Comprensión de Cisco SUDI: Identidad anclada por hardware en el control de acceso seguro a la red

Hable en inglés británico con un tono seguro, autoritario y conversacional - como un consultor sénior de seguridad de redes que informa a un cliente durante un almuerzo de trabajo. Ritmo medido, articulación clara, humor seco ocasional. No es una conferencia. No es un argumento de venta. Un informe técnico de par a par: Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy nos adentraremos en algo que surge mucho en las implementaciones de redes empresariales - el SUDI de Cisco. Es el Identificador Único de Dispositivo Seguro. Si ha estado buscando una respuesta directa sobre lo que realmente hace, cómo encaja en la autenticación 802.1X y si es importante para la red de su sede o campus, [pausa corta] está en el lugar correcto. Comencemos con el problema principal. La mayoría de las redes empresariales todavía dependen de las direcciones MAC para identificar los dispositivos. MAC Authentication Bypass - o MAB - está en todas partes. El problema es que las direcciones MAC son trivialmente falsificables. Un actor malicioso con una laptop y quince minutos puede clonar la dirección MAC de un punto de acceso confiable y entrar directamente a su red. Ese no es un riesgo teórico. Es un vector de ataque documentado, y es uno que PCI-DSS 4.0 señala específicamente como inadecuado para entornos de datos de titulares de tarjetas. Entonces la pregunta es: ¿cómo se demuestra que un dispositivo es lo que dice ser? No solo "tiene la dirección MAC correcta" - sino de manera genuina, criptográficamente, demostrarlo. Ahí es donde entra SUDI. [pausa corta] El Identificador Único de Dispositivo Seguro de Cisco es un certificado X.509 versión 3, grabado en el módulo Trust Anchor del dispositivo - el chip TAm - durante la fabricación. El certificado contiene el identificador del producto y el número de serie, y está encadenado a la Autoridad de Certificación raíz pública de Cisco. La clave privada se genera dentro del chip TAm y nunca se exporta. Jamás. No se puede clonar. No se puede falsificar. La identidad está vinculada físicamente al silicio. Esto hace de SUDI una implementación de IEEE 802.1AR - el estándar para Identificadores de Dispositivos Seguros. En la terminología de 802.1AR, el SUDI es un IDevID - un Identificador Inicial de Dispositivo. Es la identidad instalada de fábrica que demuestra que el dispositivo es un producto genuino de Cisco, fabricado en una instalación conocida, con un número de serie conocido. Ahora, ¿por qué importa eso en la práctica? Repasemos el flujo de autenticación. Cuando un dispositivo Cisco - por ejemplo, un switch Catalyst o un punto de acceso Meraki - se conecta a su red, puede actuar como un suplicante 802.1X. Presenta su certificado SUDI al autenticador de la red, típicamente un puerto de switch o controlador inalámbrico. El autenticador reenvía esa credencial a un servidor RADIUS - Cisco ISE es la opción más común aquí, pero cualquier servidor RADIUS compatible con RFC 2865 funciona. El servidor RADIUS valida la cadena de certificados de vuelta a la CA raíz de Cisco. Si la cadena es válida, el dispositivo es genuino. Se concede el acceso y se asigna la VLAN correspondiente. Todo el intercambio utiliza EAP-TLS - Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte - que es la variante de autenticación mutua. Tanto el dispositivo como la red se autentican entre sí. Sin contraseñas. Sin secretos compartidos. Sin direcciones MAC. Solo prueba criptográfica. [short pause] Hablemos de Zero Touch Provisioning, porque aquí es donde SUDI se vuelve realmente útil para implementaciones a gran escala. Imagine que está instalando 200 puntos de acceso en una cadena de hoteles o desplegando infraestructura de red en 40 tiendas minoristas. Tradicionalmente, eso requiere un técnico en cada sitio configurando manualmente cada dispositivo. Con ZTP basado en SUDI, el dispositivo arranca, presenta su identidad SUDI a un servidor de aprovisionamiento, el servidor valida el certificado, confirma el número de serie con su inventario y envía la configuración correcta - encriptada, de modo que solo ese dispositivo específico pueda desencriptarla. El trabajo del técnico se limita únicamente a la instalación física. La red se encarga del resto. Para los operadores de hotelería y comercio minorista, esto representa un ahorro operativo significativo. Premier Inn, por ejemplo, opera cientos de propiedades. La capacidad de enviar hardware preinstalado en rack a un sitio y que este se autoconfigure frente a una identidad conocida es la diferencia entre una visita de comisionamiento de dos días y una de dos horas. [short pause] Ahora entremos en el ciclo de vida de los certificados, porque aquí es donde los equipos a veces se ven sorprendidos. Los certificados SUDI originales se emitieron con un periodo de validez de diez años a partir de la fecha de fabricación, con un límite fijado en el 14 de mayo de 2029. Cisco emitió avisos de campo - FN 72094 y FN 72105 - que cubren los productos afectados. Los dispositivos fabricados después de mayo de 2019 tienen una ventana inferior a diez años. Cuando el SUDI expira, las funciones que dependen de él para TLS - interfaces de gestión HTTPS, autenticación de certificados SSH, ZTP - pueden dejar de funcionar. El dispositivo en sí sigue funcionando, no quedará inutilizable. Pero esos servicios autenticados específicos dejan de operar. La respuesta de Cisco fue introducir certificados SUDI-2099 en el hardware más reciente, válidos hasta diciembre de 2099. Si adquiere infraestructura de Cisco hoy en día, obtendrá SUDI-2099. Si tiene equipos más antiguos en el campo, verifique las fechas de vencimiento con "show crypto pki certificates" en IOS o IOS-XE. Planifique su ciclo de actualización en consecuencia. [short pause] Bien, recomendaciones de implementación. Tres cosas que le diría a cualquier gerente de TI que implemente autenticación basada en SUDI. Primero: diseñe su política de RADIUS en torno a los atributos del certificado, no solo a la cadena de certificados. Valide el Subject CN contra su inventario de dispositivos. Un certificado de Cisco válido demuestra que el dispositivo es hardware original de Cisco - no demuestra que sea el dispositivo específico que solicitó para esa ubicación. Compare el número de serie en su política de autorización de RADIUS. Segundo: ejecute SUDI junto con su política de MAB existente, no en lugar de ella, durante la migración. Utilice el perfilado de Cisco ISE para identificar qué dispositivos admiten 802.1AR y muévalos progresivamente a la autenticación basada en certificados. Los dispositivos IoT heredados - cámaras, controladores HVAC, lectores de tarjetas - a menudo no pueden realizar 802.1X en absoluto. MAB sigue siendo la alternativa para ellos. El objetivo es eliminar MAB primero para los dispositivos de infraestructura, donde el riesgo es mayor. Tercero: documente las fechas de vencimiento de sus certificados en su CMDB. Esto suena obvio, pero es lo que suele tomar por sorpresa a los equipos. Un switch que deja de aceptar conexiones de gestión HTTPS porque su SUDI venció no es un incidente divertido de diagnosticar a las dos de la mañana. [pausa corta] Preguntas rápidas. Le daré respuestas cortas. ¿SUDI reemplaza a 802.1X? No. SUDI es la credencial. 802.1X es el marco de autenticación. SUDI es lo que se presenta durante un intercambio de 802.1X. ¿Puedo usar SUDI con servidores RADIUS que no sean de Cisco? Sí. Cualquier servidor RADIUS que admita EAP-TLS y pueda validar una cadena de certificados X.509 puede funcionar con SUDI. Debe importar el certificado de la CA raíz de Cisco en el almacén de confianza de su servidor RADIUS. ¿Cisco Meraki admite SUDI? Sí, para la autenticación de infraestructura. Los puntos de acceso de Meraki utilizan su propia variante de certificados instalados por el fabricante para la autenticación del controlador en la nube. El panel de Meraki se actualizó para gestionar el vencimiento de SUDI antes de la fecha límite de 2026. ¿Qué pasa con Purple WiFi? Purple funciona como una capa de superposición en la nube sobre su infraestructura existente - Cisco Meraki, HPE Aruba, Ruckus y otros. La capa de redes basadas en la identidad de Purple se sitúa por encima del plano de autenticación de hardware. SUDI asegura los dispositivos de infraestructura en sí. Purple asegura la capa de identidad de visitantes y personal por encima. Ambos son complementarios, no de la competencia. [pausa corta] Para concluir. Cisco SUDI le ofrece una identidad de dispositivo con anclaje de hardware y verificable criptográficamente. Elimina la suplantación de MAC como vector de ataque para los dispositivos de infraestructura. Permite el aprovisionamiento Zero Touch a escala. Se alinea con los requisitos de control de IEEE 802.1AR, PCI-DSS 4.0 e ISO 27001. Y se integra perfectamente con cualquier infraestructura RADIUS compatible con 802.1X y EAP-TLS. Los siguientes pasos prácticos: audite su inventario de dispositivos Cisco para verificar las fechas de vencimiento de los certificados SUDI, identifique qué dispositivos ejecutan MAB que podrían migrarse a la autenticación basada en certificados y revise su política RADIUS para agregar la validación del número de serie junto con las comprobaciones de la cadena de confianza. Si tiene implementado Purple en sus establecimientos, nuestro equipo puede guiarlo sobre cómo se asignan las redes basadas en la identidad a su infraestructura Cisco existente. El enlace se encuentra en las notas del programa. Gracias por escuchar. Hasta la próxima.