Описание

Профилирование - это процесс, выполняющий классификацию эндпоинтов на основании определенных критериев и назначение политики профилирования и группы эндпоинта. Результаты профилирования можно использовать в логических условиях политик авторизации, что позволяет гибко управлять подключающимися клиентами и обнаружить изменение эндпоинта даже если его MAC-адрес остался прежним.

Поддерживаемые типы профилирования:

Принципы работы

Добавление эндпоинтов

Для выполнения профилирования необходимо, что бы эндпоинт был добавлен в систему. Добавление эндпоинта выполняется в автоматическом и ручном режиме. В автоматическом режиме эндпоинт добавляется при подключении пользователя с использованием любого способа аутентификации (EAP-PEAP, MS-CHAPv2, PAP, MAB). Эндпоинт добавляется используя значение поля "Calling-Station-Id" в RADIUS-запросе. Если MAC-адрес уже присутствует в БД - то для него будет обновлено значение "Имя пользователя", если оно изменилось. У автоматически добавленных эндпоинтов в поле "Описание" будет заполнено значение "Discovered Endpoint". В результате выполнения профилирования эндпоинту могут быть изменены атрибуты: "Политика профилирования" и "Группа эндпоинта".  Если эндпоинт не попал ни под одну политику профилирования - применяется политика профилирования по умолчанию "Unknown" и назначается группа эндпоинта по умолчанию "Unknown". Так же имеется возможность вручную задать эти значения, после чего они уже не смогут быть изменены по результатам профилирования.

В ручном режиме добавление эндпоинта выполняет администратор. В этом случае он так же может задать или не задавать ручное назначение "Политики профилирования" или "Группы эндпоинта" - в зависимости от этого профилирование будет или не будет выполнено на основании имеющихся данных. Так же может использоваться любое значение MAC-адреса, в том числе относящееся к случайно сгенерированным.

Добавление условий профилирования, политик профилирования и логических профилей

Настройка профилирования выполняется в разделе "Политика → Профилирование" и включает в себя следующие стадии:

• Добавление условий профилирования на соответствующей странице - они являются основным "строительным" элементом для политик профилирования.
• Добавление политик профилирования - при создании политик профилирования в них необходимо использовать ранее настроенные условия профилирования. Политики профилирования являются основным элементом профилирования, который назначается эндпоинту в результате профилирования и определяет в какую группу он будет помещен. Результаты профилирования могут использоваться в политиках авторизации. Существуют корневые и дочерние политик профилирования. Для политики профилирования по умолчанию "Unknown" нельзя создавать дочерние политики.
• Создание логических профилей - логические профили используются в настройках условий политик авторизации и могут включать в себя несколько политик, группируя их по определенному признаку, что позволяет упростить конфигурацию политик авторизации.

По умолчанию в системе нет настроенных условий профилирования и логических условий. Есть политика профилирования по умолчанию "Unknown", которая не может быть удалена или изменена, в соответствие с которой будут классифицированы все эндпоинты не попавшие ни под одну другую политику и помещены в группу эндпоинтов "Unknown". 

Так же по умолчанию присутствуют две системные группы эндпоинтов:

• "Unknown" - в группу помещаются эндпоинты, для которых была определена политика профилирования "Unknown".
• "Profiled" - предназначена для помещения эндпоинтов, которые были профилированы вручную добавленными политиками профилирования, в которых включено "Использовать общую группу Profiled" .

Подробная настройка профилирования будет рассмотрена далее.

Выполнение профилирования

Профилирование эндпоинта выполняется:

• при добавлении/автодобавлении эндпоинта;
• при получении новых значений DHCP проб для эндпоинта;
• при выполнении администратором команды "Запустить процесс перепрофилирования" для выбранных эндпоинтов.

Порядок выполнения профилирования:

• поиск подходящего условия профилирования;
• поиск политики, в которой используется условие профилирования;
• назначение политики профилирования и группы в соответствие с настройками политики профилирования.

Типы профилирования:

• MAC OUI - профилирование на основе наименования вендора оборудования. Профилирование по данному условию выполняется только при добавлении эндпоинта. Для повторного выполнения требуется надо выполнить запустить повторное профилирование вручную или удалить эндпоинт и дождаться его появления. Не требует дополнительных настроек оборудования.
• DHCP - профилирование на основании определенных опций DHCP. Требует настройки DHCP-relay на IP-адрес NAICE для сбора проб в ходе получения клиентами IP-адресов на сетевом оборудовании.

Настройка

Настройка профилирования будет рассмотрена на примере MAB аутентификации IP-телефона Eltex VP-12. Для корректной работы DHCP профилирования требуется, чтобы после успешной или не успешной авторизации эндпоинта его DHCP-запросы перенаправлялись в систему. Для этого на коммутаторе потребуется включить функцию гостевого VLAN, в который будут попадать не авторизованные эндпоинты. Далее приведена схема включения тестового стенда:

В приведенной выше схеме используется гостевой VLAN для неавторизованных эндпоинтов и отдельный VLAN для эндпоинтов прошедших авторизацию. В каждом из этих VLAN настроен DHCP-relay в сторону NAICE, чтобы иметь возможность собирать DHCP пробы.

Настройка коммутатора

Далее приведен пример настроек коммутатора Eltex модели MES2324P. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.

В примере используются:

Создать VLAN-ы для обеспечения связности и подключения клиентов:

vlan database
 vlan 100,200,300
exit

Настроить и включить DHCP-relay, добавить интерфейсы и включить на них DHCP-relay:

ip dhcp relay address 192.168.0.2 
ip dhcp relay address 192.168.0.254  
ip dhcp relay enable

interface vlan 100
 ip address 10.0.0.1 /24
 ip dhcp relay enable
exit
!
interface vlan 200
 ip address 172.16.0.1 /24
 ip dhcp relay enable
exit
!
interface vlan 300
 ip address 192.168.0.3 /24
exit

Включить гостевой VLAN:

interface vlan 100
 dot1x guest-vlan 
exit

Включить глобально авторизацию dot1x, добавить конфигурацию RADIUS сервера, включить глобально авторизацию dot1x:

dot1x system-auth-control

radius-server host 192.168.0.2 key testing123 priority 1 usage dot1x

Настроить интерфейсы gi1/0/1, gi1/0/2, gi1/0/1  в сторону сети предприятия, NAICE и DHCP-сервера:

interface gigabitethernet1/0/1
 switchport mode access 
 switchport access vlan 300
exit

interface gigabitethernet1/0/2
 switchport mode access 
 switchport access vlan 300
exit

interface gigabitethernet1/0/3
 switchport mode access 
 switchport access vlan 300 
exit

Настроить интерфейс gi1/0/4 для подключения эндпоинта:

interface gigabitethernet1/0/9 
 dot1x guest-vlan enable 
 dot1x reauthentication 
 dot1x timeout reauth-period 300 
 dot1x authentication mac 
 dot1x port-control auto
 switchport mode access 
 switchport access vlan 200
exit 

Настройка NAICE

Настройка профилирования

Настройка профилирования выполняется в разделе меню "Политика → Профилирование". Меню открывается нажатием  в верхнем левом углу:

Настройка профилирования включает в себя следующие этапы:

• Создание условий профилирования.
• Создание политики профилирования с использованием созданных условий.
• Включение политики профилирования в логические профили.

Создание условий профилирования

Перейти в раздел "Политика → Профилирование → Условия профилирования" и добавить условие профилирования:

Настроить:

• "Имя" - наименование правила. Рекомендуется в наименовании использовать название профилируемого эндпоинта и признак по которому выполняется профилирование.
• "Описание" - произвольное описание.
• "Условие" - настроить условие профилирования:
  • "Атрибут" - атрибут, значение которого будет проверятся.
  • "Оператор" - оператор, который будет использоваться для сравнения значения.
  • "Значение" - значение, которое будет сравниваться с использованием оператора с атрибутом, который будет получен в DHCP пробе.

[VENDOR:Eltex][DEVICE:VP-12][HW:1.5][SN:VI51000313][WAN:A8:F9:4B:2F:06:7C][LAN:02:20:80:A8:F9:4B][VERSION:2.7.6.34]

Создать ещё одно условие с использованием атрибута MAC OUI:

В данном условии выполняется проверка соответствия принадлежности MAC-адреса диапазону адресов, выданных компании ЭЛТЕКС.

Создание политики профилирования

Политики профилирования являются основным элементом, обеспечивающим настройку и определяющим профиль эндпоинта:

• политику профилирования, назначаемую эндпоинту;
• группу эндпоинта.

По умолчанию существует одна политика "Unknown",  которую нельзя отредактировать или удалить. Без настройки дополнительных политик все эндпоинты будут профилированы по ней и помещены в группу  эндпоинтов "Unknown". Могут быть как корневые, так и дочерние по отношению к корневой (для политики по умолчанию "Unknown" создать дочерние нельзя).

Для добавления политики требуется перейти в раздел "Политика → Профилирование → Политика профилирования" и добавить политику:

Настроить:

• "Статус" - включено, значение по умолчанию. При необходимости политику можно отключить и она перестанет использоваться в процессе профилирования (а так же все её дочерние политики).
• "Имя" - наименование политики, рекомендуется использовать имя, которое будет коррелировать с назначением политики. 
• "Родительская политика" - ничего не выбирать, т. к. создается корневая политика.
• "Минимальный уровень доверия" - минимальный порог суммы значений уровня доверия правил, которым удовлетворяют результаты профилирования эндпоинта.
• "Группировка эндпоинтов" - определяет в какую группу будет помещаться эндпоинт:
  • "Использовать общую группу Profiled" - выбрано по умолчанию при создании корневой политики. В этом случае профилированные по этой политике эндпоинты будут помещены в системную группу эндпоинтов "Profiled".
  • "Создать группу эндпоинтов" - при создании политики будет создана группа эндпоинтов с её именем, профилированные по этой политике эндпоинты будут помещены в эту группу. Выбираем данную настройку.
• "Правила" - представляет собой список ранее заданных условий профилирования и соответствующий им уровень доверия. Добавляем два ранее добавленных условия профилирования:
  • "Условие" - выбирать условие профилирования (есть фильтр по имени условия).
  • "Действие" - всегда задается специальное действие "Повышение уровня доверия", изменить нельзя.
  • "Значение" - условное значение доверия, которое добавляется при срабатывании правила.
  •  - добавить новое правило.

Нажать кнопку "Сохранить".

Принцип работы уровня доверия

Как видно на примере настроенной выше политики профилирования, каждая политика может содержать множество правил с условиями профилирования. При выполнении профилирования эндпоинта выполняются следующие действия:

• В рамках политики начинается проверка соответствие критериев условия и имеющимся данным по эндпоинту:
• для условия профилирования по MAC OUI выполняется определение наименование вендора по MAC и указанного значения в настройках (в соответствие с выбранным оператором). В случае успешной проверки эндпоинт получает уровень доверия 10.
• для условия профилирования по DHCP проверяется наличие пробы DHCP и соответствие ее выбранному условию. В случае успешной проверки уровень доверия к эндпоинту повышается на 10 пунктов, что в сумме с предыдущей проверкой дает 20.
• Полученный уровень доверия эндпоинта сравнивается минимальным уровнем доверия, указанным в настройках политики профилирования.
• Если минимальный уровень доверия политики меньше или равен уровню доверия, полученному в результате проверки эндпоинта - считается что эндпоинт соответствует данной политике и ему назначается данная политика и указанная в её настройках группа эндпоинтов.
• Если у политики профилирования, которой соответствует эндпоинт есть дочерние политики - будет выполнена проверка соответствия эндпоинта этим политикам, если среди них не найдется подходящей - эндпоинт считается соответствующим родительской политике.

Ограничения политик профилирования

Существуют следующие ограничения, которые необходимо учитывать при настройке политик профилирования:

• Не допускается настройка на одном уровне дерева нескольких политик, которым может соответствовать эндпоинт, т. к. ему может быть назначена только одна.
• В рамках одной политики профилирования минимальный уровень доверия не может быть больше (но может быть меньше или равен), чем сумма всех уровней доверия, указанных в ее правилах.
• Уровни доверия считаются в рамках одной политики. Никакие значения из правил других политики не учитываются!
• При отключении политики так же перестают использоваться для профилирования ее дочерние политики, даже если они включены.
• Политика по умолчанию "Unknown" не может быть удалена или изменена. Для нее не могут быть созданы дочерние политики.
• Если эндпоинт не удовлетворяет требованиям ни одной настроенной политики - он считается соответствующим политике "Unknown".
• Если эндпоинту назначены вручную политика профилирования или группа эндпоинта - соответствующая настройка не может быть изменена по результатам профилирования. Для возобновления автоматического профилирования потребуется отключить "Ручное назначение политики" или "Ручное назначение группы".

Создание логического профиля

Логические профили предназначены для группировки политик профилирования по определенным признакам и сократить количество настраиваемых политик авторизации. Например все политики профилирования IP-телефонов разных типов можно поместить в один логический профиль и использовать его в условии политики авторизации.

В разделе "Политика → Профилирование → Логические профили" создать логический профиль:

Настроить:

• "Имя" - наименование логического профиля. Следует использовать наименование коррелирующие с назначением логического профиля.
• "Политики профилирования" - добавить ранее созданную политику профилирования. 

Нажать кнопку "Сохранить".

Создание цепочки идентификации для подключения эндпоинтов при выполнении MAB аутентификации

В разделе "Администрирование → Управление идентификацией → Цепочки идентификаций" создать:

Настроить:

• "Наименование" - наименование цепочки идентификации.
• "Список источников аутентификации" - выбрать в "Используемые" источник "Endpoints". Данный источник отвечает за аутентификацию эндпоинтов при выполнении MAB.

Нажать "Добавить".

Настройка профиля сетевого устройства

В разделе "Администрирование → Сетевые ресурсы → Профили устройств" создать профиль:

Настроить:

• "Наименование" - наименование профиля сетевого устройства.
• "Производитель" - наименование вендора оборудования, для которого создается профиль.
• "Поддерживаемые протоколы" - убедиться что включен "RADIUS".

• "Wired MAB будет обнаружен при следующих условиях" - включить, по умолчанию будет предложена настройка:

  RADIUS:NAS-Port-Type = Ethernet
  RADIUS:Service-Type = Call-Check

• "Настроить MAB" - включить, разрешает использование MAB при авторизации сетевом устройстве которому будет назначен данный профиль.
• "PAP" - включить, разрешает использовать протокол PAP в ходе аутентификации. Будет предложено дефолтное условие: "INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name".
• "Проверять совпадение Calling-Station-Id и MAC адреса" - включить, будет выполнятся проверка соответствия значения MAC-адреса эндпоинта в атрибуте "Calling-Station-Id" и "User-Name".

Нажать кнопку "Сохранить".

Добавление сетевого устройства

В разделе "Администрирование → Сетевые ресурсы → Устройства" добавить сетевое устройство:

Настроить:

• "Наименование"  - название устройства.
• "Профиль" - выбрать ранее настроенный профиль устройства.
• "IPv4" - указать адрес сетевого устройства.
• "Секретный ключ" - секретный ключ для взаимодействия по протоколу RADIUS (в данном примере "testing123" ).

Нажать кнопку "Сохранить".

Добавление протокола аутентификации

В существующем по умолчанию списке доступных протоколов "Default protocols" процесс MAB отключен. Его можно включить или создать новый. В рамках данного примера будет создан новый список доступных протоколов. Для этого надо перейти в раздел "Политика → Элементы → Результаты → Доступные протоколы" и добавить новый список:

Настроить:

• "Наименование сервиса" - наименование списка доступных протоколов.
• "MAC Authentication Bypass (MAB)" - включить селектор.

Нажать кнопку "Добавить".

Добавление профиля авторизации

Учитывая настройки порта коммутатора, в случае успешной авторизации трафик эндпоинта будет попадать в VLAN 200, а при не успешной - в гостевой VLAN 100.

Для авторизации эндпоинтов требуется настроить профиль авторизации. Настройка выполняется в разделе "Политика → Элементы → Результаты → Профили авторизации".

Добавить профиль:

В данном профиле настроить:

• "Имя" - наименование профиля.
• "Профиль" - выбрать ранее настроенный профиль сетевого устройства "MAB_auth".
• Нажать кнопку "Добавить".

Добавить профиль для авторизации эндпоинта в нужном VLAN после выполнения профилирования:

Добавления и настройка политики

Учитывая гибкие возможности по настройке политик в Eltex-NAICE процесс MAB аутентификации может быть настроен различными способами. В рамках данного примера приведена простейшая схема настройки.

Добавление политики

В разделе "Политика → Наборы политик" добавить политику:

Настроить:

• "Имя" - наименование политики.
• "Условия" - использовать библиотечное условие "Wired_MAB". По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения "WiredMAB".
• "Доступные протоколы" - использовать ранее настроенный список протоколов "MAB".

Нажать кнопку "Сохранить".

Добавление политики аутентификации

Перейти в настройки ранее добавленной политики нажав кнопку справа от политики и добавить правило аутентификации:

Настроить:

• "Имя" - наименование политики аутентифкации.
• "Условия" - использовать библиотечное условие "Wired_MAB". По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения "WiredMAB".
• "Использовать" - выбрать ранее добавленную цепочку идентификации "Endpoints".

Нажать кнопку "Сохранить".

Добавление политик авторизации

Перейти в настройки ранее добавленной политики нажав кнопку справа от политики и добавить правило авторизации:

Добавить правило авторизации для подключения эндпоинтов, которые были профилированы  в соответствие с политикой "Eltex VP-12", которая относится к логическому профилю "IP телефоны":

• "Имя" - наименование политики авторизации.
• "Условия" - использовать библиотечное условие "Wired_MAB" вместе с условием, которое проверяет, что логический профиль эндпоинта "IP телефоны".
• "Профили" - выбрать ранее добавленный профиль авторизации "IP телефония" в соответствие с котором эндпоинту назначается VLAN 200.

Нажать кнопку "Сохранить".

Проверка работы профилирования

После выполнения настройки подключить IP телефон к коммутатору.  Ему будет отказано в авторизации, но на странице мониторинга, в разделе "Мониторинг → RADIUS" появится информация о его попытке подключения:

Так же после попытки подключения эндпоинт будет добавлен в список эндпоинтов. Его можно найти на странице "Администрирование → Управление идентификацией → Эндпоинты". При просмотре детальной информации об эндпоинте видно, что он пока находится в группе "Unknown" и ему назначена политика "Unknown":

После подключения эндпоинта и попытки получить адрес во вкладке "Пробы" можно увидеть пробы, полученные из DHCP запроса эндпоинта:

Сразу после получения DHCP проб будет выполнено перепрофилирование и во вкладке "Атрибуты":

Будут отображаться  политика и группа назначенные в результате профилирования. 

При последующей попытке подключения эндпоинт будет авторизован в соответствии с логическим профилем, в разделе "Мониторинг → RADIUS" появится информация о его успешном подключении:

Так же можно увидеть увидеть информацию о текущем подключении на коммутаторе:

sw1#show dot1x users 

                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/9  a8f94b2f067c     a8:f9:4b:2f:06:7c MAC    Remote 00:01:24  

Решение проблем

При попытке подключения эндпоинта в разделе "Мониторинг → RADIUS" не появляется информация о сессии, эндпоинт не изучается. 

• В настройках сетевого устройства на странице "Администрирование → Сетевые ресурсы → Устройства" проверить корректность указания IP-адреса сетевого устройства, секретного ключа.

  Если в настройках сетевого устройства был неверно указан секретный ключ и выполнялись попытки авторизации с данного устройтва - после исправления секретного ключа требуется перезапустить контейнер naice-radius. Для этого надо зайти на сервер по SSH, перейти в папку с файлом конфигурации docker compose, по умолчанию "/etc/docker-naice":

  cd /etc/docker-naice

  и выполнить перезапуск:

  sudo docker compose stop naice-radius && sudo docker compose up -d naice-radius

• Со стороны сетевого устройства проверить корректность настроек взаимодействия с RADIUS-сервером.
• Проверить наличие IP связности между сетевым устройством и сервером с NAICE.
• Проверить доступность с сетевого устройства порта RADIUS AUTH 1812:UDP.
• Проверить на сервере с NAICE, что все докер контейнеры запущены.

При попытке подключения эндпоинта профилирования не выполняется, вкладка "Пробы" при просмотре "Подробнее" на странице "Администрирование → Управление идентификацией → Эндпоинты" не содержит данных.

• Проверить корректность настройки DHCP-relay на коммутаторе, корректность указания адреса сервера с NAICE.
• Проверить доступность с сетевого устройства порта DHCP сервера 67:UDP.
• Проверить на сервере с NAICE, что все докер контейнеры запущены.

При попытке подключения эндпоинта профилирование не выполняется, на вкладке "Атрибуты" при просмотре "Подробнее" на странице "Администрирование → Управление идентификацией → Эндпоинты" остается политика и группа "Unknown", при этом вкладка "Пробы" содержит информацию об обнаруженных пробах клиента.

• Проверить что у эндпоинта не включено ручное назначение политики профилирования и группы эндпоинта.
• На странице "Политика → Профилирование → Условия профилирования" проверить корректность условий профилирования:
  • убедиться что условии используется нужный атрибут, что он не перепутан;
  • убедиться значение, с которым сравнивается атрибут корректно и относится именно к этому атрибуту;
  • Особенно обратить внимание на корректность выбора оператора - например что используется "Содержит", когда заданное значение является частью полного значения в атрибуте и убедится что выполнение условия с заданным оператором возможно.
• На странице "Политика → Профилирование → Политики профилирования" проверить корректность настройки политики профилирования: выбранные условия профилирования соответствуют ожидаемым от профилируемого эндпоинта.

При попытке подключения эндпоинта профилирование выполняется, но эндпоинт не попадает под нужную политику в списке политик.

• На странице "Политика → Наборы политик" проверить:
  • корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику;
  • что условие не отключено;
  • что перед требуемой политикой нет других политик, под обработку которых может попасть попытка подключения эндпоинта;
  • для какого набора политик увеличился счетчик количества срабатываний при попытке подключения;
• На странице "Мониторинг → RADIUS" открыть "Подробнее" проблемного подключения и обратить внимание:
  • какой определился "Authentication method" (и определился ли вообще), соответствует ли он ожидаемому. При несовпадении проверить корректность настройки "Условия определения типа подключения" в профиле сетевого устройства, который назначен сетевому устройству.

При попытке подключения эндпоинт попадает в требуемую политику, но не проходит аутентификацию.

На странице "Политика → Наборы политик" перейти в настройку политики (кнопкой  справа он политики ) и проверить:

• корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику аутентификации;
• правильность выбранной цепочки идентификаций;
• на странице настройки "Администрирование → Управление идентификацией → Цепочки идентификаций" открыть целевую цепочку идентификаций и убедиться что в ней выбран нужный источник идентификации (для MAB аутентификации "Endpoints").

При попытке подключения эндпоинт попадает в требуемую политику, проходит аутентификацию, но не проходит авторизацию.

На странице "Политика → Наборы политик" перейти в настройку политики (кнопкой  справа он политики ) и проверить:

• корректность настройки условия, по которому эндпоинт должен попадать в требуемую политику авторизации, особенно уделить внимание:
  • если используется атрибут "Endpoint identity-Endpoint Group": корректно ли выбрана группа в значении, находится ли в ней эндпоинт.
  • если используется атрибут "Endpoint identity·Logical Profile": корректно ли выбрано наименование логического профиля в значении, а так же перейти в логический профиль и убедится, что в нем добавлена необходимая политика профилирования и она соответствует политике профилирования назначенной эндпоинту.
  • уделить внимание корректности выбора оператора сравнения.
• Корректность выбора профиля авторизации: нужный профиль авторизации добавлен, профиль сетевого устройства указанный в профиле авторизации соответствует ему в настройках сетевого устройства (т. е. что выбран одинаковый профиль).

Подключение эндпоинта неудачно, в "Failure reason" есть причины вида: "MAB process is disabled", "No suitable MAB relations found", "Auth protocol not allowed".

• В настройках профиля сетевого устройства, который назначен сетевому устройству проверить, что включен "Настроить MAB" и включен корректный протокол (для коммутаторов MES "PAP").
• В списке доступных протоколов, которые используются в настройке политики проверить что включен  доступный протокол "MAC Authentication Bypass (MAB)".