教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

本文涉及的产品
文件存储 NAS,50GB 3个月
简介:

 

ACS5.2上的MAC地址旁路技术,已经有连续两个学员问到我这里了,这次我把这个任务交给了参加教徒计划的学员们,下面就是他们做的关于在一个端口上同时启用PEAP和MAC地址旁路的试验报告,这个技术主要适用于IPPhone串接PC的网络环境。最近我们还接了一个NAC Appliance的“项目”(依然是学员要求研究的),近期也会出相关的资料。安全CCIE8月15日之后,已经连续一次PASS 13人了!再次祝贺他们!

新一轮CCSP课程将于10月17日开始,希望大家的参加

实验目的:
在交换机上的同一端口,插入不同设备,可以自动的选择不同的服务,既可以对PC做PEAP认证,也可以对IPphone等设备基于MAC地址做bypass。

配置步骤:
首先,我们先把switch 做成client,很简单的两条命令。
aaa new-model      
radius-server host 202.100.1.241 key cisco
然后再 ACS 5.2 上面定义client,如下图。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

在identity Group 下面建三个组,分别是Test(测试client用)、PEAP(用于PEAP认证用)、MAC(用于MAC地址Bypass用)。
 



在Internal Identity Stores下面的User 下面建两个user
Cisco(用于client测试)、Peapuser((PEAP认证用)
分别关联到不同的Identity Group中去。
 



在Host下面 添加主机的MAC地址。
把地址放在MAC 组里面。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

在交换机上做一下测试
test aaa group radius cisco cisco new-code
确认测试成功,才可以进行下一步。

在Access Policies 下面的Access Services中创建新的services,首先,先创建一个PEAP用的Access Services。输入的名字。选择User Selected Service Type类型为Network Access,点下一步。
 



在Authentication Protocols 下勾选 PAP/ASCII 和 PEAP,PEAP使用MS-CHAPv2。
 



下面再做一个MAC Bypass的Access Service
Name 随便,在Based on Service template 中选择 Network Access – MAC Authentication Bypass
如下图:
 



第二步,服务只要默认的Process Host Lookup就好,其他什么都不用选了。
 



下面就是关键所在了。
点击 Service Selection Rules 进入,选择右下角的Customize,把Compound Condition 选中点击向右的箭头,把他选到右边的Selected框中。
 



点击左下角的Create 创建一个新的Rules。
注意这里的Rules匹配条件,Protocol 匹配 Radius
然后,选择RADIUS-IETF中的Service-Type参数匹配上Framed。
使用PEAP Service 做认证和授权。
 



在做一条Rules,匹配Service-type中的Call Check,使用MAC做认证和授权。
 



把新建的两条Rules移到上面去,这样保证不会匹配上默认Rules。
 



Network Access 类型的 service Type 默认的Identity Source是DenyAccess,我们需要把他改成 Internal Users。如果有域数据库的话,这里也可以指向AD,使用外面AD做认证,请参考教主的ACS 5.2 研究报告,这里就不搞这么麻烦了。
授权这里就直接使用默认的授权:Permit access,详细的授权,在ACS 5.2 研究报告里也有提到。
 



MAC-authentication-Bypass 默认的就是Internal Host,这里就不需要改了。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

到交换机上把Dot1x的命令都敲上吧。
先做好安全防护措施,先把线下保护做好,要是被锁外面,哭都来不及了。
aaa authentication login noacs line none
line con 0
 login authentication noacs
下面是802.1x的命令
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface FastEthernet0/45
 dot1x mac-auth-bypass
 dot1x port-control auto
交换机做完之后,我们去PC上把802.1x的有线认证开起来。
 



在本地连接的属性的身份验证选项卡中设置一下。
把 网络身份验证方法选择为 微软的PEAP。
我们要做测试,所以把记录凭据也取消掉。
 



点击网络身份验证方法后面的设置,可以看到下面的图。
因为这次主要是为了测试PEAP,所以这里,我把验证服务器证书也取消了。
把身份验证方法选择为EAP-MSCHAP v2,就OK了。
 



回到身份验证的选项卡中,点击其他设置,取消掉自动使用Windows登录名和密码。
 



一切就绪,下面就是测试了。插上网线,电脑右下角会弹出下面的提示框,单击他。
 



身份认证来了,要输入用户名和密码。
 



看,速度很快,输完用户名和密码,立刻就up了。
 



现在,关掉802.1x的认证服务。
 



把网线拔下来重新插入。也通过了。时间有点长,要两分半钟,可以做适当的优化。把timeout的值做修改,还可以把最大重认证次数和最大请求次数的值改小。
 



到ACS 上看一下报告吧:报告太长我分两段截的图,可以对比着看。
 

 



还有更详细的报告:
下面是PEAP的详细的报告:
 



注意看Authentication Details中的Other选项:
Service-type=Framed
 



下面还有两张MAC-authentication Bypass的图片。
 


留意一下service-type=Call Check
 



最后附上对service-type的详细说明:
当服务类型出现在Access-Accept报文中时,定义如下文所示。当在
Access-Request报文中出现时,应该当作NAS暗示RADIUS服务器认为用户
应该使用的服务,但服务器不一定要满足提示中的要求。

1.Login:用户应该连接到主机。

2.Framed:用户使用帧协议例如PPP或SLIP。

3.Callback Login:用户应该先断开再连接。

4.Callback Framed:用户需要受限端口连接,然后使用帧协议进行连接
,例如PPP或SLIP。

5.OutBond:用户可以访问外部设备。

6.Administrative:用户授权访问NAS的管理接口,可以执行特权命令。

7.Nas Promt:NAS为用户提供输入提示允许运行非特权命令。

8.Authenticate Only:只返回认证信息,Access-Accept报文中不返回
授权信息(通常在代理服务器中使用)。

9.Callback NAS Prompt:用户应该断开连接,再连接,NAS提供输入提
示允许执行非特权命令。

10.Call Check:NAS在Access-Request中使用,表示请求收到,RADIUS
服务器如果接收,应该返回Access-Accept报文,如果不接受,应该返回
Access-Reject报文。建议这种Access-Requests报文使用Calling-
Station-Id属性保存用户名。

11.Callback Administrative:用户应该先断开再连接,然后可以通过
管理接口访问NAS,执行特权命令。



本文转自Yeslab教主 51CTO博客,原文链接:http://blog.51cto.com/xrmjjz/685688

相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
相关文章
|
3月前
|
运维 监控 安全
|
18天前
|
人工智能 机器人 Android开发
ChatGPT拓展PC/Mac应用集成,迈向电脑操控新时代
ChatGPT拓展PC/Mac应用集成,迈向电脑操控新时代
|
3月前
|
存储 网络安全 数据安全/隐私保护
|
4月前
|
项目管理 Python
如何在Mac上安装多个Python环境
在你的Mac上使用多个Python环境可以对项目管理很有帮助,特别是在同时处理不同Python版本或不同的包需求时。在这篇文章中,我们将向你展示如何在Mac上轻松地安装和管理多个Python环境。
119 5
 如何在Mac上安装多个Python环境
|
3月前
|
PyTorch TensorFlow 算法框架/工具
手把手教你-MAC笔记本安装Pytorch环境
手把手教你-MAC笔记本安装Pytorch环境
130 0
|
4月前
|
缓存 网络协议 网络架构
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
本文详细介绍了如何使用网络抓包工具Wireshark进行网络抓包分析,包括以太网v2 MAC帧、IP数据报、ICMP报文和ARP报文的格式,以及不同网络通信的过程。文章通过抓包分析展示了IP数据报、ICMP数据报和ARP数据报的具体信息,包括MAC地址、IP地址、ICMP类型和代码、以及ARP的硬件类型、协议类型、操作类型等。通过这些分析,可以更好地理解网络协议的工作机制和数据传输过程。
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
|
4月前
|
JavaScript Linux Android开发
mac环境下搭建frida环境并连接网易mumu模拟器
这篇文章介绍了如何在mac环境下搭建Frida环境,并详细说明了如何连接网易MuMu模拟器进行动态分析。
277 1
|
3月前
|
Linux C语言 iOS开发
MacOS环境-手写操作系统-06-在mac下通过交叉编译:C语言结合汇编
MacOS环境-手写操作系统-06-在mac下通过交叉编译:C语言结合汇编
62 0
|
4月前
|
Ubuntu 应用服务中间件 网络安全
Ubuntu 22.04环境下为Odoo开启80端口的方法
通过以上步骤,你应该能够在Ubuntu 22.04环境下为Odoo开启80端口。访问你的域名时,Nginx会将请求代理到Odoo,允许你通过80端口访问Odoo应用。
155 1
|
4月前
|
监控 安全 网络协议