Inleiding
Dit document beschrijft een probleem dat is opgetreden met Machine Access Restriction (MAR) en biedt een oplossing voor het probleem.
Voorwaarden
Met de groei van persoonlijk-bezeten apparaten, is het belangrijker dat ooit voor systeembeheerders om een manier te verstrekken om toegang tot bepaalde delen van het netwerk tot bedrijfsactiva slechts te beperken. Het probleem dat in dit document wordt beschreven, heeft betrekking op de manier waarop deze probleemgebieden veilig kunnen worden geïdentificeerd en geverifieerd zonder de gebruikersconnectiviteit te verstoren.
Vereisten
Cisco raadt u aan kennis te hebben van 802.1X om dit document volledig te begrijpen. Dit document veronderstelt vertrouwdheid met de authentificatie van gebruiker 802.1X, en benadrukt de problemen en de voordelen verbonden aan het gebruik van MRT, en meer in het algemeen, machineverificatie.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Probleem
MAR probeert in principe een veelvoorkomend probleem op te lossen dat inherent is aan de meeste van de huidige en populaire EAP-methoden, namelijk dat machine-verificatie en gebruikersverificatie afzonderlijke, niet-gerelateerde processen zijn.
Gebruikersverificatie is een 802.1x-verificatiemethode die de meeste systeembeheerders kennen. Het idee is dat referenties (gebruikersnaam/wachtwoord) worden gegeven aan elke gebruiker, en die reeks referenties vertegenwoordigt een fysieke persoon (het kan ook worden gedeeld tussen verschillende mensen). Daarom kan een gebruiker inloggen vanaf elke locatie in het netwerk met deze referenties.
Een machine authenticatie is technisch hetzelfde, maar de gebruiker wordt meestal niet gevraagd om de referenties (of certificaat) in te voeren; de computer of machine doet dat alleen. Hiervoor moet de machine al aanmeldingsgegevens hebben opgeslagen. De gebruikersnaam die wordt verzonden is host/<MyPCHostname>, mits uw machine <MyPCHostname> als hostnaam heeft ingesteld. Met andere woorden, het verzendt host/ gevolgd door uw hostname.
Hoewel niet direct verwant aan Microsoft Windows en Cisco Active Directory, wordt dit proces gemakkelijker gemaakt als de machine wordt aangesloten bij Active Directory omdat de computer hostname wordt toegevoegd aan de domeindatabase, en de referenties worden besproken (en elke 30 dagen door gebrek vernieuwd) en opgeslagen op de machine. Dit betekent dat machine-authenticatie mogelijk is vanaf elk type apparaat, maar het wordt veel gemakkelijker en transparanter gemaakt als de machine wordt aangesloten bij Active Directory, en de referenties blijven verborgen voor de gebruiker.
MAR als oplossing
Het is gemakkelijk om te zeggen dat de oplossing voor Cisco Access Control System (ACS) of Cisco Identity Services Engine (ISE) is om MRT te voltooien, maar er zijn voor- en nadelen om rekening mee te houden voordat dit is geïmplementeerd. Hoe dit te implementeren wordt het best beschreven in ACS of ISE-gebruikershandleidingen, dus dit document beschrijft alleen of u het al dan niet in overweging neemt, en enkele mogelijke wegblokkeringen.
De voors
MRT is uitgevonden omdat gebruikers- en machine-authenticaties volledig gescheiden zijn. Daarom kan de RADIUS-server geen verificatie afdwingen wanneer gebruikers zich moeten aanmelden vanaf apparaten die het eigendom van het bedrijf zijn. Met MRT dwingt de RADIUS-server (ACS of ISE, aan de Cisco-kant) voor een bepaalde gebruikersverificatie af dat er in de X-uren (meestal 8 uur, maar dit is configureerbaar) een geldige machinechtheidscontrole moet zijn die voorafgaat aan de gebruikersverificatie voor hetzelfde eindpunt.
Daarom slaagt een machine-verificatie als de machine-referenties bekend zijn bij de RADIUS-server, doorgaans als de machine is aangesloten bij het domein, en de RADIUS-server verifieert dit met een verbinding met het domein. Het is volledig aan de netwerkbeheerder om te bepalen of een succesvolle machineverificatie volledige toegang tot het netwerk biedt, of alleen een beperkte toegang; doorgaans opent dit ten minste de verbinding tussen de client en de Active Directory, zodat de client dergelijke acties kan uitvoeren, zoals het verlengen van het gebruikerswachtwoord of het downloaden van Group Policy Objects (GPO's).
Als een gebruikersverificatie afkomstig is van een apparaat waarin de verificatie van de machine in de afgelopen uren niet heeft plaatsgevonden, wordt de gebruiker geweigerd, zelfs als de gebruiker normaal gesproken geldig is.
Volledige toegang wordt alleen aan een gebruiker verleend als de authenticatie geldig en voltooid is vanaf een eindpunt waar in de afgelopen uren een machine-authenticatie heeft plaatsgevonden.
De Voordelen
Deze sectie beschrijft de cons van MAR gebruik.
MAR en Microsoft Windows-supplicant
Het idee achter MAR is dat om een gebruikersverificatie te laten slagen, niet alleen die gebruiker geldige referenties moet hebben, maar ook een succesvolle machineverificatie moet worden vastgelegd vanaf die client. Als dat een probleem is, kan de gebruiker geen authenticatie uitvoeren. Het probleem dat zich voordoet is dat deze functie soms per ongeluk een legitieme client kan uitsluiten, wat de client dwingt om te herstarten om toegang te krijgen tot het netwerk.
Microsoft Windows voert de verificatie van de machine alleen uit op het moment van opstarten (wanneer het inlogscherm verschijnt); zodra de gebruiker de gebruikersreferenties invoert, wordt een gebruikersverificatie uitgevoerd. Ook, als de gebruiker zich afmeldt (keert terug naar het inlogscherm), wordt een nieuwe machine-verificatie uitgevoerd.
Hier is een voorbeeldscenario dat aantoont waarom MAR soms problemen veroorzaakt:
Gebruiker X werkte de hele dag aan zijn laptop, die was verbonden via een draadloze verbinding. Uiteindelijk sluit hij gewoon de laptop en verlaat hij het werk. Hierdoor komt de laptop in de winterslaap. De volgende dag komt hij terug naar kantoor en opent zijn laptop. Nu kan hij geen draadloze verbinding tot stand brengen.
Wanneer Microsoft Windows overwintert, neemt het een momentopname van het systeem in zijn huidige staat, die de context omvat van wie het programma werd geopend. In één klap verloopt de MRT-cached vermelding voor de user laptop en wordt gewist. Wanneer de laptop echter wordt ingeschakeld, voert deze geen machinale verificatie uit. Het gaat in plaats daarvan direct naar een gebruikersauthenticatie, omdat dat was wat de winterslaap opnam. De enige manier om dit op te lossen is de gebruiker uit te loggen, of zijn computer opnieuw op te starten.
Hoewel MAR een goede eigenschap is, heeft het het potentieel om netwerkverstoring te veroorzaken. Deze verstoringen zijn moeilijk op te lossen tot u begrijpt de manier waarop MAR werkt; wanneer u MRT implementeert, is het belangrijk om de eindgebruikers te informeren over hoe computers op de juiste manier af te sluiten en af te melden van elke machine aan het eind van elke dag.
MRT- en verschillende RADIUS-servers
Het is gebruikelijk om verschillende RADIUS-servers in het netwerk te hebben voor taakverdeling en redundantie. Niet alle RADIUS-servers ondersteunen echter een gedeeld MAR-sessiecache. Alleen ACS versies 5.4 en hoger, en ISE versie 2.3 en hoger ondersteunen MAR cache synchronisatie tussen knooppunten. Vóór deze versies is het niet mogelijk om een machine-authenticatie uit te voeren tegen één ACS/ISE-server, en om een gebruikersverificatie uit te voeren tegen een andere, aangezien ze niet met elkaar overeenkomen.
MRT en bekabelde draadloze switching
De MAR cache van veel RADIUS-servers is afhankelijk van het MAC-adres. Het is gewoon een tabel met het MAC-adres van laptops en de tijdstempel van hun laatste succesvolle machine-verificatie. Op deze manier kan de server weten of de client in de afgelopen X uur machinaal is geverifieerd.
Maar wat gebeurt er als je je laptop opstart met een bekabelde verbinding (en dus een machine-verificatie doet vanaf je bekabelde MAC) en dan overdag switches naar een draadloze verbinding? De RADIUS-server heeft geen mogelijkheden om uw draadloze MAC-adres te correleren met uw bekabelde MAC-adres en om te weten dat u in de afgelopen X uur machinaal bent geverifieerd. De enige manier is om af te melden en Microsoft Windows een andere machine-verificatie te laten uitvoeren via de draadloze verbinding.
Oplossing
Cisco AnyConnect heeft onder andere het voordeel dat vooraf ingestelde profielen worden gemaakt waarmee machine- en gebruikersverificatie wordt geactiveerd. Dezelfde beperkingen als bij Microsoft Windows-applicatie worden aangetroffen met betrekking tot de verificatie van de machine die alleen optreedt bij afmelden of opnieuw opstarten.
Ook is het met AnyConnect versies 3.1 en hoger mogelijk om EAP-FAST uit te voeren met EAP-ketting. Dit is in principe één verificatie, waarbij je twee paren van referenties, de gebruikersnaam/het wachtwoord van de machine en de gebruikersnaam/het wachtwoord, tegelijkertijd verstuurt. ISE, dan, eenvoudiger controles dat beiden succesvol zijn. Met geen cache gebruikt en geen noodzaak om een vorige sessie op te halen, dit biedt een grotere betrouwbaarheid.
Wanneer de pc wordt opgestart, verstuurt AnyConnect alleen machineverificatie omdat er geen gebruikersinformatie beschikbaar is. Na gebruikersaanmelding worden echter zowel de machine- als de gebruikersreferenties tegelijkertijd verzonden door AnyConnect. Ook als u wordt losgekoppeld of de kabel loslaat/opnieuw koppelt, worden de machine- en gebruikersreferenties opnieuw verzonden in één EAP-FAST-verificatie, die verschilt van de eerdere versies van AnyConnect zonder EAP-koppeling.
EAP-TEAP is de beste oplossing op lange termijn omdat het speciaal is gemaakt om dit soort verificaties te ondersteunen, maar EAP-TEAP wordt nog steeds niet ondersteund in de oorspronkelijke applicatie van veel OS vanaf deze dag