceso a la red basado en puertos. La idea era que ningún dispositivo pudiera conectarse y comunicarse en una red sin que los usuarios se identificaran y fueran autorizados. 

Hay tres componentes fundamentales de 802.1X: el solicitante(supplicant), el autenticador y el servidor de autenticación. El capítulo explica estos componentes, así como elementos críticos de una solución 802.1X, como los diferentes tipos de EAP que se pueden usar.

Componentes de 802.1X:

  • Solicitante (Supplicant): Es el software en el endpoint (también llamado peer por el IETF) que se comunica con EAP en la Capa 2. Este software responde al autenticador y proporciona las credenciales de identidad con la comunicación EAP. El solicitante nativo de Windows y el Cisco AnyConnect NAM son ejemplos.
  • Autenticador (Authenticator): Es el dispositivo de red que controla el acceso físico a la red basándose en el estado de autenticación del endpoint. Actúa como un intermediario o proxy. Encapsula la comunicación EAP de Capa 2 del solicitante en RADIUS, dirigida al servidor de autenticación activo. Ejemplos comunes de autenticadores en una implementación de Cisco ISE son switches LAN y controladores de LAN inalámbrica (WLCs). Cisco ISE se refiere a estos autenticadores genéricamente como dispositivos de acceso a la red (NADs). El autenticador no tiene conocimiento del tipo de EAP utilizado o si las credenciales del usuario son válidas; simplemente encapsula la trama EAP sin modificarla dentro del paquete RADIUS enviado al servidor de autenticación y autoriza el puerto si el servidor de autenticación se lo indica. Por lo tanto, la autenticación EAP es completamente transparente para el autenticador.
  • Servidor de autenticación (Authentication server): Es el servidor que realiza la autenticación del cliente. Valida la identidad del endpoint y proporciona al autenticador un resultado (por ejemplo, aceptar o denegar). Cisco ISE es un ejemplo de servidor de autenticación. La autenticación EAP real (el intercambio de identidad y la validación) ocurre entre el solicitante y el servidor de autenticación.

La autenticación puede ser iniciada por el autenticador (cuando el estado del enlace cambia de inactivo a activo, o periódicamente si el puerto permanece activo y no autenticado) o por el solicitante (enviando un mensaje EAPoL-Start en cualquier momento). La iniciación por parte del solicitante (EAPoL-Start) proporcionó una mejor experiencia de usuario con 802.1X.

Tipos de EAP:

EAP es un framework de autenticación que define el transporte y uso de credenciales de identidad (nombres de usuario, contraseñas, certificados, tokens, contraseñas de un solo uso, etc.). Se ha convertido en el estándar de facto para protocolos de autenticación y se utiliza en diversas aplicaciones, incluyendo VPNs y, de manera importante, en IEEE 802.1X (EAP sobre LAN). El tipo de EAP define el mecanismo de autenticación a utilizar. Los tipos de EAP se dividen en dos categorías: nativos y tunelizados.

Tipos de EAP Nativos (EAP sin Tunel): Envían sus credenciales inmediatamente.

  • EAP-MD5: Utiliza un algoritmo de resumen de mensaje (hash) para ocultar las credenciales. No tiene mecanismo para autenticación mutua (el servidor valida al cliente, pero el cliente no autentica al servidor). Común en teléfonos IP y solicitudes MAB. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado.
  • EAP-TLS: Utiliza Transport Layer Security (TLS), similar a SSL. Proporciona una transacción de identidad segura y soporta autenticación mutua (el cliente debe confiar en el certificado del servidor y viceversa). Utiliza certificados X.509. Es un estándar abierto IETF y se considera universalmente soportado. Se considera uno de los tipos de EAP más seguros ya que la captura de contraseñas no es una opción; el endpoint debe tener la clave privada. Se está convirtiendo rápidamente en el tipo de EAP preferido para soportar BYOD en la empresa.
  • EAP-MS-CHAPv2: Las credenciales del cliente (nombre de usuario, contraseña, nombre de equipo, contraseña de equipo) se envían cifradas dentro de una sesión MS-CHAPv2 al servidor RADIUS, que las autentica contra Active Directory. Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.
  • EAP-GTC: Creado por Cisco como alternativa a MS-CHAPv2. Permite la autenticación genérica a prácticamente cualquier almacén de identidad (servidores de tokens OTP, LDAP, Novell eDirectory). Cisco ISE actualmente solo lo soporta dentro de EAP tunelizado, no como EAP nativo.


Tipos de EAP Tunelizados: Forman un túnel cifrado primero (típicamente TLS) y luego transmiten las credenciales dentro de ese túnel. Funcionan de manera similar a un túnel seguro entre un navegador web y un sitio web seguro.

  • PEAP (Protected EAP): Propuesto originalmente por Microsoft, es el método EAP más popular y ampliamente desplegado. Forma un túnel TLS (potencialmente cifrado) entre el cliente y el servidor, utilizando el certificado X.509 del servidor (a menudo una confianza unidireccional). Después de formar el túnel, PEAP usa otro tipo de EAP como "método interno" para autenticar al cliente. Los tres métodos internos soportados para PEAP son EAP-MS-CHAPv2, EAP-GTC y, aunque raro, EAP-TLS.
  • EAP-FAST (Flexible Authentication via Secure Tunneling): Creado por Cisco como una alternativa a PEAP para permitir una re-autenticación más rápida y soportar el roaming inalámbrico rápido. También forma un túnel exterior TLS y transmite las credenciales del cliente dentro de él. Se diferencia de PEAP en la capacidad de usar Protected Access Credentials (PACs). Un PAC es como una cookie segura almacenada localmente como prueba de autenticación exitosa, utilizada para la reanudación rápida de sesión y para permitir el encadenamiento EAP. Usa un tipo de EAP nativo como método interno. Los tres métodos internos soportados para FAST son EAP-MS-CHAPv2, EAP-GTC y EAP-TLS. EAP-TLS como método interno se ha vuelto popular con el encadenamiento EAP.
  • EAP-TTLS (EAP Tunneled Transport Layer Security): Otro tipo de EAP tunelizado desarrollado principalmente por Funk Software. Es similar a PEAP y EAP-FAST, creando un túnel exterior TLS primero y luego realizando la autenticación dentro de él. Ofrece mejoras en la simplicidad de configuración y en la capacidad de reanudar una sesión TLS. Usa un tipo de EAP nativo o protocolos de autenticación nativos no EAP como método interno. Soportado en ISE desde la Versión 2.0. Soporta seis métodos internos: PAP/ASCII (envía nombre de usuario y contraseña en texto plano dentro del túnel cifrado), CHAP (envía nombre de usuario en texto plano y un hash calculado de la contraseña), MS-CHAPv1/v2 (versiones nativas con mejoras de seguridad), EAP-MD5 y EAP-MS-CHAPv2. Muchos creen que el principal beneficio de soportar EAP-TTLS es que la iniciativa eduroam lo exige para permitir a los estudiantes universitarios itinerar entre campus usando sus mismas credenciales.
  • TEAP (Tunnel EAP): Definido en RFC 7170, fue diseñado como el tipo de EAP para "terminar las guerras del EAP". Fue desarrollado por un grupo de trabajo del IETF con miembros de muchos proveedores (incluyendo Cisco y Juniper). Incorpora los beneficios de FAST, TTLS y PEAP, además de nuevas capacidades. Las capacidades únicas de TEAP incluyen encadenamiento EAP, aprovisionamiento/renovación de certificados dentro del túnel, distribución de la lista de certificados de servidores EAP de confianza a los clientes, y channel binding (para prevenir ataques man-in-the-middle). Soportado en ISE en Versión 2.7 y Windows 10 (iniciativa conjunta Microsoft/Cisco). Forma un túnel exterior TLS. Puede usar PACs, pero no es necesario para el roaming rápido y la reanudación de sesión. Al momento de imprimir el libro, ISE y Windows 10 soportaban EAP-MS-CHAPv2 y EAP-TLS como métodos internos para TEAP, pero no todas las funciones del RFC como aprovisionamiento/distribución de certificados.


Identidades Internas y Externas: Los tipos de EAP tunelizados usan el concepto de identidades internas y externas.

  • La identidad interna (inner identity) son las credenciales reales del usuario o dispositivo, enviadas con el EAP nativo o protocolo de autenticación.
  • La identidad externa (outer identity), típicamente configurada como anonymous, es la identidad utilizada entre el solicitante y el servidor de autenticación para la configuración inicial del túnel TLS. Cisco ISE puede leer esta identidad externa para ayudar a decidir la selección del almacén de identidad. La identidad externa puede contener información (como el nombre de dominio) que le dice a ISE a qué almacén de identidad (AD, LDAP, etc.) enviar las credenciales. La mayoría de los solicitantes ocultan esta opción al usuario final; el solicitante nativo de Android la expone como "anonymous identity".

Dispositivos de Acceso a la Red (NADs): Cisco ISE llama al rol de autenticador NAD. Un NAD cumple múltiples funciones: es un autenticador para 802.1X, proxy de comunicaciones EAP al servidor de autenticación, y punto de aplicación de políticas. Es responsable de aplicar el resultado de autorización recibido del servidor de autenticación (por ejemplo, Cisco ISE). Un NAD es típicamente un dispositivo de capa de acceso, pero puede ser cualquier dispositivo que envíe solicitudes de autenticación RADIUS a Cisco ISE. Tipos comunes de NADs incluyen switches Ethernet cableados, controladores LAN inalámbricos (WLC), Cisco ASA, dispositivos Cisco Firepower, balanceadores de carga y aplicaciones de software que usan ISE para AAA. Los NADs aplican la política al usuario final. Ejemplos de tipos de aplicación comunes son la asignación de VLAN Dinámicas (dVLAN), listas de control de acceso descargables (dACL), etiquetas de grupo de seguridad (SGT), nombre de ACL de Airespace y redirección de URL. Los NADs son cruciales en cualquier diseño de acceso a red seguro y realizan funciones que antes requerían dispositivos de superposición (overlay appliances).

Opciones de Solicitante: El solicitante es el software en el endpoint que sabe comunicarse con EAP en la LAN. Debe configurarse para usar credenciales (almacenadas o nombre de usuario/contraseña).

  • Solicitante Nativo de Windows: El más común en redes cableadas, integrado en Windows. Su principal ventaja es el control centralizado a través de políticas de grupo de Active Directory. Requiere que el servicio Wired AutoConfig esté configurado en "Automatic" (su estado por defecto es Manual). El servicio WLAN AutoConfig para inalámbrico está configurado en Automatic por defecto. La configuración incluye:

    • Habilitar la autenticación IEEE 802.1X.
    • Permitir al solicitante almacenar credenciales.
    • Retorno a acceso de red no autorizado: permite la conexión si el dispositivo de red no es un autenticador.
    • Configuración de PEAP (en "Protected EAP Properties"): Validar Certificado del Servidor (requiere que el solicitante confíe en el certificado del servidor RADIUS), especificar servidores específicos permitidos, seleccionar Autoridades de Certificación Raíz confiables, controlar si se solicita a los usuarios autorizar nuevos servidores/CAs. Permite seleccionar el método interno para PEAP: Secured Password (EAP-MSCHAPv2) o Smart Card or Other Certificate (EAP-TLS). La configuración de EAP-MSCHAPv2 interno incluye la opción de habilitar inicio de sesión único. La configuración de EAP-TLS interno permite usar una tarjeta inteligente o certificado local, con opciones para filtrar certificados ("simple certificate selection") y validar certificados de servidor, especificar servidores, etc.. La opción Enable Identity Privacy permite configurar la identidad externa; si no está marcada, la identidad externa se establece en Anonymous.
    • Configuración Adicional (en "Additional Settings"): Specify Authentication Mode (Usuario o Equipo, Equipo, Usuario, Invitado). Opciones de Single Sign-On Timing: Perform Immediately Before User Logon (la autenticación 802.1X ocurre antes de que el usuario vea el escritorio) y Perform Immediately After User Logon (permite al usuario interactuar inmediatamente, puede incluir prompts para credenciales). Maximum Delay establece un tiempo límite para la autenticación. Opción This Network Uses Separate Virtual LANs for Machine and User Authentication fuerza un IP release/renew y un nuevo intento de obtener dirección IP cuando el usuario inicia sesión.

  • Autenticación de Usuario (User Authentication): La autenticación 802.1X más común. Proporciona las credenciales del usuario al servidor de autenticación para control de acceso basado en roles. Puede usar nombre de usuario/contraseña, certificado de usuario o tarjeta inteligente. Las máquinas Windows tienen un almacén de certificados separado para certificados de usuario.

  • Autenticación de Máquina (Machine Authentication / Computer Authentication): Diseñada para permitir que los equipos administrados por Active Directory (AD) se autentiquen en la red incluso cuando no hay un usuario interactivo conectado. Esto es vital para la comunicación entre los equipos administrados por AD (actualizaciones de políticas, tareas de gestión). Microsoft creó múltiples estados para su solicitante: estado de máquina y estado de usuario. Cuando no hay usuario conectado, la máquina inicia sesión en la red con sus propias credenciales. Tan pronto como un usuario inicia sesión, el solicitante envía un nuevo EAPoL-Start, disparando una nueva autenticación con las credenciales del usuario. La autenticación de máquina puede usar el nombre de equipo y la contraseña negociada con AD (PEAP-MS-CHAPv2) o un certificado de máquina (EAP-TLS o PEAP-EAP-TLS). Los equipos Windows mantienen su propio almacén de certificados del sistema separado de los almacenes de usuario. Microsoft y Cisco colaboraron para actualizar el solicitante de Windows 10 e ISE v2.7 con soporte nativo para TEAP, específicamente para casos de uso de encadenamiento EAP.



  • Solicitante Cisco AnyConnect NAM: Es un módulo del Cisco AnyConnect Secure Mobility Client. Otros módulos incluyen DART (Diagnostics and Reporting Tool). Históricamente, se basó en un solicitante OEM de Meeting House, empaquetado anteriormente como Cisco Secure Services Client (CSSC). Desde AnyConnect 3.1, el solicitante CSSC se integró como AnyConnect Network Access Manager (NAM). La configuración de NAM se realiza a través de un editor de perfiles standalone o en un Cisco ASA. El editor de perfiles tiene vistas para:

    • Client Policy: Opciones de conexión, medios (cableado/inalámbrico), control de usuario final, configuración administrativa. Incluye configuraciones similares al inicio de sesión único de Windows.
    • Authentication Policy: Especifica métodos permitidos para transmitir credenciales. Permite controlar a qué tipos de redes se puede conectar (por ejemplo, evitar redes inalámbricas abiertas). Permite denegar tipos de cifrado débiles (como WPA/TKIP) y forzar WPA2/AES. Puede controlar la conectividad cableada (por ejemplo, exigir 802.1X o MACsec).
    • Networks: Define las redes corporativas y la seguridad a utilizar. Al añadir una nueva red, un asistente guía la configuración. Para redes autenticadas (Authenticating Network), se pueden ajustar temporizadores 802.1X, habilitar cifrado MACsec (AES-GCM 128-bit) entre el solicitante y el switch, y configurar la Política de Excepción de Autenticación de Puerto (Port Authentication Exception Policy) para controlar el envío de datos antes o después de la autenticación/MACsec. Permite seleccionar Machine and User Connection, lo que añade pestañas de configuración separadas para la autenticación de máquina y usuario.
    • Configuración de Autenticación de Máquina/Usuario en Networks view: Permite seleccionar el método EAP entonelado (por ejemplo, EAP-FAST) y el método interno (EAP-MS-CHAPv2, EAP-GTC, EAP-TLS). Pestañas para Certificados (definir qué certificados de servidor confiar para el túnel TLS, incluyendo reglas de filtrado flexibles). Pestaña PAC Files (específica de EAP-FAST, usar PACs en lugar de o además de certificados para el túnel seguro). Pestaña Credentials (opciones para identidades interna y externa). Para la autenticación de máquina, la identidad externa comienza con host/ y es anonymous por defecto; la identidad interna es el nombre de cuenta de máquina de AD. Para la autenticación de usuario, permite usar credenciales de inicio de sesión único, solicitar al usuario o usar credenciales estáticas. Para la autenticación de usuario, hay una opción para extender la conexión de usuario más allá del cierre de sesión.
    • Network Groups: Permite organizar perfiles de red en grupos lógicos para facilitar la gestión.

La implementación de perfiles NAM requiere guardarlos como configuration.xml en una ruta específica (%SystemDrive%\ProgramData\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\newConfigFiles) y distribuirlos utilizando mecanismos de despliegue de software existentes (Política de Grupo de AD, SCCM, IBM Big Fix) o publicándolos en un Cisco ASA para que se actualicen por VPN. La experiencia del usuario final es a través de una GUI simplificada.

Encadenamiento EAP (EAP Chaining): Permite autenticar la máquina y el usuario de forma conjunta. Anteriormente, las autenticaciones de máquina y usuario eran sesiones EAP separadas. Cisco mejoró EAP-FAST a EAP-FASTv2 para diferenciar PACs de usuario y máquina. Tras una autenticación de máquina exitosa, ISE emite un PAC de máquina. Durante la autenticación de usuario, ISE solicita el PAC de máquina para probar que la máquina también fue autenticada. Esto fue la primera vez que se autenticaron múltiples credenciales dentro de una única transacción EAP. El IETF creó TEAP (un estándar abierto basado en EAP-FASTv2) que soporta encadenamiento EAP. Al momento de imprimir el libro, Windows 10 era el único solicitante en el mundo en soportar TEAP y encadenamiento EAP. Cisco AnyConnect NAM soporta encadenamiento EAP pero con EAP-FASTv2, no con TEAP (aún no se había actualizado para soportar TEAP nativo de Windows).

Preguntas del tema:


  1. ¿Qué dos tipos de EAP soportan la capacidad de encadenar la autenticación de máquina y la autenticación de usuario?

    • Los dos tipos de EAP que soportan la capacidad de encadenar la autenticación de máquina y usuario son EAP-FASTv2 y EAP-TEAP.
    • El concepto de EAP chaining implica autenticar múltiples credenciales (como las de la máquina y el usuario) dentro de una sola transacción EAP.
    • El supplicant Windows 10 soporta TEAP con EAP chaining.
    • El supplicant Cisco AnyConnect NAM soporta EAP-FASTv2 para EAP chaining.

  2. ¿Qué software en un endpoint se utiliza para autenticarse en una red mediante EAP?

    • El software en un endpoint (también llamado peer por el IETF) que se utiliza para autenticarse en una red mediante EAP es el supplicant.
    • Este software se comunica con EAP en la Capa 2.
    • El supplicant responde al authenticator y proporciona las credenciales de identidad con la comunicación EAP.

  3. ¿Qué módulo de AnyConnect se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host?

    • El módulo de Cisco AnyConnect Secure Mobility Client que se puede utilizar para recopilar registros detallados relacionados con AnyConnect y el sistema host es el AnyConnect Diagnostics and Reporting Tool (DART).
    • Este es uno de los módulos clave de interés con Cisco ISE y el examen SISE 300-715.

  4. ¿Qué sistema operativo puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario?

    • El sistema operativo que puede realizar una autenticación en la red antes de que se conozca o se use una credencial de usuario es Microsoft Windows.
    • Las estaciones de trabajo Windows tienen múltiples estados de supplicant, incluyendo un estado de máquina (machine state).
    • Cuando no hay un usuario interactivo logueado, la máquina puede autenticarse en la red con sus propias credenciales (como nombre y contraseña de la máquina o un certificado de máquina).
    • Esto fue diseñado para resolver el problema de comunicación con las computadoras administradas por Active Directory cuando no había un usuario logueado y prevenir un escenario de denegación de servicio (DoS).

  5. ¿Qué supplicant es capaz de evitar que una computadora administrada se una a redes abiertas (es decir, redes inalámbricas sin seguridad)?

    • El supplicant capaz de evitar que una computadora administrada se una a redes abiertas (redes inalámbricas sin seguridad) es el Cisco AnyConnect Network Access Manager (NAM).
    • La vista de Política de Autenticación (Authentication Policy view) de AnyConnect NAM permite especificar qué métodos son permisibles para transmitir credenciales a la red y controlar los tipos de redes a las que el usuario final tiene permiso para conectarse.
    • Por ejemplo, se puede crear una política para prevenir que las laptops administradas se conecten a redes inalámbricas abiertas, como hotspots públicos, para evitar comunicaciones no cifradas.


at No hay comentarios:
Suscribirse a: Entradas (Atom)

DNS al Descubierto: Una Guía Esencial de Seguridad para Analistas 2

En la entrada anterior se vió información general del funcionamiento de DNS. A continuación, se describen las técnicas de análisis y los at...