優云運維安全專家實踐:使用802.1X+FreeRadius+LDAP實現網絡準入方案

uyunops ? ? 安全運維

top.jpg

本文,將為大家分享運維前沿在網絡準入管理方面的實踐經驗。

網絡準入業界常用方案

為了保證網絡資源的安全,拒絕非法入侵,現代IT網絡總需要一定的網絡準入方案,而目前業界常用的網絡準入方案有:

bg.jpg

而今天給大家介紹的802.1X+FreeRadius+LDAP網絡準入方案,則避免了上述方案中的缺點,是一套低成本,控制能力強,符合行業標準的一套網絡準入認證體系。

什么是802.1X

802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機或AP上的設備進行認證。在認證通過之前,802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口;認證通過以后,正常的數據可以順利地通過以太網端口。

部署結構

1.jpg

該方案的部署包括客戶端、接入網絡、論證與帳戶系統。

客戶端:可以是Windows、OSX與移動終端。目前Windows與OSX均支持802.1x協議,并且移動端也支持企業級WPA(支持用戶名與密碼)并與RADIUS服務集成;

接入網絡:支持802.1x與Radius的交換機與無線AP即可,由于802.1x是一個已經普遍支持的行業標準,所以目前幾乎所有主流的交換機與AP都可以支持;

論證與帳戶系統:一個Radius服務器(本案例使用FreeRadius),與提供帳戶管理的數據庫(本案例使用LDAP服務器),同時也支持在LDAP服務器中設置下發VLAN與ACL信息。

方案優點

統一配置:對于運維人員來說減少網絡管理維護工作,通過LDAP統一帳戶管理。

安全可靠:在二層網絡上實現用戶認證,結合端口、賬戶、VLAN和密碼等;綁定技術具有很高的安全性與實時性;

更靈活:不需要綁定mac、與客戶端無關,使用用戶名與密碼認證就可以接入網絡,用戶可以支持多個終端,在手機、筆記本、臺式機上登錄,都可以分配到對應的VLAN與ACL,避免VLAN規劃的調整。

符合標準:802.1x屬于IEEE標準,和以太網標準同源,可以實現和以太網技術的無縫融合,幾乎所有的主流數據設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟操作系統內置支持,Linux也提供了對該協議的支持。

用戶審計:結合radius的計費功能,還可以實現用戶的在線的審計、在線時長的統計。

方案缺點

需要部署認證與帳戶系統:目前很多單位都已有自己的帳戶系統,只需要啟動LDAP支持,安裝FreeRadius即可。

首次接入網絡需要一些配置:好在配置后,后續接入就可以實現自動登錄。同時即使配置失敗,設備也可以支持一個“臨時訪客VLAN”,以提供基礎的網絡通信功能。

關鍵配置

1.部署認證服務器FreeRadius服務器和LDAP服務器(本文略)。

2.在網絡設備設備上開啟802.1X認證和認證服務器RADIUS的配置,本文以H3C網絡設備為例。

第一步:H3C進入特權模式后,開啟802.1X認證協議和認證方式,命令如下:

dot1x

dot1x authentication-method eap

第二步:與認證服務器RADIUS的配置,命令如下:

radius scheme demo

primary authentication IP //radius服務器的IP

primary accounting IP //radius服務器的IP

key authentication cipher 密碼 //radius服務器認證密碼

key accounting cipher密碼 //radius服務器計費密碼

user-name-format without-domain

第三步:配置3A認證,最好是每個認證都開啟,我們在配置過程中沒有配置計費認證,結果導致認證總是失敗,命令如下:

domain system

authentication lan-accessradius-scheme demo

authorization lan-accessradius-scheme demo

accounting lan-access radius-schemedemo

access-limit disable

state active

idle-cut disable

self-service-url disable

第四步:開啟端口的802.1X的認證,命令如下:

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //認證失敗下發一個guest VLAN

undo dot1x handshake //這個握手協議要關閉,避免windows認證一段時間后又會掉線,要求重連

dot1x port-method portbased

dot1x

idle-cut disable

self-service-url disable

終端接入效果

下面以win7有線網絡的接入為例進行說明。

第一步:插入網線,點擊右下角網絡連接處彈出的提示。如下圖所示:

2.jpg

第二步:在彈出的對話框中,用戶名輸入LDAP帳號和密碼,如下圖所示:

3.jpg

第三步:認證成功后如下圖所示,入網就是這么so easy!

4.jpg


作者簡介:鄧小林,現任優云軟件運維測試工程師,在運維的浩瀚海洋中耕耘著學習著積累著,希望能在運維領域與同行多多交流,與時俱進~

優云軟件:秉承devops的理念,從監控、到應用體驗,到自動化持續交付,全棧運維解決方案服務商 https://uyun.cn

原創文章,作者:uyunops,如若轉載,請注明出處:http://www.www58058.com/21190

(0)
uyunopsuyunops
上一篇 2016-07-10 12:15
下一篇 2016-07-10 12:17

相關推薦

  • 使用iptables緩解DDOS及CC攻擊

    緩解DDOS攻擊 防止SYN攻擊,輕量級預防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-fl…

    Linux干貨 2015-02-09

  • 使用Nmap掃描系統風險點

    0x00 迅速了解Nmap Nmap是一款掃描目標網絡信息的工具,可以是黑客用來探測主機信息,收集情報的神器。也可以是運維人員掃描網絡環境,及時發現系統漏洞的好幫手。 0x01 它的功能 1、主機發現(Host Discovery)#探測目標網絡環境中有哪些主機是可以進行通信的,當然你也可以用ping命令試一下 2、端口掃描(Port S…

    Linux干貨 2015-04-19

  • 免費翻墻 [精]

    本人在hostus上買了一個國外的vps,花了一上午把Google給做好,可以訪問g.abcdocker.com進行搜索,因為是使用nginx代理進行翻墻。網上的文章也很亂,很不好整理。 可以可以使用g.abcdocker.com上Google查閱資料。(無法觀看視頻) www.abcdocker.com

    2017-06-17

  • 性能調優概述

    大綱: 一、概述 二、什么是性能調優?(what) 三、為什么需要性能調優?(why) 四、什么時候需要性能調優?(when) 五、什么地方需要性能調優?(where) 六、什么人來進行性能調優?(who) 七、怎么樣進行性能調優?(How) 八、總結 注,硬件配置:CUP Xeon E5620 x 2 8核心, 內存 16G , 硬盤 RAID 10,操作…

    Linux干貨 2015-02-10

  • 為你的網絡傳輸加把鎖(OpenSSL)

    互聯網形成的初期,更多關注的是設備之間通過網絡相互訪問功能的實現,我們都知道,兩個設備之間要想相互通信,就必需遵循某種協議,于是早期的互聯網也出現來眾多的協議,比如傳輸層最著名的協議就是tcp和udp,而應用層比較著名的協議有:http、ftp、pop、smtp、dns、telnet等等,而這些協議這開發初期,更多是關注功能的實現,數據這網絡上傳輸是明文方式…

    Linux干貨 2015-12-06

  • openvpn安裝配置過程

    前言     之前為了方便遠程辦公時訪問公司的內部系統,如:svn、OA、wiki、禪道等等;通通在防火墻上做了端口映射。然后有個內部系統被黑了,各種弱口令沒辦法。果斷關閉端口映射,看來還是得搭建個VPN服務器,vpn設備感覺大材小用。馬上就想到了開源的openvpn,下面就來介紹openvpn的安裝配置過程。 ope…

    Linux干貨 2015-05-11

評論列表(1條)

  • stanley
    stanley 2016-07-10 12:16

    圖好贊

欧美性久久久久