Описание
Captive Portal используется для реализации политики безопасности, посредством проверки соответствия устройств и пользователей требованиям безопасности до предоставления доступа к корпоративной сети. С помощью Captive Portal гостевые и временные пользователи могут воспользоваться упрощенным процессом регистрации и получить ограниченный доступ к сетевым ресурсам.
Диаграмма портальной авторизации на ТД, подключенной через контроллер WLC:
В общем случае клиент проходит следующие шаги в ходе выполнения портальной авторизации:
- Подключается к ТД.
- ТД выполняет MAB аутентификацию устройства пользователя.
- WLC выполняет проксирование RADIUS запроса авторизации, что бы со стороны NAICE выглядело как подключение со стороны одного устройства (WLC).
- RADIUS-запрос приходит в NAICE и он в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД.
- Т.к. подключение происходит в первый раз - эндпоинт не найден, вместе с ответом Access-Accept возвращаются параметры с адресом портала для редиректа и ACL со списком разрешенных ресурсов, в которые должен быть включен адрес портала на адрес WLC.
- WLC проксирует ответ на ТД, от которой был получен запрос.
- Клиент получает IP-адрес и пытается получить доступ в Интернет. В ответ ТД начинает возвращать редирект со ссылкой на портал.
- Пользовательское устройство получая ссылку редиректа открывает всплывающий браузер и открывает страницу портальной авторизации.
- Успешно пройдя портальную авторизацию (по логину/паролю или с регистрацией и подтверждением номера по СМС) для устройства клиента добавляется запись о гостевом эндпоинте, содержащая мак-адрес клиента.
- После успешной авторизации на портале на WLC отправляется запрос CoA re-authenticate.
- WLC перенаправляет данный запрос на ТД.
- ТД выполняет повторную ре-аутентификацию устройства пользователя с использованием MAB аутентификации.
- NAICE, повторно получив запрос, в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД.
- Т.к. ранее пользователь прошел регистрацию на портале - гостевой эндпоинт в БД есть. На ТД отправляется Access-Accept и пользователь получает доступ в сеть.
Требования
- Eltex WLC не ниже версии 1.30.6
- Cisco WLC не ниже версии 17.15.2
- Eltex AP не ниже версии 2.8.0 с моделью из списка: WEP-30L,WEP-30L-Z,WEP-30L-NB,WOP-30L,WOP-30LI,WOP-30LS.
Настройка контроллера
Далее приведен приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L(2.8.0). Предполагается что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером NAICE. Руководство по обновлению ПО Eltex WLC-30 можно найти по ссылке. Полностью ознакомится с документацией по настройке контроллера можно на официальном сайте компании https://eltex-co.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по ссылке.
Настройка конфигурации контроллера
Добавить NAICE, как радиус сервер, и настроить проксирование RADIUS-запросов от ТД на него. Так же требуется настроить проксирование CoA запросов со стороны NAICE на ТД через WLC:
radius-server local
nas AP_subnet # Подсеть ТД, на которые будет выполняться проксирование CoA-запросов
key ascii-text testing123
network 192.168.1.0/24
exit
nas naice
key ascii-text testing123
network 100.110.3.124/32 # Адрес NAICE, для которого будет выполняться проксирование CoA-запросов на ТД
exit
virtual-server default
mode proxy
upstream-pool naice
das-server enable
nas-ip-address 100.127.0.136 # Адрес WLC, который будет заменять в поле NAS-IP-Address адрес ТД при выполнении проксирования RADIUS-запросов
enable
exit
upstream-server naice
host 100.110.3.124 # Адрес NAICE, на который выполняется проксирование RADIUS-запросов от ТД
server-type all
key ascii-text testing123
exit
upstream-pool naice
server-type all
upstream-server naice
exit
enable
exit
Создать ACL с тем же именем, которое было указано при настройке профиля авторизации в NAICE:
ip access-list extended test-acl
rule 1
action permit
match destination-address 100.110.3.124 255.255.255.255 # Адрес NAICE
enable
exit
rule 2
action permit
match protocol udp
match destination-port port-range 53
enable
exit
rule 3
action permit
match protocol udp
match source-port port-range 68
match destination-port port-range 67
enable
exit
exit
В настройке WLC настроить профиль SSID, включить портальную авторизацию, создать профиль для портала, включить das-server на ТД и в настройках RADIUS профиля указать настройку, чтобы MAC-адрес пользователя подставлялся в пароль:
wlc
outside-address 192.168.1.1 # Адрес WLC для точек доступа
service-activator
aps join auto
exit
ap-location default-location
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
exit
ssid-profile default-ssid
ssid "default-ssid"
radius-profile default-radius
portal-enable
portal-profile default-portal
vlan-id 3
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text password
services
das-server enable
das-server key ascii-text testing123
exit
ipv4-acl test-acl
exit
portal-profile default-portal
preauth-filter-mode acl
disconnect-on-reject
verification-mode external-portal
exit
radius-profile default-radius
auth-address 192.168.1.1 # Адрес WLC во влане точек. Необходимо указать его, как адрес RADIUS-сервера для ТД.
# Иначе WLC не сможет выполнять проксирование и подмену NAS-IP при отправке RADIUS-запроса к NAICE.
auth-password ascii-text testing123
session password mac
auth-acct-id-send # Данная настройка является критичной, так как уникальность сессии определяется по атрибуту Acct-Session-Id
acct-enable
acct-address 192.168.1.1
acct-password ascii-text testing123
acct-periodic
domain default
exit
enable
exit
Добавить правила firewall:
object-group service das
port-range 1700
exit
security zone-pair untrusted self
rule 2
action permit
match protocol udp
match destination-port object-group radius_auth # Разрешить UDP трафик для RADIUS-аутентификации
enable
exit
rule 3
action permit
match protocol udp
match destination-port object-group das # Разрешить UDP трафик для CoA-запросов
enable
exit
rule 4
action permit
match protocol tcp
match destination-port object-group ssh # Разрешить подключение по SSH
enable
exit
rule 5
action permit
match protocol icmp
enable
exit
exit
Настройка точки доступа
В заводской конфигурации WLC-30 предусмотрено автоматическое подключение точек доступа к контроллеру. Для этого требуется подключить точку доступа в порт gi1/0/2 и контроллер WLC сам выполнит обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере, выполнит конфигурирование в соответствие с настройками: выбранными профилями конфигурации и SSID. Инструкцию по загрузке актуальной версии ПО точек доступа на контроллер можно найти по ссылке.
Настройка NAICE
Подробная информация о настройках для каждого раздела содержится во встроенной документации, которую можно просмотреть, нажав кнопку 
внизу слева.
Для быстроты и удобства в NAICE реализованы дефолтные сущности для настройки портала , которые можно использовать, редактировать, или использовать свои. Разберем настройку на примере Eltex WLC.
Подготовка профиля устройства
Для взаимодействия с WLC в систему добавлен профиль устройства по умолчанию Eltex WLC
Перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств. Создать профиль устройства:
На вкладке Аутентификация/Авторизация настроить:
В блоке Условия определения типа подключения включить Wireless 802.1x и Wireless MAB. Использовать предложенные автозаполнением атрибуты.
В блоке MAB включить:
Настроить MAB- включить для возможности выполнения MAB-аутентификации.PAP- включить возможность аутентификации по протоколу PAP.Проверять совпадение Calling-Station-Id и MAC-адреса- включить проверку совпадение MAC-адреса в атрибуте User-Name и Calling-station-Id.Условие пароля- INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name.
Далее перейти на вкладку Настройки RADIUS CoA.
Включить:
- Устройство поддерживает RADIUS CoA - включить. Поддержка RADIUS CoA на устройстве критична для работы Captive Portal в NAICE;
- Порт RADIUS CoA - порт устройства, на который NAICE отправит CoA запрос. По умолчанию предполагается 1700 порт;
- Интервал ожидания - время в течение которого NAICE ожидает ответ от устройства;
- Количество повторных попыток - сколько раз NAICE попытается отправить запрос, если не получит ответ;
- Реаутентификация - условие RADIUS атрибутов, которые будут отправлены на устройство в момент перерегистрации клиента. По умолчанию значение:
Cisco:Cisco-AVPair = subscriber:command=reauthenticate.
Далее перейти на вкладку Настройки перенаправления на портал.
Включить:
- Настроить перенаправление - включить.
- URL - RADIUS атрибут в котором будет передаваться url перенаправления на портал и его значение. По умолчанию
Cisco:Cisco-AVPair = url-redirect=${URL} - ACL -RADIUS атрибут в котором будет передаваться named ACL для портала и его значение. По умолчанию
Cisco:Cisco-AVPair = url-redirect-acl=${ACL}
Нажать кнопку Добавить.
Настройка сетевого устройства
Перейти в раздел Администрирование → Сетевые ресурсы → Устройства. Добавить сетевое устройство:
Нажать Добавить.
Настройка протокола аутентификации MAB
Возможность аутентификации MAB по умолчанию отключена. Необходимо явно разрешить использовать MAB-аутентификацию. Это можно сделать в предустановленном списке доступных протоколов Default protocols или создать новый. В данном примере будет создан новый список.
Перейти в раздел Политики доступа → Элементы → Разрешенные протоколы и добавить новый список, или отредактировать существующий:
Настроить:
- Наименование сервиса - наименование списка доступных протоколов;
- MAC Authentication Bypass (MAB) - включить селектор.
Нажать кнопку Добавить.
Настройка цепочки идентификации
Перейти в раздел Администрирование → Управление идентификацией → Цепочки идентификации и добавить новую цепочку, или отредактировать существующую:
В цепочке обязательно необходимо добавить следующий источник идентификации:
- Guest endpoints - источник, куда добавляются все зарегистрированные на портале эндпоинты;
- Portal - источник, в который добавляются пользователи, прошедшие саморегистрацию на портале по номеру телефона и гостевые пользователи добавленные вручную.
Можно так же использовать источник идентификаций Internal DB и внешние источники идентификаций MS AD или LDAP.
Нажать кнопку Добавить.
Настройка портала
По умолчанию в NAICE добавлен один портал Default portal, который также можно использовать в настройках, отредактировать или удалить.
Для того чтобы в дальнейшем использовать портал в настройках профиля авторизации его необходимо создать.
Перейти в раздел Управление порталами → Конструктор порталов и добавить новый портал (или отредактировать существующий):
Для работы портала в режиме регистрации пользователей по СМС минимально необходимо заполнить следующие поля:
- Статус - включен;
- Имя - имя портала;
- Основной способ входа - выбрать СМС. Так же доступна авторизация по логину/паролю;
- СМС-шлюз - обозначает какой шлюз будет использован для отправки СМС в рамках портальной авторизации;
- Цепочка идентификации - цепочка которая будет использована для аутентификации клиента. Необходимо выбрать ранее настроенную цепочку;
- В поле СМС-шлюз выбрать Demo gateway. Это специально созданный шлюз, который позволяет проверить работу портала без настройки реальной интеграции.
Нажать Далее. Откроется окно редактирования внешнего вида портала:
На данной странице выполняется настройка внешнего вида портала и нет обязательных настроек.
Нажать Далее. Откроется окно редактирования страниц портала. На данной странице выполняется редактирование тестового наполнения страниц портала для выбранного языка и настройка шаблона СМС сообщений.
Данная страница не содержит обязательных полей и может использоваться со значениями по умолчанию.
Нажать Добавить.
Настройка профиля авторизации
По умолчанию в NAICE добавлен профиль авторизации Portal web redirect profile, который использует в своих настройках портал по умолчанию Default portal и имя ACL portal.
Для корректной работы портала так же необходимо дополнительно настроить профиль авторизации для клиентов, которые попадут на портал.
Перейти в раздел Политики → Элементы → Профили авторизации и добавить новый профиль, или отредактировать существующий:
Необходимо заполнить следующие поля:
- Имя - имя профиля авторизации;
- Тип доступа - ACCESS_ACCEPT;
- WebRedirection - отметить чекбокс, после чего выбрать ранее созданный портал и указать имя ACL, которая будет использоваться на сетевом устройстве при настройке портала.
ACL с аналогичным именем должна быть настроена на WLC и ТД, и разрешать получение IP-адреса, разрешение DNS запросов и доступ к порталу! В случае ошибок в настройке или имени ACL редирект на портал будет невозможен!
Нажать Добавить.
Настройка политики
Учитывая гибкие возможности по настройке политик в NAICE, процесс аутентификации с помощью Captive Portal может быть настроен с использованием различных условий. В данном примере приведена простейшая настройка.
Добавление и настройка политики
Перейти в раздел Наборы политик и добавить политику:
Настроить:
- Имя - наименование политики;
- Условия - использовать библиотечное условие Wireless_MAB. По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения WirelessMAB. При необходимости можно настроить другое условия вхождения в политику;
- Доступные протоколы - использовать ранее настроенный список протоколов
MAB.
Нажать кнопку Сохранить.
После этого новая политика будет добавлена в список.
После сохранения новой политики, в колонке Настройка справа станет доступна кнопка 
, по нажатию на которой будет выполнен переход в режим редактирования политики.
Настройка политики аутентификации
После перехода в режим редактирования ранее созданной политики MAB Auth в блоке Политика аутентификации:
Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации Portal sequence.
При необходимости можно создать новую политику аутентификации.
Настройка политики авторизации
Оставаясь в созданной ранее политике MAB Auth в блоке Политика авторизации добавить новые политики авторизации:
Добавить политику авторизации с условием «Guest endpoints·Registered guest Равно no», которое позволит авторизовываться ранее незарегистрированным клиентам и проходить авторизацию на портале. Для данного условия выбрать ранее созданный профиль авторизации Portal Profile.
Добавить политику авторизации с условием «Guest endpoints·Registered guest Равно no», которое позволит авторизовываться зарегистрированным клиентам без прохождения повторной авторизации на портале.
Проверка подключения с использованием демо шлюза
В рамках данного примера настройки для отправки СМС используется демо шлюз (Demo gateway). Данный шлюз предназначен для отладки и демонстрации работы функционала без использования реальной интеграции с СМС шлюзом и не может быть отредактирован или удален. Информация о коде отправленной СМС отображается в разделе Мониторинг → Система → Системные события.
Инструкция по настройке интеграции с СМС шлюзом описана v1.0_4.8.3 Пример интеграции с smsc.ru.
Подключиться к созданному SSID и дождаться редиректа на портал.
В открывшемся окне ввести номер телефона и капчу для получения смс-кода. Нажать Выслать код:
Перейти в раздел Мониторинг → Система → Системные события. В открывшейся таблице появится событие об отправке СМС через демо шлюз с кодом подтверждения:
Ввести полученный код на телефоне, после чего отобразится сообщение об успешной авторизации:
В раздел Мониторинг → RADIUS → Пользовательские сессии можно увидеть запросы авторизации пользователя:
Для подключения пользователя отображается две сессии:
- первое подключение, когда эндпоинт не был добавлен в список гостевых и был выполнен редирект пользователя на портал, в качестве логина в нём отображается MAC-адрес пользовательского устройства;
- второе подключение, когда эндпоинт был добавлен в список гостевых после успешной регистрации на портале и отправке на WLC CoA запроса reauthenticate.
Траблшутинг проблем во время портальной авторизации пользователя доступен по ссылке.