Foro en Español

Reply
Highlighted
Moderator
Posts: 906
Registered: ‎07-29-2010

Buenas prácticas bastionado Clearpass

[ Edited ]

Hola

 

A raíz de la publicación del documento sobre bastionado en los controladores, sois bastantes los que nos habéis pedido algo similar para Clearpass. Para vuestra tranquilidad, sabed que un documento por el estilo está en camino. Ahora bien, para calmar el ansia de los impacientes he estado investigando internamente y os traigo una serie de recomendaciones para hacer más robusto vuestro Clearpass:

  • Mantened Clearpass actualizado con los parches que vayan saliendo. Esto no significa que tengáis siempre la última versión, sino que, dentro de la versión en la que estéis (por ejemplo, 6.2.y) tengáis el Clearpass parcheado al máximo. Tened en cuenta que estos parches incorporan mejoras a la seguridad y a la estabilidad de la herramienta, así que son muy recomendables.
  • Proteged el acceso a la gestión del sistema, sobre todo desde las redes de invitados. En esta entrada del foro describo este punto en más detalle.
  • Utilizad una interfaz dedicada para la gestión y communicación entre nodos del cluster, prestando los servicios "públicos" (invitados, oguard, onboard) sobre la interfaz de datos.
  • Autenticad el acceso administrativo con contraseñas fuertes. Idealmente, se debería utilizar el usuario y contraseña de dominio/LDAP para entrar a la administración de Clearpass, así siempre queda un registro de lo que ha modificado cada administrador.
  • Autenticad el acceso de operadores (por ejemplo, sponsor approval) mediante credenciales personales de Directorio Activo, LDAP o la base de datos coporativa que tengáis.
  • Proteged el acceso por ssh al Clearpass. Este acceso sólo debería poderse hacer desde la red de administradores o similar.
  • Utilizad contraseñas fuertes (y tan largas como sea posible) como "shared secret" de RADIUS. Más sobre esto en el documento de bastionado de ArubaOS.
  • Proteged el acceso a Clearpass, especialmente desde las redes de invitados, con un firewall de capa 7 (como por ejemplo el controller de Aruba) o uno que incluya IPS para poder detectar y bloquear posibles ataques.

Espero que os resulte útil, aunque sólo sea mientras se trabaja sobre el documento oficial.

 

Un saludo

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 906
Registered: ‎07-29-2010

Re: Buenas prácticas bastionado Clearpass

Hola

 

Aunque no se trate de bastionado exactamente, un compañero me ha sugerido un par de puntos adicionales:

 

  • Enviar los logs a un syslog externo para análisis.
  • Recuperar los backups periódicos en un servidor externo.
  • Evitar PEAP-MSCHAPv2 cuando no se tiene control sobre el dispositivo final. Los dispositivos móviles son especialmente poco cuidadosos con la seguridad de las credenciales y no suelen obligar a una validación de certificado de servidor (en iOS te pregunta si aceptas certificado y en Android directamente lo acepta). Esto lo que significa es que, si tu vecino se pone un router con un SSID igual que el de tu empresa, tu móvil le va a enviar tu usuario/password de dominio. Cosa que no sé a vosotros, pero a mí no me deja demasiado tranquilo...

Como siempre, se agradece cualquier comentario.

 

Salu2

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Moderator
Posts: 906
Registered: ‎07-29-2010

Re: Buenas prácticas bastionado Clearpass

[ Edited ]

En lugar de hacerme caso a mí, mejor leed la guía oficial de bastionado ;)

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: