教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

本文涉及的产品
文件存储 NAS,50GB 3个月
简介:

 

ACS5.2上的MAC地址旁路技术,已经有连续两个学员问到我这里了,这次我把这个任务交给了参加教徒计划的学员们,下面就是他们做的关于在一个端口上同时启用PEAP和MAC地址旁路的试验报告,这个技术主要适用于IPPhone串接PC的网络环境。最近我们还接了一个NAC Appliance的“项目”(依然是学员要求研究的),近期也会出相关的资料。安全CCIE8月15日之后,已经连续一次PASS 13人了!再次祝贺他们!

新一轮CCSP课程将于10月17日开始,希望大家的参加

实验目的:
在交换机上的同一端口,插入不同设备,可以自动的选择不同的服务,既可以对PC做PEAP认证,也可以对IPphone等设备基于MAC地址做bypass。

配置步骤:
首先,我们先把switch 做成client,很简单的两条命令。
aaa new-model      
radius-server host 202.100.1.241 key cisco
然后再 ACS 5.2 上面定义client,如下图。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

在identity Group 下面建三个组,分别是Test(测试client用)、PEAP(用于PEAP认证用)、MAC(用于MAC地址Bypass用)。
 



在Internal Identity Stores下面的User 下面建两个user
Cisco(用于client测试)、Peapuser((PEAP认证用)
分别关联到不同的Identity Group中去。
 



在Host下面 添加主机的MAC地址。
把地址放在MAC 组里面。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

在交换机上做一下测试
test aaa group radius cisco cisco new-code
确认测试成功,才可以进行下一步。

在Access Policies 下面的Access Services中创建新的services,首先,先创建一个PEAP用的Access Services。输入的名字。选择User Selected Service Type类型为Network Access,点下一步。
 



在Authentication Protocols 下勾选 PAP/ASCII 和 PEAP,PEAP使用MS-CHAPv2。
 



下面再做一个MAC Bypass的Access Service
Name 随便,在Based on Service template 中选择 Network Access – MAC Authentication Bypass
如下图:
 



第二步,服务只要默认的Process Host Lookup就好,其他什么都不用选了。
 



下面就是关键所在了。
点击 Service Selection Rules 进入,选择右下角的Customize,把Compound Condition 选中点击向右的箭头,把他选到右边的Selected框中。
 



点击左下角的Create 创建一个新的Rules。
注意这里的Rules匹配条件,Protocol 匹配 Radius
然后,选择RADIUS-IETF中的Service-Type参数匹配上Framed。
使用PEAP Service 做认证和授权。
 



在做一条Rules,匹配Service-type中的Call Check,使用MAC做认证和授权。
 



把新建的两条Rules移到上面去,这样保证不会匹配上默认Rules。
 



Network Access 类型的 service Type 默认的Identity Source是DenyAccess,我们需要把他改成 Internal Users。如果有域数据库的话,这里也可以指向AD,使用外面AD做认证,请参考教主的ACS 5.2 研究报告,这里就不搞这么麻烦了。
授权这里就直接使用默认的授权:Permit access,详细的授权,在ACS 5.2 研究报告里也有提到。
 



MAC-authentication-Bypass 默认的就是Internal Host,这里就不需要改了。
教徒计划出品:同一端口同时启用PEAP和MAC地址旁路(适用于IPPhone串接PC的网络环境)

到交换机上把Dot1x的命令都敲上吧。
先做好安全防护措施,先把线下保护做好,要是被锁外面,哭都来不及了。
aaa authentication login noacs line none
line con 0
 login authentication noacs
下面是802.1x的命令
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface FastEthernet0/45
 dot1x mac-auth-bypass
 dot1x port-control auto
交换机做完之后,我们去PC上把802.1x的有线认证开起来。
 



在本地连接的属性的身份验证选项卡中设置一下。
把 网络身份验证方法选择为 微软的PEAP。
我们要做测试,所以把记录凭据也取消掉。
 



点击网络身份验证方法后面的设置,可以看到下面的图。
因为这次主要是为了测试PEAP,所以这里,我把验证服务器证书也取消了。
把身份验证方法选择为EAP-MSCHAP v2,就OK了。
 



回到身份验证的选项卡中,点击其他设置,取消掉自动使用Windows登录名和密码。
 



一切就绪,下面就是测试了。插上网线,电脑右下角会弹出下面的提示框,单击他。
 



身份认证来了,要输入用户名和密码。
 



看,速度很快,输完用户名和密码,立刻就up了。
 



现在,关掉802.1x的认证服务。
 



把网线拔下来重新插入。也通过了。时间有点长,要两分半钟,可以做适当的优化。把timeout的值做修改,还可以把最大重认证次数和最大请求次数的值改小。
 



到ACS 上看一下报告吧:报告太长我分两段截的图,可以对比着看。
 

 



还有更详细的报告:
下面是PEAP的详细的报告:
 



注意看Authentication Details中的Other选项:
Service-type=Framed
 



下面还有两张MAC-authentication Bypass的图片。
 


留意一下service-type=Call Check
 



最后附上对service-type的详细说明:
当服务类型出现在Access-Accept报文中时,定义如下文所示。当在
Access-Request报文中出现时,应该当作NAS暗示RADIUS服务器认为用户
应该使用的服务,但服务器不一定要满足提示中的要求。

1.Login:用户应该连接到主机。

2.Framed:用户使用帧协议例如PPP或SLIP。

3.Callback Login:用户应该先断开再连接。

4.Callback Framed:用户需要受限端口连接,然后使用帧协议进行连接
,例如PPP或SLIP。

5.OutBond:用户可以访问外部设备。

6.Administrative:用户授权访问NAS的管理接口,可以执行特权命令。

7.Nas Promt:NAS为用户提供输入提示允许运行非特权命令。

8.Authenticate Only:只返回认证信息,Access-Accept报文中不返回
授权信息(通常在代理服务器中使用)。

9.Callback NAS Prompt:用户应该断开连接,再连接,NAS提供输入提
示允许执行非特权命令。

10.Call Check:NAS在Access-Request中使用,表示请求收到,RADIUS
服务器如果接收,应该返回Access-Accept报文,如果不接受,应该返回
Access-Reject报文。建议这种Access-Requests报文使用Calling-
Station-Id属性保存用户名。

11.Callback Administrative:用户应该先断开再连接,然后可以通过
管理接口访问NAS,执行特权命令。



本文转自Yeslab教主 51CTO博客,原文链接:http://blog.51cto.com/xrmjjz/685688

相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
相关文章
|
16天前
|
存储 安全 网络安全
云计算环境下的网络安全策略与实践
【5月更文挑战第31天】 在数字化浪潮不断推进的当下,云计算以其高效、灵活和成本效益的特点成为企业数字化转型的重要推动力。然而,随着云服务的广泛应用,数据安全与隐私保护问题亦日益凸显,成为制约云服务发展的关键因素之一。本文旨在探讨云计算环境中网络安全的挑战与对策,通过分析当前云服务中存在的安全风险,提出有效的安全管理和技术措施,以增强企业在享受云计算便利的同时,保障信息安全的能力。
20 2
|
16天前
|
云安全 存储 人工智能
云端防御战线:云计算环境下的网络安全策略与实践
【5月更文挑战第31天】在数字化浪潮推动下,云计算已成为现代企业架构不可或缺的一部分。然而,随着数据和应用不断迁移至云端,传统的网络边界逐渐模糊,给安全带来了前所未有的挑战。本文探讨了云计算环境中面临的主要安全威胁,分析了当前最佳实践和新兴技术如何共同构建坚固的防御体系,以保护云服务中的数据完整性、机密性和可用性。
|
16天前
|
云安全 监控 安全
云端防御战线:云计算环境下的网络安全策略与实践
【5月更文挑战第31天】 在数字化时代,云计算以其灵活性、可扩展性和成本效益成为企业IT结构的核心。然而,随着云服务应用的普及,数据安全和隐私保护成为了亟待解决的挑战。本文深入探讨了云计算环境下的网络安全问题,分析了当前主流的安全威胁,并提出了一套综合的防御策略。通过采用先进的加密技术、身份认证机制、入侵检测系统以及合规性审计,构建了一个多层次、全方位的云安全防护体系。同时,文中还讨论了实施这些安全措施时可能遇到的挑战和解决方案,为读者提供了实用的指导和建议。
|
17天前
|
存储 云安全 安全
云端之盾:构筑云计算环境下的网络安全防线
【5月更文挑战第30天】 在数字化转型的浪潮中,云计算已经成为企业与个人存储、处理和分析数据的重要平台。然而,随着云服务应用的广泛化,网络安全威胁亦随之增加,给信息安全带来了前所未有的挑战。本文深入探讨了云计算环境中所面临的安全风险,分析了现代网络攻击手段,并提出了综合性的防御策略,以保障云服务的安全性和可靠性。通过加密技术、身份认证、入侵检测系统和安全策略等多层面的技术手段,构建一个坚固的网络安全防线,以确保云服务用户的数据安全和业务连续性。
|
17天前
|
监控 安全 网络安全
云端守卫:云计算环境下的网络安全与信息保护策略
【5月更文挑战第30天】 在数字化转型的浪潮中,云计算以其灵活性和成本效益成为众多企业的首选技术平台。然而,云服务的广泛采用也带来了前所未有的安全挑战。本文探讨了在复杂多变的云环境中实施有效的网络安全和信息保护机制的关键策略。通过分析云服务模型(IaaS, PaaS, SaaS)与相应安全责任的分配,本文提出了一系列创新的安全框架和技术措施,旨在加强数据隐私、确保业务连续性并防范先进持续性威胁(APT)。同时,文章还讨论了合规性问题和多云、混合云环境中的安全考量,为构建一个既灵活又安全的云计算环境提供了全面的视角。
|
9天前
|
云安全 安全 网络安全
云端防御:云计算环境中的网络安全策略与实践
【5月更文挑战第38天】 在数字化转型的浪潮中,企业纷纷采用云计算服务以提升运营效率和灵活性。然而,云服务的广泛部署也带来了前所未有的安全挑战。本文深入探讨了云计算环境中网络安全的关键问题,分析了当前主流的云安全威胁模型,并提出了一系列创新的安全策略和最佳实践。通过结合案例分析和技术评估,我们旨在为读者提供一套全面的参考框架,以增强其在云环境下的安全防御能力。
|
11天前
|
Windows
windows系统bat批处理 网络设置大全 设置静态、动态IP地址
windows系统bat批处理 网络设置大全 设置静态、动态IP地址
|
16天前
|
机器学习/深度学习 安全 网络安全
云端防御:云计算环境中的网络安全与信息保护策略深度学习在图像识别中的应用与挑战
【5月更文挑战第31天】 在数字化转型的浪潮中,云计算已成为企业及个人存储和处理数据的首选平台。然而,随着云服务的广泛采用,网络安全威胁也随之增加,使得信息安全成为亟待解决的挑战。本文聚焦于云计算环境特有的安全风险,探讨了多层次、多维度的防御策略,旨在为读者提供一套综合的云安全解决方案蓝图。通过分析当前云服务中的安全缺陷,并提出相应的防护措施,文章不仅强调了技术层面的对策,还涉及了管理与合规性方面的重要性。
|
16天前
|
监控 安全 网络安全
云端防御:云计算环境中的网络安全与信息保护策略
【5月更文挑战第31天】 在数字化转型的浪潮中,云计算已成为企业IT架构的核心组成部分。然而,随着云服务模式的广泛采用,数据安全和隐私保护的挑战也日益严峻。本文旨在探讨云计算环境下的网络安全和信息保护机制,分析当前面临的主要安全威胁,并提出一系列创新性的防护措施和技术解决方案。通过对云服务模型、加密技术、身份验证、访问控制及合规性监管等方面的深入讨论,文章力求为企业和组织提供一套全面的云计算安全防护指南。
|
16天前
|
存储 安全 网络安全
云端之盾:构筑云计算环境下的网络安全防线
【5月更文挑战第31天】 随着云计算技术的蓬勃发展,企业和个人越来越依赖于云服务来处理和存储数据。然而,这种便利性的背后隐藏着潜在的风险——数据泄露、非法访问和服务中断等问题层出不穷。本文将深入探讨云计算环境中的网络安全挑战,分析当前主流的安全技术和策略,并提出一系列创新措施,旨在加强云服务的数据保护,保障信息的安全性与完整性,确保云服务的可靠性和用户的信任度。