HPE Aruba Networking - Przewodnik integracji

Niniejszy przewodnik integracji zawiera opis najlepszych rozwiązań w zakresie konfiguracji urządzeń Axis i ich obsługi w sieciach HPE Aruba Networking. Konfiguracja oparta na najlepszych praktykach wykorzystuje nowoczesne standardy zabezpieczeń i protokoły, takie jak EEE 802.1X, IEEE 802.1AR, IEEE 802.1AE i HTTPS.

Odpowiednia automatyzacja integracji sieciowej pomoże zaoszczędzić czas i pieniądze. Umożliwia pozbycie się niepotrzebnej złożoności systemu podczas korzystania z aplikacji do zarządzania urządzeniami Axis w połączeniu z infrastrukturą i aplikacjami HPE Aruba Networking. Poniżej zostały opisane niektóre korzyści płynące z łączenia urządzeń i aplikacji Axis z infrastrukturą HPE Aruba Networking:

• Minimalizowanie złożoności systemu poprzez usuwanie sieci pośredniczących urządzeń.

• Redukcja kosztów dzięki automatyzacji procesów wdrażania i zarządzania urządzeniami.

• Możliwość korzystania ze wszystkich zalet automatycznej kontroli bezpieczeństwa sieci (typu „zero-touch”) obsługiwanej przez urządzenia Axis.

• Poprawa ogólnego bezpieczeństwa sieci dzięki korzystaniu ze specjalistycznej wiedzy i doświadczeń firm HPE i Axis.

Przed rozpoczęciem konfiguracji infrastruktura sieciowa musi być przygotowana do bezpiecznej weryfikacji integralności urządzeń Axis. Umożliwi to płynne, oparte na definicjach oprogramowania przejście pomiędzy sieciami logicznymi w całym procesie wdrażania. Przed wykonaniem konfiguracji należy zapoznać się z następującymi obszarami tematycznymi:

• Zarządzanie infrastrukturą informatyczną sieci korporacyjnych HPE Aruba Networking, w tym switchami dostępowymi HPE Aruba Networking oraz oprogramowaniem HPE Aruba Networking ClearPass Policy Manager.

• Znajomość nowoczesnych technik kontroli dostępu do sieci i zasad bezpieczeństwa w sieciach.

• Cenna jest również podstawowa wiedza na temat produktów Axis, ale te informacje są zawarte w niniejszym przewodniku.

Podłącz urządzenie Axis obsługujące Axis Edge Vault, aby uwierzytelnić je w sieci. Urządzenie korzysta z certyfikatu identyfikatora urządzenia Axis IEEE 802.1AR poprzez kontrolę dostępu do sieci IEEE 802.1X w celu uwierzytelnienia.

Aby przyznać prawa dostępu do sieci, ClearPass Policy Manager weryfikuje identyfikator urządzenia Axis wraz z innymi identyfikatorami unikalnymi dla urządzenia. Informacje, takie jak adres MAC i używany system operacyjny AXIS OS, są wykorzystywane do podejmowania decyzji opartych na zasadach.

Urządzenie Axis uwierzytelnia się w sieci za pomocą certyfikatu ID urządzenia Axis zgodnego ze standardem IEEE 802.1AR.

1. ID urządzenia Axis
2. Uwierzytelnianie sieci IEEE 802.1x EAP-TLS
3. Switch dostępowy (uwierzytelniający)
4. ClearPass Policy Manager

Po uwierzytelnieniu urządzenie Axis przechodzi do sieci obsługi administracyjnej (VLAN201), w której jest zainstalowany program AXIS Device Manager. AXIS Device Manager umożliwia przeprowadzenie konfiguracji urządzenia, wzmocnienie zabezpieczeń i aktualizacje systemu operacyjnego AXIS OS. Aby zakończyć obsługę administracyjną urządzenia, na urządzenie przesyłane są nowe, specyficzne dla klienta certyfikaty klasy produkcyjnej dla IEEE 802.1X i HTTPS.

1. Switch dostępowy
2. Sieć administracyjna
3. ClearPass Policy Manager
4. Aplikacja do zarządzania urządzeniami

Udostępnienie urządzeniu Axis nowych certyfikatów IEEE 802.1X wyzwala kolejną próbę uwierzytelnienia. ClearPass Policy Manager zweryfikuje nowe certyfikaty i zdecyduje, czy przenieść urządzenie Axis do sieci produkcyjnej.

1. ID urządzenia Axis
2. Uwierzytelnianie sieci IEEE 802.1x EAP-TLS
3. Switch dostępowy (uwierzytelniający)
4. ClearPass Policy Manager

Po ponownym uwierzytelnieniu urządzenie Axis przechodzi do sieci produkcyjnej (VLAN 202). W tej sieci system zarządzania materiałem wizyjnym (VMS) łączy się z urządzeniem Axis i zaczyna działać.

1. Switch dostępowy
2. Sieciowe środowisko produkcyjne
3. ClearPass Policy Manager
4. System do zarządzania materiałem wizyjnym

ClearPass Policy Manager zapewnia opartą na rolach i urządzeniach bezpieczną kontrolę dostępu do sieci dla IoT, BYOD, urządzeń firmowych, pracowników, wykonawców i gości w ramach infrastruktury przewodowej, bezprzewodowej i VPN wielu dostawców.

1. Pobierz specyficzny dla Axis łańcuch certyfikatów IEEE 802.1AR ze strony axis.com.

2. Prześlij specyficzne dla urządzeń Axis łańcuchy certyfikatów IEEE 802.1AR głównego urzędu certyfikacji i pośredniego urzędu certyfikacji do magazynu zaufanych certyfikatów.

3. Uruchom narzędzie ClearPass Policy Manager, aby uwierzytelniać urządzenia Axis za pośrednictwem IEEE 802.1X EAP-TLS.

4. W polu użytkowania wybierz opcję EAP. Certyfikaty są używane do uwierzytelniania IEEE 802.1X EAP-TLS.

1. Dodawanie zaufanych urządzeń dostępu do sieci, takich jak switche dostępowe HPE Aruba Networking, do narzędzia ClearPass Policy Manager. Menedżer zasad ClearPass Policy Manager musi wiedzieć, które switche dostępowe w sieci są używane do komunikacji IEEE 802.1X.

2. Konfiguracja grupy urządzeń sieciowych służy do grupowania kilku zaufanych urządzeń dostępu do sieci. Grupowanie zaufanych urządzeń dostępu do sieci ułatwia konfigurację zasad.

3. Współdzielony sekret RADIUS musi być zgodny z określoną konfiguracją switcha IEEE 802.1X.

Urządzenie Axis może poprzez wykrywanie sieci dystrybuować specyficzne dla siebie informacje, takie jak adres MAC i wersja oprogramowania urządzenia. Informacje te można wykorzystywać do tworzenia i aktualizowania odcisku palca urządzenia oraz zarządzania nim w programie ClearPass Policy Manager. Można tam również przyznać dostęp lub go odmówić w zależności od wersji systemu operacyjnego AXIS OS.

1. Przejdź do menu Administration > Dictionaries > Device Fingerprints (Administracja > Słowniki > Odciski palców urządzenia).

2. Wybierz istniejący odcisk palca urządzenia lub utwórz nowy.

3. Skonfiguruj ustawienia odcisku palca urządzenia.

Informacje o odcisku palca urządzenia zebranym przez narzędzie ClearPass Policy Manager można znaleźć w sekcji Punkty końcowe.

1. Otwórz menu Configuration > Identity > Endpoints (Konfiguracja > Tożsamość > Punkty końcowe).

2. Wybierz urządzenia, które chcesz wyświetlić.

3. Kliknij kartę Device Fingerprints (Odciski palca urządzenia).

Za pomocą profilu wykonywania ClearPass Policy Manager może przypisywać określony identyfikator sieci VLAN do portu dostępu na switchu. Decyzja ta jest oparta na zasadach i ma zastosowanie do urządzeń sieciowych w grupie „switche”. Niezbędna liczba profili wykonywania zależy od liczby używanych sieci VLAN. W naszej konfiguracji znajdują się w sumie trzy sieci VLAN (VLAN 201, 202, 203), co odpowiada trzem profilom wykonywania.

Właściwe zasady wykonywania można skonfigurować po ustawieniu profili wykonywania dla sieci VLAN. Konfiguracja zasad wykonywania w ClearPass Policy Manager określa, czy urządzenia Axis uzyskują dostęp do sieci HPE Aruba Networking w oparciu o cztery przykładowe profile zasad.

Poniżej wymieniono cztery zasady wykonywania i związane z nimi działania:

Odmowa dostępu do sieci

Jeśli nie przeprowadzono uwierzytelniania kontroli dostępu do sieci w standardzie IEEE 802.1X, dostęp do sieci nie jest udzielany.

Sieć dla gości (VLAN 203)

Jeśli uwierzytelnienie kontroli dostępu IEEE 802.1X nie powiedzie się, urządzenie Axis uzyskuje dostęp do ograniczonej, odizolowanej sieci. Do podjęcia odpowiednich działań wymagana jest ręczna inspekcja urządzenia.

Sieć administracyjna (VLAN 201)

Urządzenie Axis uzyskuje dostęp do sieci administracyjnej. Ma to na celu zapewnienie możliwości zarządzania urządzeniami Axis za pomocą AXIS Device Manager i AXIS Device Manager Extend. Umożliwia to również konfigurowanie urządzeń Axis za pomocą aktualizacji systemu operacyjnego AXIS OS, certyfikatów klasy produkcyjnej i innych konfiguracji. ClearPass Policy Manager sprawdza następujące warunki:

• Wersja systemu operacyjnego AXIS OS urządzenia Axis.

• Adres MAC urządzenia jest zgodny ze schematem adresów MAC Axis specyficznym dla dostawcy z atrybutem numeru seryjnego certyfikatu identyfikacyjnego urządzenia Axis.

• Certyfikat identyfikatora urządzenia Axis jest weryfikowalny i odpowiada atrybutom specyficznym dla Axis, takim jak wydawca, organizacja, lokalizacja i kraj.

Sieć produkcyjna (VLAN 202)

Urządzenie Axis uzyskuje dostęp do sieci produkcyjnej, w której powinno działać. Dostęp zostaje przyznany po zakończeniu działań administracyjnych na urządzeniu z poziomu sieci administracyjnej (VLAN 201). ClearPass Policy Manager sprawdza następujące warunki:

• Adres MAC urządzenia jest zgodny ze schematem adresów MAC Axis specyficznym dla dostawcy z atrybutem numeru seryjnego certyfikatu identyfikacyjnego urządzenia Axis.

• Wersja systemu operacyjnego AXIS OS urządzenia Axis.

• Certyfikat klasy produkcyjnej można zweryfikować w zaufanym magazynie certyfikatów.

W metodzie uwierzytelniania określa się, w jaki sposób urządzenie Axis próbuje uwierzytelnić się w sieci. Preferowaną metodą uwierzytelniania powinna być IEEE 802.1X EAP-TLS, ponieważ urządzenia Axis z obsługą Axis Edge Vault mają domyślnie włączoną funkcję IEEE 802.1X EAP-TLS.

Na stronie Services (Usługi) kroki konfiguracji są połączone w jedną usługę, która obsługuje uwierzytelnianie i autoryzację urządzeń Axis w sieciach HPE Aruba Networking.

Urządzenia Axis są podłączane bezpośrednio do switchy dostępowych obsługujących PoE lub za pośrednictwem kompatybilnych zasilaczy midspan PoE firmy Axis. Aby bezpiecznie włączyć urządzenia Axis do sieci HPE Aruba Networking, switch dostępowy musi być skonfigurowany pod kątem obsługi komunikacji do komunikacji w standardzie IEEE 802.1X. Urządzenie Axis przekazuje komunikację w standardzie IEEE 802.1x EAP-TLS do narzędzia ClearPass Policy Manager, które pełni funkcję serwera RADIUS.

Zapoznaj się z poniższym przykładem konfiguracji globalnej i konfiguracji portów dla switchy dostępowych HPE Aruba Networking.

radius-server host MyRADIUSIPAddress key "MyRADIUSKey"

aaa authentication port-access eap-radius
aaa port-access authenticator 18-19
aaa port-access authenticator 18 reauth-period 300
aaa port-access authenticator 19 reauth-period 300
aaa port-access authenticator active

Urządzenia Axis obsługujące Axis Edge Vault są fabrycznie wyposażone w bezpieczną tożsamość urządzenia, zwaną identyfikatorem urządzenia Axis. Identyfikator urządzenia Axis jest oparty na międzynarodowym standardzie IEEE 802.1AR. Standard ten określa metodę zautomatyzowanej, bezpiecznej identyfikacji urządzeń i włączania do sieci za pośrednictwem IEEE 802.1X.

1. Infrastruktura kluczy identyfikacyjnych urządzeń Axis (PKI)
2. ID urządzenia Axis

Chroniony sprzętowo bezpieczny magazyn kluczy dostarczany przez bezpieczny element urządzenia Axis jest fabrycznie wyposażony w unikalny dla urządzenia certyfikat i odpowiednie klucze (identyfikator urządzenia Axis), które globalnie mogą potwierdzić autentyczność urządzenia Axis. Axis Product Selector może pomóc w zorientowaniu się, które urządzenia Axis obsługują Axis Edge Vault i identyfikator urządzenia Axis.

Certyfikat ID urządzenia Axis zgodny z IEEE 802.1AR zawiera informacje o numerze seryjnym i inne informacje specyficzne dla dostawcy Axis. ClearPass Policy Manager analizuje te informacje i podejmuje decyzję o przyznaniu dostępu do sieci. Poniżej przedstawiono informacje, które można uzyskać z certyfikatu identyfikacyjnego urządzenia Axis

Nazwa pospolita jest tworzona przez połączenie nazwy firmy Axis, numeru seryjnego urządzenia, a następnie używanego algorytmu kryptograficznego (ECC P256, RSA 2048, RSA 4096). Począwszy od wersji AXIS OS 10.1 (z września 2020 r.) standard IEEE 802.1X jest domyślnie włączony ze wstępnie skonfigurowanym identyfikatorem urządzenia Axis. Umożliwia to urządzeniu Axis uwierzytelnianie się w sieciach obsługujących standard IEEE 802.1X.

AXIS Device Manager i AXIS Device Manager Extend mogą być używane w sieci do konfigurowania wielu urządzeń Axis i zarządzania nimi w ekonomiczny sposób. AXIS Device Manager to aplikacja oparta na Microsoft Windows®, którą można zainstalować lokalnie na komputerze w sieci, natomiast AXIS Device Manager Extend opiera się na infrastrukturze chmurowej i służy do zarządzania urządzeniami w wielu lokalizacjach. Oba te rozwiązania zapewniają łatwe konfigurowanie urządzeń Axis (i zarządzanie nimi), takich jak:

• Instalowanie aktualizacji systemu operacyjnego AXIS OS.

• Zastosuj konfigurację cyberbezpieczeństwa, taką jak HTTPS i certyfikaty IEEE 802.1X.

• Konfiguracja ustawień specyficznych dla urządzenia, takich jak ustawienia obrazów i inne.

IEEE 802.1AE MACsec (Media Access Control Security) to dobrze zdefiniowany protokół sieciowy, który kryptograficznie zabezpiecza łącza Ethernet typu punkt-punkt w warstwie sieci 2. Zapewnia poufność i integralność transmisji danych pomiędzy dwoma hostami.

Standard IEEE 802.1AE MACsec opisuje dwa tryby działania:

• Ręcznie konfigurowany tryb klucza PSK / Static CAK

• Automatyczny tryb sesji głównej / Dynamic CAK z użyciem IEEE 802.1X EAP-TLS

W systemie AXIS OS 10.1 (2020-09) i nowszych IEEE 802.1X jest domyślnie włączony dla urządzeń zgodnych z identyfikatorem urządzenia Axis. W systemie AXIS OS 11.8 i nowszych obsługujemy MACsec przy użyciu automatycznego trybu dynamicznego za pomocą domyślnie włączonego IEEE 802.1X EAP-TLS. Po podłączeniu urządzenia Axis z domyślnymi wartościami fabrycznymi przeprowadzane jest uwierzytelnianie sieci za pomocą IEEE 802.1X, a jeśli się powiedzie, wypróbowywany jest także tryb MACsec Dynamic CAK.

Bezpiecznie przechowywany identyfikator urządzenia Axis ID (1) (tożsamość urządzenia zgodna ze standardem IEEE 802.1AR) służy do uwierzytelniania w sieci (4, 5) za pomocą kontroli dostępu do sieci IEEE 802.1X EAP-TLS w oparciu o porty (2). W trakcie całej sesji EAP-TLS automatycznie wymieniane są klucze MACsec, aby ustanowić bezpieczne połączenie (3), chroniąc cały ruch w sieci do urządzenia Axis do switcha HPE Aruba Networking.

IEEE 802.1AE MACsec wymaga przygotowań do konfiguracji switcha dostępowego HPE Aruba Networking i narzędzia ClearPass Policy Manager. Aby to umożliwić, na urządzeniu Axis nie jest wymagana żadna konfiguracja przez EAP-TLS z szyfrowaniem IEEE 802.1AE MACsec.

Jeśli switch dostępowy HPE Aruba Networking nie obsługuje szyfrowania MACsec przez EAP-TLS, można użyć trybu klucza PSK i skonfigurować ręcznie.

Domyślnie urządzenia Axis używają formatu tożsamości EAP „numer seryjny Axis”. Numer seryjny urządzenia Axis jest jednocześnie jego adresem MAC. Na przykład: „axis-b8a44f45b4e6”.

Oprócz konfiguracji bezpiecznego wdrażania opisanej w sekcji Switch dostępowy HPE Aruba Networking zapoznaj się z poniższą przykładową konfiguracją portu dla switcha dostępowego HPE Aruba Networking, aby skonfigurować IEEE 802.1AE MACsec.

macsec policy macsec-eap
cipher-suite gcm-aes-128

port-access role AxisDevice
associate macsec-policy macsec-eap
auth-mode client-mode

aaa authentication port-access dot1x authenticator
macsec
mkacak-length 16
enable

Za pomocą MAC Authentication Bypass (MAB) możesz wdrażać urządzenia Axis, które nie obsługują wdrażania IEEE 802.1AR z certyfikatem identyfikatora urządzenia Axis i włączonym IEEE 802.1X z ustawieniami fabrycznymi. Jeśli wdrożenie standardu 802.1X nie powiedzie się, ClearPass Policy Manager zweryfikuje adres MAC urządzenia Axis i przyzna mu dostęp do sieci.

MAB wymaga przygotowań do konfiguracji switcha dostępowego i narzędzia ClearPass Policy Manager. Aby umożliwić wdrożenie MAB, na urządzeniu Axis nie jest wymagana żadna konfiguracja.

Konfiguracja zasad wykonywania w ClearPass Policy Manager określa, czy urządzenia Axis uzyskują dostęp do sieci HPE Aruba Networking w oparciu o dwa przykładowe warunki zasad.

Odmowa dostępu do sieci

Gdy urządzenie Axis nie spełnia skonfigurowanych zasad wykonywania, nie otrzymuje zezwolenia na dostęp do sieci.

Sieć dla gości (VLAN 203)

Urządzenie Axis uzyska dostęp do ograniczonej, odizolowanej sieci, jeśli spełnione są następujące warunki:

• Jest dzień powszedni (od poniedziałku do piątku)

• Jest godzina od 09:00 do 17:00

• Dostawca adresu MAC jest zgodny z Axis Communications.

Ze względu na ryzyko sfałszowania adresów MAC dostęp do zwykłej sieci administracyjnej nie jest przyznawany. Zalecamy korzystanie z MAB tylko do wstępnego wdrożenia i ręczne sprawdzanie urządzenia w przyszłości.

Na stronie Sources (Źródła) tworzone jest nowe źródło uwierzytelniania, które akceptuje tylko ręcznie importowane adresy MAC.

Na stronie Services (Usługi) kroki konfiguracji są połączone w jedną usługę, która obsługuje uwierzytelnianie i autoryzację urządzeń Axis w sieciach HPE Aruba Networking.

Axis Communications korzysta z następujących adresów MAC OUI:

• B8:A4:4F:XX:XX:XX

• AA:C8:3E:XX:XX:XX

• 00:40:8C:XX:XX:XX

Oprócz konfiguracji bezpiecznego wdrażania opisanej w części Switch dostępowy HPE Aruba Networking zapoznaj się z poniższą przykładową konfiguracją portu dla switcha dostępowego HPE Aruba Networking, aby umożliwić łączność z użyciem MAB.

aaa port-access authenticator 18 tx-period 5
aaa port-access authenticator 19 tx-period 5
aaa port-access authenticator 18 max-requests 3
aaa port-access authenticator 19 max-requests 3
aaa port-access authenticator 18 client-limit 1
aaa port-access authenticator 19 client-limit 1
aaa port-access mac-based 18-19
aaa port-access 18 auth-order authenticator mac-based
aaa port-access 19 auth-order authenticator mac-based
aaa port-access 18 auth-priority authenticator mac-based
aaa port-access 19 auth-priority authenticator mac-based