Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Руководство по настройке EAP-FAST версии 1.02

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для Гибкой аутентификации через защищенное туннелирование для расширяемого протокола аутентификации (EAP-FAST) Версия 1.02.

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются эти требования:

  • IOS AP 12.2 (13) JA3, 350, или клиент CB20A с версией микропрограммы 5.40 и версией драйвера 8.5 (клиент CB21AG, чтобы поддерживаться 2H CY2004)

  • Access Control Server (ACS) 3.2.3, Windows 2000 или XP с установленным ACU 6.3.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

Установите AP на ACS

Выполните эти шаги для устанавливания точки доступа (AP) на ACS:

  1. На сервере ACS нажмите Network Configuration слева.

  2. Для добавления клиента AAA нажмите Add Запись.

  3. Введите эти значения в коробки:

    • IP-адрес клиента AAA — IP_of_your_AP

    • Ключ — Составляет ключ (удостоверьтесь, что ключ совпадает с общим секретным ключом AP),

    • Используемая аутентификация — RADIUS (Cisco Aironet)

  4. Щелкните Submit (отправить).

  5. Перезапуск.

Установите ACS для EAP-FAST

Выполните эти шаги для устанавливания ACS для EAP-FAST:

  1. Выберите System Configuration> Global Authentication Setup.

  2. Установите Позволять флажок EAP-FAST.

  3. Введите значение в поле Authority ID Info (пробелы не поддерживаются).

  4. Проверьте Позволение автоматической коробки инициализации PAC.

    Примечание: Автоматическая инициализация PAC является низким служебным методом обеспечения клиента с внутриполосным PAC. Существует несколько предупреждений к автоматической инициализации:

    1. Автоинициализация требует, чтобы отказала начальная аутентификация EAP-FAST.

    2. Пользователи LDAP не могут быть автообеспечены и должны быть вручную обеспечены.

    3. Автоинициализация восприимчива к атаке MITM во время начальной инициализации.

  5. Установите флажок главного сервера EAP-FAST.

  6. Щелкните Submit (отправить).

  7. Перезапуск.

Настройте AP

Выполните эти шаги для настройки AP:

  1. Выберите Security> Server Manager.

  2. От выпадающего списка Списка Текущего сервера выберите RADIUS.

  3. Введите IP-адрес ACS.

  4. Войдите общий секретный ключ (должен совпасть с ключом в ACS).

  5. Нажмите кнопку Apply.

  6. От выпадающего списка Аутентификации eap выберите IP-адрес сервера RADIUS.

  7. Нажмите кнопку Apply.

Диспетчер шифрования (только шифрование WEP)

Выполните эти шаги для Шифрования WEP только:

  1. Выберите Security > Encryption Manager.

  2. Нажмите кнопку с зависимой фиксацией WEP Encryption.

  3. От выпадающего списка выберите Mandatory.

  4. Нажмите кнопку с зависимой фиксацией Encryption Key 1.

  5. Введите ключ.

  6. От выпадающего списка Размера ключа выберите 128.

  7. Нажмите кнопку Apply.

Диспетчер шифрования (управление ключами WPA)

Выполните эти шаги для управления ключами WPA:

  1. Выберите Security > Encryption Manager.

  2. Нажмите кнопку с зависимой фиксацией Cipher.

  3. От выпадающего списка выберите TKIP.

  4. Нажмите кнопку Apply.

Диспетчер SSID (только шифрование WEP)

Выполните эти шаги для Шифрования WEP только:

  1. Выберите SSID из Текущего Списка SSID или введите новый SSID в поле SSID.

  2. Установите флажок Открытой аутентификации.

  3. От выпадающего списка выберите с EAP.

  4. Установите Сетевой флажок EAP.

  5. Нажмите кнопку Apply.

Диспетчер SSID (управление ключами WPA)

Выполните эти шаги для управления ключами WPA:

  1. Выберите SSID из Текущего Списка SSID или введите новый SSID в поле SSID.

  2. Установите флажок Открытой аутентификации.

  3. От выпадающего списка выберите с EAP.

  4. Установите Сетевой флажок EAP.

  5. Выберите Authenticated Key Management.

  6. От выпадающего списка выберите Mandatory.

  7. Установите флажок WPA.

  8. Нажмите кнопку Apply.

Установите клиент для EAP-FAST

Шифрование WEP только

Выполните эти шаги Для Шифрования WEP только:

  1. Откройте ACU.

  2. Выберите Manage Profile.

  3. Создайте профиль (или отредактируйте один).

  4. Введите имя клиента и SSID AP.

  5. Перейдите на вкладку Network Security.

  6. Выберите EAP-FAST.

  7. Нажмите кнопку Configure (Настроить).

  8. Проверьте Позволение Автоматической Инициализации PAC для Этой коробки Профиля.

    Примечание: Автоматическая инициализация PAC является низким служебным методом обеспечения клиента с внутриполосным PAC. Существует несколько предупреждений к автоматической инициализации:

    1. Автоинициализация требует, чтобы отказала начальная аутентификация EAP-FAST.

    2. Пользователи LDAP не могут быть автообеспечены и должны быть вручную обеспечены.

    3. Автоинициализация восприимчива к атаке MITM во время начальной инициализации.

  9. Нажмите кнопку ОК.

  10. Нажмите кнопку ОК.

  11. Нажмите кнопку ОК.

  12. Выберите профиль, который вы создали.

Управление ключами WPA

Выполните эти шаги для управления ключами WPA:

  1. Откройте ACU.

  2. Выберите Manage Profile.

  3. Создайте профиль (или отредактируйте один).

  4. Введите имя клиента и SSID AP.

  5. Перейдите на вкладку Network Security.

  6. Установите флажок Защищенного доступа по протоколу Wi-Fi (WAP).

  7. Для Типа Сетевой безопасности выберите EAP-FAST (WPA).

  8. Нажмите кнопку Configure (Настроить).

  9. Проверьте Позволение Автоматической Инициализации PAC для Этой коробки Профиля.

    Примечание: Автоматическая Инициализация PAC является низким служебным методом обеспечения клиента с внутриполосным PAC. Существует несколько предупреждений к автоматической инициализации:

    1. Автоинициализация требует, чтобы отказала начальная аутентификация EAP-FAST.

    2. Пользователи LDAP не могут быть автообеспечены и должны быть вручную обеспечены.

    3. Автоинициализация восприимчива к атаке MITM во время начальной инициализации.

  10. Нажмите кнопку ОК.

  11. Нажмите кнопку ОК.

  12. Нажмите кнопку ОК.

  13. Выберите профиль, который вы создали.

Ручное дополнение инициализации PAC

Этот раздел включает процедуры, которые варьируются от уже представленных для настройки ручной инициализации PAC.

Примечание: Генерация Файлов PAC EAP-FAST опции не доступна на ACS для окон, и процедура должна быть сделана вручную с помощью процедуры, определенной в этом разделе.

Установите параметры ACS для EAP-FAST

Эти шаги являются дополнительными. Если вы хотите, чтобы некоторые клиенты использовали автоматическую инициализацию, оставили эту опцию проверенной.

  1. Выберите System Configuration> Global Authentication Setup.

  2. Анчек Позволение автоматической коробки инициализации PAC.

Создайте PAC () Использование CSUtil.exe

Эта процедура может варьироваться значительно в зависимости от требований. Обратитесь к Руководству пользователя для Cisco Secure ACS для Windows Server 3.2 для получения дополнительной информации.

Базовый синтаксис для вырезки PAC с CSUtil.exe:

csutil [-t] [-filepath <full filepath>] [-passwd <password>] [[-a] [-g <group number>]
[-u <user name>] [-f <full filepath>]]

-filepath является дополнительным и задает каталог для выходных данных (каталог должен уже существовать). Если неуказанный, PAC размещены в каталог ACS Utils (который может стать грязным, если вы создаете много PAC).

-passwd является дополнительным и задает пароль для защиты PAC. Если неуказанный, нет никакого пароля по умолчанию.

Они область несколько команд примеров допустимого создания PAC:

  • csutil-t - filepath c:\acspac - passwd 5p0rk5-f c:\acspac\pac.txt — Создает PAC для пользователей, перечисленных в файле, названном pac.txt.

  • csutil-t - filepath c:\acspac - passwd 5p0rk5 г 0 — Создает PAC для пользователей в группе ACS 0.

  • csutil-t - filepath c:\acspac - passwd 5p0rk5-u vadablam — Создает PAC для имени пользователя vadablam в ACS.

  • csutil-t - filepath c:\acspac - passwd 5p0rk5-a — Создает PAC для всех пользователей в ACS (это может взять вполне некоторое время).

Выполните эти шаги для создания PAC для одиночного пользователя для тестирования:

  1. Создайте каталог для вывода PAC к (дополнительному).

  2. Проверьте, что пользователь существует в ACS.

  3. Откройте командную строку.

  4. Перейдите к каталогу ACS Utils.

  5. Введите csutil-t - filepath <filepath> - <password> passwd-u команда <user>.

  6. Скопируйте новый .pac файл к хосту пользователя.

Выполните эти шаги для настройки клиента для ручной инициализации PAC:

  1. После выбора EAP-FAST как Тип Сетевой безопасности в ACU нажмите Configure.

  2. Анчек Позволение Автоматической Инициализации PAC для Этой коробки Профиля.

  3. Нажмите кнопку Import (Импортировать).

  4. Передите к .pac.

  5. Выберите .pac.

  6. Введите пароль (если предложено).

  7. Нажмите кнопку ОК.

  8. Нажмите кнопку ОК.

  9. Нажмите кнопку ОК.

  10. Нажмите кнопку ОК.

  11. Выберите профиль, который вы создали.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Для получения дополнительной информации см. следующие документы:

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 64063