ZADANIE - luk.kis.p.lodz.plluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2015/ZiMSK.z08.(RADIUS_auth... ·...

ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015

- 1 -

Imię Nazwisko

ZADANIE.08 RADIUS

(authentication-proxy, IEEE 802.1x) 2h

1. Zbudować sieć laboratoryjną 2. RADIUS 3. authentication-proxy 4. IEEE 802.1x 5. Czynności końcowe


- 2 -

1. Zbudować sieć laboratoryjną Zadanie

Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.

Topologia sieci laboratoryjnej


- 3 -

2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania.

Sprawdzić za pomocą programu ping działanie interfejsów:

o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: ………………

o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ………………

o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ………

o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ………………

o z hosta wewnątrz sieci outside adres interfejsu Routera: ………………

o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ………………

Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP

(np. TYPSoft FTP Server oraz Apache).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego

folderu na dysku.

Utworzyć na każdym serwerze HTTP prostą stronę z informacją o położeniu serwera.

Przeprowadzić testy:

o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ………………………………

Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………………….

o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? ………………


o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? ……………………


o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? ………………………


o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? …………………


o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? …………………


o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? …


o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………………………


o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………………………



- 4 -

3. RADIUS RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston

Enterprises, Inc (obecnie część Lucent Technologies).

RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie

działań użytkownika.

RADIUS składa się z trzech elementów:

o Protokołu korzystającego z UDP/IP.

o Serwera.

o Klienta.

4. authentication-proxy

Zadanie

Włączyć authentication-proxy na ASA dla wszystkich połączeń wychodzących z sieci

inside_pracownicy.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.

Materiał pomocniczy


- 5 -

Idea działania authentication-proxy

Konfiguracja authentication-proxy

ASA(config)# aaa authentication include <protokół> <nazwa_sieci>

<adres_sieci_źródłowej> <maska_sieci_źródłowej >

<adres_sieci_docelowej> <maska_sieci_docelowej > <nazwa_bazy>

Ustawienie komunikatów przy uwierzytelnianiu:

ASA(config)# auth-prompt prompt <dowolny_tekst>

ASA(config)# auth-prompt accept <dowolny_tekst>

ASA(config)# auth-prompt reject <dowolny_tekst>

protokół – jeśli dowolny należy użyć słowa any.

nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika.

Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET.


- 6 -

Konfiguracja RADIUS (sewer z bazą danych użytkowników)

Konfiguracja połączenia z serwerem RADIUS:

ASA(config)# aaa-server <nazwa_bazy> protocol radius

ASA(config-aaa-server-group)# exit

ASA(config)# aaa-server <nazwa_bazy> (<nazwa_sieci>) host <adres_IP>

ASA(config-aaa-server-host)# key <klucz>

ASA(config-aaa-server-host)# authentication-port <nr_portu_1>

ASA(config-aaa-server-host)# accounting-port <nr_portu_2>

Sprawdzenie konfiguracji:

ASA(config)# show running-config aaa-server

nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika.

nazwa_sieci – nazwa sieci, w której znajduje się serwer RADIUS.

adres_IP – adres IP serwera RADIUS.

klucz – tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem

RADIUS.

nr_portu_1 – nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to

najczęściej port 1812).

nr_portu_2 – nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to

najczęściej port 1813).

Zarządzanie authentication-proxy

Wyświetlenie statystyk uwierzytelniania:

ASA(config)# show uauth

Usunięcie uwierzytelnionych użytkowników:

ASA(config)# clear uauth


- 7 -

Instalacja i konfiguracja serwera RADIUS:

Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z

archiwum ZIP do dowolnego foldera.

Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb

dowolnego użytkownika (w tabeli tbUsers wprowadzić nowy rekord podając tylko

username i password).

Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje:

Wybrać z menu Settings->System, w oknie dialogowym wprowadzić:

o NAS Secret – klucz do szyfrowanej komunikacji pomiędzy serwerem a

urządzeniem.

o Authorization port – port, na którym będzie nasłuchiwał serwer do

uwierzytelniania użytkowników.

o Accounting port – port, na którym będzie nasłuchiwał serwer do

zliczania działań użytkowników.

Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak

aby przy konfiguracji danych o serwerze RADIUS na ASA podać te same

informacje.

Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk

Configure ODBC Automatically.

Zamknąć program i ponownie go uruchomić.

Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż

użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo.


- 8 -

Sprawozdanie


o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP

w strefie dmz ………………………

Czy było wymagane uwierzytelnianie? ………………………

Czy uwierzytelnianie powiodło się? ………………………

o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera

HTTP w strefie outside ………………………



o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie

outside ………………………



Sprawdzić zestawienie uwierzytelnionych użytkowników.

Usunąć zestawienie uwierzytelnionych użytkowników.

5. Konfiguracja IEEE 802.1x

Zadanie

Włączyć obsługę 802.1x na Switch.

Włączyć obsługę 802.1x w systemie Windows.

Skonfigurować porty Switch należące do sieci inside_pracownicy tak aby wymagane

było uwierzytelnianie 802.1x.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.


- 9 -

Materiał pomocniczy Idea działania IEEE 802.1x

IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego

portu Switch). Aby uzyskać dostęp do portu Switch (do sieci LAN) należy przeprowadzić

proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS).

Konfiguracja IEEE 802.1x (Switch)

Switch(config)# aaa new-model

Do uwierzytelniania wybrać serwer RADIUS:

Switch(config)# aaa authentication dot1x default group radius

Aktywować IEEE 802.1x:

Switch(config)# dot1x system-auth-control

Skonfigurować wybrany port Switch:

Switch(config-if)# switchport mode access

Switch(config-if)# dot1x pae authenticator

IOS: c2960-lanbasek9-tar.122-35.SE5 IOS: c2960-lanbasek9-tar.122-53.SE2

Switch(config-if)# dot1x port-control auto Switch(config-if)# authentication port-control auto

W przypadku podłączenia do wybranego portu Switch większej liczby hostów, należy

zezwolić na ich obsługę:

Switch(config-if)# authentication host-mode <single-host | multi-host | multi-

domain | multi-auth>


- 10 -

Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim:

Switch(config)# radius-server host <adres_IP> auth-port <nr_portu_1>

acct-port <nr_portu_2> key <klucz>

Weryfikacja działania IEEE 802.1x

Switch# show dot1x all

Switch# show dot1x interface fa0/x

Konfiguracja IEEE 802.1x (Windows)

Uwaga: Aby host obsługiwał protokół 802.1x należy:

o w systemie Windows włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless

Configuration),

o w systemie Windows z SP3 włączyć usługę Automatyczna Konfiguracja Sieci

Przewodowej (Wired AutoConfig),

o we właściwościach kablowego połączenia sieciowego w zakładce Authentication

włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge.


- 11 -

Sprawozdanie Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy).


o Czy wymagane jest uwierzytelnienie? ……………………………

o Czy z hosta można się połączyć z bramę za pomocą ping? ……………………………………

o Czy działa połączenie z hosta do serwera HTTP w strefie outside? ………………………

6. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.


- 12 -

[edit protocols]

+ dot1x {

+ authenticator {

+ authentication-profile-name juniper-access-profile;

+ interface {

+ ge-0/0/11.0 {

+ supplicant single;

+ retries 10;

+ reauthentication 3600;

+ }

+ }

+ }

+ }

[edit]

+ access {

+ radius-server {

+ 10.2.0.10 {

+ port 1812;

+ secret "$9$/SwnAu1Srv7-wRh-wYgUD9Ap0RhylK8xN"; ## SECRET-DATA

+ timeout 5;

+ retry 10;

+ }

+ }

+ profile juniper-access-profile {

+ authentication-order radius;

+ radius {

+ authentication-server 10.2.0.10;

+ }

+ }

+ }


- 13 -


- 14 -

ZADANIE - luk.kis.p.lodz.plluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2015/ZiMSK.z08.(RADIUS_auth... ·...

Documents

Transcript of ZADANIE - luk.kis.p.lodz.plluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2015/ZiMSK.z08.(RADIUS_auth... ·...