HPE Aruba Networking - Guia de integração

Este guia de integração tem como objetivo descrever as configurações recomendadas para integrar e operar dispositivos Axis em redes que usam HPE Aruba Networking. A configuração usa padrões e protocolos de segurança modernos, como IEEE 802.1X, IEEE 802.1AR, IEEE 802.1AE e HTTPS.

Estabelecer a automação adequada para integração de rede pode economizar tempo e dinheiro. Ela permite remover a complexidade desnecessária do sistema ao usar aplicativos de gerenciamento de dispositivos Axis combinados com aplicativos e a infraestrutura do HPE Aruba Networking. Abaixo estão alguns benefícios que é possível ganhar ao combinar dispositivos e software Axis com uma infraestrutura do HPE Aruba Networking:

• Minimize a complexidade do sistema removendo redes de staging de dispositivos.

• Economize custos adicionando processos de integração automatizados e gerenciamento de dispositivos.

• Aproveite os controles de segurança de rede sem toque fornecidos pelos dispositivos Axis.

• Aumente a segurança geral da rede aplicando as experiências da HPE e da Axis.

A infraestrutura de rede deve estar preparada para verificar com segurança a integridade dos dispositivos Axis antes de iniciar a configuração. Isso permite uma transição suave definida por software entre redes lógicas durante todo o processo de integração. É necessário ter conhecimento das seguintes áreas antes de fazer a configuração:

• Gerenciamento de infraestrutura de TI em rede corporativa pelo HPE Aruba Networking, incluindo switches de acesso ao HPE Aruba Networking e ao HPE Aruba Networking ClearPass Policy Manager.

• Conhecimento em técnicas modernas de controle de acesso à rede e políticas de segurança de rede.

• Conhecimento básico sobre os produtos Axis é desejável, mas é fornecido ao longo do guia.

Conecte o dispositivo Axis compatível com o Axis Edge Vault para autenticar o dispositivo na rede. O dispositivo usa o certificado de ID do dispositivo Axis IEEE 802.1AR por meio do controle de acesso à rede IEEE 802.1X para se autenticar.

Para conceder acesso à rede, o ClearPass Policy Manager verifica o ID do dispositivo Axis em conjunto com outras impressões digitais específicas do dispositivo. As informações, como endereço MAC e AXIS OS em execução, são usadas para tomar uma decisão baseada em políticas.

O dispositivo Axis é autenticado na rede usando o certificado de ID de dispositivo Axis compatível com IEEE 802.1AR.

Após a autenticação, o dispositivo Axis passa para a rede de provisionamento (VLAN201) onde o AXIS Device Manager está instalado. Com o AXIS Device Manager, é possível realizar a configuração do dispositivo, o reforço da segurança e atualizações do AXIS OS. Para concluir o provisionamento do dispositivo, novos certificados de nível de produção específicos do cliente são carregados no dispositivo para IEEE 802.1X e HTTPS.

O provisionamento do dispositivo Axis com novos certificados IEEE 802.1X aciona uma nova tentativa de autenticação. O ClearPass Policy Manager verifica os novos certificados e decide se o dispositivo Axis será ou não movido para a rede de produção.

Após a reautenticação, o dispositivo Axis passa para a rede de produção (VLAN 202). Nessa rede, o sistema de gerenciamento de vídeo (VMS) se conecta ao dispositivo Axis e começa a operar.

O ClearPass Policy Manager fornece controle de acesso à rede seguro baseado em função e dispositivo para IoT, BYOD, dispositivos corporativos, funcionários, prestadores de serviços e convidados em infraestrutura de rede com fio, sem fio e VPN de vários fornecedores.

1. Baixe a cadeia de certificados IEEE 802.1AR específica da Axis em axis.com.

2. Carregue as cadeias de certificados CA raiz e CA intermediária IEEE 802.1AR específicas da Axis no armazenamento de certificados confiáveis.

3. Ative o ClearPass Policy Manager para autenticar dispositivos Axis via IEEE 802.1X EAP-TLS.

4. Selecione EAP no campo de uso. Os certificados são usados para autenticação IEEE 802.1X EAP-TLS.

1. Adicione dispositivos de acesso à rede confiáveis, como switches de acesso do HPE Aruba Networking, ao ClearPass Policy Manager. O ClearPass Policy Manager precisa saber quais switches de acesso na rede são usados para comunicação IEEE 802.1X.

2. Use a configuração de grupo de dispositivos de rede para agrupar vários dispositivos de acesso à rede confiáveis. O agrupamento de dispositivos de acesso à rede confiáveis facilita a configuração de políticas.

3. O segredo compartilhado RADIUS precisa corresponder à configuração específica do switch IEEE 802.1X.

O dispositivo Axis pode distribuir informações específicas do dispositivo, como endereço MAC e versão do software, por meio da descoberta de rede. Use essas informações para criar, atualizar ou gerenciar uma impressão digital do dispositivo no ClearPass Policy Manager. Lá, você também pode conceder ou negar acesso com base na versão do AXIS OS.

1. Vá para Administration > Dictionaries > Device Fingerprints (Administração > Dicionários > Impressões digitais de dispositivos).

2. Selecione uma impressão digital de dispositivo existente ou crie uma nova impressão digital de dispositivo.

3. Defina as configurações de impressão digital do dispositivo.

As informações sobre a impressão digital do dispositivo coletada pelo ClearPass Manager estão na seção Endpoints.

1. Vá para Configuration > Identity > Endpoints (Configuração > Identidade > Endpoints).

2. Selecione o dispositivo que deseja visualizar.

3. Clique na guia Device Fingerprints (Impressões digitais de dispositivos).

Enforcement Profile (Perfil de imposição) é usado para permitir que o ClearPass Policy Manager atribua um ID de VLAN específico a uma porta de acesso no switch. É uma decisão baseada em políticas que se aplica aos dispositivos de rede nos “switches” do grupo de dispositivos. O número necessário de perfis de imposição depende do número de VLANs utilizadas. Na nossa configuração, há um total de três VLANs (VLAN 201, 202, 203), que se correlacionam com três perfis de imposição.

Depois que os perfis de imposição da VLAN forem configurados, a política de imposição real poderá ser configurada. A configuração da política de imposição no ClearPass Policy Manager define se os dispositivos Axis recebem acesso às redes que usam HPE Aruba Networking com base em quatro exemplos de perfis de política.

As quatro políticas de imposição e suas ações estão listadas abaixo:

Acesso à rede negado

O acesso à rede é negado quando nenhuma autenticação de controle de acesso à rede IEEE 802.1X é executada.

Rede de convidados (VLAN 203)

O dispositivo Axis terá acesso a uma rede limitada e isolada se a autenticação de controle de acesso à rede IEEE 802.1X falhar. A inspeção manual do dispositivo é necessária para tomar as ações apropriadas.

Rede de provisionamento (VLAN 201)

O dispositivo Axis recebe acesso a uma rede de provisionamento. O objetivo é fornecer recursos de gerenciamento de dispositivos Axis via AXIS Device Manager e AXIS Device Manager Extend. Isso também permite configurar dispositivos Axis com atualizações do AXIS OS, certificados de nível de produção e outras configurações. As seguintes condições são verificadas pelo ClearPass Policy Manager:

• A versão do AXIS OS do dispositivo Axis.

• O endereço MAC do dispositivo faz a correspondência entre o esquema de endereços MAC da Axis específico do fornecedor e o atributo de número de série do certificado de ID do dispositivo Axis.

• O certificado de ID do dispositivo Axis é verificável e corresponde aos atributos específicos da Axis, como emissor, organização, local e país.

Rede de produção (VLAN 202)

O dispositivo Axis recebe acesso à rede de produção onde deve operar. O acesso é concedido após a conclusão do provisionamento do dispositivo de dentro da rede de provisionamento (VLAN 201). As seguintes condições são verificadas pelo ClearPass Policy Manager:

• O endereço MAC do dispositivo faz a correspondência entre o esquema de endereços MAC da Axis específico do fornecedor e o atributo de número de série do certificado de ID do dispositivo Axis.

• A versão do AXIS OS do dispositivo Axis.

• O certificado de nível de produção pode ser verificado pelo armazenamento de certificados confiável.

A forma como um dispositivo Axis tenta se autenticar na rede é definida no método de autenticação. O método preferido de autenticação deve ser IEEE 802.1X EAP-TLS, já que os dispositivos Axis com suporte a Axis Edge Vault são fornecidos com IEEE 802.1X EAP-TLS ativado por padrão.

Na página Services (Serviços), as etapas de configuração são combinadas em um único serviço, que lida com a autenticação e a autorização de dispositivos Axis em redes que usam HPE Aruba Networking.

Os dispositivos Axis são conectados diretamente a switches de acesso compatíveis com PoE ou por meio de midspans Axis PoE compatíveis. Para integrar dispositivos Axis com segurança às redes que usam HPE Aruba Networking, o switch de acesso precisa ser configurado para comunicação IEEE 802.1X. O dispositivo Axis retransmite a comunicação EAP-TLS IEEE 802.1x para o ClearPass Policy Manager, que atua como um servidor RADIUS.

Consulte o exemplo abaixo de configuração global e de porta para switches de acesso do HPE Aruba Networking.

radius-server host MyRADIUSIPAddress key "MyRADIUSKey"

aaa authentication port-access eap-radius
aaa port-access authenticator 18-19
aaa port-access authenticator 18 reauth-period 300
aaa port-access authenticator 19 reauth-period 300
aaa port-access authenticator active

Os dispositivos Axis compatíveis com o Axis Edge Vault são fabricados com uma identidade de dispositivo segura chamada ID de dispositivo Axis. O ID do dispositivo Axis é baseado no padrão internacional IEEE 802.1AR, que define um método para identificação automatizada e segura de dispositivos e integração de rede por meio do IEEE 802.1X.

O armazenamento de chaves seguro protegido por hardware fornecido por um elemento seguro do dispositivo Axis é fornecido de fábrica com um certificado exclusivo do dispositivo e chaves correspondentes (ID do dispositivo Axis) que podem comprovar globalmente a autenticidade do dispositivo Axis. O Seletor de produtos Axis pode ser usado para identificar quais dispositivos Axis oferecem suporte ao Axis Edge Vault e ao ID de dispositivo Axis.

O certificado de ID de dispositivo Axis compatível com IEEE 802.1AR inclui informações sobre o número de série e outras informações específicas do fornecedor Axis. As informações são usadas pelo ClearPass Policy Manager para fins de análise e tomada de decisões de concessão de acesso à rede. Consulte as informações abaixo que podem ser obtidas em um certificado de ID de dispositivo Axis

O nome comum é construído por uma combinação do nome da empresa Axis e o número de série do dispositivo seguido pelo algoritmo de criptografia (ECC P256, RSA 2048, RSA 4096) usado. Começando no AXIS OS 10.1 (2020-09), o IEEE 802.1X é habilitado por padrão com o ID do dispositivo Axis pré-configurado. Isso permite que o dispositivo Axis se autentique em redes habilitadas para IEEE 802.1X.

O AXIS Device Manager e o AXIS Device Manager Extend podem ser usados na rede para configurar e gerenciar vários dispositivos Axis de maneira econômica. O AXIS Device Manager é um aplicativo baseado em Microsoft Windows® que pode ser instalado localmente em uma máquina na rede, enquanto o AXIS Device Manager Extend depende da infraestrutura em nuvem para fazer o gerenciamento de dispositivos em vários locais. Ambos oferecem recursos fáceis de gerenciamento e configuração para dispositivos Axis, como:

• Instalação das atualizações do AXIS OS.

• Aplicação de configurações de segurança cibernética, como certificados HTTPS e IEEE 802.1X.

• Configuração de opções específicas do dispositivo, como configurações de imagens e outras.

O IEEE 802.1AE MACsec (Media Access Control Security) é um protocolo de rede bem definido que protege criptograficamente links Ethernet ponto a ponto na camada de rede 2. Ele garante a confidencialidade e integridade das transmissões de dados entre dois hosts.

O padrão IEEE 802.1AE MACsec descreve dois modos de operação:

• Modo de chave pré-compartilhada configurável manualmente/modo CAK estático

• Modo de sessão principal automática/CAK dinâmico usando IEEE802.1X EAP-TLS

No AXIS OS 10.1 (2020-09) e posteriores, o IEEE802.1X é habilitado por padrão para dispositivos compatíveis com ID do dispositivo Axis. No AXIS OS 11.8 e posterior, oferecemos suporte a MACsec com modo dinâmico automático usando IEEE802.1X EAP-TLS habilitado por padrão. Ao conectar um dispositivo Axis com valores padrão de fábrica, a autenticação de rede IEEE802.1X é executada e, quando bem-sucedida, o modo MACsec Dynamic CAK também é tentado.

O ID do dispositivo Axis armazenado com segurança (1), uma identidade de dispositivo segura compatível com IEEE 802.1AR, é usado para autenticação na rede (4, 5) via controle de acesso à rede baseado em porta EAP-TLS IEEE 802.1X (2). Por meio da sessão EAP-TLS, as chaves MACsec são trocadas automaticamente para configurar um link seguro (3), protegendo todo o tráfego de rede do dispositivo Axis para o switch de acesso do HPE Aruba Networking.

O MACsec IEEE 802.1AE requer preparações de configuração do switch de acesso do HPE Aruba Networking e do ClearPass Policy Manager. Nenhuma configuração é necessária no dispositivo Axis para permitir a comunicação criptografada IEEE 802.1AE MACsec via EAP-TLS.

Se o switch de acesso do HPE Aruba Networking não comporta o MACsec usando EAP-TLS, o modo de chave pré-compartilhada poderá ser usado e configurado manualmente.

Por padrão, os dispositivos Axis usam o formato de identidade EAP "axis-número_de_série". O número de série de um dispositivo Axis é o seu endereço MAC. Por exemplo, "axis-b8a44f45b4e6".

Além da configuração de integração segura descrita em Switch de acesso do HPE Aruba Networking, consulte o exemplo de configuração de porta abaixo do switch de acesso do HPE Aruba Networking para configurar o MACsec IEEE 802.1AE.

macsec policy macsec-eap
cipher-suite gcm-aes-128

port-access role AxisDevice
associate macsec-policy macsec-eap
auth-mode client-mode

aaa authentication port-access dot1x authenticator
macsec
mkacak-length 16
enable

Você pode usar o MAC Authentication Bypass (MAB) para integrar dispositivos Axis que não são compatíveis com a integração do IEEE 802.1AR com o certificado de ID do dispositivo Axis e IEEE 802.1X ativado no estado padrão de fábrica. Se a integração do 802.1X falhar, o ClearPass Policy Manager validará o endereço MAC do dispositivo Axis e concederá acesso à rede.

O MAB requer preparações de configuração do switch de acesso e do ClearPass Policy Manager. No dispositivo Axis, nenhuma configuração é necessária para permitir a integração do MAB.

A configuração da política de imposição no ClearPass Policy Manager define se os dispositivos Axis recebem acesso às redes que usam HPE Aruba Networking com base nos dois exemplos de condições de política a seguir.

Acesso à rede negado

Quando o dispositivo Axis não atende à política de imposição configurada, seu acesso à rede é negado.

Rede de convidados (VLAN 203)

O dispositivo Axis terá acesso a uma rede limitada e isolada se as seguintes condições forem atendidas:

• É um dia de semana entre segunda e sexta-feira

• É um horário entre 9h e 17h

• O fornecedor do endereço MAC corresponde à Axis Communications.

Como os endereços MAC podem ser falsificados, acesso à rede de provisionamento regular não é concedido. Recomendamos usar o MAB apenas para a integração inicial e para inspecionar manualmente o dispositivo em mais detalhes.

Na página Sources (Fontes), uma nova fonte de autenticação é criada para permitir apenas endereços MAC importados manualmente.

Na página Services (Serviços), as etapas de configuração são combinadas em um único serviço, que lida com a autenticação e a autorização de dispositivos Axis em redes que usam HPE Aruba Networking.

A Axis Communications usa os seguintes OUIs de endereço MAC:

• B8:A4:4F:XX:XX:XX

• AA:C8:3E:XX:XX:XX

• 00:40:8C:XX:XX:XX

Além da configuração de integração segura descrita em Switch de acesso do HPE Aruba Networking, consulte o exemplo de configuração de porta abaixo para o switch de acesso do HPE Aruba Networking para permitir MAB.

aaa port-access authenticator 18 tx-period 5
aaa port-access authenticator 19 tx-period 5
aaa port-access authenticator 18 max-requests 3
aaa port-access authenticator 19 max-requests 3
aaa port-access authenticator 18 client-limit 1
aaa port-access authenticator 19 client-limit 1
aaa port-access mac-based 18-19
aaa port-access 18 auth-order authenticator mac-based
aaa port-access 19 auth-order authenticator mac-based
aaa port-access 18 auth-priority authenticator mac-based
aaa port-access 19 auth-priority authenticator mac-based