Καλώς ήρθατε στην τρίτη ανάρτηση της σειράς Cisco ISE. Οι σύνδεσμοι προς όλα τα άρθρα της σειράς δίνονται παρακάτω:
Σε αυτήν την ανάρτηση, θα βουτήξετε στην πρόσβαση επισκεπτών, καθώς και έναν οδηγό βήμα προς βήμα για την ενσωμάτωση του Cisco ISE και του FortiGate για τη διαμόρφωση του FortiAP, ενός σημείου πρόσβασης από το Fortinet (γενικά, οποιαδήποτε συσκευή υποστηρίζει RADIUS CoA — Αλλαγή εξουσιοδότησης).
Επισυνάπτονται τα άρθρα μας. .
ΣημείωσηA: Οι συσκευές SMB Check Point δεν υποστηρίζουν RADIUS CoA.
εκπληκτικός περιγράφει στα αγγλικά πώς να δημιουργήσετε μια πρόσβαση επισκέπτη χρησιμοποιώντας το Cisco ISE σε ένα Cisco WLC (Wireless Controller). Ας το καταλάβουμε!
1. Εισαγωγή
Η πρόσβαση επισκέπτη (πύλη) σάς επιτρέπει να παρέχετε πρόσβαση στο Διαδίκτυο ή σε εσωτερικούς πόρους για επισκέπτες και χρήστες που δεν θέλετε να επιτρέψετε στο τοπικό σας δίκτυο. Υπάρχουν 3 προκαθορισμένοι τύποι πύλης επισκεπτών (Guest portal):
-
Πύλη Hotspot Guest - Η πρόσβαση στο δίκτυο παρέχεται στους επισκέπτες χωρίς δεδομένα σύνδεσης. Οι χρήστες πρέπει γενικά να αποδεχτούν την "Πολιτική Χρήσης και Απορρήτου" της εταιρείας πριν από την πρόσβαση στο δίκτυο.
-
Πύλη Sponsored-Guest - η πρόσβαση στο δίκτυο και τα δεδομένα σύνδεσης πρέπει να εκδοθούν από τον χορηγό - τον χρήστη που είναι υπεύθυνος για τη δημιουργία λογαριασμών επισκεπτών στο Cisco ISE.
-
Αυτοεγγεγραμμένη πύλη επισκεπτών - σε αυτήν την περίπτωση, οι επισκέπτες χρησιμοποιούν τα υπάρχοντα στοιχεία σύνδεσης ή δημιουργούν έναν λογαριασμό για τον εαυτό τους με στοιχεία σύνδεσης, αλλά απαιτείται επιβεβαίωση χορηγού για να αποκτήσουν πρόσβαση στο δίκτυο.
Πολλές πύλες μπορούν να αναπτυχθούν ταυτόχρονα στο Cisco ISE. Από προεπιλογή, στην πύλη επισκεπτών, ο χρήστης θα δει το λογότυπο της Cisco και τις τυπικές κοινές φράσεις. Όλα αυτά μπορούν να προσαρμοστούν και ακόμη και να ρυθμιστούν ώστε να προβάλλονται υποχρεωτικές διαφημίσεις πριν αποκτήσετε πρόσβαση.
Η ρύθμιση της πρόσβασης επισκέπτη μπορεί να αναλυθεί σε 4 κύρια βήματα: Ρύθμιση FortiAP, συνδεσιμότητα Cisco ISE και FortiAP, δημιουργία πύλης επισκέπτη και ρύθμιση πολιτικής πρόσβασης.
2. Διαμόρφωση του FortiAP στο FortiGate
Το FortiGate είναι ένας ελεγκτής σημείου πρόσβασης και όλες οι ρυθμίσεις γίνονται σε αυτό. Τα σημεία πρόσβασης FortiAP υποστηρίζουν PoE, οπότε αφού το συνδέσετε στο δίκτυο μέσω Ethernet, μπορείτε να ξεκινήσετε τη διαμόρφωση.
1) Στο FortiGate, μεταβείτε στην καρτέλα Ελεγκτής WiFi & Switch > Διαχειριζόμενα FortiAP > Δημιουργία νέου > Διαχειριζόμενο AP. Χρησιμοποιώντας τον μοναδικό σειριακό αριθμό του σημείου πρόσβασης, ο οποίος είναι τυπωμένος στο ίδιο το σημείο πρόσβασης, προσθέστε το ως αντικείμενο. Ή μπορεί να εμφανιστεί και μετά να πατήσει Εξουσιοδοτώ χρησιμοποιώντας το δεξί κουμπί του ποντικιού.
2) Οι ρυθμίσεις FortiAP μπορούν να είναι προεπιλεγμένες, για παράδειγμα, αφήστε όπως στο στιγμιότυπο οθόνης. Συνιστώ ανεπιφύλακτα να ενεργοποιήσετε τη λειτουργία 5 GHz, επειδή ορισμένες συσκευές δεν υποστηρίζουν 2.4 GHz.
3) Στη συνέχεια στην καρτέλα Ελεγκτής WiFi & Switch > Προφίλ FortiAP > Δημιουργία νέου δημιουργούμε ένα προφίλ ρυθμίσεων για το σημείο πρόσβασης (έκδοση πρωτοκόλλου 802.11, λειτουργία SSID, συχνότητα καναλιού και ο αριθμός τους).
Παράδειγμα ρυθμίσεων FortiAP
4) Το επόμενο βήμα είναι να δημιουργήσετε ένα SSID. Μεταβείτε στην καρτέλα Ελεγκτής WiFi & Switch > SSID > Δημιουργία νέου > SSID. Εδώ από το σημαντικό θα πρέπει να διαμορφωθεί:
-
χώρος διευθύνσεων για επισκέπτη WLAN - IP/Netmask
-
RADIUS Accounting και Secure Fabric Connection στο πεδίο Administrative Access
-
Επιλογή ανίχνευσης συσκευής
-
Επιλογή SSID και Broadcast SSID
-
Ρυθμίσεις Λειτουργίας Ασφαλείας > Αιχμαλωτισμένη πύλη
-
Πύλη ελέγχου ταυτότητας - Εξωτερική και εισαγάγετε έναν σύνδεσμο στη δημιουργημένη πύλη επισκέπτη από το Cisco ISE από το βήμα 20
-
Ομάδα χρηστών - Ομάδα επισκεπτών - Εξωτερική - προσθήκη RADIUS στο Cisco ISE (σελ. 6 και μετά)
Παράδειγμα ρύθμισης SSID
5) Στη συνέχεια, θα πρέπει να δημιουργήσετε κανόνες στην πολιτική πρόσβασης στο FortiGate. Μεταβείτε στην καρτέλα Πολιτική και αντικείμενα > Πολιτική τείχους προστασίας και δημιουργήστε έναν κανόνα όπως αυτός:
3. Ρύθμιση RADIUS
6) Μεταβείτε στη διεπαφή ιστού Cisco ISE στην καρτέλα Πολιτική > Στοιχεία πολιτικής > Λεξικά > Σύστημα > Ακτίνα > RADIUS Προμηθευτές > Προσθήκη. Σε αυτήν την καρτέλα, θα προσθέσουμε το Fortinet RADIUS στη λίστα των υποστηριζόμενων πρωτοκόλλων, καθώς σχεδόν κάθε προμηθευτής έχει τα δικά του συγκεκριμένα χαρακτηριστικά - VSA (Vendor-Specific Attributes).
Μπορείτε να βρείτε μια λίστα με τα χαρακτηριστικά Fortinet RADIUS . Τα VSA διακρίνονται από τον μοναδικό αριθμό αναγνωριστικού προμηθευτή τους. Το Fortinet έχει αυτό το αναγνωριστικό = 12356. Γεμάτος Το VSA δημοσιεύτηκε από το IANA.
7) Ορίστε το όνομα του λεξικού, καθορίστε αναγνωριστικό προμηθευτή (12356) και πιέστε Υποβάλλουν.
8) Αφού πάμε στο Διαχείριση > Προφίλ συσκευής δικτύου > Προσθήκη και δημιουργήστε ένα νέο προφίλ συσκευής. Στο πεδίο Λεξικά RADIUS, επιλέξτε το λεξικό Fortinet RADIUS που δημιουργήθηκε προηγουμένως και επιλέξτε τις μεθόδους CoA που θα χρησιμοποιήσετε αργότερα στην πολιτική ISE. Επέλεξα το RFC 5176 και το Port Bounce (διασύνδεση δικτύου τερματισμού/χωρίς τερματισμό) και τα αντίστοιχα VSA:
Fortinet-Access-Profile=read-write
Fortinet-Group-Name = fmg_faz_admins
9) Στη συνέχεια, προσθέστε το FortiGate για συνδεσιμότητα με το ISE. Για να το κάνετε αυτό, μεταβείτε στην καρτέλα Διαχείριση > Πόροι δικτύου > Προφίλ συσκευής δικτύου > Προσθήκη. Πεδία προς αλλαγή Λεξικά Όνομα, Πωλητής, RADIUS (Η διεύθυνση IP χρησιμοποιείται από το FortiGate και όχι από το FortiAP).
Παράδειγμα διαμόρφωσης RADIUS από την πλευρά ISE
10) Μετά από αυτό, θα πρέπει να ρυθμίσετε τις παραμέτρους του RADIUS στην πλευρά του FortiGate. Στη διεπαφή ιστού FortiGate, μεταβείτε στο Χρήστης και έλεγχος ταυτότητας > Διακομιστές RADIUS > Δημιουργία νέου. Καθορίστε το όνομα, τη διεύθυνση IP και το κοινό μυστικό (κωδικός πρόσβασης) από την προηγούμενη παράγραφο. Επόμενο κλικ Δοκιμή διαπιστευτηρίων χρήστη και εισαγάγετε τυχόν διαπιστευτήρια που μπορούν να ανακτηθούν μέσω RADIUS (για παράδειγμα, ένας τοπικός χρήστης στο Cisco ISE).
11) Προσθέστε έναν διακομιστή RADIUS στην ομάδα επισκεπτών (αν δεν υπάρχει) καθώς και μια εξωτερική πηγή χρηστών.
12) Μην ξεχάσετε να προσθέσετε το Guest-Group στο SSID που δημιουργήσαμε νωρίτερα στο βήμα 4.
4. Ρύθμιση ελέγχου ταυτότητας χρήστη
13) Προαιρετικά, μπορείτε να εισαγάγετε ένα πιστοποιητικό στην πύλη επισκεπτών ISE ή να δημιουργήσετε ένα αυτο-υπογεγραμμένο πιστοποιητικό στην καρτέλα Κέντρα εργασίας > Πρόσβαση επισκέπτη > Διαχείριση > Πιστοποίηση > Πιστοποιητικά συστήματος.
14) Μετά στην καρτέλα Κέντρα εργασίας > Πρόσβαση επισκέπτη > Ομάδες ταυτότητας > Ομάδες ταυτότητας χρήστη > Προσθήκη δημιουργήστε μια νέα ομάδα χρηστών για πρόσβαση επισκέπτη ή χρησιμοποιήστε τις προεπιλεγμένες.
15) Περαιτέρω στην καρτέλα Διοίκηση > Ταυτότητες δημιουργήστε επισκέπτες επισκέπτες και προσθέστε τους στις ομάδες από την προηγούμενη παράγραφο. Εάν θέλετε να χρησιμοποιήσετε λογαριασμούς τρίτων, παραλείψτε αυτό το βήμα.
16) Αφού πάμε στις ρυθμίσεις Κέντρα εργασίας > Πρόσβαση επισκέπτη > Ταυτότητες > Ακολουθία πηγής ταυτότητας > Ακολουθία πύλης επισκεπτών — Αυτή είναι η προεπιλεγμένη ακολουθία ελέγχου ταυτότητας για επισκέπτες χρήστες. Και στο χωράφι Λίστα αναζήτησης ελέγχου ταυτότητας επιλέξτε τη σειρά ελέγχου ταυτότητας χρήστη.
17) Για να ειδοποιήσετε τους επισκέπτες με έναν κωδικό πρόσβασης μίας χρήσης, μπορείτε να διαμορφώσετε τους παρόχους SMS ή έναν διακομιστή SMTP για αυτόν τον σκοπό. Μεταβείτε στην καρτέλα Κέντρα εργασίας > Πρόσβαση επισκέπτη > Διαχείριση > Διακομιστής SMTP ή Πάροχοι πύλης SMS για αυτές τις ρυθμίσεις. Στην περίπτωση διακομιστή SMTP, πρέπει να δημιουργήσετε έναν λογαριασμό για το ISE και να καθορίσετε τα δεδομένα σε αυτήν την καρτέλα.
18) Για ειδοποιήσεις SMS, χρησιμοποιήστε την κατάλληλη καρτέλα. Το ISE έχει προεγκατεστημένα προφίλ δημοφιλών παρόχων SMS, αλλά είναι καλύτερο να δημιουργήσετε το δικό σας. Χρησιμοποιήστε αυτά τα προφίλ ως παράδειγμα ρύθμισης SMS Email Gatewayy ή SMS HTTP API.
Ένα παράδειγμα ρύθμισης ενός διακομιστή SMTP και μιας πύλης SMS για έναν κωδικό πρόσβασης μίας χρήσης
5. Ρύθμιση της πύλης επισκεπτών
19) Όπως αναφέρθηκε στην αρχή, υπάρχουν 3 τύποι προεγκατεστημένων πυλών επισκεπτών: Hotspot, Sponsored, Self-Registered. Προτείνω να επιλέξετε την τρίτη επιλογή, καθώς είναι η πιο κοινή. Σε κάθε περίπτωση, οι ρυθμίσεις είναι σε μεγάλο βαθμό ίδιες. Ας πάμε λοιπόν στην καρτέλα. Κέντρα εργασίας > Πρόσβαση επισκέπτη > Πύλες και στοιχεία > Πύλες επισκεπτών > Πύλη επισκέπτη που έχει εγγραφεί από μόνος του (προεπιλογή).
20) Στη συνέχεια, στην καρτέλα Προσαρμογή σελίδας πύλης, επιλέξτε "Προβολή στα ρωσικά - ρωσικά", ώστε η πύλη να εμφανίζεται στα ρωσικά. Μπορείτε να αλλάξετε το κείμενο οποιασδήποτε καρτέλας, να προσθέσετε το λογότυπό σας και πολλά άλλα. Στα δεξιά στη γωνία υπάρχει μια προεπισκόπηση της πύλης επισκεπτών για καλύτερη προβολή.
Παράδειγμα διαμόρφωσης μιας πύλης επισκεπτών με αυτοεγγραφή
21) Κάντε κλικ σε μια φράση Δοκιμαστική διεύθυνση URL πύλης και αντιγράψτε τη διεύθυνση URL της πύλης στο SSID του FortiGate στο βήμα 4. Δείγμα διεύθυνσης URL
Για να εμφανίσετε τον τομέα σας, πρέπει να ανεβάσετε το πιστοποιητικό στην πύλη επισκέπτη, δείτε το βήμα 13.
22) Μεταβείτε στην καρτέλα Κέντρα εργασίας > Πρόσβαση επισκέπτη > Στοιχεία πολιτικής > Αποτελέσματα > Προφίλ εξουσιοδότησης > Προσθήκη για να δημιουργήσετε ένα προφίλ εξουσιοδότησης κάτω από το προηγουμένως δημιουργημένο Προφίλ συσκευής δικτύου.
23) Στην καρτέλα Κέντρα εργασίας > Πρόσβαση επισκέπτη > Σύνολα πολιτικών επεξεργαστείτε την πολιτική πρόσβασης για χρήστες WiFi.
24) Ας προσπαθήσουμε να συνδεθούμε στο SSID επισκέπτη. Με ανακατευθύνει αμέσως στη σελίδα σύνδεσης. Εδώ μπορείτε να συνδεθείτε με τον λογαριασμό επισκέπτη που δημιουργήθηκε τοπικά στο ISE ή να εγγραφείτε ως επισκέπτης χρήστης.
25) Εάν έχετε επιλέξει την επιλογή αυτο-εγγραφής, τότε τα δεδομένα σύνδεσης εφάπαξ μπορούν να σταλούν ταχυδρομικά, μέσω SMS ή να εκτυπωθούν.
26) Στην καρτέλα RADIUS > Live Logs στο Cisco ISE, θα δείτε τα αντίστοιχα αρχεία καταγραφής σύνδεσης.
6. Συμπέρασμα
Σε αυτό το εκτενές άρθρο, έχουμε διαμορφώσει με επιτυχία την πρόσβαση επισκέπτη στο Cisco ISE, όπου το FortiGate ενεργεί ως ελεγκτής σημείου πρόσβασης και το FortiAP ως σημείο πρόσβασης. Αποδείχθηκε ένα είδος μη τετριμμένης ολοκλήρωσης, που αποδεικνύει για άλλη μια φορά την ευρεία χρήση του ISE.
Για να δοκιμάσετε το Cisco ISE, επικοινωνήστε και επίσης μείνετε συντονισμένοι στα κανάλια μας (, , , , ).
Πηγή: www.habr.com