【实战中提升自己】内网安全部署之dot1x部署 本地与集成AD域的主流方式(附带MAC认证)

1 dot1x部署【用户名密码认证,也可以解决私接无线AP等功能】

说明:如果一个网络需要通过用户名认证才能访问内网,而认证失败只能访问外网与服务器,可以部署dot1x功能。它能实现的效果是,当内部用户输入正常的用户名与密码后,可以正常访问内部的网络与外网,没任何限制,如果不是内部人员登陆电脑,输入不了正确的用户名密码,那么只给访问外网,到Guest VLAN。

复制代码
 「模拟器、工具合集」复制整段内容
链接:https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

(1)开启dot1x功能[boss]dot1x enable

(2)接口开启dot1x功能【注意关闭MAC-AUREN】[boss]dot1x enable interface Ethernet 0/0/1 to 0/0/7[boss]dot1x port-method port interface Ethernet 0/0/1 to 0/0/7
(3)定义认证失败的VLAN[boss]authentication guest-vlan 40 interface Ethernet 0/0/1 to 0/0/7说明:当用户没用通过后,就划入到对应的VLAN 40里面,我们可以对VLAN 40做策略,只允许访问Internet。
(4)定义本地用户[boss]aaa[boss-aaa]local-user test password cipher test[boss-aaa]local-user test service-type 8021x
(5)开启重新认证功能[boss]dot1x reauthenticate interface Ethernet 0/0/1 to 0/0/7[boss]dot1x timer reauthenticate-period 60 :这里定义重新认证功能为1分钟,这里为了实现实验效果,平时可以定义的久点。可以解决当用户失败后不需要一直处于Guest VLAN中,可以进行重新认证。

(6)客户开启dot1x功能【测试】

开启该功能

特意认证失败【密码输入错误】

可以看到获取到VLAN 40的地址池了。

这里当一分钟过后,即可重新认证,输入正确的密码

已经正确获取到地址了,

访问内网没任何问题,外网也是没问题的。

(7)为什么可以杜绝接入无线AP或者路由器。

说明:因为对于每个接口都是需要用户名密码通过的,平时一些杜绝技术,比如端口安全,只能限制一个MAC地址通过,但是现在的路由器什么的 都可以直接克隆MAC地址的。

另外,路由器默认开启了NAT,所以从内部所有的流量都转换到WAN口的,也就是同一个IP地址,固定的MAC地址,所以端口安全 或者其他技术都杜绝不了,当dot1x的功能的话,目前路由器这些还不支持,所以这次可以拒绝。

(8)总结

说明:部署dot1x也是根据需求来决定,如果需要详细的控制内部用户访问,在登陆的时候需要用户名认证,或者其他认证,都可以进行。

复制代码
[boss]aaa[boss-aaa]local-user test access-limit 1

该功能可以实现,一个帐号只允许一在线。

2 使用Radius进行认证【外边数据库或者是AD】

说明:在有时候,在某些数据库中有用户名了,比如AD环境,可以利用本身有的用户数据可以直接调用访问。

(1)AD与IAS安装

说明:这部分就不截图演示了,具体的可以参考dot1x项目那块,有详细的讲解【其他案例课程中】

(2)在交换机上面定义Radius服务器

Radius服务器定义

复制代码
[boss]radius-server template dot1x[boss-radius-dot1x]radius-server authentication 192.168.2.253 1812[boss-radius-dot1x]radius-server shared-key simple test[boss-radius-dot1x]undo radius-server user-name domain-included

说明:定义了一个Radius服务,包括服务器地址,密钥,最后一句话可以后续在分析。

(3)定义认证模板​​​​​​​

复制代码
[boss]aaa[boss-aaa]authentication-scheme dot1x[boss-aaa-authen-dot1x]authentication-mode radius local

(4)关联域

可以看到AD的域是ccieh3c.taobao.com,那么我们可以定义这样一个域名。​​​​​​

复制代码
[boss]aaa[boss-aaa]domain ccieh3c.taobao.com[boss-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x[boss-aaa-domain-ccieh3c.taobao.com]radius-server dot1x

说明:定义了一个域,然后关联了认证策略与Radius服务器,该功能的意思就是,当匹配该域的时候,就按下面的策略进行认证,交给Radius服务器。

(5)定义AAA 客户端与默认策略

该策略用来测试用的,而下面这个用来做MD5认证用的。

(6)测试AAA服务器是否正常

有错误的日志。

可以看到提示说Windows默认不支持CHAP方式存储密码,不可逆的,所以我们必须允许该策略。

在IAS服务器中刷新下组策略,也可以重启下。

可以看到现在已经OK了,但是注意的是可以看到在test的时候我们加了域名,之前定义的Domain,比如 test@ccieh3c.taobao.com

已经成功了。

undo radius-server user-name domain-included 这句话的意思是,当用户输入test@ccieh3c.taobao.com,匹配上Domain,那么就会用该Domain下的认证策略进行策略,也就是用Radius服务器上面的。另外在发送给Radius服务器的时候,会去掉@后面的ccieh3c.taobao.com,直接发送test给IAS服务器,这个功能适合与独立服务器,也适合域的服务器。

(7)用户测试

可以看到有对应的用户名信息了。

(8)定于默认Domain

boss\]domain ccieh3c.taobao.com 说明:定义为默认域的作用是,如果用户直接用test的访问,那么这样的话,就自动调用ccieh3c.taobao.com下。 (9)如果是MAC认证调用Radius认证。 说明:如果使用MAC地址开始认证的话,则可以定义 ![图片](https://i-blog.csdnimg.cn/img_convert/974c7ad4ec508b4889ffa6bf1a0744fa.png) 注意需要关闭密码安全性策略功能,否则不能定义用户名与密码一样的。另外还需要允许策略 ![图片](https://i-blog.csdnimg.cn/img_convert/c33e2e6e348fc785cc8db25ceb0102fe.png) 关闭即可。 \[boss\]mac-authen domain ccieh3c.taobao.com :这里还需要定义从该域认证 (10)MAC测试 ![图片](https://i-blog.csdnimg.cn/img_convert/25ca4f3e1d5012987972b7986833c103.png) 已经通过了 ![图片](https://i-blog.csdnimg.cn/img_convert/7cfe73684bfe759cd2d115bbbdbaaaa8.png)

相关推荐
诗句藏于尽头26 分钟前
完成ssl不安全警告
网络协议·安全·ssl
snoopyfly~5 小时前
Ubuntu 24.04 LTS 服务器配置:安装 JDK、Nginx、Redis。
java·服务器·ubuntu
独行soc5 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘6 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)7 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全
Whoisshutiao7 小时前
网安-XSS-pikachu
前端·安全·网络安全
还是奇怪8 小时前
Linux - 安全排查 2
linux·运维·安全
牛奶咖啡138 小时前
Linux系统的常用操作命令——文件远程传输、文件编辑、软件安装的四种方式
运维·服务器·软件安装·linux云计算·scp文件远程传输·vi文件编辑·设置yum的阿里云源
weixin_437398218 小时前
转Go学习笔记(2)进阶
服务器·笔记·后端·学习·架构·golang
tan77º10 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp