Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình xác thực bằng RADIUS server :

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình xác thực bằng RADIUS server :

    Tác giả: Phạm Đình Thông

    Lab: CẤU HÌNH XÁC THỰC BẰNG RADIUS SERVER


    - Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
    - Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

    Mô tả yêu cầu:
    • Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
    • Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
    • Cho PC tham gia vào mạng, kiểm tra kết nối.

    Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

    Các bước thực hiện :
    1. Cấu hình RADIUS server trên win 2003:
    • Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
    Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :
    Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :
    - Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
    - Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
    - Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
    - Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
    - TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
    Nhấn Next để sang bước tiếp theo.
    - Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
    Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .

  • #2
    • Tạo User và password :
    Giao diện chính của ACS:
    Click vào nút User Setup để tạo user
    Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.
    Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
    • Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.
    Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
    Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environmen.

    Comment


    • #3
      Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start
      2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:
      Thực hiện trên webpage:
      • Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
      • Kết nối giữa PC với AP thông qua cáp thẳng
      • Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco. Nhập xong nhấn OK
      • Giao diện chính của AP
      Chọn mục EXPRESS SECURITY để vào tạo cấu hình mới và bảo mật RADIUS
      Chọn SSID là vnpro
      Chon mục Broadcast SSID in Beacon để quản bá SSID của mình
      Chọn mục EAP Authentication để bật tính năng xác thực RADIUS
      Đặt IP của server là 192.168.1.1
      Đặt Secrect key trùng với key của server pc
      nhấn apply => hoàn tất cài đặt.

      Comment


      • #4
        Cấu hình bằng CLI:
        • Vào mode config bật tính năng AAA
        ap(config)# aaa new-model
        • Định nghĩa AAA Server Groups
        ap(config)#aaa group server radius rad_eap
        ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646
        • Cho phép xác thực trên RADIUS
        ap(config)#aaa authentication login eap_methods group rad_eap
        • Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài
        ap(config)#dot11 ssid ap1
        ap(config-ssid)#authentication open eap eap_methods
        ap(config-ssid)#authentication network-eap eap_methods
        ap(config-ssid)#guest-mode

        • Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :
        ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456
        • Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này
        ap(config)#interface dot11radio 0
        ap(config-if)#encryption mode wep mandatory
        ap(config-if)#ssid ap1
        ap(config-if)#no shut
        ap(config-if)#end
        ap#wr
        Cấu hình tham khảo:

        ap#sh running-config
        Building configuration...

        Current configuration : 2430 bytes
        !
        version 12.3
        no service pad
        service timestamps debug datetime msec
        service timestamps log datetime msec
        service password-encryption
        !
        hostname ap
        !
        enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
        !
        ip subnet-zero
        !
        !
        aaa new-model
        !
        !
        aaa group server radius rad_eap
        server 192.168.1.1 auth-port 1645 acct-port 1646
        !
        aaa authentication login eap_methods group rad_eap
        aaa session-id common
        !
        dot11 ssid ap2
        authentication open eap eap_methods
        authentication network-eap eap_methods
        guest-mode
        !
        power inline negotiation prestandard source
        --More-- !
        !
        username Cisco password 7 047802150C2E
        !
        bridge irb
        !
        !
        interface Dot11Radio0
        no ip address
        no ip route-cache
        !
        encryption mode wep mandatory
        !
        ssid ap2
        !
        speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
        station-role root
        bridge-group 1
        bridge-group 1 subscriber-loop-control
        bridge-group 1 block-unknown-source
        no bridge-group 1 source-learning
        no bridge-group 1 unicast-flooding
        --More-- bridge-group 1 spanning-disabled
        !
        interface Dot11Radio1
        no ip address
        no ip route-cache
        shutdown
        speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
        station-role root
        bridge-group 1
        bridge-group 1 subscriber-loop-control
        bridge-group 1 block-unknown-source
        no bridge-group 1 source-learning
        no bridge-group 1 unicast-flooding
        bridge-group 1 spanning-disabled
        !
        interface FastEthernet0
        no ip address
        no ip route-cache
        --More-- duplex auto
        speed auto
        bridge-group 1
        no bridge-group 1 source-learning
        bridge-group 1 spanning-disabled
        hold-queue 160 in
        !
        interface BVI1
        ip address 192.168.1.254 255.255.255.0
        no ip route-cache
        !
        ip http server
        no ip http secure-server
        ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
        ip radius source-interface BVI1
        !
        radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
        !
        control-plane
        !
        bridge 1 route ip
        --More-- !
        !
        !
        line con 0
        line vty 0 4
        !
        end

        Comment


        • #5
          3. kiểm tra kết nối :
          - Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless
          - Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.
          - Click vào nút Add
          Đặt tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK

          Comment


          • #6
            1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.
            Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
            Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.
            =>ping thành công, kết nối hoàn tất.

            Comment


            • #7
              Bác Sang ơi.
              Bác đã thử Dynamic vlan chưa.
              Nếu bác đã làm được rồi thì post hướng dẫn help em 1 phát.
              Thanks

              Comment


              • #8
                Sao tôi làm theo như vậy rồi mà vẫn không được nhỉ? ACS tự tạo user mà khi connect lại báo authen failed.
                Đây là running-config của con Aironet 1240AG, bác nào xem hộ xem sai ở đâu?

                !
                version 12.3
                no service pad
                service timestamps debug datetime msec
                service timestamps log datetime msec
                service password-encryption
                !
                hostname AP1.1
                !
                enable secret 5 $1$IPRa$/ww8rCOW3daaKFnuKWtc51
                !
                ip subnet-zero
                !
                !
                aaa new-model
                !
                !
                aaa group server radius rad_eap
                server 192.168.10.12 auth-port 1645 acct-port 1646
                !
                aaa group server radius rad_mac
                !
                aaa group server radius rad_acct
                !
                aaa group server radius rad_admin
                !
                aaa group server tacacs+ tac_admin
                !
                aaa group server radius rad_pmip
                !
                aaa group server radius dummy
                !
                aaa authentication login eap_methods group rad_eap
                aaa authentication login mac_methods local
                aaa authorization exec default local
                aaa accounting network acct_methods start-stop group rad_acct
                aaa session-id common
                !
                dot11 ssid ap1
                authentication open eap eap_methods
                authentication network-eap eap_methods
                guest-mode
                !
                power inline negotiation injector 0015.63a9.06c1
                !
                !
                username Cisco password 7 106D000A0618
                !
                bridge irb
                !
                !
                interface Dot11Radio0
                no ip address
                no ip route-cache
                !
                encryption mode wep mandatory
                !
                ssid ap1
                !
                speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
                channel 2412
                station-role root
                bridge-group 1
                bridge-group 1 subscriber-loop-control
                bridge-group 1 block-unknown-source
                no bridge-group 1 source-learning
                no bridge-group 1 unicast-flooding
                bridge-group 1 spanning-disabled
                !
                interface Dot11Radio1
                no ip address
                no ip route-cache
                shutdown
                !
                encryption key 1 size 40bit 7 92BFC72E79AE transmit-key
                encryption mode wep mandatory
                speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
                station-role root
                bridge-group 1
                bridge-group 1 subscriber-loop-control
                bridge-group 1 block-unknown-source
                no bridge-group 1 source-learning
                no bridge-group 1 unicast-flooding
                bridge-group 1 spanning-disabled
                !
                interface FastEthernet0
                no ip address
                no ip route-cache
                speed auto
                full-duplex
                bridge-group 1
                no bridge-group 1 source-learning
                bridge-group 1 spanning-disabled
                hold-queue 160 in
                !
                interface BVI1
                ip address 192.168.11.2 255.255.255.0
                no ip route-cache
                !
                ip default-gateway 192.168.11.1
                ip http server
                no ip http secure-server
                ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
                ip radius source-interface BVI1
                !
                snmp-server community communitydefault RW
                radius-server attribute 32 include-in-access-req format %h
                radius-server host 192.168.10.12 auth-port 1645 acct-port 1646 key 7 08701E1D5D4C53404A52
                radius-server vsa send accounting
                !
                control-plane
                !
                bridge 1 route ip
                !
                !
                !
                line con 0
                line vty 0 4
                !
                end

                Comment


                • #9
                  Bài viết này hay đấy,

                  các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)
                  Mai Anh Tuấn:)

                  Comment


                  • #10
                    Cho em link down Cisco Secure ACS 3.2 với

                    Comment


                    • #11
                      Cho em link down Cisco Secure ACS 3.2 với

                      Comment


                      • #12
                        Originally posted by titanevn View Post
                        Bài viết này hay đấy,

                        các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)
                        Đúng đấy , bởi đồ cisco là hàng hiếm với anh em quá. còn hiện Cisco Secure ACS 3.2 (v40 thì to quá) tớ sẽ up vô itexpert.org ... nhưng mà chưa làm đủ 9 bài nên chưa up vô được .... hè hè hè (chắc đành gửi email cho bác Tuấn thôi)
                        Bạn Thanhtt có thể down ACS 3.2 từ link này :
                        Last edited by camaptrang; 14-06-2007, 09:02 PM.

                        Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


                        Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

                        Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

                        Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

                        Hướng dẫn cài đặt cấu hình Retrospect Backup Server

                        Cài đặt và cấu hình phần mềm FSA Audit Files Server

                        CAMAPTRANG
                        http://www.asterisk.vn

                        Comment


                        • #13
                          Cảm ơn bác cá mập nhiều.
                          Em down được rồi.

                          Comment


                          • #14
                            phần mềm Cisco Secure ACS có phải mua bản quyền ko?

                            nếu ko dùng ACS mà tự dụng Radius Server trên Win 2003 thì có được ko vậy? Nếu đã có sẵn user trên AD (Active Directory) thì làm sao sử dụng các user này để đăng nhập vào mạng wireless thông qua sát thực của Radius server. cần fải cấu hình những gì trên Radius Server. Bác nào biết chỉ dùm?

                            thx!!!

                            Comment


                            • #15
                              Acs

                              Hi all
                              Mình thấy chủ đề này rất hay đó. Lúc trước triển khai mình có đọc tài liệu của ACS nhưng mà thời gian gấp quá nên không làm được nhiều còn nhiều chức năng vẫn chưa thử được.
                              Nếu minh dùng cơ sở dữ liệu của AD thì phải cấu hình như thế nào nhỉ, và nếu mình tạo profile cho mỗi User khác nhau thì khác nhau thì mình cấu hình như thế nào?
                              Thanks

                              Comment

                              Working...
                              X