HPE Aruba Networking - Integration Guide

Ce guide d'intégration vise à décrire les meilleures pratiques de configuration pour intégrer et exploiter les périphériques Axis dans les réseaux HPE Aruba Networking. La configuration s'appuie sur des normes et des protocoles tels que IEEE 802.1X, IEEE 802.1AR, IEEE 802.1AE et HTTPS.

La mise en place d'une automatisation appropriée pour l'intégration du réseau peut permettre d'économiser du temps et de l'argent. Cela permet d'éviter une complexité inutile du système lors de l'utilisation d'applications de gestion de périphériques Axis combinées à l'infrastructure et aux applications HPE Aruba Networking. Voici quelques avantages pouvant être obtenus en combinant les périphériques et logiciels Axis avec une infrastructure HPE Aruba Networking :

• Réduire la complexité système en supprimant des réseaux intermédiaires de périphériques.

• Réduire les coûts en ajoutant l'automatisation des processus d'intégration et de gestion des périphériques.

• Tirer parti des commandes de sécurité réseau sans contact fournies par les périphériques Axis.

• Accroître la sécurité globale du réseau en appliquant l'expertise de HPE et d'Axis.

L'infrastructure réseau doit être prête à vérifier en toute sécurité l'intégrité des périphériques Axis avant de commencer la configuration. Cela permet la souplesse d'une transition définie par logiciel entre les réseaux logiques tout au long du processus d'intégration. Il est nécessaire d'avoir des connaissances dans les domaines suivants avant de procéder à la configuration :

• Gestion de l'infrastructure informatique du réseau d'entreprise à partir de HPE Aruba Networking, notamment les commutateurs d'accès HPE Aruba Networking, ainsi que HPE Aruba Networking ClearPass Policy Manager.

• Expertise dans les techniques modernes de contrôle d'accès au réseau et des politiques de sécurité des réseaux.

• Des connaissances de base sur les produits Axis sont souhaitables mais sont fournies tout au long du guide.

Connectez le périphérique Axis pris en charge par Axis Edge Vault pour authentifier le périphérique sur le réseau. Le périphérique utilise le certificat d'identification du périphérique Axis IEEE 802.1AR via le contrôle d'accès au réseau IEEE 802.1X pour s'authentifier.

Pour accorder l'accès au réseau, ClearPass Policy Manager vérifie l'ID du périphérique Axis ainsi que les autres empreintes digitales spécifiques au périphérique. Les informations, telles que l'adresse MAC et l'AXIS OS en cours d'exécution, sont utilisées pour prendre une décision basée sur des politiques.

Le périphérique Axis s'authentifie auprès du réseau à l'aide du certificat d'identification de périphérique Axis conforme à la norme IEEE 802.1AR.

Après l'authentification, le périphérique Axis se déplace vers le réseau de mise en service (VLAN201) où AXIS Device Manager est installé. Depuis AXIS Device Manager, il est possible de procéder à la configuration des périphériques, au renforcement de la sécurité et aux mises à jour d'AXIS OS. Pour terminer la mise en service du périphérique, de nouveaux certificats de qualité de production spécifiques au client sont téléchargés sur le périphérique pour IEEE 802.1X et HTTPS.

La mise en service du périphérique Axis avec de nouveaux certificats IEEE 802.1X déclenche une nouvelle tentative d'authentification. ClearPass Policy Manager vérifie les nouveaux certificats et décidera de déplacer ou non le périphérique Axis dans le réseau de production.

Après la réauthentification, le périphérique Axis est déplacé vers le réseau de production (VLAN 202). Au sein de ce réseau, le système de gestion vidéo (VMS) se connecte au périphérique Axis et commence à fonctionner.

ClearPass Policy Manager fournit un contrôle d'accès réseau sécurisé basé sur les rôles et les périphériques pour l'IoT, le BYOD, les périphériques d'entreprise, les employés, les sous-traitants et les invités sur une infrastructure filaire, sans fil et VPN multifournisseur.

1. Téléchargez la chaîne de certificats IEEE 802.1AR spécifique à Axis depuis axis.com.

2. Téléchargez les chaînes de certificats CA racine et CA intermédiaire IEEE 802.1AR spécifiques à Axis dans le magasin de certificats de confiance.

3. Activez ClearPass Policy Manager pour authentifier les périphériques Axis via IEEE 802.1X EAP-TLS.

4. Sélectionnez EAP dans le champ d'utilisation. Les certificats sont utilisés pour l'authentification IEEE 802.1X EAP-TLS.

1. Ajoutez des périphériques d'accès réseau fiables, tels que des commutateurs d'accès HPE Aruba Networking, à ClearPass Policy Manager. ClearPass Policy Manager doit connaître les commutateurs d'accès du réseau qui sont utilisés pour la communication IEEE 802.1X.

2. Utilisez la configuration du groupe de périphériques réseau pour regrouper plusieurs périphériques d'accès réseau approuvés. Le regroupement des périphériques d'accès réseau de confiance permet une configuration plus facile des politiques.

3. Le secret partagé RADIUS doit correspondre à la configuration IEEE 802.1X spécifique du commutateur.

Le périphérique Axis peut distribuer des informations spécifiques au périphérique, telles que l'adresse MAC et la version du logiciel du périphérique, via la découverte réseau. Utilisez ces informations pour créer, mettre à jour ou gérer une empreinte de périphérique dans ClearPass Policy Manager. Vous pouvez également y accorder ou refuser l'accès à partir de la version d'AXIS OS.

1. Allez à Administration > Dictionnaires > Empreintes de périphérique.

2. Sélectionnez une empreinte de périphérique existante ou créez une nouvelle empreinte de périphérique.

3. Définissez les paramètres d'empreinte du périphérique.

Les informations sur l'empreinte de périphérique collectées par ClearPass Policy Manager sont disponibles dans la section Points de terminaison.

1. Allez à Configuration > Identité > Points de terminaison.

2. Sélectionnez le périphérique que vous voulez afficher.

3. Cliquez sur l'onglet Empreintes de périphérique.

Le profil d'application est utilisé pour permettre à Aruba ClearPass Policy Manager d'attribuer un ID VLAN spécifique à un port d'accès sur le commutateur. Il s'agit d'une décision basée sur des politiques qui s'applique aux périphériques réseau du groupe de périphériques « commutateurs ». Le nombre de profils d'application nécessaire dépend du nombre de réseaux VLAN. Dans notre configuration, il existe un total de trois réseaux VLAN (VLAN 201, 202, 203), qui correspondent à trois profils d'application.

Une fois les profils d'application configurés pour le réseau VLAN, la stratégie d'application réelle peut être configurée. La configuration de la politique d'application dans ClearPass Policy Manager définit si les périphériques Axis ont accès aux réseaux HPE Aruba Networking sur la base de quatre exemples de profils de politique.

Les quatre politiques d'application et leurs actions sont répertoriées ci-dessous :

Accès au réseau refusé

L'accès au réseau est refusé lorsqu'aucune authentification de contrôle d'accès au réseau IEEE 802.1X n'est effectuée.

Réseau invité (VLAN 203)

Le périphérique Axis a accès à un réseau limité et isolé si l'authentification du contrôle d'accès au réseau IEEE 802.1X échoue. Une inspection manuelle du périphérique est nécessaire pour prendre les mesures appropriées.

Réseau de mise en oeuvre (VLAN 201)

Le périphérique Axis a accès à un réseau de mise en service. Celui-ci permet de fournir des capacités de gestion des périphériques Axis via AXIS Device Manager et AXIS Device Manager Extend. Il permet également de configurer les périphériques Axis avec des mises à jour d'AXIS OS, des certificats de niveau production et d'autres configurations. Les conditions suivantes sont vérifiées par ClearPass Policy Manager :

• Version d'AXIS OS du périphérique Axis.

• L'adresse MAC du périphérique correspond au schéma d'adresse MAC Axis spécifique au fournisseur avec l'attribut de numéro de série du certificat d'identification du périphérique Axis.

• Le certificat d'ID de périphériques Axis est vérifiable et correspond aux attributs spécifiques à Axis tels que l'émetteur, l'organisation, l'emplacement et le pays.

Réseau de production (VLAN 202)

Le périphérique Axis peut accéder au réseau de production où le périphérique Axis doit fonctionner. L'accès est autorisé après la fin de la mise en service des périphériques au sein du réseau de mise en service (VLAN 201). Les conditions suivantes sont vérifiées par ClearPass Policy Manager :

• L'adresse MAC du périphérique correspond au schéma d'adresse MAC Axis spécifique au fournisseur avec l'attribut de numéro de série du certificat d'identification du périphérique Axis.

• Version d'AXIS OS du périphérique Axis.

• Le certificat de niveau production est vérifiable par le magasin de certificats de confiance.

Dans la méthode d'authentification est définie la manière dont un périphérique Axis tente de s'authentifier sur le réseau. La méthode d'authentification préférée doit être IEEE 802.1X EAP-TLS, car les périphériques Axis prenant en charge Axis Edge Vault sont livrés avec IEEE 802.1X EAP-TLS activé par défaut.

Dans la page Services page, les étapes de configuration sont regroupées dans un seul service qui gère l'authentification et l'autorisation des périphériques Axis au sein des réseaux HPE Aruba Networking.

Les périphériques Axis sont directement connectés à des commutateurs d'accès compatibles PoE, ou via des médiateurs Axis PoE compatibles. Pour intégrer en toute sécurité les périphérique Axis au sein des réseaux HPE Aruba Networking, le commutateur d'accès doit être configuré pour la communication IEEE 802.1X. Le périphérique Axis relaie la communication IEEE 802.1x EAP-TLS vers ClearPass Policy Manager qui fait office de serveur RADIUS.

Consultez ci-dessous un exemple de configuration globale et de port pour les commutateurs d'accès HPE Aruba Networking.

hôte du serveur radius Clé MyRADIUSIPAddress « MyRADIUSKey »

aaa authentication port-access eap-radius
aaa port-access authenticator 18-19
aaa port-access authenticator 18 reauth-period 300
aaa port-access authenticator 19 reauth-period 300
aaa port-access authenticator active

Les périphériques Axis avec prise en charge Axis Edge Vault sont fabriqués avec une identité de périphérique sécurisée, appelée ID de périphérique Axis. L'ID périphérique Axis repose sur la norme internationale IEEE 802.1AR, qui définit une méthode d'identification automatisée et sécurisée des périphériques et d'intégration au réseau via IEEE 802.1X.

Le magasin de clés sécurisé protégé par matériel et fourni par un élément sécurisé du périphérique Axis est mis en service en usine avec un certificat unique au périphérique et des clés correspondantes (ID de périphérique Axis) qui peuvent globalement prouver l'authenticité du périphérique Axis. Le sélecteur de produits Axis peut être utilisé pour déterminer les périphériques Axis qui prennent en charge Axis Edge Vault et l'ID de périphérique Axis.

Le certificat d'ID de périphérique Axis, conforme à la norme IEEE 802.1AR, comprend des informations sur le numéro de série et d'autres informations spécifiques au fournisseur Axis. Les informations sont utilisées par ClearPass Policy Manager à des fins d'analyse et de prise de décision pour accorder l'accès au réseau. Consultez les informations ci-dessous qui peuvent être obtenues à partir d'un certificat d'ID de périphérique Axis.

Le nom commun est créé en combinant le nom de l'entreprise Axis, le numéro de série du périphérique suivi de l'algorithme de chiffrement (ECC P256, RSA 2048, RSA 4096) utilisé. À compter d'AXIS OS 10.1 (2020-09), IEEE 802.1X est activé par défaut avec l'ID de périphérique Axis préconfiguré. Cela permet au périphérique Axis de s'authentifier sur les réseaux compatibles IEEE 802.1X.

AXIS Device Manager and AXIS Device Manager Extend peut être utilisé sur le réseau pour configurer et gérer plusieurs périphériques Axis de manière économique. AXIS Device Manager est une application basée sur Microsoft Windows® qui peut être installée localement sur une machine du réseau, tandis qu'AXIS Device Manager Extend s'appuie sur l'infrastructure cloud pour gérer les périphériques multi-sites. Les deux offrent des fonctionnalités de gestion et de configuration simples pour les périphériques Axis tels que :

• Installation des mises à jour d'AXIS OS.

• Appliquez une configuration de cybersécurité, comme des certificats HTTPS et IEEE 802.1X.

• Configuration des paramètres spécifiques aux périphériques, comme des paramètres d'images et autres.

IEEE 802.1AE MACsec (Media Access Control Security) est un protocole réseau bien défini qui sécurise cryptographiquement les liaisons Ethernet point à point sur la couche réseau 2. Il garantit la confidentialité et l'intégrité des transmissions de données entre deux hôtes.

La norme IEEE 802.1AE MACsec décrit deux modes de fonctionnement :

• Mode clé pré-partagée/CAK statique configurable manuellement

• Mode session maître automatique/CAK dynamique utilisant IEEE 802.1X EAP-TLS

Dans AXIS OS 10.1 (2020-09) et versions ultérieures, IEEE 802.1X est activé par défaut pour les périphériques compatibles avec l'ID de périphérique Axis. Dans AXIS OS 11.8 et versions ultérieures, nous prenons en charge MACsec avec le mode dynamique automatique utilisant IEEE 802.1X EAP-TLS activé par défaut. Lorsque vous connectez un périphérique Axis avec les paramètres d'usine par défaut, une authentification réseau IEEE 802.1X est effectuée et en cas de succès, le mode MACsec Dynamic CAK est également tenté.

L'ID de périphérique Axis stocké de manière sécurisée (1), identité de périphérique sécurisée conforme IEEE 802.1AR, est utilisé pour l'authentification auprès du réseau (4, 5) via le contrôle d'accès au réseau basé sur le port EAP-TLS IEEE 802.1X (2). Lors de la session EAP-TLS, les clés MACsec sont échangées automatiquement pour établir un lien sécurisé (3), protégeant tout le trafic réseau depuis le périphérique Axis vers le commutateur d'accès HPE Aruba Networking.

IEEE 802.1AE MACsec requiert à la fois un commutateur d'accès HPE Aruba Networking et des préparations de configuration ClearPass Policy Manager. Aucune configuration n'est requise sur le périphérique Axis pour permettre une communication chiffrée MACsec IEEE 802.1AE via EAP-TLS.

Si le commutateur d'accès HPE Aruba Networking ne prend pas en charge MACsec à l'aide d'EAP-TLS, le mode Clé pré-partagée peut être utilisé et configuré manuellement.

Par défaut, les périphériques Axis utilisent le format d'identité EAP « axis-serialnumber ». Le numéro de série d'un périphérique Axis est son adresse MAC. Par exemple « axis-b8a44f45b4e6".

En plus de la configuration d'intégration sécurisée décrite dans Commutateur d'accès HPE Aruba Networking, reportez-vous à l'exemple de configuration de port ci-dessous pour le commutateur d'accès HPE Aruba Networking afin de configurer IEEE 802.1AE MACsec.

macsec policy macsec-eap
cipher-suite gcm-aes-128

port-access role AxisDevice
associate macsec-policy macsec-eap
auth-mode client-mode

aaa authentication port-access dot1x authenticator
macsec
mkacak-length 16
enable

Vous pouvez utiliser MAC Authentication Bypass (MAB) pour intégrer des périphériques Axis qui ne prennent pas en charge l'intégration d'IEEE 802.1AR avec le certificat d'ID de périphérique Axis et IEEE 802.1X activé à l'état d'usine par défaut. Si l'intégration 802.1X échoue, ClearPass Policy Manager valide l'adresse MAC du périphérique Axis et accorde l'accès au réseau.

MAB requiert à la fois un commutateur d'accès et des préparations de configuration ClearPass Policy Manager. Sur le périphérique Axis, aucune configuration n'est requise pour permettre l'intégration de MAB.

La configuration de la politique d'application dans ClearPass Policy Manager définit si les périphériques Axis ont accès aux réseaux HPE Aruba Networking sur la base des deux exemples de conditions de politique ci-après.

Accès au réseau refusé

Lorsque le périphérique Axis ne respecte pas la stratégie d'application configurée, l'accès au réseau lui est refusé.

Réseau invité (VLAN 203)

Le périphérique Axis a accès à un réseau limité et isolé si les conditions suivantes sont remplies :

• C'est un jour de semaine entre lundi et vendredi

• Il est entre 9h00 et 17h00

• Le fournisseur d'adresse MAC correspond à Axis Communications.

Étant donné que les adresses MAC peuvent être usurpées, l'accès au réseau de mise en service habituel n'est pas accordé. Nous vous recommandons d'utiliser MAB uniquement pour l'intégration initiale et d'inspecter manuellement le périphérique plus en détail.

Dans la page Sources, une nouvelle source d'authentification est créée pour autoriser uniquement les adresses MAC importées manuellement.

Dans la page Services page, les étapes de configuration sont regroupées dans un seul service qui gère l'authentification et l'autorisation des périphériques Axis au sein des réseaux HPE Aruba Networking.

Axis Communications utilise les OUI d'adresse MAC suivantes :

• B8:A4:4F:XX:XX:XX

• AA:C8:3E:XX:XX:XX

• 00:40:8C:XX:XX:XX

Outre la configuration d'intégration sécurisée décrite dans Commutateur d'accès HPE Aruba Networking, reportez-vous à l'exemple de configuration de port ci-dessous pour le commutateur d'accès HPE Aruba Networking afin d'autoriser MAB.

aaa port-access authenticator 18 tx-period 5
aaa port-access authenticator 19 tx-period 5
aaa port-access authenticator 18 max-requests 3
aaa port-access authenticator 19 max-requests 3
aaa port-access authenticator 18 client-limit 1
aaa port-access authenticator 19 client-limit 1
aaa port-access mac-based 18-19
aaa port-access 18 auth-order authenticator mac-based
aaa port-access 19 auth-order authenticator mac-based
aaa port-access 18 auth-priority authenticator mac-based
aaa port-access 19 auth-priority authenticator mac-based