Коммутация LAN : 802.1x

Шифрование хоста коммутатора MACsec с AnyConnect Cisco и Примером конфигурации ISE

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет пример конфигурации для Безопасности Управления доступом к среде (MACsec) шифрование между соискателем 802.1x (AnyConnect Cisco Мобильная Безопасность) и средством проверки подлинности (коммутатор). Механизмы Cisco Identity Services (ISE) используются в качестве аутентификации и сервера политик.

MACsec стандартизируется в 802.1AE и поддерживается на Cisco 3750X, 3560X и 4500 коммутаторах SUP7E. 802.1AE определяет шифрование ссылки по проводным сетям, которые используют внеполосные ключи. О тех ключах шифрования выполняют согласование с протоколом Согласования ключей MACsec (MKA), который используется после успешной аутентификации 802.1x. MKA стандартизирован в IEEE 802.1X 2010.

Пакет зашифрован только на ссылке между ПК и коммутатором (Point-to-Point Encryption). Пакет, полученный коммутатором, дешифрован и передан через дешифрованные каналы связи. Для шифрования передачи между коммутаторами шифрование коммутатора - коммутатора рекомендуется. Для того шифрования Протокол сопоставления безопасности (SAP) используется, чтобы выполнить согласование и восстановить ключи. SAP является предстандартным протоколом согласования ключей, разработанным Cisco.

Внесенный Михалом Гаркарзом и Романом Мачуликом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания о конфигурации 802.1x
  • Базовые знания о конфигурации интерфейса командой строки Коммутаторов Catalyst
  • Опыт с конфигурацией ISE

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Microsoft Windows 7 и операционные системы Microsoft Windows XP
  • Программное обеспечение Cisco 3750X, Версия 15.0 и позже
  • Программное обеспечение ISE Cisco, Версия 1.1.4 и позже
  • AnyConnect Cisco Мобильная Безопасность с Менеджером доступа к сети (NAM), Версией 3.1 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Диаграмма сети и трафик

Шаг 1. Соискатель (NAM AnyConnect) начинает сеанс 802.1x. Коммутатор является средством проверки подлинности, и ISE является сервером проверки подлинности. Протокол расширяемого протокола аутентификации по LAN (EAPOL) используется в качестве транспорта для EAP между соискателем и коммутатором. RADIUS используется в качестве транспортного протокола для EAP между коммутатором и ISE. Обход проверки подлинности MAC (MAB) не может использоваться, потому что ключи EAPOL должны возвращаться из ISE и использоваться для сеанса Согласования ключей MACsec (MKA).

Шаг 2 ---- -------------------------------- --------- . После того, как сеанс 802.1x завершен, коммутатор инициирует сеанс MKA с EAPOL как транспортный протокол. Если соискатель настроен правильно, ключи для симметричного 128-разрядного AES-GCM (Режим Галуа/Счетчика) соответствие шифрования.

Шаг 3. Все последующие пакеты между соискателем и коммутатором зашифрованы (802.1AE инкапсуляция).

Конфигурации

ISE

Конфигурация ISE связала типичный сценарий 802.1x с исключением к Профилю Авторизации, который мог бы включать политику шифрования.

Выберите Administration> Network Resources> Network Devices для добавления коммутатора как сетевого устройства. Введите общий ключ RADIUS (Общий секретный ключ).

Правило проверки подлинности по умолчанию может использоваться (для пользователей, определенных локально на ISE).

Выберите Administration>> Users Identity Management для определения пользователя "Cisco" локально.

Профиль Авторизации мог бы включать политику шифрования. Как показано в данном примере, выберите Policy> Results> Authorization Profiles для просмотра информационного ISE, возвращается к коммутатору, которые связываются, шифрование является обязательным. Кроме того, номер виртуальной локальной сети (VLAN) (10) был настроен.

Выберите Policy> Authorization для использования профиля авторизации в правиле авторизации. Данный пример возвращает настроенный профиль для пользователя "Cisco". Если 802.1x успешен, ISE возвращается, Радиус - Принимают к коммутатору с Cisco AVPair linksec-policy=must-secure. Тот атрибут вынуждает коммутатор инициировать сеанс MKA. Если тот сеанс отказывает, авторизация 802.1x на коммутаторе также отказывает.

Коммутатор

Типичные параметры порта 802.1x включают (вершина делят на части показанный):

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius

aaa group server radius ISE
 server name ISE

dot1x system-auth-control

interface GigabitEthernet1/0/2
 description windows7
 switchport mode access
 authentication order dot1x
 authentication port-control auto
 dot1x pae authenticator

radius server ISE
 address ipv4 10.48.66.74 auth-port 1645 acct-port 1646
 timeout 5
 retransmit 2
key cisco

Локальная политика MKA создана и применена к интерфейс. Кроме того, MACsec включен на интерфейсе.

mka policy mka-policy
 replay-protection window-size 5000

interface GigabitEthernet1/0/2
 macsec
 mka policy mka-policy

Локальная политика MKA позволяет вам настраивать детализированные параметры настройки, которые не могут быть выдвинуты от ISE. Локальная политика MKA является дополнительной.

NAM AnyConnect

Профиль для соискателя 802.1x может быть настроен вручную или выдвинут через Cisco ASA. Следующие шаги представляют настройку вручную.

Для управления профилями NAM:

Добавьте новый профиль 802.1x с MACsec. Для 802.1x Защищенный расширяемый протокол аутентификации (PEAP) используется (настроенный пользователь "Cisco" на ISE):

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

NAM AnyConnect, настроенный для PEAP EAP, требует корректных учетных данных.

Сеанс на коммутаторе должен заверяться и авторизоваться. Состояние системы безопасности должно быть "Защищено":

bsns-3750-5#show authentication sessions interface g1/0/2
           Interface: GigabitEthernet1/0/2
         MAC Address: 0050.5699.36ce
          IP Address: 192.168.1.201
           User-Name: cisco
              Status: Authz Success
              Domain: DATA
     Security Policy: Must Secure
     Security Status: Secured
      Oper host mode: single-host
    Oper control dir: both
       Authorized By: Authentication Server
         Vlan Policy: 10
     Session timeout: N/A
        Idle timeout: N/A
   Common Session ID: C0A8000100000D56FD55B3BF
     Acct Session ID: 0x00011CB4
              Handle: 0x97000D57

Runnable methods list:
      Method  State
      dot1x   Authc Success

Статистические данные MACsec на коммутаторе предоставляют подробную информацию в отношении значения локальной политики, идентификаторы безопасного канала (SCIs) для получили/передали трафик, и также статистику порта и ошибки.

bsns-3750-5#show macsec interface g1/0/2
 MACsec is enabled
 Replay protect : enabled
 Replay window : 5000
 Include SCI : yes
 Cipher : GCM-AES-128
 Confidentiality Offset : 0
 Capabilities
 Max. Rx SA : 16
 Max. Tx SA : 16
 Validate Frames : strict
 PN threshold notification support : Yes
 Ciphers supported : GCM-AES-128
 Transmit Secure Channels
 SCI : BC166525A5020002
  Elapsed time : 00:00:35
  Current AN: 0  Previous AN: -
  SC Statistics
   Auth-only (0 / 0)
   Encrypt (2788 / 0)
 Receive Secure Channels
 SCI : 0050569936CE0000
  Elapsed time : 00:00:35
  Current AN: 0  Previous AN: -
  SC Statistics
   Notvalid pkts 0     Invalid pkts 0
   Valid pkts 76        Late pkts 0
   Uncheck pkts 0      Delay pkts 0
 Port Statistics
  Ingress untag pkts 0       Ingress notag pkts 2441
  Ingress badtag pkts 0       Ingress unknownSCI pkts 0
  Ingress noSCI pkts 0        Unused pkts 0
  Notusing pkts 0             Decrypt bytes 176153
  Ingress miss pkts 2437

На AnyConnect статистические данные указывают на использование шифрования и пакетную статистику.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Отладки для рабочего сценария

Включите отладки на коммутаторе (некоторые выходные данные были опущены для ясности).

debug macsec event
debug macsec error
debug epm all
debug dot1x all
debug radius
debug radius verbose

После того, как сеанс 802.1x установлен, множественными пакетами EAP обмениваются по EAPOL. Последний успешный ответ от ISE (успех EAP) перенесенный в Радиусе-Acccept также включает несколько Атрибутов RADIUS.

RADIUS: Received from id 1645/40 10.48.66.74:1645, Access-Accept, len 376
RADIUS: EAP-Key-Name       [102] 67 *
RADIUS: Vendor, Cisco      [26] 34  
RADIUS:  Cisco AVpair      [1]  28 "linksec-policy=must-secure"
RADIUS: Vendor, Microsoft  [26] 58  
RADIUS:  MS-MPPE-Send-Key  [16] 52 *
RADIUS: Vendor, Microsoft  [26] 58  
RADIUS:  MS-MPPE-Recv-Key  [17] 52 *

КЛЮЧЕВОЕ НАЗВАНИЕ EAP используется для сеанса MKA. Linksec-политика вынуждает коммутатор использовать MACsec (сбои авторизации, если это не завершено). Те атрибуты могут быть также проверены в захватах пакета.

Аутентификация успешна.

%DOT1X-5-SUCCESS: Authentication successful for client (0050.5699.36ce) on 
Interface Gi1/0/2 AuditSessionID C0A8000100000D56FD55B3BF
%AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client
(0050.5699.36ce) on Interface Gi1/0/2 AuditSessionID C0A8000100000D56FD55B3BF

Коммутатор применяет атрибуты (они включают дополнительный номер виртуальной локальной сети (VLAN), который был также передан).

%AUTHMGR-5-VLANASSIGN: VLAN 10 assigned to Interface Gi1/0/2 AuditSessionID 
C0A8000100000D56FD55B3BF

Коммутатор тогда начинает сеанс MKA, когда это передает и получает пакеты EAPOL.

%MKA-5-SESSION_START: (Gi1/0/2 : 2) MKA Session started for RxSCI 0050.5699.36ce/0000, 
AuditSessionID C0A8000100000D56FD55B3BF, AuthMgr-Handle 97000D57
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx
EAPOL pak dump rx
dot1x-packet(Gi1/0/2): Received an EAPOL frame
dot1x-packet(Gi1/0/2): Received an MKA packet

После 4 обменов пакетами безопасные идентификаторы созданы вместе с Получить (RX) сопоставление безопасности.

HULC-MACsec: MAC: 0050.5699.36ce, Vlan: 10, Domain: DATA
HULC-MACsec: Process create TxSC i/f GigabitEthernet1/0/2 SCI BC166525A5020002
HULC-MACsec: Process create RxSC i/f GigabitEthernet1/0/2 SCI 50569936CE0000
HULC-MACsec: Process install RxSA request79F6630 for interface GigabitEthernet1/0/2

Сеанс закончен и Передача (TX), сопоставление безопасности добавлено.

%MKA-5-SESSION_SECURED: (Gi1/0/2 : 2) MKA Session was secured for 
RxSCI 0050.5699.36ce/0000, AuditSessionID C0A8000100000D56FD55B3BF,
CKN A2BDC3BE967584515298F3F1B8A9CC13
HULC-MACsec: Process install TxSA request66B4EEC for interface GigabitEthernet1/0/

Политика "должна - безопасный", совпадается, и авторизация успешна.

%AUTHMGR-5-SUCCESS: Authorization succeeded for client (0050.5699.36ce) on 
Interface Gi1/0/2 AuditSessionID C0A8000100000D56FD55B3BF

Каждые 2 секунды Пакетами приветствия MKA обмениваются, чтобы гарантировать, что все участники живы.

dot1x-ev(Gi1/0/2): Received TX PDU (5) for the client 0x6E0001EC (0050.5699.36ce)
dot1x-packet(Gi1/0/2): MKA length: 0x0084 data: ^A
dot1x-ev(Gi1/0/2): Sending EAPOL packet to group PAE address
EAPOL pak dump Tx

Отладки для отказывающего сценария

Когда соискатель не настроен для MKA, и ISE запрашивает шифрование после успешной аутентификации 802.1x:

RADIUS: Received from id 1645/224 10.48.66.74:1645, Access-Accept, len 342
%DOT1X-5-SUCCESS: Authentication successful for client (0050.5699.36ce) on
Interface Gi1/0/2 AuditSessionID C0A8000100000D55FD4D7529
%AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client
(0050.5699.36ce) on Interface Gi1/0/2 AuditSessionID C0A8000100000D55FD4D7529

Коммутатор пытается инициировать сеанс MKA, когда он передает 5 пакетов EAPOL.

%MKA-5-SESSION_START: (Gi1/0/2 : 2) MKA Session started for RxSCI 0050.5699.36ce/0000, 
AuditSessionID C0A8000100000D55FD4D7529, AuthMgr-Handle A4000D56
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx
dot1x-ev(Gi1/0/2): Sending out EAPOL packet
EAPOL pak dump Tx

И наконец испытывает таймаут и не проходит авторизацию.

 %MKA-4-KEEPALIVE_TIMEOUT: (Gi1/0/2 : 2) Peer has stopped sending MKPDUs for RxSCI 
0050.5699.36ce/0000, AuditSessionID C0A8000100000D55FD4D7529, CKN
F8288CDF7FA56386524DD17F1B62F3BA
%MKA-4-SESSION_UNSECURED: (Gi1/0/2 : 2) MKA Session was stopped by MKA and not
secured for RxSCI 0050.5699.36ce/0000, AuditSessionID C0A8000100000D55FD4D7529,
CKN F8288CDF7FA56386524DD17F1B62F3BA
%AUTHMGR-5-FAIL: Authorization failed or unapplied for client (0050.5699.36ce)
on Interface Gi1/0/2 AuditSessionID C0A8000100000D55FD4D7529

Сеанс 802.1x сообщает об успешной аутентификации, но сбое проверки подлинности.

bsns-3750-5#show authentication sessions int g1/0/2
           Interface: GigabitEthernet1/0/2
         MAC Address: 0050.5699.36ce
          IP Address: 192.168.1.201
           User-Name: cisco
              Status: Authz Failed
              Domain: DATA
     Security Policy: Must Secure
     Security Status: Unsecure
      Oper host mode: single-host
    Oper control dir: both
     Session timeout: N/A
        Idle timeout: N/A
   Common Session ID: C0A8000100000D55FD4D7529
     Acct Session ID: 0x00011CA0
              Handle: 0xA4000D56

Runnable methods list:
      Method  State
      dot1x   Authc Success

Трафик данных будет заблокирован.

Захваты пакета

Когда трафик перехвачен на сайте соискателя, 4 запроса/ответа эха Протокола ICMP переданы и получены, будет:

  • 4 зашифрованных эхо-запроса протокола ICMP передали к коммутатору (88e5, зарезервирован для 802.1AE),
  • Получены 4 дешифрованных эхо - ответ ICMP

Это из-за того, как AnyConnect зацепляет Windows API (прежде чем libpcap, когда пакеты переданы и прежде libpcap, когда пакеты получены):

Примечание: Возможность осуществить сниффинг MKA или 802.1AE трафик на коммутаторе с функциями, такими как Коммутируемый анализатор для портов (SPAN) или встроенная функция захвата пакетов (EPC) не поддерживается.

MACsec и режимы 802.1x

Не все режимы 802.1x поддерживаются для MACsec.

Руководство Инструкции Cisco TrustSec 3.0: Введение к MACsec и NDAC сообщает что:

  • Режим одного хоста: MACsec полностью поддерживается в режиме одного хоста. В этом режиме только одиночный MAC или IP-адрес могут быть заверены и защищены с MACsec. Если другой MAC-адрес будет обнаружен на порту после того, как оконечная точка подтвердила подлинность, то нарушение безопасности будет вызвано на порту.

  • Режим Мультидоменной аутентификации (MDA): В этом режиме одна оконечная точка может быть на области данных, и другая оконечная точка может быть на речевом домене. MACsec полностью поддерживается в режиме MDA. Если обе оконечных точки будут MACsec-способны, то каждый будет защищен его собственным независимым сеансом MACsec. Если только одна оконечная точка MACsec-способна, та оконечная точка может быть защищена, в то время как другая оконечная точка представляет трафик ясное.

  • Мультирежим аутентификации: В этом режиме фактически неограниченное количество оконечных точек может быть заверено к порту одного коммутатора. MACsec не поддерживается в этом режиме.

  • Режим мультихоста: В то время как использование MACsec в этом режиме технически возможно, это не рекомендуется. В Режиме Мультихоста первая оконечная точка на порту подтверждает подлинность, и затем любые дополнительные оконечные точки будут разрешены на сеть через первую авторизацию. MACsec работал бы с первым подключенным узлом, но никакой другой оконечной точкой? s трафик фактически прошел бы, так как это не будет зашифрованный поток данных.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 117277