ZADANIE.08 Cisco.&.Juniperluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2017/ZiMSK.z...ZADANIE.08...

ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2017

- 1 -

Imię Nazwisko

ZADANIE.08

Cisco.&.Juniper

RADIUS (authentication-proxy, IEEE 802.1x)

dr inż. Łukasz Sturgulewski

[email protected] http://luk.kis.p.lodz.pl/

http://tinyurl.com/gngwb4l

1. Zbudować sieć laboratoryjną 2. RADIUS 3. authentication-proxy 4. IEEE 802.1x 5. Czynności końcowe

mailto:[email protected]://luk.kis.p.lodz.pl/http://tinyurl.com/gngwb4l


- 2 -

1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.

Topologia sieci laboratoryjnej

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

79.96.21.160 / 28

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95


- 3 -

2. Czynności wstępne

Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania.

Sprawdzić za pomocą programu ping działanie interfejsów:

o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: ………………

o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ………………

o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ………

o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ………………

o z hosta wewnątrz sieci outside adres interfejsu Routera: ………………

o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ………………

Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP

(np. TYPSoft FTP Server oraz Apache).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego

folderu na dysku.

Utworzyć na każdym serwerze HTTP prostą stronę z informacją o położeniu serwera.

Przeprowadzić testy:

o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ………………………………

Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………………….

o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? ………………


o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? ……………………


o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? ………………………


o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? …………………


o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? …………………


o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? …


o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………………………


o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………………………



- 4 -

3. RADIUS RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston Enterprises, Inc (obecnie część Lucent Technologies). RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie działań użytkownika. RADIUS składa się z trzech elementów:

o Protokołu korzystającego z UDP/IP. o Serwera. o Klienta.

Instalacja i konfiguracja serwera RADIUS: WinRADIUS

Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z archiwum ZIP do dowolnego foldera.

Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb

dowolnego użytkownika (w tabeli tbUsers wprowadzić nowy rekord podając tylko username i password).

Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje:

Wybrać z menu Settings->System, w oknie dialogowym wprowadzić:

o NAS Secret – klucz do szyfrowanej komunikacji pomiędzy serwerem a urządzeniem.

o Authorization port – port, na którym będzie nasłuchiwał serwer do uwierzytelniania użytkowników.

o Accounting port – port, na którym będzie nasłuchiwał serwer do zliczania działań użytkowników.

Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak aby przy konfiguracji danych o serwerze RADIUS na ASA podać te same informacje.

Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk Configure ODBC Automatically.

Zamknąć program i ponownie go uruchomić.


- 5 -

Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż

użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo. TekRADIUS


- 6 -

4. authentication-proxy Zadanie

Włączyć authentication-proxy na ASA dla wszystkich połączeń wychodzących z sieci

inside_pracownicy.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.

Materiał pomocniczy Idea działania authentication-proxy

Konfiguracja authentication-proxy

ASA(config)# aaa authentication include Ustawienie komunikatów przy uwierzytelnianiu:

ASA(config)# auth-prompt prompt ASA(config)# auth-prompt accept


- 7 -

ASA(config)# auth-prompt reject protokół – jeśli dowolny należy użyć słowa any. nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika. Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET.

Konfiguracja RADIUS (sewer z bazą danych użytkowników) Konfiguracja połączenia z serwerem RADIUS:

ASA(config)# aaa-server protocol radius ASA(config-aaa-server-group)# exit ASA(config)# aaa-server () host ASA(config-aaa-server-host)# key ASA(config-aaa-server-host)# authentication-port ASA(config-aaa-server-host)# accounting-port Sprawdzenie konfiguracji:

ASA(config)# show running-config aaa-server nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika. nazwa_sieci – nazwa sieci, w której znajduje się serwer RADIUS. adres_IP – adres IP serwera RADIUS. klucz – tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem RADIUS. nr_portu_1 – nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to najczęściej port 1812). nr_portu_2 – nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to najczęściej port 1813). Zarządzanie authentication-proxy Wyświetlenie statystyk uwierzytelniania:

ASA(config)# show uauth Usunięcie uwierzytelnionych użytkowników:

ASA(config)# clear uauth

Sprawozdanie


o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP

w strefie dmz ………………………

Czy było wymagane uwierzytelnianie? ………………………


- 8 -

Czy uwierzytelnianie powiodło się? ………………………

o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera

HTTP w strefie outside ………………………



o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie

outside ………………………



Sprawdzić zestawienie uwierzytelnionych użytkowników.

Usunąć zestawienie uwierzytelnionych użytkowników.

5. Konfiguracja IEEE 802.1x Zadanie

Włączyć obsługę 802.1x na Switch.

Włączyć obsługę 802.1x w systemie Windows.

Skonfigurować porty Switch należące do sieci inside_pracownicy tak aby wymagane było uwierzytelnianie 802.1x.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.


- 9 -

Materiał pomocniczy Idea działania IEEE 802.1x IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego portu Switch). Aby uzyskać dostęp do portu Switch (do sieci LAN) należy przeprowadzić

proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS).

Konfiguracja IEEE 802.1x (Switch)

Switch(config)# aaa new-model Do uwierzytelniania wybrać serwer RADIUS:

Switch(config)# aaa authentication dot1x default group radius Aktywować IEEE 802.1x:

Switch(config)# dot1x system-auth-control Skonfigurować wybrany port Switch:

Switch(config-if)# switchport mode access Switch(config-if)# dot1x pae authenticator

IOS: c2960-lanbasek9-tar.122-35.SE5 IOS: c2960-lanbasek9-tar.122-53.SE2

Switch(config-if)# dot1x port-control auto Switch(config-if)# authentication port-control auto W przypadku podłączenia do wybranego portu Switch większej liczby hostów, należy zezwolić na ich obsługę:

Switch(config-if)# authentication host-mode Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim:

Switch(config)# radius-server host auth-port acct-port key Weryfikacja działania IEEE 802.1x

Switch# show dot1x all Switch# show dot1x interface fa0/x


- 10 -

[edit protocols]

dot1x { authenticator {

authentication-profile-name nazwa_profilu; interface {

ge-x/y/z.k { supplicant multiple; retries a; reauthentication b;

} }

} }

[edit]

access { radius-server {

IP_serwera { port nr_portu; secret "$9$/SwnAu1Srv7-wRh-wYgUD9Ap0RhylK8xN"; ## SECRET-DATA timeout c; retry d;

} } profile nazwa_profilu {

authentication-order radius; radius {

authentication-server IP_serwera; }

} Konfiguracja IEEE 802.1x (Windows)

Uwaga: Aby host obsługiwał protokół 802.1x należy:

o w systemie Windows XP włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless Configuration),

o w systemie Windows XP z SP3 oraz Windows 7 i 8 i 10 włączyć usługę Automatyczna Konfiguracja Sieci Przewodowej (Wired AutoConfig),

o we właściwościach kablowego połączenia sieciowego w zakładce Authentication włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge (dla WinRadius) albo PEAP (dla TekRADIUS).


- 11 -


- 12 -

Sprawozdanie

Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy).


o Czy wymagane jest uwierzytelnienie? ……………………………

o Czy z hosta można się połączyć z bramę za pomocą ping? ……………………………………

o Czy działa połączenie z hosta do serwera HTTP w strefie outside? ………………………

6. Czynności końcowe

Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.

ZADANIE.08 Cisco.&.Juniperluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2017/ZiMSK.z...ZADANIE.08...

Documents

Transcript of ZADANIE.08 Cisco.&.Juniperluk.kis.p.lodz.pl/ZiMSK/laboratorium/v2017/ZiMSK.z...ZADANIE.08...