Hola. ¿Qué tal? Bienvenida o bienvenido. Mi nombre es Ricardo Cobos y en este video hablaré un poco más de cómo levantar métodos de autenticación y asignación de roles para control de tráfico en una red que utiliza WPA3-Entreprise. WPA3-Entreprise significa que no solamente vamos a utilizar los algoritmos de cifrado más fuertes que están actualmente disponibles en la industria, sino que también el usuario se tiene que autenticar utilizando 802.1X. Cuando esto sucede, en la solución de Aruba, nosotros tenemos al cliente enviando mensajes de asociación y tan pronto estos mensajes son recibidos por el "mobility controller", este asignará un rol inicial, que es el rol "logon". Este rol tiene, a su vez, polÃticas de "firewall" asociadas que no realmente permiten ningún tipo de tráfico otro que no sea EAP y, de esa manera, todo el tráfico será denegado hasta que, a través del proceso de EAP, el cliente se autentique satisfactoriamente, como lo expliqué en el video anterior. Una vez que esto ocurra, la infraestructura de Aruba, especÃficamente el "mobility controller", asignará el rol por defecto, que está asociado con el método de autenticación para la red inalámbrica. En este caso, están utilizando el rol "authenticated", que da acceso completo a la red. Y, como resultado, solamente tenemos la validación de credenciales, pero no tenemos mucho control o filtrado de tráfico hacia el usuario. Eso obviamente se puede modificar. Sin embargo, es importante entender cuáles son los componentes de la red inalámbrica desde el punto de vista del "mobility controller". Y estos incluyen la asignación de VLAN, el tipo de seguridad y el tipo de acceso. La VLAN viene especificada en un perfil que nosotros llamamos VAP o "Virtual AP Profile". Después, el nivel de seguridad, el tipo de cifrado y demás, van a ser especificados a través de un perfil que llamamos SSID. Y, finalmente, el control de acceso va a ser definido a través de un perfil de triple A y los perfiles de autenticación de capa dos. Es importante entender que todos estos perfiles, el perfil Triple A, el perfil de SSID, el perfil de autenticación de capa dos, todo esto viene asociado al "Virtual AP Profile", que es prácticamente el que define la red inalámbrica como un todo. En otras palabras, cuando nosotros accedemos a la interfaz web del "mobility controller" y creamos una red inalámbrica a través del Wizard, como resultado tenemos todas estas áreas de configuración o, en otras palabras, se generan todos estos perfiles y estos se asocian el uno a otro. Ya hecho eso, nosotros podrÃamos, por ejemplo, indicar que, dependiendo de las credenciales de usuario y el contexto de conducción, queremos dar un rol de usuario más especÃfico al cliente. Y esto lo podemos hacer a través del servidor de ClearPass. Cuando el "mobility controller" envÃa el "RADIUS Access Request", que incluye el "Identity Response" o el nombre de usuario del cliente, ClearPass va a procesar este mensaje, ofrecer su certificado digital al cliente para que él valide que está hablando con un servidor de autenticación autorizado, y después van a negociar el método de EAP, ya sea ETLS, EAP PEAP, EAP TTLS, etcétera. Una vez realizado o escogido este método de autenticación por ambas partes, tanto el "supplicant" como el servidor de autenticación, en este caso ClearPass, el proceso de autenticación se completa; se le puede asignar internamente en ClearPass algunas etiquetas, las cuales nosotros llamamos roles de ClearPass, y finalmente sucede el proceso de "enforcement", que es donde se dice qué rol de usuario en el "mobility controller" o qué otros atributos deben ser aplicados para la sesión de este cliente. Y es aquà donde, si la autenticación falló, ClearPass responde con un "RADIUS Access-Reject", pero si la autenticación fue satisfactoria, en la parte de "enforcement" no solamente se enviará un "RADIUS Access- Accept", sino que también se incluirán atributos que le indiquen al "firewall" del "mobility controller" qué rol de usuario más especÃfico puede ser asignado a ese cliente y, de esa manera, controlar la actividad del mismo en la red. Muy bien. Con esto, prácticamente, ya hablé de WPA3 Entreprise, los componentes de una red inalámbrica, cuál es el proceso de "enforcement" desde el punto de vista del "mobility controller", y el proceso de autenticación e "enforcement" desde el punto de vista del servidor de ClearPass. Espero que hayas disfrutado el contenido del video. Te veo en el siguiente.
