Сценарий корпоративной авторизации

Прежде чем начать настройку системы WNAM и соответствующего беспроводного/проводного оборудования необходимо внимательно изучить теорию работы протокола 802.1x.

Рекомендуется изучить следующие материалы: 

• используемые термины (словарь);
• информация по протоколу аутентификации (https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol);
• информация по защищенному протоколу аутентификации (https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol);
• информация по сетевому протоколу (https://en.wikipedia.org/wiki/IEEE_802.1X);
• информация по аутентификации в беспроводных сетях (https://mrncciew.com/tag/eap-tls/);
• информация по беспроводной сети Wi-Fi (https://habr.com/ru/post/150179/);
• принцип работы протокола TLS (https://tls.dxdt.ru/tls.html).

Также необходимо изучить документацию по используемому оборудованию. Например, для коммутаторов Cisco можно ознакомиться с документом: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-2_4_e/configurationguide/b_1524e_consolidated_2960x_cg/b_1524e_consolidated_2960x_cg_chapter_0101011.html, а для беспроводных контроллеров Cisco 9800 рекомендуется ознакомиться со следующим документом: https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213919-configure-802-1x-authentication-on-catal.html.

Следует отметить, что протокол 802.1х является достаточно старым протоколом, и его реализация давно используется большинством производителей оборудования. Для клиентских устройств (смартфоны, ноутбуки) реализация суппликанта (supplicant) - ответной части - также хорошо проработана, и их настройка, обычно, не вызывает вопросов.

Нами протестирована работа WNAM с авторизацией 802.1Х со следующими устройствами:

• Cisco WLC35xx/55xx/vWLC/CL9800, Cisco Calatyst 2960,2960X,2960s, 
• Huawei S5710, S2326
• Eltex MES 2308ЗP, 2324, 2424
• Aruba 3800, WLC7200

Мы уверены, что если вендор оборудования заявляет о поддержке протокола 802.1Х в своём устройства (коммутатор, контроллер БЛВС), то WNAM сможет с ним взаимодействовать без необходимости каких-либо доработок. Возможно, что включение некоторых дополнительных параметров авторизации, например ограничения скорости, потребуют штатных внесений новых вендорспецифичных RADIUS-атрибутов самим администратором.

Авторизация по протоколу PAP поддерживается с любым управляемым коммутатором и VPN-шлюзом.

Подключение абонента с использованием протокола 802.1х выглядит следующим образом:

1. Абонентское устройство производит подключение к сети (ассоциируется с точкой доступа или активирует порт коммутатора ЛВС).
2. Абонентское устройство посредством протокола EAPOL сообщает точке доступа/коммутатору информацию о планируемом выполнении авторизации с использованием протокола 802.1х.
3. В беспроводной среде точка доступа всего лишь пересылает данные на контроллер, который становится посредником между клиентом и аутентификатором - сервером системы WNAM.
4. Контроллер беспроводной локальной вычислительной сети (БЛВС) или коммутатор локальной вычислительной сети (ЛВС) инкапсулируют данные от клиента в протокол EAP и далее в виде RADIUS-пакетов передают их серверу авторизации WNAM.
5. Абонентское устройство устанавливает TLS-подключение с сервером системы WNAM внутри EAPOL-RADIUS туннеля. При этом обязательно используется сертификат RADIUS-сервера (который необходимо создать или установить в системе WNAM при настройке). Если сертификат не доверенный, абоненту будет предложено его принять к доверию.
   
   1. Для EAP-PEAP авторизации (по паре "логин-пароль") у абонента отсутствует сертификат. TLS-соединение при этом осуществляется практически такое же, как при работе браузера с веб-сервером.
   2. Для EAP-TLS авторизации (по сертификату) абонентский сертификат должен быть заранее загружен в устройство абонента и помещен в "доверенные" или "личные". TLS-соединение при этом осуществляется практически такое же, как при работе с электронной цифровой подписью (ЭЦП) на токене, но с использованием алгоритмов RSA (не ГОСТ).
6. Для EAP-PEAP авторизации внутри TLS-туннеля организуется MSCHAP-авторизация, связанная с передачей хэша пароля клиента, и хэша ответа. Протокол проверки подлинности соединений MSCHAP недостаточно надежен, но внутри TLS-туннеля обеспечена защищенная передача данных между узлами. Локально или через контроллер домена происходит проверка прав абонента.
7. Для EAP-TLS авторизации достаточно проверки действительности сертификата клиента. Дополнительные проверки (как в, например, EAP-TTLS) отсутствуют.
8. На основе данных, имеющихся в сертификате, Active Directory и в соответствии с настроенными политиками и правилами системы WNAM принимает решение о допуске абонента в сеть, передаёт дополнительные RADIUS-атрибуты типа VLAN ID, а также MPPE-ключи, которые используются, в том числе, для шифрования клиентского трафика в беспроводных сетях.
9. Сервер системы WNAM отправляет RADIUS-ответ, на основании которого контроллер или коммутатор допускают абонента в сеть, активируя порт и применяя ключи или атрибуты из ответа. 
10. Коммутатором или контроллером запускается RADIUS-аккаунтинг, подсчитывающий объем переданного и полученного трафика.