Foro en Español

Reply
Moderator
Posts: 946
Registered: ‎07-29-2010

[Tutorial] Autorización basada en lista de MAC estática

[ Edited ]

Hola

 

Alguno de vosotros nos habéis preguntado cómo poder autorizar basados en listas de dispositivos (por MAC). En primer lugar, he de decir que esta es una petición un poco extraña, ya que la autorización se suele hacer basada en parámetros más manejables (y más fiables, porque la MAC puede ser falsificada con relativa facilidad), como grupo de directorio activo o similar.

 

No obstante, como somos conscientes de que cada red es un mundo, ahí va el cómo hacerlo.

 

En primer lugar, nos crearemos las listas de MAC estáticas que creamos necesario. A continuación muestro una captura de cómo se haría esto:

 

 

 

Una vez tengamos creadas las listas estáticas de dispositivos, podemos crear fácilmente un "Enforcemen Profile" que derive en función de si un dispositivo petenece a una u otra de las listas:

 

Aquí va el detalle de cómo crear las reglas:

Screen Shot 2014-08-06 at 18.14.46.png

 

Y aquí cómo quedaría la política:

 

Screen Shot 2014-08-06 at 18.31.28.png

 

Una vez creado el enforcement profile, bastaría con aplicarlo al servicio que consideremos oportuno.

 

Como he dicho antes, no es que recomendemos autorizar en base a listas de MAC estáticas, pero siempre es bueno saber que existe la opción. Si necesitáis algo del estilo, igual esto os viene bien.

 

Saludos!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Autorización basada en lista de MAC estática

Hola Samuel, en caso que se tenga por ejemplo un despliegue de dispositivos ya conocidos, se podría usar el profiling y crear una condición para tener al dispositivo como conocido. Posterior a ello, crear políticas de acceso para validar no solo mas, sino otros atributos del perfil, por ejemplo: El tipo o categoria del dispositivo. Así se clone la MAC, no cumpliría con las otras condiciones.

 

Saludos,

Moderator
Posts: 946
Registered: ‎07-29-2010

Re: Autorización basada en lista de MAC estática

Te has adelantado a un segundo post que tenía pensado escribir esta semana (probablemente el viernes). Si te fijas en el título pongo autorización basada en lista de MAC estática (Static Host List) y lo que tú propones tendría que tirar de una base de datos que se vaya completando de manera dinámica (Endpoints repository). Lo dicho, más detalle en los próximos días :)

 

saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Autorización basada en lista de MAC estática

Hola,

 

No hay problema. Las disculpas del caso.

 

Saludos,

Moderator
Posts: 946
Registered: ‎07-29-2010

Re: Autorización basada en lista de MAC estática

[ Edited ]

Hola Eduardo

 

Échale un vistazo al post sobre . Haciendo algo del estilo, puedes marcar tus endpoint con la clasificación que obtengas a través del profiling. La política sería algo así:

 

  1. Si no existe información de profiling > Permites entrar al dispositivo en un rol de cuarentena.
  2. Si existe información de profiling pero no existe el atributo Endpoint: OS Type > Permites el acceso y modificas el endpoint para incluir la info de profiling.
  3. Si existen tanto la información de profiling como el atributo en el endpoint > ambos tienen que ser iguales, o enviamos al equipo a una cuarentena.

Mira a ver si esto te ayuda. Alternativamente, también puedes echar un ojo a este documento que subí hace unos meses:

 

http://community.arubanetworks.com/t5/Foro-en-Espa%C3%B1ol/Tutorial-Identificaci%C3%B3n-de-dispositivos-y-prevenci%C3%B3n-de-MAC/m-p/157924/highlight/true#M18

 

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Autorización basada en lista de MAC estática

Hola Samuel:

 

Gracias por la información.

 

Saludos,

Search Airheads
Showing results for 
Search instead for 
Did you mean: