FortiClientFortiNACGuías técnicas

FortiNAC: Zero Trust con FortiNAC y FortiClient EMS (parte 1)

FortiNAC habilita desplegar arquitecturas de acceso Zero Trust: No se confía en ningún dispositivo o usuario interno que intente conectarse al perímetro interno, independientemente de cuál sea el punto de acceso, ya sea inalámbrico o cableado.

Esta arquitectura obliga a que cualquier dispositivo y/o usuario que se conecte a nuestra red deba estar identificado antes de poder acceder a ningún recurso interno.

La figura siguiente describe las fases del proceso, desde que el dispositivo se conecta a la red hasta que se le concede acceso a los recursos.

0-Aislamiento

Los puertos de la red que no tienen un dispositivo conectado y registrado se mueven a una vlan de contención, en la que sólo hay acceso a los servicios de red indispensables para poder ejecutar el resto de Fases.

En FortiNAC, se trata de una VLAN específica denominada “Registro”.

El evento de conexión del dispositivo dispara el proceso. Idealmente, será la red la que informe a FortiNAC de que se está produciendo esta conexión (enviando un trap SNMP o una petición de acceso 802.1x). Si los dispositivos no permiten este tipo de configuraciones, FortiNAC escanea periódicamente la red en busca de nuevos dispositivos.

1-Perfilado del tipo de dispositivo: 

La primera fase del proceso de admisión es la identificación del tipo de dispositivo, puesto que el resto de las acciones a tomar dependerán de sus características (no se puede pedir a un dispositivo headless -p.e. una cámara- que se autentique).

FortiNAC usará diferentes métodos para recopilar cuanta más información mejor y así tomar una decisión más precisa:

  • Perfilado: FortiNAC puede usar hasta 18 métodos diferentes, tanto pasivos (la información que ha recabado el FortiGate que hace de default Gateway, el fingerprint DHCP…)  como activos (escaneo de puertos, fingerpint nmap, WMI, ejecución de comandos SSH/HTTPS…) para determinar qué tipo de dispositivo se está conectando, y asignarle Tags que utilizar en el resto de las fases. Normalmente usaremos este método para identificar dispositivos que no pertenezcan a nuestro parque IT.
  • Integración con Directorio Activo: Los equipos incluidos en nuestra política de DA se pueden perfilar automáticamente integrando el proceso de login en el dominio, mediante un login script (que además estará asociado al resto de fases).
  • Integración con el gestor de Endpoints: FortiNAC se puede integrar con diferentes gestores de EndPoint y MDM’s para compartir información. Así, un endpoint registrado en el gestor (p.e FortiClient EMS) pasaría a estar perfilado como “dispositivo corporativo”. Esta información puede usarse en el resto de procesos, desde la identificación al compliance.

Tras este paso, FortiNAC sabrá que el dispositivo que se está conectando es:

  • IOT/OT: Una cámara, una impresora o cualquier otro dispositivo headless sobre el que no se puedan ejecutar políticas de autenticación o verificación del cumplimiento de las políticas de seguridad. Este dispositivo queda etiquetado de acuerdo con el perfilado y quedará listo para acceder a la red, según lo que se describe en la siguiente fase.
  • IT Corporativo: Un endpoint con sistema operativo completo (Windows, Linux, MAC) que está integrado con otros sistemas (Directorio Activo, gestor de endpoints…)
  • IT no corporativo: Un endpoint con sistema operativo completo (Windows, Linux, MAC) que no pertenece a la compañía. Típicamente se trata de contratistas eventuales o invitados a la red.

2-Identificación: 

La fase de identificación verificará qué usuario se está conectando. Dependiendo de si el dispositivo es corporativo o no, la metodología de identificación cambiará:

  • IT Corporativo: La información se obtiene de la integración con los sistemas corporativos (del gestor de dispositivos, del logon script, de la integración con el agente persistente…), de la información que se obtiene de las transacciones 802.1x entre endpoint y Radius (típicamente en redes Inalámbricas que usan WPA2 Corporate), o incluso accediendo al dispositivo por recopilar por WMI.
  • IT No Corporativo: FortiNAC presenta un portal con diferentes opciones que permiten a un usuario no corporativo acceder a la red (portal de autoregistro, portal para usuarios con cuenta, acceso esponsorizado…)

Si el dispositivo ya está registrado, pasará a la siguiente fase. En caso contrario será necesario refistrarlo. Este registro puede ser:

–       Manual: Configuración típica en la autorización de dispositivos headless. Un administrador tiene que aprobar el registro y por tanto el primer acceso del dispositivo. Una vez registrado, siempre que llegue a esta fase (por ejemplo, si se mueve el equipo de ubicación o se reinicia) tendrá el acceso garantizado, conforme a las políticas que se le apliquen.

–       Automático: En equipos IT o equipos headless que se han perfilado con la suficiente precisión, se puede configurar el registro automático del dispositivo: La primera vez que acceden a la red son registrados sin intervención de ningún administrador.

Al final de esta fase, el dispositivo estará registrado y asociado al usuario, si lo hubiera.

3-Verificación de Compliance

FortiNAC puede verificar que el equipo cumple las políticas corporativas antes o después de permitirle el acceso a la red.

FortiNAC necesita acceder al “interior” del equipo para obtener la información necesaria. Aunque en dispositivos en dominio puede obtener información mediante WMI en la fase de perfilado, el compliance propiamente dicho está asociado al despliegue de agentes o la integración con el gestor de dispositivos.

  • Endpoints Corporativos: Se puede desplegar agente persistente, usar la información recogida en el Logon script o la información del gestor de dispositivos.
  • Endpoints No Corporativos: Lo habitual es usar agente disoluble, que no requiere instalación. Cuando el nivel de acceso es mínimo (internet de cortesía) no se suele hacer ningún chequeo.

El chequeo por WMI se hace en la fase de perfilado, no en la de compliance. Cualquier perfilado se rechequea periódicamente (configurable) y si un equipo deja de cumplir los requisitos detectados al perfilaro mediante WMI (antivirus, tipo de sistema operativo…), dejaría de cumplir la política de perfilado y sería reperfilado, probablemente como dispositivo no válido. Pero desde el punto de vista de FortiNAC, esto se haría en el chequeo del perfilado.

4-Segmentación

Una vez FortiNAC sabe qué dispositivo se está conectando  y qué usuario está logado, puede tomar varias acciones de control:

  • Asignar el dispositivo a una VLAN determinada. Esta acción limita la conectividad horizontal, más aún si se despliegan soluciones de microsegmentación, como Access VLAN en fortiswitch.
  • Ejecutar comandos en el puerto, por ejemplo para configurar listas de acceso en el puerto, que limiten los movimientos laterales cuando la solución de acceso no soporte microsegmentación.
  • Enviar un tag al firewall FortiGate, asociando el dispositivo a un grupo de usuarios que puede utlizarse en las políticas de seguridad, habilitando la segmentación vertical de dispositivos, incluso cuando varios equipos estén en la misma VLAN
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *