管控BYOD行為 保障網(wǎng)絡(luò)安全

■ 河南 劉景云

編者按： BYOD其實就是帶上自己的設(shè)備（例如筆記本電腦、手機等）到單位工作，接入方式也更加多樣化（例如有線、無線、VPN等），而單位也不再為員工專門配置設(shè)備，這樣不僅可以節(jié)約成本，還可以提高員工工作的靈活性。但是BYOD對網(wǎng)絡(luò)安全造成了不可忽視的威脅。

使用ISE安全管理BYOD行為

對于思科ISE（身份識別引擎）設(shè)備來說，可以對有線/無線接入進行控制，允許/禁止哪些員工可以使用自帶設(shè)備，是否允許其進行注冊，注冊之后發(fā)放證書，并使用證書進行安全認證，可以幫助員工配置網(wǎng)絡(luò)參數(shù)，對自帶設(shè)備進行各種控制。

當(dāng)自帶設(shè)備（尤其是手機等移動設(shè)備）丟失后可以通過申報注銷證書，以防止被惡意用戶非法利用，并允許員工注冊新的自帶設(shè)備等。

對于ISE的BYOD管理方式來說，主要解決了如何有效頒發(fā)證書（即允許用戶注冊設(shè)備，自動為其頒發(fā)證書）和如何有效的識別和管理自帶設(shè)備（即可以智能識別不同的設(shè)備，為其發(fā)放的證書以及配置的權(quán)限也不相同）的問題。

搭建實驗網(wǎng)絡(luò)環(huán)境

在本例中存在思科某款無線控制器，一臺名為SW1核心交換機，一臺名為SW2的接入交換機。

在SW2上創(chuàng)建了一個VLAN（例如 VLAN 200）并配置了Trunk，作為純粹的接入設(shè)備。分別通過對應(yīng)的接口連接AP和SW1。

對于核心交換機SW1來說，劃分了不同的VLAN和SVI，啟用了三層路由，配置DHCP地址池。例如創(chuàng)建VLAN100來連接管理主機，Windows Server域 控，WLC控制器管理接口以及ISE設(shè)備等。

創(chuàng)建VLAN 200來包含特定的接口連接SW1，并為其開啟Trunk。創(chuàng)建VLAN 300來和WLC的端口進行綁定，支持客戶端連接和傳輸對應(yīng)的流量等。

之后創(chuàng)建創(chuàng)建CA證書服務(wù)器，這里使用的是Windows Server 2008域控制器，在其中創(chuàng)建CA證書服務(wù)。注意需要選擇“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web注冊”項，具體不再詳述。

配置設(shè)備注冊服務(wù)，創(chuàng)建CA證書模版

在域控上將Administrator添 加 到IIS_IUSERS組，在服務(wù)器管理器選擇“角色” →“Active Directory證書服務(wù)”項，在右側(cè)選擇“添加角色服務(wù)”項，在向?qū)Ы缑嬷羞x擇“網(wǎng)絡(luò)設(shè)備注冊服務(wù)”。點擊“選擇用戶”，輸入賬戶和密碼。在管理主機上打開瀏覽器訪問“https://kpwin2008.xxx.com/certsrv/mscep_admin”，如果顯示注冊質(zhì)詢密碼，說明上述配置生效。

在域控上打開服務(wù)器管理器，在左側(cè)選擇“角色” →“Active Directory證書服務(wù)”→“CA名稱”→“證書模版”項，在右鍵菜單上點擊“管理”項，在證書模版控制臺中選擇“用戶”模版，在右鍵菜單菜單上點擊“復(fù)制模版”項，在該模版屬性窗口中的“常規(guī)”面板中輸入名稱（如“USER_BYOD”），在“請求處理”面板中不選擇“允許導(dǎo)出私鑰”項，確保證書的唯一性。在“使用者名稱”面板中選擇“在請求中提供”項，允許用戶提供名稱信息。在“安全”面板中選擇“Administrator”賬戶，選擇“完全控制”項。

在證書模版窗口右鍵菜單上點擊“新建”→“要頒發(fā)的證書模版”項，選擇上述證書模版項，將其添加到證書列表中。在注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEP”分支，在右側(cè)雙擊“EncryptionTemplate”、“GeneralPurposeTemplate”、“SignatureTemplate”等鍵值名，將內(nèi)容均修改為上述證書模版名稱（如“USER_BYOD”）。 選 擇“MSCEP”→“EnforcePassword”，在雙擊“EnforcePassword”鍵值名，將其值修改為“0”，省卻了每次注冊都需要輸入注冊質(zhì)詢密碼的繁瑣。之后重啟證書服務(wù)。在域控上創(chuàng)建對應(yīng)的OU（如“BYODUnit”），創(chuàng)建所需的組（如“EmployGrp”）和賬戶（如“User1”）。

在ISE上安裝CA證書及配置SCEP協(xié)議

訪 問“h t t p s://k p w i n 2 0 0 8.x x x.c o m/certsrv”，在證書申請頁面中下載根證書（例如rootzs.pem”），本例中使用的 IS 設(shè)備版本號為V2.3。

在上述ISE管理界面左 側(cè) 點 擊“Certificate Authority” →“External CA Settings” 項， 在 右側(cè) 點 擊“Add”按 鈕，在“Add SCEP RA Profile”窗口中輸入名稱和描述信息，在“*URL”欄中輸入“https://kpwin2008.xxx.com/certsrv/mscep/mscep.dll”，這里只是舉例，要根據(jù)實際的域名進行輸入。點擊“Test Connection”按鈕，可以測試連接是否成功。

點 擊“Certificate Authority” →“Certificate Templates”項，在右側(cè)點擊“Add”，輸入證書模版名稱（如“SCEPZS”）和描述信息，輸入申請證書所需組織等信息。在“*SCEP RA Profile”列表總選擇上述SCEP RA Profile的名稱。

之所以要創(chuàng)建證書模版，在于當(dāng)客戶通過ISE向CA申請證書時，實際上只提交名稱信息，其余的信息需要借助該模版進行添加。注意，SCEP即即簡單證書提交協(xié)議。

實現(xiàn)網(wǎng)絡(luò)信息自動配置

在ISE界面工具欄上點 擊“Policy” →“Policy Elements”→“Results”，點擊“Client Provisioning”→“Resource”，在 右 側(cè) 點 擊“Add”-“Native Supplicant Profile”按鈕，輸入名稱（如“NSPZ”）和描述信息，在“Eireless Profile(s)” 欄中點擊“Add”按鈕，可以添加無線配置信息，在打開窗口中輸入SSID名稱（如“BYOD_SSID”）。 在“Security*”列表中選擇“WPA2 Enterprise”項， 在“Allowed Protocol”列表中選擇“TLS”項，在“Certificate Template”列表中選擇上述證書模版（如“SCEPZS”）。

點 擊“O p t i o n a l Settings”項，在擴展面板中的“Authentication Mode”列表中選擇“User”項，表示進行用戶認證。點擊“Save”按鈕保存配置信息。

當(dāng)然在“Wired Profile”欄中可以設(shè)置有線網(wǎng)絡(luò)認證信息。在ISE工具欄上點 擊“Policy”→“Client Provisioning”項，列出ISE支持的設(shè)備系統(tǒng)類型，包括IOS、Android、Windows、Mac OS等。

例如選擇“Android”項，在其右側(cè)點擊“Edit”鏈接，在編輯區(qū)域的“Results”列中點擊“+”項，在“Wizard Profile”欄中選擇上述資源配置策略的名稱（如“NSPZ”）?？梢葬槍σ陨纤蓄愋停謩e設(shè)置上述資源配置策略。

導(dǎo)入域賬戶，創(chuàng)建NGD管理組

在ISE界面工具欄中點 擊“Administration”→“External Identity Source”項，選 擇“Active Directory”項，在右側(cè)點擊“Add”按鈕，在“*Join Point Name”欄中中輸入連接名稱， 在“Active Directory Domain ”欄中輸入域名，點擊“Submit”，輸入域管理員名稱和密碼，確定后加入到域環(huán)境中。

在Group面板中點擊“Add” →“Select Group From Directory” 項， 在“Select Directory Groups”窗口中點擊“Retrieve Groups”，列出該域中所有的組，選擇上述“EmployGrp”組，點擊“OK”按鈕添加進來。為便于訪問ISE設(shè)備，需要在DNS服務(wù)中創(chuàng)建相應(yīng)的A記錄。

為了便于ISE管理網(wǎng)絡(luò)設(shè)備，可以在其管理界面中點 擊“Administration”→“Network Device Groups”項，點擊“Add”按鈕，輸入NGD組名稱（如“NDGROUP1”）和 描 述 信 息，在“Parent Group”列 表 中 選 擇“All Device Types” 項，點 擊“Save”按鈕創(chuàng)建該組。在工具欄工具欄上點擊“Network Devices”項，在左側(cè)選擇“Network Devices”項，在右 側(cè) 點 擊“Generate PAC”按鈕，在打開界面中點擊“Add”按鈕，輸入設(shè)備的名稱（如“WLCKZ”），這里針對的是無線控制器，輸入其管理端口的IP地址，在“Device Type”列表中選擇上述創(chuàng)建的NDG組名稱。在“RADIUS Authentication Settings”面板中的“*Shared Secret”欄中輸入WLC設(shè)備的管理員密碼。

在WLC上配置ACL管理規(guī)則

登錄到WLC設(shè)備管理界面，在工具欄上點擊“SECURITY”項，在左側(cè)點擊“Access Control Lists”→“Access Control Lists”項，在 右 側(cè) 選 擇“Enable Counters”項。點擊“New…”按鈕，輸入該ACL名稱（例如“ACL1”），點擊“Apply”按鈕保存配置。

該列表的作用在于在沒有獲取證書認證之前，允許放行的流量。在其屬性窗口中的“Souce”列 表 中 選 擇“Any”，在“Destination”列表中選擇“Any”，在“Protocol”列 表中 選 擇“UDP”，在“Source Port”列表中選擇“Any”，在“Destination Port”列表選擇“DNS”項，在“Action”列表中選擇“Permit”項，放行和DNS相關(guān)的流量。

點 擊“Add New Rule”按鈕，創(chuàng)建新的條目，創(chuàng)建與上述幾乎相同的內(nèi)容，所不同的是在“Source Port”列表中選擇“DNS”，在“Destination Port”列表選擇“Any”項。

這是因為在WLC控制規(guī)則中，需要對進出的流量分別控制。同理創(chuàng)建兩個新的條目，分別在“Source”和“Destination”列表中選擇“IP Address”項，輸入ISE的管理口地址，放行和ISE設(shè)備相關(guān)的數(shù)據(jù)流量。

按照同樣方法，創(chuàng)建兩個新的條目，分別針對特定的DNS服務(wù)器地址（例如172.217.0.0，216.58.0.0等）放行流量。

再創(chuàng)建一個新條目，在“Action”列表中選擇“Deny”項，禁止其他的所有流量。

按照同樣的方法，創(chuàng)建名為“ACL2”的訪問控制列表，主要禁止訪問公司內(nèi)部網(wǎng)絡(luò)。在其屬性窗口的“Destination”列表中選擇“IP Address”項，輸入公司內(nèi)部的特定地址，其余列表均 選 擇“Any”，在“Action”列表中選擇“Deny”項，禁止訪問該地址。

同理可以創(chuàng)建多個條目，禁止訪問所需的目標(biāo)地址，最后創(chuàng)建一個條目，放行所有流量。按照同樣的方法，創(chuàng)建名為“ACL3”的訪問控制列表，在其中添加一個條目，允許放行所有的流量。

在ISE上創(chuàng)建認證規(guī)則

在ISE管理界面中點擊“Policy”→“Results”項，點 擊“Authorization” →“Authrozation Profiles”項，在 右 側(cè) 點 擊“NSP_Onboard”項，在其屬性窗口中的“Common tasks”面板中選擇“Web Redirection”項，在“ACL”欄中輸入上述“ACL1”的列表名，點擊“Save”按鈕保存配置信息。點擊“Policy”→“Results”項，在右側(cè)點擊“Add”按鈕，輸入新的認證項目名稱（例 如“Pocl01”）， 在“Common Tasks”面板中選擇“Airespace ACL Name”項，輸入上述“ACL2”的列表名，這里主要針對手機等移動設(shè)備進行控制，僅僅允許其訪問內(nèi)部網(wǎng)絡(luò)。

同理，創(chuàng)建新的認證項目（例如名為“Pocl02”），在“Common Tasks”面板中選擇“Airespace ACL Name”項，輸入上述“ACL3”的列表名，允許訪問所有的網(wǎng)絡(luò)資源。在ISE管理界面中點擊“Policy”→“Profiling”項，在左側(cè)選擇“Logical Profiles”項。在右側(cè)點擊“Add”按鈕，輸入名稱（例如“Hzgrp”）， 在“Avilable Policies”列表中顯示ISE支持的所有設(shè)備類型（例如“Apple-Device”等），可以選擇多個設(shè)備，點擊“>”按鈕，將其添加進來，這里針對手機設(shè)備創(chuàng)建設(shè)邏輯設(shè)備集。

同理，可以針對不同的設(shè)備類型，創(chuàng)建多個Logical Profiles項目。

在ISE上配置BYOD安全策略

在ISE管理界面中點擊“Policy” →“PolicySets”項， 打 開“Default” 默認策略集，選擇其中的“Authorization Policy”項，在其中激活名為“Employee_Onboarding”和“Employee_EAP-TLS”的策略，在后者的“Profiles”列中選擇上述名為“ACL3”的策略。

選 擇“Employee_EAPTLS”策略項，在其右側(cè)點擊設(shè)置按鈕，在彈出菜單中選擇“Duplicate ablove”項，在其上部復(fù)制一個策略。將其名稱修改為“Employee_EAP-TLS_Phone”， 在“Conditions”列中點擊屬性參數(shù)，在編輯界面中點擊“New”按鈕，在編輯欄中打開設(shè)置界面，在其中的“Directory”列表中選擇“EndPoints”項。

返回編輯界面，在其條件欄中選擇“Equals”，在其后輸入上述邏輯設(shè)備集名稱（例如“Hzgrp”）。點擊“Use”按鈕，保存配置信息后并返回。

在其“Profiles”列中選擇上述名為“ACL2”的策略，這樣，就針對手機設(shè)備創(chuàng)建了授權(quán)策略。

同理，可以針對不同的邏輯設(shè)備集合（例如針對安卓設(shè)備），分別創(chuàng)建授權(quán)策略。點擊“Save”按鈕，保存授權(quán)策略。

為了便于管理設(shè)備，需要確 ?！癢ireless BlackList Default”策略處于激活狀態(tài)。

在WLC上創(chuàng)建WLAN項目

在WLC界面點擊工具欄上的“CONTROLLER”，在左側(cè)點擊“Interfaces”項，在右側(cè)點擊“新建”，輸入接口名稱（如“VLAN300”），在“VLAN ID”欄中中輸入合適的VLAN號（如“300”）。創(chuàng)建后在屬性窗口中的“Port Number”欄中輸入“1”，在其下輸入接口SVI地址和掩碼，及網(wǎng)關(guān)地址和DHCP服務(wù)器地址等。

在WLC管理頁面點擊“SECURITY”，選擇“RADIUS”→“Authentication”，在右側(cè)點擊“New”按鈕，在打開頁面中的“Server IP Address”欄輸入ISE服務(wù)器IP。在“Shared Secret”欄中輸入管理密碼。在“Support for CoA”列表中選擇“Enabled”，點 擊“Apply” 按 鈕，添加新的認證項目。點擊“Accounting”項，在右側(cè)點擊“New”創(chuàng)建新的審計項目，輸入ISE的IP和管理密碼。

點 擊“WLANS” 項，在列表中選擇“Create New”項，點擊“Go”按鈕，創(chuàng)建新的WLAN。輸入名稱和SSID號（如“BYODSSID”等）。 在該WLANs屬性窗口選擇“General” →“Status” →“Enabled”，激 活 安 全 認證 功 能。 在“Interface/InterfaceGroup” 列 表 中選擇為客戶端準(zhǔn)備的VLAN（如“VLAN300”）。 選 擇“Security”→“Layer2”→“Layer 2 Security” →“WPA+WPA2”，選 擇 所 需 的安全級別。選擇“Fast Transition” →“Disable”項，禁用快速漫游功能。在“AAA Servers”面 板 中 的“Server1”欄中輸入ISE的IP，將其作為3A服務(wù)器使用。在“Advanced”面板中的“Allow AA Override”欄中選擇“Enabled”項，激活授權(quán)功能。在“NAC State”列表中選擇“ISE NAC”項。

測試BYOD設(shè)備連接

當(dāng)BYOD用戶使用PC、筆記本和手機連接上述名為“BYODSSID”熱點后，必須在認證窗口中先輸入上述預(yù)設(shè)的賬戶名（例如“user1”）和密碼，之后才可以接入網(wǎng)絡(luò)。當(dāng)試圖訪問某個網(wǎng)址時，就會自動重定向到BYOD注冊界面，當(dāng)輸入設(shè)備設(shè)備名稱和說明信息后，就會自動下載和運行名為“Network Setup Assistant”的軟件，幫助您自動設(shè)置無線網(wǎng)絡(luò)。注意，ISE會自動為其申請證書。當(dāng)再次連接時，就可以使用基于證書的方式進行安全連接了。

當(dāng)BYOD設(shè)備損壞或者丟失后，可以訪問上述“mydev.xxx.com”地址，輸入您的賬戶名和密碼，點擊“登錄”按鈕，選擇選擇某個注冊設(shè)備，在設(shè)備管理界面中點擊“已丟失”、“已被盜”、“編輯”、“刪除”等按鈕，可以對其進行對應(yīng)的管理操作。例如將其設(shè)置為被盜狀態(tài)后，ISE就會針對該設(shè)備啟用黑洞授權(quán)，別人使用該設(shè)備是無法連接網(wǎng)絡(luò)的。當(dāng)然，當(dāng)找回該設(shè)備后，在設(shè)備管理界面中點擊“恢復(fù)”按鈕，可以將其恢復(fù)到正常狀態(tài)。