Bài giảng Mạng không dây - Chương 7: Radius server cho WLAN - Lương Minh Huấn

LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN Xét vấn đề sau:  Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là n quốc gia khác nhau.  Mất thời gian cho việc quản lý nó, nếu đặt password theo WPA-Persional hoặc WEB, ta phải đưa password access poin nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên  Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 và không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di ch nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login access point

pdf69 trang | Chia sẻ: thanhle95 | Lượt xem: 478 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Bài giảng Mạng không dây - Chương 7: Radius server cho WLAN - Lương Minh Huấn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trường Cao Đẳng Kỹ Thuật Cao Thắng CHƯƠNG 7: RADIUS SERVER CHO WLAN GV: LƯƠNG MINH HUẤN NỘI DUNG Lý do sử dụng Radius Server cho WLAN Radius Server là gì? III. Nguyên tắc hoạt động IV.Triển khai Radius server cho WLAN I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN Xét vấn đề sau:  Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là nhiều quốc gia khác nhau.  Mất thời gian cho việc quản lý nó, nếu đặt password theo WPA-Persional hoặc WEB, ta phải đưa password access point nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên  Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 vài không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di chuyển nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login access point. I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN Đặt trường hợp password có quá nhiều người biết, và nhân lạm dụng để sử dụng cho thiết bị cá nhân, hoặc đưa cho người khác, như vậy băng thông sử dụng mạng không dây sẽ bị hưởng nặng nề. Chưa kể việc lộ password rơi vào tay đối thủ, thì đó là 1 kênh hacker hoặc công ty đối thủ xâm nhập vào mạng nội bộ công điều nầy vô cùng nguy hiểm. I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN Chính vì vậy, người ta cần một cơ chế để xác thực nhân viên cách chính xác. Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác người dùng trên Access Point (AP). Một máy chủ thực hiện việc xác thực trên nền tảng RADIUS thể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x. I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN Mô hình xác thực I. LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN II. RADIUS SERVER LÀ GÌ? RADIUS (Remote Authentication Dial trong User Service) một giao thức mạng phổ biến cung cấp cho các nhu cầu AAA (Xác thực, Cấp phép và Kế toán) của các môi trường CNTT hiện đại RADIUS trang bị cho các quản trị viên các phương tiện để quản tốt hơn việc truy cập mạng bằng cách cung cấp mức độ an ninh, kiểm soát và giám sát cao hơn. Về cơ bản, RADIUS cho phép người dùng từ xa kết nối với mạng không dây bằng cách xác định tài khoản và sau đó nhận được quyền truy cập vào hệ thống. II. RADIUS SERVER LÀ GÌ? II. RADIUS SERVER LÀ GÌ? Khi bắt đầu xác thực RADIUS, yêu cầu xác thực và thông tin đăng nhập được gửi từ thiết bị của người dùng đến máy khách RADIUS (RADIUS Client). RADIUS Client gửi yêu cầu này tới máy chủ xác thực RADIUS kiểm tra các quy tắc được xác định trước trên cơ sở dữ liệu khoản. Phản hồi chấp nhận được gửi lại cho thiết bị người dùng thông máy khách nếu yêu cầu này đáp ứng các yêu cầu cần thiết. Các thiết lập được kích hoạt, cung cấp cho quản trị viên thông bổ sung như thời gian session kết nối và băng thông. III. NGUYÊN TẮC HOẠT ĐỘNG Trong một mạng Wireless sử dụng 802.1x Port Access Control, các máy trạm sử dụng wireless với vai trò Remote User Wireless Access Point làm việc như một Network Access Server (NAS). Để thay thế cho việc kết nối đến NAS với dial-up như giao PPP, wireless station kết nối đến Access Point bằng việc sử dụng giao thức 802.11. III. NGUYÊN TẮC HOẠT ĐỘNG Wireless station gửi một message EAP-Start tới Access Point. Access Point sẽ yêu cầu station nhận dạng và chuyển các thông đó tới một AAA Server với thông tin là RADIUS Access-Request User-Name attribute. Máy chủ AAA và wireless station hoàn thành quá trình bằng chuyển các thông tin RADIUS Access-Challenge và Access Request qua Access Point. III. NGUYÊN TẮC HOẠT ĐỘNG Nếu máy chủ AAA gửi một message Access-Accept, Access Point và wireless station sẽ hoàn thành quá trình kết nối và thực phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá liệu. Và tại điểm đó, Access Point sẽ không cấm cổng và wireless station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách thường. Lưu ý là mã hoá dữ liệu từ wireless station tới Access Point với quá trình mã hoá từ Access Point tới máy chủ AAA Server (RADIUS Server). III. NGUYÊN TẮC HOẠT ĐỘNG Nếu máy chủ AAA gửi một message Access-Reject, Access Point sẽ ngắt kết nối tới station. Station có thể cố gắng thử lại quá tình xác thực, nhưng Access Point sẽ cấm station này không gửi được các gói tin tới các Access Point ở gần đó. Chú ý là station này hoàn toàn có khả năng nghe được các dữ được truyền đi từ các stations khác – Trên thực tế dữ liệu được truyền qua sóng radio và đó là câu trả lời tại sao phải mã hoá liệu khi truyền trong mạng không dây IV. TRIỂN KHAI RADIUS SERVER CHO WLAN Có khá nhiều loại Radius server để triển khai cho WLAN như:  Use Microsoft's RADIUS Server: Nếu có một máy chủ chạy hệ hành Microsoft Windows Server.  Install an Open Source RADIUS Server: Nếu không có một phiên bản Windows, một lựa chọn nữa là sử dụng giải pháp phần mềm nguồn mở, tham khảo tại: Với khả hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều thể sử dụng làm RADIUS Server. IV. TRIỂN KHAI RADIUS SERVER CHO WLAN  Mua một Commercial RADIUS Server: Trong trường hợp phải dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ tính năng cũng như khả năng an toàn, và độ ổn định có thể mua bản thương mại từ các nhà sản xuất khác, với tính năng hỗ 802.1x và là một RADIUS Server chuyên nghiệp IV. TRIỂN KHAI RADIUS SERVER CHO WLAN Mô tả sơ đồ demo:  Một access point hỗ trợ WPA2-Enterprise  Một Window server 2012 bản standard trở lên RAM tối thiểu 2GB  Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join domain)  Kết nối network giữa access point và Window server 2012 thông xuốt, không bị chặn bởi firewall. IV. TRIỂN KHAI RADIUS SERVER CHO WLAN Các bước thực hiện:  Nâng cấp Active Director(AD)  Cài đặt, cấu hình radius • Cài đặt + Cấu hình Active Directory Certificate Services (CA) • Cài đặt NAP (Network Policy and Access Services) • Cấu hình NAP  Test từ phía client (Laptop sử dụng Window 7) IV.1 NÂNG CẤP AD IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Cài đặt CA Vào Server Manager> Add Roles and Features IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Sau khi install xong bấm Close để hoàn tất bước cài đặt CA. IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Cấu hình CA Sau khi cài đặt xong ở Server Manager, click vào dấu chấm than, Chọn Configure Active Directory Certificate Server On th IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Cài đặt NAP và cấu hình NAP(Network Policy and Access Services) Cài đặt NAP Ta tiếp tục vào Server Manager> Add Roles and Features. IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Cấu hình NAP Để apply NAP cho group user ta tiến hành tạo user và add user đó vào group trước. NAP sẽ apply cho Group. IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Cấu trên access point và client Cấu hình trên access point: Trường hợp access point hỗ trợ DHCP thì có thể tận dụng, trong trường hợp access point không hỗ trợ thì phải setup DHCP Server để cấp IP cho wifi IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Tại Access Point: Truy cập vào access point để cấu hình IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS Tại Client (Máy Laptop chạy Window 7) chưa có SSID nào được đăng ký trong phần Manage Wireless Networks. Lưu ý : cần phải Add SSID, nếu không wifi sẽ không sử dụng được. Tại phần Manage Wireless Networks chọn Add để add SSID vào IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Tài liệu liên quan