3/28/19

1

#ArubaAirheads

Porque la LAN se parece cada vez más a la WiFi

2#ArubaAirheads

Obetivos de las redes de acceso actuales

Acceso basado en Roles

– El role define la política de conectividad

– La política aplicada al dispositivo unificada, independiente del medio

– Gestión centralizada de roles

ROL - Teléfono

ROL - Externo

ROL - Visitante

ROL – Empleado

ROL – Camara Seguridad

CONTEXTO

Identidad, tipo de dispositivoy condiciones adicionales

del entorno definen la conectividad

3/28/19

2

3#ArubaAirheads

Obetivos de las redes de acceso actuales

Acceso basado en Roles

– El role define la política de conectividad

– La política aplicada al dispositivo unificada, independiente del medio

– Gestión centralizada de roles

Simplificación de la configuración

– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto

4#ArubaAirheads

Métodos de seguridad tradicionales aplicados a la red cableada

Static VLAN/ACL Security- Ports are pre-configured based on which devices are

going to be connected.

- Requires a lot of manual configuration.

- There are issues when someone plugs in something different.

Port Security- Locks the port to the 1st or 2nd MAC that it sees. Clears

out after the port has been down for some time.

- Works well against someone trying to unplug a printer and use that port, but not really secure.

MAC Whitelists- MAC whitelists are good for “Quick and Dirty” security.

- What if a USB NIC gets changed?

- What about BYOD laptops?

- What about MAC spoofing?

- Let’s face it, no one wants to maintain an enterprise-wide list of MAC addresses.

3/28/19

3

5#ArubaAirheads

Falsa sensación de seguridad

6#ArubaAirheads

Fases en la securización

• Paso 0: Empezar por la Visibilidadü Primero con ClearPass Profiling, añadiendo ClearPass Device Insight

• Paso 1: Aplicar la autenticación “Best Fit” ü Todo no tiene porque ser 802.1Xü Podría ser Mac Auth, o SNMP al principioü Hacer una aproximación en fases

• Paso 2: Añadir mejoras de valorü Experiencias de Usuarios/Operacionalesü Automation/Orquestaciónü Integraciones

3/28/19

4

7#ArubaAirheads

Utiliza la autenticación más adecuada

8#ArubaAirheads

“Best Fit” Control

• AuthN/AuthZ:• SNMP

• Enforcement:• Port Based VLAN• SNMP/CLI

Basic Port Control

• AuthN/AuthZ:• MAC Authentication• Allowall

• Enforcement:• Session Based ACL, Role, VLAN• RADIUS

Basic Session Control

• AuthN/AuthZ:• Multi Auth 802.1X, MAC, WEB

• Enforcement:• Session Based ACL, Role, VLAN• RADIUS

Full Visibility and Control

VLAN 100QoS Policy ‘A’

VLAN 200ACL ‘headless’

VLAN 300ACL ‘desktop’

VLAN 400ACL ‘guest’

user-role 'PRINTER'

ACL 'CORP'vlan 'SECURE'

user-role 'GUEST'

user-role 'VOIP'

Mac auth, profiling, asset DB

Mac auth, profiling, asset DB

802.1X, profiling, endpoint DB, OnGuard

Web Auth, Self Registration, Mac Auth

3/28/19

5

9#ArubaAirheads

Colorless Ports – Red autoconfigurada

Puerto UniversalEjemplo: 802.1X, MAC Auth y ultimo recurso Portal Cautivo

ROLES

10#ArubaAirheads

Obetivos de las redes de de acceso actuales

Acceso basado en Roles

– El role define la política de conectividad

– La política aplicada al dispositivo unificada, independiente del medio

– Gestión centralizada de roles

Simplificación de la configuración

– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto

Segmentación

– Red overlay hacia un punto central para aplicar políticas de !Segmentación

– Posibilidad de seguir cursando el tráfico de forma tradicional

3/28/19

6

11#ArubaAirheads

Segementación – Red Overlay según necesidad

Aruba Mobility

ControllerCore Switch

Access Switch

IoT (Device Profiling)

Captive Portal

802.1X

IP Phone (MAC-Auth)

12#ArubaAirheads

Obetivos de las redes de acceso actuales

Acceso basado en Roles

– El role define la política de conectividad

– La política aplicada al dispositivo unificada, independiente del medio

– Gestión centralizada de roles

Simplificación de la configuración

– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto

Segmentación

– Red overlay hacia un punto central para aplicar políticas de !Segmentación

– Posibilidad de seguir cursando el tráfico de forma tradicional

Automatización

– Configuración

– Troubleshooting

3/28/19

7

13#ArubaAirheads

Propuesta de valor Aruba Mobile First

Definido por Puerto/SSIDAsignación estática porconfiguración manual

Definido por softwareAsignación dinámica de servicios

por usuarioProgramabilidad

Securización entre cada usuario (uSegemtación)

Mobile-First

14#ArubaAirheads

Obetivos de las redes de acceso actualesAruba Dynamic Segmentation

Acceso basado en Roles

– El role define la política de conectividad

– La política aplicada al dispositivo unificada, independiente del medio

– Gestión centralizada de roles

Simplificación de la configuración

– Puertos de acceso dinámicamente configurados según el dispositivo conectado y su contexto

Segmentación

– Red overlay hacia un punto central para aplicar políticas de !Segmentación

– Posibilidad de seguir cursando el tráfico de forma tradicional

Automatización

– Configuración

– Troubleshooting

RBAC + DUR Colorless PortUBT/PBT

Legacy VLAN APIs

3/28/19

8

15#ArubaAirheads

Es simple y estándarSin complejidad Sin Workarounds

Ni parcheos

Con estándares de seguridad

16#ArubaAirheads

Externo

Conectividad basada en roles

Aruba 2930

Aruba 3810

Aruba 5400

Aruba AP-200

Aruba AP-300

Mobility Controller

ROL - Teléfono

ROL - Externo

1

2

Empleado

ROL - Visitante

ROL – Empleado

Visitante

Teléfono

Visitante

Externo

ROL – Camara Seguridad

CámaraSeguridad

Aruba 8400/8320

Orquestación de servicios de red

3/28/19

9

Gracias