使用Web認證保證訪問安全

Web認證的類型

當用戶首次通過有線或無線連接到本地網(wǎng)絡(luò)，會被放置到一個受限訪問的網(wǎng)絡(luò)環(huán)境中。管理員可以事先使用VLAN或DACL（下載訪問列表）來定義該隔離網(wǎng)絡(luò)。為獲得對網(wǎng)絡(luò)的完全訪問，可以使用瀏覽器發(fā)起任意的HTTP或HTTPS請求。一般來說，Web認證包括無線控制器本地網(wǎng)頁認證、有線交換機中心網(wǎng)頁認證、有線交換機本地網(wǎng)頁認證等方式。

例如對于思科ISE（身份識別引擎）設(shè)備來說，采用的是中心網(wǎng)頁認證方式,ISE支持管理員、來賓和贊助商門戶。本例中使用了某款思科交換機來連接ISE設(shè)備、無 線 控 制 器、AP、Windows Server 2008 R2域控等網(wǎng)絡(luò)設(shè)備，這些設(shè)備分別規(guī)劃到不同的VLAN中，擁有各自的IP地址。交換機被添加到ISE的NAD設(shè)備列表中，作為ISE的客戶端且支持SNMP服務(wù)，便于ISE設(shè)備之間通訊。

配置重定向流量控制列表

為實現(xiàn)Web認證，需要在交換機的全局配置模式下 執(zhí) 行“ip access-list extended WEB-REDIRECT”、“deny udp any any eq domain”、“deny udp any host xxx.xxx.xxx.xxx eq 8905”、“deny udp any host xxx.xxx.xxx.xxx eq 8906”、“deny udp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8905”、“deny tcp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8443”、“deny udp any host xxx.xxx.xxy.xxx eq 8905”、“deny tcp any host xxx.xxx.xxy.xxx eq 8905”、“permit ip any any”命令，創(chuàng)建名為“WEB-REDIRECT”的ACL，其主要作用是定義重定向列表，即被其Deny流量不進行重定向，這些被屏蔽的流量包括DNS流量以及和ISE設(shè)備之間的準入控制流量。這里的IP地址均為假設(shè)，可根據(jù)實際情況更改。

登錄到ISE管理界面，依 次 點 擊 菜 單“Policy”、“Results”項，在 左 側(cè) 依次 點 擊“Authorization”、“Downloadable ACLs” 項，在右側(cè)點擊“Add”按鈕，輸入新的DACL列表名稱（例如“zhongxinacl”），在“DACL Control”欄中輸入“Permit icmp any any”、“Permit udp any any eq domain”、“Permit icmp any any”、“Permit tcp any any eq 80”、“Permit tcp any any eq 443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8905”、“Permit tcp any host xxx.xxx.xxx.zzz eq 8905”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8909”、“Permit udp any host xxx.xxx.xxx.xxx eq 8905”、“Permit udp any host 202.100.1.254 eq 8905”、“Permit udp any host xxx.xxx.xxx.xxx eq 8906”、“Permit udp any host xxx.xxx.xxx.xxx eq 8909”，點擊“Submit”提交。

DACL的作用是定義允許通過的流量，用于中心網(wǎng)頁認證，該列表和上述重定向列表功能剛好相反，兩者需要結(jié)合使用，即目標流量既要在該列表中被放行，又要在重定向列表中被Deny。在左側(cè)點擊“Authorization”、“Authorization Profiles”項，在右側(cè)點擊“Add”按鈕添加新的授權(quán)項目，輸入名稱（如“zxsq”）， 在“Common Tasks”欄中選擇“DACL Name”項，在右側(cè)列表中選擇上述“zhongxinacl”列表項。選擇“Web Authentication”項，選擇右側(cè)的“Centralized”項，啟用中心認證功能,在“ACL”列表中選擇上述“WEBREDIRECT”重定向列表。這樣，在“Attributes Details”欄中就會顯示重定向所需的URL地址信息，即重定向到ISE設(shè)備上顯示來賓門戶頁面，接受ISE設(shè)備安全認證。同理，創(chuàng)建名為“rzok”的授權(quán)項，選擇“DACL Name”項，選擇預(yù)先定義好的放行所有流量的ACL列表，并指定合適的VLAN號。這樣，當認證通過后可允許其正常訪問網(wǎng)絡(luò)。

配置有線模式下的認證策略

當某個外來用戶使用其自己的電腦設(shè)備接入到本公司的網(wǎng)絡(luò)后。因為其在域中沒有對應(yīng)的賬戶信息，交換機就會向其發(fā)送EAPRequest信息，請求其賬戶信息，該用戶多次無響應(yīng)后，就會執(zhí)行MAB認證，即將用戶主機的MAC地址作為賬戶名和密碼，發(fā)送給ISE設(shè)備進行認證，但是在ISE上沒有該主機的MAC賬戶信息，如果采用默認策略，必然無法通過。為此可以在ISE的管理界面上點擊“Policy”、“Result”項，在工具欄上點擊“Authentication”按鈕，在對應(yīng)的“MAB”策略的第三列右側(cè)點擊倒三角形按鈕，在打開面板中的“Use”列中點擊“+”按鈕，在“Internal Endpoints”標 簽 中 的“if authentication failed”列表中選擇“Continue”項。

這樣，即使該機沒有經(jīng)過MAB認證，依然可以讓其通過。點擊工具欄上的“Authorization”按 鈕，在“Default”欄中點擊“Edit”鏈接，在第二列中點擊“+”按鈕，在打開的“Profiles”面板中選擇“Standard”節(jié)點，在其中選擇上述“zxsq”授權(quán)項目，讓其取代默認的“PermitAccess”授權(quán)策略。這樣，當外來用戶的主機通過MAB認證后，卻沒有找到任何授權(quán)策略，只能依靠默認的授權(quán)策略，執(zhí)行重定向操作，在賓客門戶網(wǎng)頁進行認證處理。當用戶輸入了正確的賬戶名和密碼后，就可以順利訪問網(wǎng)絡(luò)了。為此可以創(chuàng)建與之對應(yīng)的策略來實現(xiàn)，在策略列表中首行右側(cè)點 擊“Edit”、“Insert New RuleAblove”項，在最頂部插入新的策略。

配置有線模式下的授權(quán)策略

在“Rule Name”欄中輸入名稱（如“WebRule1”），在“Conditions”欄點擊“+”按鈕，在“User Identity Groups”中選擇“Employee”組。并根據(jù)需要設(shè)置合適的條件。在“Permissions”欄中選擇合適的授權(quán)，如“Web_AUTHENED”，允許訪問所有網(wǎng)絡(luò)資源。因為使用了ISE內(nèi)置的“Employee”組，所以需要在其中添加新的賬戶。點擊 菜 單“Administration”、“Identities”項，在 左 側(cè)點 擊“users”，在 右 側(cè) 點擊“Add”按鈕，創(chuàng)建名為“user1”的賬戶，為其設(shè)置密碼，并放置到“Employee”組。

點擊“Administration”、“Web Portal Management”、“Settings” 項，在 左 側(cè)點 擊“Guest”、“Multi-Portal Configurations”、“DefaultGuestPortal” 項，在右側(cè)的“Operations”面板中取消“Enable Self-Provisioning Flow” 項 的選擇狀態(tài)。當外來的客戶機連接到交換機上后，即可執(zhí)行以上認證。在交換機上執(zhí)行“show authentication sessions interface fa0/10”命令，在返回信息中的“mab”欄中顯示“Authc Success”，說明 MAB認證通過。在“URL Redirect ACL”欄中顯示得到的重定向控制列 表。 在“URL Redirect”欄中顯示其獲得的重定向地址。假設(shè)連接到交換機“fa0/10”接口上。當該客戶訪問內(nèi)網(wǎng)中某個網(wǎng)址時，會重定向到ISE的賓客門戶網(wǎng)頁，輸入上述“User1”名稱和密碼，就可以認證通過了。

配置無線Web認證策略

上面談了在有線網(wǎng)絡(luò)環(huán)境中對來賓用戶進行Web認證的方法。接下來分析在無線網(wǎng)絡(luò)環(huán)境中如何對來賓用戶進行Web認證。在交換機上連接思科某款無線控制器，其分配在指定的VLAN中。當然，需要事先將無線控制器添加到ISE的設(shè)備列表中，并進行必要的設(shè)置，這里限于篇幅不再贅述。登錄到該無線路由器上，在其管理界面工具欄上點擊“SECURITY”按鈕，在左側(cè)點擊“Access Control Lists”、“Access Control Lists”項，在 右側(cè)點擊“New”按鈕，輸入新的ACL列表名稱（例如“Redirectwx”），該列表的作用是在重定向時可以正常訪問的流量。

打開該列表項，點擊“Add New Rule”按鈕，在新建規(guī)則窗口中的“Protocol”列表中選擇“UDP”項，在“Destination Port”列表中選擇“DNS”項，在“Action”列表中選擇“Permit”項，點擊“Apply”按鈕保存。同理，創(chuàng)建與之類似新的規(guī)則，不同的是在“Source Port”列表中選擇“DNS”，表示放行DNS流量。之后創(chuàng)建新的規(guī)則，在“Destinations”列表中選擇“IP Address”項，輸入ISE設(shè)備的IP地址。在“Action”列表中選擇“Permit”項，放行去往ISE設(shè)備的流量。和有線設(shè)備不同，無線設(shè)備必須針對不同的認證方式創(chuàng)建專用的WLAN，在工具欄上點擊“WLANs”按 鈕，在“Create new”列表右側(cè)點擊“Go”按 鈕，創(chuàng) 建 新 的 WLAN，在“Profile name”輸入名稱，在“SSID”欄中輸入服務(wù)服務(wù)集標識名（如“wxrz”）。

設(shè)置無線WLAN屬性信息

在該WLAN屬性窗口的“General”中 的“Interace/Interface Group(G)” 列表中選擇目標VLAN。在“Security”中的“Layer2”標簽中的“Layer 2 Security”列表中選擇“None”項，取消二層安全。在“Layer3”標簽中選擇“Web Policy”項，在“Preauthentication ACL”列表中選擇上述“Redirectwx”列表，這樣，在重定向時只有這些流量可以放行。在“Over-ride Global Config”欄 中 選 擇“Enable”項，在“Web Auth type”列表中選擇“External(Re-direct to external server)” 項， 在“URL”欄 中 輸 入“https://xxx.xxx.xxx.xxx:8443/questportal/login.action”，其 中“xxx.xxx.xxx.xxx” 為ISE設(shè)備地址,這樣，可將來賓訪問重定向到ISE服務(wù)器。

在“AAA Server”標簽中的“Authentication Servers”和“Accounting Servers” 欄中選擇3A服務(wù)器，即ISE服務(wù)器地址,在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項，其余保持默認。注意，在配置之后必須在界面上部點擊“Save Configuration”按鈕，否則掉電后信息將消失。之后登錄到ISE管理界面，點擊菜單“Policy”、“Results”項，在左 側(cè) 點 擊“Authorization”、“Authorization Profiles”項，在右側(cè)點擊“Add”創(chuàng)建新的授權(quán)策略。輸入名稱（如“Wxsq”），選擇“Airespace ACL Name”項，輸入ACL列表名。該列表可在無線控制上創(chuàng)建好，例如可放行所有訪問等。

在ISE中管理無線Web認證策略

接著按照上面談到的方法，在授權(quán)列表頂部添加新的規(guī)則。在“Rule Name”欄中輸入其名稱（例 如“WxwebRule1”）， 在“Condtions”欄中點擊“+”按 鈕， 在“User Identity Groups”類型中選擇“Employee”組。并根據(jù)需要為其設(shè)置合適的條件，例如“Device?:Location”（設(shè)備地址）位于B城市等。在“Permissions” 欄 中 為其選擇合適的授權(quán)，例如“Wireless_Web”，允許訪問所有網(wǎng)絡(luò)資源。當完成以上設(shè)置后，在客戶機上就可以搜索到上述WLAN的SSID信息，當連接到該SSID后，發(fā)起針對內(nèi)網(wǎng)的HTTP訪問請求，就可以重定向到ISE的來賓門戶網(wǎng)頁，輸入預(yù)設(shè)的賬戶和密碼，就可以順利訪問網(wǎng)絡(luò)資源了。