Введение

В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One 1.12 совместно с Cisco ISE (Identity Service Engine).

Описание работы MAB / MAB с CWA

В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes. Это нужно обязательно учитывать при настройке Radius сервера.

ACL redirect используется для перенаправления трафика пользователей на страницу авторизации или на портал с условиями использования.

ACL internet используется для разрешения доступа к интернету.

MAB (MAC Authentication Bypass)

  • Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.

  • Точка доступа передает MAC-адрес пользователя на платформу.

  • С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

  • RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.

  • Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.

Представлены следующие дампы:

MabPermit.pcap

MabDeny.pcap

MAB с CWA (MAC Authentication Bypass with Central Web Authentication)

  • Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.

  • Точка доступа передает MAC-адрес пользователя на платформу.

  • С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

  • RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.

  • RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
    Пример:

Cisco-AVPair: url-redirect=https://ip.or.domainNameIse:8443/portal/gateway?sessionId=0a0a0e0eL6KPuaajRWB80BWsGw0EoVgmIJOb62fWv3BShJKMB0g&portal=77b653c9-924d-41a5-a5c3-1c40c4e7a5a7&action=cwa&type=drw&token=b67ef4485a259fe357e6fe6f82911d6f


  • С платформы перенаправляется ответ на точку доступа, которая в свою очередь отправляет пользователю ссылку на веб-страницу аутентификации, предоставляемую Cisco ISE.

Важно отметить, что в текущей реализации за работу функции редиректа и функций ACL (списков доступа) отвечает точка доступа.

  • Пользователь открывает веб-браузер и вводит учетные данные на странице аутентификации.

Все указанные в "Настройке списка доступа для неаутентифицированных пользователей" IP / Domain, а также DNS и BOOTP будут доступны пользователю без авторизации (ACL name redirect).

  • Cisco ISE проверяет учетные данные пользователя и, если они действительны, отправляет ответ CoA-Request на платформу.

  • После получения CoA-Request на платформе обрабатывается запрос и применяются указанные изменения в параметрах доступа пользователя.

Кроме того, в дампе видно CoA-ACK (Change of Authorization Acknowledgment) пакет, который представляет собой подтверждение от платформы о приеме и успешной обработке CoA-Request от Cisco ISE.

  • Далее после отправки CoA-Request от Cisco ISE, следует получение ответа в виде Access-Accept с ACL "internet".
    Пример:

Airespace-ACL-Name: internet

  • Платформа разрешает доступ пользователя в интернет.

Представлены следующие дампы:

CWA+MAB_Internet.pcap

CWA+MAB_Redirect.pcap


Рисунок 1 - Схема работы при подключении пользователя


Рисунок 2 - Процесс подключения к данной сети пользователем

В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.

Настройка MAB на Wimark One


Если настройка производится на платформе Wimark One HA то на Radius-сервере (например Cisco ISE) в разрешенных сетевых устройствах необходимо указать management IP-адреса обеих нод Wimark One HA, а не VIP-адрес, т.к. запросы на Radius-сервер отправляются с management IP master ноды.

Если указать только management IP master машины, то RADIUS-сервер будет принимать запросы только от неё. В случае переключения на резервную машину, устройства не смогут подключиться к сети.

Добавление AAA сервера для MAB

  1. Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).


Рисунок 3 - Раздел “Radius серверы”

2. Нажать “Добавить” и в форме (рисунок 4) заполнить следующие поля:

IP адрес - IP адрес радиус-сервера для MAB. Это должен быть адрес, на котором работает радиус-сервер пользователя для аутентификации посредством MAB;

Имя - имя радиус-сервера для MAB. Это может быть любое удобное для пользователя имя, которое поможет идентифицировать этот сервер;

Ключ - ключ для аутентификации между сетевым оборудованием пользователя и радиус-сервером. Это общий секретный ключ, который используется для безопасной связи между оборудованием и сервером;

Подтверждение ключа - ввести ключ ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают;

Порт авторизации - порт, который будет использоваться для авторизации на радиус-сервере: порт 1812;

Порт аккаунтинга - порт, который будет использоваться для аккаунтинга на радиус-сервере: порт 1813;

Ключ CoA сервера - ключ CoA. Можно не заполнять, если используется MAB без CWA;

Подтверждение ключа CoA сервера - ввести ключ CoA сервера ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают. Можно не заполнять, если используется MAB без CWA.

Переключатель оставить в положении “Клиент на ТД”.

Рисунок 4 - Форма добавления Radius сервера

После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).

Создание WLAN с MAB (добавление MAB к уже существующей сети)

  1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).


Рисунок 5 - Раздел “Сети Wi-Fi”

2. Нажать “Добавить” и в форме (рисунки 6 и 7) заполнить следующие поля:

на вкладке “Основное” (рисунок 6):

SSID - имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi;

Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности;

Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным.

Рисунок 6 - Вкладка "Основное"

на вкладке “Безопасность” → “Слой 2” (рисунок 7):

Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя.

На данный момент нельзя сочетать тип безопасности WPA Enterprice и MAB т.к. при WPA Enterprice пакеты Radius отправляются напрямую с ТД, а при MAB - с платформы. При добавлении SSID с MAB + WPA Enterprice на ТД сеть работать не будет.

MAC RADIUS Авторизация - выбрать ранее созданный Radius-сервер из списка.

Рисунок 7 - Вкладка "Безопасность / Слой 2"

На вкладке “Безопасность” → “AAA”  указать Radius сервер учета (accounting) при необходимости (рисунок 8).


Рисунок 8 - Вкладка "Безопасность / ААА"

После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 5).


Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 9).

Рисунок 9 - Режим редактирования сети Wi-Fi

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

  1. Подключиться к Wi-Fi сети с устройством, MAC-адрес которого не был добавлен в список разрешенных на ISE.

  2. Результат: клиент не сможет успешно подключиться к сети. Это свидетельствует о том, что контроль доступа по MAC-адресам работает и неавторизованные клиенты не могут получить доступ к сети.

Шаг 2. Подключение авторизованного клиента

  1. Подключиться к Wi-Fi сети с устройством, MAC-адрес которого был добавлен в список разрешенных на ISE.

  2. Результат: клиент успешно подключается к сети. Это подтверждает, что авторизованные клиенты с разрешенными MAC-адресами могут получить доступ к Wi-Fi сети.

Заключение

При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.

Настройка MAB с CWA на Wimark One

Добавление AAA сервера для MAB

Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB .

Создание Redirect Rule (правила перенаправления)

  1. Перейти в раздел “NMC \ Гостевой контроль” (рисунок 10).

Рисунок 10 - Раздел “Гостевой контроль”

2. Нажать кнопку “Создать правило редиректа” и в форме (рисунок 11) заполнить соответствующие поля:

Имя - имя правила редиректа.

Тип редиректа - выбрать тип редиректа “Динамический”.

Рисунок 11 - Форма создания правила редиректа

После выбора типа редиректа следует заполнить все необходимые поля (рисунок 12).

Локация - добавить локацию, где будет работать правило редиректа. (Опционально,  т.к. правило будет работать только при указании в настройках SSID).

Настройка списка доступа для неаутентифицированных пользователей - Список доступа для неаутентифицированных пользователей называется “redirect”. Кроме ip адресов и доменов, которые указываются пользователем ниже, список доступа redirect разрешает работу протоколов bootp и arp. После успешной аутентификации к пользователю применяется список доступа, который называется “internet”. Список доступа “internet” не содержит никаких ограничений.

Обязательно необходимо добавить ip адрес/доменное имя Radius сервера и ip адрес/доменное имя портала авторизации, если отличается от Radius сервера.

Переключатель “без NAP/PAT” оставить без изменений.

Рисунок 12- Пример заполнения формы


Далее нажать на кнопку “Далее”, после чего будет осуществлен переход на страницу подтверждения (рисунок 13). Здесь необходимо проверить ранее введенные данные (рисунок 12) и нажать кнопку “Создать”. Новое правило отобразится в таблице (рисунок10).

Рисунок 13

Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.


Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)

  1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 14).

Рисунок 14

2. Нажать кнопку “Добавить” и в форме заполнить соответствующие поля.

на вкладке “Основное” (рисунок 15):

SSID - ввести имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi;

Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности;

Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным.

Рисунок 15

на вкладке “Безопасность” → “Слой 2” (рисунок 16):

Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя.

На данный момент нельзя сочетать тип безопасности WPA Enterprice и MAB т.к. при WPA Enterprice пакеты Radius отправляются напрямую с ТД, а при MAB - с платформы. При добавлении SSID с MAB + WPA Enterprice на ТД сеть работать не будет.

MAC RADIUS Авторизация - выбрать ранее созданный Radius-сервер из списка.

Рисунок 16

на вкладке “Безопасность” → “Слой 3” (рисунок 17):

Перенаправление - выбрать из выпадающего списка ранее созданное правило редиректа.


Рисунок 17

На вкладке “Безопасность” → “AAA”  указать Radius-сервер учета (accounting) при необходимости (рисунок 18).


Рисунок 18 - Вкладка "Безопасность / ААА"

После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 14).

Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 19).

Рисунок 19

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

  1. Подключиться к Wi-Fi сети с устройством, MAC-адрес которого не был добавлен в список разрешенных на ISE.

  2. Результат: клиента редиректит на страницу портала авторизации и поступит запрос авторизации, выход в интернет ограничен, доступны только ресурсы указанные в “Walled Garden”.

  3. Пройти авторизацию, после успешного прохождения интернет будет доступен.

Шаг 2. Подключение авторизованного клиента

  1. Подключиться к Wi-Fi сети ранее авторизованным устройством.

  2. Результат: клиент успешно подключится, редиректа не произойдет и интернет будет доступен.

Заключение

При правильной настройке, неавторизованные ранее клиенты будут перенаправляться на страницу авторизации, в то время как авторизованным клиентам будет открыт доступ в интернет сразу без перенаправления на страницу авторизации.


  • Нет меток