Gateway

Análisis de EPA en busca de direcciones MAC

A partir de la versión 13.0-88.x de NetScaler ADC, puede configurar las configuraciones de análisis de EPA para las direcciones MAC permitidas o específicas. NetScaler ADC utiliza expresiones de directivas y conjuntos de patrones para especificar la lista de direcciones MAC.

Antes de la versión 13.0-88.x de NetScaler ADC, la lista de todas las direcciones MAC permitidas debía especificarse como parte de una expresión de EPA. Si los clientes tenían una lista enorme de direcciones MAC permitidas, resultaba engorroso agregar todas las direcciones MAC en una sola expresión. Además, había una limitación en la cantidad de direcciones MAC que se agregaban en una sola expresión.

Por ejemplo,

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

Configurar el análisis de EPA de direcciones MAC mediante la interfaz gráfica de usuario

Ahora, la opción Direcciones MAC (expresión) que estaba disponible anteriormente en la categoría de análisis Windows está disponible en la categoría de análisis Común de la GUI de NetScaler ADC. Esta opción permite a los usuarios configurar un análisis de EPA para obtener una lista de direcciones MAC específicas o permitidas.

Nota:

El cliente Citrix Secure Access 22.10.1 y las versiones posteriores admiten este método en el que NetScaler ADC gestiona las configuraciones de escaneo EPA en la GUI.

EPA analiza análisis comunes

  1. Configure un conjunto de patrones. Para obtener más información, consulte Configuración de un conjunto de patrones.

  2. Cree una expresión de directiva correspondiente para cada conjunto de patrones.

    Al configurar la expresión, en el Editor de expresiones, seleccione AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY(cadena) > Conjunto de patrones.

    Para obtener más información sobre la configuración de una expresión avanzada, consulte Configurar expresiones de directiva avanzadas en una directiva.

  3. Cree un análisis de EPA para la expresión configurada en los pasos anteriores. Para obtener más información, consulte Análisis avanzados de endpoints.

Configurar el análisis de EPA de direcciones MAC mediante la CLI

  1. Almacene las direcciones MAC dentro de conjuntos de patrones.

    En la línea de comandos, escriba;

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset1 02-50-F2-0A-77-7C… y así sucesivamente hasta 3K entradas. add policy patset patset2 bind policy patset2 patset2 1A-2B-3C-4D-5E-6A bind policy patset2 1A-2B-3C-4D-5E-6B… y así sucesivamente hasta 3K entradas. ```

  2. Cree una expresión de directiva correspondiente para cada conjunto de patrones mediante aaa.login.client_mac_addr.equals_any ()

    En la línea de comandos, escriba;

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    Ejemplo:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. Cree escaneos de EPA mediante las expresiones de directivas

    En la línea de comandos, escriba;

    add authentication epaAction <name>  -csecexpr <expression>
    

    Ejemplo:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    

    Configurar una directiva de preautenticación,

    add authentication Policy epapol -rule true -action epa
    

    Vincular la directiva de preautenticación,

    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

Puntos que tener en cuenta

  • La configuración de un escaneo EPA para obtener una lista permitida de direcciones MAC solo se aplica a los flujos de autenticación de nFactor.
  • Se recomienda almacenar no más de 3000 entradas en un conjunto de patrones.
  • Las direcciones MAC deben configurarse en el formato 1A-2B-3C-4D-5E-6F.
  • El formato de la exploración de EPA es mac-addr_0_<policy-expression-name>. En este formato, mac-addr_0_ es un valor estático y debe introducir el nombre de la expresión de directiva después de mac-addr_0_.
  • Las exploraciones de EPA se pueden separar adecuadamente con los símbolos ( ||, &&).
  • Para agregar muchas direcciones MAC a un conjunto de patrones, puede utilizar la importación de conjuntos de patrones basados en archivos. Se recomienda almacenar un máximo de 3000 entradas/conjunto de patrones para un rendimiento óptimo.
  • Si las direcciones MAC están presentes dentro de un archivo, puede crear un conjunto de patrones mediante la importación de conjuntos de patrones basados en archivos y especificando el delimitador apropiado durante la importación.

Referencias

Análisis de EPA en busca de direcciones MAC