FortiNACGuías técnicas

FortiNAC: Control de puertos en los que hay varios equipos conectados

En una red encontramos, en ocasiones, puertos en los que hay varios equipos conectados porque se están usando HUBs no gestionables. Fortinac pude manejar nativamente cuando hay un teléfono y un equipo en un puerto, porque el tráfico del PC no va tageado y el del teléfono sí, pero si todos los equipos usan la misma VLAN la situación es más complicada, porque mover el puerto de VLAN supone mover a todos los equipos.

En este entorno, usaremos “Host BASED ACL”

  1. Configuración:

Detectamos un puerto conectado a un HUB porque FortiNAC marca el Puerto con un icono específico (además de dejar huella en los logs)

Cambiamos la configuración del modelo en la pestaña  “Model configuration”  del propio switch, dejándola en Host-Based ACL. Las VLAN’s de aislamiento se configuran a un número superior a 4094, para que no apliquen.

Las ACL’s se asocian a cada uno de los “logical networks”. Así en la política de acceso sólo haremos referencia a esa “Logical Network”, y podremos usar una ACL distinta en función del modelo de equipo u otras circunstancias. Esta configuración de CLI en realidad se compone de dos partes: Una configuración cuando el equipo pasa a ese estado y otra cuando sale de ese estado:

La definición de estas políticas de acceso dependerá del fabricante del switch (es necesario comprobar si FortiNAC soporta la configuración por CLI de ese switch). Poniendo un ejemplo para switches Cisco, serían las siguientes:

NAC-CONTROL ISOLATION

Comandos para aislar un equipo (se le permite acceder sólo al fortiNAC y al DA para logarse)

config t

ip access-list extended NAC-CONTROL

1 deny udp host %ip% host “IP AD Server” eq domain

2 permit ip host %ip% host “IP AD Server”

3 permit ip host %ip% host “IP FORTINAC en eth1 – portal”

5 deny ip host %ip% any

exit

ip access-list resequence NAC-CONTROL 10 1

end

write mem

 

Comandos  cuando el equipo sale de aislamiento:

config t

ip access-list extended NAC-CONTROL

no deny udp host %ip% host “IP AD Server” eq domain

no permit ip host %ip% host “IP AD Server”

no permit ip host %ip% host “IP eth1 FNAC”

no deny ip host %ip% any

exit

ip access-list resequence NAC-CONTROL 10 1

end

write mem

 

Cuando un equipo se registra y queremos darle un acceso determinado, le asociamos en la política de acceso una ACL, que en este caso vamos a llamar: NAC-CONTROL PRODUCTION ACL

Comandos al registrarlo:

config t

ip access-list extended NAC-CONTROL

1 deny ip host %ip% host “IP FNAC Eth1”

3 permit ip host %ip% any

exit

ip access-list resequence NAC-CONTROL 10 1

end

write mem

 

Comandos cuando se desregistra:

config t

ip access-list extended NAC-CONTROL

no deny ip host %ip% host “IP FNAC ETH1”

no permit ip host %ip% any

exit

ip access-list resequence NAC-CONTROL 10 1

end

write mem

 

Será necesario asociar manualmente la lista de acceso al puerto en el que está el HUB:

interface GigabitEthernet0/5

 description “Connected To HUB”

 switchport access vlan 40

 switchport mode access

 ip access-group NAC-CONTROL in

 snmp trap mac-notification change added

 snmp trap mac-notification change removed

Y activar el control en ese puerto:

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *