close
Kaspersky Endpoint Security

Welcome to

Kaspersky Endpoint Security

By Kaspersky Endpoint Security

Einrichten EX Switches für die Authentifizierung und Zuordnen VLAN

Der erste Schritt bei der Einrichtung des EX-Switch mit der UAC (Unified Access Control) Lösung gefunden ist, um zu bestimmen, welche Authentifizierungsmethode zu verwenden. EX Switches unterstützen drei 802.1x Methoden: EAP-MD5, EAP-PEAP und EAP-TTLS. Ebenso ist der Infranet Controller (IC) und sein Gegenstück der Odyssey Access Client kann so konfiguriert werden, eine dieser EAP-Methoden zu unterstützen. Wenn Sie nicht mit dem Infranet Controller oder Sie sind nicht Odyssey Access Client und sie mit einem anderen Radius-Server oder 802.1x Supplicant (jeweils) zu ersetzen. Sie müssen in zu überprüfen, was der Server oder Client unterstützt Wenn Sie beabsichtigen, nicht verwaltete Geräte an Ihren Switch zu befestigen, wie IP-Telefone, die meisten dieser Geräte nur EAP-MD5-Unterstützung, die eine einfache CHAP-Authentifizierung an den RADIUS-Server ist. Neuere Geräte und die meisten alle modernen PCs können PEAP und / oder TTLS unterstützen. Sowohl PEAP und TTLS sind Tunnel-Protokolle, so dass eine zweite EAP-Methode wird durch einen Tunnel durch diese Protokolle erstellt getunnelt werden.

PEAP ist die restriktivere der beiden Protokolle, aber es ist auch häufiger implementiert, zum Beispiel die Microsoft-Supplicant (auch Windows-Zero Config genannt) PEAP als primäre Authentifizierung verwendet. PEAP ist auf zwei innere Methoden eingeschränkt: EAP-GTC, die dabei eine PAP-Authentifizierung innerhalb des verschlüsselten Tunnel entspricht, und EAP-MS-CHAP-V2, die selbst ein Weg, um eine NTLMv2 Transaktion von Tunneln. TTLS ist weniger restriktiv, dass wird es ein weiteres Tunnel EAP-Paket in seiner Gesamtheit ohne auf das Protokoll proprietäre "Hacks" verwenden. So im Wesentlichen alle anderen EAP-Protokoll kann innerhalb eines EAP-TTLS-Tunnel ohne Modifikation verwendet werden. Der Nachteil ist, dass diese Methode nicht so weit umgesetzt werden, zum Beispiel Microsofts Windows Zero Configuration nicht EAP-TTLS unterstützen. Doch die Odyssey Access Client, die Teil der UAC-Lösung ist erledigt diese Methode unterstützen (und verwendet sie in der Standardeinstellung).

Einstellen des EX bis zu erzwingen 802.1x

Zuerst stellen Sie den EX-Schalter, um den Infranet Controller (IC) als seinen Radius-Server verwenden:

Auf dem EX-Schalter in Config-Modus.

Konfigurieren Sie die Radius-Server-Parameter mit dem Befehl unten (nicht vergessen, das Passwort und die Quell-Schnittstelle-Adresse, wie es wird beim Einrichten des IC verwendet werden):

Juniper # set Zugang Radius-Server X.X.X.X geheim <Kennwort> Juniper # set Zugang Radius-Server X.X.X.X Quelle Schnittstelle X.X.X.X

Weiter mit einem Radius Profil erstellen, um dot1x zu binden.

Juniper # set Zugangsprofil <name> Authentifizierung Ordnung Radius Juniper # set Zugangsprofil <name> Radius-Authentifizierung-Server X.X.X.X

Konfigurieren Sie 802.1X für einen Port auf dem Switch. Beachten Sie, dass die Schnittstellenkonfiguration in diesem Abschnitt verwendet (802.1X) IFL - es Einheit hat 0. Es gibt drei Optionen, welche Betriebsart den Port einfügen kannst.

  • Die Verwendung von "Supplicant Single" gibt es die erste Supplicant authentifizieren zu authentifizieren. Sobald ein Supplicant authentifiziert hat, alle anderen Geräte an diesem Port angeschlossen haben auch Zugriff haben. Juniper # set Protokolle dot1x Authenticator-Authentifizierung-profile-Namen <name> Schnittstelle ge-0/0/1-Supplicant Single
  • Ähnlich "Supplicant Single-sichere" wird jedoch nur die erste Supplicant authentifiziert nur den Verkehr zu und von der Supplicant gesendet, die erlaubt werden authentifizieren und kein anderes Gerät Verkehr wird von diesem Port erlaubt sein. Juniper # set Protokolle dot1x Authenticator-Authentifizierung-profile-Namen <name> Schnittstelle ge-0/0/1-Supplicant Single
  • Obwohl es möglich ist, eine mehrere Supplicant Konfiguration zu tun, schränkt sie die Verwendung von Radius-Attribute dynamisch VLAN zugewiesen werden, so wird es hier nicht erörtert werden.

Einstellen der Infranet Controller bis EX-Benutzer authentifizieren

Melden Sie sich in der Admin-Konsole des Infranet Controller: Auf dem Menü auf der linken Seite, schauen Sie unter Authentication> Auth.Servers. Bei Bedarf erstellen einen Authentifizierungsserver, die dem gewünschten Server authentifiziert wird. Der Einfachheit halber wird ein Benutzername auf dem System Local Authentifizierungsserver hinzugefügt.

Zum Endpoint Security> Host Checker. Erstellen Sie einen neuen Host Checker-Politik; in diesem Beispiel wird Notizblock genannt. Erstellen Sie die Host Checker-Richtlinie, so dass sie überprüft, was gebraucht wird. Der Einfachheit halber wird die Überprüfung das Beispiel für den Notepad.exe-Prozess. Wenn Notizblock diese Prüfung passieren läuft. Unter Benutzer> Benutzerrollen und eine neue Rolle erstellen. (Das Beispiel Rolle ist "Host Checker (konform)" bezeichnet). Keine Sorge über keine andere Einstellungen an dieser Stelle, da diese Rolle jetzt nur ein Platzhalter ist, wird aber später erlauben, dynamisch ein VLAN zuzuweisen. Wiederholen Sie Schritt 5, aber dieses Mal wird die Rolle "Host Checker (Remediation)" bezeichnet werden. Auch das wird später ein Strahlungs VLAN zuzuordnen verwendet werden. Weiter finden Sie auf Users> User Realms. Wenn ein neues Reich benötigt erstellen. In diesem Beispiel werden die Mitglieder Bereich verwendet, die bereits vorhanden ist. Stellen Sie den Authentifizierungsserver an den entsprechenden Server (in diesem Fall "System Local"). Änderungen speichern und wählen Sie die Registerkarte Role Mapping. Erstellen Sie eine neue Regel; wählenbenutzerdefinierten Ausdruck aus der Dropdown-und klicken Sie auf Aktualisieren. Klicken Sie Ausdrücke Hinzufügen eines neuen Ausdruck zu schaffen, die den Host erfordert Checker bestanden haben: Nachdem der Ausdruck hinzugefügt wird es auf der Rollenzuordnung Seite verfügbar wird. Konfigurieren Sie diese auf dem Screenshot ähnlich unten. Im Beispiel angegeben wir, wenn konform diese Rolle nur zuweisen; dies ist aus Gründen der Einfachheit und ist in der Regel nicht erforderlich. Als nächstes erstellen, die eine zweite Rollenzuordnungsregel alle einen Haken. Mit anderen Worten, wenn ein Benutzernamen und das Kennwort gültig sind, werden sie diese Rolle erhalten. Da in dem Beispiel gibt es nur zwei Regeln jeder, der nicht von der obigen Regel gefangen wird nicht den Host Checker Anforderungen erfüllen. Von der linken Navigation, wählen Sie Authentication> Signing In> Setzt Authentication Protocol. Unter der Annahme, keine Änderungen an diesem Abschnitt vorgenommen wurden, werden die Methoden der EX-Unterstützung bereits konfiguriert. Für den inneren Authentifizierungen, PEAP und TTLS wurden dem Standard-Windows-Zero-vorkonfiguriertConfig Supplicant sowie die Odyssey Access Client. Die Standardkonfiguration ist wie folgt: Authentication Gehen> Signing In> Sign-in Policies. Verknüpfen Sie das Reich mit einem Schild in der Politik. Geben Sie, welche Protokoll festgelegt zu verwenden. Das Beispiel wird das Standardanmelderichtlinie zu verwenden, obwohl Sie können feststellen, dass ein neues Anmelderichtlinie zu schaffen kann besser auf Ihre Bedürfnisse anpassen. Erstellen Sie eine Ortsgruppe. Dies wird in Kürze verwendet werden, um einen Radius Client zur richtigen Anmelderichtlinie zu lenken. Wählen Sie UAC> Network Access> Ortsgruppen und erstellen Sie eine neue Location Gruppe. Geben Sie einen Namen und die Anmelderichtlinie zu verwenden. Schließlich wählen Sie UAC> Network Access> RADIUS-Client und einen neuen Radius-Client erstellen. Für die IP-Adresse der Quelle-Schnittstelle im ersten Abschnitt angegeben eingeben. Das Passwort für den gemeinsamen geheimen Schlüssel eingeben auf dem EX im gleichen Schritt verwendet. Marke Modell sollte Juniper Networks Inc (JUNOS) eingestellt werden, und zuletzt sollte die Ortsgruppe an die Ortsgruppe verwendet nur eingestellt werden. Einstellungup VLAN auf dem EX-Schalter Vor dem Infranet Controller anweist VLANs zuzuweisen Benutzer, um sie auf den Schalter zu definieren. Zuerst das Gast-VLAN erstellen, die dem Benutzer zugeordnet werden, wenn sie entweder nicht 802.1x durchführen oder, wenn sie nicht die 802.1x-Authentifizierung. Kopieren Sie die folgenden Befehle und fügen Sie sie in den Switch Terminal-Fenster des Gast-VLAN zu erstellen: Set vlans Gast-VLAN-ID 300 Weiter, um den EX-Schalter sagen, dass nicht authentifizierte Benutzer zuordnen zu diesem VLAN Satz Protokolle dot1x Authenticator-Schnittstelle alle Gast-VLAN Jetzt, das Gast-VLAN wurde bis erstellen zwei VLANs, die der Infranet Controller eingestellt dynamisch zuweist. Einstellen des Infranet Controller bis zum Belegen der Tasten VLAN In dem Fall, dass ein Benutzername und ein Kennwort des Benutzers authentifiziert werden, ein VLAN zugewiesen werden basierend darauf, ob sie die Host Checker übergeben. Um dies zu unterbringen, für das Beispiel haben wir zwei Rollen, eine, die, wenn der Host Checker-Richtlinie zugeordnet ist, wird übergeben und eine, die zugewiesen wird, wenn er nicht übergeben wird. Nun erstellenund assoziieren einen RADIUS-Attribut Politik mit diesen Rollen und weisen entweder eine Zugriffs VLAN oder ein Remediation-VLAN entsprechend. Zum UAC> Network Access> RADIUS-Attribute. Erstellen Sie ein neues Attribut Politik Radius. Legen Sie die folgenden drei Elemente auf. Zunächst geben die Richtlinie einen Namen (das heißt "Zugriff VLAN"). Zweite unter der RADIUS-Abschnitt auf dieser Seite Attribute geben Sie die VLAN-ID (in diesem Fall "1"). Schließlich geben sollte diese Richtlinie nur auf ausgewählten Rollen angewendet werden, und die nachgiebige Rolle fest: Wiederholen Sie diesen Vorgang aber mit den Informationen für Ihr Sanierungs VLAN. Teilen Sie diese: Verwandte

Endpoint-Security 2012     Endpoint-Security-10 Produkthandbuch

Categories and tags