Описание

MAC authentication bypass (MAB) используется для аутентификации устройств (эндпоинтов), не поддерживающих протокол проверки подлинности 802.1x. Это могут быть сетевые принтеры, камеры, IP-телефоны и другие подобные устройства. MAB аутентификация основывается на MAC-адресе эндпоинта, который хочет получить доступ в сеть. Сетевое устройство (аутентификатор), к которому выполняется подключение, самостоятельно определяет MAC-адрес подключающегося эндпоинта и формирует RADIUS запрос для выполнения аутентификации.

Требования к сетевому оборудованию, на котором будет выполняться MAB аутентификация

Сетевое оборудование (аутентификатор), которое выполняет аутентификацию MAB, должно поддерживать:

  1. Протокол RADIUS для выполнения MAB аутентификации.
  2. Передавать в RADIUS запросе аутентификации атрибуты:
    • User-Name, содержащий MAC-адрес эндпоинта.
    • User-Password. В качестве пароля может использоваться MAC-адрес эндпоинта или предустановленный пароль: это зависит от реализации функционала на оборудовании вендором.
    • NAS-IP-Address.
    • Calling-Station-Id, содержащий MAC-адрес эндпоинта.
    • Acct-Session-Id - уникальный идентификатор сессии подключения.
    • NAS-Port-Type.
    • Service-Type.
  3. Поддерживать протокол проверки пароля при выполнении MAB аутентификации PAP или EAP-MD5.

Настройка

Для работы функционала требуется настроить взаимодействие сетевого устройства с NAICE и включить MAC аутентификацию.

Настройка коммутатора

Далее приведен пример настройки коммутатора Eltex модели MES2300-24. Предполагается что на коммутаторе уже настроен IP-адрес и обеспечена сетевая связность с сервером NAICE. Полностью ознакомится с документацией по настройке коммутатора можно на официальном сайте компании https://eltex-co.ru.

  • Включить глобально авторизацию dot1x, добавить конфигурацию RADIUS-сервера (NAICE), к которому будут выполняться запросы:
dot1x system-auth-control
radius-server host 100.110.2.202 key testing123
  • Настроить MAC-аутентификацию на интерфейсах, которые будут использоваться для подключения эндпоинтов:
interface GigabitEthernet 1/0/1 
  dot1x authentication mac
  dot1x port-control auto

Настройка NAICE

Встроенная документация

Для каждой страницы можно просмотреть подробную информацию для всех настроек во встроенной документации. Для этого надо нажать на кнопку в левом боковом меню:

Страница встроенной документации откроется в отдельном окне.

Настройка профиля сетевого устройства

Профиль сетевого устройства определяет возможные настройки сетевого оборудования для взаимодействия с NAICE и должен соответствовать реальным функциональным возможностям сетевого оборудования.

Для корректной работы MAB-аутентификации требуется обязательно корректно настроить обнаружение протокола подключения MAB! Если для сетевого оборудования не выполняется определение используемого протокола подключения MAB-аутентификация выполняться не будет!

Настройка определения типа подключения выполняется в блоке Условия определения типа подключения. Минимально необходимо настроить определение типа подключения Wired MAB для проводных подключений или Wireless MAB для беспроводных подключений.

Настройка профиля устройства выполняется в разделе Администрирование → Сетевые ресурсы → Профили устройств. По умолчанию в данном разделе присутствует ряд предустановленных профилей. Далее для подключения будет использоваться существующий профиль Eltex MES. В данном профиле уже настроено определение типа подключения Wired MAB. Нажать на него и открыть настройки на редактирование:

В блоке MAB включить:

  • Настроить MAB - включить для возможности выполнения MAB-аутентификации.
    • PAP - включить возможность аутентификации по протоколу PAP.
      • Проверять совпадение Calling-Station-Id и MAC-адреса - включить проверку совпадение MAC-адреса в атрибуте User-Name и Calling-station-Id.
      • Условие пароля - INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name.
    • EAP-MD5 - включить возможность аутентификации по протоколу EAP-MD5.
      • Проверять совпадение Calling-Station-Id и MAC-адреса - включить проверку совпадение MAC-адреса в атрибуте User-Name и Calling-station-Id.
      • Условие пароля - INTERNAL_RADIUS:Cleartext-Password = RADIUS:User-Name.

Проверка совпадения MAC-адреса в атрибуте User-Name и Calling-station-Id выполняется после приведения значений атрибутов к формату MAC, без учета регистра. Например: User-Name:aabbccddeeff и Calling-Station-Id:AA-BB-CC-DD-EE-FF считаются совпадающими значениями.

Если в качестве пароля используется предустановленное значение, в правой части настройки Условие пароля необходимо удалить атрибут и указать используемый пароль. Например: INTERNAL_RADIUS:Cleartext-Password = NOPASSWORD. Проверка пароля выполняется с учётом регистра.

Нажать внизу справа кнопку Сохранить.

Добавление сетевого устройства

В разделе Администрирование → Сетевые ресурсы → Устройства добавить сетевое устройство:

Настроить:

  • Имя - название устройства;
  • Профиль - выбрать ранее настроенный профиль устройства Eltex MES;
  • IPv4 - указать адрес сетевого устройства;
  • Секретный ключ - секретный ключ для взаимодействия по протоколу RADIUS (в данном примере testing123).

Нажать кнопку Сохранить.

Добавление цепочки идентификации для подключения эндпоинтов при выполнении MAB-аутентификации

Для проверки MAB-аутентификации необходимо использовать внутренний источник Endpoints. По умолчанию данный источник не используется ни в одной цепочке идентификаций. Он может быть добавлен в предустановленную цепочку Default sequence или может быть создана новая. В данном примере будет создана новая цепочка идентификаций.

В разделе Администрирование → Управление идентификацией → Цепочки идентификаций создать:

Настроить:

  • Имя - наименование цепочки идентификации.
  • Список источников аутентификации - выбрать в подразделе Доступные источник Endpoints и перенести его в раздел Используемые.

Нажать Добавить.

Добавление групп эндпоинтов

Для добавления группы эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Группы эндпоинтов.

По умолчанию существуют две системные группы эндпоинтов Profiled и Unknown - они не могут быть изменены или удалены. В левой части окна находится список групп эндпоинтов в виде древовидной структуры. В правой части окна при переходе в раздел открывается полный список групп эндпоинтов. При выборе любой группы эндпоинтов в правой части открывается окно редактирования. При добавлении группы в правой части окна откроется окно добавления группы.

Добавить группу:


Настроить:

  • Имя - произвольное наименование группы эндпоинтов.
  • Родительская группа - что бы добавить группу как корневую требуется ничего не выбирать. При необходимости можно добавить группу как подгруппу другой существующей группы - в этом случае надо выбрать её в данном поле.

Нажать кнопку Добавить.

После добавления группы появиться возможность добавить в неё эндпоинты, если они были добавлены или изучены ранее. Для этого в блоке Эндпоинты необходимо нажать кнопку добавления и в открывшемся окне выбрать эндпоинты в левой части и перенести их в правую часть.

Добавление эндпоинтов

Добавление эндпоинтов возможно автоматически или вручную. Автоматически изучении эндпоинтов происходит в ходе любой попытки аутентификации по протоколу RADIUS. Значение MAC-адреса извлекается из RADIUS-атрибута Calling-station-id. Не выполняется изучение случайно сгенерированных (MAC randomization feature) MAC адресов. Если не настроено профилирование, то все автоматически изученные MAC-адреса попадают в группу Unknown.

Для ручного добавления эндпоинтов необходимо перейти в разделе Администрирование → Управление идентификацией → Эндпоинты и добавить эндпоинт:

Указать:

  • MAC адрес - MAC-адрес эндпоинта.
  • Ручное назначение политики - не включать.
  • Ручное назначение группы - включить и выбрать необходимую группу, в которую будет помещен эндпоинт.

Нажать кнопку Добавить.

Настройка протокола аутентификации MAB

Возможность аутентификации MAB по умолчанию отключена. Необходимо явно разрешить использовать MAB-аутентификацию. Это можно сделать в предустановленном списке доступных протоколов Default protocols или создать новый. В данном примере будет создан новый список.

Перейти в раздел Политики → Элементы → Разрешенные протоколы и добавить новый список:

Настроить:

  • Наименование сервиса - наименование списка доступных протоколов;
  • MAC Authentication Bypass (MAB) - включить селектор.

Нажать кнопку Добавить.

Добавление и настройка политики

Учитывая гибкие возможности по настройке политик в NAICE, процесс MAC аутентификации может быть настроен с использованием различных условий. В данном примере приведена простейшая настройка.

Добавление политики в набор политик

В разделе Политики → Наборы политик добавить политику:

Настроить:

  • Имя - наименование политики;
  • Условия - использовать библиотечное условие Wired_MAB. По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения WiredMAB. При необходимости можно настроить другое условия вхождения в политику.
  • Доступные протоколы - использовать ранее настроенный список протоколов MAB.

Нажать кнопку Сохранить.

После этого новая политика будет добавлена в список.

По умолчанию в каждой новой политике содержится политика аутентификации, которая использует цепочку идентификации Default sequence и политика авторизации, которая использует профиль авторизации DenyAccess. Таким образом без дополнительных настроек любые попытки подключения в рамках вновь созданной политики будут запрещены.

После сохранения новой политики, в колонке Настройка справа станет доступна кнопка , по нажатию на которой будет выполнен переход в режим редактирования политики.

Настройка политики аутентификации

После перехода в режим редактирования ранее созданной политики MAB Auth в блоке Политика аутентификации:

Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации  Endpoints.

Настройка политики авторизации

Оставаясь в созданной ранее политике MAB Auth в блоке Политика авторизации добавить новую политику авторизации, в ней добавить условие Endpoint identity·Endpoint Group Равно Endpoints, которое позволит авторизовываться только эндпоинтам добавленным в ранее созданную группу Endpoints.

В профиле авторизации выбрать профиль по умолчанию PermitAccess (при необходимости можно указать другие, предварительно настроенные профили авторизации).

Нажать Сохранить.

В политике авторизации не следует использовать группу эндпоинтов по умолчанию Unknown - это приведет к возможности авторизации любых изученных эндпоинтов.

Проверка работы

Попытки подключения MAB выполняются на странице мониторинга в разделе Мониторинг → RADIUS:

При необходимости можно нажать на значок  в колонке Подробнее. В новом окне браузера откроется детальная информация о подключении:

Приложения

Как настроить определение MAB если сетевое оборудование не поддерживает отправку атрибута Service-Type

Для сетевого оборудования, которое не поддерживает отправку атрибута Service-Type при выполнении RADIUS-запросов, есть предустановленный профиль устройства Profile for devices without service-type attribute.

В данном профиле используется определение MAB через проверку совпадения MAC адреса эндпоинта, который передаётся в атрибутах User-Name и Calling-Station-Id.

Пример настройки для определения Wired MAB:

Пример настройки для определения Wireless MAB:

Данный метод определения типа соединения MAB можно использовать при настройке любого произвольного профиля устройства.

При этом надо учитывать, что для корректного детектирования соединений типа Wired / Wireless 8021x потребуется настроить условия вида:

  • Нет меток