Seguridad en switches de Acceso en la red corporativa

Uno de los retos como administradores de redes es proveer seguridad en la capa de acceso. Para ello, CISCO cuenta con varios mecanismos que pueden ser implementados con el fin de permitir el acceso a la red solo a los usuarios/dispositivos válidos.

Una de las tecnologías más seguras es la configuración de switchport port-security,

la cual nos permite definir que MAC-addresses serán permitidas para conectarse en cada puerto en específico y la cantidad permitida. Este es un método muy seguro pero poco escalable, por lo cual se deben considerar otras opciones, es alli donde entra en el escenario la configuración del 802.1x conocido como autenticación de puerto.

Existen varios elementos necesarios para el funcionamiento del 802.1x, en esencia, se tiene un:

- solicitante (supplicant), dispositivo cliente que desea autenticarse

- Autenticador (authenticator), es un equipo de red en esta caso el conmutador (switch)

- El servidor de Autenticación, es un servidor que soporta el protocolo RADIUS y EAP, el cual puede contener el registro de dispositivos permitidos o a su vez puede ir a solicitar información de autenticación al un directorio de dominio (LDAP).

Muchas veces es necesario implementar ambos protocolos y tecnologías para proveer seguridad en el acceso, a continuación presento un escenario en el cual los switches de acceso tienen configurados ambos configuraciones sobre distintos puertos.

Esto resulta necesario por ejemplo, cuando llega un proveedor con su laptop y debes permitir que esa laptop se conecte la red cableada, por defecto el 802.1x tratará de autenticar esa máquina si tener éxito, esa máquina no tiene registro autorizado, luego, procedes con el bypass del puerto (deshabilitar 802.1x en ese puerto), desde ese momento se genera un riesgo de seguridad si se conecta otra máquina maliciosa en ese mismo punto de red. Luego, recurrimos al port-security, no es escalable pero nos funciona para asegurar ese puerto de red y permitir unicamente la dirección MAC-address de la máquina del proveedor. Se indica que no es escalable porque ese puerto debe ser reconfigurado en caso de necesitar conectar otro dispositivo.

El archivo adjunto, muestra un escenario que se me presentó en uno de los edificios administrativos de la corporación, varias islas de empleados fueron reubicados en la oficina, resulta que con el movimiento muchas de sus máquinas y teléfonos IP quedaron sin acceso a la red, ¿que sucedió?

La idea no es mostrar toda la configuracion del 802.1x sino presentar la interacción entre ambos protocolos,
a continuación la información del switch de acceso:

Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 52 WS-C2960X-48TS-L 15.0(2)EX4 C2960X-UNIVERSALK9-M


En particular veremos la configuración de 2 puertos del switch, el primero estaba configurado con port-security y el otro con 802.1x:

sh run int gi1/0/28
Building configuration...

Current configuration : 531 bytes
!
interface GigabitEthernet1/0/28
description ACCESS-USER-SWPS
switchport access vlan 2
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 1803.7336.9d43
flowcontrol receive desired
storm-control broadcast level bps 1m
storm-control multicast level bps 1m
storm-control action shutdown
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
end

interface GigabitEthernet1/0/42
description ACCESS-USER-3AB-42
switchport access vlan 2
switchport mode access
authentication event fail retry 1 action authorize vlan 12
authentication event server dead action authorize
authentication event no-response action authorize vlan 12
authentication event server alive action reinitialize
authentication order dot1x
authentication priority dot1x
authentication port-control auto
authentication timer restart 100
authentication timer inactivity 200
dot1x pae authenticator
dot1x timeout quiet-period 120
dot1x timeout server-timeout 2
dot1x timeout tx-period 60
dot1x max-reauth-req 1
flowcontrol receive desired
storm-control broadcast level bps 1m
storm-control multicast level bps 1m
storm-control action shutdown
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
end


Mar 27 15:31:54: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/42, changed state to up
Mar 27 15:33:07: %LINK-5-CHANGED: Interface GigabitEthernet1/0/42, changed state to administratively down
Mar 27 15:33:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/42, changed state to down
Mar 27 15:33:27: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/42, changed state to down
Mar 27 15:33:29: %AUTHMGR-5-START: Starting 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FB611D162C
Mar 27 15:33:30: %AUTHMGR-5-START: Starting 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FC611D1918
Mar 27 15:33:31: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/42, changed state to up
Mar 27 15:33:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/42, changed state to up
Mar 27 15:33:48: %AUTHMGR-5-START: Starting 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FD611D6204
Mar 27 15:33:48: %DOT1X-5-SUCCESS: Authentication successful for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FD611D6204
Mar 27 15:33:48: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FD611D6204
Mar 27 15:33:48: %AUTHMGR-5-FAIL: Authorization failed or unapplied for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FD611D6204
Mar 27 15:33:48: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FD611D6204
Mar 27 15:35:22: %LINK-5-CHANGED: Interface GigabitEthernet1/0/42, changed state to administratively down
Mar 27 15:35:23: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/42, changed state to down
Mar 27 15:35:34: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/42, changed state to down
Mar 27 15:35:37: %AUTHMGR-5-START: Starting 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FE611F0A13
Mar 27 15:35:37: %DOT1X-5-SUCCESS: Authentication successful for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FE611F0A13
Mar 27 15:35:37: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FE611F0A13
Mar 27 15:35:38: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (1803.7336.9d43) on Interface Gi1/0/42 AuditSessionID C0A86873002F08FE611F0A13
Mar 27 15:35:39: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/42, changed state to up
Mar 27 15:35:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/42, changed state to up


A pesar de autenticar correctamente con el Servidor, la autenticación era sobreescrita por el el port-security aplicado en el puerto anterior,

que es lo que sucede, en vista de que el port-security inserta estaticamente las MAC-addresses en la tabla de MAC-address se genera el conflicto con la misma MAC-address que recien autentico el 802.1x,

para resolver el evento fue necesario borrar la MAC-address sticky del puerto Gi1/0/28

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎03-30-2017 09:00 AM
Actualizado por:
 
Etiquetas (1)