logo
 
 

 

logo TANet report 190x50p

已移往新網站 請重新登入 https://noc.tanet.edu.tw

 

網路管理資訊

Guest-Access網路下的實用認證機制-Web Authenticatio

n

資料來源:麟瑞科技 www.ringline.com

摘要

隨著IP網路快速的發展,許多學校及公司紛紛設置來賓專用區域網路區。對於網路管理者而言,如何提供一個方便使用而且兼顧安全考量的上網環境成了一個相當重要的議題。 當要建立一個方便來賓使用的網路,而且要兼顧安全性考量時,使用Web Authentication應該是最方便的方法。就是說使用者不須要安裝任何客戶端軟體,就能於Guest-Access Network上網。本文將此Web Authentication之應用區分為Layer 2Port-Based Web Authentication)方式與Layer 3 (Gateway Web Authentication)方式,並探討其實際的工作原理與建置方法。

 

一、Port-Based Web Authentication

IEEE 802.1X以連接埠為基礎的網路存取控制(Port-Based Network Access Control)是用來增IEEE 802.11的安全性不足問題而產生的標準。藉由IEEE 802.1X協定、認證伺服器、與使用者帳號資料庫的結合,企業可以管理行動使用者對區域網路的存取行為。在獲得授權進入以IEEE 802.1X加以管制的區域網路前,使用者必須經由EAPOL (Extensible Authentication Protocol Over LAN),來提供帳號與密碼或數位憑證(Digital Certificate)給後端的認證伺服器。經認證伺服器認證通過的合法使用者才可以進入到區域網路;但須注意的是:client端必須支援802.1X protocol
Cisco Catalyst 系列switch提供web-based proxy authentication,可以讓不支援IEEE 802.1X功能client端通過認證程序。此認證機制是利用標準的瀏覽器介面(HTTP/HTTPS)來完成使用者的憑證輸入及識別,client端並不須要安裝任何agent或軟體。


 Port-Based Web Authentication利用HTTP/HTTPS來提供使用者的認證關係如圖一所示:

圖 一 Port-Based Web Authentication

  • Host即於web authentication 環境中的End Userhost會與switch (NAD)介接,並提出連接需求。
  • Switch又稱為NAD(Network Access Device),負責與hostHTML web authentication程序。當host收到可用IP address後,web瀏覽器會被開啟;而Switch會攔截此HTTP封包,並重導此URL到認證login畫面。Cisco Catalyst Switch 攔截 HTTP POST 封包,並要求使用者輸入使用者名稱及密碼; switch的角色就像是authentication proxy
  • Authentication serverRADIUS 認證系統,負責於host要存取switch時的認證審核;此server必須支援Extensible Authentication Protocol (EAP)的協定,故建議採用Cisco Secure Access Control Server來交換RADIUS client/Server資訊。

Web authentication 須要兩個Cisco Attribute-Value (AV) pair attributes:

A.priv-lvl=15 設定使用者可以用管理者的角色登入 switch

B.設定 host所需要之 Access-List,以套用到 web authenticatedPer-User ACL

For exampleproxyacl# x=permit ip any x.x.x.x x.x.x.x

(當認證成功後 any將會被client IP 所取代,並套用在該 switch port)

Port-Based Web Authentication 認證訊息交換時序如圖二所示:

圖 二  Port-Based Web Authentication Flow

  • 當認證成功—NAD會依照不同的使用者更新不同的 Per-User ACL(參考RADIUS設定),並將重導hostURL Web page;如圖三範例所示
  • 如果認證失敗—NAD會送出 Login-fail Web Page host,並不允許此 host連接到switch

圖 三 Web Authentication Summary


 

二、Gateway Web Authentication

此認證機制由Gateway來控制區域網路的使用者,使用者連接上區域網路之後尚無法與外界連線,欲進行連線之工作時,將自動導向認證的網頁,使用者於認證的網頁輸入使用者帳號與密碼,完成登入之後由Gateway來開啟該使用者與外界的連線的可用規則。這種做法是使用Gateway攔截第一個http封包(使用者從瀏覽器連線時送出),把這個http request重導到認證伺服器,讓使用者輸入帳號及密碼做認證,以決定該使用者是否可以使用區域網路(Per-user ACL)。在認證之前,防火牆將使用者端的所有封包攔截,在使用者經過認證之後,讓該使用者所發出的封包可以順利通過到外部網路。

一般Unix平台的Proxy防火牆因為將所有的交通均在OSI模式的應用層(Application Layer)上運作,所以在速度上明顯的受影響。而Cisco防火牆的Cut-Through Proxy只有在使用者一開始連接時於應用層做檢查;一旦認證過後,便改成使用高效率的ASA (Adaptive Security Algorithm)方式來做資料的檢驗;此種方式大幅的提升了運作的速度,且不會影響到安全上的考量。以下將介紹如何利用Cisco Cut-through Proxy 提供Gateway 型式之Web Authentication使用者認證。

圖 四 Gateway Web Authentication

1.Cisco防火牆支援的AAA 認證port服務

我們可以設定任何所有的通訊協定需要通過AAA認證授權才可通行,但是使用者第一次認證只允許使用下列四種服務來觸發認證機制:

  • Port 21 for FTP
  • Port 23 for Telnet
  • Port 80 for HTTP
  • Port 443 for HTTPS

2.Cisco防火牆 Configuration 參考範例如下:

3.Config ACS RADIUS Download ACL設定

我們必須在Cisco Secure ACSshared profile component中設定 Downloadable Access Lists,並套用於個別的群組或使用者,ACL的設定語法與 Extended Access-List相同;圖五為實際環境下之設定畫面。

圖 五 Cisco ACS Configuration

4.Login HTML page

當使用者開啟 HTTP session 通過 Firewall時,認證程序將被自動觸發。Cisco Security Firewall會檢查此使用者是否已經被認證通過;如果為正確的已認證使用者,則Cisco Security Firewall將予以放行,不改變其封包傳輸;如果為未經認證之使用者封包,Cisco Security Firewall 將重導 hostURL Web Page,並要求使用者輸入名稱及密碼。圖六為實際環境下之認證畫面。

圖六 Login HTML page

1. Per-User ACL

當使用者完成認證程序之後,Cisco security firewall 中會增加 Dynamic Access Lists格式為:#ACSACL#-ip-acl_name-number;圖七為實際環境下之顯示結果。

圖 七 show Dynamic ACL

 

三、結論

於802.1X之Port-Based 環境或是於Gateway環境下我們都可以利用Web Authentication此一標準的瀏覽器介面來識別網路的使用者,使用者無須安裝其他的Agent或Client軟體。我們可以提供每一位使用者簡 單、無間隙的認證,安全、直覺式的網頁 (Web-Base)登入。搭配Per-User ACLs安全政策,能有效管理所有的使用者,支援員工、顧客、訪客在同一個網路上,利用 Role-Base的方式,確保不同使用者的不同權限。更可提升顧客的滿意度及加強對顧客的服務,讓來賓可以在Guest-Access Network內使用其允許的網路資源。

 
 

服務信箱: noc@mail.moe.gov.tw   信箱圖示