LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Xét vấn đề sau:
Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau
văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là n
quốc gia khác nhau.
Mất thời gian cho việc quản lý nó, nếu đặt password theo
WPA-Persional hoặc WEB, ta phải đưa password access poin
nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên
Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 và
không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di ch
nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login
access point
69 trang |
Chia sẻ: thanhle95 | Lượt xem: 478 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Bài giảng Mạng không dây - Chương 7: Radius server cho WLAN - Lương Minh Huấn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 7: RADIUS SERVER CHO
WLAN
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Lý do sử dụng Radius Server cho WLAN
Radius Server là gì?
III. Nguyên tắc hoạt động
IV.Triển khai Radius server cho WLAN
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Xét vấn đề sau:
Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau
văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là nhiều
quốc gia khác nhau.
Mất thời gian cho việc quản lý nó, nếu đặt password theo
WPA-Persional hoặc WEB, ta phải đưa password access point
nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên
Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 vài
không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di chuyển
nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login
access point.
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Đặt trường hợp password có quá nhiều người biết, và nhân
lạm dụng để sử dụng cho thiết bị cá nhân, hoặc đưa cho người
khác, như vậy băng thông sử dụng mạng không dây sẽ bị
hưởng nặng nề.
Chưa kể việc lộ password rơi vào tay đối thủ, thì đó là 1 kênh
hacker hoặc công ty đối thủ xâm nhập vào mạng nội bộ công
điều nầy vô cùng nguy hiểm.
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Chính vì vậy, người ta cần một cơ chế để xác thực nhân viên
cách chính xác.
Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác
người dùng trên Access Point (AP).
Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS
thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x.
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Mô hình xác thực
I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
II. RADIUS SERVER LÀ GÌ?
RADIUS (Remote Authentication Dial trong User Service)
một giao thức mạng phổ biến cung cấp cho các nhu cầu AAA (Xác
thực, Cấp phép và Kế toán) của các môi trường CNTT hiện đại
RADIUS trang bị cho các quản trị viên các phương tiện để quản
tốt hơn việc truy cập mạng bằng cách cung cấp mức độ an ninh,
kiểm soát và giám sát cao hơn.
Về cơ bản, RADIUS cho phép người dùng từ xa kết nối với mạng
không dây bằng cách xác định tài khoản và sau đó nhận được
quyền truy cập vào hệ thống.
II. RADIUS SERVER LÀ GÌ?
II. RADIUS SERVER LÀ GÌ?
Khi bắt đầu xác thực RADIUS, yêu cầu xác thực và thông tin đăng
nhập được gửi từ thiết bị của người dùng đến máy khách RADIUS
(RADIUS Client).
RADIUS Client gửi yêu cầu này tới máy chủ xác thực RADIUS
kiểm tra các quy tắc được xác định trước trên cơ sở dữ liệu
khoản.
Phản hồi chấp nhận được gửi lại cho thiết bị người dùng thông
máy khách nếu yêu cầu này đáp ứng các yêu cầu cần thiết.
Các thiết lập được kích hoạt, cung cấp cho quản trị viên thông
bổ sung như thời gian session kết nối và băng thông.
III. NGUYÊN TẮC HOẠT ĐỘNG
Trong một mạng Wireless sử dụng 802.1x Port Access Control,
các máy trạm sử dụng wireless với vai trò Remote User
Wireless Access Point làm việc như một Network Access Server
(NAS).
Để thay thế cho việc kết nối đến NAS với dial-up như giao
PPP, wireless station kết nối đến Access Point bằng việc sử dụng
giao thức 802.11.
III. NGUYÊN TẮC HOẠT ĐỘNG
Wireless station gửi một message EAP-Start tới Access Point.
Access Point sẽ yêu cầu station nhận dạng và chuyển các thông
đó tới một AAA Server với thông tin là RADIUS Access-Request
User-Name attribute.
Máy chủ AAA và wireless station hoàn thành quá trình bằng
chuyển các thông tin RADIUS Access-Challenge và Access
Request qua Access Point.
III. NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Accept, Access Point
và wireless station sẽ hoàn thành quá trình kết nối và thực
phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá
liệu.
Và tại điểm đó, Access Point sẽ không cấm cổng và wireless
station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách
thường.
Lưu ý là mã hoá dữ liệu từ wireless station tới Access Point
với quá trình mã hoá từ Access Point tới máy chủ AAA Server
(RADIUS Server).
III. NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Reject, Access Point
sẽ ngắt kết nối tới station.
Station có thể cố gắng thử lại quá tình xác thực, nhưng Access
Point sẽ cấm station này không gửi được các gói tin tới các Access
Point ở gần đó.
Chú ý là station này hoàn toàn có khả năng nghe được các dữ
được truyền đi từ các stations khác – Trên thực tế dữ liệu được
truyền qua sóng radio và đó là câu trả lời tại sao phải mã hoá
liệu khi truyền trong mạng không dây
IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Có khá nhiều loại Radius server để triển khai cho WLAN như:
Use Microsoft's RADIUS Server: Nếu có một máy chủ chạy hệ
hành Microsoft Windows Server.
Install an Open Source RADIUS Server: Nếu không có một phiên
bản Windows, một lựa chọn nữa là sử dụng giải pháp phần mềm
nguồn mở, tham khảo tại: Với khả
hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn
mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều
thể sử dụng làm RADIUS Server.
IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Mua một Commercial RADIUS Server: Trong trường hợp phải
dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ
tính năng cũng như khả năng an toàn, và độ ổn định có thể mua
bản thương mại từ các nhà sản xuất khác, với tính năng hỗ
802.1x và là một RADIUS Server chuyên nghiệp
IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Mô tả sơ đồ demo:
Một access point hỗ trợ WPA2-Enterprise
Một Window server 2012 bản standard trở lên RAM tối thiểu
2GB
Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join domain)
Kết nối network giữa access point và Window server 2012
thông xuốt, không bị chặn bởi firewall.
IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Các bước thực hiện:
Nâng cấp Active Director(AD)
Cài đặt, cấu hình radius
• Cài đặt + Cấu hình Active Directory Certificate Services (CA)
• Cài đặt NAP (Network Policy and Access Services)
• Cấu hình NAP
Test từ phía client (Laptop sử dụng Window 7)
IV.1 NÂNG CẤP AD
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cài đặt CA
Vào Server Manager> Add Roles and Features
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Sau khi install xong bấm Close để hoàn tất bước cài đặt CA.
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cấu hình CA
Sau khi cài đặt xong ở Server Manager, click vào dấu chấm than,
Chọn Configure Active Directory Certificate Server On th
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cài đặt NAP và cấu hình NAP(Network Policy and Access
Services)
Cài đặt NAP
Ta tiếp tục vào Server Manager> Add Roles and Features.
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cấu hình NAP
Để apply NAP cho group user ta tiến hành tạo user và add user đó
vào group trước. NAP sẽ apply cho Group.
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cấu trên access point và client
Cấu hình trên access point:
Trường hợp access point hỗ trợ DHCP thì có thể tận dụng, trong
trường hợp access point không hỗ trợ thì phải setup DHCP Server
để cấp IP cho wifi
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Tại Access Point:
Truy cập vào access point để cấu hình
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Tại Client (Máy Laptop chạy Window 7) chưa có SSID nào được
đăng ký trong phần Manage Wireless Networks.
Lưu ý : cần phải Add SSID, nếu không wifi sẽ không sử dụng
được.
Tại phần Manage Wireless Networks chọn Add để add SSID vào
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS