Vai al contenuto principale
Italiano

Comprendere Cisco SUDI: Identità del Dispositivo Basata su Hardware nel Controllo dell'Accesso alla Rete

Questa guida descrive in dettaglio l'architettura tecnica di Cisco SUDI, spiegando come l'identità ancorata all'hardware protegga il controllo dell'accesso alla rete. Fornisce passaggi di implementazione pratici per i leader IT per distribuire l'autenticazione 802.1X EAP-TLS e automatizzare il Zero Touch Provisioning in tutte le sedi aziendali.

📖 6 minuti di lettura📝 1,346 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Comprendere Cisco SUDI: Identità del Dispositivo Basata su Hardware nel Controllo dell'Accesso alla Rete Un briefing tecnico di Purple - Testo completo del podcast (circa 10 minuti) --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Ciao e benvenuti a un briefing tecnico di Purple. Nei prossimi dieci minuti vi guiderò attraverso Cisco SUDI - Secure Unique Device Identifier - spiegando cos'è in realtà, come si inserisce nella vostra architettura di controllo dell'accesso alla rete e cosa dovete fare al riguardo se gestite un'infrastruttura Cisco su larga scala. Questo briefing è rivolto ad architetti di rete, responsabili IT e CTO di grandi strutture - hotel, catene di vendita al dettaglio, stadi, centri congressi - ovunque si gestisca una rete WiFi aziendale e si abbia la necessità di essere certi che l'hardware sulla rete sia esattamente quello che dichiara di essere. Iniziamo con il problema risolto da SUDI. In qualsiasi rete di grandi dimensioni, ci sono decine o centinaia di access point, switch e controller. La domanda da cui dipende la vostra sicurezza è: come fate a sapere che ognuno di questi dispositivi è un prodotto Cisco originale e non modificato, e non un contraffatto, un'unità compromessa o un dispositivo manomesso durante il transito? Questo è il divario che SUDI va a colmare. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) SUDI sta per Secure Unique Device Identifier. Si tratta di un certificato X.509 versione 3, lo stesso formato di certificato utilizzato in HTTPS e TLS, ma anziché essere emesso per una persona o un server, viene emesso per uno specifico componente hardware durante la produzione. Contiene l'identificatore del prodotto e il numero di serie del dispositivo, ed è radicato nella Public Key Infrastructure di Cisco. Ecco cosa differenzia SUDI da un certificato software installato autonomamente. Il certificato SUDI, insieme alla coppia di chiavi associata, risiede all'interno di un chip resistente alle manomissioni chiamato Trust Anchor module, o TAm. La chiave privata viene generata all'interno di quel chip e non lo lascia mai. Non è possibile esportarla. Non è possibile clonarla. Se qualcuno manomette fisicamente il chip, la chiave viene distrutta. Questa è la root of trust hardware. SUDI è l'implementazione di Cisco dello standard IEEE 802.1AR, lo standard di settore per i Secure Device Identifier, o DevID. Secondo lo standard 802.1AR, la credenziale installata dal produttore è chiamata Initial Device Identifier, o IDevID. Il SUDI di Cisco è esattamente questo: un IDevID che Cisco installa in fabbrica. È possibile integrarlo con un Locally Significant Device Identifier, o LDevID, emesso dalla propria PKI per le policy di autorizzazione locali. Ora, come si collega tutto questo al controllo dell'accesso alla rete? Il punto di integrazione più comune è lo standard IEEE 802.1X, lo standard per il controllo dell'accesso alla rete basato su porta. Quando un access point o uno switch Cisco si connette, può presentare il proprio certificato SUDI a un server RADIUS (in genere Cisco ISE, Identity Services Engine) utilizzando EAP-TLS, ovvero Extensible Authentication Protocol con Transport Layer Security. Il server RADIUS convalida il certificato rispetto alla CA pubblica di Cisco, conferma che il dispositivo è originale e quindi applica la policy di rete appropriata. Questo approccio è notevolmente più sicuro rispetto al MAC Address Bypass, che è il meccanismo di fallback utilizzato dalla maggior parte delle reti per i dispositivi infrastrutturali. Gli indirizzi MAC possono essere contraffatti in meno di un minuto. Un certificato vincolato all'hardware in un chip resistente alle manomissioni non può essere contraffatto senza distruggere fisicamente il dispositivo. Nel contesto di una grande struttura, questo è importante per tre motivi. In primo luogo, elimina il rischio che access point non autorizzati accedano alla rete. Un dispositivo contraffatto o non autorizzato semplicemente non può presentare un SUDI valido. In secondo luogo, consente il Zero Touch Provisioning automatizzato: un nuovo dispositivo viene spedito alla struttura, si accende, presenta il proprio SUDI e il sistema di gestione lo verifica rispetto all'inventario prima di inviare la configurazione. Nessun intervento manuale. In terzo luogo, offre un audit trail verificabile crittograficamente. Ogni dispositivo che si è autenticato sulla rete lo ha fatto con un certificato che dimostra che si tratta di uno specifico prodotto Cisco registrato. Vorrei parlare del Trust Anchor module in modo un po' più dettagliato, perché è la base su cui poggia tutto il resto. Il TAm è un chip proprietario di Cisco che fornisce tre elementi: storage sicuro non volatile per il SUDI e le chiavi, servizi crittografici inclusa la generazione di numeri casuali e il fingerprinting hardware. Quest'ultimo aspetto merita attenzione: Cisco registra un'impronta digitale crittografica dei componenti hardware critici di un dispositivo al momento della produzione e memorizza tale impronta nel TAm. All'avvio, il firmware UEFI calcola una nuova impronta dell'hardware rilevato e la confronta con quella master memorizzata nel TAm. Se le impronte non corrispondono, il dispositivo arresta il processo di avvio. Questo meccanismo rileva la manomissione dell'hardware in transito, una preoccupazione reale per le installazioni in grandi strutture in cui l'hardware può passare attraverso diverse mani prima dell'installazione. Un aspetto operativo di cui essere consapevoli: i certificati SUDI emessi prima di maggio 2019 scadono dieci anni dopo la data di produzione o il 14 maggio 2029, a seconda di quale evento si verifichi per primo. Cisco ha affrontato questo problema con una nuova generazione di certificati chiamata SUDI-2099, validi fino a dicembre 2099. Se utilizzate hardware della serie Catalyst 9000 prodotto prima del 2019, dovete verificare subito le date di scadenza dei SUDI. Il comando su IOS-XE è show crypto pki certificate. Cercate il trustpoint CISCO_IDEVID_SUDI e verificate la data di scadenza. Se utilizzate Catalyst 9200, aggiornate a IOS-XE 17.12.2 o versioni successive per assicurarvi di utilizzare il certificato 2099 corretto. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI (circa 2 minuti) Lasciate che vi illustri il quadro pratico dell'implementazione. Se state distribuendo l'autenticazione basata su SUDI in un ambiente di grandi dimensioni, ecco la sequenza consigliata. Iniziate con la vostra infrastruttura RADIUS. Cisco ISE è la scelta naturale se fate già parte dell'ecosistema Cisco, ma qualsiasi server RADIUS che supporti EAP-TLS e possa effettuare la convalida rispetto a una CA esterna funzionerà. È necessario importare la root CA di Cisco e i certificati ACT2 SUDI CA nell'archivio di attendibilità del server RADIUS. Questi certificati sono disponibili pubblicamente sul portale PKI di Cisco. Successivamente, configurate la policy 802.1X per richiedere l'autenticazione basata su certificato per i dispositivi infrastrutturali. Separate questa policy da quella di autenticazione degli utenti finali: i flussi di autenticazione del personale e degli ospiti sono diversi e dovrebbero risiedere su set di policy distinti in ISE. Per le nuove distribuzioni, abilitate il Zero Touch Provisioning. Il vostro sistema di gestione della rete (Cisco DNA Center o Catalyst Center) può utilizzare SUDI to verificare l'identità del dispositivo prima di inviare la configurazione. Questo elimina il processo di staging manuale e riduce i tempi di provisioning da ore a pochi minuti per dispositivo. Ora, passiamo alle trappole comuni. La più frequente consiste nel combinare l'autenticazione SUDI con il MAC Address Bypass sulla stessa porta. Se ricorrete al MAB in caso di errore di SUDI, compromettete l'intero modello di sicurezza. Definite una policy chiara: i dispositivi compatibili con SUDI devono autenticarsi tramite SUDI, senza eccezioni. I dispositivi non compatibili con SUDI vengono indirizzati a una VLAN di quarantena in attesa di verifica manuale. La seconda trappola è la scadenza dei certificati. Configurate subito il monitoraggio delle date di scadenza dei SUDI in tutta la vostra infrastruttura. Non aspettate un'interruzione del servizio per scoprire che i vostri access point non riescono più ad autenticarsi. La piattaforma di Purple si integra con Cisco Meraki e altri fornitori di hardware per mostrare i segnali di stato dei dispositivi, incluso lo stato di autenticazione, in un'unica dashboard, rendendo pratico questo tipo di monitoraggio proattivo su larga scala. La terza trappola è l'estensione impropria dell'ambito di applicazione. SUDI autentica il dispositivo hardware. Non autentica l'utente che si connette tramite quel dispositivo. È comunque necessario un livello di identità separato per ospiti, personale e residenti. È qui che si colloca una piattaforma come Purple: noi gestiamo il livello dell'identità umana, l'acquisizione del consenso, l'assegnazione delle VLAN per il traffico degli ospiti e la reportistica, mentre SUDI gestisce il livello infrastrutturale sottostante. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Passiamo a tre domande che mi vengono poste regolarmente. SUDI sostituisce la mia PKI esistente? No. SUDI è un IDevID installato dal produttore. Prova che il dispositivo è hardware Cisco originale. La vostra PKI aziendale emette LDevID e certificati utente per tutto il resto. Funzionano in parallelo. Posso usare SUDI su hardware non Cisco? No. SUDI è specifico di Cisco. HPE Aruba ha un equivalente chiamato certificati di provisioning IAP. Ruckus e Juniper Mist hanno i propri meccanismi di identità dei dispositivi. Lo standard sottostante, IEEE 802.1AR, è neutrale rispetto ai fornitori, ma ogni produttore lo implementa in modo diverso. Cosa succede quando un certificato SUDI scade? I servizi che si affidano a SUDI per l'autenticazione (HTTPS, SSH con autenticazione tramite certificato, Zero Touch Provisioning) smetteranno di funzionare. Il dispositivo in sé continua a funzionare, ma non può più dimostrare la propria identità crittograficamente. Ecco perché la migrazione a SUDI-2099 è importante. --- SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Per concludere: Cisco SUDI offre un'identità del dispositivo ancorata all'hardware che non può essere contraffatta, clonata o esportata. È la base di un livello infrastrutturale affidabile. Combinato con lo standard IEEE 802.1X e una policy RADIUS ben configurata, elimina il rischio di dispositivi non autorizzati e consente il provisioning automatizzato su larga scala. Le vostre tre azioni immediate: uno, verificate la scadenza dei SUDI nella vostra infrastruttura Cisco utilizzando il comando show crypto pki certificate. Due, importate la root CA di Cisco nell'archivio di attendibilità del server RADIUS e configurate le policy EAP-TLS per i dispositivi infrastrutturali. Tre, separate la policy di autenticazione dell'infrastruttura da quella degli utenti finali: servono a scopi diversi e devono essere gestite in modo indipendente. Se desiderate approfondire come Purple si integra con Cisco Meraki e altri fornitori di hardware per offrire una segmentazione della rete basata sull'identità per ospiti, personale e residenti, visitate purple.ai o leggete le guide correlate collegate sotto questo episodio. Grazie per l'ascolto. Ci vediamo al prossimo briefing. --- FINE DEL TESTO

header_image.png

Sintesi Esecutiva

L'autenticazione hardware protegge le fondamenta fisiche delle reti aziendali. Il Cisco Secure Unique Device Identifier (SUDI) fornisce un'identità immutabile e crittograficamente verificabile per i dispositivi infrastrutturali, integrata direttamente in un chip resistente alle manomissioni durante la produzione. Per i leader IT che gestiscono distribuzioni su larga scala nei settori dell'ospitalità, della vendita al dettaglio e pubblico, SUDI elimina il rischio di hardware non autorizzato e consente il Zero Touch Provisioning automatizzato.

Questa guida descrive in dettaglio l'architettura tecnica di Cisco SUDI, la sua integrazione con il controllo dell'accesso alla rete (NAC) IEEE 802.1X e i passaggi operativi necessari per distribuire e mantenere l'identità basata su hardware su larga scala. Imparerete come passare dal debole MAC address bypass a una solida autenticazione EAP-TLS, gestire il ciclo di vita dei certificati SUDI-2099 e allineare la sicurezza dell'infrastruttura con le piattaforme di gestione dell'identità degli utenti come Purple.

Approfondimento Tecnico

L'Architettura dell'Identità Hardware

Il Cisco Secure Unique Device Identifier (SUDI) è un certificato X.509v3 che fornisce un'identità permanente per i dispositivi di rete. A differenza dei certificati software generati e distribuiti dai team IT, Cisco inserisce il certificato SUDI e la relativa coppia di chiavi nel dispositivo durante il processo di produzione.

Il certificato è memorizzato in modo sicuro nel Trust Anchor module (TAm), un chip proprietario resistente alle manomissioni. Il TAm genera la chiave privata internamente, garantendo che non possa mai essere esportata o clonata. Questa root of trust hardware garantisce che, se un dispositivo si autentica correttamente utilizzando il proprio SUDI, si tratta di un prodotto Cisco originale.

SUDI implementa lo standard IEEE 802.1AR per i Secure Device Identifier. Secondo questo standard, il certificato fornito dal produttore è noto come Initial Device Identifier (IDevID). Le organizzazioni possono integrare l'IDevID con un Locally Significant Device Identifier (LDevID) emesso dalla propria Public Key Infrastructure (PKI) aziendale.

sudi_architecture_overview.png

Integrazione con il Controllo dell'Accesso alla Rete

In un ambiente aziendale, SUDI si integra con i sistemi di controllo dell'accesso alla rete (NAC) principalmente tramite l'autenticazione basata su porta IEEE 802.1X. Quando un access point o uno switch Cisco si connette alla rete, agisce come supplicant e presenta il proprio certificato SUDI a un server RADIUS, come Cisco Identity Services Engine (ISE).

Il processo di autenticazione utilizza l'Extensible Authentication Protocol con Transport Layer Security (EAP-TLS). Il server RADIUS convalida il certificato SUDI rispetto alla Public Key Infrastructure di Cisco. Una volta convalidato, il server RADIUS autorizza il dispositivo e lo assegna alla VLAN corretta in base alla policy di accesso alla rete.

Questo approccio sostituisce il MAC Address Bypass (MAB), un metodo legacy che si basa su indirizzi MAC facilmente falsificabili. Il MAB fornisce zero garanzie crittografiche sull'identità del dispositivo, lasciando le reti vulnerabili ad access point non autorizzati.

Fingerprinting Hardware e Rilevamento delle Manomissioni

Il Trust Anchor module fornisce molto di più di uno storage sicuro. Protegge attivamente il dispositivo da manomissioni fisiche durante il transito o la distribuzione.

Durante la produzione, Cisco registra un'impronta digitale crittografica dei componenti hardware critici, come CPU e ASIC. Questa impronta viene memorizzata in modo permanente nel TAm. All'avvio del dispositivo, il firmware UEFI calcola una nuova impronta dell'hardware rilevato e la confronta con l'impronta master nel TAm. Se le impronte non corrispondono, il dispositivo arresta il processo di avvio. Questo meccanismo garantisce che l'hardware distribuito in un hotel o in un negozio al dettaglio non sia stato compromesso tra la fabbrica e il sito di installazione.

Guida all'Implementazione

La distribuzione dell'autenticazione basata su SUDI richiede il coordinamento tra l'infrastruttura di switching, il server RADIUS e la piattaforma di gestione della rete. Seguite questi passaggi per implementare l'identità hardware.

Passaggio 1: Configurare l'Attendibilità RADIUS

Il server RADIUS deve considerare attendibile la Certificate Authority di Cisco che ha emesso il SUDI.

  1. Scaricate la Cisco Root CA e i certificati ACT2 SUDI CA dal portale Cisco PKI.
  2. Importate questi certificati nell'archivio dei certificati attendibili del server RADIUS (ad es. Cisco ISE).
  3. Configurate il server RADIUS per utilizzare questi certificati per l'autenticazione EAP-TLS.

Passaggio 2: Definire le Policy 802.1X

Create policy di autenticazione specifiche per i dispositivi infrastrutturali, separate dalle policy di autenticazione degli utenti.

  1. Create un set di policy in Cisco ISE che corrisponda agli attributi del certificato SUDI (ad es. confrontando il Subject Alternative Name con i PID previsti del dispositivo).
  2. Assegnate le autenticazioni andate a buon fine alla VLAN di gestione dell'infrastruttura.
  3. Configurate una VLAN di quarantena per i dispositivi che non superano l'autenticazione SUDI. Non configurate un fallback al MAB per le porte infrastrutturali.

Passaggio 3: Abilitare il Zero Touch Provisioning

Utilizzate SUDI per automatizzare l'onboarding dei dispositivi.

  1. Configurate il vostro sistema di gestione della rete (come Cisco Catalyst Center) affinché agisca come server ZTP.
  2. Quando un nuovo dispositivo si connette, presenta il proprio certificato SUDI.
  3. Il sistema di gestione verifica il certificato, conferma il numero di serie del dispositivo rispetto al database dell'inventario e invia la configurazione iniziale.

sudi_lifecycle_diagram.png

Passaggio 4: Gestire la Migrazione a SUDI-2099

I certificati SUDI emessi prima di maggio 2019 scadono 10 anni dopo la data dila data di fabbricazione o il 14 maggio 2029, a seconda di quale sia la data anteriore. Alla scadenza di un SUDI, le funzionalità che dipendono da esso, inclusi HTTPS, SSH e Zero Touch Provisioning, smetteranno di funzionare.

Cisco ha introdotto i certificati SUDI-2099, che rimangono validi fino a dicembre 2099. Per garantire la continuità:

  1. Esegui un audit del tuo inventario utilizzando il comando show crypto pki certificate sui dispositivi IOS-XE. Verifica la end date del trustpoint CISCO_IDEVID_SUDI.
  2. Aggiorna l'hardware interessato alle versioni software consigliate. Ad esempio, gli switch Catalyst 9200 richiedono IOS-XE 17.12.2 o versioni successive per gestire correttamente la data di scadenza del 2099.

Best Practice

Per massimizzare i vantaggi in termini di sicurezza dell'identità hardware, attieniti a questi principi indipendenti dal fornitore.

  1. Imponi EAP-TLS rigoroso: Richiedi EAP-TLS per tutti i dispositivi dell'infrastruttura. Non consentire metodi EAP più deboli come PEAP per l'autenticazione dei dispositivi.
  2. Isola l'identità dell'infrastruttura dall'identità dell'utente: SUDI autentica l'hardware, non l'utente. Utilizza una piattaforma dedicata per gestire l'identità umana. Ad esempio, usa Purple per gestire l'autenticazione degli ospiti, l'acquisizione del consenso e la raccolta di dati di prima parte, affidandoti al contempo a SUDI per proteggere l'hardware Cisco Meraki o HPE Aruba sottostante.
  3. Automatizza il monitoraggio dei certificati: Implementa strumenti di monitoraggio per tracciare le date di scadenza dei certificati in tutto il tuo parco macchine. Il monitoraggio proattivo previene improvvisi errori di autenticazione.
  4. Implementa la microsegmentazione: Utilizza l'identità verificata da SUDI per assegnare i dispositivi a VLAN rigorosamente controllate. Un access point deve avere raggiungibilità di rete solo verso il proprio controller e i sistemi di gestione, e nient'altro.

Risoluzione dei problemi e mitigazione dei rischi

Quando distribuisci l'autenticazione basata su SUDI, preparati a gestire questi scenari di errore comuni.

Scenario di errore Causa principale Strategia di mitigazione
L'autenticazione EAP-TLS non riesce Il server RADIUS non dispone dei certificati CA Cisco Root o Intermediate corretti. Verifica che la catena di attendibilità Cisco completa sia installata nell'archivio attendibile del server RADIUS.
Il dispositivo rifiuta l'avvio L'impronta digitale dell'hardware calcolata all'avvio non corrisponde all'impronta digitale master nel TAm. Tratta il dispositivo come compromesso. Restituisci l'hardware al fornitore tramite la procedura RMA.
L'accesso di gestione non riesce Il certificato SUDI è scaduto, interrompendo l'autenticazione del certificato HTTPS e SSH. Aggiorna il firmware del dispositivo a una versione che supporti SUDI-2099, oppure distribuisci un LDevID utilizzando la PKI aziendale.
Un dispositivo non autorizzato ottiene l'accesso La porta dello switch è configurata per il fallback su MAC Address Bypass (MAB) se l'802.1X non riesce. Rimuovi le configurazioni di fallback MAB dalle porte dell'infrastruttura. Imponi una policy 802.1X rigorosa.

ROI e impatto sul business

L'implementazione dell'identità del dispositivo basata su hardware offre un valore aziendale misurabile in tre aree.

1. Riduzione dei costi di provisioning Il Zero Touch Provisioning protetto da SUDI elimina la configurazione manuale. Invece di un tecnico che impiega 45 minuti a preconfigurare un access point prima di spedirlo a un punto vendita, il dispositivo viene spedito direttamente dal distributore. Si autentica in modo sicuro al momento della connessione e scarica automaticamente la sua configurazione. Per una distribuzione retail su 500 siti, ciò consente di risparmiare circa 375 ore di lavoro tecnico.

2. Eliminazione del rischio di dispositivi non autorizzati Sostituendo il MAC Address Bypass con l'identità hardware crittografica, elimini il rischio che un utente malintenzionato colleghi un dispositivo non autorizzato a una porta dell'infrastruttura. Ciò supporta direttamente la conformità ai requisiti PCI DSS e ISO 27001 per il controllo degli accessi alla rete.

3. Confini di identità chiari La distribuzione di SUDI stabilisce un confine architetturale netto. Il livello hardware si autentica crittograficamente, consentendoti di concentrare le tue risorse sul livello dell'identità dell'utente. Quando integri una piattaforma come Purple per gestire il Guest WiFi e la WiFi Analytics , lo fai su una base infrastrutturale verificabile e sicura.

Definizioni chiave

SUDI (Secure Unique Device Identifier)

Un certificato X.509v3 e la relativa chiave privata associata integrati in un dispositivo Cisco durante la produzione per fornire un'identità hardware immutabile.

Utilizzato dai team IT per verificare crittograficamente che un dispositivo che si connette alla rete sia un prodotto Cisco originale.

TAm (Trust Anchor module)

Un chip hardware proprietario e resistente alle manomissioni che memorizza in modo sicuro il certificato SUDI, genera chiavi crittografiche e gestisce il fingerprinting hardware.

Fornisce la root of trust hardware. Se il TAm è compromesso, il dispositivo non riuscirà ad avviarsi o ad autenticarsi.

IDevID (Initial Device Identifier)

L'identificatore sicuro del dispositivo installato dal produttore, definito dallo standard IEEE 802.1AR. Cisco SUDI è un'implementazione di un IDevID.

Fornisce l'identità fondamentale per un dispositivo prima che venga integrato nell'ambiente PKI dell'organizzazione.

LDevID (Locally Significant Device Identifier)

Un certificato di dispositivo emesso dalla Public Key Infrastructure aziendale dell'organizzazione, che integra l'IDevID del produttore.

Utilizzato quando i team IT richiedono che i dispositivi si autentichino utilizzando certificati emessi dalla propria CA aziendale interna anziché dalla CA del fornitore.

IEEE 802.1X

Lo standard IEEE per il controllo dell'accesso alla rete basato su porta, che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo principale utilizzato per applicare la sicurezza di rete, garantendo che solo i dispositivi e gli utenti autorizzati possano inviare traffico attraverso una porta dello switch.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un protocollo di autenticazione altamente sicuro che richiede sia al client che al server di autenticazione di dimostrare le proprie identità utilizzando certificati digitali.

Il metodo specifico utilizzato all'interno di 802.1X per convalidare il certificato SUDI tra il dispositivo di rete e il server RADIUS.

Zero Touch Provisioning (ZTP)

Un processo automatizzato che consente di eseguire il provisioning e la configurazione automatica dei dispositivi di rete senza intervento manuale.

SUDI protegge lo ZTP garantendo che il sistema di gestione invii le configurazioni solo a hardware originale e verificato.

MAC Address Bypass (MAB)

Un metodo di autenticazione legacy in cui uno switch utilizza l'indirizzo MAC del dispositivo di connessione come credenziale di identità.

Un metodo di fallback non sicuro che dovrebbe essere eliminato e sostituito dall'autenticazione 802.1X basata su SUDI.

Esempi pratici

Un hotel da 400 camere sta aggiornando la propria infrastruttura di rete e deve distribuire 250 nuovi access point Cisco Catalyst. Il team IT desidera evitare di configurare manualmente ogni dispositivo prima dell'installazione, garantendo al contempo che nessun dispositivo non autorizzato possa accedere alla VLAN di gestione.

  1. Il team IT configura Cisco ISE con la Cisco Root CA per considerare attendibili i certificati SUDI.
  2. Crea una policy 802.1X in ISE che assegna i dispositivi che presentano un SUDI valido a una VLAN di provisioning limitata.
  3. Gli access point vengono spediti direttamente all'hotel e collegati agli switch PoE.
  4. Ciascun AP si avvia, presenta il proprio SUDI tramite EAP-TLS e viene autenticato da ISE.
  5. Il sistema di gestione (Catalyst Center) verifica il numero di serie, esegue il provisioning dell'AP e ISE sposta la porta sulla VLAN di gestione della produzione.
Commento dell'esaminatore: Questo approccio utilizza il Zero Touch Provisioning protetto dall'identità hardware. Elimina i costi di staging manuale e impedisce ai dispositivi non autorizzati di sfruttare le porte di provisioning aperte. L'uso del Change of Authorization (CoA) per spostare il dispositivo da una VLAN di provisioning a una VLAN di produzione dimostra una solida segmentazione della rete.

Una catena di vendita al dettaglio nazionale con 1.200 negozi scopre che i propri switch legacy utilizzano il MAC Address Bypass (MAB) per autenticare gli access point. Devono migrare a uno standard sicuro senza causare interruzioni nei negozi.

  1. Il team di rete esegue un audit dell'inventario degli switch per confermare che tutti i dispositivi supportino 802.1X e SUDI.
  2. Distribuisce i certificati Cisco CA nella propria infrastruttura RADIUS.
  3. Configura le porte degli switch in 'monitor mode' (autenticazione aperta), consentendo ai dispositivi di tentare l'autenticazione 802.1X EAP-TLS utilizzando SUDI e di ricorrere al MAB in caso di errore, registrando i risultati.
  4. Dopo aver verificato nei log RADIUS che tutti gli AP legittimi si autenticano correttamente tramite SUDI, imposta le porte in 'closed mode', imponendo l'autenticazione 802.1X rigorosa e disabilitando il MAB.
Commento dell'esaminatore: La migrazione graduale tramite la modalità monitor è l'approccio operativo corretto per una grande rete di vendita al dettaglio. Consente al team di convalidare la catena di attendibilità PKI e la validità dei certificati senza rischiare l'isolamento di rete per gli access point. La rimozione completa del MAB è il passaggio finale necessario per proteggere l'ambiente.

Domande di esercitazione

Q1. Stai distribuendo 50 nuovi switch Cisco Catalyst in uno stadio. La policy di sicurezza impone una rigorosa autenticazione 802.1X per tutti i dispositivi infrastrutturali. Durante i test, gli switch non riescono ad autenticarsi sul server Cisco ISE. Qual è la causa più probabile?

Suggerimento: Considera la catena di attendibilità richiesta per l'autenticazione EAP-TLS.

Visualizza risposta modello

Nel server Cisco ISE mancano i certificati Cisco Root CA o ACT2 SUDI CA nell'archivio dei certificati attendibili. Senza di essi, ISE non può convalidare il certificato SUDI presentato dagli switch. È necessario scaricare i certificati dal portale Cisco PKI e importarli in ISE.

Q2. Un ingegnere di rete propone di configurare le porte dello switch per tentare prima l'autenticazione 802.1X, per poi ricorrere al MAC Address Bypass (MAB) se il dispositivo non dispone di un certificato valido. Perché dovresti rifiutare questa proposta per le porte infrastrutturali?

Suggerimento: Valuta l'efficacia in termini di sicurezza del meccanismo di fallback.

Visualizza risposta modello

Il ricorso al MAB compromette l'intero modello di sicurezza. Un utente malintenzionato potrebbe semplicemente collegare un dispositivo non autorizzato, attendere il timeout dell'802.1X e contraffare l'indirizzo MAC di un access point legittimo per accedere alla VLAN infrastrutturale. Le porte infrastrutturali dovrebbero imporre un'autenticazione 802.1X rigorosa con SUDI, e i dispositivi non conformi dovrebbero essere inseriti in una VLAN di quarantena limitata.

Q3. Stai eseguendo l'audit di una rete di switch Catalyst 9200 distribuiti nel 2018. Esegui il comando 'show crypto pki certificate' e noti che il trustpoint CISCO_IDEVID_SUDI scade a maggio 2029. Quale azione devi intraprendere per prevenire future interruzioni?

Suggerimento: Esamina i requisiti di migrazione a SUDI-2099 per l'hardware legacy.

Visualizza risposta modello

È necessario aggiornare il software IOS-XE sugli switch Catalyst 9200 alla versione 17.12.2 o successiva. Questo aggiornamento garantisce che l'hardware supporti correttamente l'estensione del certificato SUDI-2099, prolungando l'identità valida del dispositivo fino a dicembre 2099 ed evitando errori di autenticazione per servizi come HTTPS e ZTP.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle sedi un modello completo per l'implementazione di captive portal in grado di bilanciare la sicurezza di rete con un'elevata conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e l'autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Tratta dall'esperienza operativa di Purple in oltre 80.000 sedi e 440 milioni di accessi nel 2024, ogni raccomandazione si basa su dati di implementazione reali.

Leggi la guida →