Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro

Parla in inglese britannico con un tono sicuro, autorevole e colloquiale - come un consulente senior per la sicurezza di rete che fa un briefing a un cliente durante un pranzo di lavoro. Ritmo misurato, articolazione chiara, occasionale arguzia asciutta. Non una conferenza. Non una presentazione di vendita. Un briefing tecnico peer-to-peer: Benvenuti nella serie di briefing tecnici di Purple. Sono il vostro ospite e oggi approfondiremo un argomento che ricorre spesso nelle distribuzioni di reti aziendali: Cisco SUDI. Ovvero il Secure Unique Device Identifier. Se state cercando una risposta chiara su cosa fa effettivamente, come si inserisce nell'autenticazione 802.1X e se è importante per la rete della vostra sede o del vostro campus, [breve pausa] siete nel posto giusto. Iniziamo con il problema principale. La maggior parte delle reti aziendali si affida ancora agli indirizzi MAC per identificare i dispositivi. Il MAC Authentication Bypass - o MAB - è ovunque. Il problema è che gli indirizzi MAC sono facilmente falsificabili. Un malintenzionato con un laptop e quindici minuti può clonare l'indirizzo MAC di un access point attendibile e accedere direttamente alla vostra rete. Questo non è un rischio teorico. È un vettore di attacco documentato, che la normativa PCI-DSS 4.0 indica specificamente come inadeguato per gli ambienti con dati dei titolari di carta. Quindi la domanda diventa: come si dimostra che un dispositivo è quello che dichiara di essere? Non solo "ha l'indirizzo MAC corretto" - ma dimostrarlo autenticamente, crittograficamente. È qui che entra in gioco SUDI. [breve pausa] Il Secure Unique Device Identifier di Cisco è un certificato X.509 versione 3, impresso nel modulo Trust Anchor del dispositivo - il chip TAm - durante la produzione. Il certificato contiene l'identificativo del prodotto e il numero di serie, ed è concatenato alla Certificate Authority root pubblica di Cisco. La chiave privata viene generata all'interno del chip TAm e non viene mai esportata. Mai. Non è possibile clonarla. Non è possibile falsificarla. L'identità è legata fisicamente al silicio. Questo rende SUDI un'implementazione di IEEE 802.1AR - lo standard per i Secure Device Identifiers. Nella terminologia 802.1AR, il SUDI è un IDevID - un Initial Device Identifier. È l'identità installata in fabbrica che dimostra che il dispositivo è un prodotto Cisco originale, fabbricato in una struttura nota, con un numero di serie noto. Ora, perché questo è importante nella pratica? Analizziamo il flusso di autenticazione. Quando un dispositivo Cisco - ad esempio, uno switch Catalyst o un access point Meraki - si connette alla rete, può fungere da supplicant 802.1X. Presenta il suo certificato SUDI all'autenticatore di rete, in genere una porta dello switch o un controller wireless. L'autenticatore inoltra tale credenziale a un server RADIUS - Cisco ISE è la scelta più comune in questo caso, ma qualsiasi server RADIUS conforme alla norma RFC 2865 funziona. Il server RADIUS convalida la catena di certificati fino alla CA root di Cisco. Se la catena è valida, il dispositivo è originale. L'accesso viene concesso e viene assegnata la VLAN appropriata. L'intero scambio utilizza EAP-TLS - Extensible Authentication Protocol con Transport Layer Security - ovvero la variante di autenticazione reciproca. Sia il dispositivo che la rete si autenticano a vicenda. Nessuna password. Nessun segreto condiviso. Nessun indirizzo MAC. Solo prova crittografica. [short pause] Parliamo di Zero Touch Provisioning, perché è qui che il SUDI diventa davvero utile per le implementazioni su larga scala. Immagina di distribuire 200 access point in una catena alberghiera o di implementare l'infrastruttura di rete in 40 punti vendita. Tradizionalmente, ciò richiede un tecnico in ogni sito per configurare manualmente ciascun dispositivo. Con lo ZTP basato su SUDI, il dispositivo si avvia, presenta la sua identità SUDI a un server di provisioning, il server convalida il certificato, confronta il numero di serie con il tuo inventario e invia la configurazione corretta - crittografata, in modo che solo quel dispositivo specifico possa decrittografarla. Il lavoro del tecnico si limita alla sola installazione fisica. La rete fa il resto. Per gli operatori del settore hospitality e retail, si tratta di un risparmio operativo significativo. Premier Inn, ad esempio, gestisce centinaia di strutture. La possibilità di spedire hardware già montato su rack a un sito e fare in modo che si configuri autonomamente a partire da un'identità nota fa la differenza tra una visita di collaudo di due giorni e una di due ore. [short pause] Ora entriamo nel dettaglio del ciclo di vita dei certificati, perché è qui che a volte i team vengono colti di sorpresa. I certificati SUDI originali venivano rilasciati con un periodo di validità di dieci anni dalla data di produzione, con scadenza massima fissata al 14 maggio 2029. Cisco ha emesso avvisi sul campo - FN 72094 e FN 72105 - relativi ai prodotti interessati. I dispositivi prodotti dopo maggio 2019 hanno una finestra di validità inferiore a dieci anni. Alla scadenza del SUDI, le funzionalità che si affidano ad esso per il TLS - come le interfacce di gestione HTTPS, l'autenticazione dei certificati SSH e lo ZTP - potrebbero smettere di funzionare. Il dispositivo in sé continua a funzionare; non si blocca. Ma questi specifici servizi autenticati si interrompono. La risposta di Cisco è stata l'introduzione dei certificati SUDI-2099 sull'hardware più recente, validi fino a dicembre 2099. Se acquisti infrastruttura Cisco oggi, riceverai il SUDI-2099. Se hai hardware più vecchio sul campo, controlla le date di scadenza con il comando "show crypto pki certificates" su IOS o IOS-XE. Pianifica il tuo ciclo di aggiornamento di conseguenza. [short pause] Bene, raccomandazioni per l'implementazione. Tre cose che direi a qualsiasi IT manager che implementa l'autenticazione basata su SUDI. Primo: crea la tua policy RADIUS attorno agli attributi del certificato, non solo alla catena dei certificati. Convalida il Subject CN confrontandolo con l'inventario dei tuoi dispositivi. Un certificato Cisco valido dimostra che il dispositivo è hardware originale Cisco - non dimostra che si tratta dello specifico dispositivo ordinato per quella sede. Verifica incrociata del numero di serie nella tua policy di autorizzazione RADIUS. Secondo: esegui SUDI parallelamente alla tua policy MAB esistente, non in sostituzione di essa, durante la migrazione. Utilizza il profiling di Cisco ISE per identificare quali dispositivi supportano l'802.1AR e spostali progressivamente verso l'autenticazione basata su certificati. I dispositivi IoT legacy - telecamere, controller HVAC, lettori di schede - spesso non supportano affatto l'802.1X. Il MAB rimane la soluzione di ripiego per questi ultimi. L'obiettivo è eliminare il MAB prima per i dispositivi di infrastruttura, dove il rischio è più elevato. Terzo: documenta le date di scadenza dei certificati nel tuo CMDB. Questo sembra ovvio, ma è proprio l'elemento che coglie di sorpresa i team. Uno switch che smette di accettare connessioni di gestione HTTPS perché la sua SUDI è scaduta non è un incidente divertente da diagnosticare alle due del mattino. [breve pausa] Domande a raffica. Ti darò risposte brevi. SUDI sostituisce l'802.1X? No. SUDI è la credenziale. L'802.1X è il framework di autenticazione. SUDI è ciò che si presenta durante uno scambio 802.1X. Posso usare SUDI con server RADIUS non Cisco? Sì. Qualsiasi server RADIUS che supporti EAP-TLS e sia in grado di convalidare una catena di certificati X.509 può funzionare con SUDI. È necessario importare il certificato della CA radice di Cisco nell'archivio attendibile del server RADIUS. Cisco Meraki supporta SUDI? Sì, per l'autenticazione dell'infrastruttura. Gli access point Meraki utilizzano la propria variante di certificati installati dal produttore per l'autenticazione con il controller cloud. Il dashboard Meraki è stato aggiornato per gestire la scadenza di SUDI prima della scadenza del 2026. E per quanto riguarda Purple WiFi? Purple funziona come un overlay cloud sopra la tua infrastruttura esistente - Cisco Meraki, HPE Aruba, Ruckus e altri. Il livello Identity-Based Networks di Purple si colloca sopra il piano di autenticazione hardware. SUDI protegge i dispositivi di infrastruttura stessi. Purple protegge il livello di identità di visitatori e personale sovrastante. I due sistemi sono complementari, non in competizione. [breve pausa] Per riassumere. Cisco SUDI ti offre un'identità di dispositivo ancorata all'hardware e verificabile crittograficamente. Elimina lo spoofing del MAC come vettore di attacco per i dispositivi di infrastruttura. Consente il Zero Touch Provisioning su scala. È in linea con i requisiti di controllo IEEE 802.1AR, PCI DSS 4.0 e ISO 27001. E si integra perfettamente con qualsiasi infrastruttura RADIUS compatibile con 802.1X ed EAP-TLS. I prossimi passi pratici: esegui un audit dell'inventario dei tuoi dispositivi Cisco per le date di scadenza dei certificati SUDI, identifica quali dispositivi eseguono il MAB che potrebbero essere migrati all'autenticazione basata su certificati e rivedi la tua policy RADIUS per aggiungere la convalida del numero di serie insieme ai controlli della catena di attendibilità. Se utilizzi Purple nelle tue sedi, il nostro team può mostrarti come Identity-Based Networks si mappa sulla tua infrastruttura Cisco esistente. Il link si trova nelle note dell'episodio. Grazie per l'ascolto. Alla prossima.