Аутентификация пользователей

Аутентификация пользователей проводится с использованием стандарта 802.1Х. Основным механизмом аутентификации являются сертификаты, подписанные корпоративным удостоверяющим центром на базе Windows Server.

Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL(Extensible Authentication Protocol Over LAN) и только после успешной аутентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X. Состояние порта в этом случае остается помеченным как неавторизованное. Если клиент успешно проходит проверку, то порт переходит в авторизованное состояние. Аутентификация начинается, когда на порту устанавливается физическое соединение или, когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслировать кадры аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят с сервера специальный кадр — accept frame), порт коммутатора переходит в авторизованное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответа от сервера через определённый отрезок времени — аутентификация не проходит. При отключении клиент посылает кадр EAPOL-logoff, что переводит порт в неавторизованное состояние.

Пример настройки:

Установить службу IAS. Открыть оснастку Internet Authentication Service и создать новую политику удаленного доступа (Remote Access Policies -> RClick -> New Remote Access Policy). В открывшемся окне Select Attribute выбираем Authentication Type и добавляем CHAP, критерий – принадлежность пользователей к ранее созданной группе созданной ране в AD. Выбираем пункт Windows-Groups, добавляем эту группу. И самое главное – выбираем атрибут “Service-Type” = Login для пользовательского и Administrative – для привилегированного доступа: В завершение мастера, выбираем пункт “Grant remote access permission” Теперь необходимо создать учетные записи для устройств, к которым будет выдаваться доступ. Для этого в оснастке IAS выбираем пункт RADIUS Clients -> RClick -> New RADIUS Client, в появившемся окне вводим дружественное имя, например Switch1 и IP адрес устройства, жмем Next, выбираем “Client-Vendor” = “Cisco”, вводим ключ для аутентификации RADIUS сервера и клиента (рис. 4). Настройка со стороны IAS завершена, переходим к настройке сетевых устройств.

Пример настройки сетевого устройства Cisco:

!включаем шифрование паролей service password-encryption !задаем пароль для привилегированного режима enable secret ******* username recover password ********* ! Включаем ААА aaa new-model !Необязательно. Баннер о том, что это закрытая система. aaa authentication banner ^ Access only for persons explicitly authorized. All rights reserved. ^ !Сообщение на случай неуспешной аутентификации. Полезно при отладке aaa authentication fail-message ^ Authentication failed ^ !Создаем профиль аутентификации !Не забываем как резервный указать локальный способ аутентификации aaa authentication login login-RADIUS group radius local !Создаем профиль авторизации. aaa authorization exec auth-RADIUS-exec group radius local !По умолчанию клиент ААА трижды пытается авторизоваться через RADIUS. !Чтобы не блокировать учетные записи в AD, ставим 1 попытку radius-server retransmit 1 !Указываем наш RADUIS сервер radius-server host 10.0.0.2 !Задаем ключ для шифрования radius-server key SupErkEy ! ! Включаем созданные профили для виртуальных консолей line vty 0 15 exec-timeout 15 0 login authentication login-RADIUS authorization exec auth-RADIUS-exec timeout login response 180 no password

Настройка завершена. Отладка:

# debug radius events # debug aaa authentication # debug aaa authorization # debug aaa protocols # debug radius [authentication | elog | verbose] А так же просматриваем Event log AD и IAS.

Москва

Для подсчёта площади заданного здания использовались встроенные средства программы Adobe Acrobat Reader DC. Для простоты расчётов итоговую площадь одного этажа берём 705 м², тогда площадь всего здания (2 этажа) – 1410м².

Согласно стандартам ILO на одно рабочее место приходится 10 м², таким образом в заданном здании будут работать 1410/10 = 141 человек.

Заданная плотность устройств на человека – 2.8, таким образом всего в здании будут находиться 141*2.8 = 395 беспроводных устройств.

Проводные устройства: 141*2 (компьютер + IP телефон) = 282 устройств +52 принтеров = 334 проводных устройств, из них 282 компьютеров (по 141 на этаж), 282 телефонов (по 141 на этаж) и 52 принтеров (по 26 на этаж). Использовать архитектуру MAB, так как эта архитектура аутентифицирует пользователя по его МАС. Тем самым препятствует злоумышленнику подключиться с другого устройства в сеть.

Уличный сектор: в уличном секторе здания нам нужно обеспечить Outdoor Wi-Fi для проведения конференций. Вокруг здания требуется выделить 3 сектора вместимостью по 500 устройств каждый. 500/44 = 12 точек доступа в одном секторе. 36 точек в трех секторах.