В случае, если подключенное клиентской клиентское устройство моет выступать в роли SNMP-сервераработает в режиме прослушивания известных администратору TCP портов, например это принтер или какое-то технологическое оборудование, возможно выполнить его опрос по протоколу SNMP по завершении авторизации, чтобы убедиться в легитимности сканирование при помощи утилиты nmap, чтобы получить список открытых портов, и сделать предположение об операционной системе устройства.
Такой опрос можно провести только в случае, когда у устройства есть IP адрес, и только через некоторое время (необходимое для загрузки ОС устройства). Поэтому WNAM 2 требует наличие правила аутентификации по умолчанию, в котором разрешается МАВ-доступ устройству, но в карантинном VLAN, и в котором настраивается отложенный SNMPNMAP-опросскан.
Настройка профилирование по средствам опроса эндпоинта с помощью происходит в несколько стадий:
1. Создается правило аутентификации, под которое попадут устройства, которым требуется профилирование по NMAP-скану
Создаем правило авторизации, в которому указываем один или несколько (перечислены через запятую) TCP-порты, задержка первого запуска сканирования, интервал между повторами сканирования. Если сканирование три раза подряд закончится неудачей, оно прекратится. Повторение можно не задавать, в этом случае опрос будет выполнен однократно.
и Создаём соответствующее правило аутентификации, в качестве критерия можно выбрать группу МАС адресов, сетевое устройство:
в данном случае отбор устройств для профилирования происходит по группе MAC адресов. Теперь все устройства которые подошли под это правило будут опрошены с помощью NMAP через 30 секунд после завершения авторизации, и далее опрос будет повторяться через каждые 2 минуты до ошибки, или пока активна сессия доступа.
2. Создание политики
...
профилирования по NMAP-скану
Создаем проверку доступности порта 80 на устройстве.
Создаем соответствующее правило
и политику
3. Создается правило аутентификации, под которое попадут устройства, спрофилированные по NMAP
Создаем правило авторизации, в котором помещаем спрофилированные устройства в отдельный VLAN
и соответствующее ему правило аутентификации:
Это правило сработает для всех устройств, которые были спрофилированы через NMAP-сканирование, и у которых оказался открыт порт 80.
Нужно учесть , что правило пропуска должно находиться выше, чем правило, инициализирующие опрос сканирование по NMAP, чтобы оно могло сработать первым.
В результате такой настройки при первом аутентификации сработает правило "Тестирование NMAP запрос"
Через 30 секунд будет произведен опрос по SNMP запущено сканирование порта 80 клиентского устройства, и если новые данные будут получены, WNAM отправит коммутатору RADIUS CoA пакет для повторной аутентификации порта . Теперь сработает правило "Тестирование NMAP пропуск", и устройство будет помещено в целевой VLAN:
Данные, полученные при опросе по NMAP-сканировании, можно увидеть в кэше профайлера
Для работы этого метода требуется чтобы сетевое устройств устройство (коммутатор, wifi Wi-Fi контроллер) должнен поддерживать CoA поддерживало сброс сессии по RADIUS CoA, и он должен быть корректно настроен. Также при аутентификации в аккаунтинг пакете или другим методом wnam должен получить ip адрес устройства.
Поскольку NMAP-сканирование требует TCP/IP связности с конечным устройством необходимо, чтобы WNAM 2 к моменту запуска сканирования имел сведения о его IP адресе, полученные одним из двух способов:
- в результате работы функции DHCP Snooping, настроенной на коммутаторе или контроллере, которая затем передает IP адрес в атрибуте Framed-IP-Address пакета RADIUS Accounting-Start;
- в результате обработки ответа DHCP-cервера, полученного перехватом (захватом) сетевого трафика (например через SPAN-порт) при помощи агента wnam-dhcp-profiler-agent с последующей отправкой этих данных в профайлер.