Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Huawei iMaster NCE funkcja NAC (Network Admission Control)

obsługa 802.1x

W krótkim artykule przedstawię konfigurację sieci WLAN z uwierzytelnianiem 802.1x wykonaną przy pomocy systemu zarządzającego Huawei imaster NCE.

Imaster NCE

jest narzędziem chmurowym lub instalowanym lokalnie integrującym funkcje zarządzania i monitorowania urządzeń, ale także systemu NAC (Network Admission Control) oraz kontrolera sieci SDA (Software Defined Access lub SDWAN: Software Defined WAN)

W tym momencie skupimy się na funkcjach NAC.

Konfiguracja NAC: użytkownicy

Oczywiście można stosować różne magazyny danych użytkowników: Microsoft AD , Google, Facebook itp. oraz oczywiście logowanie kontem lokalnym. Dla uproszczenia posłużymy się kontem lokalnym (z uwagi na fakt, że w wersji chmurowej zdaje się nie ma opcji integracji z AD).

Tworzenie użytkownika

Admission -> user management

Konfiguracja NAC: użytkownicy

Klikamy przycisk create i wypełniamy w zasadzie standardowo – jak zwykle nazwa, hasło, grupa itp.

Konfiguracja NAC - tworzenie użytkownika

Tworzenie polityk uwierzytelniania

Admission – > authentication and Authorization

System może zawierać wiele polityk, przeglądanych w kolejności od góry do dołu. W przypadku gdy dana próba uwierzytelnieniowa pasuje do konkretnej reguły, to stosowane są jej ustawienia.

NAC - tworzenie polityk uwierzytelniania

Jak wygląda tworzenie reguły i co ona zwiera (dostępne za pomocą przycisku create) pokazano poniżej:

Konfiguracja NAC: zawartośc reguły

Regułka może być dopasowana po np. SSID z którego przyszło zapytanie lub po pytającym urządzeniu. My stworzymy regułę, która będzie stosowała swoje ustawienia bezwarunkowo w zasadzie dla wszystkich zapytań. Tymi ustawieniami są m.in. magazyn użytkowników, z którego chcemy korzystać oraz zastosowany protokół uwierzytelniania.

Konfiguracja NAC: iMaster - tworzenie reguły

Po prawidłowym uwierzytelnieniu aplikowana jest reguła autoryzacji, ten sposób jest efektem architektury i logiki systemu uwierzytelniania AAA (Authentication Authorization and Accounting) i w zasadzie większość znanych mi systemów NAC podąża za tą logiką. Uwierzytelnionego użytkownika można autoryzować do wykonywania określonych czynności. Deifniują to reguły autoryzacyjne.

 

Tworzenie reguł autoryzacyjnych

 Reguły autoryzacyjne znajdują się w lokalizacji: Admission – Authentication and authroization w zakładce Authorization rules. Podobnie jak reguły authentykacji przeglądane od góry dopasowywane wg parametrów.

iMaster - Tworzenie reguł autoryzacyjnych

Dopasowanie wg parametrów uwierzytelniania (jak grupa użytkowników, z której pochodzi użyty do uwierzytelniania użytkownik jak urządzenie, SSD itd.). Widać to poniżej na zrzucie konfiguracyjnym parametrów reguły autoryzacyjnej.

iMaster - dopasowanie wg parametrów uwierzytelniania

Rezultatem autoryzacji może być specyficzne zachowanie NAC: proste jak dopuszczenie do sieci czy odmowa dostępu.

iMaster - rezultat autoryzacji

Rezultatem autoryzacji może być specyficzne zachowanie NAC: proste jak dopuszczenie do sieci czy odmowa dostępu.

iMaster - rezultat autoryzacji

lub złożone jak definiowane w zakładce Authorization results: pozwalające na przypusywanie użytkownikowi VLANu, definiowanie access listy czy aplikowanie tagu w modelu zbliżonym do SGT.

iMaster - złożone jak definiowane w zakładce authorization results

Moja reguła uwierzytelniania będzie jednak w tym momencie prosta, będzie „łapała” ruch i dopuszczała do pracy w sieci.

Aby całej tej funkcjonalności NAC użyć musimy ja gdzieś przypisać: możemy to uczynić zarówno w sieci przewodowej, jak i w sieci bezprzewodowej.

Wykonam to dla sieci WLAN:

Tworzenie sieci WLAN korzystającej z 802.1x

Zmodyfikujmy szablon konfiguracji test-template dla lokalizacji Provision -> site configuration template:

iMaster - zmodyfikujmy szablon konfiguracji

Szablon utworzyłem przy uruchamianiu sieci WLAN działającej z PPSK.

iMaster - szablon

W drugiej zakładce definiujemy ustawienia bezpieczeństwa dla sieci WLAN

iMaster - ustawienia bezpieczeństwa dla sieci WLAN

W tym momencie okazuje się konieczne wykreowanie serwera RADIUS.

Wskazujemy na lokalny serwer RADIUS.

iMaster - ustawienia bezpieczeństwa dla sieci WLAN

To czy wszystko udało się poprawnie można sprawdzić przez próbę logowania: poniższy zrzut z zakładki Monitoring -> Event Logs -> Terminal Authentication Logs pokazuje, że do sieci WLAN udaje się zalogować z poświadczeniami, próba uwierzytelnienia z nieprawidłowym hasłem jest natomiast blokowana.

iMaster - weryfikacja autoryzacji

Masz pytania?

Skontaktuj się z nami!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    autorem artykułu jest

    Piotr Ksieniewicz – główny inżynier Network Expert

    Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799,  CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.

    Piotr Ksieniewicz – główny inżynier Network Expert
    2022-10-28T13:49:13+02:00
    Przejdź do góry