Dúvidas implantação solução de NAC.

1. Dúvidas implantação solução de NAC.

Thiago José Mendes Ferreira
thiagojmf

(usa Outra)

Enviado em 01/11/2017 - 10:28h

Prezados,

Estou atuando em um Projeto de implantação de uma solução de NAC na empresa onde trabalho. O objetivo do Projeto é validar máquinas e usuários na rede cabeada e wireless, de forma que um usuário só terá acesso a rede Corporativa da Instituição, se estiver usando uma máquina corporativa que esteja inserida no domínio SAMBA4 e com um usuário de rede válido. A solução de NAC que estamos testando inicialmente é o PacketFence.

Estamos enfrentando algumas dificuldades e precisava da ajuda de alguém que tenha conhecimento sobre o assunto. Vamos lá, as dúvidas até o momento são as seguintes:

1 - Como eu integro o packet na rede wireless? Atualmente nossa solução de rede wireless é composta por uma controladora e access points que são gerenciados por ela. Nesta controladora temos 4 vlans:

VLAN 1 - Corporativa (autenticação WPA2), permite acesso a toda rede interna;
VLAN 2 - Visitantes (aberta - sem nenhum tipo de autenticação), VLAN utilizada por visitantes, permite acesso apenas a internet;
VLAN 3 - MGMT, utilizada pela controladora wireless para gerência dos access points;
VLAN 4 - Interface web de administração da controladora.

Os SSIDs rodam na VLAN 1 e 2. Aí pergunto a vocês, como ficaria a configuração de VLANs nos switches da rede neste caso?
Tenho essa dúvida, porque conseguimos implantar o 802.1x na rede cabeada com sucesso e a configuração da vlans ficou da seguinte forma:
macDetection: 4
Corporativa: 10
Guest: 11
Registro: 2
Isolamento: 3
Por padrão todas as portas do switch estão na vlan macDetection, se a máquina do usuário (suplicante) estiver com 802.1x habilitado, as credências são enviadas do suplicante para o switch, do switch para o Radius e para o AD, se estiver tudo OK, o switch troca a vlan da porta para Corporativo.
Porém, no caso da rede wireless como eu faria isso? Pelo que eu entendo, o AP faria o papel do switch, neste caso eu teria apenas um vlan permitindo a comunicação entre AP <-> Controladora e PacketFence, correto? Neste caso a atribuição de políticas não seria por vlan e sim por SSID?

2 - O NAC está funcionando perfeitamente na rede cabeada para estações de trabalho Windows, porém para estações de trabalhos Linux estamos com dificuldades para autenticar usuário e computador ao mesmo tempo. Alguém que já tenha feito isso, poderia ajudar?

3 - Achamos a solução do PacketFence bastante completa, mas muito complexa, alguém conhece alguma solução tão boa quanto o packetfence, porém que seja mais simples de se implantar?

Obrigado.


  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts