优云运维安全专家实践:使用802.1X+FreeRadius+LDAP实现网络准入方案

top.jpg

本文,将为大家分享运维前沿在网络准入管理方面的实践经验。

网络准入业界常用方案

为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:

bg.jpg

而今天给大家介绍的802.1X+FreeRadius+LDAP网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。

什么是802.1X

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机或AP上的设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

部署结构

1.jpg

该方案的部署包括客户端、接入网络、论证与帐户系统。

客户端:可以是Windows、OSX与移动终端。目前Windows与OSX均支持802.1x协议,并且移动端也支持企业级WPA(支持用户名与密码)并与RADIUS服务集成;

接入网络:支持802.1x与Radius的交换机与无线AP即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与AP都可以支持;

论证与帐户系统:一个Radius服务器(本案例使用FreeRadius),与提供帐户管理的数据库(本案例使用LDAP服务器),同时也支持在LDAP服务器中设置下发VLAN与ACL信息。

方案优点

统一配置:对于运维人员来说减少网络管理维护工作,通过LDAP统一帐户管理。

安全可靠:在二层网络上实现用户认证,结合端口、账户、VLAN和密码等;绑定技术具有很高的安全性与实时性;

更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。

符合标准:802.1x属于IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软操作系统内置支持,Linux也提供了对该协议的支持。

用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。

方案缺点

需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动LDAP支持,安装FreeRadius即可。

首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客VLAN”,以提供基础的网络通信功能。

关键配置

1.部署认证服务器FreeRadius服务器和LDAP服务器(本文略)。

2.在网络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本文以H3C网络设备为例。

第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:

dot1x

dot1x authentication-method eap

第二步:与认证服务器RADIUS的配置,命令如下:

radius scheme demo

primary authentication IP //radius服务器的IP

primary accounting IP //radius服务器的IP

key authentication cipher 密码 //radius服务器认证密码

key accounting cipher密码 //radius服务器计费密码

user-name-format without-domain

第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:

domain system

authentication lan-accessradius-scheme demo

authorization lan-accessradius-scheme demo

accounting lan-access radius-schemedemo

access-limit disable

state active

idle-cut disable

self-service-url disable

第四步:开启端口的802.1X的认证,命令如下:

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //认证失败下发一个guest VLAN

undo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连

dot1x port-method portbased

dot1x

idle-cut disable

self-service-url disable

终端接入效果

下面以win7有线网络的接入为例进行说明。

第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:

2.jpg

第二步:在弹出的对话框中,用户名输入LDAP帐号和密码,如下图所示:

3.jpg

第三步:认证成功后如下图所示,入网就是这么so easy!

4.jpg


作者简介:邓小林,现任优云软件运维测试工程师,在运维的浩瀚海洋中耕耘着学习着积累着,希望能在运维领域与同行多多交流,与时俱进~

优云软件:秉承devops的理念,从监控、到应用体验,到自动化持续交付,全栈运维解决方案服务商 https://uyun.cn

原创文章,作者:uyunops,如若转载,请注明出处:http://www.178linux.com/21190

(0)
uyunopsuyunops
上一篇 2016-07-10
下一篇 2016-07-10

相关推荐

  • Linux系统用户与组管理命令及配置文件总结

    一、Linux系统用户及组分类 1、用户类别 Linux系统中的用户大致可分为三类:root用户、系统用户、普通用户。每一个用户都拥有一个唯一的身份标识UID。 2、组分类 与用户信息对应的,Linux系统中的组也可分为三类:root组、系统组、普通组。每一个组也有一个对应的唯一标识GID。 需要说明的是,UID和GID为0的用户对应的就是固定的root,即…

    Linux干货 2016-10-23
  • 使用Nmap扫描系统风险点

    0x00 迅速了解Nmap Nmap是一款扫描目标网络信息的工具,可以是黑客用来探测主机信息,收集情报的神器。也可以是运维人员扫描网络环境,及时发现系统漏洞的好帮手。 0x01 它的功能 1、主机发现(Host Discovery)#探测目标网络环境中有哪些主机是可以进行通信的,当然你也可以用ping命令试一下 2、端口扫描(Port S…

    Linux干货 2015-04-19
  • 如何在 Linux 下大量屏蔽恶意 IP 地址

    很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快…

    Linux干货 2015-02-26
  • 免费翻墙 [精]

    本人在hostus上买了一个国外的vps,花了一上午把Google给做好,可以访问g.abcdocker.com进行搜索,因为是使用nginx代理进行翻墙。网上的文章也很乱,很不好整理。 可以可以使用g.abcdocker.com上Google查阅资料。(无法观看视频) www.abcdocker.com

    2017-06-17
  • 一种强大的新型BIOS Bootkit病毒曝光

    近日,安全研究人员开发出一种新的BIOS bootkit,它可以窃取敏感数据,以及流行操作系统使用的PGP密钥。包括华硕、惠普、宏基、技嘉以及微星等在内的各大供应商的主板都受到该病毒影响。 BIOS bootkits是真实存在的。斯诺登在披露NSA ANT部门使用的监视工具集时,曾提到过BIOS bootkits。这些恶意软件能够入侵受害机器的BIOS,以此…

    2015-03-23
  • 性能调优概述

    大纲: 一、概述 二、什么是性能调优?(what) 三、为什么需要性能调优?(why) 四、什么时候需要性能调优?(when) 五、什么地方需要性能调优?(where) 六、什么人来进行性能调优?(who) 七、怎么样进行性能调优?(How) 八、总结 注,硬件配置:CUP Xeon E5620 x 2 8核心, 内存 16G , 硬盘 RAID 10,操作…

    Linux干货 2015-02-10

评论列表(1条)

  • stanley
    stanley 2016-07-10 12:16

    图好赞