Konfiguracja punktu dostępowego Cisco Aironet 350
Transkrypt
Konfiguracja punktu dostępowego Cisco Aironet 350
Konfiguracja punktu dostępowego Cisco Aironet 350 Punkt dostępowy konfigurujemy z użyciem przeglądarki internetowej. Jeśli w instrukcji do konkretnego ćwiczenia podano adres IP punktu dostępowego i/lub dane dotyczące logowania, należy je wykorzystać. W przeciwnym razie, domyślne ustawienia IP punktu dostępowego to: 192.168.0.120/24 lub adres przydzielany przez serwer DHCP. Domyślna nazwa użytkownika i hasło o uprawnieniach administracyjnych to (wielkość liter ma znaczenie): Cisco / Cisco Ogólny układ interfejsu zarządzania Każda ze stron interfejsu zarządzania punktu dostępowego składa się z: • paska tytułu – mówiącego na jakiej stronie jesteśmy i jakie urządzenie konfigurujemy. Czasem zawiera on donośniki do dalszych stron interfejsu. AP350-557ca2 Setup Cisco 350 Series AP 12.00T Rys 1. • Home paska menu – umożliwiającego przejście do innego z głównych działów interfejsu, lub otwarcie plików pomocy. Pasek menu jest też zduplikowany u dołu strony. Map Network Associations Setup Rys 2. • zawartości danej strony konfiguracyjnej. Logs Help Uptime: 00:24:53 Rys 3. Po dokonaniu zmian w konfiguracji należy pamiętać o potwierdzeniu ich przy użyciu przycisków APPLY lub OK. W wielu wypadkach strony konfiguracyjne są połączone ze sobą dodatkowymi odnośnikami, aby nie trzeba było wracać do głównej strony konfiguracyjnej i dopiero stamtąd wybierać interesujący nas dział konfiguracji – na przykład przedstawiona poniżej strona „Express setup” zawiera odnośniki do strony szczegółowych ustawień interfejsu radiowego oraz do ustawień bezpieczeństwa. Ustawienia podstawowe Jeśli AP nie był jeszcze konfigurowany wyświetla on stronę „Express setup” pozwalającą szybko ustawić podstawowe parametry pracy urządzenia: • konfigurację IP • SSID sieci bezprzewodowej • tryb pracy AP Po dokonaniu wstępnej konfiguracji AP będzie już wyświetlał na starcie swoją stronę domową, zawierającą statystyki pracy, a nie stronę „Express setup”. Do strony tej można później wrócić wybierając „Setup” z paska menu, a następnie opcję „Express setup”. Rys 4. Wprowadzamy tu właściwą konfigurację: IP (adres, maska, brama jeśli to konieczne), ustawiamy SSID sieci bezprzewodowej na podany w zadaniu oraz sprawdzamy czy tryb pracy urządzenia jest ustawiony na Root Access Point. Użycie przycisku Apply spowoduje zapisanie ustawień. Użycie przycisku OK spowoduje zapisanie ustawień i przejście do głównej strony interfejsu zarządzania AP. Dalej konfigurujemy ustawienia fizycznego interfejsu radiowego. Można tam przejść bezpośrednio ze strony „Express setup” naciskając słowo „Custom” przy opcji: „Optimize radio network for:”, lub przy użyciu paska menu: 1. Wychodzimy z „Express setup” z użyciem przycisku OK lub Cancel. 2. Wybieramy dział „Setup” z paska menu. 3. W części „Network ports” wybieramy ustawienia „Hardware” interfejsu „AP Radio”. Rys 5. Dowolna z tych metod spowoduje pojawienie się ustawień fizycznego interfejsu radiowego. Rys 6. Dysponujemy tu dużą liczbą opcji, z których część (np. SSID) ustawiliśmy już z użyciem „Express setup” – można je jednak konfigurować również z tej strony interfejsu. Ustawiamy tu właściwy kanał częstotliwościowy pracy naszej sieci, z użyciem opcji „Default radio channel”. Po poprawnym ustawieniu i potwierdzeniu ustawień wskaźnik „In use:” w tej samej linii powinien pokazywać wybrany przez nas kanał. Tak skonfigurowany AP powinien być już w stanie obsługiwać klientów pracując w trybie bez żadnych zabezpieczeń. Ustawienia WEP Ustawienia zabezpieczeń sieci bezprzewodowej odstępne są w dziale „Setup”, w części „Services”. Wybieramy pozycję „Security” – spowoduje to otwarcie strony pozwalającej przejść do: • ustawień szyfrowania WEP: Radio Data Encryption (WEP). • oraz (co opisano w dalszej części dokumentu) do strony pozwalającej skonfigurować adresy serwerów RADIUS: Authentication Server. Po wybraniu Radio Data Encryption (WEP) uzyskamy dostęp do następujących ustawień: Rys 7. Accept Authentication Type – pozwala na ustalenie możliwych sposobów uwierzytelniania się klientów: • OPEN – bez uwierzytelniania, • SHARED – uwierzytelnianie oparte na mechanizmach WEP ze użyciem wspólnego hasła, • NETWORK EAP – uwierzytelnianie parte na mechanizmach Cisco LEAP. Require EAP – włączenie oznacza, iż w przypadku wykorzystania danego rodzaju uwierzytelniania, należy dodatkowo przeprowadzić uwierzytelnianie z użyciem protokołu EAP. UWAGA: Powyższe ustawienia nie mają związku z szyfrowaniem. Są to tylko ustawienia uwierzytelniania, które jest niezależne od ustawień szyfrowania. Poniżej można ręcznie ustawić klucze WEP: najpierw ustawiamy Key Size na odpowiednią wartość (40 lub 128 bitów), a potem podajemy klucz WEP w polu Encryption Key (w formie szesnastkowej). Zatwierdzenie ustawień posiadających choć jeden ustawiony klucz WEP, spowoduje odblokowanie pola „Use of Data Encryption by Stations is”, które odpowiada za obecność szyfrowania w naszej sieci bezprzewodowej. Dostępne ustawienia to: • NO ENCRYPTION – aby nie zezwalać na użycie szyfrowania, • OPTIONAL – aby umżliwić stacjom wybór, czy chcą używać szyforwania, • FULL ENCRYPTION – aby wymusić użycie szyfrowania. Sieć będzie wykrywana jako sieć zabezpieczona, tylko przy ustawieniu na FULL ENCRYPTION. Uwierzytelnianie MAC z użyciem serwera RADIUS Mechanizm filtrowania klientów z użyciem adresów MAC można, w AP Cisco 350, uznać za stale aktywny. Zmieniać można jedynie jego domyślną politykę w stosunku do nieznanych adresów: • ALLOWED – są dopuszczane, chyba że korzystając z listy szczegółowej zabroniono podłączenia konkretnemu adresowi MAC, • DISALLOWED – są odrzucane, chyba że korzystając z listy szczegółowej dozwolono podłączanie się konkretnemu adresowi MAC, Aby dopuszczać do sieci wyłącznie stacje klienckie o określonych adresach MAC, należy zatem ustawić domyślną politykę na DISALLOWED oraz określić listę adresów MAC które są dopuszczalne. Ustawienie domyślnej polityki filtru adresów MAC W tym celu przechodzimy do strony „Setup” i wybieramy na niej odnośnik „Service sets” w dziale „Associations”. Rys 8. Widzimy tam nazwę naszej sieci bezprzewodowej na liście „Existing SSIDs”. Wybieramy ją i naciskamy przycisk „Edit” – spowoduje to wyświetlenie szczegółowej konfiguracji. Dysponujemy tu repliką opisywanych wcześniej ustawień uwierzytelniania w sieci bezprzewodowej, oraz interesującą nas w tej chwili opcją „Default Unicast Address Filter”. Rys 9. Zgodnie z wyświetlonym w kolorze zielonym poleceniem, ustawiamy opcję „Default Unicast Address Filter” na DISALLOWED, dla każdego z dozwolonych dla danej sieci bezprzewodowej sposobu uwierzytelniania (czyli w naszym przypadku dla uwierzytelniania typu OPEN). Ustawienie tej opcji na powoduje ustawienie domyślnej polityki mechanizmu filtrowania klientów z użyciem adresów MAC – w tym przypadku nakazujemy ich odrzucanie, chyba że szczegółowy wpis na liście klientów nakaże inaczej. Szczegółowa lista adresów MAC mechanizmu filtracji klientów Mechanizm filtrowania jest już aktywny i domyślnie odrzuca klientów, należy zatem określić jakie adresy MAC są dopuszczalne. AP Cisco Aironet 350 posiada wewnętrzną tablicę adresów MAC oraz może współpracować z serwerem RADIUS: 1. W pierwszej kolejności sprawdzana jest tablica wewnętrzna AP. Jeśli adres MAC zostanie tam znaleziony, to podejmowane jest stosowne działanie (dopuszczenie lub odrzucenie). 2. Jeśli nie znaleziono adresu w wewnętrznej tablicy (i włączona jest odpowiednia opcja – patrz niżej), sprawdzane są serwery RADIUS wg swojej kolejności na liście. Brane pod uwagę są tylko serwery z zaznaczoną funkcją „MAC Address Auth.” Szczegółowy opis konfiguracji w dalszej części rozdziału. Wewnętrzną tablicę filtracji adresów MAC dla AP znajdujemy w menu Setup, dziale „Associations”, pod nazwą „Address filters”. Rys 10. Po umieszczeniu adresu MAC w polu „Dest MAC Address” określamy czy ma on być obsługiwany (Allowed) czy nie (Disallowed). Następnie przyciskiem ADD dodajemy go do listy. Z kolei przycisk REMOVE pozwala (po wcześniejszym wskazaniu adresu) na jego usunięcie z listy. Aby umożliwić odpytanie serwerów RADIUS w przypadku nieobecności adresu na liście wewnętrznej, należy ustawić opcję „Lookup MAC Address on Authentication Server if not in Existing Filter List?” na YES. Jeśli zezwoliliśmy na współpracę z serwerami RADIUS, to musimy teraz podać, z jakimi serwerami mamy współpracować. W tym celu wybieramy łącze „Authentication Server” z obecnej strony. (Można też przejść do głównej strony „Setup” z menu, a następnie wybrać pozycję „Security” z działu „Services”. Następnej stronie wybieramy „Authentication Server”.) Po wybraniu opcji Authentication Server otrzymamy następującą stronę: Rys 11. Pozwala ona na zdefiniowanie do 5 serwerów RADIUS używanych do różnych zadań: • uwierzytelniania użytkowników z użyciem protokołu EAP, • uwierzytelniania klientów sieci bezprzewodowej po adresach MAC, • uwierzytelniania użytkowników którzy mają dostęp do interfejsu zarządzania naszego AP. Jeśli zdefiniujemy kilka serwerów które mogą pełnić te samą funkcję, to najpierw używany będzie pierwszy na liście. Jeśli nie odpowie on „Max Retran” razy to użyty zostanie następny. Za każdym razem AP czeka na odpowiedź „Retran Int (sec)” sekund. W celu uruchomienia na danym AP uwierzytelniania klientów sieci bezprzewodowej z użyciem serwera RADIUS, musimy tu podać odpowiednie dane konfiguracyjne: • Server name / IP – nazwa lub adres serwera RADIUS, • Server type – ustawiamy na RADIUS (AP umożliwia także współpracę z serwerami TACACS), • Port – port UDP na którym serwer obsługuje klientów (pozostawiamy domyślne 1812), • Shared secret – hasło protokołu RADIUS, używane do zabezpieczania komunikacji pomiędzy AP a serwerem (musi być zgodne z tym, które podaliśmy w pliku clients.conf konfiguracji serwera FreeRadius). Opisane wcześniej pola „Max Retran” oraz „Retran Int (sec)” najlepiej pozostawić bez zmian. Następnie należy określić, w jakich przypadkach może być używany dany serwer. W tym celu należy zaznaczyć pola wyboru zlokalizowane poniżej: • EAP Auth. – pozwala na uwierzytelnianie użytkowników sieci bezprzewodowej z użyciem protokołu EAP, • MAC Address Auth. – pozwala na uwierzytelnianie klientów sieci bezprzewodowej z użyciem adresów MAC, • User Auth. – pozwala na uwierzytelnianie użytkowników chcących zarządzać AP. W naszym przypadku interesuje nas opcja „MAC Address Auth.” którą włączamy. Ustawienia powyższe pozwalają AP na korzystanie z podanego serwera RADIUS, w celu sprawdzenia czy klient o danym adresie MAC może podłączyć się do sieci bezprzewodowej. Po potwierdzeniu tych ustawień, AP jest skonfigurowany do współpracy z określonym przez nas serwerem RADIUS i dopuści do sieci bezprzewodowej tylko klientów, których adresy MAC zatwierdzi serwer. Monitoring Klienci którzy zostaną pomyślnie uwierzytelnieni z użyciem serwera RADIUS, zostają tymczasowo (na czas swojego podłączenia do sieci) dopisani do listy dopuszczalnych adresów MAC na stronie Setup->Address filters. Rys 12. Uwierzytelnianie EAP z użyciem serwera RADIUS Wykorzystanie protokołu EAP pozwala na bezpieczne (z użyciem szyfrowanego tunelu) uwierzytelnianie użytkowników (a nie stacji klienckich). Oznacza to, że możemy modyfikować ustawienia pracy sieci, w zależności od podanej przez użytkownika tożsamości. Daje nam to wiele cennych możliwości, jak na przykład: 1. szyfrowanie ruchu sieciowego kluczami różnymi dla każdego z użytkowników, 2. automatyczne przydzielanie kluczy szyfrujących, 3. wymuszanie okresowej, automatycznej, zmiany klucza szyfrującego. W celu wprowadzenia możliwości uwierzytelnienia się użytkownika z użyciem protokołu EAP, należy: 1. (opcjonalnie – jeśli sieć ma być zabezpieczona tym protokołem) włączyć obowiązkowe szyfrowanie WEP, 2. ustawić konieczność użycia protokołu EAP, dla używanej w naszej sieci metody uwierzytelniania, 3. dodać do listy serwerów uwierzytelniania („Authentication Server”) serwer posiadający zaznaczoną możliwość obsługi „EAP Authentication”. Tak skonfigurowany system będzie wymagał od użytkownika podania loginu i hasła, które zostaną następnie przesłane szyfrowanym tunelem do serwera RADIUS. Jeśli serwer potwierdzi tożsamość użytkownika, to nakaże punktowi dostępowemu dopuszczenie klienta do sieci bezprzewodowej, a także prześle klientowi tą samą drogą klucz WEP do użycia w sieci (o ile sieć jest zabezpieczona tym mechanizmem). Włączenie obowiązkowego szyfrowania WEP Korzystając z opisu w rozdziale „Ustawienia WEP” należy: 1. włączyć klucz WEP o wybranej długości („Key Size”), 2. ustawić pola klucza („Encryption Key”) na dowolną dopuszczalną wartość (wartość ta nie będzie używana do transmisji danych - klucze wygeneruje serwer RADIUS, jej ustawienie służy jedynie odblokowaniu opcji użytej dalej w pkt.3), 3. wymusić konieczność użycia szyfowania („Use of Data Encryption by Stations is: FULL ENCRYPTION”). Ustawienie wymogu użycia protokołu EAP Na tej samej stronie, na której ustawiamy szyfrowanie WEP (rys. 7) lub na tej, na której włączamy domyślną politykę filtru adresów MAC (rys. 9), zaznaczyć pole „Require EAP” dla używanej przez nas metody uwierzytelniania (czyli OPEN). Modyfikacja listy serwerów RADIUS Na znanej już stronie pozwalającej na skonfigurowanie serwerów RADIUS (rys. 11) umieszczamy odpowiedni adres/typ/port/hasło serwera oraz ustawiamy dla niego opcję „EAP Authentication”. Pojedynczy serwer może obsługiwać jednocześnie kilka zadań, na przykład uwierzytelnianie EAP i jednocześnie uwierzytelnianie z użyciem adresów MAC. Rys 13. Jednoczesne uwierzytelnianie MAC/EAP Jeśli chcemy jednocześnie zachować konieczność uwierzytelniania z użyciem adresów MAC, to musimy, oczywiście, pozostawić na liście także serwer z zaznaczoną możliwością obsługi „MAC Address Auth.”. Należy jednak wtedy pamiętać o odpowiednim ustawieniu opcji na stronie „Setup->Address filters”. Rys 14. Konkretnie mowa o opcji „Is MAC Authentication alone sufficient for a client to be fully authenticated?”: • Jej ustawienie na YES spowoduje, że aby podłączyć się do sieci bezprzewodowej wystarczy pomyślnie przejść uwierzytelnianie na podstawie adresów MAC (niezalecane). • Ustawienie na NO oznacza, że konieczne jest pomyślne przejście przez uwierzytelnianie MAC oraz EAP. Rotacja kluczy WEP Rotacja kluczy szyfrujących, czyli ich automatyczna, okresowa zmiana może być przydatnym mechanizmem zabezpieczeń z oczywistych przyczyn. Dysponując serwerem RADIUS, który zapewnia automatyczną generację kluczy szyfrujących dla pomyślnie uwierzytelnionych użytkowników, realizacja rotacji kluczy jest sprawą prostą. Aby skonfigurować rotację klucza szyfrującego dla punktu dostępowego Cisco 350, przechodzimy do menu „Setup” i wybieramy zaawansowane ustawienia interfejsu radiowego („Advanced” w linii „AP Radio” w dziale „Network ports”). Spowoduje to pojawienie się następującej strony. Rys. 15 Interesująca nas opcja to „Broadcast WEP Key rotation interval (sec)”, gdzie podajemy (w sekundach) okres po którym wykonywana będzie zmiana klucza szyfrującego. Przywrócenie ustawień fabrycznych W przypadku punktu dostępowego Aironet 350 możliwe jest przywrócenie wszystkich ustawień urządzenia do stanu wyjściowego. Co interesujące możliwe jest również jednoczesne zachowanie ustawień IP, aby uniknąć utraty łączności z urządzeniem. Odpowiednie opcje znajdują się w dziale „Setup”. Wchodzimy do strony „Cisco services”, odnośnik do której można znaleźć w części „Services”. Po wczytaniu strony wybieramy opcję „Manage system configuration”. A po niej przycisk: Reset System Factory Defaults Except IP Identity – przywrócenie ustawień fabrycznych, z zachowaniem konfiguracji IP.