Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar la autenticación basada en MAC y la omisión de autenticación MAC (MAB)

La autenticación MAC se utiliza para autenticar dispositivos en función de sus direcciones MAC físicas. Puede utilizar la autenticación MAC junto con la autenticación basada en certificados o en credenciales como una capa adicional de seguridad.

Sin embargo, la autenticación MAC tiene limitaciones. Por ejemplo, no puede escalar más allá de un puñado de dispositivos, porque mantener una lista de direcciones MAC se vuelve difícil. Además, puede enfrentar un riesgo si alguien cambia la dirección MAC de una estación para que coincida con una dirección en la lista de aceptados.

En la siguiente tarea se muestra cómo crear autenticación MAC para un dispositivo cableado además de la autenticación EAP-TLS basada en certificados. La tarea también incluye los pasos para crear una política de autenticación para un dispositivo con cable que no admite el punto 1x (como un concentrador Phillips).

Requisitos previos

Configurar la autenticación basada en MAC para dispositivos cableados

Siga estos pasos para configurar la autenticación basada en MAC en una red inalámbrica mediante el portal de Juniper Mist. Para configurar la autenticación basada en MAC en una red inalámbrica mediante el portal de Juniper Mist:

Vea los siguientes vídeos para aprender a configurar y validar la autenticación basada en MAC para dispositivos cableados:

Well, what about wired devices? How do we authenticate an authorized wired client? Well, it turns out we could do it right here in the same place. So we could create a couple of more rules. So we can say OK, if we look at wired devices that are using certificates to authenticate , we could just call this rule wired certificate authentication. We can effectively apply the same matching criteria as for wireless. There's no difference whatsoever here.

On the right-hand side, we'll decide where we want to move these devices after authentication and the right policy match. And finally, what about non-.1x capable devices on the wired side? So for example, I have here a Phillips hub that does not support .1x. How can I authenticate a Phillips app? So I could create a label for the Phillips device. The label will be client list. And I'll just say approved Phillips app. And I'll just put the MAC address of that device in. Oh. And you could put a list of MAC addresses. You can put the list of Mac OUIs. And remember that all of these labels that I'm creating in the UI - they're all available through the REST API. So there is always an endless possibility of integration with existing, say, inventory management systems that can just put all the new device MAC addresses in those lists for authentication and authorization.

So we'll just click Create. Create this label. And we'll create a rule. We'll call it approved Phillips devices. And here we are matching on wired devices that are doing MAC address authentication bypass that are part of this client list label. And in this case, we will move them to - well, I don't want to move them to Corp VLAN. That's not what I want. I will create an IoT VLAN. And in our case, that's going to be VLAN 3000. And I'm going to add this to an IoT VLAN. And now, we have our authentication policies configuration done.

OK, so how do we validate, right? So we've connected a couple of clients to the switch. One is a laptop that's doing .1x using certificate. Another one is the Phillips Hue app. That doesn't do any .1x, and just doing MAC authentication. So we could see those two clients are connected.

Let's take a look at the laptop one. So we could click on the port. We see that there is a client with a username flashing up. Let's take a look at the wired client insights. And what we can see here is that the user has been authenticated. You could see the port up and down events from the switch side. We see all the authentication phases, same as we saw in the wireless side. The client trusts the server. The server trusts the client certificate. We get all the metadata here. We then are saying client access is allowed. And voila. We matched the same authentication policy rule. Great. So now, we know that this part is working.

Now, we go to switch back. And let's look at the Philips device. That device is not doing any form of .1x authentication. So let's just take a look at the wired client insights. Yeah, and we are seeing that here the user is authenticated. And there is a client access allowed event here as well. And in this case, the authentication type is Mac address bypass - the MAC address that we've added to the client list. And voila. We are matching the right approved Phillips device rule.
  1. Crear políticas de autenticación.
    1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > políticas de acceso > autenticación.
      Cree una nueva regla para proporcionar acceso a los clientes con certificados válidos. Consulte Configurar directiva de autenticación.
      Figura 1: Crear una política de autenticación para un cliente Create Auth Policy for Wired Client cableado
      Defina una política de autenticación con los siguientes detalles:
      1. Nombre: introduce el nombre de la política (por ejemplo, Wired Cert Auth).
      2. Criterios de coincidencia: seleccione EAP-TLS y por cable.
      3. Política: seleccione Permitido
      4. Acción de política: acceso a la red permitido
      5. VLAN asignada: VLAN corporativa
  2. Para proporcionar autenticación para un dispositivo que no sea dot1.x en el lado LAN, cree una nueva etiqueta de directiva.
    1. En la página Políticas de autenticación, seleccione Crear etiqueta e introduzca los detalles.
      Figura 2: Etiqueta para dispositivos Label for Non-Dot1x device que no son Dot1x
      Introduzca la siguiente información en los campos respectivos:
      1. Nombre de la etiqueta: introduzca el nombre de la etiqueta (por ejemplo: Phillips Hubs aprobados)
      2. Tipo de etiqueta: seleccione el tipo Lista de clientes
      3. Valores de etiqueta: introduzca la dirección MAC del dispositivo
  3. Cree una nueva política de autenticación.
    1. Haga clic en Agregar regla para crear una nueva regla.
      En esta regla, use la etiqueta que creó en el paso anterior para un dispositivo que no sea dot1x. En esta regla, use la etiqueta que creó en el paso anterior para un dispositivo que no sea dot1x.
      Figura 3: Política de autenticación para dispositivos Authentication Policy for Non-Dot1X devices que no son Dot1X
      Introduzca la siguiente información en los campos respectivos:
      1. Nombre: introduzca el nombre. Ejemplo: dispositivos Phillips aprobados.
      2. Criterios de coincidencia: seleccione concentradores Phillips aprobados, MAB (derivación de autenticación MAC) y por cable.
      3. Directiva: seleccione Permitido.
      4. Acción de directiva: seleccione Acceso a la red permitido.
      5. Políticas asignadas: seleccione VLAN de IoT.
      Ahora ha creado una política para autenticar dispositivos que no sean dot1X.
  4. Configure el conmutador para realizar la autenticación.
    1. En el manu izquierdo del portal de Juniper Mist, seleccione Organization > Wired > Switch Templates.
    2. En la página Plantillas de conmutador, haga clic en una plantilla existente para abrir su página de configuración o haga clic en Crear plantilla en la esquina superior derecha de la página para crear una plantilla.
    3. En la sección Servidores de autenticación, seleccione Mist Auth como servidor de autenticación.
    4. Desplácese hacia abajo hasta la sección Perfil de puerto e ingrese los detalles.
      Figura 4: Opciones de perfil de Port Profile Options puerto
      Introduzca la información necesaria o seleccione las opciones necesarias en los campos siguientes:
      1. Nombre: introduzca un nombre (por ejemplo: secure-port).
      2. Modo: seleccione Acceso.
      3. Habilite las opciones Usar autenticación dot1x y Usar autenticación MAC . Si el dispositivo cliente admite 802.1X, el puerto del conmutador realiza la autenticación 802.1X. Si el dispositivo cliente no es compatible con 802.1X, el puerto del conmutador realiza la autenticación MAC.
      4. Borde STP: seleccione para configurar el puerto como puerto perimetral del Protocolo de árbol de expansión (STP). Esta configuración garantiza que el puerto se trate como un puerto perimetral.

      En este ejemplo se utilizan los valores predeterminados para los campos restantes.

    5. Asigne un perfil de puerto a cada puerto del conmutador en el que los clientes cableados conectados requieran acceso a la red.

      En la sección Select Switches Configuration (Seleccionar configuración de conmutadores), en la ficha Port Config (Configuración de puertos), haga clic en Add Port Range (Agregar intervalo de puertos ) para asociar un perfil de puerto a un puerto.

      Figura 5: Asignar perfil de puerto a rangos de puertos en un conmutador Assign Port Profile to Port Ranges on a Switch

      Introduzca un ID de puerto y seleccione el perfil de configuración que creó en el paso anterior.

    6. Haga clic en Guardar.

Ahora su red está lista para autenticar clientes de forma segura. La nube de Juniper Mist verifica los certificados de cliente y concede acceso y autorización en función de la configuración de la política de autenticación.

Puede ver los clientes asociados en el portal de Juniper Mist.

  • Seleccione Clientes > clientes cableados para ver los detalles del cliente
  • Seleccione Supervisar > niveles de servicio > Insights para ver los eventos del cliente.

Ver también