Posts

پیاده سازی ٨٠٢.١x – بخش نهم

در ادامه بحث پیاده سازی 802.1x در خدمت شما عزیزان هستیم.

تعریف کاربران در Cisco Secure ACS :


مراحل زیر را دنبال کنید که در دیتابیس داخلی Cisco Secure ACS کاربر تعریف کنید.

  • روی گزینه User Setup در منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • یک نام منحصر به فرد در کادر User وارد کنید سپس کلید Add/Edit را بزنید تا پنجره مربوط به تنظیمات کاربر ظاهر شود.
  • در این قسمت یک پسورد برای کاربر در نظر بگیرد و همچنین آنرا عضو یک گروه کنید.
  • کلید Submit را بزنید.

در تصویر زیر بخش تنظیمات کاربر نمایش داده شده است :

Image

 

تولید فایل PAC :


این مرحله اختیاری است. اگر مسیر بین Supplicant و سرور AAA یک مسیر کاملا امن نیست پیشنهاد می شود عمل توزیع فایل PAC به صورت دستی انجام گیرد. برای اینکه اینکار به صورت دستی انجام گیرد باید در ابتدا فایل PAC باید تولید شود. در این مرحله نحوی تولید فایل PAC توضیح داده شده است به همین منظور مراحل زیر را دنبال کنید :

  • Command Prompt را در مسیر نصب Cisco Secure ACS با دسترسی Administrator باز کنید. همانند تصویر زیر :
Image

 

  • دستور CSUtil را با سوئیچ های –a و –t اجرا کنید تا فایل PAC تولید شود.
  • فایل تولید شده را روی تمام Supplicant ها کپی کنید.

نکته : اگر PAC فایل به صورت خودکار به Supplicant ها ارسال می شود این کار در طی اولین تایید هویت EAP-FAST انجام می گیرد.

تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x :


این مرحله اختیاری است. اگر بخواهیم کاربر را برای تایید هویت تنها به یک RADIUS Clients محدود کنیم می توانیم از (Network Access Restrictions (NAR استفاده کنیم. در این مرحله نحوی تنظیم NAR نمایش داده شده است. برای اینکار مراحل زیر را دنبال کنید :

  • روی گزینه Group Setup از منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • گروهی که حاوی کاربر 802.1x است که می خواهیم آنرا محدود کنیم را انتخاب کنید سپس کلید Edit Settings را بزنید تا پنجره مربوطه باز شود.
  • در پنجره تنظیمات گروه به بخش Network Access Restrictions و چک باکس Define CLI/DNIS-based Access Restrictions را انتخاب کنید. در کادر AAA Client نام دستگاهی که می خواهید تایید هویت را انجام دهد را انتخاب کنید و مقدار کادر های Port ، CLI و DNIS را برابر * قرار دهید سپس کلید enter را کلیک کنید تا به لیست اضافه گردد.
  • کلید Submit + Restart را کلیک کنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

 

فعال کردن logging :


Cisco Secure ACS می تواند تایید هویت های موفق را نیز همانند تایید هویت های ناموفق برای کاربر را log گیری کند. Log گیری برای تایید هویت های موفق به صورت پیش فرض غیرفعال است. برای فعال کردن آن مراحل زیر را طی کنید:

  • روی کلید Network Configuration از منوی سمت چپ کلید کنید.
  • گزینه logging را انتخاب کنید تا صفحه مربوط به تنظیمات logging نمایش داده شود.
  • در جدول ACS Report روی گزینه Configure از ستون CSV و ردیف Passed Authentication کلیک کنید.
Image

 

  • در این صفحه چک باکس Log to CSV Passed Authentication Report را انتخاب کنید و کلید Submit را بزنید.

در تصویر زیر این بخش نمایش داده شده است :

Image

تنظیم Cisco Secure ACS به اتمام رسیده است و در مرحله بعدی باید Supplicant تنظیم شود.

تنظیم Cisco Secure Service Client به عنوان Supplicant :


برای اینکه کلاینت برای تایید هویت از EAP-FAST استفاده کند باید (Cisco Secure Services Client (CSSC روی کلاینت نصب و تنظیم گردد. این به طور کلی شامل مراحل زیر است :

  • ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility
  • ساخت پروفایل و Policy برای تایید هویت
  • تنظیم تایمرهای 802.1x
  • انتخاب متد تایید هویت (یوزر ، دستگاه یا هردو)
  • انتخاب متد EAP
  • ساخت پکیچ نصب CSSC حاوی Configuration Profile
  • نصب پکیچ CSSC در کلاینت

 

ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility :


اولین مرحله ساخت پروفایل با استفاده از CSSC Management Utility است. خروجی CSSC Management Utility یک فایل XML است که شامل تنظیمات لازم برای Supplicant است. مراحل زیر را برای تنظیم پروفایل دنبال کنید :

  • CSSC Management Utility را دانلود کنید و از حالت فشرده خارج کنید سپس فایل sscManagementUtility را اجرا کنید که صفحه اصلی ظاهر شود.
  • گزینه Create New Configuration Profile را در صفحه اصلی انتخاب کنید.
Image

 

  • نسخه CSSC که می خواهید استفاده کنید را انتخاب کنید. که در اینجا ما از نسخه 5.1 استفاده می کنیم.

 

ساخت پروفایل و Policy برای تایید هویت :


در مرحله بعد یک پروفایل مربوط به شبکه کابلی در پروفایل CSSC Configuration ایجاد می کنیم. مراحل زیر را دنبال کنید :

  • اگر فقط گزینه Allow Wired انتخاب شود نیاز به لایسنس ندارد اما اگر بخواهید هر دو شبکه کابلی و وایرلس را استفاده کنید باید لایسنس را در کادر provide license وارد کنید.
  • گزینه Attempt Connection After User Login را در بخش Connection Setting انتخاب کنید.
  • گزینه Allow Wired Media را انتخاب کنید سپس کلید Next را بزنید.
Image

 

  • در صفحه Authentication Policy گزینه EAP FAST را در قسمت Allowed Authentication Modes انتخاب کنید و کلید Next را بزنید.
Image

 

  • در صفجه Network کلید Add Network را بزنید.
Image

 

  • تنظیمات مربوط به صفحه Network Media را بدون تغییر Next بزنید.
  • یک نام برای پروفایل جدید در صفحه Wired Network Settings در نظر بگیرید. در بخش Security Level گزینه authenticating network را انتخاب کنید سپس کلید Next را بزنید.
Image

چرا به AAA نیاز داریم؟

استفاده از authentication ، authorization و accounting (به اختصار AAA) به منظور بررسی هویت کاربر و اینکه کاربر می تواند چه کاری انجام دهد یک راه بسیار عالی برای امن کردن management plane در تجهیزات محسوب می شود. در بسیاری از سازمان تعداد بسیاری زیادی دستگاه وجود دارد. اگر برای این دستگاه ها از دیتابیس لوکال دستگاه ها استفاده شود مدیریت کاربران برای این دستگاه ها سخت خواهد بود. به طور مثال اگر بخواهید به یک کاربر دسترسی به 10 دستگاه را بدهید باید برای این کاربر روی هر 10 دستگاه یوزر و پسورد تعریف کنید یا اگر بخواهید پسورد این کاربر را در این 10 دستگاه تغییر بدهید باید اینکار رو روی تمام این دستگاه ها انجام دهید. این روش در شبکه های بزرگ با دستگاه های زیاد و همچنین تعداد زیادی کاربر روش درستی نیست.
راه حل مناسب برای اینکار استفاده از یک دیتابیس مرکزی است که برای همه یوزر و پسورد ها برای تایید هویت و همچنین اینکه هر کاربر اجازه دارد چه کاری انجام دهد استفاده شود. این در درجه اول کاری است که (Access Control Server (ACS می تواند برای ما انجام دهد. اولین قسمت کانفیگ مربوط به سرور ACS می شود که در آن باید یوزر و پسورد ها و همچنین کاری که آنها اجازه دارند انجام دهند مشخص می شود. قسمت دوم کانفیگ این است که برای دستگاه مشخص کنیم که هنگامی که درخواست authentication یا authorization داشت از سرور ACS استفاده کند و با آن ارتباط برقرار کند.
از سرور ACS می توان برای مدیریت کاربران که می خواد از طریق دستگاه مثل روتر یا فایروال به شبکه دسترسی پیدا کنند استفاده کرد به طور مثال برخی از کاربران می خواهند از طریق VPN به شبکه متصل شوند در نتیجه نیاز به تایید هویت و کنترل دسترسی وجود دارد که اینکار توسط ACS به صورت متمرکز امکان پذیر است. همچنین از سرور ACS می توان برای ضبط اتفاقات (Accounting) استفاده کرد که در اینجا مشخص می شود که کاربر چه زمانی به تجهیزات متصل شده است و چه کاری انجام داده است.

Image

 

چرا از Cisco ACS استفاده می کنیم؟


بسیاری از سازمان های از تجهیزات سیسکو استفاده می کنند همچنین قصد استفاده از سرور ACS دارند بنابراین آنها می توانند کاربران خود را به صورت متمرکز مدیریت و کنترل کنند. با تعریف کاربران در سرور ACS ، تمام این دستگاه های سازمان به عنوان کلاینت برای سرور ACS عمل می کنند در نتیجه می توانید از سرور ACS به عنوان نقطه مرکزی برای تایید هویت استفاده کنید. به این صورت یکبار یک یوزر در سرور ACS ساخته می شود و دستگاه ها برای تایید هویت توسط ACS تنظیم می شوند در نتیجه از این به بعد تایید هویت به وسیله سرور ACS انجام می گیرد و به راحتی امکان اضافه کردن و تغییر کاربر وجود دارد و دیگر نیاز به مراجعه به تک تک دستگاه های برای تعریف و تغییر کاربران نیست و خیلی راحت و ساده می توانیم آنها را از طریق سرور ACS به صورت متمرکز مدیریت کنیم.
در بسیاری از سازمان ها کاربران زیادی برای تعریف در سرور ACS وجود دارد که این کاربران می تواند جهت دسترسی به شبکه یا تجهیزات باشند اما تعریف تعداد زیادی کاربر در دیتابیس لوکال ACS می تواند زمان بر باشد یک ویژگی که در ACS در نظر گرفته شده است استفاده از یک دیتابیس خارجی است که حاوی این کاربران و پسورد آنها می باشد یک نمونه از این دیتابیس خارجی Microsoft Active Directory است که حاوی اطلاعات کاربران و پسورد آنها است و می تواند به عنوان دیتابیس خارجی برای ACS عمل کند.
زنجیره ای از این رخدادها و اتفاقات می تواند شبیه این مثال باشد : یک کاربر به یک روتر متصل می شود و روتر به او پیغام تایید هویت می دهد در این مثال فرض بر این می شود که یک کاربر admin است که می خواد دسترسی CLI به روتر پیدا کند. روتر برای استفاده از ACS تنظیم شده است بعد از اینکه روتر یوزر و پسورد را از کاربر دریافت کرد این اطلاعات را برای سرور AAA خود یعنی سرور ACS ارسال می کند و منتظر پاسخ می ماند. در سرور ACS اگر از دیتابیس خارجی مانند Microsoft Active Directory استفاده شده باشد سرور ACS یک درخواست به Active Directory برای تایید اعتبار یوزر و پسورد ارسال می کند. اگر اطلاعات ارسالی توسط Active Directory تایید شد ACS صحت تایید هویت را به روتر اطلاع می دهد و روتر اجازه دسترسی به کاربر را می دهد اما اگر اطلاعات در Active Directory وجود نداشت براساس تنظیمات صورت گرفته برای ACS می توان دیتابیس لوکال خود را بررسی کند. در کل می توان این نکته را برداشت کرد که ACS می تواند از چند دیتابیس که شامل چند دیتابیس خارجی و دیتابیس لوکال برای بررسی صحت یوزر و پسورد استفاده کند.