Identificación de dispositivos Control de acceso red inalámbrica Índice 1. Introducción ............................................................................................................................... 3 1.1. Alcance ............................................................................................................ 3 1.2. Dispositivos a identificar ................................................................................... 3 2. Métodos para identificación ....................................................................................................... 4 2.1. DHCP fingerprinting ......................................................................................... 4 2.2. HTTP User Agent ............................................................................................. 5 2.3. MAC OUI ......................................................................................................... 5 2.4. RADIUS VSAs ................................................................................................. 6 2.5. Lectura via SNMP en los equipos de red. ........................................................ 6 2.6. Escaneo de red ................................................................................................ 7 2.7. IF-MAP............................................................................................................. 8 2.8. Exchange ActiveSync plugin ............................................................................ 8 2.9. Agente OnGuard .............................................................................................. 9 2.10. Profling tras OnBoard del dispositivo ............................................................. 10 3. Protección contra spoofing ....................................................................................................... 11 3.1. Audit server .................................................................................................... 11 3.2. Prueba del servicio ........................................................................................ 12 3.3. Integración en el servicio de AAA................................................................... 13 3.3.1. Habilitar Audit en el servicio AAA ............................................................ 13 3.3.2. Configurar política de Audit ..................................................................... 13 3.3.3. Aplicar “Enforcement” al cliente .............................................................. 14 1. Introducción 1.1. Alcance En el presente documento se pretenden mostrar las capacidades de identificación de dispositivos finales de Clearpass Policy Manager. Este documento no pretende ser un manual de uso de Clearpass, sino más bien una orientación de cara a poder comprender mejor el funcionamiento de profiling y protección frente a MAC spoofing. De igual manera, este es un documento elaborado por el departamento de preventa de Aruba Iberia para facilitar la labor de sus partners. En ningún caso deberá ser considerado un documento oficial de Aruba Networks. 1.2. Dispositivos a identificar Si bien es cierto que Clearpass realizará identificación de todos los dispositivos que se conecten a la red, este documento se centrará en los dispositivos que, por no disponer de cliente 802.1X, deban conectarse a la red utilizando autenticación MAC. La intención, por tanto, no es entrar en el detalle de la identificación de dispositivos que se conecten mediante 802.1X, sino aportar un grado extra de seguridad a la autenticación de dispositivos que no soporten 802.1X. 2. Métodos para identificación Incluido en el módulo básico de Clearpass Policy Manager se encuentra el módulo de identificación de dispositivos. Se trata de un mecanismo de descubrimiento incremental que permite descubrir, clasificar y agrupar todos los dispositivos conectados a la red, con independencia del tipo que sean. Un amplio abanico de información puede ser recogida y utilizada para la identificación de dispositivos conectados: DHCP fingerprinting HTTP User Agent MAC OUI RADIUS VSAs (Aruba y Cisco IOS) Protocolos de red: CDP, LLDP, ARP… Escaneo de redes IF-MAP Exchange Active Sync plugin Agente OnGuard Procedimiento OnBoard 2.1. DHCP fingerprinting Un método muy común para identificar el dispositivo conectado a la red es el de hacer identificación en base a la huella que deja la petición de DHCP de un dispositivo. Para la configuración de este método se puede optar por dos métodos: Relay de las peticiones de DHCP desde el equipamiento de red hasta Clearpass. En esta manera de funcionar, Clearpass tan sólo estaría escuchando las peticiones de DCHP para identificación de dispositivos. Clearpass no es un servidor de DHCP y por tanto no sirve direcciones IP. Puerto de SPAN en Clearpass para escuchar el tráfico de DHCP. También existe la posibilidad de configurar el puerto de datos de Clearpass en modo “monitor” para escuchar todo el tráfico que le llega al servidor de DHCP. Este mecanismo suele utilizarse cuando no es posible configurar un relay de DHCP adicional en la electrónica de red. La configuración de este mecanismo de funcionamiento es muy sencilla, y puede hacerse tal como se muestra en la imagen a continuación: Imagen 1 - DHCP Fingerprinting 2.2. HTTP User Agent Clearpass utiliza el “User Agent” de http para identificar los dispositivos que pasa por cualquiera de sus portales (invitados, onboard u onguard). Para utilizar este mecanismo de identificación no es preciso hacer ninguna configuración adicional. Imagen 2 - HTTP User Agent 2.3. MAC OUI Clearpass utiliza el “vendor-id” de la MAC del dispositivo que se conecta a la red para ayudar en la identificación del mismo. No es necesario configurar nada en Clearpass para utilizar este mecanismo de detección. 2.4. RADIUS VSAs Muchos equipos de acceso modernos son capaces de identificar los dispositivos conectados a la red. Algunos de estos equipos pueden, además, pasarle esa información al Clearpass utilizando VSAs de RADIUS. Los ejemplos más claros son los de el equipamiento Aruba y los switches o controllers Cisco con versión de IOS (versión 15.0 o superior). En la imagen a continuación puede verse un ejemplo de este caso: Imagen 3 - Profiling recibiendo VSA 2.5. Lectura via SNMP en los equipos de red. Los switches/controllers modernos son capaces de hacer identificación de dispositivos vía CDP, LLDP, UPnP o mDNS. Este mecanismo es especialmente útil si se pretende identificar dispositivos con dirección IP estática. Clearpass puede interrogar a estos equipos via SNMP para obtener información leyendo las MIB de SNMP de los equipos de red. Para hacer el profiling por SNMP se utiliza la siguiente información: sysDescr. Se emplea información de las MIB de la RFC1213 para la identificación de dispositivos. Esto se emplea tanto para obtener información sobre dispositivos de red configurados en Clearpass como para identificar dispositivos con IP estática descubiertos por SNMP o barridos de red. cdpCacheTable. Se emplea la información que los equipos de red descubren por CDP para la identificación de dispositivos. lldpRemTable. De manera análoga, se utiliza la información que los switches obtienen por LLDP para la identificación de dispositivos. ARPtable. La información de ARP obtenida de los dispositivos de red se emplea para descubrir los dispositivos finales que están conectados a la red. La identificación de dispositivos via SNMP se configure tal como se muestra en la imagen a continuación. Imagen 4 - Profiling basado en SNMP Los dispositivos de red configurados con credenciales de lectura SNMP son interrogados periódicamente en base al intervalo configurado en Server Manager > Service Parameters > ClearPass Network Services. El valor por defecto es de una hora. Los siguientes parámetros adicionales han de ser configurados para hacer la identificación de dispositivos finales: Read ARP Table Info – Se debe seleccionar para leer la tabla de ARP del equipo (en caso de tratarse de un dispositivo de nivel 3) y poder así descubrir dispositivos conectados a la red. Los equipos descubiertos de esta forma son posteriormente escaneados vía SNMP para ser identificados. Force Read – Se debe seleccionar para que todos los nodos del cluster de CPPM lean información de este dispositivo, con independencia de si se han configurado “traps” o no. 2.6. Escaneo de red Clearpass puede hacer barridos de ping y SNMP para hacer profiling. Nos permite obtener información (profiling) de los dispositivos que tengan direccionamiento IP estático. Este barrido puede configurarse en Configuration > Profile Settings Imagen 5- Escaneo de red Este barrido, por defecto, se hace cada 24 h, aunque este parámetro se puede modificar en Administration > Server Manager > Cluster Settings > Profile subnet scan interval. El detalle de cómo funcionan exactamente estos barridos de red sería el siguiente: En primer lugar se lanza ping a los equipos definidos en la subred: o ICMP Echo request (#8) o ICMP Timestap (#13) En segundo lugar se lanzan las siguientes sondas (utilizando community public) a los equipos que hayan contestado a ping: o Descripción - sysDescr (1.3.6.1.2.1.1.1.0 string) o Nombre - sysName (1.3.6.1.2.1.1.5.0 string) o IP Forwarding - ipForwarding (1.3.6.1.2.1.4.1.0 int) o IP addresses ipAdEntAddress (1.3.6.1.2.4.20.1.1.0 IP) ipAdEntIndex (1.3.6.1.2.4.20.1.1.0 int) o MAC address - ifPhysAddress (1.3.6.1.2.1.2.2.1.6.x octet string) 2.7. IF-MAP Al margen de la detección que pueda hacer el equipamiento de red, Clearpass puede también recibir recibir información de patrones de tráfico web, UPnP y mDNS del equipamiento de red utilizando protocolo IF-MAP1. A continuación se muestra cómo ha de hacerse en un controlador de Aruba para configurar y verificar la conexión IF-MAP con Clearpass. Imagen 6 - Configuración de controller Aruba para utilizar IF-MAP 2.8. Exchange ActiveSync plugin Cada vez que un dispositivo se conecta a Exchange vía ActiveSync se hace un completo inventario del equipo, y esta información quedar registrada en el servidor. Está información puede ser obtenida de la propia base de datos de AD instalando un plugin en el servidor. 1 Interface for Metadata Access Points (IF-MAP) - (not to be confused with Wifi Access Points) is an open standard client/server protocol developed by the Trusted Computing Group (TCG) as one of the core protocols of the Trusted Network Connect (TNC) open architecture. IF-MAP provides a common interface between the Metadata Access Point (MAP), a database server acting as a clearinghouse for information about security events and objects, and other elements of the TNC architecture. The IF-MAP protocol defines a publish/subscribe/search mechanism with a set of identifiers and data types. 2.9. Agente OnGuard Cuando un dispositivo está controlador por el agente OnGuard, éste obtiene información detallada de las características del equipo cliente. A continuación se muestra un par de capturas de lo que puede obtenerse por medio del agente: Imagen 7 - Profiling con agente OnGuard Imagen 8 - Profiling con agente OnGuard 2.10. Profling tras OnBoard del dispositivo De manera análoga al caso del agente OnGuard, los equipos provisionados mediante OnBoard también son indentificados con un grado mucho mayor de detalle que el de un dispositivo que simplemente ha sido “descubierto”. A continuación se muestra una captura de la información que puede obtenerse: 3. Protección contra spoofing Si bien con la variedad de mecanismos de profiling mencionados la posibilidad de poder hacer un spoofing de la identificación de dispositivos se vuelve bastante complicada, Clearpass cuenta con un mecanismo para poder protegerse de ataques de este tipo. Para prevenir este tipo de ataques está la función de “audit”, que hace un NMAP de los dispositivos finales para así poder caracterizarlos aún más. Este NMAP se configura dentro del servicio de autenticación y, por lo tanto, se trata de un mecanismo en tiempo real, que puede ser ejecutado cada vez que un dispositivo se autentica contra Clearpass. A continuación se describe cómo aplicar este mecanismo para proteger la red de ataques de ocultación de identidad. A continuación se muestra cómo configurar Clearpass para poder lanzar NMAP condicionado a autenticaciones. 3.1. Audit server En primer lugar, es necesario crear un “Audit Server” que sea capaz de hacer la clasificación en función del dispositivo concreto que se quiera identificar. Esta configuración se hace desde Configuration > Posture > Audit Servers. Una vez en el servicio, podemos determinar qué análisis se hará del cliente en cuestión y qué se derivará de ese análisis. En primer lugar, se definen los parámetros de quieran utilizarse dentro del escaneo NMAP: Imagen 9 - NMAP Options A continuación, se crearán las reglas que se derivarán del escaneo realizado: Imagen 10 - Reglas en base a Audit Una vez tengamos listo el perfil de “audit” podremos aplicarlo a cualquier servicio de autenticación configurado en Clearpass. 3.2. Prueba del servicio Dado que con este mecanismo se trata de identificar dispositivosconocidos por el administrador como impresoras u otros equipos muy acotados, se recomienda analizar previamente la respuesta de uno de estos dispositivos a un escaneo como el que tenemos configurado. Para ello, podemos hacer pruebas en el apartado “Configuration > Policy simulation” definiendo un servicio de tipo “audit” como el que se muestra a continuación. Imagen 11 - Policy simulation Tras configurar el servicio, pulsando el botón “results” se puede ver el resultado obtenido sobre ese cliente en cuestión. Con esta información podremos redefinir las reglas del apartado 3.1 para poder hacer políticas con un mayor grado de detalle. Imagen 12 - Ejemplos de resultado obtenido Nota: Para poder hacer “audit” de un dispositivo, Clearpass tiene que poder vincular la dirección MAC del mismo a la dirección IP. Esto puede conseguirse de varias maneras: Mediante la petición de DHCP Mediante escaneo de la tabla de ARP de los equipos de red Mediante barrido de las subredes marcadas para el efecto 3.3. Integración en el servicio de AAA Una vez configurada y probada la política de “audit” de clientes, el último paso que quedaría sería integrar esta política en un servicio de AAA. 3.3.1. Habilitar Audit en el servicio AAA En primer lugar es necesario habilitar la funcionalidad de “audit” para el servicio en cuestión. Para ello basta con marcar la casilla de “Audit End-Hosts” en la definición del servicio, tal como se muestra en la imagen a continuación. Imagen 13 - Habilitar Audit 3.3.2. Configurar política de Audit A continuación se deberá aplicar la política de “audit” creada en el apartado 3.1. Como puede verse en la imagen a continuación, podemos definir parámetros para que el escaneo de puertos no se haga en todas las autenticaciones, sino que quede condicionado a que se trate de un dispositivo no conocido. Imagen 14 - Configuración Audit 3.3.3. Aplicar “Enforcement” al cliente Por último, se pondrá en común toda la información recabada por los diferentes mecanismos de “profiling” y “audit” de los clientes, se aplicará una política de “Enforcement” concreta. A continuación se muestra una imagen con un posible ejemplo de política de “enforcement”. Imagen 15 - Ejemplo de Enforcement En la política mostrada en el ejemplo ocurriría lo siguiente: Cliente categorizado como teléfono en la fase de “profiling” y en la fase de “audit”. o Vlan de voz y marcado del equipo como conocido (y por tanto confiable) Cliente categorizado como impresora en la fase de “profiling” y en la fase de “audit”. o Vlan de impresión y marcado del equipo como conocido (y por tanto confiable) Cliente no categorizado en la fase de profiling y categorizado como teléfono en la fase de “audit”. o Vlan de voz. Cliente no categorizado en la fase de profiling y categorizado como impresora en la fase de “audit”. o Vlan de impresión Cliente categorizado como teléfono en la fase de profiling pero no identificado en la fase de “audit”. o Vlan de voz o Dispositivo marcado como sospechoso o Session timeout > 5 min Cliente categorizado como impresora en la fase de profiling pero no identificado en la fase de “audit”. o Vlan de impresión o Dispositivo marcado como sospechoso o Session timeout > 5 min Perfil por defecto: o Vlan de cuarentena Esto nos da una idea de cómo se podrían construir muy diversos tipos de políticas, combinando la información recibida en el proceso de “profiling” con la que podemos recibir mediante el mecanismo de “audit”. De igual manera, también se podrá hacer uso de otros parámetros que puedan “marcar un dispositivo como conocido” o “marcar un dispositivo para ser vigilado” o cualquier modificación del estilo.