Ефективний персоніфікований доступ до мережевої інфраструктури. Приклад реалізації від НР

    Персоніфікований контроль за доступом до мережі — завдання клопітна як з боку адміністратора, так і з боку користувача. Багато системні адміністратори йдуть від цього завдання, застосовуючи більш «прості» методи контролю за доступом до призначених для користувача портам типу MAC authentication, портальна аутентифікація або Port-security, а то й зовсім не роблять будь-який контроль на порту.
  
Але що ж робити, якщо все-таки потрібно застосовувати персоніфікований контроль за доступом до мережі? Причому, контроль доступу потрібно здійснювати як для дротових, так і бездротових абонентів.
 
У цій статті я розповім, як це завдання можна вирішити, використовуючи в'язку між контролером точок бездротового доступу типу HP MSM (модель не настільки важлива), системою управління HP IMC c встановленим модулем User Access Management (UAM). Інші елементи інфраструктури, такі як точка бездротового доступу і комутатор проводового доступу, є лише передавальною ланкою для трафіку, і про них я згадаю побіжно.
Отже, в статті за допомогою знімків з екрану і елементів конфігурації CLI я покажу, як налаштовується обладнання для цього завдання.
  
Почну з контролера точок бездротового доступу HP MSM, т.к. саме він буде пристроєм типу «authenticator» або «NAS», який буде отримувати запити користувачів на аутентифікацію і працювати з RADIUS сервером, в якості якого виступатиме система IMC c додатково встановленим на ній модулем UAM. До слова сказати, на контролері також є локальний RADIUS сервер (у нашому прикладі ми будемо використовувати зовнішній).
Попередньо контролер необхідно конфігурувати для забезпечення основного «connectivity», бажано, через Internet порт, а також підключити до нього в окремому VLAN, наприклад, в VLAN10 точки бездротового доступу. Контролер може забезпечувати як L2, так і L3 виявлення точок доступу.
 
1.1. На контролері необхідно створити профіль зовнішнього RAIDIUS сервера. Налаштування досить стандартні і показані на рис.1. Метод аутентифікації MSCHAPv2
 
 
 
Рис.1
 
1.2. Далі створюємо Virtual Service Community (VSC), яка і буде надавати нашим користувачам сервіс бездротового доступу. VSC можна створити вручну, або за допомогою automated workflow, які також передбачені в контроллерах HP MSM.
Основні параметри при конфігуруванні VSC наступні і наведені на рис.2, рис.3.
 
1.2.1. Так як контролери бездротового доступу HP MSM дозволяють впровадити модель розподіленої передачі трафіку даних користувачів у дротову мережу, при якій дані користувачів безпосередньо передаються в комутатор провідної мережі, минаючи контролер, прибираємо галочку "Use controller for Access Control"
 
1.2.2. Вибираємо протокол захисту бездротової мережі типу WPA c динамічним генеруванням ключа за методом 802.1х (галочка «802.1х authentication» буде обрана автоматично)
 
1.2.3. У полі 802.1х вибираємо використання зовнішнього сервера для 802.1х аутентифікації і вибираємо створений нами RADIUS профіль IMC
 
1.2.4. Задаємо поле «Name SSID» : наприклад, X_marketing
 
1.2.5. У полі «RADIUS accounting» також вибираємо наш RADIUS профіль IMC і поле «called station id» content ставимо в значення macaddress: ssid
 
1.2.6. Інші поля залишаємо без змін
 
 
 
Рис.2
 
 
 
Рис.3
 
1.3. Так як ми використовуємо розподілену (distributed) модель передачі трафіку даних у мережу, необхідно вказати групі точок доступу в якій VLAN вони повинні перенаправляти трафік даних, створеного нами VSC (рис. 4). Таким чином ми пов'язуємо створену нами VSC c egress мережевим профілем. У нашому випадку назва VLAN — marketing і його значення — 20. Запам'ятаємо ім'я VLAN, вона ще знадобиться нам в процесі конфігурування IMC UAM для авторизації наших абонентів. Ну і, звичайно ж, порт комутатора, до якого підключена точка доступу, повинен бути налаштований для передачі тегованих трафіку в 20 VLAN.
 
 
 
Рис.4
 
1.4. Ще на контролері HP MSM необхідно вказати IP-адресу Mobility Manager-a, який має доступ до функціонала контролера доступу. У нашому випадку адресою Mobility Manager виступає IMC (мал. 5).
 
 
 
Рис.5
 
2. На цьому конфігурування контролера закінчено. Ми приступаємо до конфігурації IMC.
 
2.1. Використання методу аутентифікації EAP — PEAP, дозволяє не використовувати клієнтський сертифікат, що значно скорочує накладні витрати. Але в IMC UAM необхідно імпортувати кореневий і серверний сертифікати. Робиться це через опцію User> User Access Policy> Service Parameters> Certificate
 
 
 
Рис.6
 
2.2. Надалі нам необхідно створити Access Policy, яка проводитиме авторизацію нашого бездротового абонента. Робиться це через меню User> User Access Policy> Access Policy> Add Access Policy . Приклад створеної мною Access Policy — msm_svc , показаний на рис.7
 
 
 
Рис.7
 
Вибирається пункт «Certificate authentication» . У полі «certificate type» ставиться значення EAP-PEAP authN , «certificate sub-type» — MS-CHAPv2 authN . У полі «deploy VLAN» заповнюється значення VLAN для користувача. У нашому випадку — marketing . Access Policy дозволяє вам зв'язати користувача з іншими його параметрами, наприклад, Access Device IP або User IP, User MAC, що дозволить вам надалі проводити більш точну вибірку бездротового абонента для аутентифікації.
 
2.3. Третім етапом конфігурування IMC UAM стає створення так званого сценарію доступу — Access Service, коли створена Access Policy зв'язується з іншими умовами доступу, такими як часовий інтервал доступу, політика безпеки доступу, перевіряється тип операційної системи, виробник обладнання кінцевого користувача і інші параметри (див. рис.8)
 
 
 
Рис.8
 
Створений в результаті цих маніпуляцій Access Service надалі прив'язується до нашого користувачу — Access User.
 
2.4. Створюємо користувача доступу в системі IMC за посиланням — User> All Access Users> Add Access User (мал. 9). При цьому ставимо галочку на створеному нами Access Service — msm_as
 
 
 
Рис.9
 
2.5. Завершальним етапом у конфігуруванні IMC стає внесення нашого NAS — authenticator контролера точок бездротового доступу HP MSM в список «офіційних» пристроїв доступу. Робиться це за посиланням User> User Access Policy> Access Device Management> Access Device> Add Access Device (рис. 10).
 
 
 
Рис.10
 
2.6. Надалі всі помилкові і вдалі спроби аутентифікації нашого користувача можна дивитися по логам, які перебувають тут: User> User Access Log> Authentication Failure Log (рис.11)
 
 
 
Рис.11
 
А також отримувати детальну інформацію про користувача і його часу доступу — User> User Access Log> Access Details (рис.12).
 
 
 
Рис.12
 
3. І останнє, якими мають бути настройки комп'ютера бездротового абонента, щоб отримати доступ в мережу? Наведу приклад для MS Windows 7.
Можна вручну створити профіль бездротової мережі. Назва мережі — X_marketing, «security type» — WPA2-Enterprise, «Encryption type» — AES , очистіть поле — «start this connection automatically» (рис.13).
 
 
 
Рис.13
 
Кількома next -> change connection settings-> security . Для «choose authentication settings» вибираємо Microsoft: Protected EAP (PEAP) (рис.14).
 
 
 
Рис.14
 
Вибираємо кнопку «Settings» , далі біля поля «Select Authentication Method» вибираємо кнопку «Configure» (рис.15).
 
 
 
Рис.15
 
Очищаємо галочку «Automatically use my Windows logon name and password» , клікаємо «ОК» двічі.
У вікні «X_Marketing Wireless Network Properties» , вибираємо вкладку «security» , клацаємо «advanced settings» , переконуємося, що відзначена галочка «Specify authentication mode» (рис.16).
 
 
 
Рис.16
 
Вибираємо «OK», «OK». Намагаємося підключитися до нашої бездротової мережі. На запрошення імені користувача і пароля вводимо параметри нашого створеного користувача. З'єднання має бути успішним, користувач повинен отримати IP-адресу в 20 VLAN.
 
P.S.
 
Що ж стосується ціни контрольованого доступу користувача, то, наприклад, для 100 користувачів UAM в цінах прайс листа! вона порівнянна з ціною порту проводового гигабитного доступу і зменшується по мірі кількості призначених для користувача ліцензій.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.