■ 河南 劉景云

編者按： BYOD其實(shí)就是帶上自己的設(shè)備（例如筆記本電腦、手機(jī)等）到單位工作，接入方式也更加多樣化（例如有線(xiàn)、無(wú)線(xiàn)、VPN等），而單位也不再為員工專(zhuān)門(mén)配置設(shè)備，這樣不僅可以節(jié)約成本，還可以提高員工工作的靈活性。但是BYOD對(duì)網(wǎng)絡(luò)安全造成了不可忽視的威脅。

使用ISE安全管理BYOD行為

對(duì)于思科ISE（身份識(shí)別引擎）設(shè)備來(lái)說(shuō)，可以對(duì)有線(xiàn)/無(wú)線(xiàn)接入進(jìn)行控制，允許/禁止哪些員工可以使用自帶設(shè)備，是否允許其進(jìn)行注冊(cè)，注冊(cè)之后發(fā)放證書(shū)，并使用證書(shū)進(jìn)行安全認(rèn)證，可以幫助員工配置網(wǎng)絡(luò)參數(shù)，對(duì)自帶設(shè)備進(jìn)行各種控制。

當(dāng)自帶設(shè)備（尤其是手機(jī)等移動(dòng)設(shè)備）丟失后可以通過(guò)申報(bào)注銷(xiāo)證書(shū)，以防止被惡意用戶(hù)非法利用，并允許員工注冊(cè)新的自帶設(shè)備等。

對(duì)于ISE的BYOD管理方式來(lái)說(shuō)，主要解決了如何有效頒發(fā)證書(shū)（即允許用戶(hù)注冊(cè)設(shè)備，自動(dòng)為其頒發(fā)證書(shū)）和如何有效的識(shí)別和管理自帶設(shè)備（即可以智能識(shí)別不同的設(shè)備，為其發(fā)放的證書(shū)以及配置的權(quán)限也不相同）的問(wèn)題。

搭建實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境

在本例中存在思科某款無(wú)線(xiàn)控制器，一臺(tái)名為SW1核心交換機(jī)，一臺(tái)名為SW2的接入交換機(jī)。

在SW2上創(chuàng)建了一個(gè)VLAN（例如 VLAN 200）并配置了Trunk，作為純粹的接入設(shè)備。分別通過(guò)對(duì)應(yīng)的接口連接AP和SW1。

對(duì)于核心交換機(jī)SW1來(lái)說(shuō)，劃分了不同的VLAN和SVI，啟用了三層路由，配置DHCP地址池。例如創(chuàng)建VLAN100來(lái)連接管理主機(jī)，Windows Server域 控，WLC控制器管理接口以及ISE設(shè)備等。

創(chuàng)建VLAN 200來(lái)包含特定的接口連接SW1，并為其開(kāi)啟Trunk。創(chuàng)建VLAN 300來(lái)和WLC的端口進(jìn)行綁定，支持客戶(hù)端連接和傳輸對(duì)應(yīng)的流量等。

之后創(chuàng)建創(chuàng)建CA證書(shū)服務(wù)器，這里使用的是Windows Server 2008域控制器，在其中創(chuàng)建CA證書(shū)服務(wù)。注意需要選擇“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”項(xiàng)，具體不再詳述。

配置設(shè)備注冊(cè)服務(wù)，創(chuàng)建CA證書(shū)模版

在域控上將Administrator添 加 到IIS_IUSERS組，在服務(wù)器管理器選擇“角色” →“Active Directory證書(shū)服務(wù)”項(xiàng)，在右側(cè)選擇“添加角色服務(wù)”項(xiàng)，在向?qū)Ы缑嬷羞x擇“網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)”。點(diǎn)擊“選擇用戶(hù)”，輸入賬戶(hù)和密碼。在管理主機(jī)上打開(kāi)瀏覽器訪(fǎng)問(wèn)“https://kpwin2008.xxx.com/certsrv/mscep_admin”，如果顯示注冊(cè)質(zhì)詢(xún)密碼，說(shuō)明上述配置生效。

在域控上打開(kāi)服務(wù)器管理器，在左側(cè)選擇“角色” →“Active Directory證書(shū)服務(wù)”→“CA名稱(chēng)”→“證書(shū)模版”項(xiàng)，在右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在證書(shū)模版控制臺(tái)中選擇“用戶(hù)”模版，在右鍵菜單菜單上點(diǎn)擊“復(fù)制模版”項(xiàng)，在該模版屬性窗口中的“常規(guī)”面板中輸入名稱(chēng)（如“USER_BYOD”），在“請(qǐng)求處理”面板中不選擇“允許導(dǎo)出私鑰”項(xiàng)，確保證書(shū)的唯一性。在“使用者名稱(chēng)”面板中選擇“在請(qǐng)求中提供”項(xiàng)，允許用戶(hù)提供名稱(chēng)信息。在“安全”面板中選擇“Administrator”賬戶(hù)，選擇“完全控制”項(xiàng)。

在證書(shū)模版窗口右鍵菜單上點(diǎn)擊“新建”→“要頒發(fā)的證書(shū)模版”項(xiàng)，選擇上述證書(shū)模版項(xiàng)，將其添加到證書(shū)列表中。在注冊(cè)表編輯器中打開(kāi)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEP”分支，在右側(cè)雙擊“EncryptionTemplate”、“GeneralPurposeTemplate”、“SignatureTemplate”等鍵值名，將內(nèi)容均修改為上述證書(shū)模版名稱(chēng)（如“USER_BYOD”）。 選 擇“MSCEP”→“EnforcePassword”，在雙擊“EnforcePassword”鍵值名，將其值修改為“0”，省卻了每次注冊(cè)都需要輸入注冊(cè)質(zhì)詢(xún)密碼的繁瑣。之后重啟證書(shū)服務(wù)。在域控上創(chuàng)建對(duì)應(yīng)的OU（如“BYODUnit”），創(chuàng)建所需的組（如“EmployGrp”）和賬戶(hù)（如“User1”）。

在ISE上安裝CA證書(shū)及配置SCEP協(xié)議

訪(fǎng) 問(wèn)“h t t p s://k p w i n 2 0 0 8.x x x.c o m/certsrv”，在證書(shū)申請(qǐng)頁(yè)面中下載根證書(shū)（例如rootzs.pem”），本例中使用的 IS 設(shè)備版本號(hào)為V2.3。

在上述ISE管理界面左 側(cè) 點(diǎn) 擊“Certificate Authority” →“External CA Settings” 項(xiàng)， 在 右側(cè) 點(diǎn) 擊“Add”按 鈕，在“Add SCEP RA Profile”窗口中輸入名稱(chēng)和描述信息，在“*URL”欄中輸入“https://kpwin2008.xxx.com/certsrv/mscep/mscep.dll”，這里只是舉例，要根據(jù)實(shí)際的域名進(jìn)行輸入。點(diǎn)擊“Test Connection”按鈕，可以測(cè)試連接是否成功。

點(diǎn) 擊“Certificate Authority” →“Certificate Templates”項(xiàng)，在右側(cè)點(diǎn)擊“Add”，輸入證書(shū)模版名稱(chēng)（如“SCEPZS”）和描述信息，輸入申請(qǐng)證書(shū)所需組織等信息。在“*SCEP RA Profile”列表總選擇上述SCEP RA Profile的名稱(chēng)。

之所以要?jiǎng)?chuàng)建證書(shū)模版，在于當(dāng)客戶(hù)通過(guò)ISE向CA申請(qǐng)證書(shū)時(shí)，實(shí)際上只提交名稱(chēng)信息，其余的信息需要借助該模版進(jìn)行添加。注意，SCEP即即簡(jiǎn)單證書(shū)提交協(xié)議。

實(shí)現(xiàn)網(wǎng)絡(luò)信息自動(dòng)配置

在ISE界面工具欄上點(diǎn) 擊“Policy” →“Policy Elements”→“Results”，點(diǎn)擊“Client Provisioning”→“Resource”，在 右 側(cè) 點(diǎn) 擊“Add”-“Native Supplicant Profile”按鈕，輸入名稱(chēng)（如“NSPZ”）和描述信息，在“Eireless Profile(s)” 欄中點(diǎn)擊“Add”按鈕，可以添加無(wú)線(xiàn)配置信息，在打開(kāi)窗口中輸入SSID名稱(chēng)（如“BYOD_SSID”）。 在“Security*”列表中選擇“WPA2 Enterprise”項(xiàng)， 在“Allowed Protocol”列表中選擇“TLS”項(xiàng)，在“Certificate Template”列表中選擇上述證書(shū)模版（如“SCEPZS”）。

點(diǎn) 擊“O p t i o n a l Settings”項(xiàng)，在擴(kuò)展面板中的“Authentication Mode”列表中選擇“User”項(xiàng)，表示進(jìn)行用戶(hù)認(rèn)證。點(diǎn)擊“Save”按鈕保存配置信息。

當(dāng)然在“Wired Profile”欄中可以設(shè)置有線(xiàn)網(wǎng)絡(luò)認(rèn)證信息。在ISE工具欄上點(diǎn) 擊“Policy”→“Client Provisioning”項(xiàng)，列出ISE支持的設(shè)備系統(tǒng)類(lèi)型，包括IOS、Android、Windows、Mac OS等。

例如選擇“Android”項(xiàng)，在其右側(cè)點(diǎn)擊“Edit”鏈接，在編輯區(qū)域的“Results”列中點(diǎn)擊“+”項(xiàng)，在“Wizard Profile”欄中選擇上述資源配置策略的名稱(chēng)（如“NSPZ”）。可以針對(duì)以上所有類(lèi)型，分別設(shè)置上述資源配置策略。

導(dǎo)入域賬戶(hù)，創(chuàng)建NGD管理組

在ISE界面工具欄中點(diǎn) 擊“Administration”→“External Identity Source”項(xiàng)，選 擇“Active Directory”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，在“*Join Point Name”欄中中輸入連接名稱(chēng)， 在“Active Directory Domain ”欄中輸入域名，點(diǎn)擊“Submit”，輸入域管理員名稱(chēng)和密碼，確定后加入到域環(huán)境中。

在Group面板中點(diǎn)擊“Add” →“Select Group From Directory” 項(xiàng)， 在“Select Directory Groups”窗口中點(diǎn)擊“Retrieve Groups”，列出該域中所有的組，選擇上述“EmployGrp”組，點(diǎn)擊“OK”按鈕添加進(jìn)來(lái)。為便于訪(fǎng)問(wèn)ISE設(shè)備，需要在DNS服務(wù)中創(chuàng)建相應(yīng)的A記錄。

為了便于ISE管理網(wǎng)絡(luò)設(shè)備，可以在其管理界面中點(diǎn) 擊“Administration”→“Network Device Groups”項(xiàng)，點(diǎn)擊“Add”按鈕，輸入NGD組名稱(chēng)（如“NDGROUP1”）和 描 述 信 息，在“Parent Group”列 表 中 選 擇“All Device Types” 項(xiàng)，點(diǎn) 擊“Save”按鈕創(chuàng)建該組。在工具欄工具欄上點(diǎn)擊“Network Devices”項(xiàng)，在左側(cè)選擇“Network Devices”項(xiàng)，在右 側(cè) 點(diǎn) 擊“Generate PAC”按鈕，在打開(kāi)界面中點(diǎn)擊“Add”按鈕，輸入設(shè)備的名稱(chēng)（如“WLCKZ”），這里針對(duì)的是無(wú)線(xiàn)控制器，輸入其管理端口的IP地址，在“Device Type”列表中選擇上述創(chuàng)建的NDG組名稱(chēng)。在“RADIUS Authentication Settings”面板中的“*Shared Secret”欄中輸入WLC設(shè)備的管理員密碼。

在WLC上配置ACL管理規(guī)則

登錄到WLC設(shè)備管理界面，在工具欄上點(diǎn)擊“SECURITY”項(xiàng)，在左側(cè)點(diǎn)擊“Access Control Lists”→“Access Control Lists”項(xiàng)，在 右 側(cè) 選 擇“Enable Counters”項(xiàng)。點(diǎn)擊“New…”按鈕，輸入該ACL名稱(chēng)（例如“ACL1”），點(diǎn)擊“Apply”按鈕保存配置。

該列表的作用在于在沒(méi)有獲取證書(shū)認(rèn)證之前，允許放行的流量。在其屬性窗口中的“Souce”列 表 中 選 擇“Any”，在“Destination”列表中選擇“Any”，在“Protocol”列 表中 選 擇“UDP”，在“Source Port”列表中選擇“Any”，在“Destination Port”列表選擇“DNS”項(xiàng)，在“Action”列表中選擇“Permit”項(xiàng)，放行和DNS相關(guān)的流量。

點(diǎn) 擊“Add New Rule”按鈕，創(chuàng)建新的條目，創(chuàng)建與上述幾乎相同的內(nèi)容，所不同的是在“Source Port”列表中選擇“DNS”，在“Destination Port”列表選擇“Any”項(xiàng)。

這是因?yàn)樵赪LC控制規(guī)則中，需要對(duì)進(jìn)出的流量分別控制。同理創(chuàng)建兩個(gè)新的條目，分別在“Source”和“Destination”列表中選擇“IP Address”項(xiàng)，輸入ISE的管理口地址，放行和ISE設(shè)備相關(guān)的數(shù)據(jù)流量。

按照同樣方法，創(chuàng)建兩個(gè)新的條目，分別針對(duì)特定的DNS服務(wù)器地址（例如172.217.0.0，216.58.0.0等）放行流量。

再創(chuàng)建一個(gè)新條目，在“Action”列表中選擇“Deny”項(xiàng)，禁止其他的所有流量。

按照同樣的方法，創(chuàng)建名為“ACL2”的訪(fǎng)問(wèn)控制列表，主要禁止訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)絡(luò)。在其屬性窗口的“Destination”列表中選擇“IP Address”項(xiàng)，輸入公司內(nèi)部的特定地址，其余列表均 選 擇“Any”，在“Action”列表中選擇“Deny”項(xiàng)，禁止訪(fǎng)問(wèn)該地址。

同理可以創(chuàng)建多個(gè)條目，禁止訪(fǎng)問(wèn)所需的目標(biāo)地址，最后創(chuàng)建一個(gè)條目，放行所有流量。按照同樣的方法，創(chuàng)建名為“ACL3”的訪(fǎng)問(wèn)控制列表，在其中添加一個(gè)條目，允許放行所有的流量。

在ISE上創(chuàng)建認(rèn)證規(guī)則

在ISE管理界面中點(diǎn)擊“Policy”→“Results”項(xiàng)，點(diǎn) 擊“Authorization” →“Authrozation Profiles”項(xiàng)，在 右 側(cè) 點(diǎn) 擊“NSP_Onboard”項(xiàng)，在其屬性窗口中的“Common tasks”面板中選擇“Web Redirection”項(xiàng)，在“ACL”欄中輸入上述“ACL1”的列表名，點(diǎn)擊“Save”按鈕保存配置信息。點(diǎn)擊“Policy”→“Results”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸入新的認(rèn)證項(xiàng)目名稱(chēng)（例 如“Pocl01”）， 在“Common Tasks”面板中選擇“Airespace ACL Name”項(xiàng)，輸入上述“ACL2”的列表名，這里主要針對(duì)手機(jī)等移動(dòng)設(shè)備進(jìn)行控制，僅僅允許其訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)。

同理，創(chuàng)建新的認(rèn)證項(xiàng)目（例如名為“Pocl02”），在“Common Tasks”面板中選擇“Airespace ACL Name”項(xiàng)，輸入上述“ACL3”的列表名，允許訪(fǎng)問(wèn)所有的網(wǎng)絡(luò)資源。在ISE管理界面中點(diǎn)擊“Policy”→“Profiling”項(xiàng)，在左側(cè)選擇“Logical Profiles”項(xiàng)。在右側(cè)點(diǎn)擊“Add”按鈕，輸入名稱(chēng)（例如“Hzgrp”）， 在“Avilable Policies”列表中顯示ISE支持的所有設(shè)備類(lèi)型（例如“Apple-Device”等），可以選擇多個(gè)設(shè)備，點(diǎn)擊“>”按鈕，將其添加進(jìn)來(lái)，這里針對(duì)手機(jī)設(shè)備創(chuàng)建設(shè)邏輯設(shè)備集。

同理，可以針對(duì)不同的設(shè)備類(lèi)型，創(chuàng)建多個(gè)Logical Profiles項(xiàng)目。

在ISE上配置BYOD安全策略

在ISE管理界面中點(diǎn)擊“Policy” →“PolicySets”項(xiàng)， 打 開(kāi)“Default” 默認(rèn)策略集，選擇其中的“Authorization Policy”項(xiàng)，在其中激活名為“Employee_Onboarding”和“Employee_EAP-TLS”的策略，在后者的“Profiles”列中選擇上述名為“ACL3”的策略。

選 擇“Employee_EAPTLS”策略項(xiàng)，在其右側(cè)點(diǎn)擊設(shè)置按鈕，在彈出菜單中選擇“Duplicate ablove”項(xiàng)，在其上部復(fù)制一個(gè)策略。將其名稱(chēng)修改為“Employee_EAP-TLS_Phone”， 在“Conditions”列中點(diǎn)擊屬性參數(shù)，在編輯界面中點(diǎn)擊“New”按鈕，在編輯欄中打開(kāi)設(shè)置界面，在其中的“Directory”列表中選擇“EndPoints”項(xiàng)。

返回編輯界面，在其條件欄中選擇“Equals”，在其后輸入上述邏輯設(shè)備集名稱(chēng)（例如“Hzgrp”）。點(diǎn)擊“Use”按鈕，保存配置信息后并返回。

在其“Profiles”列中選擇上述名為“ACL2”的策略，這樣，就針對(duì)手機(jī)設(shè)備創(chuàng)建了授權(quán)策略。

同理，可以針對(duì)不同的邏輯設(shè)備集合（例如針對(duì)安卓設(shè)備），分別創(chuàng)建授權(quán)策略。點(diǎn)擊“Save”按鈕，保存授權(quán)策略。

為了便于管理設(shè)備，需要確 保“Wireless BlackList Default”策略處于激活狀態(tài)。

在WLC上創(chuàng)建WLAN項(xiàng)目

在WLC界面點(diǎn)擊工具欄上的“CONTROLLER”，在左側(cè)點(diǎn)擊“Interfaces”項(xiàng)，在右側(cè)點(diǎn)擊“新建”，輸入接口名稱(chēng)（如“VLAN300”），在“VLAN ID”欄中中輸入合適的VLAN號(hào)（如“300”）。創(chuàng)建后在屬性窗口中的“Port Number”欄中輸入“1”，在其下輸入接口SVI地址和掩碼，及網(wǎng)關(guān)地址和DHCP服務(wù)器地址等。

在WLC管理頁(yè)面點(diǎn)擊“SECURITY”，選擇“RADIUS”→“Authentication”，在右側(cè)點(diǎn)擊“New”按鈕，在打開(kāi)頁(yè)面中的“Server IP Address”欄輸入ISE服務(wù)器IP。在“Shared Secret”欄中輸入管理密碼。在“Support for CoA”列表中選擇“Enabled”，點(diǎn) 擊“Apply” 按 鈕，添加新的認(rèn)證項(xiàng)目。點(diǎn)擊“Accounting”項(xiàng)，在右側(cè)點(diǎn)擊“New”創(chuàng)建新的審計(jì)項(xiàng)目，輸入ISE的IP和管理密碼。

點(diǎn) 擊“WLANS” 項(xiàng)，在列表中選擇“Create New”項(xiàng)，點(diǎn)擊“Go”按鈕，創(chuàng)建新的WLAN。輸入名稱(chēng)和SSID號(hào)（如“BYODSSID”等）。 在該WLANs屬性窗口選擇“General” →“Status” →“Enabled”，激 活 安 全 認(rèn)證 功 能。 在“Interface/InterfaceGroup” 列 表 中選擇為客戶(hù)端準(zhǔn)備的VLAN（如“VLAN300”）。 選 擇“Security”→“Layer2”→“Layer 2 Security” →“WPA+WPA2”，選 擇 所 需 的安全級(jí)別。選擇“Fast Transition” →“Disable”項(xiàng)，禁用快速漫游功能。在“AAA Servers”面 板 中 的“Server1”欄中輸入ISE的IP，將其作為3A服務(wù)器使用。在“Advanced”面板中的“Allow AA Override”欄中選擇“Enabled”項(xiàng)，激活授權(quán)功能。在“NAC State”列表中選擇“ISE NAC”項(xiàng)。

測(cè)試BYOD設(shè)備連接

當(dāng)BYOD用戶(hù)使用PC、筆記本和手機(jī)連接上述名為“BYODSSID”熱點(diǎn)后，必須在認(rèn)證窗口中先輸入上述預(yù)設(shè)的賬戶(hù)名（例如“user1”）和密碼，之后才可以接入網(wǎng)絡(luò)。當(dāng)試圖訪(fǎng)問(wèn)某個(gè)網(wǎng)址時(shí)，就會(huì)自動(dòng)重定向到BYOD注冊(cè)界面，當(dāng)輸入設(shè)備設(shè)備名稱(chēng)和說(shuō)明信息后，就會(huì)自動(dòng)下載和運(yùn)行名為“Network Setup Assistant”的軟件，幫助您自動(dòng)設(shè)置無(wú)線(xiàn)網(wǎng)絡(luò)。注意，ISE會(huì)自動(dòng)為其申請(qǐng)證書(shū)。當(dāng)再次連接時(shí)，就可以使用基于證書(shū)的方式進(jìn)行安全連接了。

當(dāng)BYOD設(shè)備損壞或者丟失后，可以訪(fǎng)問(wèn)上述“mydev.xxx.com”地址，輸入您的賬戶(hù)名和密碼，點(diǎn)擊“登錄”按鈕，選擇選擇某個(gè)注冊(cè)設(shè)備，在設(shè)備管理界面中點(diǎn)擊“已丟失”、“已被盜”、“編輯”、“刪除”等按鈕，可以對(duì)其進(jìn)行對(duì)應(yīng)的管理操作。例如將其設(shè)置為被盜狀態(tài)后，ISE就會(huì)針對(duì)該設(shè)備啟用黑洞授權(quán)，別人使用該設(shè)備是無(wú)法連接網(wǎng)絡(luò)的。當(dāng)然，當(dāng)找回該設(shè)備后，在設(shè)備管理界面中點(diǎn)擊“恢復(fù)”按鈕，可以將其恢復(fù)到正常狀態(tài)。