■ 河南 刘景云

编者按： BYOD其实就是带上自己的设备（例如笔记本电脑、手机等）到单位工作，接入方式也更加多样化（例如有线、无线、VPN等），而单位也不再为员工专门配置设备，这样不仅可以节约成本，还可以提高员工工作的灵活性。但是BYOD对网络安全造成了不可忽视的威胁。

使用ISE安全管理BYOD行为

对于思科ISE（身份识别引擎）设备来说，可以对有线/无线接入进行控制，允许/禁止哪些员工可以使用自带设备，是否允许其进行注册，注册之后发放证书，并使用证书进行安全认证，可以帮助员工配置网络参数，对自带设备进行各种控制。

当自带设备（尤其是手机等移动设备）丢失后可以通过申报注销证书，以防止被恶意用户非法利用，并允许员工注册新的自带设备等。

对于ISE的BYOD管理方式来说，主要解决了如何有效颁发证书（即允许用户注册设备，自动为其颁发证书）和如何有效的识别和管理自带设备（即可以智能识别不同的设备，为其发放的证书以及配置的权限也不相同）的问题。

搭建实验网络环境

在本例中存在思科某款无线控制器，一台名为SW1核心交换机，一台名为SW2的接入交换机。

在SW2上创建了一个VLAN（例如 VLAN 200）并配置了Trunk，作为纯粹的接入设备。分别通过对应的接口连接AP和SW1。

对于核心交换机SW1来说，划分了不同的VLAN和SVI，启用了三层路由，配置DHCP地址池。例如创建VLAN100来连接管理主机，Windows Server域 控，WLC控制器管理接口以及ISE设备等。

创建VLAN 200来包含特定的接口连接SW1，并为其开启Trunk。创建VLAN 300来和WLC的端口进行绑定，支持客户端连接和传输对应的流量等。

之后创建创建CA证书服务器，这里使用的是Windows Server 2008域控制器，在其中创建CA证书服务。注意需要选择“证书颁发机构”和“证书颁发机构Web注册”项，具体不再详述。

配置设备注册服务，创建CA证书模版

在域控上将Administrator添 加 到IIS_IUSERS组，在服务器管理器选择“角色” →“Active Directory证书服务”项，在右侧选择“添加角色服务”项，在向导界面中选择“网络设备注册服务”。点击“选择用户”，输入账户和密码。在管理主机上打开浏览器访问“https://kpwin2008.xxx.com/certsrv/mscep_admin”，如果显示注册质询密码，说明上述配置生效。

在域控上打开服务器管理器，在左侧选择“角色” →“Active Directory证书服务”→“CA名称”→“证书模版”项，在右键菜单上点击“管理”项，在证书模版控制台中选择“用户”模版，在右键菜单菜单上点击“复制模版”项，在该模版属性窗口中的“常规”面板中输入名称（如“USER_BYOD”），在“请求处理”面板中不选择“允许导出私钥”项，确保证书的唯一性。在“使用者名称”面板中选择“在请求中提供”项，允许用户提供名称信息。在“安全”面板中选择“Administrator”账户，选择“完全控制”项。

在证书模版窗口右键菜单上点击“新建”→“要颁发的证书模版”项，选择上述证书模版项，将其添加到证书列表中。在注册表编辑器中打开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEP”分支，在右侧双击“EncryptionTemplate”、“GeneralPurposeTemplate”、“SignatureTemplate”等键值名，将内容均修改为上述证书模版名称（如“USER_BYOD”）。 选 择“MSCEP”→“EnforcePassword”，在双击“EnforcePassword”键值名，将其值修改为“0”，省却了每次注册都需要输入注册质询密码的繁琐。之后重启证书服务。在域控上创建对应的OU（如“BYODUnit”），创建所需的组（如“EmployGrp”）和账户（如“User1”）。

在ISE上安装CA证书及配置SCEP协议

访 问“h t t p s://k p w i n 2 0 0 8.x x x.c o m/certsrv”，在证书申请页面中下载根证书（例如rootzs.pem”），本例中使用的 IS 设备版本号为V2.3。

在上述ISE管理界面左 侧 点 击“Certificate Authority” →“External CA Settings” 项， 在 右侧 点 击“Add”按 钮，在“Add SCEP RA Profile”窗口中输入名称和描述信息，在“*URL”栏中输入“https://kpwin2008.xxx.com/certsrv/mscep/mscep.dll”，这里只是举例，要根据实际的域名进行输入。点击“Test Connection”按钮，可以测试连接是否成功。

点 击“Certificate Authority” →“Certificate Templates”项，在右侧点击“Add”，输入证书模版名称（如“SCEPZS”）和描述信息，输入申请证书所需组织等信息。在“*SCEP RA Profile”列表总选择上述SCEP RA Profile的名称。

之所以要创建证书模版，在于当客户通过ISE向CA申请证书时，实际上只提交名称信息，其余的信息需要借助该模版进行添加。注意，SCEP即即简单证书提交协议。

实现网络信息自动配置

在ISE界面工具栏上点 击“Policy” →“Policy Elements”→“Results”，点击“Client Provisioning”→“Resource”，在 右 侧 点 击“Add”-“Native Supplicant Profile”按钮，输入名称（如“NSPZ”）和描述信息，在“Eireless Profile(s)” 栏中点击“Add”按钮，可以添加无线配置信息，在打开窗口中输入SSID名称（如“BYOD_SSID”）。 在“Security*”列表中选择“WPA2 Enterprise”项， 在“Allowed Protocol”列表中选择“TLS”项，在“Certificate Template”列表中选择上述证书模版（如“SCEPZS”）。

点 击“O p t i o n a l Settings”项，在扩展面板中的“Authentication Mode”列表中选择“User”项，表示进行用户认证。点击“Save”按钮保存配置信息。

当然在“Wired Profile”栏中可以设置有线网络认证信息。在ISE工具栏上点 击“Policy”→“Client Provisioning”项，列出ISE支持的设备系统类型，包括IOS、Android、Windows、Mac OS等。

例如选择“Android”项，在其右侧点击“Edit”链接，在编辑区域的“Results”列中点击“+”项，在“Wizard Profile”栏中选择上述资源配置策略的名称（如“NSPZ”）。可以针对以上所有类型，分别设置上述资源配置策略。

导入域账户，创建NGD管理组

在ISE界面工具栏中点 击“Administration”→“External Identity Source”项，选 择“Active Directory”项，在右侧点击“Add”按钮，在“*Join Point Name”栏中中输入连接名称， 在“Active Directory Domain ”栏中输入域名，点击“Submit”，输入域管理员名称和密码，确定后加入到域环境中。

在Group面板中点击“Add” →“Select Group From Directory” 项， 在“Select Directory Groups”窗口中点击“Retrieve Groups”，列出该域中所有的组，选择上述“EmployGrp”组，点击“OK”按钮添加进来。为便于访问ISE设备，需要在DNS服务中创建相应的A记录。

为了便于ISE管理网络设备，可以在其管理界面中点 击“Administration”→“Network Device Groups”项，点击“Add”按钮，输入NGD组名称（如“NDGROUP1”）和 描 述 信 息，在“Parent Group”列 表 中 选 择“All Device Types” 项，点 击“Save”按钮创建该组。在工具栏工具栏上点击“Network Devices”项，在左侧选择“Network Devices”项，在右 侧 点 击“Generate PAC”按钮，在打开界面中点击“Add”按钮，输入设备的名称（如“WLCKZ”），这里针对的是无线控制器，输入其管理端口的IP地址，在“Device Type”列表中选择上述创建的NDG组名称。在“RADIUS Authentication Settings”面板中的“*Shared Secret”栏中输入WLC设备的管理员密码。

在WLC上配置ACL管理规则

登录到WLC设备管理界面，在工具栏上点击“SECURITY”项，在左侧点击“Access Control Lists”→“Access Control Lists”项，在 右 侧 选 择“Enable Counters”项。点击“New…”按钮，输入该ACL名称（例如“ACL1”），点击“Apply”按钮保存配置。

该列表的作用在于在没有获取证书认证之前，允许放行的流量。在其属性窗口中的“Souce”列 表 中 选 择“Any”，在“Destination”列表中选择“Any”，在“Protocol”列 表中 选 择“UDP”，在“Source Port”列表中选择“Any”，在“Destination Port”列表选择“DNS”项，在“Action”列表中选择“Permit”项，放行和DNS相关的流量。

点 击“Add New Rule”按钮，创建新的条目，创建与上述几乎相同的内容，所不同的是在“Source Port”列表中选择“DNS”，在“Destination Port”列表选择“Any”项。

这是因为在WLC控制规则中，需要对进出的流量分别控制。同理创建两个新的条目，分别在“Source”和“Destination”列表中选择“IP Address”项，输入ISE的管理口地址，放行和ISE设备相关的数据流量。

按照同样方法，创建两个新的条目，分别针对特定的DNS服务器地址（例如172.217.0.0，216.58.0.0等）放行流量。

再创建一个新条目，在“Action”列表中选择“Deny”项，禁止其他的所有流量。

按照同样的方法，创建名为“ACL2”的访问控制列表，主要禁止访问公司内部网络。在其属性窗口的“Destination”列表中选择“IP Address”项，输入公司内部的特定地址，其余列表均 选 择“Any”，在“Action”列表中选择“Deny”项，禁止访问该地址。

同理可以创建多个条目，禁止访问所需的目标地址，最后创建一个条目，放行所有流量。按照同样的方法，创建名为“ACL3”的访问控制列表，在其中添加一个条目，允许放行所有的流量。

在ISE上创建认证规则

在ISE管理界面中点击“Policy”→“Results”项，点 击“Authorization” →“Authrozation Profiles”项，在 右 侧 点 击“NSP_Onboard”项，在其属性窗口中的“Common tasks”面板中选择“Web Redirection”项，在“ACL”栏中输入上述“ACL1”的列表名，点击“Save”按钮保存配置信息。点击“Policy”→“Results”项，在右侧点击“Add”按钮，输入新的认证项目名称（例 如“Pocl01”）， 在“Common Tasks”面板中选择“Airespace ACL Name”项，输入上述“ACL2”的列表名，这里主要针对手机等移动设备进行控制，仅仅允许其访问内部网络。

同理，创建新的认证项目（例如名为“Pocl02”），在“Common Tasks”面板中选择“Airespace ACL Name”项，输入上述“ACL3”的列表名，允许访问所有的网络资源。在ISE管理界面中点击“Policy”→“Profiling”项，在左侧选择“Logical Profiles”项。在右侧点击“Add”按钮，输入名称（例如“Hzgrp”）， 在“Avilable Policies”列表中显示ISE支持的所有设备类型（例如“Apple-Device”等），可以选择多个设备，点击“>”按钮，将其添加进来，这里针对手机设备创建设逻辑设备集。

同理，可以针对不同的设备类型，创建多个Logical Profiles项目。

在ISE上配置BYOD安全策略

在ISE管理界面中点击“Policy” →“PolicySets”项， 打 开“Default” 默认策略集，选择其中的“Authorization Policy”项，在其中激活名为“Employee_Onboarding”和“Employee_EAP-TLS”的策略，在后者的“Profiles”列中选择上述名为“ACL3”的策略。

选 择“Employee_EAPTLS”策略项，在其右侧点击设置按钮，在弹出菜单中选择“Duplicate ablove”项，在其上部复制一个策略。将其名称修改为“Employee_EAP-TLS_Phone”， 在“Conditions”列中点击属性参数，在编辑界面中点击“New”按钮，在编辑栏中打开设置界面，在其中的“Directory”列表中选择“EndPoints”项。

返回编辑界面，在其条件栏中选择“Equals”，在其后输入上述逻辑设备集名称（例如“Hzgrp”）。点击“Use”按钮，保存配置信息后并返回。

在其“Profiles”列中选择上述名为“ACL2”的策略，这样，就针对手机设备创建了授权策略。

同理，可以针对不同的逻辑设备集合（例如针对安卓设备），分别创建授权策略。点击“Save”按钮，保存授权策略。

为了便于管理设备，需要确 保“Wireless BlackList Default”策略处于激活状态。

在WLC上创建WLAN项目

在WLC界面点击工具栏上的“CONTROLLER”，在左侧点击“Interfaces”项，在右侧点击“新建”，输入接口名称（如“VLAN300”），在“VLAN ID”栏中中输入合适的VLAN号（如“300”）。创建后在属性窗口中的“Port Number”栏中输入“1”，在其下输入接口SVI地址和掩码，及网关地址和DHCP服务器地址等。

在WLC管理页面点击“SECURITY”，选择“RADIUS”→“Authentication”，在右侧点击“New”按钮，在打开页面中的“Server IP Address”栏输入ISE服务器IP。在“Shared Secret”栏中输入管理密码。在“Support for CoA”列表中选择“Enabled”，点 击“Apply” 按 钮，添加新的认证项目。点击“Accounting”项，在右侧点击“New”创建新的审计项目，输入ISE的IP和管理密码。

点 击“WLANS” 项，在列表中选择“Create New”项，点击“Go”按钮，创建新的WLAN。输入名称和SSID号（如“BYODSSID”等）。 在该WLANs属性窗口选择“General” →“Status” →“Enabled”，激 活 安 全 认证 功 能。 在“Interface/InterfaceGroup” 列 表 中选择为客户端准备的VLAN（如“VLAN300”）。 选 择“Security”→“Layer2”→“Layer 2 Security” →“WPA+WPA2”，选 择 所 需 的安全级别。选择“Fast Transition” →“Disable”项，禁用快速漫游功能。在“AAA Servers”面 板 中 的“Server1”栏中输入ISE的IP，将其作为3A服务器使用。在“Advanced”面板中的“Allow AA Override”栏中选择“Enabled”项，激活授权功能。在“NAC State”列表中选择“ISE NAC”项。

测试BYOD设备连接

当BYOD用户使用PC、笔记本和手机连接上述名为“BYODSSID”热点后，必须在认证窗口中先输入上述预设的账户名（例如“user1”）和密码，之后才可以接入网络。当试图访问某个网址时，就会自动重定向到BYOD注册界面，当输入设备设备名称和说明信息后，就会自动下载和运行名为“Network Setup Assistant”的软件，帮助您自动设置无线网络。注意，ISE会自动为其申请证书。当再次连接时，就可以使用基于证书的方式进行安全连接了。

当BYOD设备损坏或者丢失后，可以访问上述“mydev.xxx.com”地址，输入您的账户名和密码，点击“登录”按钮，选择选择某个注册设备，在设备管理界面中点击“已丢失”、“已被盗”、“编辑”、“删除”等按钮，可以对其进行对应的管理操作。例如将其设置为被盗状态后，ISE就会针对该设备启用黑洞授权，别人使用该设备是无法连接网络的。当然，当找回该设备后，在设备管理界面中点击“恢复”按钮，可以将其恢复到正常状态。