Vaatleme praktikas Windows Active Directory + NPS (2 serverit veataluvuse jaoks) + 802.1x standardi kasutamist kasutajate - domeeniarvutite - seadmete juurdepääsu kontrollimiseks ja autentimiseks. Teooriaga saad tutvuda standardi järgi Vikipeedias, lingil:
Kuna minu "laboris" on piiratud ressursid, on NPS-i ja domeenikontrolleri rollid ühilduvad, kuid soovitan sellised kriitilised teenused eraldada.
Ma ei tea Windowsi NPS-i konfiguratsioonide (poliitikate) standardseid sünkroonimisviise, seega kasutame PowerShelli skripte, mille käivitas tegumiplaneerija (autor on minu endine kolleeg). Domeeniarvutite autentimiseks ja seadmete jaoks, mis seda ei oska 802.1x (telefonid, printerid jne), konfigureeritakse rühmapoliitika ja luuakse turvarühmad.
Artikli lõpus räägin mõnest 802.1x-ga töötamise keerukusest - kuidas saate kasutada haldamata lüliteid, dünaamilisi ACL-e jne. Jagan teavet tabatud "tõrgete" kohta ...
Alustame Windows Server 2012R2 tõrkeotsingu NPS-i installimise ja konfigureerimisega (2016. aastal on kõik endine): valige Serverihaldur -> Rollide ja funktsioonide lisamise viisardi kaudu ainult Network Policy Server.
või PowerShelliga:
Install-WindowsFeature NPAS -IncludeManagementTools
Väike täpsustus - mis puutub Kaitstud EAP (PEAP) kindlasti on vaja serveri autentsust kinnitavat sertifikaati (asjakohaste kasutusõigustega), mida klientarvutites usaldatakse, siis tuleb suure tõenäosusega roll paigaldada Sertifitseerimisasutus. Aga me eeldame seda CA olete juba installinud...
Teeme sama ka teises serveris. Loome mõlemas serveris skripti C:Scripts jaoks kausta ja teises serveris võrgukausta SRV2NPS-konfiguratsioon$
Loome esimeses serveris PowerShelli skripti C:ScriptsExport-NPS-config.ps1 järgmise sisuga:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"
Pärast seda seadistage ülesanne Task Scheduleris: "Ekspordi-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Käivita kõigile kasutajatele – käivitage kõrgeimate õigustega
Iga päev – korrake ülesannet iga 10 minuti järel. 8 tunni jooksul
Konfigureerige varu-NPS-is konfiguratsiooni (poliitika) importimine:
Looge PowerShelli skript:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1
ja ülesanne selle täitmiseks iga 10 minuti järel:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Käivita kõigile kasutajatele – käivitage kõrgeimate õigustega
Iga päev – korrake ülesannet iga 10 minuti järel. 8 tunni jooksul
Nüüd lisame kontrollimiseks ühe serveri NPS-i (!) RADIUS-klientide paar lülitit (IP ja jagatud saladus), kaks ühenduse taotlemise poliitikat: juhtmega Ühenda (Tingimus: "NAS-i pordi tüüp on Ethernet") ja WiFi-ettevõte (Tingimus: "NAS-i pordi tüüp on IEEE 802.11") ja võrgupoliitika Juurdepääs Cisco võrguseadmetele (Võrguadministraatorid):
Условия:
Группы Windows - domainsg-network-admins
Ограничения:
Методы проверки подлинности - Проверка открытым текстом (PAP, SPAP)
Параметры:
Атрибуты RADIUS: Стандарт - Service-Type - Login
Зависящие от поставщика - Cisco-AV-Pair - Cisco - shell:priv-lvl=15
Lüliti poolel järgmised seaded:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99
Pärast seadistamist peaksid 10 minuti pärast kõik poliitika sätted ilmuma varu-NPS-ile ja me saame lülititesse sisse logida ActiveDirectory kontoga, mis on domeenisg-network-admins grupi liige (mille oleme eelnevalt loonud).
Liigume edasi Active Directory seadistamise juurde – koosta grupi- ja paroolipoliitika, koosta vajalikud rühmad.
Grupipoliitika Arvutid-8021x-Seaded:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Loo turvagrupp sg-computers-8021x-vl100, kus lisame arvutid, mida tahame levitada vlan 100-sse ja seadistame selle grupi jaoks varem loodud rühmapoliitika jaoks filtreerimise:
Saate veenduda, et reegel on edukalt toiminud, avades "Võrgu- ja ühiskasutuskeskus (võrgu- ja Interneti-seaded) - Adapteri sätete muutmine (Adapteri sätete konfigureerimine) - Adapteri atribuudid", kus näeme vahekaarti "Autentimine".
Kui olete veendunud, et poliitika on edukalt rakendatud, saate jätkata võrgupoliitika konfigureerimist NPS-i ja juurdepääsutaseme lüliti portides.
Loome võrgupoliitika negag-computers-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Tüüpilised kommutaatori pordi seaded (pange tähele, et kasutusel on “mitme domeeni” autentimistüüp – Data & Voice, samuti on võimalus autentida mac-aadressi järgi. “Üleminekuperioodil” on mõttekas kasutada parameetrid:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id ei ole “karantiin”, vaid seesama, kuhu kasutajaarvuti peab pärast edukat sisselogimist pääsema – kuni veendume, et kõik töötab nii nagu peab. Samu parameetreid saab kasutada ka muudes stsenaariumides, näiteks kui sellesse porti on ühendatud haldamata lüliti ja soovite, et kõik sellega ühendatud ja autentimata seadmed langeksid teatud vlan-i (“karantiin”).
pordi seadete vahetamine 802.1x hostirežiimi mitme domeeni režiimis
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exit
Saate veenduda, et arvutitelefon on edukalt läbinud autentimise käsuga:
sh authentication sessions int Gi1/0/39 det
Nüüd loome rühma (näiteks sg-fgpp-mab ) Active Directory telefonidele ja lisage sellele üks testseade (minu puhul on see Grandstream GXP2160 mas-aadressiga 000b.82ba.a7b1 ja acc. konto domeen 00b82baa7b1).
Loodud rühma jaoks vähendage paroolipoliitika nõudeid (kasutades
see võimaldab meil paroolidena kasutada seadmete mas-aadresse. Pärast seda saame luua võrgupoliitika 802.1x meetodi mab autentimiseks, nimetagem seda neag-devices-8021x-voice. Parameetrid on järgmised:
- NAS-i pordi tüüp - Ethernet
- Windowsi rühmad - sg-fgpp-mab
- EAP tüübid: krüptimata autentimine (PAP, SPAP)
- RADIUSe atribuudid – tarnijaspetsiifiline: Cisco – Cisco-AV-paar – Atribuudi väärtus: device-traffic-class=voice
pärast edukat autentimist (ärge unustage lüliti pordi konfigureerimist) vaatame pordi teavet:
sh autentimine se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc Success
Nüüd, nagu lubatud, kaaluge paari mitte täiesti ilmset olukorda. Näiteks peame ühendama kasutajate arvutid ja seadmed haldamata lüliti (lüliti) kaudu. Sel juhul näevad selle pordi seaded välja järgmised:
pordi seadete vahetamine 802.1x hostirežiimi mitme autentimise režiimis
interface GigabitEthernet1/0/1
description *SW – 802.1x – 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! увеличиваем кол-во допустимых мас-адресов
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! – режим аутентификации
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shu
PS Täheldati väga kummalist tõrget - kui seade ühendati sellise lüliti kaudu ja seejärel ühendati see hallatava lülitiga, siis see EI tööta enne, kui me reboot (!) Lüliti. Ma ei ole leidnud muid lahendusi. see probleem.
Veel üks DHCP-ga seotud punkt (kui kasutatakse ip dhcp nuhkimist) - ilma nende valikuteta:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information option
millegipärast ei saa ma õiget IP-aadressi... kuigi see võib olla meie DHCP-serveri funktsioon
Samuti proovivad Mac OS ja Linux (milles on 802.1x tugi) kasutajat autentida, isegi kui on konfigureeritud autentimine Mac-aadressi järgi.
Artikli järgmises osas käsitleme 802.1x kasutamist traadita ühenduse jaoks (olenevalt grupist, kuhu kasutajakonto kuulub, "viskame" selle sobivasse võrku (vlan), kuigi nad loovad ühenduse sama SSID).
Allikas: www.habr.com