January 11, 2011

Políticas, ¿Por dónde empezar?

Esta es una pregunta que me han preguntado muchas veces, tanto los clientes pequeños y grandes como los partners. Yo siempre les muestro el mismo camino.

En primer lugar, hay que crear una política de “limpieza”. Seguidamente, la aplicamos estáticamente en todos los puertos de acceso en la red. Esta política debe incluir sólo los elementos básicos como:

• Un cliente no debería enviar actualizaciones de enrutamiento (OSPF, RIP, BGP).
• Un cliente no debería dar servicios (¿vamos a dejar que un equipo cliente se comporte como un servidor DHCP? O DNS, Web, FTP, NTP …).
• Vamos a quitar los protocolos que no usamos en producción en la red (si usted no utiliza AppleTalk o IPX, ¿por qué permite que estos protocolos circulen por la red?).
• Aplicar algunos parámetros de calidad de servicio (QoS) básico y RateLimits.

Tenga en cuenta que en este momento, está tratando a todos los usuarios de la misma forma.
¿Y ahora qué? ¿Cuál es el siguiente paso?

Primero, nos debemos preguntar ¿Cuáles son los protocolos de red más peligrosos en mi red? ¿Debemos dejar que todo el mundo pueda usar los protocolos de gestión de la red como SSH, VNC o de otro tipo? Entonces, debemos tratar a los administradores de sistemas de manera diferente. Para ello hacemos lo siguiente:

• Identificar los protocolos que sólo los administradores de sistemas pueden usar, y crear una política específica para ellos.
• Identificar a los usuarios que deben estar en este grupo.
• Configurar el servidor Radius y el sistema de gestión de la identidad que tenemos (base de datos SQL, LDAP, Active Directory, NDS). Este es probablemente uno de los puntos más delicados hasta ahora.
• Configure la autenticación en UNO de los switches de acceso (802.1x o MAC o ambos). Esto le permitirá poner a prueba la puesta en marcha de la implementación.
• Una vez que la autenticación creada en el laboratorio está trabajando de forma correcta, configurar todos los puertos de acceso en la red con autentificación (802.1x o MAC o ambos).

En este punto, todos los administradores de sistemas se autentifican y obtienen su política asignada. Una vez que esto está funcionando según lo previsto, quite los protocolos de la política de limpieza, para que los usuarios no autenticados no puedan usarlos. Recuerde que todo usuario no autentificado seguirá usando la política de limpieza.

Felicidades!!! Ahora su red ya ha empezado a utilizar políticas dinámicas. Todos los administradores de sistemas serán tratados de la misma manera, no importa donde estén en la red. Todo el resto de los usuarios aún pueden hacer su trabajo, pero no pueden utilizar protocolos de gestión de la red.

Ahora podemos empezar a crear más grupos de usuarios. ¿Por cuál empezamos? Bueno, eso depende de las necesidades de su negocio, pero yo recomiendo de partida crear las políticas de las personas que hagan uso de protocolos de red especiales, o que traten datos confidenciales, o que necesiten calidad de servicio especiales o rate limits (limitaciones de ancho de banda). La clave es crear un grupo, asegúrese de que todos los usuarios de este grupo están identificados y aplicar la política correcta, probarlo, y si tiene éxito, realice los cambios necesarios a la política de limpieza.

También se pueden crear políticas para VoIP, Video IP, puntos de acceso, impresoras o cualquier otro dispositivo que se conecte a la red. Podemos utilizar nuestra solución NAC para autenticar fácilmente a estos dispositivos, pero esto sería material para otro post.

Cuando terminemos, tendremos una política de limpieza muy restrictiva. A continuación, podemos cambiarle el nombre por política de invitado. En este momento tenemos una red con uso completo de políticas dinámicas, y sin demasiadas complicaciones.

Y recuerde, todo este trabajo sirve también en su red Enterasys Wireless.

About The Contributor:
Extreme Marketing Team

See My Other Posts

One thought on “Políticas, ¿Por dónde empezar?

Leave a Reply

Your email address will not be published. Required fields are marked *