Cấu hình xác thực bằng RADIUS server


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius1.gif
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius2.jpg
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius3.jpg

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius4.jpg
Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius5.jpg
Click vào nút User Setup để tạo user

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius6.jpg
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius7.gif
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius8.gif
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius9.jpg

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius10.jpg
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius11.jpg

Click vào nút Add

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius12.jpg

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius13.jpg


1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius14.jpg

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius15.jpg
=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

Cấu hình xác thực bằng RADIUS server


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius1.gif
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius2.jpg
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius3.jpg

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius4.jpg
Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius5.jpg
Click vào nút User Setup để tạo user

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius6.jpg
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius7.gif
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius8.gif
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius9.jpg

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius10.jpg
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius11.jpg

Click vào nút Add

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius12.jpg

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius13.jpg


1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius14.jpg

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius15.jpg
=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

Các bạn nên lưu ý khi cấu hình địa chỉ AAA client phải là địa chỉ Ip của cổng VBI1 trên AP chứ không phải IP của cổng ethernet.

Chúc mọi người vui !!!

IP Cổng VBI1 là cổng để management,chẳng hạn như telnet hay móc vào bằng web,cái dụ này ae mới làm con Aironet hay lộn lắm,

Thanks,

Cấu hình xác thực bằng RADIUS server


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius1.gif
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius2.jpg
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius3.jpg

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius4.jpg
Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius5.jpg
Click vào nút User Setup để tạo user

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius6.jpg
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius7.gif
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius8.gif
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius9.jpg

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius10.jpg
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius11.jpg

Click vào nút Add

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius12.jpg

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius13.jpg


1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius14.jpg

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius15.jpg
=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

Cho mình hỏi là nếu mình vẫn dùng phần mềm trên mà không dùng thiết bị của Cisco mà sử dụng AP của TP-Linhk có được không? Và nếu mà mình không sử dụng phần mềm "Cisco Secure ACS v3.2" thì mình có thể cấu hình để xác thực trong WLAN sử dụng một máy tính cài Wins 2003 với Active Directory?

Trong trường hợp trên thì anh cấu hình xác thực cho một AP, nếu như mình có nhiều AP thì mình sẽ làm như thế nào ah?
Thank you very much!

Hi All,

In case, wireless clients want to authenticate via RAS server to access wireless network. The RAS server was configured on redhat el5, not on the AD. Although i can integrate the linux machine with the AD but i can't authenticate for wireless users via RAS.

Have anybody ideas for the RAS server?

Thanks,
Noname

Trong trường hợp trên thì anh cấu hình xác thực cho một AP, nếu như mình có nhiều AP thì mình sẽ làm như thế nào ah?
Thank you very much!

Chào !!
Bạn vui lòng xem bài dưới :


Options and Costs
Các công việc kinh doanh muốn nâng cao tính bảo mật cho hệ thống mạng WLAN nhưng lại sử dụng chuẩn 802.1X – và với yêu cầu này thì lựa chọn việc triển khai RADIUS là hợp lý.
Deploy WPA with Preshared Keys: Nâng cấp hệ thống mạng WLAN của bạn đang sử dụng từ Wired Equivalent Privacy (WEP) tới Wi-Fi Protected Access (WPA) có thực hiện không cần phải sử dụng RADIUS mà bằng cách sử dụng Preshared Keys (PSK) hỗ trợ cho chuẩn 802.1X. Preshared Keys không thể thực hiện việc xác thực cho mỗi user và khả năng chống các cuộc tấn công "dictionary attack" là rất kém do tồn tại khá nhiều vấn đề về bảo mật. Nếu sử dụng giải pháp này việc kinh doanh của bạn sẽ có nhiều rủi do hơn, và chỉ áp dụng cho môi trường nhỏ thì giải pháp WPA-PSK là hợp lý.
Use Microsoft's RADIUS Server: Nếu bạn có một máy chủ chạy hệ điều hành Microsoft Windows Server 2000/2003 thì hoàn toàn có khả năng, với việc sử dụng Microsoft’s Internet Authentication Service (IAS). Có rất nhiều tài liệu nói về việc triển khai IAS ví dụ như tài liệu về "802.1X Port Authentication with Microsoft Active Directory" có thể tham khảo tại:
http://www.foundrynet.com/pdf/wp-8021x-authentication-active-directory.pdf.
IAS cần thiết các nhà quản trị hay các user phải làm việc trên môi trường Windows. Và nó cũng là một trong những tính năng cao cấp của Microsoft Wireless Provisioning Service.
Install an Open Source RADIUS Server: Nếu bạn không có một phiên bản Windows, một lựa chọn cho bạn nữa là sử dụng giải pháp phần mềm mã nguồn mở, bạn có thể tham khảo tại: http://www.freeradius.org . Với khả năng hỗ trợ cho chuẩn 802.1X các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều có thể sử dụng làm RADIUS Server.
Mua một Commercial RADIUS Server: Trong trường hợp phải sử dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ các tính năng cũng như khả năng an toàn, và độ ổn định bạn có thể mua các bản thương mại từ các nhà sản xuất khác, với tính năng hỗ trợ 802.1X và là một RADIUS Server chuyên nghiệp:
Aradial WiFi - http://www.aradial.com
Bridgewater Wi-Fi AAA - http://www.bridgewatersystems.com
Cisco Secure Access Control Server - http://www.cisco.com/
Funk Odyssey - http://www.funk.com/
IEA RadiusNT - http://www.iea-software.com/
Infoblox RADIUS One Appliance - http://www.infoblox.com/
Interlink Secure XS - http://www.interlinknetworks.com/
LeapPoint AiroPoint Appliance - http://www.leappoint.com/
Meetinghouse AEGIS - http://www.mtghouse.com/
OSC Radiator - http://www.open.com.au/radiator/
Vircom VOP Radius - http://www.vircom.com
Commercial RADIUS Servers có giá cả tuỳ vào khả năng của sản phẩm Ví dụ bạn mua một Funk Odyssey Server, bao gồm 25 license Odyssey Client. VOB Radius Small Bussiness giá khởi điểm là $995 cho 100 Users. Một máy chủ Radiator license giá $720.
RADIUS server cũng có thể bao gồm cả giá của phần cứng/phần mềm. Ví dụ Funk’s Steel-Belted Radius có giá trên một Network Engines là $7500. LeapPoint’s AiroPoint 3600 – SE có giá khởi điểm là $2499 cho 50 clients. Toàn bộ giá ở trên là ví dụ còn phụ thuộc nhiều vào nhà cung cấp phần mềm hay các đại lý của các hãng khác nhau.
Ngoài ra với sự lựa chọn cho mạng doanh nghiệp nhỏ bạn không có điều kiện triển khai máy chủ RADIUS một giải pháp tốt cho bạn là sử dụng giải pháp bảo mật từ các công ty chuyên về bảo mật hệ thống mạng Wi-Fi như WSC Guard mang đến giải pháp bảo mật cho các dịch vụ trên nền 802.1X và với giá khởi điểm là $89 cho một người dùng một năm và sẽ xuống còn $59 khi khách hàng đăng ký 1000 người dùng.
WSC Guard
Một nhà quản trị bắt đầu triển khai dịch vụ và cài đặt WSC Wuard trên một máy Windows XP hay 2000 PC khi chúng kết nối tới Access Points của họ. Anh ta có thể thêm access point vào trong danh sách cá access point có thể thực hiện. Chỉ các Access Point mới có thể thêm vào danh sách mạng WSC Network, nó có thể được đặt tên bởi nhà quản trị. WSC Guard sử dụng để quản lý các AP để cấu hình một chính sách bảo mật cho các Access Points này và WSC host – RADIUS Server sẽ thực hiện việc xác thực, và cung cấp truy cập bảo mật thông tin.
Sẽ rất đơn giản và hiệu quả đối với việc thiết lập một hệ thống sử dụng giải pháp của WSC Guard. Cung cấp khả năng bảo mật cao hỗ trợ nhiều phần cứng khác nhau "nhiều sản phẩm như Linksys – WRT54G" nhưng khi bạn triển khai với WSC Guard bạn cũng cần lưu ý là cần kiểm trả lại xem phần cứng – Access Point của bạn có được hỗ trợ trong phần mềm này không.
WSC sẽ tự động cấu hình đảm bảo tính bảo mật nhất cho mỗi Access Point. Ví dụ bạn nó sẽ cấu hình một Linksys WRT54G để sử dụng WPA (TKIP) với chuẩn 802.1X. Trong khi với Access Point là Proxim AP-600 không hỗ trợ WPA thì WSC nó sẽ sử dụng WEP với 802.1X. WSC’s RADIUS Server thực hiện xác thực bằng các chứng chỉ điện tử "Digital certificate", sử dụng PEAP để xác thực WLAN member như username/password.
Các người dùng buộc phải đăng ký bởi trang web WSC để tạo ra username và password. Người quản trị cũng có thể sử dụng môi trường Web để cấu hình các Access Control cho mỗi mạng WSC khác khau. Và anh ta có thể thêm các user nào cần thiết vào danh sách thành viên có khả năng truy cập vào mạng đó. Và cũng có thể quản trị trên nền Web để thực hiện nhiều tuỳ biến nâng cao tính bảo mật khác…
Kết luận
Quản lý dịch vụ như WSC có thể giúp các doanh nghiệp nghỏ hạn chế việc người dùng cuối phải cấu hình cho việc sử dụng RADIUS. Trong mạng doanh nghiệp lớn có thể giới hạn từng phần riêng biệt, cung cấp nhiều giải pháp bảo mật cho nhiều vùng khác nhau. Với khả năng hỗ trợ xác thực cho cả chuẩn không day 802.1X, RADIUS là giải pháp không thể thiếu cho các doanh nghiệp muốn quản lý tập trung và tăng cường tính bảo mật cho hệ thống.


chúc vui !!!

Chào !!!
Bổ sung bài LAB cấu hình bạn cần (file đính kèm)


Chúc vui !!!