管控BYOD行為 保障網絡安全

■ 河南 劉景云

編者按： BYOD其實就是帶上自己的設備（例如筆記本電腦、手機等）到單位工作，接入方式也更加多樣化（例如有線、無線、VPN等），而單位也不再為員工專門配置設備，這樣不僅可以節約成本，還可以提高員工工作的靈活性。但是BYOD對網絡安全造成了不可忽視的威脅。

使用ISE安全管理BYOD行為

對于思科ISE（身份識別引擎）設備來說，可以對有線/無線接入進行控制，允許/禁止哪些員工可以使用自帶設備，是否允許其進行注冊，注冊之后發放證書，并使用證書進行安全認證，可以幫助員工配置網絡參數，對自帶設備進行各種控制。

當自帶設備（尤其是手機等移動設備）丟失后可以通過申報注銷證書，以防止被惡意用戶非法利用，并允許員工注冊新的自帶設備等。

對于ISE的BYOD管理方式來說，主要解決了如何有效頒發證書（即允許用戶注冊設備，自動為其頒發證書）和如何有效的識別和管理自帶設備（即可以智能識別不同的設備，為其發放的證書以及配置的權限也不相同）的問題。

搭建實驗網絡環境

在本例中存在思科某款無線控制器，一臺名為SW1核心交換機，一臺名為SW2的接入交換機。

在SW2上創建了一個VLAN（例如 VLAN 200）并配置了Trunk，作為純粹的接入設備。分別通過對應的接口連接AP和SW1。

對于核心交換機SW1來說，劃分了不同的VLAN和SVI，啟用了三層路由，配置DHCP地址池。例如創建VLAN100來連接管理主機，Windows Server域 控，WLC控制器管理接口以及ISE設備等。

創建VLAN 200來包含特定的接口連接SW1，并為其開啟Trunk。創建VLAN 300來和WLC的端口進行綁定，支持客戶端連接和傳輸對應的流量等。

之后創建創建CA證書服務器，這里使用的是Windows Server 2008域控制器，在其中創建CA證書服務。注意需要選擇“證書頒發機構”和“證書頒發機構Web注冊”項，具體不再詳述。

配置設備注冊服務，創建CA證書模版

在域控上將Administrator添 加 到IIS_IUSERS組，在服務器管理器選擇“角色” →“Active Directory證書服務”項，在右側選擇“添加角色服務”項，在向導界面中選擇“網絡設備注冊服務”。點擊“選擇用戶”，輸入賬戶和密碼。在管理主機上打開瀏覽器訪問“https://kpwin2008.xxx.com/certsrv/mscep_admin”，如果顯示注冊質詢密碼，說明上述配置生效。

在域控上打開服務器管理器，在左側選擇“角色” →“Active Directory證書服務”→“CA名稱”→“證書模版”項，在右鍵菜單上點擊“管理”項，在證書模版控制臺中選擇“用戶”模版，在右鍵菜單菜單上點擊“復制模版”項，在該模版屬性窗口中的“常規”面板中輸入名稱（如“USER_BYOD”），在“請求處理”面板中不選擇“允許導出私鑰”項，確保證書的唯一性。在“使用者名稱”面板中選擇“在請求中提供”項，允許用戶提供名稱信息。在“安全”面板中選擇“Administrator”賬戶，選擇“完全控制”項。

在證書模版窗口右鍵菜單上點擊“新建”→“要頒發的證書模版”項，選擇上述證書模版項，將其添加到證書列表中。在注冊表編輯器中打開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEP”分支，在右側雙擊“EncryptionTemplate”、“GeneralPurposeTemplate”、“SignatureTemplate”等鍵值名，將內容均修改為上述證書模版名稱（如“USER_BYOD”）。 選 擇“MSCEP”→“EnforcePassword”，在雙擊“EnforcePassword”鍵值名，將其值修改為“0”，省卻了每次注冊都需要輸入注冊質詢密碼的繁瑣。之后重啟證書服務。在域控上創建對應的OU（如“BYODUnit”），創建所需的組（如“EmployGrp”）和賬戶（如“User1”）。

在ISE上安裝CA證書及配置SCEP協議

訪 問“h t t p s://k p w i n 2 0 0 8.x x x.c o m/certsrv”，在證書申請頁面中下載根證書（例如rootzs.pem”），本例中使用的 IS 設備版本號為V2.3。

在上述ISE管理界面左 側 點 擊“Certificate Authority” →“External CA Settings” 項， 在 右側 點 擊“Add”按 鈕，在“Add SCEP RA Profile”窗口中輸入名稱和描述信息，在“*URL”欄中輸入“https://kpwin2008.xxx.com/certsrv/mscep/mscep.dll”，這里只是舉例，要根據實際的域名進行輸入。點擊“Test Connection”按鈕，可以測試連接是否成功。

點 擊“Certificate Authority” →“Certificate Templates”項，在右側點擊“Add”，輸入證書模版名稱（如“SCEPZS”）和描述信息，輸入申請證書所需組織等信息。在“*SCEP RA Profile”列表總選擇上述SCEP RA Profile的名稱。

之所以要創建證書模版，在于當客戶通過ISE向CA申請證書時，實際上只提交名稱信息，其余的信息需要借助該模版進行添加。注意，SCEP即即簡單證書提交協議。

實現網絡信息自動配置

在ISE界面工具欄上點 擊“Policy” →“Policy Elements”→“Results”，點擊“Client Provisioning”→“Resource”，在 右 側 點 擊“Add”-“Native Supplicant Profile”按鈕，輸入名稱（如“NSPZ”）和描述信息，在“Eireless Profile(s)” 欄中點擊“Add”按鈕，可以添加無線配置信息，在打開窗口中輸入SSID名稱（如“BYOD_SSID”）。 在“Security*”列表中選擇“WPA2 Enterprise”項， 在“Allowed Protocol”列表中選擇“TLS”項，在“Certificate Template”列表中選擇上述證書模版（如“SCEPZS”）。

點 擊“O p t i o n a l Settings”項，在擴展面板中的“Authentication Mode”列表中選擇“User”項，表示進行用戶認證。點擊“Save”按鈕保存配置信息。

當然在“Wired Profile”欄中可以設置有線網絡認證信息。在ISE工具欄上點 擊“Policy”→“Client Provisioning”項，列出ISE支持的設備系統類型，包括IOS、Android、Windows、Mac OS等。

例如選擇“Android”項，在其右側點擊“Edit”鏈接，在編輯區域的“Results”列中點擊“+”項，在“Wizard Profile”欄中選擇上述資源配置策略的名稱（如“NSPZ”）。可以針對以上所有類型，分別設置上述資源配置策略。

導入域賬戶，創建NGD管理組

在ISE界面工具欄中點 擊“Administration”→“External Identity Source”項，選 擇“Active Directory”項，在右側點擊“Add”按鈕，在“*Join Point Name”欄中中輸入連接名稱， 在“Active Directory Domain ”欄中輸入域名，點擊“Submit”，輸入域管理員名稱和密碼，確定后加入到域環境中。

在Group面板中點擊“Add” →“Select Group From Directory” 項， 在“Select Directory Groups”窗口中點擊“Retrieve Groups”，列出該域中所有的組，選擇上述“EmployGrp”組，點擊“OK”按鈕添加進來。為便于訪問ISE設備，需要在DNS服務中創建相應的A記錄。

為了便于ISE管理網絡設備，可以在其管理界面中點 擊“Administration”→“Network Device Groups”項，點擊“Add”按鈕，輸入NGD組名稱（如“NDGROUP1”）和 描 述 信 息，在“Parent Group”列 表 中 選 擇“All Device Types” 項，點 擊“Save”按鈕創建該組。在工具欄工具欄上點擊“Network Devices”項，在左側選擇“Network Devices”項，在右 側 點 擊“Generate PAC”按鈕，在打開界面中點擊“Add”按鈕，輸入設備的名稱（如“WLCKZ”），這里針對的是無線控制器，輸入其管理端口的IP地址，在“Device Type”列表中選擇上述創建的NDG組名稱。在“RADIUS Authentication Settings”面板中的“*Shared Secret”欄中輸入WLC設備的管理員密碼。

在WLC上配置ACL管理規則

登錄到WLC設備管理界面，在工具欄上點擊“SECURITY”項，在左側點擊“Access Control Lists”→“Access Control Lists”項，在 右 側 選 擇“Enable Counters”項。點擊“New…”按鈕，輸入該ACL名稱（例如“ACL1”），點擊“Apply”按鈕保存配置。

該列表的作用在于在沒有獲取證書認證之前，允許放行的流量。在其屬性窗口中的“Souce”列 表 中 選 擇“Any”，在“Destination”列表中選擇“Any”，在“Protocol”列 表中 選 擇“UDP”，在“Source Port”列表中選擇“Any”，在“Destination Port”列表選擇“DNS”項，在“Action”列表中選擇“Permit”項，放行和DNS相關的流量。

點 擊“Add New Rule”按鈕，創建新的條目，創建與上述幾乎相同的內容，所不同的是在“Source Port”列表中選擇“DNS”，在“Destination Port”列表選擇“Any”項。

這是因為在WLC控制規則中，需要對進出的流量分別控制。同理創建兩個新的條目，分別在“Source”和“Destination”列表中選擇“IP Address”項，輸入ISE的管理口地址，放行和ISE設備相關的數據流量。

按照同樣方法，創建兩個新的條目，分別針對特定的DNS服務器地址（例如172.217.0.0，216.58.0.0等）放行流量。

再創建一個新條目，在“Action”列表中選擇“Deny”項，禁止其他的所有流量。

按照同樣的方法，創建名為“ACL2”的訪問控制列表，主要禁止訪問公司內部網絡。在其屬性窗口的“Destination”列表中選擇“IP Address”項，輸入公司內部的特定地址，其余列表均 選 擇“Any”，在“Action”列表中選擇“Deny”項，禁止訪問該地址。

同理可以創建多個條目，禁止訪問所需的目標地址，最后創建一個條目，放行所有流量。按照同樣的方法，創建名為“ACL3”的訪問控制列表，在其中添加一個條目，允許放行所有的流量。

在ISE上創建認證規則

在ISE管理界面中點擊“Policy”→“Results”項，點 擊“Authorization” →“Authrozation Profiles”項，在 右 側 點 擊“NSP_Onboard”項，在其屬性窗口中的“Common tasks”面板中選擇“Web Redirection”項，在“ACL”欄中輸入上述“ACL1”的列表名，點擊“Save”按鈕保存配置信息。點擊“Policy”→“Results”項，在右側點擊“Add”按鈕，輸入新的認證項目名稱（例 如“Pocl01”）， 在“Common Tasks”面板中選擇“Airespace ACL Name”項，輸入上述“ACL2”的列表名，這里主要針對手機等移動設備進行控制，僅僅允許其訪問內部網絡。

同理，創建新的認證項目（例如名為“Pocl02”），在“Common Tasks”面板中選擇“Airespace ACL Name”項，輸入上述“ACL3”的列表名，允許訪問所有的網絡資源。在ISE管理界面中點擊“Policy”→“Profiling”項，在左側選擇“Logical Profiles”項。在右側點擊“Add”按鈕，輸入名稱（例如“Hzgrp”）， 在“Avilable Policies”列表中顯示ISE支持的所有設備類型（例如“Apple-Device”等），可以選擇多個設備，點擊“>”按鈕，將其添加進來，這里針對手機設備創建設邏輯設備集。

同理，可以針對不同的設備類型，創建多個Logical Profiles項目。

在ISE上配置BYOD安全策略

在ISE管理界面中點擊“Policy” →“PolicySets”項， 打 開“Default” 默認策略集，選擇其中的“Authorization Policy”項，在其中激活名為“Employee_Onboarding”和“Employee_EAP-TLS”的策略，在后者的“Profiles”列中選擇上述名為“ACL3”的策略。

選 擇“Employee_EAPTLS”策略項，在其右側點擊設置按鈕，在彈出菜單中選擇“Duplicate ablove”項，在其上部復制一個策略。將其名稱修改為“Employee_EAP-TLS_Phone”， 在“Conditions”列中點擊屬性參數，在編輯界面中點擊“New”按鈕，在編輯欄中打開設置界面，在其中的“Directory”列表中選擇“EndPoints”項。

返回編輯界面，在其條件欄中選擇“Equals”，在其后輸入上述邏輯設備集名稱（例如“Hzgrp”）。點擊“Use”按鈕，保存配置信息后并返回。

在其“Profiles”列中選擇上述名為“ACL2”的策略，這樣，就針對手機設備創建了授權策略。

同理，可以針對不同的邏輯設備集合（例如針對安卓設備），分別創建授權策略。點擊“Save”按鈕，保存授權策略。

為了便于管理設備，需要確 保“Wireless BlackList Default”策略處于激活狀態。

在WLC上創建WLAN項目

在WLC界面點擊工具欄上的“CONTROLLER”，在左側點擊“Interfaces”項，在右側點擊“新建”，輸入接口名稱（如“VLAN300”），在“VLAN ID”欄中中輸入合適的VLAN號（如“300”）。創建后在屬性窗口中的“Port Number”欄中輸入“1”，在其下輸入接口SVI地址和掩碼，及網關地址和DHCP服務器地址等。

在WLC管理頁面點擊“SECURITY”，選擇“RADIUS”→“Authentication”，在右側點擊“New”按鈕，在打開頁面中的“Server IP Address”欄輸入ISE服務器IP。在“Shared Secret”欄中輸入管理密碼。在“Support for CoA”列表中選擇“Enabled”，點 擊“Apply” 按 鈕，添加新的認證項目。點擊“Accounting”項，在右側點擊“New”創建新的審計項目，輸入ISE的IP和管理密碼。

點 擊“WLANS” 項，在列表中選擇“Create New”項，點擊“Go”按鈕，創建新的WLAN。輸入名稱和SSID號（如“BYODSSID”等）。 在該WLANs屬性窗口選擇“General” →“Status” →“Enabled”，激 活 安 全 認證 功 能。 在“Interface/InterfaceGroup” 列 表 中選擇為客戶端準備的VLAN（如“VLAN300”）。 選 擇“Security”→“Layer2”→“Layer 2 Security” →“WPA+WPA2”，選 擇 所 需 的安全級別。選擇“Fast Transition” →“Disable”項，禁用快速漫游功能。在“AAA Servers”面 板 中 的“Server1”欄中輸入ISE的IP，將其作為3A服務器使用。在“Advanced”面板中的“Allow AA Override”欄中選擇“Enabled”項，激活授權功能。在“NAC State”列表中選擇“ISE NAC”項。

測試BYOD設備連接

當BYOD用戶使用PC、筆記本和手機連接上述名為“BYODSSID”熱點后，必須在認證窗口中先輸入上述預設的賬戶名（例如“user1”）和密碼，之后才可以接入網絡。當試圖訪問某個網址時，就會自動重定向到BYOD注冊界面，當輸入設備設備名稱和說明信息后，就會自動下載和運行名為“Network Setup Assistant”的軟件，幫助您自動設置無線網絡。注意，ISE會自動為其申請證書。當再次連接時，就可以使用基于證書的方式進行安全連接了。

當BYOD設備損壞或者丟失后，可以訪問上述“mydev.xxx.com”地址，輸入您的賬戶名和密碼，點擊“登錄”按鈕，選擇選擇某個注冊設備，在設備管理界面中點擊“已丟失”、“已被盜”、“編輯”、“刪除”等按鈕，可以對其進行對應的管理操作。例如將其設置為被盜狀態后，ISE就會針對該設備啟用黑洞授權，別人使用該設備是無法連接網絡的。當然，當找回該設備后，在設備管理界面中點擊“恢復”按鈕，可以將其恢復到正常狀態。