Xgu.ru теперь в Контакте  — приходите и подключайтесь.
Пока мы работаем над следующими видео, вы можете подключиться в Контакте. Познакомимся и обсудим новые страницы и ролики.

Vk-big.pngYoutube-big.jpeg

ProCurve Network Access Control/Lab

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На этой странице описываются лабораторные полигона.

Содержание

[править] Подготовка класса

[править] Топология сети класса

Топология для студента 1:

Lab topology.png

[править] Настройка компьютера XP

Список ПО на компьютере:

  • Wireshark
  • Putty
  • XSupplicant
  • IE (версии 6 или старше)

[править] Настройка коммутаторов

Icon-caution.gif

На всех коммутаторах выполнить max-vlans!

[править] Настройка коммутаторов студентов

Настройка для 802.1X:

  1. Создать VLAN'ы и добавить в них соответствующие порты.
  2. Настроить маршрутизацию между VLAN:
    1. Включить ip routing
    2. Задать ip адреса в VLAN
  3. Задать ip helper-address в тех VLAN, в которых адреса будут получаться по DHCP.
  4. Настроить 802.1X (подробнее о настройке на странице 802.1X и RADIUS).

Один порт на коммутаторе надо оставить в VLAN контролера домена, для того чтобы ввести машину в домен.

[править] Задача для лабораторных работ

Настройки:

  • Способ внедрения — 802.1X
  • NAC 800 работает как RADIUS-сервер и выполняет проверку целостности компьютера
  • База пользователей — AD
  • Тестирование — с агентом

[править] Настройка компьютеров под управлением Microsoft Windows

[править] Настройка 802.1x supplicant

Использовать можно:

  • встроенный supplicant Windows XP
  • XSupplicant
  • другой supplicant

[править] Подготовка сети к использованию ProCurve Network Access Control

[править] Контроллер домена

Домен -- nac.nt

Администратор домена:

Пользователь: Administrator  
Пароль:       password

Пользователи в Active Directory:

Пользователь:   admin         student
Пароль:         password      password

[править] Сетевая инфраструктура

Пример конфигурации коммутатора:

hostname "sw_student" 
max-vlans 256 
interface 1 
   no lacp
exit
interface 2 
   no lacp
exit
interface 3 
   no lacp
exit
interface 4 
   no lacp
exit
ip routing 
snmp-server community "public" Operator                                         
snmp-server community "private" Operator Unrestricted                           
snmp-server host 192.168.101.2 "public"                                         
snmp-server host 192.168.101.2 "private"
snmp-server community "public" Unrestricted 
vlan 1 
   name "DEFAULT_VLAN" 
   untagged 1-26 
   no ip address 
   exit 
vlan 112 
   name "AdminUnknown" 
   ip address 192.168.112.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 113 
   name "AdminQuarant" 
   ip address 192.168.113.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 114 
   name "Admins" 
   ip address 192.168.114.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 115 
   name "VLAN115" 
   ip address 192.168.115.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 116 
   name "StuUnknown" 
   ip address 192.168.116.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 117 
   name "StuQuarant" 
   ip address 192.168.117.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 118 
   name "Student" 
   ip address 192.168.118.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 119 
   name "Guest" 
   ip address 192.168.119.1 255.255.255.0 
   ip helper-address 192.168.101.2 
   exit 
vlan 101 
   name "NAC_IDM"  
   ip address 192.168.101.1 255.255.255.0 
   tagged 24 
   exit 
vlan 10 
   name "DomainContr" 
   ip address 192.168.10.1 255.255.255.0 
   tagged 24 
   exit 
aaa authentication port-access eap-radius 
radius-server host 192.168.101.3 
radius-server key procurve
aaa port-access authenticator 1-4
aaa port-access authenticator 1 unauth-vid 119
aaa port-access authenticator 2 unauth-vid 119
aaa port-access authenticator 3 unauth-vid 119
aaa port-access authenticator 4 unauth-vid 119
aaa port-access authenticator active
aaa port-access 1-4

[править] Настройка DHCP-сервера

Настроить пулы адресов для всех VLAN.

Icon-caution.gif

Для VLAN в которые попадают пользователи с состоянием не равным PASS, указать в качестве DNS сервера адрес NAC 800.

[править] Настройка IDM

В файле \Program Files\Hewlett-Packard\PNM\server\config\access.txt надо указать IP-адрес NAC 800.

  1. Для того чтобы зайти на PCM+, а затем в нем на IDM, из меню Start выбрать Programs > HP ProCurve Manager > ProCurve Manager.
  2. Появится окно ProCurve Manager startup. Выбрать сервер и нажать Connect.
  3. Появится окно Expiring license warning. Выберите No, Continue.
  4. В окне Login:
    1. пользователь -- administrator
    2. пароль -- password
  5. В появившемся окне Network Management Home выбрать закладку Identity (в левом нижнем углу окна).

[править] ProCurve Manager Plus

Icon-caution.gif

Проверить, что PCM+ увидел коммутатор. Если коммутатор не обнаружен, то воспользоваться Manual Device Detection.

[править] Включение проверки целостности

В IDM необходимо включить проверку состояния целостности компьютера:

  1. В меню Tools выбрать Preferences.
  2. В окне Preferences выбрать Identity Management и поставить галочку Enable Endpoint Integrity. Нажать Apply.

Enable EI IDM.png

[править] Интеграция с Active Directory

  1. В PCM+ в меню Tools выбрать Preferences
  2. Развернуть пункт Identity Management и выбрать User Directory Settings
  3. Поставить галочку Enable automatic Active Directory synchronization и ввести:
    1. Имя пользователя: administrator
    2. Домен: nac.nt
    3. Пароль: password
  4. Нажать Add or Remove Groups и добавить группы Admins и Students

IDM AD.png

После этого в Access Policy Groups появятся две группы политик -- Admins и Students.

[править] Настройка профилей доступа (Access Profiles)

Icon-caution.gif

Для того чтобы были доступны VLAN'ы, для назначения их в разные профили, надо чтобы PCM+ увидел коммутатор, на котором настроены VLAN'ы.

В профиле можно указать:

  • VLAN
  • QoS
  • Ingress rate-limit
  • ACL
  1. Щелкнуть правой коонпкой мыши на Identity Management и выбрать Configure Identity Management
  2. Выбрать Access Profiles, нажать Create a new Access Profile.

IDM access profiles.png

[править] Настройка Групп Политик Доступа

После синхронизации с AD появились две группы политик. Для того чтобы их настроить надо:

  1. Используя навигационное дерево, отобразить Access Policy Groups (разворачивая Identity Management Home > Realms > PCU01.edu > Access Policy Groups).
  2. Правой кнопкой мышки вызвать меню и выбрать Modify Access Policy.
  3. Создать новые правила доступа (access rules).
  4. Разместить правила в правильном порядке (правила применяются при совпадении критериев).

IDM access policy groups.png

Для группы Admins изменить Default Access Policy. Это необходимо для того чтобы, при недоступности NAC 800 применялся профиль Admins.

[править] Применение групп политик к домену

Нажать правой кнопкой мыши на имени домена и в меню выбрать Deploy current policy to this domain.

IDM policy to realm.png

[править] Базовые настройки NAC 800

[править] Существующие настройки

  • Режим работы -- комбинированный сервер
  • Режим доступа -- allow all (компьютеры тестируются, но доступ им разрешается независимо от результатов тестирования)
  • Настроен SNMPv2 для того чтобы PCM+ увидел NAC 800
  • Указан адрес компьютера на котором установлен IDM

Icon-caution.gif

Время на контроллере домена и NAC 800 не должно отличаться более чем на 5 минут.

Icon-caution.gif

До тех пор пока не настроен NAC 800, компьютеры и DHCP сервер не подключать.

[править] Настройка исключений

На NAC 800 нужно прописать компьютер на котором установлен IDM в Whitelist, чтобы он не проходил проверку целостности.

Exceptions.png

[править] Настройка вида окна для конечного пользователя

В разделе System Configuration/Cluster Settings defaults/End-user screens.

Тут можно настроить текст сообщений, которые будет видеть пользователь. Настроить всплывающее окно, которое появляется, если пользователь не прошел один или несколько тестов.

В поле Notification pop-up URL надо указать IP-адрес NAC 800.

User screen.png

[править] Настройка способа внедрения 802.1X на NAC 800

В System configuration/Quarantining настроить:

  • метод карантина 802.1X

Далее задать в Basic 802.1X settings:

  • Указать каким образом трафик с DHCP-сервера будет зеркалироваться на NAC 800 (Endpoint detection location):
    • local -- настроено зеркалирование трафика
    • remote -- на DHCP-сервере установлено ПО, которое перенаправляет трафик NAC 800

Адрес IDM настроен ранее.

Подсети для карантина:

  • 192.168.112.0/24
  • 192.168.113.0/24
  • 192.168.116.0/24
  • 192.168.117.0/24
  • 192.168.119.0/24

Icon-caution.gif

The Quarantine subnets field only applies if the NAC 800 enforces endpoint integrity. This setting allows the NAC 800 to respond to DNS requests from endpoints in quarantine VLANs. You should have already set up the quarantine VLANs in IDM.

Тип RADIUS-сервера, который будет использоваться:

  • Local -- используется встроенный RADIUS-сервер на NAC 800
  • Remote IAS -- используется удаленный сервер IAS

В настройках аутентификации указать Windows domain, а после этого параметры домена:

  • Domain name -- nac.nt
  • Administrator user name -- administrator
  • Administrator password -- password
  • Domain controller -- domain.nac.nt

Окно должно выглядеть так (по мере выбора настроек вид окна может изменяться, поэтому начальный вид окна может не соответствовать примеру):

802 1X.png

[править] Добавление коммутатора

  1. Ввести адрес коммутатора (для студента 1 -- 192.168.110.1)
  2. Ввести shared secret -- procurve
  3. Выбрать тип устройства -- ProCurve Switch
  4. Коммуникации с коммутатором будут через ssh (Connection method):
    1. пользователь -- manager
    2. пароль -- procurve

Add device.png

[править] Тестирование связи с коммутатором

Подключить компьютер к коммутатору и проверить настройки 802.1X. Надо знать к какому порту подключена машина и ее MAC-адрес.

Связь с 802.1X устройством нужна NAC 800 для того чтобы выполнять проверку целостности компьютеров -- NAC 800 должен заставлять 802.1X реаутентифицировать компьютер после того как состояние целостности компьютера изменилось, для того чтобы была возможность переместить компьютер в другой VLAN.

[править] Настройка политик контроля доступа

[править] Базовые настройки

Nac policy basic.png

[править] Компьютеры и домены к которым применяется политика

Nac policy endpoints.png

[править] Настройка тестов

Настройка тестов, их свойств и действий по результатам проверки. Nac policy tests.png

[править] Отключение неиспользующихся политик

Nac policy disable.png

[править] Настройка RDAC

Для настройки Remote Device Activity Capture (RDAC) необходимо:

  1. Сгенерировать сертификат
  2. Добавить правило iptables
  3. Установить RDAC на DHCP-сервере
  4. Скопировать сертификат на DHCP-сервер
  5. Запустить сервис NAC Endpoint Activity Capture

Зайти на NAC 800 и выполнить команду для генерации сертификата для DHCP-сервера:

ProCurve NAC 800(nac1):~ # /usr/local/nac/bin/SSL-createRemoteDACCertificate

При вводе данных для сертификата, когда будет запрашиваться местоположение сертификата, оставить значение по умолчанию -- /tmp/DAC_keystore

Из остальных вводимых данных особенно важно ввести Common Name -- имя компьютера на котором установлен DHCP-сервер:

The data you entered is as follows:
  Country Name: 'UA'
  State/Province Name: 'Kiev'
  Locality/City Name: 'Kiev'
  Organization/Company Name: 'NAC'
  Organizational Unit: 'Admins'
  Common Name: 'idm1.nac.nt'
  Email Address: 'admin@nac.nt'
  Distinguished Name Qualifier: 'SA:DAC:Remote'
Is this data correct? (y/[n]): y

Просмотр правил iptables:

ProCurve NAC 800(nac1):~ # iptables -nvL RH-Lokkit-0-50-INPUT --line-numbers

Найти строку с состоянием state RELATED,ESTABLISHED и посмотреть ее номер.

После найденной строки добавить правило (если строка с номером 16, то в 17 строку; IP-адрес -- это адрес DHCP-сервера):

ProCurve NAC 800(nac1):~ # iptables -I RH-Lokkit-0-50-INPUT 17 -p tcp --dport 8999 -s 192.168.101.2 -m state --state NEW -j ACCEPT

Это правило разрешает прохождение трафика от агента, установленном на DHCP-сервере с адресом 192.168.101.2, на порт 8999 NAC 800.

Установить DAC на DHCP-сервере и скопировать сертификат, который был сгенерирован ранее.

Запустить сервис NAC Endpoint Activity Capture (после перезагрузки запускается автоматически).

[править] Генерация сертификата для использования PEAP

Когда NAC 800 работает RADIUS-сервером с синхронизацией пользователей в AD, то могут использоваться такие методы EAP:

  • MS-CHAPv1 или MS-CHAPv2
  • EAP-TTLS с MS-CHAPv2
  • PEAP с MS-CHAPv2

В лабораторной работе будет использоваться метод PEAP. В этом методе сервер аутентифицирует себя с помощью сертификата, а клиент -- имени пользователя и пароля.

[править] Генерация сертификата для NAC 800

ProCurve NAC 800:# cp /var/ssl/openssl.cnf /etc/raddb/certs/openssl.cnf
ProCurve NAC 800:# cd /etc/raddb/certs
ProCurve NAC 800:/etc/raddb/certs# vi openssl.cnf

Нажмите [i] чтобы зайтив режим Insert.

Найдите секцию “[new_oids]”. Добавьте этот текст:

[radsrv]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth

Нажмите [Esc] чтобы выйти из режима Insert.

Нажмите :wq

Введите команду для генерации сертификата:

ProCurve NAC 800:/etc/raddb/certs# openssl req -x509 -config openssl.cnf -extensions radsrv -newkey rsa:1024 -nodes -days 365 -keyout cert-srv.pem -out cert-srv.pem

Icon-caution.gif

Обязательно правильно ввести имя сертификата cert-srv.pem

При запросе информации о CN введите FQDN NAC 800 -- например, nac1.nac.nt

Перезапустить RADIUS-сервер.

ProCurve NAC 800:/etc/raddb/certs# service radiusd restart

[править] Дополнительная информация