HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios VIII Tecnología SACG

37 0 0 0

Buenas noches a rodos.

Esta publicación es la parte 9 del tema TECNOLOGÍAS DE AUTENTICACIÓN, es la última parte para concluir el tema SACG

En los siguientes enlaces podrás acceder a las 7 partes anteriores:



https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios/thread/593566-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-ii/thread/593818-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iii/thread/593990-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iv/thread/594002-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-v/thread/594264-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vi-tecnología-sacg/thread/594696-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vii-tecnología-sacg/thread/594702-100233



TECNOLOGÍA DE AUTENTICACIÓN DE USUARIOS VIII—Tecnología SACG

Implementación Bypass

 

Asociación de SACG en Modo Bypass

bypass


·        Actualmente, los usuarios finales en una empresa puede acceder directamente a los servicios del sistema en el data center. A medida que los servicios centrales incrementan en los servicios del sistema, la empresa requiere un sistema de control de acceso.

 

·        La empresa tiene los siguientes requerimientos:

§  Asegurar la seguridad de acceso de los servicios del sistema y prevenir que terminales inseguras o usuarios externos accedan a los servicios del sistema. Solo los usuarios que han pasado la autenticación de identidad tienen permitido acceder a los servicios del sistema.

 

§  Solo se permitirá acceso a los empleados a los recursos del en horarios laborables.

§  Minimizar el impacto causado por la solución actual sobre la cual está implementada la red. Aplicar el principio de “el servicio primero” para asegurar la continuidad del servicio en caso de que falle el sistema de control de acceso.

·        Para cumplir con los requerimientos que anteceden, se recomienda que el firewall se conecte al switch core en modo bypass par que funciones como hardware del SACG de la Agile Controller-Campus. Los recursos de los servidores de la empresa necesitan ser divididos en dos dominios: pera autenticación y post autenticación.

 

§  Un domino de pre autenticación define los recursos públicos de la red al loa que el usuario puede acceder antes de pasar la autenticación de identidad, por ejemplo, el servidor DNS, fuentes de autenticación externas, SM y SC.

 

§  Un dominio de post autenticación define los recursos controlados de la red a los que el usuario final puede acceder una vez pasando la autenticación de la identidad, por ejemplo, el sistema ERP, sistemas financieros y los sistemas de las bases de datos.

 

§  En este ejemplo (como se muestra en la imagen) SM y el SC-1 están instalados en el mismo servidor.

 

Procedimiento de Configuración

bypass config


·        Mapa de Configuración:

·        Si el firewall (SACG) se implementa en modo Bypass para ser asociado con al Agile Controller-Campus, solo el tráfico enviado por los usuarios pasará a través del firewall, pero el tráfico que regrese el servidor hacia los usuarios finales no pasará el firewall. En este caso, los trayectos de entrada y salida hacia los usuarios finales que pasan a través del firewall son diferentes, y por consiguiente la función del estado de las sesiones debe ser deshabilitada.

§  Configurar los datos básicos de la red: las interfaces del switch y del firewall así como las políticas de seguridad.

 

§  Configurar el switch para desviar el tráfico enviado por los usuarios finales hacia el firewall.

§  Configurar la asociación de SACG

 

Configurar los Datos Básico Para la Conectividad de la Red

·        Configurar la VLAN y las direcciones IP en el switch.

·        Configurar el firewall

§  Configurar las direcciones IP en las y las zonas de seguridad en las interfaces del firewall.

§  Configurar las políticas de seguridad para permitir el tráfico de acuerdo a lo requerido

§  Deshabilitar la función detección de estado de sesión

 

·        Configurar las políticas de seguridad den el firewall. Configurar una política de seguridad para intercomunicación de zonas Local-Trust, habilitando que el firewall se pueda asociar con los SCs. Configurar una política para la intercomunicación de zonas Local-Untrust, habilitando que el firewall despliegue las páginas web de autenticación.

politicas e seguridad bypass

·        Deshabilitar la función detección de estado de sesión

§  Seleccionar System>Setup>Status Detection des seleccionar Enable para TCP Status Detection e ICMP Status Detection  y después dar clic en Apply.


Configurar el Switch Para Desviar el Tráfico

·        Usar la función redirección de puerto para reenviar el tráfico recibido por el switch proveniente de las terminales, hacia el firewall a través de la interface Ethernet 1/0/5

desvio sw bypass


Configurar el Firewall—Inserción de Tráfico

·        Configurar una ruta estática para la inserción del tráfico detectado desde el firewall hacia el switch. El siguiente salto de la ruta es la dirección IP de la interface en el switch conectando con la GE1/0/1

inserción bypass

Comando para la cli ip route-static 0.0.0.0 0.0.0.0 Gigabitetehernet1/0/1 10.1.4.1

 

Configurar el Firewall—Asociación con Agile Controller-Campus

·        Seleccionar Network> TSM Internetworking> Basic Configuration. En la página Configure Basic Parameter, dar clic en la pestaña  TSM Server List ya gregar un servidor SC.

·        Configurar la URL para la autenticación web.  Si no está instalado el cliente AnyOffice en la terminal, se despliega una página hacia el usuario para su autenticación vía web.

·        Aplicar las políticas de intercomunicación TSM entre zonas. El sistema encuentra la coincidencia de las políticas cuando el usuario final intenta acceder a los recursos del servidor.

intercomunicacion bypass


Configurar el Firewall—Asociación con Agile Controller-Campus

·        Seleccionar Policy> Permission Control> Hardware SACG> Hardware> SACG Configuration. En la pagina Hardware SACG y dar clic en Add.

 

·        En la Agile Controller-Campus, durante el proceso de adición del firewall, configurar la Primary IP para la dirección IP de la interface a través de la cual el firewall envía los paquetes hacia el switch, y Key  hacia el valor de Shared Key configurada en el firewall. En el firewall, las direcciones IP de los dos SCs agregados, se usa el puerto 3288, y el valor de la Shared Key debe ser la misma a la de la Key configurada en la Agile Controller-Campus.

·        Segmento de red de los usuarios finales: 10.1.6.0/24

 

·        Nota: si NAT está configurado para implementar la traducción d elas direcciones IP entre los usuarios finales y SCs, configurar el rango de direcciones IP (iniciando y fin de las direcciones IP) hacia el rango de las direcciones IP traducidas, no las direcciones reales de las terminales. De otro modo los usuarios finales no podrán entrar en línea a través del SACG

 

 

Configurar Agile Controller-Campus—Dominios de Pre autenticación y post autenticación

·        En la página Pre_authentication domain dar click en Add, y se agrega el domino de pre autenticación.

 

·        En la página Controlled Domain, dar clic y agregamos los recursos para el dominio controlado.

pre y post bypass

Configurar la Agile Controller-Campus—Reglas de Dominio Controlado

1.   En la página Post authentication Domain, clic en Add, agregar recursos a los que los usuarios podrán acceder solo en horario laboral, y seleccionar Permit Access to only controlled domain resources in the list de las lista de recursos.

 

2.   Agregar los recursos a los que los usuarios finales no pueden acceder en horario laboral y seleccionar Prohibit Access to only contolled domain resources in the list de acuerdo a los pasos anteriores

dominio controlado bypass


Configurar la Agile Controller-Campus—Grupos de Políticas en SACG

1.   Configurar un rango de tiempo en el cual los empleados pueden acceder a recursos relacionados.

 

2.   Seleccionar Policy>Permission Control>Policy Element>Schedule y dar clic en Add.

 

3.   Configurar un grupo de políticas.

Seleccionar Policy>Permission Control>Hardware SACG>Hardware SACG Policy Group clic en add

grupos de politicas bypass


Verificar el Resultado

·        Si un usuario pasa de manera satisfactoria la autenticación de identidad, el usuario puede acceder a los servicios del sistema en horas laborales pero no fuera de horas laborales.

 

·        En el firewall, se selecciona Network>TSM internetworking>Basic Configuration. En la página TSM Server List, checa si el estado de operación de la Agile Controller-Campus es Connected

 

·        en el firewall, seleccionar Network>TSM Internetworkng>Online User y Network>TSM Interworking> Role  y se checa la información acerca de los usuarios que están en línea y sus roles, respectivamente.

 

·        En la Agile Controller-Campus selecciona Resource>User>Online User Management y se checa la información de acceso del usuario.

 

·        Si se detecta una violación severa  en una terminal, la terminal no puede acceder a la red y se despliega un mensaje, indicando que es necesario ser reparada dicha falta. Después de que es reparada, la terminal puede acceder a la red


Hasta aquí llega la publicacion, recuerda compartir, comentar y dejar tu ♥


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión