Pull to refresh
0
Hewlett Packard Enterprise
Ускорение бизнес-результатов

Пример мультивендорного решения по контролю доступа в БЛВС

Reading time 6 min
Views 4.2K
В цикле статей мы попытаемся осветить настройку различных технологий для организации доступа к беспроводной локальной вычислительной сети (БЛВС).

Целью этой статьи является показ возможность применение открытых стандартов для стыковки оборудования различных производителей друг с другом, привнося определённые преимущества или недостатки, решать вам. Мы же сделали для себя определённые выводы и привели их в конце статьи.

В настоящее время беспроводной доступ к сети приобретает всё большую популярность и число пользователей, желающих подключится к сети со своих мобильных устройств растёт.

Число типов устройств доступа (endpoint*) растёт. Теперь это может быть персональный компьютер, лэптоп, смартфон, планшет, IP телефон, принтер, другие мобильные носимые устройства.
Способы аутентификации ( authentication functions* ) тоже могут различаться. Это может быть 802.х аутентификация, аутентификация пользователя через WEB портал, аутентификация VPN пользователя, аутентификация по MAC адресу и др.
Методы аутентификации (authentication methods*) могут также быть разнообразными. Это может быть аутентификация по username/password, аутентификация по сертификату, аутентификация по username/password+preshared key для VPN пользователей, аутентификация по username/password+сертификат. Это также может быть прозрачная портальная аутентификация для интеллектуальных мобильных устройств, для возможности дать пользователю самостоятельно зарегистрироваться в сети, мы же в свою очередь получаем данные о его устройстве, также, это может быть и прозрачная MAC аутентификация, когда MAC адрес пользователя в дальнейшем связывается с аккаунтом пользователя. Ещё один метод аутентификации существует для устройств, которые самостоятельно не могут сообщить свои аутентификационные данные.

Ко всему разнообразию способов и методов аутентификации добавляется большое разнообразие моделей носимых устройств, операционных систем, браузеров, производителей которые современная система безопасности также должна уметь определять.

Условия доступа могут различаться по времени доступа, группе точек доступа, группе устройств доступа, группе IP адресов, группе MAC адресов, группе беспроводных сетей.

Также современные системы доступа к сети обеспечивают проверку устройства пользователя перед входом в сеть (posture checking), когда endpoint пользователя также проверяется на предмет соответствия политикам безопасности, принятым в сети. Анализируются антивирусное ПО, anti-spyware, Anti-phishing, Firewall software management, hard disk encryption, Patch-Management Software, NAC с применением ACL, VLAN, содержимое реестра, наличие общих папок, сложность пароля и другие параметры, прежде чем получить доступ к сети.

Не забывайте также про требования регуляторов к публичному доступу в беспроводных сетях.

В этой статье мы рассмотрим вариант гостевого доступа к БЛВС с самостоятельной регистрацией гостя и получением пароля через SMS сообщение. Причём, сделаем это в мультивендорной сети. Контроллером беспроводного доступа будет выступать модель контроллера WLC_5508, точка доступа AIR-CAP3602E-R-K9 а вот весь другой функционал будет выполнять инфраструктура, построенная на оборудовании HP networking. Основные компоненты инфраструктуры показаны на рис.1


Рис.1

Для чего нужен контроллер точек беспроводного доступа и точка беспроводного доступа я описывать не стану.
Сервер Intelligent Management Center (IMC) с установленным на него модулем User Access Manager (UAM) выполняют вышеописанные механизмы аутентификации для всевозможных типов пользовательских устройств и браузеров.

Типы устройств доступа разделяются на две категории- типа лэптоп и типа смартфон для возможности выдавать страницу регистрации, рассчитанную на небольшой экран носимого устройства.

В качестве способа аутентификации выбран Web портал для пользователя и прозрачная MAC аутентификация абонентского устройства.

В качестве метода аутентификации выбрана схема username/password, где в качестве username выступает номер телефона пользователя, а в качестве пароля выступает произвольное значение из букв и цифр, генерируемое сервером UAM и отсылаемое пользователю по email.

Аккаунт пользователя связывается с устройством пользователя. Это помогает сделать DCHP plug-in, установленный на DHCP сервере. Он также помогает сделать профилирование устройства и браузера гостя на основе данных о МАС адресе (производитель устройства), пакете DHCP option (производить, тип устройства, операционная система), HTTP User Agent details (тип браузера).

В качестве условий доступа выбраны различные SSID сконфигурированные на контроллере. Это помогает нам группировать пользователей по общим признакам, выдавать им общую страницу регистрации, помещать в ту или иную группу, задавать общие политики доступа, помещать в те или иные регистрационные и рабочие VLAN.
Решением предусматривается два VLAN – один для onboarding(а) или карантинный, второй гостевой для постоянной работы.

Posture checking устройства пользователя не производится, хотя есть возможность связать сервер IMC c подобного рода системами типа Citirx XenMobile или MobileIron.

Сервером IMC также предусмотрено несколько способов отправки SMS сообщений пользователю. Отправка сообщений может происходить с применением внешнего GSM модема, подключённого с COM порту сервера IMC, сообщения могут отправляется в виде email на почтовый адрес провайдера, они могут также отправляется на стороннюю систему оператора связи через API.

Итак, после описания основных компонентов системы доступа давайте посмотрим процесс настройки беспроводного контроллера для работы в такой топологии.

В данном решении применена централизованная передача трафика аутентификации (через контроллер) и трафика абонента.

Через встроенный логический интерфейс management контроллера осуществляется управление точками доступа. Логический интерфейс management «привязан» к физическому интерфейсу PORT1 и работает в VLAN 2, см. рис.2



Рис.2

Интерфейсы VLAN_100 и VLAN_200 это динамические пользовательские интерфейсы, которые передают трафик в тегированном виде через PORT3 контроллера в локальную сеть, рис.3,4


Рис.3


Рис.4

Интерфейс VLAN_200 служит для передачи карантинного трафика в VLAN201, где осуществляется первоначальная прозрачная MAC и портальная аутентификация абонента. На интерфейс VLAN_100 (VLAN101) абонент попадает после успешной самостоятельной регистрации абонента на captive portal. Триггером переключения в VLAN101 служит успешное подтверждение пользователем своего аккаунта, путём ввода правильного пароля абонента, полученного по СМС. Сервер UAM использует сообщение Disconnect Request (RFC3576) посылаемое на контроллер для терминации пользовательской сессии в VLAN201.

Основные настройки контроллера:

Создаётся беспроводная сеть с ssid corg-guest. Рис.5


Рис.5

В параметрах безопасности беспроводной сети L2 указано применение MAC filtering, рис.6


Рис.6

В параметрах безопасности беспроводной сети L3 ничего не указано, потому что портальная аутентификация будет осуществляться через внешнее устройство, принимающее VLAN 101, VLAN201.
На вкладке AAA Servers беспроводной сети указываются AAA серверы и включается режим Radius Server Overwrite interface, рис.7


Рис.7

Другие вкладки оставляем без изменений и доходим до вкладки Advanced беспроводной сети, рис.8


Рис.8

На вкладке Advanced мы указываем режим Allow AAA Override для возможности присвоения VLAN нашим абонентам через механизм RFC3576 Dynamic Authorization Extensions to RADIUS.

Дополнительно нам нужно настроить также параметры безопасности контроллера, а именно внести настройки AAA серверов.

На вкладке Security -> AAA -> Radius заносим параметры нашего AAA сервера IMC, рис.9,10 параметры сервера аутентификации и аккаунтинга.


Рис.9


Рис.10

Проверяем что точка доступа подключена в разделе Wireless-Access Points, рис.11


Рис.11

Процесс аутентификации беспроводного абонента
Процесс аутентификации беспроводного абонента начинается с подключения его с беспроводной сети c ssid org-guest, рис.12


Рис.12

После получения абонентом IP-адреса появляется всплывающее сообщение, приглашающее пройти портальную аутентификацию, рис.13,14


Рис.13


Рис.14

Появляется окно, предлагающее ввести номер телефона и пароль, а при регистрации нового абонента, пароль будет выслан на мобильный телефон. Страничка кастомизирована под мобильное устройство, т.к. первичная идентификация устройства произошла при помощи DHCP агента для сервера. Рис.15, 16


Рис.15


Рис.16

Происходит обратный отсчёт времени для ввода пароля, за это время пользователь получает пароль на SMS.


Рис.18

После ввода пароля система IMC считает что пользователь зарегистрировался в сети, и производит переключение пользователя в нужный VLAN путём отсылки сообщения Disconnect-Request на контроллер точек беспроводного доступа. Также IMC настроена на автоматический перевод абонента на нужный web ресурс. Во время этой процедуры пользователь видит страницу рис.18. После истечения таймаута на перечисленные действия пользователь переходит на заданный ресурс, стр.19


Стр.19

Открытые стандарты помогают разрешить проблему зависимости от одного производителя в сети, тем более, если эта зависимость стала тяготить. База такого решения – это полноценная система управления, которая потом сможет выполнять мониторинг и частичное управление мультивендорной сетью.
Tags:
Hubs:
+4
Comments 3
Comments Comments 3

Articles

Information

Website
www.hpe.com
Registered
Founded
Employees
over 10,000 employees