HPE Aruba Networking - Guía de integración

Esta guía de integración tiene como objetivo describir la configuración de mejores prácticas sobre cómo integrar y operar dispositivos Axis en redes de HPE Aruba Networking. La configuración utiliza estándares y protocolos de seguridad modernos, como IEEE 802.1X, IEEE 802.1AR, IEEE 802.1AE y HTTPS.

Establecer una automatización adecuada para la integración de la red puede ahorrar tiempo y dinero. Permite eliminar la complejidad innecesaria del sistema cuando se utilizan aplicaciones de gestión de dispositivos de Axis combinadas con la infraestructura y las aplicaciones de HPE Aruba Networking. A continuación se detallan algunos de los beneficios que se pueden obtener al combinar dispositivos y software de Axis con una infraestructura de HPE Aruba Networking:

• Minimice la complejidad del sistema eliminando las redes provisionales de dispositivos.

• Ahorre costes agregando procesos de incorporación y gestión de dispositivos automatizados.

• Aproveche los controles de seguridad de red sin intervención proporcionados por los dispositivos Axis.

• Aumente la seguridad general de la red aplicando la experiencia de HPE y Axis.

La infraestructura de red debe estar preparada para verificar de forma segura la integridad de los dispositivos Axis antes de comenzar la configuración. Esto permite una transición fluida definida por software entre redes lógicas durante todo el proceso de incorporación. Es necesario tener conocimientos sobre las siguientes áreas antes de realizar la configuración:

• Gestión de infraestructuras de TI de redes empresariales de HPE Aruba Networking, incluidos los switches de acceso de HPE Aruba Networking y el gestor de políticas ClearPass de HPE Aruba Networking.

• Experiencia en técnicas modernas de control de acceso a redes y políticas de seguridad de redes.

• Es deseable tener conocimientos básicos sobre los productos de Axis, pero se proporcionan a lo largo de la guía.

Conecte el dispositivo Axis compatible con Axis Edge Vault para autenticar el dispositivo en la red. El dispositivo utiliza el certificado de identificación del dispositivo IEEE 802.1AR Axis a través del control de acceso a la red IEEE 802.1X para autenticarse.

Para otorgar acceso a la red, ClearPass Policy Manager verifica el ID del dispositivo Axis junto con otras huellas digitales específicas del dispositivo. La información, como la dirección MAC y el AXIS OS en ejecución, se utiliza para tomar una decisión basada en políticas.

El dispositivo Axis se autentica en la red utilizando el certificado de ID de dispositivo Axis compatible con IEEE 802.1AR.

1. ID de dispositivo de AXIS
2. Autenticación de red IEEE 802.1x EAP-TLS
3. Interruptor de acceso (autenticador)
4. ClearPass Policy Manager

Después de la autenticación, el dispositivo Axis se traslada a la red de aprovisionamiento (VLAN201) en la que está instalado AXIS Device Manager. A través de AXIS Device Manager se pueden realizar la configuración del dispositivo, el refuerzo de la seguridad y las actualizaciones de AXIS OS. Para completar el aprovisionamiento del dispositivo, se cargan en el dispositivo nuevos certificados de producción específicos del cliente para IEEE 802.1X y HTTPS.

1. Switch de acceso
2. Red de aprovisionamiento
3. ClearPass Policy Manager
4. Aplicación de gestión de dispositivos

El aprovisionamiento del dispositivo Axis con nuevos certificados IEEE 802.1X activa un nuevo intento de autenticación. ClearPass Policy Manager verifica los nuevos certificados y decide si mueve el dispositivo Axis a la red de producción o no.

1. ID de dispositivo de AXIS
2. Autenticación de red IEEE 802.1x EAP-TLS
3. Interruptor de acceso (autenticador)
4. ClearPass Policy Manager

Después de la reautenticación, el dispositivo Axis se traslada a la red de producción (VLAN 202). En esa red, el sistema de gestión de vídeo (VMS) se conecta al dispositivo Axis y empieza a funcionar.

1. Switch de acceso
2. Red de producción
3. ClearPass Policy Manager
4. Sistema de gestión de vídeo

ClearPass Policy Manager proporciona control de acceso seguro a la red basado en roles y dispositivos para IoT, BYOD, dispositivos corporativos, empleados, contratistas e invitados en infraestructura cableada, inalámbrica y VPN de múltiples proveedores.

1. Descargue la cadena de certificados IEEE 802.1AR específica de Axis desde axis.com.

2. Cargue las cadenas de certificados de CA raíz y CA intermedia IEEE 802.1AR específicas de Axis en el almacén de certificados de confianza.

3. Habilite ClearPass Policy Manager para autenticar dispositivos Axis a través de IEEE 802.1X EAP-TLS.

4. Seleccione EAP en el campo de uso. Los certificados se utilizan para la autenticación IEEE 802.1X EAP-TLS.

1. Agregue dispositivos de acceso a la red confiables, como switches de acceso de HPE Aruba Networking, al ClearPass Policy Manager. ClearPass Policy Manager necesita saber qué switches de acceso en la red se utilizan para la comunicación IEEE 802.1X.

2. Utilice la configuración del grupo de dispositivos de red para agrupar varios dispositivos de acceso a la red confiables. La agrupación de dispositivos de acceso a la red confiables permite una configuración de políticas más sencilla.

3. El secreto compartido de RADIUS debe coincidir con la configuración específica del conmutador IEEE 802.1X.

El dispositivo Axis puede distribuir información específica del dispositivo, como la dirección MAC y la versión del software, a través de la detección de red. Use esta información para crear, actualizar o gestionar huellas de dispositivo en ClearPass Policy Manager. También puede conceder o denegar el acceso en función de la versión de AXIS OS.

1. Vaya a Administration > Dictionaries > Device Fingerprints (Administración > Diccionarios > Huellas digitales del dispositivo).

2. Seleccione una huella digital de dispositivo existente o cree una nueva huella digital de dispositivo.

3. Establezca la configuración de huellas digitales del dispositivo.

La información sobre la huella digital del dispositivo recopilada por ClearPass Policy Manager se puede encontrar en la sección Puntos finales.

1. Vaya aConfiguration > Identity > Endpoints (Configuración > Identidad > Puntos finales).

2. Seleccione el dispositivo que desee ver.

3. Haga clic en la pestaña Device Fingerprints (Huellas digitales del dispositivo).

Un Enforcement Profile (Perfil de cumplimiento) se utiliza para permitir que ClearPass Policy Manager asigne una ID de VLAN específica a un puerto de acceso en el switch. Es una decisión basada en políticas que se aplica a los dispositivos de red en el grupo de dispositivos "switches". La cantidad necesaria de perfiles de cumplimiento depende de la cantidad de VLAN que se utilizan. En nuestra configuración hay un total de tres VLAN (VLAN 201, 202, 203), que se correlacionan con tres perfiles de cumplimiento.

Una vez configurados los perfiles de cumplimiento para la VLAN, se puede configurar la política de cumplimiento real. La configuración de la política de cumplimiento en ClearPass Policy Manager define si los dispositivos Axis tienen acceso a las redes de HPE Aruba Networking según cuatro perfiles de políticas de ejemplo.

Las cuatro políticas de cumplimiento y sus acciones se enumeran a continuación:

Acceso denegado a la red

Se deniega el acceso a la red cuando no se realiza la autenticación de control de acceso a la red IEEE 802.1X.

Red de invitados (VLAN 203)

Al dispositivo Axis se le concede acceso a una red limitada y aislada si falla la autenticación de control de acceso a la red IEEE 802.1X. Es necesaria una inspección manual del dispositivo para tomar las medidas adecuadas.

Red de aprovisionamiento (VLAN 201)

El dispositivo Axis tiene acceso a una red de aprovisionamiento. Esto es para proporcionar capacidades de administración de dispositivos de Axis a través de AXIS Device Manager y AXIS Device Manager Extend. También permite configurar dispositivos Axis con actualizaciones de AXIS OS, certificados de nivel de producción y otras configuraciones. ClearPass Policy Manager verifica las siguientes condiciones:

• La versión de AXIS OS del dispositivo Axis.

• La dirección MAC del dispositivo coincide con el esquema de dirección MAC de Axis específico del proveedor con el atributo de número de serie del certificado de ID del dispositivo de Axis.

• El certificado de ID del dispositivo de Axis es verificable y coincide con los atributos específicos de Axis, como emisor, organización, ubicación y país.

Red de producción (VLAN 202)

El dispositivo Axis recibe acceso a la red de producción en la que debe funcionar. El acceso se concede cuando finaliza el aprovisionamiento del dispositivo desde la red de aprovisionamiento (VLAN 201). ClearPass Policy Manager verifica las siguientes condiciones:

• La dirección MAC del dispositivo coincide con el esquema de dirección MAC de Axis específico del proveedor con el atributo de número de serie del certificado de ID del dispositivo de Axis.

• La versión de AXIS OS del dispositivo Axis.

• El certificado de grado de producción es verificable por el almacén de certificados de confianza.

En el método de autenticación se define cómo un dispositivo Axis intenta autenticarse en la red. El método de autenticación preferido debe ser IEEE 802.1X EAP-TLS, ya que los dispositivos Axis compatibles con Axis Edge Vault cuentan con IEEE 802.1X EAP-TLS habilitado de forma predeterminada.

En la página Services (Servicios), los pasos de configuración se combinan en un solo servicio que maneja la autenticación y autorización de los dispositivos Axis en las redes de HPE Aruba Networking.

Los dispositivos Axis se conectan directamente a switches de acceso con capacidad PoE o mediante midspans PoE de Axis compatibles. Para integrar de forma segura dispositivos Axis a las redes de HPE Aruba Networking, el switch de acceso debe configurarse para la comunicación IEEE 802.1X. El dispositivo Axis transmite la comunicación IEEE 802.1x EAP-TLS a ClearPass Policy Manager, que actúa como servidor RADIUS.

Consulte el siguiente ejemplo de configuración global y de puertos para switches de acceso de HPE Aruba Networking.

radius-server host MyRADIUSIPAddress key "MyRADIUSKey"

aaa authentication port-access eap-radius
aaa port-access authenticator 18-19
aaa port-access authenticator 18 reauth-period 300
aaa port-access authenticator 19 reauth-period 300
aaa port-access authenticator active

Los dispositivos Axis compatibles con Axis Edge Vault se fabrican con una identidad de dispositivo segura, llamada ID de dispositivo de Axis. La identificación del dispositivo Axis se basa en el estándar internacional IEEE 802.1AR, que define un método para la identificación de dispositivos segura y automatizada y la incorporación de redes a través de IEEE 802.1X.

1. Infraestructura de claves de identificación de dispositivos (PKI) de Axis
2. ID de dispositivo de AXIS

El almacén de claves seguro protegido por hardware proporcionado por un elemento seguro del dispositivo Axis se suministra de fábrica con un certificado exclusivo del dispositivo y las claves correspondientes (ID del dispositivo Axis) que pueden probar globalmente la autenticidad del dispositivo Axis. Axis Product Selector se puede utilizar para saber qué dispositivos Axis son compatibles con Axis Edge Vault y el ID de dispositivo Axis.

El certificado de identificación del dispositivo Axis compatible con IEEE 802.1AR incluye información sobre el número de serie y otra información específica del proveedor de Axis. La información es utilizada por ClearPass Policy Manager para análisis y toma de decisiones para otorgar acceso a la red. Consulte la siguiente información que se puede obtener de un certificado de identificación de dispositivo de Axis.

El nombre común se construye mediante una combinación del nombre de la empresa Axis, el número de serie del dispositivo seguido del algoritmo criptográfico (ECC P256, RSA 2048, RSA 4096) utilizado. Desde AXIS OS 10.1 (2020-09), IEEE 802.1X está habilitado de forma predeterminada con el ID del dispositivo Axis preconfigurado. Esto permite que el dispositivo Axis se autentique en redes habilitadas para IEEE 802.1X.

AXIS Device Manager y AXIS Device Manager Extend se pueden utilizar en la red para configurar y gestionar varios dispositivos Axis de forma rentable AXIS Device Manager es una aplicación basada en Microsoft Windows® que se puede instalar localmente en una máquina de la red, mientras que AXIS Device Manager Extend se basa en la infraestructura en la nube para realizar la gestión de dispositivos en múltiples instalaciones. Ambos ofrecen capacidades sencillas de administración y configuración para dispositivos Axis como:

• Instalación de actualizaciones de AXIS SO.

• Aplicar configuración de ciberseguridad como certificados HTTPS e IEEE 802.1X.

• Configuración de ajustes específicos del dispositivo, como ajustes de imágenes y otros.

IEEE 802.1AE MACsec (Media Access Control Security) es un protocolo de red bien definido que protege criptográficamente los enlaces Ethernet punto a punto en la capa de red 2. Garantiza la confidencialidad y la integridad de las transmisiones de datos entre dos hosts.

El estándar IEEE 802.1AE MACsec describe dos modos de funcionamiento:

• Modo CAK estático/clave precompartida configurable manualmente

• Sesión maestra automática/modo CAK dinámico usando IEEE 802.1X EAP-TLS

En AXIS OS 10.1 (2020-09) y posteriores, IEEE 802.1X está habilitado de forma predeterminada para dispositivos que son compatibles con el ID de dispositivo de Axis. In AXIS OS 11.8 y posteriores, admitimos MACsec con modo dinámico automático usando IEEE 802.1X EAP-TLS habilitado de forma predeterminada. Cuando conecta un dispositivo Axis con los valores predeterminados de fábrica, se realiza la autenticación de la red IEEE 802.1X y si tiene éxito, también se prueba el modo MACsec Dynamic CAK.

El ID del dispositivo Axis almacenado de forma segura (1), una identidad de dispositivo segura compatible con IEEE 802.1AR, se utiliza para autenticarse en la red (4, 5) a través de Control de acceso a la red basado en puertos IEEE 802.1X EAP-TLS (2). A través de la sesión EAP-TLS, las claves MACsec se intercambian automáticamente para configurar un enlace seguro (3), protegiendo todo el tráfico de red desde el dispositivo Axis hasta el switch de acceso de HPE Aruba Networking.

IEEE 802.1AE MACsec requiere preparar la configuración del switch de acceso de HPE Aruba Networking y de ClearPass Policy Manager. No se requiere ninguna configuración en el dispositivo Axis para permitir la comunicación cifrada con IEEE 802.1AE MACsec a través de EAP-TLS.

Si el switch de acceso de HPE Aruba Networking no admite MACsec mediante EAP-TLS, se puede utilizar y configurar manualmente el modo de clave precompartida.

De forma predeterminada, los dispositivos Axis utilizan el formato de identidad EAP "número de serie de Axis". El número de serie de un dispositivo Axis es su dirección MAC. Por ejemplo "axis-b8a44f45b4e6".

Además de la configuración de integración segura descrita en Switch de acceso de HPE Aruba Networking, consulte el siguiente ejemplo de configuración de puerto para que el switch de acceso de HPE Aruba Networking configure IEEE 802.1AE MACsec.

macsec policy macsec-eap
cipher-suite gcm-aes-128

port-access role AxisDevice
associate macsec-policy macsec-eap
auth-mode client-mode

aaa authentication port-access dot1x authenticator
macsec
mkacak-length 16
enable

Puede utilizar MAC Authentication Bypass (MAB) para incorporar dispositivos Axis que no admitan la incorporación de IEEE 802.1AR con el certificado de identificación del dispositivo de Axis y IEEE 802.1X habilitado en el estado predeterminado de fábrica. Si falla la integración de 802.1X, ClearPass Policy Manager valida la dirección MAC del dispositivo Axis y otorga acceso a la red.

MAB requiere preparaciones de configuración del switch de acceso y de ClearPass Policy Manager. En el dispositivo Axis, no se requiere ninguna configuración para permitir la incorporación de MAB.

La configuración de la política de cumplimiento en Aruba ClearPass Policy Manager define si los dispositivos Axis tienen acceso a las redes de HPE Aruba Networking según las siguientes dos condiciones de política de ejemplo.

Acceso denegado a la red

Cuando el dispositivo Axis no cumple con la política de aplicación configurada, se le niega el acceso a la red.

Red de invitados (VLAN 203)

Al dispositivo Axis se le concede acceso a una red aislada y limitada si se cumplen las siguientes condiciones:

• Es un día laborable entre lunes y viernes.

• Es entre las 09:00 y las 17:00.

• El proveedor de la dirección MAC coincide con Axis Communications.

Dado que las direcciones MAC pueden falsificarse, no se concede acceso a la red de aprovisionamiento habitual. Le recomendamos que utilice MAB solo para la incorporación inicial y para inspeccionar más a fondo el dispositivo manualmente.

En la página Sources (Fuentes), se crea una nueva fuente de autenticación para permitir solo direcciones MAC importadas manualmente.

En la página Services (Servicios), los pasos de configuración se combinan en un solo servicio que maneja la autenticación y autorización de los dispositivos Axis en las redes de HPE Aruba Networking.

Axis Communications utiliza las siguientes OUI de direcciones MAC:

• B8:A4:4F:XX:XX:XX

• AA:C8:3E:XX:XX:XX

• 00:40:8C:XX:XX:XX

Además de la configuración de integración segura descrita en Switch de acceso de HPE Aruba Networking, consulte el siguiente ejemplo de configuración de puerto para que el switch de acceso de HPE Aruba Networking permita MAB.

aaa port-access authenticator 18 tx-period 5
aaa port-access authenticator 19 tx-period 5
aaa port-access authenticator 18 max-requests 3
aaa port-access authenticator 19 max-requests 3
aaa port-access authenticator 18 client-limit 1
aaa port-access authenticator 19 client-limit 1
aaa port-access mac-based 18-19
aaa port-access 18 auth-order authenticator mac-based
aaa port-access 19 auth-order authenticator mac-based
aaa port-access 18 auth-priority authenticator mac-based
aaa port-access 19 auth-priority authenticator mac-based