802.1x, EX2200, NPS und Alles-Alles-Alles ...

Die Idee, 802.1x als Mittel zur Bekämpfung des nicht autorisierten Zugriffs auf das Netzwerk zu verwenden, ist nicht neu. Jeder von uns haben wahrscheinlich einen Kurier der Zustelldienst angetroffen, die von der Hülse Markenjacken der Patchkabel sehen können, und Sie bereits sehen , wie er einen freien RJ-45 - Buchse bemerkt, rauschen wirft sich zu ihr und ...

Wenn jedoch das allgemeine Konzept der Verwendung und Die 802.1x-Konfiguration mit Autorisierung über RADIUS ist geschlagen und einfach. In diesem Fall kam es zu einem Vorfall, dessen Lösung ich im Folgenden vorschlage.

Gegeben:

  • Zugriffsschalter - EX2200, JunOS 12.3R2.
  • Auf NPS Windows Server 2012R2 basierender RADIUS-Server.

  • Ein vielfältiger Zoo von Geräten der Form - Fernsehgeräte, AppleTV, Drucker und andere kleine Netzwerktiere, die sich als normale und angemessene Netzwerkmitglieder nicht mit Zertifikaten oder PEAP authentifizieren können. Für jedes Gerät in Active Directory sein eigener Account in der entsprechenden Organisationseinheit mit sAMAccountName = MAC (in Kleinbuchstaben ohne Divisionszeichen), password = sAMAccountName.

Separate FineGrainedPasswordPolicy wurde für Abteilungen oder Sicherheitsgruppen erstellt, die diese Geräte enthalten, um Kennwörter festlegen zu können, die den Sicherheitsstandards nicht entsprechen.

Ursprüngliche Konfiguration für 802.1x auf EX2200:

//set actual interfaces
set interfaces interface-range ACCESS_PORTS member "ge-0/0/[0-40]"
// Config interface range as L2 ports
set interfaces interface-range ACCESS_PORTS unit 0 family ethernet-switching
set protocols dot1x authenticator authentication-profile-name dynamicvlan
set protocols dot1x authenticator radius-options use-vlan-id
set protocols dot1x authenticator interface ACCESS_PORTS supplicant single
set protocols dot1x authenticator interface ACCESS_PORTS transmit-period 10
set protocols dot1x authenticator interface ACCESS_PORTS retries 0
set protocols dot1x authenticator interface ACCESS_PORTS mac-radius
set protocols dot1x authenticator interface ACCESS_PORTS supplicant-timeout 10
//set actual reject-vlan and fail-vlan
set protocols dot1x authenticator interface ACCESS_PORTS server-reject-vlan default
set protocols dot1x authenticator interface ACCESS_PORTS server-fail vlan-name default
set protocols dot1x authenticator interface ACCESS_PORTS guest-vlan default
//set actual password
set access radius-server 172.17.x.x secret "xxx"
set access profile dynamicvlan authentication-order radius
set access profile dynamicvlan radius authentication-server 172.17.x.x

Alle Workstations sind ohne Probleme angemeldet, die oben genannten Riffraffs jedoch nicht. Wireshark zeigte beharrlich, dass NPS einen Access-Reject mit EAP-Code 4 sendet, was, wie in engen Kreisen bekannt, Failure bedeutet.

Informativ jedoch wie immer ... Das

vom Supplicant für die Authentifizierung mit dem Mac-Radius verwendete Protokoll ist EAP-MD5.

Es gibt weitere Optionen für PEAP und PAP.

PEAP ist für EX2200 nicht verfügbar.

Wir versuchen, PAP zu konfigurieren. Im Klartext wollte ich das natürlich nicht, aber weil wir nicht das Beste haben, fahren wir in das geschätzte Team

set protocols dot1x authenticator interface ACCESS_PORTS mac-radius authentication-protocol pap

und (Trommelwirbel) - Syntaxfehler - Juniper informiert uns hilfsbereit.

Bei Kämpfen, Lötbedrohungen und anderen repressiven Maßnahmen schlug Juniper vor, dass diese Option nur für Firmware ab Version 15.1 verfügbar ist.

Es scheint, hier ist es die Lösung des Problems. Aber nein, derselbe Juniper empfiehlt nicht nur, sondern schützt die Kunden auf jede mögliche Weise vor einer solchen Unnötigkeit wie Firmware 15.1 auf EX2200. Grit, die Auslastung von CPU und RAM liegt über der Norm, also 12,3 ist die Obergrenze der JunOS-Version für die glücklichen Besitzer des EX2200.

Okay, wir werden uns mit dem Protokoll befassen, das die Switch-Daten an den NPS sendet.

Es stellte sich also heraus, dass er sie standardmäßig an eap-md5 schickt, welches? - korrekt, in Windows Server deaktiviert, ab Version 2008 - Sie sagen, nicht sicher. Mehrere Abfragen an Google liefern das gewünschte Ergebnis - eine Registrierungsdatei, die das von uns benötigte Protokoll enthält.

Der NPS reagiert jedoch permanent auf Anforderungen von Druckern und anderen Zugriffsverweigerungen .
Er holte Zigaretten heraus, erinnerte sich daran, dass er gekündigt hatte, versteckte ...

Google, wer sonst auf der Welt ... Aber nein, das ist aus einer anderen Oper ...

Ok, Google? 802.1x-MAC-Authentifizierung mit NPS RADIUS

Nach ein paar Seiten von Google fand ubnt im Forum das gewünschte. Es ist erforderlich, mehrere Parameter für die Berechtigungsnachweise von Geräten anzugeben, anschließend die Kennwörter und - voila - Miracle neu zu erstellen. Darüber hinaus erwies es sich als noch besser als erwartet. Eap-md5 ist natürlich keine Botschaft Gottes, aber immer noch besser als reiner Text.

Die resultierende Konfiguration, Einstellungen und Screenshots der Richtlinie unter dem Spoiler.

EX2200-Konfiguration, NPS-Richtlinien
Die Magic-Reg-Datei, die Unterstützung für EAP-MD5 in Windows Server 2012 R2 enthält

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4]
"RolesSupported"=dword:0000000a
"FriendlyName"="MD5-Challenge"
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
  61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000001
"InvokePasswordDialog"=dword:00000001

Nachdem Sie Änderungen an der Registrierung vorgenommen haben, müssen Sie den NPS-Dienst neu starten.

Stop-Service IAS
Start-Service IAS

Das Skript, das die erforderlichen Einstellungen für Gerätekonten verfügbar macht:

$devices=Get-ADUser -SearchBase "ou=802.1x-groups,ou=devices_groups,dc=company,dc=local" -Filter *
 foreach ($device in $devices) {
 set-aduser -Identity $device.name -UserPrincipalName ($device.name+"@company.local") -PasswordNeverExpires $true -AllowReversiblePasswordEncryption $true -CannotChangePassword $true
 Set-ADAccountPassword -Identity $device.name -NewPassword (ConvertTo-SecureString -AsPlainText $device.name -force)
 }

По сути, он выставляет параметры эквивалентно скриншоту. Но, одно дело — проставить для пары девайсов, и совсем другое — когда у тебя их более -дцати. Также скрипт переустанавливает пароль для учетной записи девайса, что есть необходимо после включения обратимого шифрования.

image

Настройки политики NPS:

  • Указываем группу с девайсами и тип порта.

  • После манипуляций с реестром в списке доступных протоколов появляется наш заветный MD5-Challenge. Его и выбираем.

  • Оставшиеся настройки выставляем, исходя из требований логической реализации. Ничем не отличается от стандартной настройки RADIUS + 802.1x.



Ergebnis:

  • Netzwerkgeräte wie Fernseher, Apple TV und Drucker werden nach 802.1x und Gruppenmitgliedschaft authentifiziert.
  • Passwörter werden nicht im Klartext übertragen, sondern zumindest verschlüsselt.

Liste der Richtlinien, Tutorials und Ressourcen:

Juniper-Empfehlungen für die Softwareversion des EX2200
EAP-PAP-Supports auf Juniper-Geräten für MAC RADIUS Authentication
Community UBNT, die den letzten Kick in die richtige Richtung gaben

Jetzt auch beliebt: