Ponga a sus clientes no confiables en ISE

La nueva función de cambio de autorización facilita el ajuste dinámico de las políticas de clientes inalámbricos.

La última década ha visto un aumento drástico en el número de dispositivos conectados a la red. Debido a esto, se ha vuelto cada vez más difícil para los administradores administrar las políticas de acceso, seguridad y tráfico para todos los clientes en sus redes. Al igual que con muchos otros desafíos de TI, la clave para resolver este problema radica en la automatización: eliminar la mayor parte del trabajo manual posible creando formas de asignar políticas de forma dinámica e inteligente a los clientes. Una de las formas más efectivas de lograr esto es a través de una tecnología conocida como Cambio de Autorización (CoA).

En el nivel más básico, CoA es solo un mecanismo para cambiar la política de un cliente ya conectado. Si bien eso puede sonar bastante simple, en realidad hay una variedad de formas en que CoA se puede utilizar para resolver problemas complejos en una red inalámbrica. Por ejemplo, es posible que desee que los clientes tengan diferentes niveles de acceso a la red en función del estado de seguridad actual del dispositivo, a menudo denominado «postura de seguridad». La postura de un dispositivo incluye cosas como si tiene instalado un software antivirus y antispyware actualizado, si están instalados los últimos parches de seguridad del sistema operativo o incluso si cierta aplicación está instalada en el dispositivo. Con CoA, puede enviar información desde el Motor de servicios de identidad de Cisco (ISE) o soluciones similares a un AP Cisco Meraki informándole de cualquier cambio en la postura de un dispositivo. El AP puede aplicar la política adecuada a ese cliente, incluso si ya está conectado. También puede aprovechar ISE para realizar la autenticación web central (CWA) con el fin de implementar la autenticación automática y la aplicación de políticas para los usuarios invitados.

Como todas las funciones de Cisco Meraki, nos aseguramos de que CoA sea fácil de implementar. Para los administradores que deseen utilizar Cisco ISE como su servidor RADIUS y CoA, es tan fácil como navegar a la página Inalámbrica> Control de acceso y seleccionar ‘WPA2-Enterprise con mi servidor RADIUS’ en la sección de requisitos de la Asociación y ‘Motor de servicios de identidad de Cisco (ISE) Autenticación ‘en la sección de la página de bienvenida.

Agregue la información de su servidor ISE en servidores RADIUS, ¡y listo! Sus AP ahora redirigirán a los usuarios al portal web ISE para la autenticación cuando se conecten, y responderán a los mensajes CoA enviados por el servidor ISE.

Para otras soluciones populares como PacketFence, el proceso es igual de fácil. En lugar de seleccionar la autenticación ISE de las opciones de la página de bienvenida, configure el soporte de RADIUS CoA en «RADIUS CoA habilitado» en las opciones del servidor RADIUS en la misma página.

El AP ahora responderá a los mensajes de CoA enviados por el servidor RADIUS.

Estas características se encuentran actualmente en beta abierta. Si desea probarlos, puede comunicarse con el equipo de soporte o con su ingeniero de sistemas Cisco Meraki para unirse a la versión beta. Para obtener más información sobre la configuración de CoA en los puntos de acceso de Cisco Meraki MR o para obtener más información sobre esta función, consulte la documentación.

Etiquetas: