FortiNACGuías técnicas

Control de Wifis abiertas con FortiNAC

FortiNAC permite controlar el acceso a nuestra red de cualquier dispositivo no registrado, obligando a que haya un proceso de perfilado y registro (ejecutado por el administrador, iniciado desde el equipo que entra en la red o incluso automatizado, si hemos podido perfilar ese equipo y tomado suficientes variables como para garantizar que es seguro).

El proceso siempre es similar: Cuando se detecta un equipo no conocido (o “Rogue”), se le aísla en una VLAN específica, en la que solo hay acceso al portal de registro. En función del medio de acceso, el proceso variará ligeramente:

    • Acceso cableado: Típicamente un dispositivo conectado a una boca de switch. En el momento en el que FortiNAC descubra el equipo y sepa que no está resgistrado, se mueve a la vlan de registro interactuando con el switch usando SNMP.
    • Acceso wifi con autenticación 802.1x WPA2-Enterprise: Fortinac hace las veces de proxy radius, con el rol de pasarela Radius entre el AP wifi y el servidor Radius corporativo. Cuando FortiNAC recibe del Radius la confirmación de que puede acceder, añade la información de VLAN, y el dispositivo se ubica en la vlan correspondiente.

A priori, parece que no se puede gestionar el control de acceso de dispositivos en redes abiertas o usando perfiles de seguridad en los que no haya interacción con un servidor Radius, dado que no hay opción para que FortiNAC intermedie y pueda distribuir dinámicamente a los usuarios.

Sin embargo sí que es posible, aprovechándonos de la Autenticación por MAC. En este caso, configuraremos el SSID para que autentique lo dispositivos por MAC, independientemente de que la seguridad sea “Open” o WPA2-Personal, tal y como se muestra en la siguiente imagen. En este caso, podremos seleccionar un Radius que gestione la autenticación. Este radius sería el FortiNAC de nuestra red, que se da de alta como cualquier otro Radius normal.

Es importante recalcar que cuando declaramos el modo de seguridad como “open”, la asignación dinámica de VLAN se tiene que habilitar en CLI. Esto se debe a que no es una configuración estándar.

FortiNAC tomará el rol de servidor Radius, no haciendo de Proxy (no es necesario otro Radius adicional). Usará la información de la MAC incluida en la propia petición de acceso para verificar si es un equipo registrado o no, y responderá al FortiGate con la VLAN correspondiente, según la configuración que hayamos hecho del propio dispositivo. Es importante que habilitemos “radius-coa” en la configuración del radius en FortiGate

La siguiente imagen ilustra la configuración de FortiNAC que habilita la gestión de los dispositivos en ese SSID. Indicaremos en qué VLAN se dispondrá cada dispositivo en función de su estado:

En este caso, un dispositivo que pueda entrar en la red de producción, irá a la VLAN 502, mientras que un dispositivo pendiente de registrar iría a la VLAN 504.

Resultado

Cada vez que un usuario se valide en la red, el FortiGate (u otro dispositivo compatible), enviará una petición de acceso al FortiNAC, incluyendo la MAC del dispositivo.

FortiNAC comprueba que el equipo está registrado. Inicialmente no lo está, lo añade como “rogue”

y en la respuesta incluye la VLAN correspondiente (que coincide con la que hayamos configurado como VLAN de registro en las propiedades del SSID en FortiNAC)

El equipo se ubica dinámicamente en la vlan504:

El equipo tendrá que registrarse, bien a través del portal o usando el portal de registro

Y una vez registrado, FortiNAC lo moverá  dinámicamente a la VLAN que corresponda.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *