Network Access Protection part 3, 802.1x enforcement

Martijn Bellaard — Tue, 06 Mar 2012 18:15:03 GMT

Een tweede NAP enforcement is op basis van 802.1x. (http://en.wikipedia.org/wiki/IEEE_802.1X). Op het moment dat de een werkplek (supplicant) online komt, krijgt hij van de switch (authenticator) het verzoek voor zijn health status (authentication). Via het radius protocol wordt dit verzoek door gezet naar de NPS (authentication) server. Deze bepaalt de health status van de werkplek. Op basis van deze health status bepaalt de NPS server op welke VLAN de werkplek moet komen. Deze informatie geeft hij dan weer door aan de switch. De switch activeert dan de poort voor het juist VLAN.

Om 802.1x enforcement in te richten heb je dus een switch nodig die 802.1x ondersteunt. Op deze switch definieer je je tweede VLAN. Een productie VLAN waar de werkplek geplaatst wordt als hij healthy is en een quarantaine VLAN als hij niet healthy is. Als de werkplek in de quarantaine VLAN terecht komt moet hij wel de mogelijkheid hebben zichzelf healthy te maken. In de praktijk komt dat er meestal op neer dat hij zijn antivirus en Windows moet kunnen updaten. Hiervoor heb je twee opties. De eerste is een update server in het quarantaine VLAN te plaatsen, de tweede is de werkplek toegang te geven tot internet. In beide gevallen kan de werkplek zichzelf gaan updaten

Naast de Wired (bedraad) oplossing is het ook mogelijk 802.1x in te zetten voor een wireless (draadloos) oplossing. In deze blog gaan we uit van een wired oplossing, maar het opzetten van NAP voor wireless is niet veel anders.

Wat heb je nodig

Voordat je begint moet je een paar zaken geregeld hebben voor dat je kunt beginnen. Hier is een overzicht van wat je minimaal nodig hebt:

1 x Windows 2008 R2 NPS server
1x een computer certificaat voor de NPS server. Deze gebruikt de NPS server voor het PEAP protocol.
1x een 802.1x compliant switch dat het radius tunnel attribute ondersteunt. Het hoeft niet per definitie een layer 3 switch te zijn

Step by Step

We starten op de NPS server, in mijn test lab is dat de RRAS01 server. Start op deze server het Network Policy Server console op.

Selecteer NPS (Local)
Kies voor Configure NAP

Kies voor IEEE 802.1X (Wired),
Druk op Next

Je moet nu opgeven welke switches je gaat gebruiken.

Druk op Add, en vul de gegevens in van je Switch

Onthoudt de shared secret goed. Gebruik je een complexe shared secret, wat aan te raden is, copieer hem dan eventueel in password safe. Deze shared secret heb je later nodig op je switch.

Druk op OK en herhaal deze stap voor elke switch die je wilt inzetten.
Druk op Next

Je hoeft geen computer of users op te geven, als je gebruik maakt van 802.1x in combinatie met NAP. Wel bieden de meeste Switch leveranciers een uitbreiding op hun switch aan dat je gebruik kunt maken van authenticatie op basis van groepen of computers. Hiervoor moet je dus (meestal) een extra licentie kopen.

Druk op Next

Controleer of je de juiste certificaat heb geselecteerd en dat het authenticatie protocol PEAP-MS-CHAPv2 is.

Druk op Next

Nu komt het “lastige” gedeelte. We gaan aangeven welke VLAN voor Full Access gebruikt gaat worden en welke voor Restricted Access gebruikt gaat worden.

Onder Full access Network druk op Configure

Je krijgt nu het volgende scherm voor je:

Tunnel-Type moet VLAN zijn, want de scheiding vindt plaats op basis van VLAN’s. Het medium is 802 inclusief Ethernet. De derde setting is die van Tunnel-Pvt-Group-ID. Dit is de VLAN die een werkplek Full Access geeft. Gebruik hier dus de juiste VLAN ID. In het voorbeeld is dat VLAN 777.

Ga naar de tweede tabblad.
Druk op Add
Selecteer als Vendor: Custom
Selecteer Tunnel-Tag

De Tunnel-Tag attribuut wordt door sommige switches gebruikt om settings op de switch te groeperen. Raadpleeg de handleiding van de switch of je deze nodig hebt. Staat er niets over in dan heb je hem waarschijnlijk niet nodig. Door deze op 1 te zetten heb je in ieder geval een juiste default waarde.

Druk op Add
Als waarde gebruik je 1 of de waarde die je moet opgegeven volgens de handleiding van je switch.
Druk 2x op OK

We gaan nu de restricted access network configureren. Dit gaat op dezelfde manier als bij Full Access. Alleen geef je als Tunnel-Pvt-Group-ID een andere VLAN op. Het VLAN waarop een werkplek komt als hij niet voldoet aan de eisen.

In mijn voorbeeld maak ik gebruik van VLAN ID 666.

Druk op Next

We geven nu aan welke Health Validator we willen gebruiken.

Druk op Next en dan op Finish

De NPS server is nu klaar. Je kunt nu je switch gaan configureren. Hoe dat moet zul je moeten opzoeken in de handleiding van je switch. Veel geluk met NAP en IEEE 802.1x

Martijn Bellaard

Search results matching tags 'Windows 7', 'Windows Server 2008 R2 SP1', 'Domain Controllers', 'Connect', and 'IT Professional'

Network Access Protection part 3, 802.1x enforcement

Wat heb je nodig

Step by Step