ProCurve Network Access Control/Lab
Материал из Xgu.ru
- Автор: Наташа Самойленко
На этой странице описываются лабораторные полигона.
[править] Подготовка класса
[править] Топология сети класса
Топология для студента 1:
[править] Настройка компьютера XP
Список ПО на компьютере:
- Wireshark
- Putty
- XSupplicant
- IE (версии 6 или старше)
[править] Настройка коммутаторов
|
|
На всех коммутаторах выполнить max-vlans! |
[править] Настройка коммутаторов студентов
Настройка для 802.1X:
- Создать VLAN'ы и добавить в них соответствующие порты.
- Настроить маршрутизацию между VLAN:
- Включить ip routing
- Задать ip адреса в VLAN
- Задать ip helper-address в тех VLAN, в которых адреса будут получаться по DHCP.
- Настроить 802.1X (подробнее о настройке на странице 802.1X и RADIUS).
Один порт на коммутаторе надо оставить в VLAN контролера домена, для того чтобы ввести машину в домен.
[править] Задача для лабораторных работ
Настройки:
- Способ внедрения — 802.1X
- NAC 800 работает как RADIUS-сервер и выполняет проверку целостности компьютера
- База пользователей — AD
- Тестирование — с агентом
[править] Настройка компьютеров под управлением Microsoft Windows
[править] Настройка 802.1x supplicant
Использовать можно:
- встроенный supplicant Windows XP
- XSupplicant
- другой supplicant
[править] Подготовка сети к использованию ProCurve Network Access Control
[править] Контроллер домена
Домен -- nac.nt
Администратор домена:
Пользователь: Administrator Пароль: password
Пользователи в Active Directory:
Пользователь: admin student Пароль: password password
[править] Сетевая инфраструктура
Пример конфигурации коммутатора:
hostname "sw_student" max-vlans 256 interface 1 no lacp exit interface 2 no lacp exit interface 3 no lacp exit interface 4 no lacp exit ip routing snmp-server community "public" Operator snmp-server community "private" Operator Unrestricted snmp-server host 192.168.101.2 "public" snmp-server host 192.168.101.2 "private" snmp-server community "public" Unrestricted vlan 1 name "DEFAULT_VLAN" untagged 1-26 no ip address exit vlan 112 name "AdminUnknown" ip address 192.168.112.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 113 name "AdminQuarant" ip address 192.168.113.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 114 name "Admins" ip address 192.168.114.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 115 name "VLAN115" ip address 192.168.115.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 116 name "StuUnknown" ip address 192.168.116.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 117 name "StuQuarant" ip address 192.168.117.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 118 name "Student" ip address 192.168.118.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 119 name "Guest" ip address 192.168.119.1 255.255.255.0 ip helper-address 192.168.101.2 exit vlan 101 name "NAC_IDM" ip address 192.168.101.1 255.255.255.0 tagged 24 exit vlan 10 name "DomainContr" ip address 192.168.10.1 255.255.255.0 tagged 24 exit aaa authentication port-access eap-radius radius-server host 192.168.101.3 radius-server key procurve aaa port-access authenticator 1-4 aaa port-access authenticator 1 unauth-vid 119 aaa port-access authenticator 2 unauth-vid 119 aaa port-access authenticator 3 unauth-vid 119 aaa port-access authenticator 4 unauth-vid 119 aaa port-access authenticator active aaa port-access 1-4
[править] Настройка DHCP-сервера
Настроить пулы адресов для всех VLAN.
|
|
Для VLAN в которые попадают пользователи с состоянием не равным PASS, указать в качестве DNS сервера адрес NAC 800. |
[править] Настройка IDM
В файле \Program Files\Hewlett-Packard\PNM\server\config\access.txt надо указать IP-адрес NAC 800.
- Для того чтобы зайти на PCM+, а затем в нем на IDM, из меню Start выбрать Programs > HP ProCurve Manager > ProCurve Manager.
- Появится окно ProCurve Manager startup. Выбрать сервер и нажать Connect.
- Появится окно Expiring license warning. Выберите No, Continue.
- В окне Login:
- пользователь -- administrator
- пароль -- password
- В появившемся окне Network Management Home выбрать закладку Identity (в левом нижнем углу окна).
[править] ProCurve Manager Plus
|
|
Проверить, что PCM+ увидел коммутатор. Если коммутатор не обнаружен, то воспользоваться Manual Device Detection. |
[править] Включение проверки целостности
В IDM необходимо включить проверку состояния целостности компьютера:
- В меню Tools выбрать Preferences.
- В окне Preferences выбрать Identity Management и поставить галочку Enable Endpoint Integrity. Нажать Apply.
[править] Интеграция с Active Directory
- В PCM+ в меню Tools выбрать Preferences
- Развернуть пункт Identity Management и выбрать User Directory Settings
- Поставить галочку Enable automatic Active Directory synchronization и ввести:
- Имя пользователя: administrator
- Домен: nac.nt
- Пароль: password
- Нажать Add or Remove Groups и добавить группы Admins и Students
После этого в Access Policy Groups появятся две группы политик -- Admins и Students.
[править] Настройка профилей доступа (Access Profiles)
|
|
Для того чтобы были доступны VLAN'ы, для назначения их в разные профили, надо чтобы PCM+ увидел коммутатор, на котором настроены VLAN'ы. |
В профиле можно указать:
- VLAN
- QoS
- Ingress rate-limit
- ACL
- Щелкнуть правой коонпкой мыши на Identity Management и выбрать Configure Identity Management
- Выбрать Access Profiles, нажать Create a new Access Profile.
[править] Настройка Групп Политик Доступа
После синхронизации с AD появились две группы политик. Для того чтобы их настроить надо:
- Используя навигационное дерево, отобразить Access Policy Groups (разворачивая Identity Management Home > Realms > PCU01.edu > Access Policy Groups).
- Правой кнопкой мышки вызвать меню и выбрать Modify Access Policy.
- Создать новые правила доступа (access rules).
- Разместить правила в правильном порядке (правила применяются при совпадении критериев).
Для группы Admins изменить Default Access Policy. Это необходимо для того чтобы, при недоступности NAC 800 применялся профиль Admins.
[править] Применение групп политик к домену
Нажать правой кнопкой мыши на имени домена и в меню выбрать Deploy current policy to this domain.
[править] Базовые настройки NAC 800
[править] Существующие настройки
- Режим работы -- комбинированный сервер
- Режим доступа -- allow all (компьютеры тестируются, но доступ им разрешается независимо от результатов тестирования)
- Настроен SNMPv2 для того чтобы PCM+ увидел NAC 800
- Указан адрес компьютера на котором установлен IDM
|
|
Время на контроллере домена и NAC 800 не должно отличаться более чем на 5 минут. |
|
|
До тех пор пока не настроен NAC 800, компьютеры и DHCP сервер не подключать. |
[править] Настройка исключений
На NAC 800 нужно прописать компьютер на котором установлен IDM в Whitelist, чтобы он не проходил проверку целостности.
[править] Настройка вида окна для конечного пользователя
В разделе System Configuration/Cluster Settings defaults/End-user screens.
Тут можно настроить текст сообщений, которые будет видеть пользователь. Настроить всплывающее окно, которое появляется, если пользователь не прошел один или несколько тестов.
В поле Notification pop-up URL надо указать IP-адрес NAC 800.
[править] Настройка способа внедрения 802.1X на NAC 800
В System configuration/Quarantining настроить:
- метод карантина 802.1X
Далее задать в Basic 802.1X settings:
- Указать каким образом трафик с DHCP-сервера будет зеркалироваться на NAC 800 (Endpoint detection location):
- local -- настроено зеркалирование трафика
- remote -- на DHCP-сервере установлено ПО, которое перенаправляет трафик NAC 800
Адрес IDM настроен ранее.
Подсети для карантина:
- 192.168.112.0/24
- 192.168.113.0/24
- 192.168.116.0/24
- 192.168.117.0/24
- 192.168.119.0/24
|
|
The Quarantine subnets field only applies if the NAC 800 enforces endpoint integrity. This setting allows the NAC 800 to respond to DNS requests from endpoints in quarantine VLANs. You should have already set up the quarantine VLANs in IDM. |
Тип RADIUS-сервера, который будет использоваться:
- Local -- используется встроенный RADIUS-сервер на NAC 800
- Remote IAS -- используется удаленный сервер IAS
В настройках аутентификации указать Windows domain, а после этого параметры домена:
- Domain name -- nac.nt
- Administrator user name -- administrator
- Administrator password -- password
- Domain controller -- domain.nac.nt
Окно должно выглядеть так (по мере выбора настроек вид окна может изменяться, поэтому начальный вид окна может не соответствовать примеру):
[править] Добавление коммутатора
- Ввести адрес коммутатора (для студента 1 -- 192.168.110.1)
- Ввести shared secret -- procurve
- Выбрать тип устройства -- ProCurve Switch
- Коммуникации с коммутатором будут через ssh (Connection method):
- пользователь -- manager
- пароль -- procurve
[править] Тестирование связи с коммутатором
Подключить компьютер к коммутатору и проверить настройки 802.1X. Надо знать к какому порту подключена машина и ее MAC-адрес.
Связь с 802.1X устройством нужна NAC 800 для того чтобы выполнять проверку целостности компьютеров -- NAC 800 должен заставлять 802.1X реаутентифицировать компьютер после того как состояние целостности компьютера изменилось, для того чтобы была возможность переместить компьютер в другой VLAN.
[править] Настройка политик контроля доступа
[править] Базовые настройки
[править] Компьютеры и домены к которым применяется политика
[править] Настройка тестов
Настройка тестов, их свойств и действий по результатам проверки.
[править] Отключение неиспользующихся политик
[править] Настройка RDAC
Для настройки Remote Device Activity Capture (RDAC) необходимо:
- Сгенерировать сертификат
- Добавить правило iptables
- Установить RDAC на DHCP-сервере
- Скопировать сертификат на DHCP-сервер
- Запустить сервис NAC Endpoint Activity Capture
Зайти на NAC 800 и выполнить команду для генерации сертификата для DHCP-сервера:
ProCurve NAC 800(nac1):~ # /usr/local/nac/bin/SSL-createRemoteDACCertificate
При вводе данных для сертификата, когда будет запрашиваться местоположение сертификата, оставить значение по умолчанию -- /tmp/DAC_keystore
Из остальных вводимых данных особенно важно ввести Common Name -- имя компьютера на котором установлен DHCP-сервер:
The data you entered is as follows: Country Name: 'UA' State/Province Name: 'Kiev' Locality/City Name: 'Kiev' Organization/Company Name: 'NAC' Organizational Unit: 'Admins' Common Name: 'idm1.nac.nt' Email Address: 'admin@nac.nt' Distinguished Name Qualifier: 'SA:DAC:Remote' Is this data correct? (y/[n]): y
Просмотр правил iptables:
ProCurve NAC 800(nac1):~ # iptables -nvL RH-Lokkit-0-50-INPUT --line-numbers
Найти строку с состоянием state RELATED,ESTABLISHED и посмотреть ее номер.
После найденной строки добавить правило (если строка с номером 16, то в 17 строку; IP-адрес -- это адрес DHCP-сервера):
ProCurve NAC 800(nac1):~ # iptables -I RH-Lokkit-0-50-INPUT 17 -p tcp --dport 8999 -s 192.168.101.2 -m state --state NEW -j ACCEPT
Это правило разрешает прохождение трафика от агента, установленном на DHCP-сервере с адресом 192.168.101.2, на порт 8999 NAC 800.
Установить DAC на DHCP-сервере и скопировать сертификат, который был сгенерирован ранее.
Запустить сервис NAC Endpoint Activity Capture (после перезагрузки запускается автоматически).
[править] Генерация сертификата для использования PEAP
Когда NAC 800 работает RADIUS-сервером с синхронизацией пользователей в AD, то могут использоваться такие методы EAP:
- MS-CHAPv1 или MS-CHAPv2
- EAP-TTLS с MS-CHAPv2
- PEAP с MS-CHAPv2
В лабораторной работе будет использоваться метод PEAP. В этом методе сервер аутентифицирует себя с помощью сертификата, а клиент -- имени пользователя и пароля.
[править] Генерация сертификата для NAC 800
ProCurve NAC 800:# cp /var/ssl/openssl.cnf /etc/raddb/certs/openssl.cnf
ProCurve NAC 800:# cd /etc/raddb/certs
ProCurve NAC 800:/etc/raddb/certs# vi openssl.cnf
Нажмите [i] чтобы зайтив режим Insert.
Найдите секцию “[new_oids]”. Добавьте этот текст:
[radsrv] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer:always keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = clientAuth, serverAuth
Нажмите [Esc] чтобы выйти из режима Insert.
Нажмите :wq
Введите команду для генерации сертификата:
ProCurve NAC 800:/etc/raddb/certs# openssl req -x509 -config openssl.cnf -extensions radsrv -newkey rsa:1024 -nodes -days 365 -keyout cert-srv.pem -out cert-srv.pem
|
|
Обязательно правильно ввести имя сертификата cert-srv.pem |
При запросе информации о CN введите FQDN NAC 800 -- например, nac1.nac.nt
Перезапустить RADIUS-сервер.
ProCurve NAC 800:/etc/raddb/certs# service radiusd restart
[править] Дополнительная информация
| ProCurve | ||
|---|---|---|
| Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless |  |
| Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
| Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
| Настройка | ||
| Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
| Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
| Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
| Разное | Опция 82 DHCP | SNMP в ProCurve | |
