摘要:
配置网络访问管理器... 配置网络访问管理器
本章提供网络访问管理器的配置概述以及添加和配置用户策略和网络配置文件的说明。
关于网络访问管理器
网络访问管理器是依据其策略提供安全第 2 层网络的客户端软件。可检测并选择最佳第 2 层接入网络并对有线和无线网络的访问执行设备身份验证。网络访问管理器对安全访问所需的用户及设备身份和网络访问协议进行管理。智能化地工作可防止最终用户进行违反管理员定义的策略的连接。
网络访问管理器采用单宿主设计,一次只允许一个网络连接。此外,有线连接具有高于无线连接的优先级,因此,如果将您插入包含有线连接的网络,则无线适配器将变为禁用状态,并且没有 IP 地址。
如果您的有线或无线网络设置或特定 SSID 从组策略推送,它们可能会与网络访问管理器的正常运行冲突。在安装了网络访问管理器的情况下,不支持无线设置的组策略。
注
网络访问管理器在 macOS 或 Linux 上不支持。
注
如果在 Windows OS 上使用 ISE 终端安全评估,则必须在启动 AnyConnect ISE 终端安全评估之前安装网络访问管理器。
Cisco AnyConnect Secure Mobility Client的网络访问管理器组件支持以下主要功能:
内部 EAP 方法:
加密模式 - 静态 WEP(打开或共享)、动态 WEP、TKIP 和 AES。
密钥建立协议 - WPA、WPA2/802.11i。
AnyConnect 在以下环境中支持提供智能卡的凭证:
套件 B 和 FIPS
以下功能已在 Windows 7 或更高版本上经过 FIPS 认证,并且列出了所有例外情况:
单点登录“单一用户”实施
Microsoft Windows 允许多名用户同时登录,但思科 AnyConnect 网络访问管理器将网络身份验证仅限于对单一用户执行。无论有多少用户登录,AnyConnect 网络访问管理器都在每个桌面或每台服务器上为一位用户保持活动状态。单用户登录实施意味着只有一位用户可以随时登录到系统,并且管理员无法强制当前登录的用户注销。
如果网络访问管理器客户端模块安装在 Windows 桌面上,系统的默认行为是实施单一用户登录。如果该模块安装在服务器上,默认行为是解除单一用户登录实施。但无论是哪种情况,您都可修改或添加注册表来更改默认行为。
限制
配置单点登录单一用户实施
要更改 Windows 工作站或服务器处理多位用户的方式,请更改注册表中 EnforceSingleLogon 的值。
在 Windows 中,该注册表项是 EnforceSingleLogon 且与 OverlayIcon 项在同一注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002}
要配置一位或多位用户登录,请添加名为 EnforceSingleLogon 的 DWORD,并为其赋值 1 或 0。
对于 Windows:
网络访问管理器部署
网络访问管理器作为 AnyConnect 的一部分进行部署。有关如何安装 AnyConnect 以及网络访问管理器和其他模块的信息,请参阅 。
指南
网络连接短暂丢失或更长的连接时间 - 如果在安装网络访问管理器之前在 Windows 中定义了网络,Windows 连接管理器可能偶尔尝试与该网络建立连接。
建议操作:当网络在范围内时,对所有 Windows 定义的网络关闭自动连接 (Connect Automatically) 或删除所有 Windows 定义的网络。
当网络访问管理器模块首次安装到客户端系统时,该模块可以配置为将一些现有 Windows 7 或更高版本无线配置文件转换为网络访问管理器配置文件格式。可以转换匹配以下条件的基础设施网络:要启用网络配置文件转换,请创建一个 MSI 转换将 PROFILE_CONVERSION 属性值设置为 1,然后将其应用到 MSI 包。或者在命令行中将 PROFILE_CONVERSION 属性更改为 1,然后安装 MSI 包。例如,msiexec /i anyconnect-nam-win-3.1.xxxxx-k9.msi PROFILE_CONVERSION=1。
必须先安装网络访问管理器,再启动 ISE 终端安全评估。ISE 终端安全评估使用网络访问管理器插件检测网络更改事件和 802.1x WiFi。
禁用 DHCP 连接性测试
当网络配置为使用动态 IP 地址时,Windows OS 服务尝试使用 DHCP 建立连接。然而,在通知网络访问管理器 DHCP 事务已完成之前,该操作系统的过程可能需要长达两分钟。除了 OS DHCP 事务外,网络访问管理器还触发了 DHCP事务,以避免在通过操作系统建立连接时出现较大延迟并检验网络连接。
当您想要通过 NAM 禁用 DHCP 事务来进行连接测试,请添加以下注册表项为 DWORD,然后将数值进行如下设置:
注
我们强烈建议您不要禁用网络访问管理器 DHCP 连接性测试,因为它常常导致连接时间延长。
网络访问管理器配置文件
网络访问管理器配置文件在网络访问管理器配置文件编辑器中进行配置,后者在 ASDM 中提供,也可以作为独立的 Windows 应用。
“客户端策略”(Client Policy) 窗口
连接设置
客户端策略 (Client Policy) 窗口可用于配置客户端策略选项。包括以下部分:
可用于定义是在用户登录之前还是之后尝试建立网络连接。
媒体
指定哪些类型的媒体由网络访问管理器客户端控制。
最终用户控制
可以为用户配置以下控制:
管理状态
“身份验证策略”(Authentication Policy) 窗口
Authentication Policy 窗口可用于创建关联和身份验证网络过滤器,这些过滤器适用于所有网络连接。如果未选中任何关联或身份验证模式,则用户无法连接到身份验证 Wi-Fi 网络。如果选择了模式的子集,则用户仅能连接到这些类型的网络。选择每个所需的关联或身份验证模式,或者选择全选 (Select All)。
内部方法也可以仅限于特定的身份验证协议。内部方法缩进显示在 Allowed Authentication Modes 窗格中外部方法(隧道)的下面。
选择身份验证协议的机制与当前客户端身份验证数据库集成在一起。安全无线局域网部署不要求为用户创建新的身份验证系统。
对内部隧道可用的 EAP 方法取决于内部方法凭证类型和外部隧道方法。在以下列表中,每个外部隧道方法都列出了针对每种凭证类型受支持的内部方法类型。
EAP-FAST
EAP-TTLS
“网络”(Networks) 窗口
Networks 窗口可用于为企业用户配置预定义的网络。您可以配置对所有组可用的网络,或创建具有特定网络的组。“网络”(Networks) 窗口显示向导,可将窗格添加到现有窗口中,并且可让您通过单击下一步 (Next) 访问更多配置选项。
从根本上说,组是一套配置的连接(网络)。每个已配置的连接必须属于某个组,或者是所有组的成员。
注
为向后兼容,使用思科安全服务客户端部署的由管理员创建的网络被视为隐藏的网络,不广播 SSID。但是,用户网络被视为广播 SSID 的网络。
只有管理员可以创建新组。如果配置中未定义组,配置文件编辑器会创建一个自动生成的组。自动生成的组中包含未分配到任何管理员定义的组的网络。客户端尝试使用在活动组中定义的连接创建网络连接。根据“网络组”(Network Groups) 窗口中创建网络 (Create Networks) 选项的设置,最终用户可以将用户网络添加到活动组,或者从活动组删除用户网络。
定义的网络可用于列表顶部的所有组。因为您控制哪些网络位于全球网络中,所以您可以指定最终用户能够连接的网络,即使存在用户定义的网络也一样。最终用户无法修改或删除管理员配置的网络。
注
最终用户可以将网络添加到组,但全球网络部分的网络除外,因为这些网络存在于所有组中,只能使用配置文件编辑器创建。
企业网络的典型最终用户不需要了解组即可使用此客户端。活动组是配置中的第一个组,但如果只有一个组可用,客户端不会知道活动组,也不会显示活动组。但是,如果存在多个组,用户界面会显示组的列表,并且指示活动组已选中。然后,用户可以从活动组中选择,重启后该设置也保持不变。根据“网络组”(NetworkGroups) 窗口中创建网络 (Create Networks) 选项的设置,最终用户无需使用组即可添加或删除自己的网络。
注
组选择在重启和网络修复(右键单击托盘图标并选择网络修复 (Network Repair) 来完成)后保持不变。网络访问管理器在修复或重新启动时,会开始使用以前的活动组。
“网络”(Networks) 窗口的“媒体类型”(Media Type) 页面
您可以在 Networks 窗口的 Media Type 页面中创建或编辑有线或无线网络。设置随您的具体选择而不同。
第一个对话框中包括以下部分:
常用设置
“网络”(Networks) 窗口的“安全等级”(Security Level) 页面
在“网络”(Networks) 向导的“安全等级”(Security Level) 页面中,选择“开放式网络”(Open Network)、“身份验证网络”(Authentication Network) 或(仅为无线网络介质显示的)“共享密钥网络”(SharedKey Network)。每种网络类型的配置流程都不同,在以下各节进行说明。
配置身份验证网络
如果您在“安全级别”(Security Level) 部分选择“身份验证网络”(Authenticating Network),将显示额外的窗格,如下所述。在这些窗格中完成配置后,请单击下一步 (Next) 按钮,或选择连接类型 (Connection Type)选项卡打开“网络连接类型”(Network Connection Type) 对话框。
802.1X Settings 窗格
根据网络配置调整 IEEE 802.1X 设置:
注
当 AnyConnect ISE 终端安全评估安装了网络访问管理器时,ISE 终端安全评估使用网络访问管理器插件检测到网络更改事件和 802.1X WiFi。
提示
您可以仔细设置 startPeriod 和 maxStart,使发起身份验证所花的总时间小于网络连接计时器时间(startPeriod x maxStart < 网络连接计时器时间),配置单一身份验证有线连接以同时支持开放网络和身份验证网络。
请注意,在这种情况下,您应将网络连接计时器时间增加 (startPeriod x maxStart) 秒,让客户端有足够的时间获取 DHCP 地址和完成网络连接。
相反,若要仅在身份验证成功后才允许数据流量,您应该设置 startPeriod 和 maxStart,确保发起身份验证所花的总时间大于网络连接计时器时间(startPeriod x maxStart > 网络连接计时器时间)。
Security 窗格
仅为有线网络显示。
在“安全”(Security) 窗格中,选择以下参数的值:
加密
有关详细信息,请参阅基于身份的网络服务:MAC 安全。
Port Authentication Exception Policy 窗格
此窗格仅为有线网络显示。
Port Authentication Exception Policy 窗格可让您在身份验证过程中定制 IEEE 802.1X 请求方的行为。如果端口异常未启用,请求方会继续其现有行为并仅在成功完成完整配置后(或如此部分之前所述,发起身份验证的maxStarts 数量而没有验证器响应之后)才会打开端口。选择以下其中一个选项:
限制
MACsec 需要 ACS 版本 5.1 及更高版本和支持 MACsec 的交换机。请参阅《Catalyst 3750-X 和 3560-X 交换机软件配置指南》以了解 ACS 或交换机配置。
关联模式
该窗格仅对无线网络显示。
选择关联模式:
配置开放网络
开放网络不使用身份验证或加密。如果要创建开放(非安全)网络,请执行以下步骤。
过程
步骤1
从 Security Level 页面选择开放式网络 (Open Network)。此选择提供的网络安全性最低,建议用于访客接入无线网络。
步骤2
单击下一步 (Next)。
步骤3
确定连接类型。
配置共享密钥网络
Wi-Fi 网络可使用共享密钥获得加密密钥,用于在终端之间和网络接入点之间对数据加密。配合 WPA 或 WPA2 Personal 使用共享密钥,可提供中等级别的安全性,适合于小型或家庭办公室。
注
不建议对企业无线网络使用共享密钥安全性。
如果要将共享密钥网络作为您的安全级别,请执行以下步骤。
过程
步骤1
选择共享密钥网络 (Shared Key Network)。
步骤2
在“安全级别”(Security Level) 窗口中单击下一步 (Next)。
步骤3
指定 User Connection 或 Machine Connection。
步骤4
单击下一步 (Next)。
步骤5
Shared Key Type - 指定共享密钥关联模式,用于确定共享密钥类型。选项如下所示:
步骤6
如果选择了传统 IEEE 802.11 WEP 或共享密钥,请选择 40 位、64 位、104 位或 128 位。40 位或 64 位 WEP 密钥必须是 5 个 ASCII 字符或 10 个十六进制数字。104 位或 128 位 WEP 密钥必须是13 个 ASCII 字符或 26 个十六进制数字。
步骤7
如果选择了 WPA 或“WPA2 个人”(WPA2 Personal),请选择要使用的加密类型 (TKIP/AES),然后输入共享密钥。输入的密钥必须为 8 到 63 个 ASCII 字符或正好 64 个十六进制数字。如果共享密钥由 ASCII字符组成,请选择 ASCII。如果共享密钥包含 64 个十六进制数字,请选择十六进制 (Hexadecimal)。
步骤8
单击完成 (Done)。然后单击确定 (OK)。
Networks,Network Connection Type 窗格
本节介绍 Networks 窗口的网络连接类型窗格,该窗格遵循网络访问管理器配置文件编辑器中的安全级别。选择以下连接类型之一:
Networks、User 或 Machine Authentication 页面
在选择网络连接类型后,选择这些连接类型的身份验证方法。在选择身份验证方法后,显示屏幕会更新为选择的方法,并要求您提供其他信息。
注
如果您已启用 MACsec,请确保选择支持 MSK 密钥派生的 EAP 方法,例如 PEAP、EAP-TLS 或 EAP-FAST。此外,即使没有启用 MACsec,使用网络访问管理器也可将 MTU 从 1500 降低至 1468 以支持 MACsec。
EAP 概述
EAP 是一种 IETF RFC,可满足身份验证协议与承载它的传输协议进行分离的要求。此分离允许传输协议(如 IEEE 802.1X、UDP 或 RADIUS)承载 EAP 协议,而无需更改身份验证协议。
基本 EAP 协议包括四种数据包类型:
在 IEEE 802.11X 系统中使用 EAP 时,接入点在 EAP 穿透模式下工作。在此模式下,接入点检查代码、标识符和长度字段,然后将从请求方收到的 EAP 数据包转发至 AAA 服务器。从 AAA 服务器身份验证器接收的数据包将转发到请求方。
EAP-GTC
EAP-GTC 是基于简单用户名和密码身份验证的 EAP 身份验证方法。不使用质询响应方法,用户名和密码均以明文传递。建议在隧道 EAP 方法内部(请参阅下面的隧道 EAP 方法)或针对一次性密码 (OTP) 使用此方法。
EAP-GTC 不提供相互身份验证。它只对客户端进行身份验证,因此欺诈服务器可能会获取用户的凭证。如果需要相互身份验证,则在隧道 EAP 方法内部使用 EAP-GTC,这样可提供服务器身份验证。
EAP-GTC 未提供密钥材料。因此,不能对 MACsec 使用此方法。如果进一步的流量加密需要密钥材料,则在隧道 EAP 方法内使用 EAP-GTC,这样可提供密钥材料(如有必要,还提供内部和外部 EAP 方法加密绑定)。
有两个密码源选项:
EAP-TLS
EAP 传输层安全 (EAP-TLS) 是基于 TLS 协议 (RFC 2246) 的 IEEE 802.1X EAP 身份验证算法。TLS 使用基于 X.509 数字证书的相互身份验证。EAP-TLS 消息交换提供相互身份验证、加密套件协商、密钥交换、客户端与身份验证服务器之间的身份验证以及可用于流量加密的密钥材料。
下面的列表提供了 EAP-TLS 客户端证书可为有线和无线连接提供强身份验证的主要原因:
EAP-TLS 包含两个选项:
EAP-TTLS
EAP 隧道传输层安全 (EAP-TTLS) 是扩展 EAP-TLS 功能的两阶段协议。第 1 阶段执行完整 TLS 会话,并生成用于在第 2 阶段安全地在服务器与客户端之间隧道化属性的会话密钥。您可以使用在第 2 阶段隧道化的属性通过多种不同机制执行其他身份验证。
网络访问管理器不支持在 EAP-TTLS 身份验证期间使用的内部和外部方法加密绑定。如果需要加密绑定,则必须使用 EAP-FAST。加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
可以在第 2 阶段使用的身份验证机制包括以下协议:
配置 EAP-TTLS
EAP-TTLS 设置
Inner Methods - 指定在 TLS 隧道创建后使用的内部方法。仅适用于 Wi-Fi 媒体类型。
PEAP 选项
受保护的 EAP (PEAP) 是基于隧道 TLS 的 EAP 方法。它在客户端身份验证之前使用 TLS 进行服务器身份验证,以加密内部身份验证方法。内部身份验证在受信任加密保护的隧道内进行,支持多种不同的内部身份验证方法,包括证书、令牌和密码。网络访问管理器不支持在PEAP 身份验证期间使用的内部和外部方法加密绑定。如果需要加密绑定,则必须使用 EAP-FAST。加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无需知道凭证就可以劫持用户的连接。
PEAP 通过提供以下服务保护 EAP 方法:
可以使用以下身份验证方法:
EAP-TLS,使用证书
配置 PEAP
基于凭证源的内部方法
EAP-FAST 设置
EAP-FAST 是 IEEE 802.1X 身份验证类型,可提供简单灵活的部署和管理。它支持多种用户和密码数据库类型、服务器发起的密码过期和更改以及数字证书(可选)。
EAP-FAST 针对想要部署 IEEE 802.1X EAP 类型的客户而开发,该类型不使用证书但可防御字典攻击。
自 AnyConnect 3.1 起,配置计算机和用户连接时均支持 EAP 链。这意味着网络访问管理器将验证计算机和用户是否为已知实体且由公司管理,这对于控制用户拥有的连接到企业网络的资产来说非常有用。有关 EAP 链的详细信息,请参阅 RFC3748。
EAP-FAST 将 TLS 消息封装在 EAP 内,包括三个协议阶段:
调配阶段 - 使用经过身份验证的 Diffie-Hellman 协议 (ADHP) 调配具有名为保护访问凭证 (PAC) 的共享加密凭证的客户端。
隧道建立阶段 - 使用 PAC 建立隧道。
身份验证阶段 - 身份验证服务器对用户凭证(令牌、用户名/密码或数字证书)进行身份验证。
与其他隧道 EAP 方法不同,EAP-FAST 提供内部和外部方法之间的加密绑定,可防御特殊类别的中间人攻击,在这类攻击中,攻击者可劫持有效用户的连接。
配置 EAP-FAST
Inner methods based on Credentials Source - 可让您使用密码或证书进行身份验证。
Use PACs - 可以指定使用 PAC 进行 EAP-FAST 身份验证。PAC 是分发给客户端以优化网络身份验证的凭证。
注
通常使用 PAC 选项,因为大多数身份验证服务器对 EAP-FAST 使用 PAC。在删除此选项之前,请验证身份验证服务器不对 EAP-FAST 使用 PAC。否则,客户端的身份验证尝试不会成功。
LEAP 设置
LEAP(轻量级 EAP)支持无线网络。它基于可扩展身份验证协议 (EAP) 框架,由思科开发,旨在创建比 WEP 更安全的协议。
注
LEAP 容易受到字典攻击,除非实施强密码并定期使密码过期。思科建议使用 EAP-FAST、PEAP 或 EAP-TLS,它们的身份验证方法不易受字典攻击。
只能用于用户身份验证的 LEAP 设置:
