Foro en Español

Reply
Aruba Employee
Posts: 18
Registered: ‎10-17-2013

[Tutorial] Instant - Supervivencia EAP-TLS

Uno de los temas que cada día es más crítico es la disponibilidad de las redes wireless. Uno de los puntos clave para poder incrementar esta disponibilidad es la conectividad con el servidor RADIUS que realiza la autenticación de los usuarios, si no hay conectividad con el servidor no pueden autenticarse nuevos dispositivos en la red.

En entornos distribuidos donde tengo varias localizaciones con clusters de Instant y donde utilizo una conectividad WAN (pública o privada) para realizar las autenticaciones contra un servidor RADIUS central, es importante poder disponer de mecanismos de supervivencia que me permitan, en caso de caída de la WAN, poder autenticar nuevas conexiones.

Por ello, la solución Instant incorpora la funcionalidad de supervivencia para EAP-TLS (con certificados) que permite que dispositivos que se han autenticado previamente, en las últimas xx horas (máximo de 99h), se puedan autenticar contra el servidor radius local de Instant en el caso de no conectividad con el servidor radius central.

 

CONFIGURACIÓN:

 

Consideraciones varias:

  • Aunque los ejemplos de configuración se han realizado con ClearPass esta funcionalidad puede utilizarse con cualquier servidor RADIUS. 
  • Es necesario que el dispositivo se haya autenticado previamente contra el servidor RADIUS para que Instant pueda guardar las credenciales. Estas credenciales se guardan un máximo de 99 horas (cache timeout) desde la ultima autenticación del dispositivo.
  • Cuando Instant es el que valida el certificado de usuario no se realiza ningún mecanismo de comprobación de validez del mismo (no OCSP, no CRL).
  • Utilizar versión mínima de Instant 4.1.1.3.

Para poder habilitar esta funcionalidad hay que realizar dos pasos:

  • Habilitar la funcionalidad en la configuración de la seguridad del SSID

Instant.png

      El parámetro Cache timeout hace referencia a durante cuantas horas, desde la última autenticación contra el servidor radius, se guardarán las credenciales de un dispositivo para que en el caso de que no haya conectividad contra el servidor sea el propio Instant quien valide el certificado. 

  • Cargar los certificados de CA y Server RADIUS en Instant. Para que Instant pueda validar el certificado del dispositivo y que el dispositivo confíe en el certificado presentado por Instant es necesario cargar el certificado públicos de la CA y los certificados públicos y privados del servidor RADIUS. Primero exportaremos los certificados de ClearPass, el de la CA desde ClearPass Guest y los del servidor RADIUS desde ClearPass Policy Manager:

      Certificado de CA:

 ca1.png

ca2.png

      Certificado de Servidor RADIUS:

 rs.png

      En el caso del certificado del servidor se obtiene un zip donde estará la clave pública y privada. Para poder subirlo a Instant necesitamos unirlos en un único fichero .pem donde copiaremos primero el contenido del fichero .pkey (clave privada) y a continuación todo el contenido del fichero .crt (clave pública). Hay que tener en cuenta que si la clave privada esta cifrada (la clave empieza con -----BEGIN ENCRYPTED PRIVATE KEY-----) hay que utilizar el siguiente comando para disponer de la clave no cifrada:

               openssl rsa -in privkey_enc.pkey -out privkey_dec.pem

      Cuando se ejecuta este comando se pide un passphrase que es el password que se introdujo cuando se creo el CSR.

       El último paso es subir ambos certificados a Instant (Maintenance -> Certificates -> Upload New Certificates -> {CA, Auth Server})

Instant2.png

Un punto a tener en cuenta en una solución distribuida es el poder distribuir estos certificados de forma centralizada, para ello se puede utilizar Airwave siguiendo los pasos que se explican en el siguiente enlace

 

COMANDOS INSTANT:

 

Para poder comprobar el comportamiento de la solución estos son los comandos que se pueden utilizar:

  • show auth-survivability cached-info: Muestra las credenciales cacheadas y el tiempo que serán válidas

RAP-109BCN# show auth-survivability cached-info

UserName                                                  Remaining Cache-Time

--------------                                                  ---------------------------------

usuario-test                                                         4d:2h:59m:45s   

 

  • show ap debug auth-trace-buf: Muestra los eventos de autenticación, durante la supervivencia se verá que la autenticación la realiza el InternalServer.

Mar 18 10:46:26  server out-of-service  *  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/CPPM_BCN        -   -     server timeout

Mar 18 10:46:26  dot1x-timeout          *  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 4   1     station timeout

Mar 18 10:46:26  eap-id-req            <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 5   5     

Mar 18 10:46:26  eap-id-resp           ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 5   13    usuario-test

Mar 18 10:46:26  rad-req               ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 57  205   

Mar 18 10:46:26  rad-resp              <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/InternalServer  57  64    

Mar 18 10:46:26  eap-req               <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 6   6     

Mar 18 10:46:26  eap-nak               ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 6   6     

Mar 18 10:46:26  rad-req               ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/InternalServer  58  216   

Mar 18 10:46:26  rad-resp              <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/InternalServer  58  64    

[..]

Mar 18 10:46:27  eap-resp              ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 14  6     

Mar 18 10:46:27  rad-req               ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/InternalServer  66  216   

Mar 18 10:46:27  rad-accept            <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71/InternalServer  66  170   

Mar 18 10:46:27  eap-success           <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 14  4     

Mar 18 10:46:27  wpa2-key1             <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 -   117   

Mar 18 10:46:27  wpa2-key2             ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 -   117   

Mar 18 10:46:27  wpa2-key3             <-  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 -   151   

Mar 18 10:46:27  wpa2-key4             ->  d8:d1:cb:db:23:4c  6c:f3:7f:d2:de:71                 -   95    

Regular Contributor I
Posts: 192
Registered: ‎03-27-2014

Re: [Tutorial] Instant - Supervivencia EAP-TLS

Buenas Xavi,

 

Esta opción tambien se puede realizar en MBC's?

Aruba Employee
Posts: 18
Registered: ‎10-17-2013

Re: [Tutorial] Instant - Supervivencia EAP-TLS

Hola Sergio,

 

Los controllers también disponen de esta funcionalidad que se configura en:

Security > Authentication > Advanced > Survivability

 

La parte de CP es igual.

 

Salut!

Xavi

 

Moderator
Posts: 893
Registered: ‎07-29-2010

Re: [Tutorial] Instant - Supervivencia EAP-TLS

Un detalle que se le ha pasado a Xavi. La funcionalidad de auth survivability estará disponible en los controllers a partir de la versión 6.4.3.

No se lo tengáis en cuenta, en la oficina llevamos con la beta instalada desde hace meses y ya no nos acordamos de que no está disponible.

En cualquier caso, el lunes saco capturas de pantalla para que vayáis viendo cómo se configura.

Un saludo!!
Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Regular Contributor I
Posts: 192
Registered: ‎03-27-2014

Re: [Tutorial] Instant - Supervivencia EAP-TLS

Buenas,

 

Me surge una duda:

 

- En el IAP solo tengo que cargar la CA Root? o tambien hay que generar un certificado?

- Si hay que generar un certificado, como genero el CSR, no veo donde se hace.

 

Queremos implementar esta solución contra un ISE

 

 

Aruba Employee
Posts: 18
Registered: ‎10-17-2013

Re: [Tutorial] Instant - Supervivencia EAP-TLS

Hola Sergio,

 

Como comento en el post: Para que Instant pueda validar el certificado del dispositivo y que el dispositivo confíe en el certificado presentado por Instant es necesario cargar el certificado público de la CA y los certificados públicos y privados del servidor RADIUS.

Por tanto, no hay que generar ningún certificado adicional, solo cargar los que ya existen.

 

Suerte con ISE.

 

Salut!

Xavi

Moderator
Posts: 893
Registered: ‎07-29-2010

Re: [Tutorial] Instant - Supervivencia EAP-TLS

[ Edited ]

Sí, eso, suerte con ISE ;)

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: