HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios II

34 0 0 0

Buenas noches. Esta es la segunda parte de este amplio tema que es el concepto principal de esta gua de estudio.
En el siguiente enlace podrás acceder a la parte 1


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios/thread/593566-100233


Tecnología de Autenticación de Usuarios II

Autenticación 802.1x y por Dirección MAC: Configuración e Implementación

 

Autenticación 802.1X en Red Cableada

Escenario de Aplicación para  la Autenticación 802.1X

ESCENARIO DE APLICACION


·        Capa de Acceso por Cable:

§  El más alto desempeño en seguridad

§  Gran número de dispositivos

§  Administración compleja

 

·        Capa de Administración por Cable:

§  Desempeño en seguridad de corto a mediano

§  Pocos dispositivos

§  Administración sencilla

 

·        Acceso Inalámbrico:

§  Alto desempeño en seguridad

§  Pocos dispositivos

§  Administración fácil

 

 

Autenticación 801.1X por Red Cableada

·        Una compañía mantiene las cuentas de los usuarios y de administración en servidor de Active Directory (AD), y  quieren proveer acceso por cable para las oficinas en su campus. Se puede usar la autenticación 802.1x para asegurar la seguridad. Los usuarios autenticados pueden acceder a los recursos de red.

802.1X

 

·        El punto de control de autenticación se refiere al dispositivo que controla la autenticación del usuario, y puede ser (en la capa de acceso o de agregación) un switch o un firewall implementado en la red. Estos dispositivos se asocia con Agile Controller-Campus para implementar el control de acceso de los usuarios.

 

 

Metodo de Configuración

·        Metodo:

1.   Planeación de la Configuración: planear las VLANs en la red, direcciona IP y los parámetros de autenticación.

 

2.   Configuración Básica: configurar las VLANs, direcciones IP y las rutas en el switch de acceso, switch de agregación y switch core para asegurar la conectividad de la red.

 

3.   La configuración 802.1X en el Punto de Control de Autenticación: configurar los parámetros de interconexión con RADIUS y los parámetros de servicio de la red cableada en el en el switch de agregación para implementar el acceso 802.1x por cable.

 

4.   Configuración de Agile Controller-Campus: agregar un dispositivo de autenticación en Agile Controller-Campus, y configurar las reglas de Autenticación y Autorización para asignar los derechos a los usuarios autenticados

P***EDIEMIENTO DE CONFIGURACION


Configurar los Datos Básicos para la Conectividad de la Red

·        Configurar la VLAN y la dirección IP en el switch de acceso

§  [S5700] interface vlanif 101

§  [S5700-Vlanif101] ip address 172.16.11.254 .255.255.255.0

§  [S5700- Vlanif101] dhcp select interface

 

·        Configurar el SWITCH de Agregación (configurar el dispositivo para que funciones como Gateway para que asigne direcciones IP a los usuarios finales)

§  Configurar la VLAN y las direcciones IP y habilitar DHCP

§  [S5700] interface vlanif 102

§  [S5700-Vlanif102] ip address 192.168

§  100.100 .255.255.255.0

§  [S5700-Vlanif102] quit

 

(Se configura la ruta estática en el segmento de red donde reside el servidor de autenticación)

§  [S5700] ip route-static 192.168.11.0 255.255.255.0 192.168.100.200

 

·        Configurar el SW Core:

§  Configurar la VLAN y la dirección IP

§  Configurar la ruta estática hacia el segmento de red donde residen las terminales

CONFIG SW CORE


Configurar la Autenticación 802.1x en el Switch de Acceso

·        Configurar la transmisión transparente de los paquetes EAP en el switch de acceso

§  Habilitar la transmisión transparente de los paquetes EAP

SW 802.1X SW ACCESO


§  Definir la transmisión transparente a nivel de capa 2 en las interfaces de subida y de bajada:

TRANSMISION TRANSPARENTE L2



Configurar la Autenticación 802.1x en el switch de Agregación

·        Configurar la autenticación 802.1 x por cable en el switch de agregación:

§  configurar una plantilla para servidor RADIUS, un esquema de autenticación y un esquema de Contabilidad.

802.1X SW AGREGACION


·        el dispositivo de control de acceso y la Agile Controller-Campus funcionan como cliente RADIUS y como SERVIDOR respectivamente. Las llaves AAA y el intervalo de contabilidad deben ser consistentes entre el dispositivo de control de acceso y la Agile Controller-Campus. Agila Controller-Campus  funciona como servidor y usa los puertos 1812 y 1813 para autenticación y contabilidad, respectivamente.

 

·        Las llaves AAA son Admin@123


§  Invocar la plantilla de configuración para AAA del servidor RADIUS

AAA RADIUS SERVER


3X


·        Configurar la función de escape basada en el  principio de primer servicio es decir que los recursos en un grupo de usuarios especificado puedan ser accedidos cuando el servidor de Agile Controller-Campus esté caído.

§  Configurar un esquema de servicio para definir los recursos a los que pueden accederse cuando se habilite el canal de emergencia

 

§  Se ejecuta el comando acl-group {group-index | name group-name} para asociar el grupo de ACL hacia el esquema de servicio

FUNCION DE ESCAPE


§  Crear un usuario de ACL (con un numero entre los 6000 y 6999) en system view y especificar los servicios de los recursos que los usuarios pueden acceder en el grupo de la ACL.

SERVER ACCESS


§  Ejecutamos el comando traffic-filter inbound acl “acl-number” para configurar el filtrado de paquetes basado en ACL. Las reglas de ACL basadas en grupo toman efecto solo después de que se ejecuta el comando:

[S5700] traffic-filter inbound acl 6001

 

§  Configurar un canal de emergencia para usarse cuando el servidor de autenticación esté caído

[S5700] authentication event authen-server-down action authorize service scheme server_down

 

 

 

 

 

Configurar la Agile Controller-Campus—Agregar Dispositivos de Autenticación.

·        Seleccionamos Resource>Device>Device Management  y agregamos el dispositivos de autenticación

AGREGAR DISPOSITIVOS


NOTA: La llave de autenticación del servidor RADIUS y la llave de contabilidad deben ser las mismas de los perfiles de autenticación y contabilidad de RADIUS que se configuraron el  dispositivo de autenticación.

 

 

Configurar la Agile Controller-Campus—Configurar Autenticación y Contabilidad (AA)

·        Seleccionar Policy>Permission Control>Authentication & Authorization> >Authenticaction Rule  y se modifican las reglas de autenticación por defecto o se cran nuevas reglas.

 

·        Seleccionar Policy>Permission Control>Authentication & Authorization> >Authorization Result ,  y se agregan las ACL de autorización

configurar AA


NOTA: agregar el servidor AD a DATA SOURCE. Por defecto, una regla de autorización toma efecto solo en la fuente de datos local. Si un servidor AD  no está agregado a la fuente de los datos, las cuentas para el AD fallarán en la autenticación.

 

El número de ACL debe ser el mismo que el que se configuró en el dispositivo de control de acceso.

 

 

Configurar la Agile Controller-Campus—Asociar los Resultados de la Autorización

·        Seleccionar Policy>Permission Control>Authentication & Authorization>Authorization Rule y asociar los resultados de la autorización para especificar los recursos que serán accesibles después de una autenticación exitosa.

resultados de la auth


Verificar los Resultados

·        En una terminal fija, use el cliente integrado de 802.1x del sistema operativo para la autenticación:

 

§  Antes de ser autenticado, se puede hacer un ping solo a los recursos en el área de servidores

§  Después de ser autenticado, se puede hacer ping a los recursos en internet.

·        En el switch de agregación, se ejecutan los comandos display access-user y display access-user user-id para ver información detallada acerca de los usuarios en línea.

·        En la Agile Controller-Campus, seleccionar Resource>User>Radius Log para ver los logs de RADIUS que contienen información detallada acerca de los usuarios finales.



Termina aqui esta segunda parte. Recuerda visitar la perte 1 y otros temas en mi perfil. Da tu clic en ♥, comparte y comenta


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión