Assista a gravação Baixe a apresentação Faça mais perguntas

Veja aqui todas as perguntas feitas e respondidas ao vivo durante o evento realizado dia 4 de setembro de 2019. Todas as perguntas feitas que não puderam ser respondidas por questão de tempo se encontram publicadas nesse link y serão respondidos máximo até 13 de setembro. Aproveite para fazer mais perguntas nesse mesmo link.

Especialista convidado

Luis Matos é Arquiteto de Soluções da área de serviços avançados, atua há 20 anos na área de segurança. Especialista em soluções complexas de Datacenter, Backbones Internet/MPLS e Segurança para o segmento de operadorasde telecomunicações, grandes bancos e aeroportos. Possui certificações técnicas da área de redes, dentre elas: PENTA CCIE (Routing & Switching, Service Provider, Security, Voice, Data Center), CCNA, CCDA, CCNP, DCNIS, CCDP, MCP, MCP+INTERNET e MCSE. Certificado CISCO há mais de 14 anos, é um dos 30 profissionais que detém este nível de certificação CISCO no mundo.

Mitigação de ataques em redes de computadores utilizando 802.1X, TrustSec e MacSec

P: No novo currículo da Cisco, o tema de dot1x, Trustsec e MacSec segue integrado no CCNP Security ou será englobado no CCNA? ?

R: Já está integrado no higher level. Está integrado de uma forma mais efetiva no CCIE. A prova já conta com questões práticas de dot1x.

P: Na interface que aplico o MAB também posso ter configuração do EAP? ?

R: Na mesma tela onde se cria as políticas de EAP também se cria as políticas de MAB.

P: É possível incluir um Acces Point Standalone ao ISE? Digo inclusive aplicar policies nesse mesmo Acces Point. ?

R: Sim é possível, só é preciso ver si o modelo de Access Point possui compatibilidade com o dot1x. A grande maioria dos produtos da Cisco suportam. Mesmo ele sendo Standalone é possível entrar nele através de console ou via SSH.

P: No caso dos Access Points, o método seria MAB ou EAP? ?

R: O método mis recomendado é o EAP-FAST que seria a autenticação baseada no usuário e senha onde se criaria o usuário e senha no ISE criando um grupo e passaria as credencias para Access Point que poderia ser via controlador.

P: Quando realizamos a autenticação dos Access Points na rede, o que acontecerá quando esse Access Point estiver trabalhando em FlexConnect utilizando SSID de Guest? O Ideal, seria recomendar alterar a forma de trabalho do access point para local mode? ?

R: Quando se trabalha com o FlexConnect além do MAC address do próprio Access Point, vai descer também o MAC address do usuário que está no modo Wireless. Sempre que é visto o MAC address pela porta do Switch, esse MAC address é autenticado. Existe um método de autenticação nos Switches Cisco chamados de multi-host. Então quando se cadastra a porta para 802.1x existem métodos que a porta faz autenticações. Então, para Access Point em FlexConnect deve ser multi-host. Uma vez que o Access Point se autentique qualquer MAC address que passe por essa determinada porta oriundo do Access Point já é considerado um MAC address. Se pode continuar usando o FlexConnect mas se deve mudar a autenticação da porta para multi-host.

P: Em um cenário que eu possuo um computador conectado na rede por cabo, cascateado de um telefone. É possível configurar a autenticação de modo bloquear um telefone Spoofing porém liberar a máquina? ?

R: Como mencionei na apresentação existem dos domínios nos 802.2x. Um domínio de dados que é o DATA y um domínio de VOZ. Esses domínios são independentes, então o telefono pode se autenticar ou não, no domínio de voz, e a máquina mesmo estando cascateada no telefone se autentica no domínio de dados. Pode acontecer que mesmo compartilhando a mesma porta o telefone pode estar bloqueado e a máquina liberada ou a máquina liberada e o telefono bloqueado. A autenticação de um não influencia no outro.

P: Usando LSC o CUCM virá o issuer e precisa estar dentro da estrutura de PKI, certo? Tendo o seu certificado assinado pelo ROOT CA que inclusive o ISE confia, é correto? ?

R: Quando se usa o LSC o CUCM é o emissor (issuer), ele pode ser colocado tanto como ROOT CA ou seja, se pode criar uma outra estrutura de CA e uma outra PKI só para telefonia. Onde a PKI de telefonia é feita pelo CUCM. Se for criado dessa forma, o que deve ser feito é pegar o ROOT CA do CUCM e importar no ISE, só isso! Se você quiser colocar o CUCM também na estrutura da PKI existente como uma CA subordinada é possível também, tanto como subordinada como dependente.

P: Do ponto de vista de business outcomes envolvendo security quais são as principais preocupações de quem promove a adoção em um projeto de segurança deve focar? ?

R: Primeiro se dever ter controle total do acesso. Garantindo que quem tem acesso a rede é realmente quem deve ter acesso. Outra coisa importante seria estabelecer perfis. É importante não unicamente dar acesso a rede, más dar o acesso necessário dependendo do perfil do usuário. Outro ponto, é a visibilidade e o controle. Se deve criar uma baseline o que vem sendo, dar o controle de acesso al usuário, tendo visibilidade do que este está fazendo. Então, essas deveriam ser as três principais preocupações de segurança: controle de acesso, visibilidade e estabelecimento de perfis.

P: Como funciona o ISE Posture na autenticação wired dot1x? ?

R: Existem duas fases. A primeira fase é a autenticação e autorização. O que garante a entrada na rede, de uma máquina que este no domínio do active directory. Depois, se coloca um modulo de postura que verifica si a máquina está compliant com as políticas de segurança da empresa. Então a postura seria uma segunda camada de segurança onde se pode bloquear o acesso de uma máquina a rede mesma sendo uma máquina corporativa.

P: Qual a volumetria segrega a implementação de pequeno/médio/grande? ?

R: A volumetria depende muito do servidor. Eu vou considerar o maior. O maior servidor em uma deployment grande pode chegar a 2 milhões e em um médio ou pequeno se pode chegar a 50 mil. A diferença do pequeno e do médio não é a volumetria, mas sim a capilaridade dos servidores.

P: Como distribuir esses servidores em uma rede global, com sites na Ásia, América do Norte, América do Sul e Europa? ?

R: Si se tem uma rede global o mais recomendado é que se coloque nós de PSN o mais próximo possível dos clientes, por conta da latência. Se deve considerar a latência na parte de autenticação, porque si se tem escritórios na Ásia e servidores na América do sul provavelmente o tempo de autenticação vai ficar muito grande. Em uma rede global se colocaria nós nas regiões que se precisa atenção especial e os servidores de administração nos principais data centers.

P: Fiz a implementação small num cliente...criei uma terceira caixa para atuar como health check...num momento de failover, a secundária assumiu como primária...mas quando a primária voltou, ela não assumiu o papel de primária automática...é isso mesmo? ?

R: Não deveria ter acontecido, poder ser um problema de software, mas para ter certeza eu deveria abrir o chamado. Eu pessoalmente não gosto de trabalhar com o failover no ISE. Porque quando se tem um ambiente em failover qualquer problema na rede pode gerar uma falsa impressão de indisponibilidade na caixa principal. A caixa pode estar ativa, mas poder ser um problema de delay da rede ou um problema no data center. Como eu comentei quando o nó de administração primário fica parado eu não perco a solução. Eu não preciso do PAM para a solução está rodando a solução ainda continua ativa. Por isso prefiro que o failover seja dado de forma manual porque para ser dado de forma manual o iniciador teve certeza que foi necessário fazer isso. Dando um promote na caixa. Pelo mesmo, não vejo vantagem de ser feito de forma automática.