При наличии у вас демонстрационной или постоянной лицензии на функции корпоративной авторизации WNAM вы должны дополнительно к базовым, настроить некоторые другие системные сущности. Чтобы проверить авторизацию пользователей и администраторов сети по протоколам RADIUS, 802.1X и TACACS+ с использованием доменных учетных записей или сертификатов, выполните описанные ниже действия. Вы можете использовать предоставленный список задач для формирования собственного плана тестирования (испытаний) системы WNAM для подтверждения её соответствия требованиями, предъявляемым вашим предприятием или заказчиком к системе корпоративной авторизации (NAC).


Базовые настройки системы WNAM

  • Установка сервера, настройка TCP/IP, запуск СУБД, nginx, проверка systemd-скрипа запуска WNAM, запуск самого приложения WNAM
  • Вход в веб-интерфейс, установка лицензионного ключа, пароля администратора, включение API
  • При активации ключа с поддержкой корпоративной авторизации вам потребуется однократный рестарт сервиса:
systemctl restart wnam

Типовой испытательный стенд

Для проверки всех возможностей корпоративной авторизации WNAM вам понадобится стенд в составе:

  • сервер WNAM (физическая или виртуальная машина с Java JDK, nginx, WNAM, MongoDB/PostgreSQL)
  • дополнительный аналогичный сервер WNAM для проверки отказоустойчивости (кластерной конфигурации)
  • тестовый домен Windows с контроллером, учетная запись с правами администратора домена и пользователя домена (для PEAP-авторизации)
  • тестовый сервер с центром сертификации Windows (возможно, член  того же домена) (для EAP-TLS авторизации по доменным сертификатам)
  • коммутатор ЛВС с поддержкой 802.1X, MAB-авторизации, и TACACS+
  • контроллер БЛВС или интеллектуальная автономная точка доступа с поддержкой функции хотспота, WPA2-Enterprise авторизации
  • тестовый компьютер-клиентское устройство, с проводным или беспроводным адаптером
  • тестовый смартфон-клиентское устройство

Предварительная настройки сети

Настоятельно рекомендуется прежде, чем проводить какие-либо тесты, убедиться в готовности вашей инфраструктуры к работе без авторизации. Подключение беспроводных клиентов к открытой сети без пароля, подключение проводных клиентов в ЛВС в настроенный порт коммутатора без каких-либо правил безопасности должны у вас полностью работать. Все сетевые службы: DHCP, DNS, NAT, маршрутизация, должны быть проверены и отлажены перед тем, как переходить к тестам корпоративной авторизации WNAM. Если вы применяете сложные политики на межсетевых экранах, будьте готовы к тому, что вам оперативно понадобится создавать дополнительные правила для системы WNAM, в первую очередь для её работы с сетевым оборудованием и контроллерами домена. 

Настройки серверов доступа

Для целей авторизации сетевого доступа сервер WNAM является сервером протокола RADIUS, а сетевое оборудование: коммутаторы ЛВС, контроллеры и точки доступа БЛВС, являются RADIUS-клиентами. В общепризнанной терминологии они называются "Network Access Server", NAS, или "сервера доступа".

RADIUS-клиенты - сервера доступа - настраиваются в точности по инструкциям их производителей, как будто они работают с любым другим RADIUS-серверов, будь то Cisco ISE, FreeRADIUS или MS NPS. Вы указываете, как минимум, IP-адрес сервера WNAM, и секретный ключ (по умолчанию WNAM использует слово secret).

С другой стороны, вы должны внести запись о сервере доступа в настройки самого WNAM. Это производится в разделе "Конфигурация - Сервера доступа". Выберите тип (для большинства тестов будет достаточно применить универсальный: "LAN Switch"), укажите IP адрес коммутатора, на второй вкладке переопределите ключ. 

Проверка SNMP

Если вы предполагаете использовать динамическое профилирование сетевых устройств, не имеющих суппликантов, и проходящих MAB-авторизацию, возможно вам понадобится получать с ваших коммутаторов ЛВС дополнительные сведения по протоколу SNMP. Для этого создайте на коммутаторах профили SNMP v2c/v3, и укажите настройки доступа в свойствах коммутатора, в общих свойствах корпоративной авторизации, и включите периодический опрос статуса портов. Вы также можете посмотреть на статусы портов коммутаторов, полученные в реальном времени и из кэша, в разделе Диагностики. 

DHCP-профилирование

Если вы применяете профилирование для MAB-авторизации и хотите использовать профили на основе анализа DHCP-запросов, включите отдельный профайлер

Подключение к службе каталога

Полноценное тестирование корпоративной авторизации невозможно без интеграции сервера WNAM в инфраструктуру Windows-домена. Вам необходимо добавить сервер в домен. Без этого будет невозможно осуществлять проверку прав пользователя, членства в группе, атрибуты, а также авторизовать подключающихся по EAP/PEAP протоколу сетевых пользователей. За взаимодействие с доменами (службами каталога, т.к. WNAM работает и с MS AD, и с FreeIPA) отвечает дополнительный сервис-посредник ADCTool, который устанавливается вместе с WNAM, и поставляется в составе образа системы. Инструкция по его установке и настройке находится здесь, а инструкция по подключению WNAM в домен здесь. Самой распространенной проблемой интеграции с доменами является недостаточность прав у подключающей учетной записи, или блокировка сетевых портов межсетевым экраном. Проверено, что с учётной записью группа Domain Admins в подключении без МСЭ интеграция с доменом проходит без проблем. Вместе с тем, при грамотной настройке, возможно осуществить подключение и с ограниченной учётной записью, и в ограниченной межсетевыми правилами среде.

Удостоверяющий центр

Любое взаимодействие с применением протокола 802.1X неизбежно требует TLS-сертификата сервера: это диктуется стандартом, RFC 3579. Для целей тестирования вы можете воспользоваться сертификатами, который создаст встроенный в WNAM Удостоверяющий центр. Желательно использовать сертификаты (цепочку доверия: корневой, промежуточные), поставляемые вашим PKI (корпоративным центром сертификатов, например на основе Microsoft Certification Authority). Он же должен выпустить (подписать) корректный сертификат для вашего сервере WNAM, с приватным ключом. Подробнее процедура интеграции и выпуска описана здесь.

Настройки правил аутентификации и авторизации

Поступающие на сервер WNAM запросы от серверов доступа по протоколу RADIUS обрабатываются по цепочке правил аутентификации. Из всего списка настроенных выбывают те, которые не подходят по параметрам (SSID, локация, сервер доступа, домен, статус эндпоинта и т.п.). Осуществляется проверка пароля или сертификата. В итоге остается ноль, одно или несколько подходящих правил - в последнем случае выбирается самое "верхнее".

Проверяется набор правил авторизации - какие действия предпринять для совпавшего аутентификационного правила. Формируются RADIUS-атрибуты ответа, он направляется серверу доступа.

Тестирование PAP авторизации

Тестирование PAP авторизации с профилированием

Тестирование 802.1Х авторизации через доменные логин-пароль (PEAP)

Тестирование 802.1Х авторизации через локальные логин-пароль (PEAP)

Тестирование 802.1Х авторизации через сертификат (EAP-TLS)

Тестирование 802.1Х авторизации компьютера и пользователя (EAP-Chaining)

Проверка ACL, dADL, RADIUS-атрибутов

Тестирование взаимодействия с КИБ "Сакура"

Тестирование двухфакторной авторизации

Подразделения и категории

Карантин

Отправка уведомлений в SIEM-систему

Аудит

Формирование пользовательских сертификатов и BYOD

документация по этой теме, в частности вам:

  • необходимо убедиться в работоспособности коннектора к службе каталога, который используется для проверки доменной учетной записи в BYOD
  • необходимо импортировать корневые сертификаты вашего PKI, и организовать сертификат сервера WNAM
  • необходимо выполнить комплекс работ по настройке корпоративного центра сертификации: установки сервиса NDES
  • настроить связку WNAM и NDES (Конфигурация - Корпоративная авторизация - Сертификаты
  • попробовать создать сертификат вручную (Конфигурация - Сертификаты) через запрос CA по SCEP
  • настроить портал онбоардинга, протестировать авторизацию и получение сертификата пользователем
  • импортировать пользовательский сертификат, и проверить авторизацию с ним по EAP-TLS 

Администрирование оборудования (TACACS+)

Ролевая модель доступа в WNAM UI, доступ через домен, парольная политика

В разделе "Конфигурация - Пользователи интерфейса" необходимо создать учетные записи с ролями "Наблюдатель", "Оператор", "Администратор ИБ", "Самообслуживание", и попробовать зайти в интерфейс под ними.

Там же, нажав на кнопку "Параметры" установить парольную политику. Проверить. как она применяется.

Там же, при наличии настроенной связи со службой каталога и подключенными группами, выбрать "Доступ в UI через Active Directory". Настроить правила доступа, попробовать вход в интерфейс WNAM с различными доменными учетными запиcями, принадлежащими к разным доменным группам.

Создание и тестирование кластера WNAM

  • No labels