Использование инструментального средства LANDesk 802.1X NAC

В этом разделе описаны процедуры планирования, установки, настройки и включения функции управления доступом в сеть (Network Access Control – NAC) LANDesk на базе 802.1X в существующей среде управления доступом.

Средство управления доступом в сеть (NAC) LANDesk на базе 802.1X призвано поддержать и расширить функции обеспечения безопасности, предлагаемые сервером 802.1X Radius в вашей сети. Поддержка LANDesk 802.1X NAC позволяет добавить к базовым средствам управления доступом 802.1X дополнительные функции аутентификации и контроля соответствия.

ВАЖНО: Технические знания и опыт, необходимые для настройки системы управления доступом в сеть
Обратите внимание, что функция управления доступом в сеть требует дополнительной настройки оборудования и программного обеспечения помимо основной установки главного сервера. Поскольку эта дополнительная работа по установке и настройке сложна с технической точки зрения, предполагается что вы знакомы с конфигурацией сервера 802.1X Radius, аутентификацией и проверкой состояния на базе 802.1X, а также с принципами проектирования сложной сетевой инфраструктуры и управления ею.

В этой главе вы изучите следующее:

• Использование списка задач быстрого запуска
• Обзор системы управления доступом в сеть LANDesk на базе 802.1X
  • Компоненты и процессы системы управления доступом в сеть на базе 802.1X
  • Топология и структура сети
• Настройка сервера исправления
• Настройка сервера 802.1X Radius или прокси-сервера
  • Использование дополнительного модуля сервера Radius IAS (для MD5)
  • Использование прокси-сервера Radius (для PEAP)
• Развертывание агента LANDesk 802.1X NAC на управляемых устройствах
• Настройка коммутатора и маршрутизатора для поддержки LANDesk 802.1X NAC
• Работа управляемых устройств, на которых используется функция LANDesk 802.1X NAC
• Поиск и устранение неисправностей LANDesk 802.1X NAC

Действия после настройки поддержки LANDesk 802.1X NAC

После завершения задач по установке и настройке поддержки функции управления доступом в сеть LANDesk на базе 802.1X необходимо определить политику обеспечения соответствия, опубликовать настройки функции управления доступом в сеть на соответствующих серверах и настроить страницы исправления HTML нужным образом. Для получения дополнительной информации о выполнении этих задач см. раздел Определение критериев соответствия требованиям безопасности и публикация настроек NAC.

Другие постоянные задачи управления функцией NAC: обеспечение включения служб 802.1X NAC, разрешение или ограничение доступа к каждому параметру, определение состояния подключаемых устройств, обновление правил и политик обеспечения соответствия, повторная публикация настроек функции управления доступом в сеть, добавление неуправляемых устройств в инструментальное средство обнаружения неуправляемых устройств, просмотр задействованных устройств и протоколирование конфигурации. Для получения дополнительной информации см. раздел Управление обеспечением безопасности для соответствия нормативам 802.1X NAC.

Использование списка задач быстрого запуска

Этот контрольный список задач поможет вам выполнить все действия, необходимые для настройки системы управления доступом в сеть LANDesk на базе 802.1X. См. раздел Список задач быстрого запуска для функции LANDesk 802.1X NAC.

Обзор системы управления доступом в сеть LANDesk на базе 802.1X

802.1X — это протокол системы безопасности IEEE, используемый для управления доступом в сеть на основе портов. 802.1X выполняет аутентификацию устройств и разрешает подключение либо запрещает доступ (в случае ошибки аутентификации). Протокол 802.1X основан на EAP (Extensible Authentication Protocol — расширяемый протокол аутентификации) и на последней версии PEAP (Protected Extensible Authentication Protocol — защищенный расширяемый протокол аутентификации). Протокол 802.1X поддерживается большинством сетевых коммутаторов и может быть настроен на выполнение аутентификации клиентов, на которых установлено программное обеспечение агента.

802.1X NAC — это технология аутентификации и управления доступом в сеть на основе прокси-сервера Radius, которая используется на различных коммутаторах, поддерживающих стандарт 802.1X. Используя 802.1X NAC, сервер Radius (либо сервер Microsoft IAS с дополнительным модулем EAP IAS, либо сервер Radius с прокси 802.1X) выполняет проверку состояния или, другими словами, проверяет соответствие политике безопасности.

При использовании аутентификации по стандарту 802.1X для доступа в сеть необходимо ввести имя пользователя и пароль. Система LANDesk 802.1X NAC расширяет эту базовую модель. Она требует, чтобы на управляемых устройствах, запрашивающих доступ в сеть, был также установлен стандартный агент (CBA) LANDesk, и эти устройства соответствовали бы пользовательской политике безопасности. Функция управления доступом в сеть проверяет наличие агента (CBA) путем поиска уникального идентификатора устройства, созданного самим агентом. (Примечание. EAP не будет пытаться выполнить аутентификацию, если не будет найден идентификатор устройства).

802.1X NAC с дополнительным модулем EAP IAS использует собственный агент NAC EAP, который присутствует как на сервере Radius IAS, так и на управляемых устройствах. Агент LTA EAP устанавливается на управляемых устройствах посредством конфигурации агента.

Чтобы использовать функцию управления доступом в сеть, в дополнение к определенному компоненту сервера 802.1X Radius и требуемой конфигурации коммутатора и маршрутизатора необходимо также установить сервер исправления.

В системе 802.1X NAC сервер Radius является точкой принятия решения о доступе в сеть и работает совместно с сетевым коммутатором. Коммутатор действует в качестве устройства, управляющего доступом в сеть, и перенаправляет запросы на аутентификацию устройств серверу Radius, который осуществляет саму аутентификацию. В зависимости от результатов, полученных коммутатором от сервера Radius, коммутатор разрешает или запрещает устройству доступ в сеть.

Компоненты и процессы системы управления доступом в сеть на базе 802.1X

В этом разделе описаны компоненты системы 802.1X NAC. В нем также описано, что происходит, когда устройство пытается получить доступ или подключиться к корпоративной сети при включенной функции управления доступом в сеть.

Для работы LANDesk 802.1X NAC необходимы перечисленные ниже компоненты.

Обязательные компоненты

Ниже описан процесс взаимодействия между различными компонентами в среде 802.1X NAC в том случае, если на устройстве, которое пытается получить доступ в сеть, установлен агент LANDesk 802.1X.

Описание процесса

1. Управляемое устройство, на котором имеется агент LANDesk 802.1X, делает первую попытку доступа к корпоративной сети.
2. Сетевой коммутатор (настроенный на сквозное перенаправление по протоколу 802.1X и действующий в качестве точки управления доступом) отправляет на запрашивающее устройство идентификационную информацию EAP-запроса.
3. На устройстве отображается запрос на ввод имени пользователя и пароля. Конечный пользователь должен ввести действительные учетные данные для входа в систему, которые вместе с маркером, добавленным к пакету EAP-ответа, перенаправляются коммутатором на сервер Radius (настроенный с использованием либо дополнительного модуля LTA EAP, либо прокси-сервера LTA Radius и являющийся точкой принятия решения о доступе в сеть).
4. Если учетные данные аутентификации распознаны, и маркер указывает на наличие на устройстве установленного стандартного агента, система LANDesk 802.1X NAC выполняет сканирование соответствия, которое определяет состояние устройства в соответствии с критериями, заданными пользовательской политикой безопасности. Это сканирование выполняется задачей сканирования соответствия с применением настроек соответствия, заданных на странице Соответствие (Compliance), где включена функция Выполнить сканирование 802.1X (Enforce 802.1X scan).
5. Если устройство признано исправным (или соответствующим), то ему разрешается доступ к корпоративной сети.
6. Если устройство признано неисправным (или несоответствующим), оно остается в карантинной виртуальной локальной сети. Отображается окно сообщения, в котором указано, как подключиться к серверу исправления, чтобы выполнить сканирование и исправление уязвимостей. На рабочем столе устройства создается ярлык "Исправление" (Remediation). Конечный пользователь может выбрать, остаться ли в карантинной виртуальной локальной сети или выполнить необходимые действия, чтобы продемонстрировать соответствие политике безопасности и получить полный доступ в сеть.
7. Исправление выполняется сервером исправления путем сканирования уязвимостей и других рисков нарушения безопасности (согласно указанным выше правилам обеспечения соответствия) и установки необходимых исправлений. Когда исправление устройства завершено, предпринимается новая попытка доступа, и исправному устройству разрешается доступ в корпоративную сеть.

ПРИМЕЧАНИЕ: Сканирование соответствия
Инструментальное средство исправлений и проверки соответствия позволяет создать и настроить процедуру сканирования безопасности, целью которой является проверка соответствия целевых устройств пользовательской политике безопасности. Сканирование соответствия основано на данных группы "Соответствие" (Compliance) и может выполняться в виде запланированной задачи или политики. Для получения информации об обновлении правил и политик обеспечения соответствия и повторной публикации настроек функции управления доступом в сеть см. раздел Управление обеспечением безопасности для соответствия нормативам 802.1X NAC.

Топология и структура сети

При внедрении функции управления доступом в сеть LANDesk на базе 802.1X в существующей среде сервера 802.1X Radius необходимо иметь в виду следующее:

• Сервер исправления (remediation server) и сервер Radius можно установить на одном и том же компьютере, но в случае возникновения проблем с производительностью или масштабируемостью их необходимо установить на отдельных серверных компьютерах.
• Сетевой коммутатор необходимо настроить на сквозное перенаправление по протоколу 802.1X.
• Маршрутизатор (router) необходимо настроить на использование двух подсетей виртуальной локальной сети: основной подсети, которой является корпоративная или промышленная сеть, и дополнительной подсети, которой является карантинная сеть (то есть гостевая виртуальная локальная сеть 802.1X).
• Карантинная сеть (quarantine network) маршрутизатора должна использовать списки управления доступом (ACL), чтобы устройство могло получить доступ только к серверу исправления.
• Устройства в карантинной сети не должны видеть главный сервер (core server).

Настройка сервера исправления

Установку и настройку сервера исправления необходимо выполнять только в том случае, если для изоляции неисправного устройства вместо метода самоназначения IP-адресов TCP/IP выбрано использование карантинной сети DHCP. Функция 802.1X NAC с самоназначением IP-адресов использует встроенные функции TCP/IP сетевого адаптера.

Для получения дополнительной информации и подробных инструкций см. раздел Настройка и конфигурация сервера исправления.

Настройка сервера 802.1X Radius или прокси-сервера

Как указано выше, функция LANDesk 802.1X NAC расширяет возможности существующей среды 802.1X NAC, добавляя к ней средства аутентификации и обеспечения соответствия. Для работы LANDesk 802.1X NAC необходим сервер 802.1X Radius или прокси-сервер Radius.

Используйте один из приведенных ниже методов для применения функции LANDesk 802.1X NAC.

• Использование дополнительного модуля сервера Radius IAS (для MD5)
• Использование прокси-сервера Radius (для PEAP)

ПРИМЕЧАНИЕ: Используйте дополнительный модуль сервера Radius IAS, если для EAP указан тип MD5. Используйте прокси-сервер Radius, если для EAP указан тип PEAP. (Прокси-сервер Radius можно также использовать в том случае, если имеется сервер Radius, отличный от IAS.)

В приведенных ниже разделах описаны подробные инструкции для обеих конфигураций.

ВАЖНО: Конфигурация коммутатора и маршрутизатора
После настройки сервера Radius необходимо настроить коммутатор и маршрутизатор для LANDesk 802.1X NAC в вашей сети. Поскольку в каждой сетевой среде используется свое оборудование коммутатора и маршрутизатора, нельзя предусмотреть инструкции для каждого типа оборудования. При настройке коммутатора и маршрутизатора для 802.1X NAC выполняйте основные требования к функциям и топологии сети, которые описаны в приведенных выше разделах Компоненты и процессы системы управления доступом в сеть на базе 802.1X и Топология и структура сети. Кроме того, рекомендации по настройке коммутатора и маршрутизатора и примеры файлов конфигурации можно найти на веб-сайте службы поддержки LANDesk.

Использование дополнительного модуля сервера Radius IAS (для MD5)

Используйте дополнительный модуль севера 802.1X IAS, если для аутентификации по протоколу 802.1X необходимо использовать существующий сервер IAS (или настроить новый сервер IAS).

Ниже описана процедура установки (если она необходима) и настройки сервера IAS с использованием дополнительного модуля EAP. Выполните все действия перед включением функции 802.1X NAC с консоли.

Действие 1. Установка сервера Radius и типа LTA EAP

1. Установите IAS (Internet Authentication Server — сервер аутентификации в Интернете) на сервере, который необходимо настроить в качестве сервера удаленного доступа Radius. Можно установить IAS с компакт-диска Windows 2003. (ПРИМЕЧАНИЕ. Протокол Radius поддерживается только операционными системами Windows 2000 и Windows 2003.) Следуйте инструкциям по установке.
2. Установите тип LTA EAP на сервере Radius. LTA EAP — это собственный протокол аутентификации. Установка LTA EAP выполняется с главного сервера. Назначьте диск на главный сервер, а затем запустите исполняемый файл LTAEAP.EXE, который находится в каталоге \LDMain\Install\Radius.
3. Перезагрузите сервер, чтобы зарегистрировать на нем LTA EAP.

ПРИМЕЧАНИЕ: Можно просмотреть новый тип EAP на странице свойств удаленного сервера. Для этого выберите Панель управления > Администрирование > Маршрутизация и удаленный доступ. Щелкните удаленный сервер правой кнопкой мыши, выберите Свойства, щелкните вкладку Безопасность, щелкните Методы проверки подлинности, а затем выберите Методы EAP. В списке методов появится тип LTA EAP. Если типа LTA EAP нет в списке, необходимо установить его с главного сервера.

Действие 2. Настройка и запуск службы удаленного доступа на сервере Radius

1. Щелкните Панель управления > Администрирование > Маршрутизация и удаленный доступ.
2. Щелкните сервер правой кнопкой мыши и выберите Настроить и включить маршрутизацию и удаленный доступ. Отображается окно мастера настройки маршрутизации и сервера удаленного доступа.
3. Нажмите кнопку Далее.
4. Выберите Выборочная конфигурация и нажмите кнопку Далее.
5. Выберите Удаленный доступ (через телефонную сеть) и нажмите кнопку Далее.
6. Щелкните Готово.
7. Если появится окно подтверждения, щелкните Да для запуска службы.

Действие 3. Настойка службы удаленного доступа (установка EAP в качестве предпочитаемого метода аутентификации для удаленных устройств)

1. В инструментальном средстве маршрутизации и удаленного доступа щелкните только что настроенный сервер правой кнопкой мыши и выберите Свойства.
2. На вкладке Общие проверьте, установлен ли параметр Сервер удаленного доступа.
3. На вкладке Безопасность установите флажок Протокол расширенной проверки подлинности (EAP). (Можно нажать кнопку Методы EAP, чтобы убедиться в наличии нового метода LTA EAP в списке методов.)
4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Методы проверки подлинности".
5. Нажмите кнопку ОК еще раз, чтобы закрыть диалоговое окно "Свойства".

Создание политики удаленного доступа на сервере Radius

Необходимо настроить политику удаленного доступа, которая использует для аутентификации метод EAP.

Это можно сделать либо в инструментальном средстве IAS, либо в средстве маршрутизации и удаленного доступа.

Действие 1. Создание политики удаленного доступа

1. В узле сервера удаленного доступа щелкните правой кнопкой мыши Политики удаленного доступа и выберите Создать. Откроется окно мастера политик удаленного доступа.
2. Нажмите кнопку Далее.
3. В качестве типа политики выберите Обычная, введите имя политики и нажмите кнопку Далее. (Примечание. Введите описательное имя, по которому можно легко идентифицировать политику.)
4. В качестве метода доступа выберите Ethernet и нажмите кнопку Далее.
5. Выберите Пользователь для назначения доступа (не "Группа"), затем нажмите кнопку Далее.
6. В качестве метода аутентификации выберите LTA EAP и нажмите кнопку Далее.
7. Нажмите Готово, чтобы создать политику удаленного доступа.

Действие 2. Настройка политики удаленного доступа для поддержки проводных и беспроводных сетей

1. Щелкните правой кнопкой мыши новую политику удаленного доступа и щелкните Свойства.
2. Выберите параметр Предоставить право удаленного доступа, чтобы включить поддержку беспроводной сети.
3. Щелкните OK.

Настройка (добавление) сетевых коммутаторов в качестве Radius-клиентов

Теперь необходимо добавить сетевые коммутаторы (в качестве Radius-клиентов), которые будут использоваться для аутентификации 802.1X.

Эта задача выполняется в инструментальном средстве IAS (IAS > Radius-клиенты).

Добавление коммутатора в качестве Radius-клиента позволяет серверу Radius распознавать и обрабатывать запросы аутентификации через этот коммутатор.

Создание обычного пользователя на сервере Radius

Чтобы назначить учетные данные для входа в систему, необходимо создать нового пользователя на сервере Radius. Имя пользователя и пароль этого пользователя будут определять учетные данные аутентификации для управляемых устройств, настроенных на использование 802.1X NAC и пытающихся получить доступ в сеть.

Для выполнения этой задачи используйте инструментальное средство управления компьютером сервера.

Для создания пользователя на сервере Radius выполните следующие действия:

1. На сервере Radius щелкните Пуск > Программы > Администрирование > Управление компьютером.
2. Откройте Локальные пользователи и группы, щелкните правой кнопкой Пользователи и выберите Создать пользователя.
3. Введите имя пользователя.
4. Введите и подтвердите пароль.
5. Настройте следующие параметры пароля:

• Сбросьте флажок Пользователь должен сменить пароль.
• Установите флажок Запретить смену пароля пользователем.
• Установите флажок Срок действия пароля не ограничен.
• Флажок Отключить учетную запись должен быть сброшен.

6. Щелкните Создать.

Введенные здесь имя пользователя и пароль являются учетными данными для входа в систему, которые должны быть указаны конечным пользователем в ответ на запрос учетных данных аутентификации во время аутентификации по протоколу 802.1X. Затем эти учетные данные отправляются на сервер Radius вместе с данными EAP устройства, и решается вопрос о предоставлении этому устройству доступа в сеть.

Можно также включить функцию 802.1X NAC с консоли. (Другой способ использования функции 802.1X NAC — это конфигурирование и установка прокси-сервера Radius. Для получения дополнительной информации см. раздел Использование прокси-сервера Radius (для PEAP).)

Включение функции LANDesk 802.1X NAC с помощью дополнительного модуля сервера Radius IAS

После выполнения всех описанных выше задач настройки можно включить функцию LANDesk 802.1X NAC.

Это можно сделать с консоли (Сервис > Безопасность > Управление доступом в сеть) (Tools > Security > Network Access Control).

Эта команда включает службы аутентификации 802.1X в вашей сети. Однако прежде чем можно будет управлять доступом в сеть и контролировать его посредством аутентификации 802.1X, необходимо настроить управляемые устройства с помощью агента 802.1X. См. раздел Развертывание агента LANDesk 802.1X NAC на управляемых устройствах.

Для включения функции LANDesk 802.1X NAC с помощью дополнительного модуля сервера Radius IAS выполните следующие действия:

1. В инструментальном средстве Управление доступом в сеть (Network Access Control) щелкните правой кнопкой мыши 802.1X, а затем щелкните Конфигурация 802.1X > Сервер Radius (Configure 802.1X > Radius server).
2. Установите флажок Включить сервер Radius 802.1X (Enable 802.1X Radius Server). Это включает в сети аутентификацию 802.1X (для устройств с агентом 802.1X) с использованием сервера Radius IAS с настроенным ранее дополнительным модулем EAP.
3. Для параметра Тип EAP (EAP Type) выберите значение MD5.
4. Выберите Использовать дополнительный модуль LTA EAP IAS (Use LTA EAP IAS plug-in).
5. Нажмите Сохранить.

В следующем разделе описана настройка функции LANDesk 802.1X NAC с использованием метода прокси-сервера Radius.

Использование прокси-сервера Radius (для PEAP)

Используйте прокси-сервер Radius, если необходимо использовать для EAP тип PEAP. (Прокси-сервер Radius можно также использовать в том случае, если имеется сервер Radius, отличный от IAS.)

Прокси-сервер Radius 802.1X можно установить на следующих типах серверов Radius:

• Cisco ACS
• A10 Networks
• CAMS (Comprehensive Access Management System)
• IAS (Internet Authentication Service)

ВАЖНО: Взаимодействие с программным обеспечением сервера Radius
Прокси-сервер Radius 802.1X может работать на серверах, на которых запущено программное обеспечение сервера Radius. Если сервер Radius является аппаратным, необходимо установить прокси-сервер Radius 802.1X на отдельном сервере.

Прокси-сервер Radius является промежуточным пунктом во взаимодействии между коммутатором и устройством, на котором установлен агент 802.1X. Прокси-сервер расположен между ними. Устройство выполняет аутентификацию на прокси-сервере Radius, а прокси-сервер передает имя пользователя и пароль на сервер Radius. Если на устройстве, которое пытается подключиться к сети, не установлен агент, прокси-сервер Radius запрещает доступ.

Включение функции LANDesk 802.1X NAC с помощью прокси-сервера Radius

Чтобы использовать прокси-сервер Radius, необходимо включить функцию LANDesk 802.1X NAC, настроить параметры для файла установки прокси-сервера Radius и установить прокси-сервер Radius на сервере Radius.

Это можно сделать с консоли (Сервис > Безопасность > Управление доступом в сеть) (Tools > Security > Network Access Control).

Эта команда включает службы аутентификации 802.1X в вашей сети. Однако прежде чем можно будет управлять доступом в сеть и контролировать его посредством аутентификации 802.1X, необходимо настроить управляемые устройства с помощью агента 802.1X. См. раздел Развертывание агента LANDesk 802.1X NAC на управляемых устройствах.

Для включения функции LANDesk 802.1X NAC и настройки файла установки прокси-сервера Radius выполните следующие действия:

1. В инструментальном средстве Управление доступом в сеть (Network Access Control) щелкните правой кнопкой мыши объект 802.1X, щелкните Конфигурация 802.1X (Configure 802.1X), а затем щелкните Сервер Radius (Radius Server).
   
   
   
   
2. Установите флажок Включить сервер Radius 802.1X (Enable 802.1X Radius Server). Это включает в сети аутентификацию 802.1X (для устройств с агентом 802.1X) после установки настраиваемого здесь прокси-сервера Radius.
3. Для параметра Тип EAP (EAP type) выберите значение PEAP.
4. Если необходимо проверить главный сервер, установите флажок Включить проверку главного сервера на прокси-сервере (Enable core server check at proxy).
5. Выберите Использовать прокси-сервер Radius LTA (Use LTA Radius proxy).
6. Введите информацию для основного сервера Radius. (Если необходимо использовать резервный сервер Radius, введите также информацию для дополнительного сервера.)
7. Введите имя файла установки прокси-сервера Radius (MSI). Файл установки создается в каталоге LDMAIN\Install\Radius. Можно иметь несколько установок прокси-сервера Radius. (ПРИМЕЧАНИЕ. Прокси-сервер Radius поддерживается на всех 32-разрядных платформах Windows.)
8. Нажмите Сохранить.

Для установки прокси-сервера Radius выполните следующие действия:

1. С сервера, который необходимо настроить с использованием прокси-сервера Radius 802.1X, подключитесь к главному серверу и откройте папку, в которой был сохранен файл установки прокси-сервера.
2. Дважды щелкните файл MSI, чтобы запустить установку.
3. После завершения установки нажмите Закрыть (Close). Перезагрузка системы не требуется.

Установка прокси-сервера Radius добавляет данные в системный реестр сервера (например, адрес и информацию порта).

ПРЕДУПРЕЖДЕНИЕ: Не поддерживается на 64-разрядных платформах
Не устанавливайте прокси-сервер Radius в ОС Windows 98 или на каких-либо 64-разрядных платформах.

В приведенном ниже разделе описаны диалоговые окна, в которых выполняются указанные выше задачи.

Диалоговое окно настроек конфигурации 802.1X

Это диалоговое окно используется для выбора сервера исправления, публикации настроек управления доступом в сеть на сервере исправления, а также для включения функции 802.1X NAC в сети.

При использовании дополнительного модуля сервера Radius IAS необходимо просто включить сервер Radius и определить тип EAP (MD5), а затем выбрать параметр использования дополнительного модуля IAS.

При использовании прокси-сервера Radius необходимо не только включить сервер Radius и определить тип EAP (PEAP), но также настроить файл установки прокси-сервера Radius, а затем установить прокси-сервер Radius на целевой сервер.

Это диалоговое окно содержит две страницы:

Страница серверов исправления

• Добавить (Add): Открывает диалоговое окно для указания сервера исправления, который будет использоваться для исправления неисправных устройств, помещенных в карантинную сеть. Для получения информации о сервере исправления нажмите кнопку "Справка" (Help). Сервер исправления содержит необходимые файлы настройки и поддержки (клиент защиты, определения типов безопасности и требуемые исправления), а также страницы исправлений в формате HTML, которые используются при сканировании устройств на предмет уязвимых мест в соответствии с вашей политикой безопасности. Используя эти ресурсы, сервер исправлений исправляет любые обнаруженные уязвимости, что позволяет выполнить сканирование устройства, признать его исправным (или соответствующим требованиям) и разрешить ему доступ в сеть.
• Удалить (Remove): Удаляет выбранный сервер исправления.
• Изменение (Modify): Позволяет изменить выбранный сервер исправления.
• Опубликовать (Publish): Открывает диалоговое окно, позволяющее опубликовать настройки функции управления доступом в сеть на сервере проверки состояния и сервере исправления.

Страница сервера Radius

• Включить сервер Radius 802.1X (Enable 802.1X Radius Server): Включает поддержку LANDesk 802.1X NAC (аутентификация и проверка соответствия).ПРИМЕЧАНИЕ.
  
  ПРИМЕЧАНИЕ. По умолчанию этот параметр отключен, что разрешает доступ в сеть каждому подключающемуся устройству независимо от того, исправно оно или нет. Если необходимо разрешить доступ в сеть всем устройствам, оставьте этот параметр отключенным.
  
  
• Тип EAP (EAP Type): Определяет тип EAP, который используется при аутентификации 802.1X. Для использования прокси-сервера Radius выберите значение PEAP. Для использования дополнительного модуля сервера Radius IAS выберите значение MD5.
• Использовать дополнительный модуль LTA EAP IAS (Use LTA EAP IAS plug-in): Выберите этот параметр для использования существующего сервера IAS.
• Использовать прокси-сервер Radius LTA (Use LTA Radius proxy): Выберите этот параметр, чтобы использовать для EAP тип PEAP. Выбрав этот параметр, можно настроить файл установки прокси-сервера Radius 802.1X.
• Прокси-сервер Radius (Radius proxy): Введите информацию для основного сервера Radius. (Если необходимо использовать резервный сервер Radius, введите также информацию для дополнительного сервера.)
  • Адрес сервера Radius (Radius server address): Определяет IP-адрес вашего сервера Radius.
  • Порт сервера Radius (Radius server port): Определяет номер порта вашего сервера Radius. По умолчанию для аутентификации Radius используется порт UDP 1812.
  • Общий ключ (Shared key): Определяет общий ключ (или общий секрет), который обеспечивает безопасное взаимодействие между коммутатором и сервером Radius. Общий ключ — это текстовая строка. Указанная здесь строка должна соответствовать строке общего ключа, установленной на коммутаторе и на сервере Radius.
• Порт прокси-сервера Radius (Radius proxy port): Определяет номер порта вашего прокси-сервера Radius. Этот порт взаимодействует с коммутатором. Обратите внимание, что этот порт должен отличаться от порта сервера Radius (описан выше), если они находятся на одном и том же компьютере.
• Порт перенаправления прокси-сервера Radius (Radius proxy forwarding port): Определяет номер порта перенаправления вашего прокси-сервера Radius. Этот порт направляет данные на сервер Radius.
• Имя файла установки прокси-сервера (Proxy install file name): Определяет файл установки прокси-сервера Radius. Файл установки создается в подкаталоге LDMain в каталоге Install\Radius\. Можно создать несколько файлов установки прокси-сервера Radius. Прокси-сервер Radius поддерживается на всех 32-разрядных платформах Windows.

Развертывание агента LANDesk 802.1X NAC на управляемых устройствах

Последним этапом настройки поддержки функции LANDesk 802.1X NAC является развертывание агента 802.1X на целевых устройствах.

Это обеспечивает сканирование соответствия и позволяет управляемым устройствам пройти аутентификацию и либо получить доступ в сеть, либо попасть в карантинную сеть и подвергнуться исправлению.

Для развертывания агента 802.1X на управляемых устройствах выполните следующие действия:

1. В инструментальном средстве Конфигурация агента (Agent Configuration) щелкните Новая конфигурация Windows (New Windows Configuration), откройте узел Безопасность и соответствие (Security and Compliance), а затем щелкните Поддержка LANDesk 802.1X (LANDesk 802.1X support).
   
   
   
   
2. Установите флажок Включить поддержку LANDesk 802.1X (Enable LANDesk 802.1X support).
   
   ВАЖНО! Этот параметр недоступен, если в средстве NAC в консоли не включен сервер Radius 802.1X.
   
   ПРИМЕЧАНИЕ. Функция 802.1X NAC использует тип EAP, заданный в средстве управления доступом в сеть (PEAP или MD5). Настройка типа EAP действует в пределах данного главного сервера. Другими словами, все устройства, использующие данную конфигурацию агента, получат заданный в консоли тип EAP.
   
   
3. Если для EAP используется тип PEAP, щелкните Конфигурация (Configure).
   
   
   
   
4. Укажите следующие параметры PEAP а затем нажмите ОК.
   • Подтверждение сертификата сервера (Validate server certificate): Указывает, что файлу сертификата от сервера Radius можно доверять.
   • Подключиться к серверам (Connect to these servers): Позволяет использовать другое средство проверки, разрешая указать конкретные серверы, которым можно доверять. Введите имена серверов (полные доменные имена) через запятую.
   • Доверенный корневой центр сертификации (Trusted root certification authority): Импортирует файл доверенного сертификата.
   • Не просить пользователя авторизовать новый сервер (Do not prompt user to authorize new server): Отключает запрос авторизации на устройствах конечных пользователей.
   • Автоматически использовать имя для входа и пароль Windows (Automatically use Windows logon name and password): Использует учетные данные для входа Windows, поэтому их не приходится вводить несколько раз.
   • Разрешить быстрое переподключение (Enable Fast Reconnect): Кэширует учетные данные для входа, чтобы быстро войти в систему в случае возникновения тайм-аута устройства.
5. В диалоговом окне "Конфигурация агента" выберите метод, который необходимо использовать для изоляции неисправных устройств. (Используйте IP-адрес из самоназначаемого диапазона или DHCP в карантинной сети.)
6. Настройте время автоматической изоляции, указав время, которое должно пройти с последнего сканирования состояния устройства до того, как оно будет признано неисправным, отключено от корпоративной сети и помещено в карантинную сеть.
7. Укажите другие параметры конфигурации агента устройства, которые будут использоваться для конфигурирования целевых устройств.
8. Нажмите Сохранить.

Теперь можно развернуть конфигурацию агента на целевых устройствах, на которых будет использоваться функция LANDesk 802.1X NAC, а затем создать задачи сканирования соответствия, которые будут проверять устройства с поддержкой 802.1X на предмет соответствия вашей политике безопасности.

Создание задач сканирования соответствия

Функция управления доступом в сеть выполняет сканирование соответствия с целью определения состояния устройства согласно критериям, определенным в пользовательской политике безопасности.

Использование настроек соответствия

Сканирование соответствия выполняется задачей сканирования соответствия с применением настроек соответствия, заданных на странице Соответствие (Compliance), где включена функция Выполнить сканирование с поддержкой 802.1X (Enforce 802.1X supported scan).

Для создания процедур сканирования соответствия используйте инструментальное средство исправлений и проверки соответствия (Сервис > Безопасность > Служба исправлений и проверки соответствия (Tools > Security > Patch and Compliance)). Подробные инструкции приведены в разделе Создание задач сканирования безопасности и проверки соответствия.

ПРИМЕЧАНИЕ: Сканирование соответствия
Инструментальное средство исправлений и проверки соответствия позволяет создать и настроить процедуру сканирования безопасности, целью которой является проверка соответствия целевых устройств пользовательской политике безопасности. Сканирование соответствия основано на данных группы "Соответствие" и может выполняться в виде запланированной задачи или политики. Для получения информации об обновлении правил и политик обеспечения соответствия и повторной публикации настроек функции управления доступом в сеть см. раздел Управление обеспечением безопасности для соответствия нормативам 802.1X NAC.

Настройка коммутатора и маршрутизатора для поддержки LANDesk 802.1X NAC

Для выполнения аутентификации и проверки соответствия функции LANDesk 802.1X NAC необходимы коммутатор и маршрутизатор.

Поскольку в каждой сетевой среде используется свое оборудование коммутатора и маршрутизатора, нельзя предусмотреть инструкции для каждого типа оборудования. Однако в общем случае коммутатор и маршрутизатор, настраиваемые для использования с функцией LANDesk 802.1X NAC, должны соответствовать требованиям к функциональным возможностям и топологии, описанным в приведенных выше разделах. Для получения дополнительной информации см. разделы Компоненты и процессы системы управления доступом в сеть на базе 802.1X и Топология и структура сети.

Кроме того, рекомендации по настройке коммутатора и маршрутизатора и примеры файлов конфигурации можно найти на веб-сайте службы поддержки LANDesk.

На форумах сообщества пользователей LANDesk приведены передовые методы использования всех продуктов и технологий LANDesk. Этот ценный ресурс находится по адресу: http://community.landesk.com

Работа управляемых устройств, на которых используется функция LANDesk 802.1X NAC

Когда управляемое устройство, настроенное на использование LANDesk 802.1X NAC, пытается подключиться к сети, происходит следующее:

1. Отображается окно запроса данных для входа, в котором необходимо ввести имя пользователя и пароль.
2. Конечный пользователь должен ввести правильные учетные данные для аутентификации.
3. Учетные данные отправляются на сервер Radius 802.1X (вместе с данными EAP), чтобы начать сканирование соответствия на устройстве конечного пользователя.
4. Сканирование соответствия определяет, является ли устройство исправным (соответствующим) или неисправным (несоответствующим) согласно пользовательской политике безопасности.

Если сканируемое устройство исправно, то ему разрешается доступ к корпоративной сети.

ИЛИ

Если сканируемое устройство неисправно, оно помещается в карантинную сеть, где оно затем может быть исправлено (через ярлык "Исправление" на рабочем столе устройства) и просканировано еще раз, чтобы получить доступ к корпоративной сети.

Для получения более подробного описания процесса аутентификации и проверки соответствия, а также информации о взаимодействии различных компонентов см. раздел Компоненты и процессы системы управления доступом в сеть на базе 802.1X.

ВАЖНО: Ручной сброс аутентификации 802.1X на устройстве конечного пользователя
Если аутентификация не удалась, хотя вы уверены в правильности введенных учетных данных для входа, можно вручную выполнить сброс локальной сетевой платы, чтобы повторить попытку аутентификации. На управляемом устройстве щелкните Пуск > LANDesk > Сброс 802.1X.

Перед запуском функции сброса 802.1X не забудьте закрыть все открытые всплывающие диалоговые окна Windows. В противном случае не будет отображаться окно входа в систему. Если диалоговое окно входа пропадает слишком быстро, это, скорее всего, вызвано тайм-аутом состояния LINK-3-UPDOWN. Просто попробуйте еще раз выполнить сброс 802.1X.

Поиск и устранение неисправностей LANDesk 802.1X NAC

В этом разделе приведена информация о некоторых проблемах, которые могут возникнуть при использовании функции LANDesk 802.1X NAC, и их решении.

Запланированная задача сканирования соответствия возвращает состояние "потеря подключения"
Причиной того, что запланированная задача сканирования соответствия 802.1X возвращает состояние "потеря подключения" целевым устройством или "ошибка выполнения задачи", может быть отправка состояния задачи на главный сервер в момент перезагрузки машины. Если отображается такое состояние, проверьте целевое устройство, чтобы узнать, помещено оно в карантинную сеть или нет.

При использовании коммутатора Huawei отображается несколько запросов данных для входа 802.1X
Если при использовании коммутатора Huawei уровня 2 (серии H3C S3900 Series) на устройстве отображается несколько запросов данных для входа 802.1X и конечный пользователь отменяет или закрывает один из них, не введя правильные учетные данные, то процесс аутентификации 802.1X прекращается. В этом случае пользователи должны ввести правильные учетные данные в каждом окне входа. Если аутентификация прекратилась, используйте функцию сброса 802.1x для перезапуска процесса аутентификации.

При использовании устройства с ОС Windows XP с пакетом обновления 2 происходит ошибка первой аутентификации после исправления
Если после исправления неисправного устройства конечного пользователя, на котором работает ОС Windows XP с пакетом обновления 2, произошла ошибка последующей аутентификации, можно использовать функцию сброса аутентификации 802.1X для перезапуска процесса аутентификации и успешного входа в корпоративную сеть.

Если сервер Radius недоступен, устройство не может выполнить аутентификацию
Если сервер Radius 802.1X недоступен и не может взаимодействовать с агентом LTA EAP на устройстве конечного пользователя, то устройство помещается в карантинную сеть. При этом на нем отсутствует нужная конфигурация, поэтому его нельзя исправить, и оно не может выполнить аутентификацию. Необходимо дождаться, когда сервер Radius станет доступным, а затем использовать функцию сброса аутентификации 802.1X для данного устройства, чтобы перезапустить процесс аутентификации.

Функция 802.1X предназначена только для настольных платформ
Функция 802.1X не поддерживается на серверных платформах.