[MUSIC] Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Mobility Essentials. Mi nombre es Ricardo Cobos y estamos por comenzar la parte 2-5, seguridad de red inalámbrica y control de acceso. Cuando nosotros hablamos de Role Based Access Control, o control de acceso basado en el rol, realmente estamos hablando de poder identificar al individuo que está, you sea teniendo o solicitano acceso a la red. O solicitando acceso de gestión. En este caso, vamos a hablar del primero, cuando un usuario quiere entrar a la red para poder tener acceso a recursos de esta. Y obviamente vamos a hablar de Role Based Access Control con el mobility controller. El mobility controller ustedes you saben que es un dispositivo, es un appliance, un dispositivo de red que solíamos llamarle un switch inalámbrico. Pero la realidad es que es un multiservices box, es una caja de múltiples servicios, entre ellos funciones de routing, de switching, traffic analysis, spectrum analysis, y también un firewall. Tiene un motor de firewall integrado. Y eso es lo que lo hace bastante atractivo para las soluciones enterprise. Opuesto a cualquier otro dispositivo de otro fabricante, nuestro controlador realmente es más que un controlador. Es una caja inteligente, múltiples servicios y ofrece firewalling de capa de acceso. Esto quiere decir que hace mucho sentido realmente enviar el tráfico al mobility controller una vez que el usuario es aceptado en la red. Sin embargo, ¿cómo ocurre esto? ¿Cómo es que nosotros vamos a permitir al usuario en la red en primer lugar? Bueno, lo que ocurre es que el dispositivo, que nosotros podríamos llamar cliente, va a conectarse a las redes. Se va a asociar y después tendrá que pasar por una operación de autenticación. Cuando nosotros realmente estamos hablando de una red corporativa y sobre todo con empleados, estamos hablando de una solución que se llama 802.1x. Esta solución, 802.1x es realmente un estándar, es importante mencionarlo, y es un framework. Esto significa que realmente tiene bastantes componentes. Es un realmente una solución que tiene bastantes componentes. Y que, como un todo, permitirá la autenticación del usuario. Ese es el punto inicial. El cliente se asocia, se autentica y después se le va a asignar un rol. Nosotros acostumbramos llamarle un rol de usuario, ¿sí? Ahora, este rol de usuario tiene dos puntos importantes. Va a ser asignado dependiendo de varias características, como la identidad del usuario. Como las características del dispositivo físico con el cual se está conectando. Es decir, vamos a poder identificar el sistema operativo, el tipo de dispositivo, la dirección MAC, la ubicación, etc. Realmente, sabremos todo del equipo, you sea una laptop, una tablet o un smartphone. Y en base a esa información, junto con la identidad y también posibles atributos de un directorio activo. Posibles atributos atributos asociados a la cuenta, cuando nosotros realmente tengamos toda esta información, el rol de usuario puede ser asignado al cliente. Este rol de usuario tiene una segunda característica que son los atributos asociados a él. El rol de usuario va a definir las políticas de firewall, posibles restricciones de ancho de banda. Cuál es la VLAN en la que se va a colocar el usuario y características de ese tipo. Entonces, realmente dependiendo no solamente de la identidad del usuario, del dispositivo con el que se conecta. Atributos como la ubicación donde él se está conectando y el método de acceso. Así como atributos asociados a la cuenta, nosotros podemos determinar este rol, asignarlo. Y el rol va a gobernar las características de sesión de ese usuario. Sin embargo, la pregunta permanece. ¿Cómo es que ocurre esto? Bueno, con el proceso de 802.1x, el cliente realmente nosotros le vamos a llamar supplicant, se va a conectar. Se va a asociar a un dispositivo que normalmente sería un switch o el wireless controller. Dentro del frame 802.1x, a este controlador nosotros le vamos a llamar authenticator, que es realmente el dispositivo que va a detener el acceso, va a solicitar las credenciales. Y, a menos de que la autenticación sea completa, entonces él nunca va a dar acceso a la red. Ahora, este authenticator, el mobility controller, no realmente va a validar las credenciales él mismo. La realidad de las cosas es que se las va a compartir a un authentication server que se encuentra atrás de él. Y este normalmente es un servidor de radius. Cuando este authenticator envía las credenciales, este lo hace a través de un mensaje que nosotros llamamos radius access request. Este radius access request va a incluir, entre varias cosas, atributos del cliente, atributos del access point donde él se está intentando conectar. Cuál es la dirección MAC del cliente, cuál es la dirección MAC del controlador, y muchos otros parámetros. Por ejemplo, cuál es el nombre de la red inalámbrica en la cual se está asociando el cliente. Toda esta información va a ser recibida por el servidor de autenticación. Y él puede procesarla y obtener información adicional, como yo you mencioné. Por ejemplo, las características del dispositivo físico con el cual se está conectando o atributos de active directory. Y esto es porque, aun cuando las credenciales, el nombre de usuario y contraseña, se están enviando a ese servidor de radius, el servidor podría no tener una base de datos local. Y tener que validar las credenciales con un servidor que se encuentra atrás de él. Podría ser un servidor LDAP o como you mencioné aquí un servidor de active directory, que realmente es un LDAP de Microsoft. Entonces, si nosotros seguimos este flujo, el cliente se asocia. El authenticator solicita credenciales. Este las recibe y las envía al authentication server, el cual puede validarlas de manera local o enviarlas al active directory. El active directory podrá decir si son válidas o no son válidas. En el primer caso, entonces, él puede responder con todo y los atributos asociados a la cuenta del usuario. Y ahora sí, este servidor de autenticación tiene todo lo que él quería. Tiene la validación de las credenciales. Pudo hacer el fingerprinting o la identificación del dispositivo. Contiene atributos de ubicación, atributos del método de acceso que vinieron en el radius access request desde el controlador. Atributos asociados a la cuenta de active directory e inclusive otros factores como la salud del cliente. Con todo esto, él lo va a procesar y va a responder, si todo salió bien, con un radius access accept, aquí lo voy a colocar. Donde el servidor incluirá, entre otras cosas, atributos. Pero ahora, estos atributos van en dirección del mobility controller. Y entre todos esos atributos, nosotros podemos incluir el nombre del rol. Este rol, como yo you mencioné, es realmente un conjunto de características que van a gobernar la sesión del usuario, como políticas de firewall, como restricciones de ancho de banda, etc. Y ellos pueden estar preconfigurados en el mobility controller. O si nosotros tenemos un servidor de ClearPass, si este servidor de radius es realmente un servidor de ClearPass de Aruba. ClearPass Policy Manager, entonces lo que nosotros tendríamos es un servidor que tiene estos roles configurados dentro de él. Y el controlador los descargaría de manera dinámica. En otras palabras, el servidor de radius podría decirle al controlador, aplica el rol que tú you tienes configurado. O, en caso de ser un servidor ClearPass, le diría, ¿sabes qué? Aplica un rol que tienes que descargar de mí. Ven, contáctame vía HTTPS, descarga ese rol. Yo te lo comparto y después se lo aplicas al usuario. Si todo esto es cierto y funciona de manera adecuada, entonces el cliente va a ser permitido en la red. Pero se le asignará un rol que controlará todo su tráfico. De tal manera que no solamente tenemos visibilidad de la identidad del cliente, sino también un control total sobre el tráfico que este genera, ¿vale? Muy bien, como siguiente punto, nosotros podríamos hacer algo similar con un access point instant. La diferencia, si ustedes recuerdan, entre un access point Instant y un mobility controller, es simplemente que, en lugar de tener un controlador físico, uno de los access points como tal se volvería el virtual controller. Y este crearía un cluster. En otras palabras, en la solución de instant, nosotros no tenemos un mobility controller físico. Podemos tener realmente un enjambre de access points, varios access points que estén creando un cluster. Y uno de ellos se volverá el virtual controller. Entonces, cuando el cliente se conecta a uno de los access points, tú puedes permitir que cada access point envíe el radius access request. O puedes configurar una opción que nosotros llamamos de radius proxy, donde este access point le compartiría el mensaje al virtual controller. Y el virtual controller al final sería quien enviaría el radius access request. Es simplemente dos opciones para obtener el mismo resultado. Las dos son válidas, pero al final del día el resto de los componentes sigue siendo el mismo. Ahora, ¿cuál es la característica importante a mencionar aquí? Esta es que cuando el servidor de radius valida las credenciales y decide contestar con un radius access accept. Este radius access accept va a incluir el rol que se debe aplicar para este usuario. Y de la misma manera que sucedió con el mobility controller, recuerden que los instant access points también tienen un firewall integrado. Entonces, you sea que el rol está preconfigurado en el access point instant. Y este se aplica en el momento de recibir el radius access accept. O si nosotros tuviéramos un servidor de ClearPass, entonces el servidor de ClearPass le podría decir al access point, por favor aplica este rol de usuario, estas características de sesión de usuario. Pero las vas a tener que descargar de mí. Tú todavía no las tienes, las tienes que descargar de mí. Y entones el access point instant contactaría a ClearPass para descargar esa configuración. En cualquiera de las dos opciones, la realidad de las cosas es que nosotros podemos aplicar roles que controlan el acceso de usuario. you sea si tenemos una solución basada en un controlador, o si tenemos una solución basada en instant. Muy bien, con esto hemos completado el tema. Espero que hayas disfrutado del módulo. Te veo en la siguiente parte, donde hablaré un poco más del proceso de autenticación. Y las opciones de autenticación que nosotros tenemos disponibles. Gracias por tu tiempo. [MUSIC]
