【实战中提升自己】内网安全部署之dot1x部署 本地与集成AD域的主流方式(附带MAC认证)

1 dot1x部署【用户名密码认证,也可以解决私接无线AP等功能】

说明:如果一个网络需要通过用户名认证才能访问内网,而认证失败只能访问外网与服务器,可以部署dot1x功能。它能实现的效果是,当内部用户输入正常的用户名与密码后,可以正常访问内部的网络与外网,没任何限制,如果不是内部人员登陆电脑,输入不了正确的用户名密码,那么只给访问外网,到Guest VLAN。

复制代码
 「模拟器、工具合集」复制整段内容
链接:https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

(1)开启dot1x功能[boss]dot1x enable

(2)接口开启dot1x功能【注意关闭MAC-AUREN】[boss]dot1x enable interface Ethernet 0/0/1 to 0/0/7[boss]dot1x port-method port interface Ethernet 0/0/1 to 0/0/7
(3)定义认证失败的VLAN[boss]authentication guest-vlan 40 interface Ethernet 0/0/1 to 0/0/7说明:当用户没用通过后,就划入到对应的VLAN 40里面,我们可以对VLAN 40做策略,只允许访问Internet。
(4)定义本地用户[boss]aaa[boss-aaa]local-user test password cipher test[boss-aaa]local-user test service-type 8021x
(5)开启重新认证功能[boss]dot1x reauthenticate interface Ethernet 0/0/1 to 0/0/7[boss]dot1x timer reauthenticate-period 60 :这里定义重新认证功能为1分钟,这里为了实现实验效果,平时可以定义的久点。可以解决当用户失败后不需要一直处于Guest VLAN中,可以进行重新认证。

(6)客户开启dot1x功能【测试】

开启该功能

特意认证失败【密码输入错误】

可以看到获取到VLAN 40的地址池了。

这里当一分钟过后,即可重新认证,输入正确的密码

已经正确获取到地址了,

访问内网没任何问题,外网也是没问题的。

(7)为什么可以杜绝接入无线AP或者路由器。

说明:因为对于每个接口都是需要用户名密码通过的,平时一些杜绝技术,比如端口安全,只能限制一个MAC地址通过,但是现在的路由器什么的 都可以直接克隆MAC地址的。

另外,路由器默认开启了NAT,所以从内部所有的流量都转换到WAN口的,也就是同一个IP地址,固定的MAC地址,所以端口安全 或者其他技术都杜绝不了,当dot1x的功能的话,目前路由器这些还不支持,所以这次可以拒绝。

(8)总结

说明:部署dot1x也是根据需求来决定,如果需要详细的控制内部用户访问,在登陆的时候需要用户名认证,或者其他认证,都可以进行。

复制代码
[boss]aaa[boss-aaa]local-user test access-limit 1

该功能可以实现,一个帐号只允许一在线。

2 使用Radius进行认证【外边数据库或者是AD】

说明:在有时候,在某些数据库中有用户名了,比如AD环境,可以利用本身有的用户数据可以直接调用访问。

(1)AD与IAS安装

说明:这部分就不截图演示了,具体的可以参考dot1x项目那块,有详细的讲解【其他案例课程中】

(2)在交换机上面定义Radius服务器

Radius服务器定义

复制代码
[boss]radius-server template dot1x[boss-radius-dot1x]radius-server authentication 192.168.2.253 1812[boss-radius-dot1x]radius-server shared-key simple test[boss-radius-dot1x]undo radius-server user-name domain-included

说明:定义了一个Radius服务,包括服务器地址,密钥,最后一句话可以后续在分析。

(3)定义认证模板​​​​​​​

复制代码
[boss]aaa[boss-aaa]authentication-scheme dot1x[boss-aaa-authen-dot1x]authentication-mode radius local

(4)关联域

可以看到AD的域是ccieh3c.taobao.com,那么我们可以定义这样一个域名。​​​​​​

复制代码
[boss]aaa[boss-aaa]domain ccieh3c.taobao.com[boss-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x[boss-aaa-domain-ccieh3c.taobao.com]radius-server dot1x

说明:定义了一个域,然后关联了认证策略与Radius服务器,该功能的意思就是,当匹配该域的时候,就按下面的策略进行认证,交给Radius服务器。

(5)定义AAA 客户端与默认策略

该策略用来测试用的,而下面这个用来做MD5认证用的。

(6)测试AAA服务器是否正常

有错误的日志。

可以看到提示说Windows默认不支持CHAP方式存储密码,不可逆的,所以我们必须允许该策略。

在IAS服务器中刷新下组策略,也可以重启下。

可以看到现在已经OK了,但是注意的是可以看到在test的时候我们加了域名,之前定义的Domain,比如 test@ccieh3c.taobao.com

已经成功了。

undo radius-server user-name domain-included 这句话的意思是,当用户输入test@ccieh3c.taobao.com,匹配上Domain,那么就会用该Domain下的认证策略进行策略,也就是用Radius服务器上面的。另外在发送给Radius服务器的时候,会去掉@后面的ccieh3c.taobao.com,直接发送test给IAS服务器,这个功能适合与独立服务器,也适合域的服务器。

(7)用户测试

可以看到有对应的用户名信息了。

(8)定于默认Domain

boss\]domain ccieh3c.taobao.com 说明:定义为默认域的作用是,如果用户直接用test的访问,那么这样的话,就自动调用ccieh3c.taobao.com下。 (9)如果是MAC认证调用Radius认证。 说明:如果使用MAC地址开始认证的话,则可以定义 ![图片](https://i-blog.csdnimg.cn/img_convert/974c7ad4ec508b4889ffa6bf1a0744fa.png) 注意需要关闭密码安全性策略功能,否则不能定义用户名与密码一样的。另外还需要允许策略 ![图片](https://i-blog.csdnimg.cn/img_convert/c33e2e6e348fc785cc8db25ceb0102fe.png) 关闭即可。 \[boss\]mac-authen domain ccieh3c.taobao.com :这里还需要定义从该域认证 (10)MAC测试 ![图片](https://i-blog.csdnimg.cn/img_convert/25ca4f3e1d5012987972b7986833c103.png) 已经通过了 ![图片](https://i-blog.csdnimg.cn/img_convert/7cfe73684bfe759cd2d115bbbdbaaaa8.png)

相关推荐
海琴烟Sunshine1 小时前
Leetcode 14. 最长公共前缀
java·服务器·leetcode
teacher伟大光荣且正确1 小时前
Linux 下编译openssl
linux·运维·服务器
dlz08361 小时前
--group-start/--group-end 能不能解决 OpenSSL 1.0 vs 1.1 的优先级问题?
linux·运维·服务器·软件需求
猫耳君2 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四
安全·web安全·网络安全·汽车·测试·security·cybersecurity
AuroBreeze4 小时前
xv6-2023 - primes Lab
linux·运维·服务器
余防5 小时前
XXE - 实体注入(xml外部实体注入)
xml·前端·安全·web安全·html
闲人编程5 小时前
深入理解Python的`if __name__ == ‘__main__‘`:它到底做了什么?
服务器·数据库·python·main·name·魔法语句
什么半岛铁盒6 小时前
C++项目:仿muduo库高并发服务器---------LoopThreadPool模块和TcpServer模块的实现
linux·服务器·c++·mysql·ubuntu
それども6 小时前
本地怎么远程调试服务器
运维·服务器
zybsjn9 小时前
【实战】理解服务器流量监控中的“上行”和“下行”
运维·服务器