MAC authentication bypass (MAB) используется для аутентификации устройств (эндпоинтов), не поддерживающих протокол проверки подлинности 802.1x. Это могут быть сетевые принтеры, камеры, IP-телефоны и другие подобные устройства. MAB аутентификация основывается на MAC-адресе эндпоинта, который хочет получить доступ в сеть. Сетевое устройство (аутентификатор), к которому выполняется подключение, самостоятельно определяет MAC-адрес подключающегося эндпоинта и формирует RADIUS запрос для выполнения аутентификации.
Сетевое оборудование (аутентификатор), которое выполняет аутентификацию MAB, должно поддерживать:
Для работы функционала требуется настроить взаимодействие сетевого устройства с NAICE и включить MAC аутентификацию.
Далее приведен пример настройки коммутатора Eltex модели MES2300-24. Предполагается что на коммутаторе уже настроен IP-адрес и обеспечена сетевая связность с сервером NAICE. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.
dot1x system-auth-control radius-server host 100.110.2.202 key testing123 |
interface GigabitEthernet 1/0/1 dot1x authentication mac dot1x port-control auto |
Для каждой страницы можно просмотреть подробную информацию для всех настроек во встроенной документации. Для этого надо нажать на кнопку 
в левом боковом меню:
Страница встроенной документации откроется в отдельном окне.
Профиль сетевого устройства определяет возможные настройки сетевого оборудования для взаимодействия с NAICE и должен соответствовать реальным функциональным возможностям сетевого оборудования.
Для корректной работы MAB-аутентификации требуется обязательно корректно настроить обнаружение протокола подключения MAB! Если для сетевого оборудования не выполняется определение используемого протокола подключения MAB-аутентификация выполняться не будет! |
Настройка определения типа подключения выполняется в блоке Условия определения типа подключения. Минимально необходимо настроить определение типа подключения Wired MAB для проводных подключений или Wireless MAB для беспроводных подключений.
Настройка профиля устройства выполняется в разделе Администрирование → Сетевые ресурсы → Профили устройств. По умолчанию в данном разделе присутствует ряд предустановленных профилей. Далее для подключения будет использоваться существующий профиль Eltex MES. В данном профиле уже настроено определение типа подключения Wired MAB. Нажать на него и открыть настройки на редактирование:
В блоке MAB включить:
Настроить MAB - включить для возможности выполнения MAB-аутентификации.PAP - включить возможность аутентификации по протоколу PAP.Проверять совпадение Calling-Station-Id и MAC-адреса - включить проверку совпадение MAC-адреса в атрибуте User-Name и Calling-station-Id.Условие пароля - INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name.EAP-MD5 - включить возможность аутентификации по протоколу EAP-MD5.Проверять совпадение Calling-Station-Id и MAC-адреса - включить проверку совпадение MAC-адреса в атрибуте User-Name и Calling-station-Id.Проверка совпадения MAC-адреса в атрибуте User-Name и Calling-station-Id выполняется после приведения значений атрибутов к формату MAC, без учета регистра. Например: User-Name:aabbccddeeff и Calling-Station-Id:AA-BB-CC-DD-EE-FF считаются совпадающими значениями. |
Если в качестве пароля используется предустановленное значение, в правой части настройки |
Нажать внизу справа кнопку Сохранить.
В разделе Администрирование → Сетевые ресурсы → Устройства добавить сетевое устройство:
Настроить:
Нажать кнопку Сохранить.
Для проверки MAB-аутентификации необходимо использовать внутренний источник Endpoints. По умолчанию данный источник не используется ни в одной цепочке идентификаций. Он может быть добавлен в предустановленную цепочку Default sequence или может быть создана новая. В данном примере будет создана новая цепочка идентификаций.
В разделе Администрирование → Управление идентификацией → Цепочки идентификаций создать:
Настроить:
Нажать Добавить.
Для добавления группы эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Группы эндпоинтов.
По умолчанию существуют две системные группы эндпоинтов Profiled и Unknown - они не могут быть изменены или удалены. В левой части окна находится список групп эндпоинтов в виде древовидной структуры. В правой части окна при переходе в раздел открывается полный список групп эндпоинтов. При выборе любой группы эндпоинтов в правой части открывается окно редактирования. При добавлении группы в правой части окна откроется окно добавления группы.
Добавить группу:
Настроить:
Нажать кнопку Добавить.
После добавления группы появиться возможность добавить в неё эндпоинты, если они были добавлены или изучены ранее. Для этого в блоке Эндпоинты необходимо нажать кнопку добавления и в открывшемся окне выбрать эндпоинты в левой части и перенести их в правую часть.
|
Добавление эндпоинтов возможно автоматически или вручную. Автоматически изучении эндпоинтов происходит в ходе любой попытки аутентификации по протоколу RADIUS. Значение MAC-адреса извлекается из RADIUS-атрибута Calling-station-id. Не выполняется изучение случайно сгенерированных (MAC randomization feature) MAC адресов. Если не настроено профилирование, то все автоматически изученные MAC-адреса попадают в группу Unknown.
Для ручного добавления эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Эндпоинты и добавить эндпоинт:
Указать:
Нажать кнопку Добавить.
Возможность аутентификации MAB по умолчанию отключена. Необходимо явно разрешить использовать MAB-аутентификацию. Это можно сделать в предустановленном списке доступных протоколов Default protocols или создать новый. В данном примере будет создан новый список.
Перейти в раздел Политики → Элементы → Разрешенные протоколы и добавить новый список:
Настроить:
Нажать кнопку Добавить.
Учитывая гибкие возможности по настройке политик в NAICE, процесс MAC аутентификации может быть настроен с использованием различных условий. В данном примере приведена простейшая настройка.
В разделе Политики → Наборы политик добавить политику:
Настроить:
Нажать кнопку Сохранить.
После этого новая политика будет добавлена в список.
По умолчанию в каждой новой политике содержится политика аутентификации, которая использует цепочку идентификации |
После сохранения новой политики, в колонке Настройка справа станет доступна кнопка 
, по нажатию на которой будет выполнен переход в режим редактирования политики.
После перехода в режим редактирования ранее созданной политики MAB Auth в блоке Политика аутентификации:
Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации Endpoints.
Оставаясь в созданной ранее политике MAB Auth в блоке Политика авторизации добавить новую политику авторизации, в ней добавить условие Endpoint identity·Endpoint Group Равно Endpoints, которое позволит авторизовываться только эндпоинтам добавленным в ранее созданную группу Endpoints.
В профиле авторизации выбрать профиль по умолчанию PermitAccess (при необходимости можно указать другие, предварительно настроенные профили авторизации).
Нажать Сохранить.
В политике авторизации не следует использовать группу эндпоинтов по умолчанию |
Попытки подключения MAB выполняются на странице мониторинга в разделе Мониторинг → RADIUS:
При необходимости можно нажать на значок 
в колонке Подробнее. В новом окне браузера откроется детальная информация о подключении:
Для сетевого оборудования, которое не поддерживает отправку атрибута Service-Type при выполнении RADIUS-запросов, есть предустановленный профиль устройства Profile for devices without service-type attribute.
В данном профиле используется определение MAB через проверку совпадения MAC адреса эндпоинта, который передаётся в атрибутах User-Name и Calling-Station-Id.
Пример настройки для определения Wired MAB:
Пример настройки для определения Wireless MAB:
Данный метод определения типа соединения MAB можно использовать при настройке любого произвольного профиля устройства.
При этом надо учитывать, что для корректного детектирования соединений типа Wired / Wireless 8021x потребуется настроить условия вида:
