Ik heb veel gedaan 802.1x projecten van de laatste tijd. En met veel bedoel ik veel. Oplossingen zoals Cisco's Identity Services Engine, Packetfence en onze oude favoriete Microsoft Network Policy Server zijn hard op weg de hoeksteen te worden van bekabelde netwerktoegang in plaats van een interessante hoekcase voor alleen de meest veiligheidsbewust.
Voor mij waren de grootste uitdagingen niet het beleid, de integraties of de licenties (laat me niet beginnen met licenties). De grootste uitdaging bij het implementeren van 802.1x op een bekabeld netwerk was de ongelooflijke verveling netwerk ontdekking en elke afzonderlijke switchpoort in de toegangslaag moeten configureren.
Normaal gesproken loggen we in op onze computer die lid is van het domein en authenticeren we ons met een gebruikersnaam en wachtwoord tegen een LDAP-directory zoals Microsoft Active Directory. Dit regelt de toegang tot netwerkbronnen zoals bestandsshares, toepassingen en netwerkprinters. Door gebruik te maken van 802.1x-authenticatie en -autorisatie kunnen we de netwerkbeveiliging echter naar een geheel nieuw niveau tillen.
Een 802.1x-oplossing zoals Cisco ISE kan dezelfde back-end LDAP-database gebruiken om toegang tot het netwerk zelf te verlenen of te weigeren. Met andere woorden, de switchport zal zelfs geen verkeer doorsturen als een eindgebruiker zich niet kan authenticeren. En in plaats van alleen een gebruikersnaam en wachtwoord te gebruiken, kan een robuuste oplossing voor netwerktoegang naar meerdere voorwaarden kijken om toegang te verlenen.
De grootste uitdaging bij het implementeren van 802.1x op een bekabeld netwerk was de ongelooflijke verveling van netwerkdetectie en het moeten configureren van elke afzonderlijke switchpoort in de toegangslaag.
Tegenwoordig gaan veel organisaties nog een stap verder en gebruiken deze methode om dynamisch ACL's en VLAN's toe te wijzen aan een bepaalde switchport op basis van gebruikersidentiteit, computeridentiteit, type apparaat, computerstatus of een combinatie van deze en andere factoren. Dit is erg krachtig, omdat het netwerkbeheerders veel gedetailleerdere controle geeft over netwerktoegang, vooral als ze te maken hebben met BYOD, gedeelde werkruimten en gastgebruikers.
Ik heb aan een ISE-project gewerkt voor een wereldwijde organisatie met enkele honderdduizenden werknemers, schooldistricten met duizend personeelsleden en duizenden studenten, en kleine bedrijven met in totaal slechts een paar honderd werknemers. De back-end is altijd ongeveer hetzelfde: een paar domeincontrollers, misschien in een cluster of misschien niet, een paar ISE-servers, mogelijk ook in een cluster, en vergelijkbare beleidsregels. Het verschil is echter hoeveel schakelaars ik moet bekijken en hoeveel poorten ik moet aanraken.
NetBrain ontdekt automatisch meer dan 2,000 apparaten per uur - honderden modellen van tientallen leveranciers.
Dit is waar het interessant wordt. Cisco ISE handelt niet alleen. De switch waarop een apparaat wordt aangesloten, is eigenlijk een proxy die namens de client met de Cisco ISE-server spreekt. Daarom moet de hardware- en softwareversie van de switch compatibel zijn met de versie van ISE die wordt gebruikt.
Om Cisco ISE met succes te implementeren, moet u uw volledige toegangslaag inventariseren om te zien of er switches zijn die moeten worden vervangen of geüpgraded. In een grote organisatie kan dit een klein team letterlijk weken kosten.
Zelfs met netwerkdiagrammen als hulpmiddel, is het doorzoeken van een groot netwerk om specifieke switchhardware- en softwareversies te krijgen, geestdodend vervelend. Voor één project in het bijzonder kostte het me enkele maanden van dagelijkse handmatige ontdekking met toon cdp-buren en versie tonen.
Nadat de compatibiliteit is geadresseerd en de ISE-servers zijn geconfigureerd, moet een technicus elke switch configureren met een paar regels globale dot1x-configuratie, gevolgd door het configureren van elke individuele poort met de juiste dot1x-configuratie.
Als er ooit een reden was voor netwerkautomatisering, dan is dit het wel.
NetBrainDe geautomatiseerde ontdekkingsfunctie creëert een Dynamic Map, of met andere woorden, een real-time netwerktopologie die zichzelf periodiek kan updaten. Dit biedt technici binnen enkele minuten een nauwkeurige kaart van het netwerk in plaats van de uren, dagen of weken die het handmatig zou kunnen kosten, en dit is geen triviaal voordeel. NetBrain kan binnen een uur duizenden apparaten ontdekken, waaronder honderden modellen van tientallen leveranciers. Bepaalde versies van Cisco ISE werken gewoon niet met bepaalde hardware- of softwareplatforms, dus om een bekabelde 802.1x-implementatie te laten werken, is netwerkdetectie niet alleen nuttig, maar ook essentieel.
Om een bekabelde 802.1x-implementatie te laten werken, is een netwerkdetectie niet alleen nuttig, maar ook essentieel.
Na het upgraden van hardware en software naar de juiste versies, is de volgende stap het wereldwijd inschakelen van 802.1x op elke switch en het toevoegen van de relevante switchpoortconfiguratie aan elke switchpoort. De configuraties zelf zijn niet moeilijk, maar reken maar uit. . . .
Zelfs een middelgrote organisatie kan honderden schakelaars hebben. En zelfs als rekening wordt gehouden met servers en trunkpoorten, kan dit nog steeds tienduizenden switchpoorten betekenen.
Mijn ervaring is dat het uitrollen van bedrade 802.1x gefaseerd gebeurt. Meestal is het locatie voor locatie, waarbij een fail-open-strategie wordt gebruikt voor het geval er iets misgaat tijdens een cutover. Het grootste deel van het wijzigingsvenster bestaat echter uit het configureren van apparaten. Sommige configuraties kunnen vooraf worden voorbereid, zoals de globale 802.1x-opdrachten, maar veel zijn op poortniveau en worden van kracht zodra ze zijn toegevoegd.
Nadat een site is overgesneden, begint het oplossen van problemen. Er is altijd minstens één apparaat dat gewoon geen verbinding maakt, en het is een kwestie van de switch en poort opsporen waarop het apparaat is aangesloten en de configuratie controleren. Als we het echter over veel schakelaars hebben, is het zelden slechts één apparaat dat problemen heeft.
Na een post-cutover Dynamic Map is gecreëerd, NetBrain's Uitvoerbaar Runbooks kan programmatisch zoeken naar configuratieafwijkingen, of in ons voorbeeld problemen met een grote bekabelde 802.1x-implementatie oplossen, met slechts een paar klikken. Dit is een ongelooflijk krachtige tool wanneer er zoveel apparaten zijn geïntegreerd in een algehele authenticatieoplossing.
Houd er rekening mee dat de grootste uitdagingen voor mij bij het implementeren van 802.1x op een bekabeld netwerk niet het beleid waren van de netwerktoegangsserver die ik gebruikte. De grootste uitdaging is het nauwkeurig en snel in kaart brengen van het hele netwerk om zo veel configuratielijnen op bijna elke switch in de toegangslaag te implementeren.
Handmatige ontdekking en probleemoplossing is een complete verspilling van tijd - ik weet het omdat ik er ben geweest. Automatiseer deze alledaagse taken met NetBrain zorgt voor een veel nauwkeuriger beeld van het netwerk en een veel efficiëntere manier om grote aantallen apparaten tegelijk op te lossen.