Kontuan izan dezagun praktikan Windows Active Directory + NPS (2 zerbitzari akatsen tolerantziarako) + 802.1x estandarra erabiltzaileen - domeinuko ordenagailuak - gailuen sarbidea kontrolatzeko eta autentifikatzeko. Wikipediako estandarraren araberako teoria ezagutu dezakezu, estekan:
Nire "laborategia" baliabideetan mugatua denez, NPS eta domeinu-kontrolatzailearen rolak bateragarriak dira, baina zerbitzu kritiko horiek bereiztea gomendatzen dut.
Ez dakit Windows NPSren konfigurazioak (politikak) sinkronizatzeko modu estandarrak, beraz, zereginen programatzaileak abiarazitako PowerShell scriptak erabiliko ditugu (egilea nire lankide ohia da). Domeinuko ordenagailuen autentifikaziorako eta nola ez dakiten gailuetarako 802.1x (telefonoak, inprimagailuak, etab.), talde-politika konfiguratuko da eta segurtasun-taldeak sortuko dira.
Artikuluaren amaieran 802.1x-ekin lan egiteko zailtasun batzuei buruz hitz egingo dut: kudeatu gabeko etengailuak, ACL dinamikoak eta abar nola erabil ditzakezun. Harrapatutako "arazoei" buruzko informazioa partekatuko dut ...
Has gaitezen failover NPS instalatzen eta konfiguratzen Windows Server 2012R2-n (2016an dena berdina da): Zerbitzariaren Kudeatzailea -> Gehitu Rolak eta Ezaugarrien Morroia, hautatu Sareko Politika Zerbitzaria soilik.
edo PowerShell-ekin:
Install-WindowsFeature NPAS -IncludeManagementToolsArgibide txiki bat - dagokionez Babestutako EAP (PEAP) zalantzarik gabe, zerbitzariaren benetakotasuna egiaztatzen duen ziurtagiria beharko duzu (erabiltzeko eskubide egokiekin), bezero-ordenagailuetan fidagarria izango dena, eta, ziurrenik, rola instalatu beharko duzu. Ziurtagiriaren Agintaritza. Baina hori suposatuko dugu CA dagoeneko instalatu duzu...
Egin dezagun gauza bera bigarren zerbitzarian. Sortu dezagun C:Scripts script-erako karpeta bat bi zerbitzarietan eta sareko karpeta bat bigarren zerbitzarian SRV2NPS-config$
Sortu dezagun PowerShell script bat lehen zerbitzarian C:ScriptsExport-NPS-config.ps1 eduki honekin:
Export-NpsConfiguration -Path "SRV2NPS-config$NPS.xml"Horren ondoren, konfiguratu zeregina Zereginen Antolatzailean: "Esportatu-NpsConfiguration"
powershell -executionpolicy unrestricted -f "C:ScriptsExport-NPS-config.ps1"
Exekutatu erabiltzaile guztientzat - Exekutatu pribilegio handienekin
Egunero - Errepikatu zeregina 10 minutuz behin. 8 orduko epean
NPS babeskopian, konfiguratu konfigurazio (politika) inportazioa:
Sortu PowerShell script bat:
echo Import-NpsConfiguration -Path "c:NPS-configNPS.xml" >> C:ScriptsImport-NPS-config.ps1eta 10 minuturo exekutatzeko zeregin bat:
powershell -executionpolicy unrestricted -f "C:ScriptsImport-NPS-config.ps1"
Exekutatu erabiltzaile guztientzat - Exekutatu pribilegio handienekin
Egunero - Errepikatu zeregina 10 minutuz behin. 8 orduko epean
Orain, egiaztatzeko, gehi ditzagun NPS-ra zerbitzarietako batean (!) RADIUS bezeroetan etengailu pare bat (IP eta Shared Secret), bi konexio eskaera politika: KABLEATUA Konektatu (Baldintza: βNAS ataka mota Ethernet daβ) eta WiFi-Enpresa (Baldintza: "NAS ataka mota IEEE 802.11 da") eta sare-politika Sartu Cisco sareko gailuetara (Sareko administratzaileak):
Π£ΡΠ»ΠΎΠ²ΠΈΡ:
ΠΡΡΠΏΠΏΡ Windows - domainsg-network-admins
ΠΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ:
ΠΠ΅ΡΠΎΠ΄Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡΠΈ - ΠΡΠΎΠ²Π΅ΡΠΊΠ° ΠΎΡΠΊΡΡΡΡΠΌ ΡΠ΅ΠΊΡΡΠΎΠΌ (PAP, SPAP)
ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ:
ΠΡΡΠΈΠ±ΡΡΡ RADIUS: Π‘ΡΠ°Π½Π΄Π°ΡΡ - Service-Type - Login
ΠΠ°Π²ΠΈΡΡΡΠΈΠ΅ ΠΎΡ ΠΏΠΎΡΡΠ°Π²ΡΠΈΠΊΠ° - Cisco-AV-Pair - Cisco - shell:priv-lvl=15Etengailuaren aldean, ezarpen hauek:
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa group server radius NPS
server-private 192.168.38.151 auth-port 1812 acct-port 1813 key %shared_secret%
server-private 192.168.10.151 auth-port 1812 acct-port 1813 key %shared_secret%
!
aaa authentication login default group NPS local
aaa authentication dot1x default group NPS
aaa authorization console
aaa authorization exec default group NPS local if-authenticated
aaa authorization network default group NPS
!
aaa session-id common
!
identity profile default
!
dot1x system-auth-control
!
!
line vty 0 4
exec-timeout 5 0
transport input ssh
escape-character 99
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
escape-character 99Ezarri ondoren, 10 minuturen buruan, politika-ezarpen guztiak babeskopiko NPSn agertu beharko lirateke eta etengailuetan saioa hasi ahal izango dugu ActiveDirectory kontua erabiliz, domainsg-network-admins taldeko kidea (aldez aurretik sortu genuena).
Goazen Active Directory konfiguratzera - sortu talde eta pasahitz politika, sortu beharrezko taldeak.
Talde-politika Ordenagailuak-8021x-Ezarpenak:
Computer Configuration (Enabled)
Policies
Windows Settings
Security Settings
System Services
Wired AutoConfig (Startup Mode: Automatic)
Wired Network (802.3) Policies
NPS-802-1x
Name NPS-802-1x
Description 802.1x
Global Settings
SETTING VALUE
Use Windows wired LAN network services for clients Enabled
Shared user credentials for network authentication Enabled
Network Profile
Security Settings
Enable use of IEEE 802.1X authentication for network access Enabled
Enforce use of IEEE 802.1X authentication for network access Disabled
IEEE 802.1X Settings
Computer Authentication Computer only
Maximum Authentication Failures 10
Maximum EAPOL-Start Messages Sent
Held Period (seconds)
Start Period (seconds)
Authentication Period (seconds)
Network Authentication Method Properties
Authentication method Protected EAP (PEAP)
Validate server certificate Enabled
Connect to these servers
Do not prompt user to authorize new servers or trusted certification authorities Disabled
Enable fast reconnect Enabled
Disconnect if server does not present cryptobinding TLV Disabled
Enforce network access protection Disabled
Authentication Method Configuration
Authentication method Secured password (EAP-MSCHAP v2)
Automatically use my Windows logon name and password(and domain if any) Enabled
Sortu segurtasun talde bat sg-computers-8021x-vl100, non vlan 100-ra banatu nahi ditugun ordenagailuak gehituko ditugu eta talde honetarako aurretik sortutako talde-politikaren iragazketa ezarriko dugu:
Politika ondo funtzionatu duela ziurta dezakezu "Sare eta partekatzeko zentroa (Sare eta Internet ezarpenak) - Aldatu egokitzaileen ezarpenak (Egokitzailearen ezarpenak konfiguratu) - Egokitzailearen propietateak", non "Autentifikazioa" fitxa ikus dezakegun:
Politika behar bezala aplikatu dela ziur zaudenean, sareko politika konfiguratzen jarrai dezakezu NPS eta sarbide-maila aldatzeko ataketan.
Sor dezagun sareko politika bat negag-ordenagailuak-8021x-vl100:
Conditions:
Windows Groups - sg-computers-8021x-vl100
NAS Port Type - Ethernet
Constraints:
Authentication Methods - Microsoft: Protected EAP (PEAP) - Unencrypted authentication (PAP, SPAP)
NAS Port Type - Ethernet
Settings:
Standard:
Framed-MTU 1344
TunnelMediumType 802 (includes all 802 media plus Ethernet canonical format)
TunnelPrivateGroupId 100
TunnelType Virtual LANs (VLAN)
Switch atakaren ohiko ezarpenak (kontuan izan "domeinu anitzeko" autentifikazio-mota erabiltzen dela - Datuak eta ahotsa, eta mac helbidearen bidez autentifikatzeko aukera ere badago. "Trantsizio-aldian", zentzuzkoa da aplikazioan erabiltzea. parametroak:
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
vlan id-a ez da "berrogeialdia", baina erabiltzailearen ordenagailuak arrakastaz saioa hasi ondoren lortu behar duen bera - dena behar bezala funtzionatzen duela ziurtatu arte. Parametro berberak erabil daitezke beste agertoki batzuetan, adibidez, kudeatu gabeko etengailu bat ataka honetan konektatzen denean eta gailu guztiak hari konektatuta eta autentifikatu gabeak vlan jakin batean ("berrogeialdia") sartu nahi dituzunean.
aldatu ataka-ezarpenak 802.1x ostalari-moduan domeinu anitzeko moduan
default int range Gi1/0/39-41
int range Gi1/0/39-41
shu
des PC-IPhone_802.1x
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 2
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-domain
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
lldp receive
lldp transmit
spanning-tree portfast
no shu
exitOrdenagailuko telefonoak autentifikazioa behar bezala gainditu duela ziurtatu dezakezu komandoarekin:
sh authentication sessions int Gi1/0/39 detOrain sortu dezagun talde bat (adibidez, sg-fgpp-mab ) telefonoetarako Active Directory-n eta gehitu proba-gailu bat (nire kasuan, hau da Grandstream GXP2160 Mas helbidearekin 000b.82ba.a7b1 eta acc. kontua 00b82baa7b1 domeinua).
Sortutako talderako, murriztu pasahitzen politikaren eskakizunak (erabiliz Active Directory Administrative Center bidez -> domeinua -> Sistema -> Pasahitzen ezarpenak edukiontzia) parametro hauekin MAB-rako pasahitza-ezarpenak:
honek gailuen mas-helbidea pasahitz gisa erabiltzeko aukera emango digu. Horren ondoren, sare-politika bat sor dezakegu 802.1x metodoa mab autentifikaziorako, deitu diezaiogun neag-devices-8021x-voice. Parametroak hauek dira:
- NAS ataka mota - Ethernet
- Windows Taldeak - sg-fgpp-mab
- EAP motak: zifratu gabeko autentifikazioa (PAP, SPAP)
- RADIUS Atributuak - Saltzaile espezifikoak: Cisco - Cisco-AV-Bikotea - Atributuaren balioa: device-traffic-class=voice
autentifikazio arrakastatsuaren ondoren (ez ahaztu switch ataka konfiguratzea), ikus dezagun atakako informazioa:
sh autentifikazioa se int Gi1/0/34
----------------------------------------
Interface: GigabitEthernet1/0/34
MAC Address: 000b.82ba.a7b1
IP Address: 172.29.31.89
User-Name: 000b82baa7b1
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0000000000000EB2000B8C5E
Acct Session ID: 0x00000134
Handle: 0xCE000EB3
Runnable methods list:
Method State
dot1x Failed over
mab Authc SuccessOrain, agindu bezala, kontuan hartu guztiz agerikoak ez diren egoera pare bat. Adibidez, erabiltzaileen ordenagailuak eta gailuak kudeatu gabeko etengailu baten bidez konektatu behar ditugu. Kasu honetan, portuaren ezarpenak honela izango dira:
aldatu ataka-ezarpenak 802.1x ostalari-moduan autentifikazio anitzeko moduan
interface GigabitEthernet1/0/1
description *SW β 802.1x β 8 mac*
shu
switchport mode access
switchport nonegotiate
switchport voice vlan 55
switchport port-security maximum 8 ! ΡΠ²Π΅Π»ΠΈΡΠΈΠ²Π°Π΅ΠΌ ΠΊΠΎΠ»-Π²ΠΎ Π΄ΠΎΠΏΡΡΡΠΈΠΌΡΡ
ΠΌΠ°Ρ-Π°Π΄ΡΠ΅ΡΠΎΠ²
authentication event fail action authorize vlan 100
authentication event no-response action authorize vlan 100
authentication host-mode multi-auth ! β ΡΠ΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
storm-control broadcast level pps 100
storm-control multicast level pps 110
no vtp
spanning-tree portfast
no shuPS Oso akats arraro bat nabaritu zen: gailua halako etengailu baten bidez konektatzen bazen, eta gero kudeatutako etengailu batera konektatzen bazen, orduan EZ du funtzionatuko berrabiarazi arte (!) Etengailua. Ez dut konpontzeko beste modurik aurkitu. arazo hau.
DHCPri lotutako beste puntu bat (ip dhcp snooping erabiltzen bada) - aukera hauek gabe:
ip dhcp snooping vlan 1-100
no ip dhcp snooping information optionarrazoiren batengatik, ezin dut ip helbide zuzena lortu... hau gure DHCP zerbitzariaren ezaugarri bat izan daitekeen arren
Gainera, Mac OS eta Linux (802.1x euskarria jatorrizkoa den) erabiltzailea autentifikatzen saiatzen dira, mac helbidearen bidezko autentifikazioa konfiguratuta badago ere.
Artikuluaren hurrengo zatian, Haririk gabeko 802.1x-en erabilera aztertuko dugu (erabiltzaile-kontua dagokion taldearen arabera, sare egokian (vlan) "bota" egingo dugu, nahiz eta konektatuko diren. SSID bera).
Iturria: www.habr.com