優云運維安全專家實踐:使用802.1X+FreeRadius+LDAP實現網絡準入方案

uyunops ? ? 安全運維

top.jpg

本文,將為大家分享運維前沿在網絡準入管理方面的實踐經驗。

網絡準入業界常用方案

為了保證網絡資源的安全,拒絕非法入侵,現代IT網絡總需要一定的網絡準入方案,而目前業界常用的網絡準入方案有:

bg.jpg

而今天給大家介紹的802.1X+FreeRadius+LDAP網絡準入方案,則避免了上述方案中的缺點,是一套低成本,控制能力強,符合行業標準的一套網絡準入認證體系。

什么是802.1X

802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機或AP上的設備進行認證。在認證通過之前,802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口;認證通過以后,正常的數據可以順利地通過以太網端口。

部署結構

1.jpg

該方案的部署包括客戶端、接入網絡、論證與帳戶系統。

客戶端:可以是Windows、OSX與移動終端。目前Windows與OSX均支持802.1x協議,并且移動端也支持企業級WPA(支持用戶名與密碼)并與RADIUS服務集成;

接入網絡:支持802.1x與Radius的交換機與無線AP即可,由于802.1x是一個已經普遍支持的行業標準,所以目前幾乎所有主流的交換機與AP都可以支持;

論證與帳戶系統:一個Radius服務器(本案例使用FreeRadius),與提供帳戶管理的數據庫(本案例使用LDAP服務器),同時也支持在LDAP服務器中設置下發VLAN與ACL信息。

方案優點

統一配置:對于運維人員來說減少網絡管理維護工作,通過LDAP統一帳戶管理。

安全可靠:在二層網絡上實現用戶認證,結合端口、賬戶、VLAN和密碼等;綁定技術具有很高的安全性與實時性;

更靈活:不需要綁定mac、與客戶端無關,使用用戶名與密碼認證就可以接入網絡,用戶可以支持多個終端,在手機、筆記本、臺式機上登錄,都可以分配到對應的VLAN與ACL,避免VLAN規劃的調整。

符合標準:802.1x屬于IEEE標準,和以太網標準同源,可以實現和以太網技術的無縫融合,幾乎所有的主流數據設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟操作系統內置支持,Linux也提供了對該協議的支持。

用戶審計:結合radius的計費功能,還可以實現用戶的在線的審計、在線時長的統計。

方案缺點

需要部署認證與帳戶系統:目前很多單位都已有自己的帳戶系統,只需要啟動LDAP支持,安裝FreeRadius即可。

首次接入網絡需要一些配置:好在配置后,后續接入就可以實現自動登錄。同時即使配置失敗,設備也可以支持一個“臨時訪客VLAN”,以提供基礎的網絡通信功能。

關鍵配置

1.部署認證服務器FreeRadius服務器和LDAP服務器(本文略)。

2.在網絡設備設備上開啟802.1X認證和認證服務器RADIUS的配置,本文以H3C網絡設備為例。

第一步:H3C進入特權模式后,開啟802.1X認證協議和認證方式,命令如下:

dot1x

dot1x authentication-method eap

第二步:與認證服務器RADIUS的配置,命令如下:

radius scheme demo

primary authentication IP //radius服務器的IP

primary accounting IP //radius服務器的IP

key authentication cipher 密碼 //radius服務器認證密碼

key accounting cipher密碼 //radius服務器計費密碼

user-name-format without-domain

第三步:配置3A認證,最好是每個認證都開啟,我們在配置過程中沒有配置計費認證,結果導致認證總是失敗,命令如下:

domain system

authentication lan-accessradius-scheme demo

authorization lan-accessradius-scheme demo

accounting lan-access radius-schemedemo

access-limit disable

state active

idle-cut disable

self-service-url disable

第四步:開啟端口的802.1X的認證,命令如下:

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //認證失敗下發一個guest VLAN

undo dot1x handshake //這個握手協議要關閉,避免windows認證一段時間后又會掉線,要求重連

dot1x port-method portbased

dot1x

idle-cut disable

self-service-url disable

終端接入效果

下面以win7有線網絡的接入為例進行說明。

第一步:插入網線,點擊右下角網絡連接處彈出的提示。如下圖所示:

2.jpg

第二步:在彈出的對話框中,用戶名輸入LDAP帳號和密碼,如下圖所示:

3.jpg

第三步:認證成功后如下圖所示,入網就是這么so easy!

4.jpg


作者簡介:鄧小林,現任優云軟件運維測試工程師,在運維的浩瀚海洋中耕耘著學習著積累著,希望能在運維領域與同行多多交流,與時俱進~

優云軟件:秉承devops的理念,從監控、到應用體驗,到自動化持續交付,全棧運維解決方案服務商 https://uyun.cn

原創文章,作者:uyunops,如若轉載,請注明出處:http://www.www58058.com/21190

(0)
uyunopsuyunops
上一篇 2016-07-10
下一篇 2016-07-10

相關推薦

  • 堡壘機-麒麟堡壘機動態口令使用手冊

      一.管理員部分 1.在其它-licenses菜單查看動態口令許可是否打開,如果未打開聯系廠商重新生成許可   2.找廠商生成密鑰文件,密鑰文件中包含令牌種子,在其它–動態令牌菜單將密鑰文件導入即可看到所有的令牌種子,每個令牌可以綁定給多個用戶     3.令牌綁定可以在 資源管理–…

    安全運維 2016-05-29

  • Tomcat 全系列發現嚴重安全漏洞

    據 Tomcat 安全組確認,Tomcat 全系列產品均被發現嚴重安全漏洞:CVE-2014-0227 請求夾帶漏洞。 級別:嚴重 受影響版本: Apache Tomcat 8.0.0-RC1 to 8.0.8 Apache Tomcat 7.0.0 to 7.0.54 Apache Tomcat 6.0.0 to 6.0.41 描述:可以通過構造一個截斷請…

    Linux干貨 2015-02-11

  • 為你的網絡傳輸加把鎖(OpenSSL)

    互聯網形成的初期,更多關注的是設備之間通過網絡相互訪問功能的實現,我們都知道,兩個設備之間要想相互通信,就必需遵循某種協議,于是早期的互聯網也出現來眾多的協議,比如傳輸層最著名的協議就是tcp和udp,而應用層比較著名的協議有:http、ftp、pop、smtp、dns、telnet等等,而這些協議這開發初期,更多是關注功能的實現,數據這網絡上傳輸是明文方式…

    Linux干貨 2015-12-06

  • 使用iptables緩解DDOS及CC攻擊

    緩解DDOS攻擊 防止SYN攻擊,輕量級預防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-fl…

    Linux干貨 2015-02-09

  • 用“逐步排除”的方法定位Java服務線上“系統性”故障

    一、摘要 由 于硬件問題、系統資源緊缺或者程序本身的BUG,Java服務在線上不可避免地會出現一些“系統性”故障,比如:服務性能明顯下降、部分(或所有)接口超 時或卡死等。其中部分故障隱藏頗深,對運維和開發造成長期困擾。筆者根據自己的學習和實踐,總結出一套行之有效的“逐步排除”的方法,來快速定位Java 服務線上“系統性”故障。 二、導言 Java 語言是廣…

    2015-02-28

  • linux 病毒 sfewfesfs

    由于昨天在內網服務器A不小心rm -fr / ,導致服務器A完蛋,重裝系統后,不知道啥原因,局域網癱瘓不能上網,最后發現內網服務器A的一個進程sfewfesfs cpu 300%。路由器被網絡阻塞啦。 于是百度這個病毒:都說該病毒很變態。第一次中linux病毒,幸虧是內網,感覺比較爽。(總結網絡內容,引以為戒) 1、病毒現象 服務器不停向外網發送數據包,占網…

    Linux干貨 2015-04-03

評論列表(1條)

  • stanley
    stanley 2016-07-10 12:16

    圖好贊

欧美性久久久久