HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios VII Tecnología SACG

23 0 0 0

Buenas noches.

Continuando con la TECNOLOGÍA DE AUTENTICACIÓN DE USUARIOS, esta es la publicación 7 de 12. Los siguientes enlaces te llevarán a las 6 partes anteriores:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios/thread/593566-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-ii/thread/593818-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iii/thread/593990-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iv/thread/594002-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-v/thread/594264-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vi-tecnología-sacg/thread/594696-100233



TECNOLOGÍA DE AUTENTICACIÓN DE USUARIOS VII—Tecnología SACG

Implementación En Línea

 

Escenario de Aplicación de SACG

Soporta la autenticación de identidad y controla el domino accesible basado en los resultados del chequeo.

 

APLICACION


Aplica para solo para acceso a través de la red cableada principalmente se usa en empresas medianas y grandes.

 

Soporta un cabal de emergencia y varios tipos de clientes, incluyendo web, AnyOffice y WebAgent.

 

·        Implementación en Línea: usa las dos funciones de seguridad del firewall y las incluyendo las de control de acceso de SACG. Este modo tiene poca confiabilidad porque no provee un canal de emergencia contra fallas en el DC.

 

·        Implementación Bypass: no cambia la estructura existente de la red pero requiere un firewall adicional para control de acceso. Este modo tiene alta confiabilidad debido a que provee una cabal de emergencia que asegura la continuidad del servicio en caso de fallas en el SC.

 

 

Asociación de SACG en modo En Línea

·        Actualmente, los usuarios finales en una empresa pueden acceder de manera directa al sistema de servicio en el centro de datos. En consecuencia de que los servicios centrales incrementan en el sistema de servicios, la empresa necesita un sistema de control de acceso y quiere proveer protección para la seguridad de los usuarios en la intranet, usando el firewall.

ASOCIACION EN LÍNEA

En este ejemplo SM y el SC-1 están instalados en el mismo servidor.

 

·        La empresa tiene los siguientes requerimientos:

§  Asegurar el acceso seguro de los servicios del sistema y prevenir que los usuarios externos o terminales inseguras accedan a los servicios del sistema. Solo los usuarios que han pasado la autenticación de identidad tienen permitido el acceso.

 

§  Solo empleados permitidos con acceso a los servicios del sistema (como a los recursos centrales de la red de la empresa) durante horas laborales.

§  Basado en el principio de la red “primero el servicio” deshabilitar el control de acceso si el firewall falla al asociar con ambos SCs

 

§  Usar funciones de seguridad tales como defensas ante ataques y antivirus del firewall para proteger a los usuarios de la intranet.

 

·        Para cumplir con los requerimientos anteriores, se recomienda que el firewall se conecte  a la red a través de una conexión en serie para que funcione como el hardware del SACG de la Agile Controller-Campus y provea funciones de seguridad. Los recursos de los servidores de la empresa necesitan ser divididos en dos dominios: pre autenticación y post autenticación.

§  Un domino de pre autenticación define los recursos públicos de la red al loa que el usuario puede acceder antes de pasar la autenticación de identidad, por ejemplo, el servidor DNS, fuentes de autenticación externas, SM y SC.

 

§  Un dominio de post autenticación define los recursos controlados de la red a los que el usuario final puede acceder una vez pasando la autenticación de la identidad, por ejemplo, el sistema ERP, sistemas financieros y los sistemas de las bases de datos.

 

 

Procedimiento de Configuración

PROCEDIMEINTO DECONFIGURACION


·        Mapa de Configuración:

§  Firewall

Ø Configurar los parámetros básicos en las interfaces

Ø Configurar las políticas de seguridad

Ø Configurar la asociación entre el firewall y la Agile Controller-Campus

 

§  Agile Controller-Campus

Ø Configurar el Firewall para que funciones como hardware del SACG

Ø Configurar el dominio de pe autenticación y de post autenticación y configurar la Agile Controller-Campus para que entregue la configuración al firewall

Ø Configurar una política de grupo en el SACG y aplicarla a un grupo o cuenta de usuario o bien, a un segmento de red

Configurar el Firewall—Configurar los Datos Básico

·        Configurar las direcciones IP de las interfaces del Firewall y las zonas de seguridad.

·        Configurar las políticas de seguridad para permitir el tráfico de acuerdo a lo que se requiera.

§  Configurar una política de seguridad para la comunicación interzona Local-DMZ, habilitando al firewall comunicarse con los SCs.

§  Configurar una política de seguridad para la comunicación interzona Local-Untrust, habilitando al firewall empujar las páginas web para la autenticación hacia el usuario.

 

·        Configurar las políticas de seguridad en el firewall:

POLITICAS FIREWALL



Configurar el Firewall—Asociación con Agile Controller-Campus

·        Seleccionar Network>TSM internetworking>Basic Configuration. En la página Configure TSM Basic Parameter, clic en la pestaña TSM Server List y agregar un servidor SC.

 

·        Configurar el URL de autenticación WEB. Si no está instalado AnyOffice en la terminal, se despliega una página web para la autenticación hacia el usuario.

 

·        Aplicar las políticas de interoperabilidad entre zonas. El sistema encuentra las políticas de interoperabilidad cuando los usuarios finales intentan acceder a los recursos del servidor

CF FIREWALL AS



·        Configuración:

CLI



Configurar la Agile Controller-Campus—Agregar un Firewall

·        Seleccionar Policy>Permission Control>Hardware SACG>Hardware SACG Configuration. En la Pestaña Hardware SACG, click en Add

ACC ADD FW


·        Configurar los parámetros en la Agile Controller-Campus para agregar el firewall

PARAMETROS ACC ADD FW


§  En la Agile Controller-Campus, el proceso de agregar un firewall, configurar la dirección IP primaria hacia la dirección IP de la interface a través d ela cual el firewall envía los paquetes hacia el switch., Key es el valor de la Shared Key configurada en el firewall. En el firewall se agregan las direcciones IP de los dos SCs, se usa el puerto 3288 y el valor de la Shared Key debe ser la misma que la  llave configurada en la Agile Controller-Campus

 

§  El segmento de red de los usuarios finales es : 10.1.6.0/24

 

§  Nota: si NAT está configurado para implementar la traducción de las direcciones IP entre los usuarios finales y SCs, configurar el rango de direcciones IP (iniciando y fin de las direcciones IP) hacia el rango de las direcciones IP traducidas, no las direcciones reales de las terminales. De otro modo los usuarios finales no podrán entrar en línea a través del SACG

 

 

Configurar la Agile Controller-Campus—Dominios de Pre Autenticación y Post Autenticación

·        En la página Pre_authentication domain dar click en Add, y se agrega el domino de pre autenticación.

·        En la página Controlled Domain, dar clic y agregamos los recursos para el dominio controlado.

dominios pre y post


Configurar la Agile Controller-Campus—Reglas de Dominio Controlado

1.   En la página Post authentication Domain, clic en Add, agregar recursos a los que los usuarios podrán acceder solo en horario laboral, y seleccionar Permit Access to only controlled domain resources in the list de las lista de recursos.

 

2.   Agregar los recursos a los que los usuarios finales no pueden acceder en horario laboral y seleccionar Prohibit Access to only contolled domain resources in the list de acuerdo a los pasos anteriores

 

                                               

reglas de dominio controlado


  

Configurar la Agile Controller-Campus—Grupos de Políticas en SACG

1.   Configurar un rango de tiempo en el cual los empleados pueden acceder a recursos relacionados.

 

2.   Seleccionar Policy>Permission Control>Policy Element>Schedule y dar clic en Add.

 

3.   Configurar un grupo de políticas.

Seleccionar Policy>Permission Control>Hardware SACG>Hardware SACG Policy Group clic en add

grupos de politicas sacg



Verificar el Resultado

·        Si un usuario pasa de manera satisfactoria la autenticación de identidad, el usuario puede acceder a los servicios del sistema en horas laborales pero no fuera de horas laborales.

 

·        En el firewall, se selecciona Network>TSM internetworking>Basic Configuration. En la página TSM Server List, checa si el estado de operación de la Agile Controller-Campus es Connected

 

·        en el firewall, seleccionar Network>TSM Internetworkng>Online User y Network>TSM Interworking> Role  y se checa la información acerca de los usuarios que están en línea y sus roles, respectivamente.

 

·        En la Agile Controller-Campus selecciona Resource>User>Online User Management y se checa la información de acceso del usuario.

 

·        Si se detecta una violación severa  en una terminal, la terminal no puede acceder a la red y se despliega un mensaje, indicando que es necesario ser reparada dicha falta. Después de que es reparada, la terminal puede acceder a la red


Aquí finaliza esta parte, A ya menos de finalizar el tema centrral del H12 723. No olvides compartir, comentar, visitar otros post y dejat tu clic en 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión