一、企业内网准入安全挑战:
无线网络大量部署,BYOD、高级访客、员工随时随地办公,实现接入企业内网用户身份及终端的合法性、并分配适当的权限,是企业内网安全当下迫切希望解决的问题。
二、方案概述:
通过802.1x(或802.1x+Portal+动态密码),可以解决内网接入身份认证和访问权限控制,增加一重动态密码认证,可以避免非授权用户盗用身份接入内网可能性;配合宁盾终端准入引擎(ND ACE)可以实现笔记本、PC终端合规性检测。
该方案适合政府、金融、互联网、电力能源、医疗教育等内网安全等级高企业。
三、兼容多种终端类型:
手机接入无线802.1x认证
1、Android 802.1认证:
选择要连接的SSID;在弹出框中配置,“EAP方法”选择“PEAP”,“阶段2身份验证”选择“MSCHAPV2”,“身份”输入用户名,“匿名身份”留空,“密码”输入密码;
2、IOS 802.1x笔记本认证:直接输入用户秘密登录即可。
Android 802.1认证 Android 802.1认证成功页 IOS 802.1x认证
首次次接入增加Portal+宁盾动态令牌认证(图示),二次无感知接入。
Windows 802.1x认证+终端安全检测(可选)
1、高版本win10 802.1x无线认证直接输入用户名秘密登录即可。
2、低版本win7802.1x认证略复杂,登录之前需要先进行配置。
step1、在“管理无线网络”中添加无线网络,并将 “网络设置”>>“安全类型”设置为“WPA2-企业;
step2、“更改连接设置”中“安全”>>“设置”弹框里取消“验证服务器证书”,同是勾选“安全”>>“高级设置”中的“指定身份验证模式”,并将其设为“用户身份验证”。
3、ND ACE终端检测(可选)
安装了ND ACE,在认证的基础上,只有检测合规的终端才允许接入,ND ACE主动探测终端安装了哪些软件、软件运行进程、杀毒软件、系统信息、需要安装的补丁信息等,以保证入网终端合规。
三、方案拓扑及配置办法
华为AC6605/6005通过Radius协议与DKEY AM(宁盾一体化身份认证服务器)实现交互,实现802.1x认证;
在核心交换机部署宁盾准入引擎(ND ACE),实现笔记本/PC终端安全检测(可选项);
802.1X默认的MS CHAP v2认证协议,宁盾认证服务器(DKEY AM)同步AD/LDAP作为用户源进行身份认证和用户管理,与无线设备之间通过RADIUS建立PEAP管道(使用TLS加密),管道中传输802.1x MS CHAP v2协议。
当用户接入网络时,首现输入AD/LDAP用户名、密码,并将该用户名密码通过RADIUS请求发送至宁盾认证服务器(DKEY AM),宁盾认证系统将MS CHAP v2协议报文解出,重新封装成普通RADIUS请求发送至NPS做认证,再将NPS的认证结果封装到PEAP管道传回无线设备,完成认证过程。
认证系统对接配置:
step1:安装好NPS,同步注册NPS;
step2:在宁盾认证服务器(DKEY AM)上配置AD的外部用户源;
step3:DKEY AM上为AD用户源添加MS CHAP认证代理,代理的IP、端口、共享密钥都是NPS的信息;
step4:DKEY AM上创建AC、SSID,绑定商户。必须确保AC的IP和SSID配置正确;
step5:查看在线用户;
宁盾科技版权所有。
—END—