この記事では、小規模組織がMicrosoftおよびCiscoのテクノロジーを使用して、さまざまなデバイスへのネットワークアクセスの提供を制限する方法について説明します。 カットの下で、NAP、MAB、およびこれらすべての使用方法について説明します。
いくつかのことは、次のように説明されています。 よく知られているか、多くの文書で十分に詳細に説明されています。
テクノロジーナンバーワン -MicrosoftのNAP(ネットワークアクセス保護)-コンピューターの正常性状態に基づいてネットワークへのアクセスを提供します。 つまり、ネットワークにアクセスするには、コンピューターが特定の要件を満たしている必要があるというポリシーが定義されています-たとえば、ウイルス対策、更新されたウイルス対策データベースを備えたウイルス対策、ファイアウォールまたは自動更新サービスなどが必要です。 コンピューターが必要な条件を満たす場合、ネットワークへのアクセスが提供されます。 満たされない場合、アクセスは許可されないか、許可されますが制限されます。
NAPテクノロジーは、
DHCP、IPSec、RD-Gateなどのさまざまなシナリオで使用できます。 私たちの小さな組織では、NAPは802.1Xプロトコルと組み合わせて使用され、スイッチポートに接続されたデバイスまたはWi-Fiを介して接続されたデバイスへのネットワークアクセスを確認および提供しません。 つまり コンピューターがネットワークコンセントに接続されるとすぐに、認証が実行され、指定されたポリシーへの準拠が検証されます-このチェックの結果に基づいて、メッセージはRADIUSサーバーからスイッチに届き、クライアントをネットワークに接続するかどうかを許可します。 開始したら、次に(VLAN)。
コンピューターが指定された要件を満たしていない場合は、検疫VLANに移動できます。検疫VLANでは、特定のサーバーである回復サーバーをこのコンピューターで使用できます。 このサーバーから、たとえばウイルス対策ソフトウェアをダウンロードしてインストールし、目的のネットワークに再アクセスすることができます。
この動作アルゴリズムは、すべてのクライアントがDHCP経由でアドレスを受信することを想定しています-これは非常に重要なポイントです。
テクノロジー番号 2-シスコからのMAB(MAC Authentication Bypass)-MACアドレスによるネットワークに接続されたデバイスの認証。 つまり デバイスが正しく構成されたスイッチのポートに接続されている場合(正しく構成されたスイッチでは、事前検証なしに誰もネットワークに接続できません)、接続されたデバイスが認証されます。 適切に設定されたスイッチは、デバイスのMACアドレスをログインとパスワードとして使用して、対応するリクエストをRADIUSサーバーに転送します。 さらに、スイッチは、RADIUSサーバーの応答(MAB-Successまたはバナナ)によって既にガイドされています。
そして今、私たち全員がそれをどう使うかについて。
NAPテクノロジーがコンピュータータイプのデバイスに完全に適用されていることに気付くのは難しくありません。 ここに、その技術、可能性(インストール済みのウイルス対策、ファイアウォール、更新の確認など)が実現され、コンピューターがどのOSで実行されているかは関係ありません-ただし、Linuxでの実装、およびMacでのようです。 Windowsの場合、箱の多くは無料です(箱には本当にお金がかかります)。
一方、MABは、802.1XやNAPなどの重要事項について特に知識のないデバイスに完全に接続されています。特に プリンター(多くのプリンターは802.1Xで動作可能)、ネットワークスキャナー、ビデオレコーダー、冷蔵庫...
ネットワークで使用されているデバイスがわかっているため、この同じネットワーク内で、対応するVLANの定義を使用して、適切なcなアドレス指定スキームが開発されました。 つまり プリンタには個別のサブネットが割り当てられ、VLAN 5が割り当てられました。ユーザーコンピューターには独自のサブネットとVLAN 6があります。VLANとサブネットの数は、アクセスを区別する方法と、アクセスを行うかどうかによって異なります。
VLAN(これは重要です)は動的に割り当てられます-つまり ユーザーがどのソケットに接続しても、ネットワークにアクセスできます(もちろん、対応する「許可」があり、所定のポリシーを満たしている場合を除きます)。 他のデバイスでも同じです。 ランダム通行人はどこでもバナナを手に入れます。
次に、RADIUSサーバーが展開され、Active Directoryを対象にしました。 次に、ADでスペシャルが作成されました。 コンピューターアカウントが追加されるグループ(部門\部門\ ...または必要なアクセスレベルへの所属に応じて)。
また、ADでは、MABを通過するNAPおよび802.1Xを理解しないデバイスに対応するユーザーアカウントが作成されます。 テストおよび構成中に、インターネット上でMACアドレスによる認証(特に、MicrosoftのWebサイト)について発見された唯一のことは、
MACアドレス認証であり、MABを構成すべきではない記事です。 そして、次のように設定できます:
- NPS設定で、PAP認証プロトコルを既存のポリシーに追加します。
- 上記のtechnetの記事を読んで、レジストリにこれらのキーがないことを確認してください(記事で作成することをお勧めします)。
- ADに、デバイスのMACアドレスに対応する名前とパスワード(区切り文字なしの小文字)でユーザーアカウントを作成します。
デバイス用に作成されたユーザーアカウントは、プリンター、スキャナー、シンクライアント、床暖房センサーなど、特別に確立されたグループにも追加されます...
次に、RADIUSサーバーでRADIUSクライアントが開始されます。 認証および承認要求の送信元のスイッチ。
NAPが登場したばかりの時点で、Windows 2008 Standardへの展開を開始し、小さな組織では、このバージョンの制限に非常に迅速に遭遇しました。 RADIUSクライアント。 もちろん、マニュアルではこれについて書かれていますが、どういうわけか微妙に忘れられていました。
RADIUSクライアントに加えて、NAPとMABの両方のサーバーに対応するルールが作成されます。 ルールはほぼ次のとおりです-要求が
xxx.xxx.xxx.xxxサブネットからのものであり、クライアントがAD
YYYのグループのメンバーであり、特定のポリシーのすべての要件さえ満たしている場合(たとえば、最新のデータベースとすべてのネットワーク接続用のファイアウォールを備えた動作中のウイルス対策プログラムがあります) )、ネットワークへのフルアクセスが提供されます
-VLAN ZZZMABの場合、ポリシーは同じであり、正常性の状態を確認することなく、特定のユーザーグループのメンバーシップがチェックされ、コンピューターはチェックされません。
上記のように、MABの場合、認証プロトコルPAPが使用され、NAPの場合はそれぞれPEAPが使用されます。 そうでなければ、PEAPに集中する価値があります。ある日、PEAP自体がそれを行います。 実際、PEAPはサーバー証明書に関連付けられています。この例では、RAS IASサーバー証明書です。 証明書には優れた能力があります-証明書の有効期限は一度です。 したがって、次のように、対応する証明書のNPSサーバーへの自動登録ポリシーを事前に十分に管理します。 それ以外の場合、数十、数百、またはおそらく数千のユーザーがネットワークにアクセスせずに放置されるリスクがあります(組織の規模とNAPの浸透度によって異なります)。
次は、ネットワーク機器のセットアップです。 スイッチが802.1Xプロトコルをサポートすることが重要です。サポートされていない場合、フォーカスは失敗します。 私たちの小さな組織では、Ciscoデバイスはどこでも使用されていますが、それでも問題がありました-必要なサポートはIOSの以降のバージョンで登場しました。
スイッチで必要なことは次のとおりです。
-RADIUSサーバーと共有キーを指定します。
-必要なポートを構成します。
例:
aaa authentication dot1x default group radius
dot1x system-auth-control
!
interface GigabithtEthernetX/X/X
switchport mode access
authentication order mab dot1x
authentication port-control auto
mab
dot1x guest-vlan XXX
spanning-tree portfast
!
radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813 key XXX実際には、ネットワーク機器のこのセットアップで終了します。
ただし、これがすべて機能するためには、とりわけ、クライアントコンピューターでいくつかの設定を実行する必要があります。 つまり、自動起動でネットワークアクセス保護と有線Autoconfigサービスをセットアップするには、デフォルトで手動状態になります。
機能に気付きました-完全に異なるモデルのCisco IP Phoneを介してコンピューターをネットワークに接続すると、電話がEAPパケットの通過をブロックする状況が定期的に発生します。 一部の電話機では、これは設定でSPAN to PCパラメータをオンにすることで処理されます。 多くの電話では、そのような設定はありません。 したがって、誰かが電話を越えてネットワークに接続するか、電話を再起動する必要があります。 他のベンダーが同様のニシュティクを持っているかどうかは不明です-シスコのみを使用しています。
その結果、ネットワークに接続しようとする段階ですでにネットワークを適切に保護しています。 私たちは、ポートセキュリティやシャットダウン後のポートのようなものから遠ざかりつつあります。 ボーナスとして、動的に割り当てられたVLANを受け取ります。
一般的に、テクノロジーは悪くなく、かなり機能していると言えます。