Konfiguracja punktu dostępowego Cisco Aironet 350

Konfiguracja punktu dostępowego Cisco Aironet 350
Punkt dostępowy konfigurujemy z użyciem przeglądarki internetowej.
Jeśli w instrukcji do konkretnego ćwiczenia podano adres IP punktu dostępowego i/lub dane
dotyczące logowania, należy je wykorzystać. W przeciwnym razie, domyślne ustawienia IP
punktu dostępowego to: 192.168.0.120/24 lub adres przydzielany przez serwer DHCP.
Domyślna nazwa użytkownika i hasło o uprawnieniach administracyjnych to (wielkość liter
ma znaczenie): Cisco / Cisco
Ogólny układ interfejsu zarządzania
Każda ze stron interfejsu zarządzania punktu dostępowego składa się z:
• paska tytułu – mówiącego na jakiej stronie jesteśmy i jakie urządzenie konfigurujemy.
Czasem zawiera on donośniki do dalszych stron interfejsu.
AP350-557ca2
Setup
Cisco 350 Series AP 12.00T
Rys 1.
•
Home
paska menu – umożliwiającego przejście do innego z głównych działów interfejsu, lub
otwarcie plików pomocy. Pasek menu jest też zduplikowany u dołu strony.
Map
Network
Associations
Setup
Rys 2.
•
zawartości danej strony konfiguracyjnej.
Logs
Help
Uptime: 00:24:53
Rys 3.
Po dokonaniu zmian w konfiguracji należy pamiętać o potwierdzeniu ich przy użyciu
przycisków APPLY lub OK.
W wielu wypadkach strony konfiguracyjne są połączone ze sobą dodatkowymi odnośnikami,
aby nie trzeba było wracać do głównej strony konfiguracyjnej i dopiero stamtąd wybierać
interesujący nas dział konfiguracji – na przykład przedstawiona poniżej strona „Express
setup” zawiera odnośniki do strony szczegółowych ustawień interfejsu radiowego oraz do
ustawień bezpieczeństwa.
Ustawienia podstawowe
Jeśli AP nie był jeszcze konfigurowany wyświetla on stronę „Express setup” pozwalającą
szybko ustawić podstawowe parametry pracy urządzenia:
• konfigurację IP
• SSID sieci bezprzewodowej
• tryb pracy AP
Po dokonaniu wstępnej konfiguracji AP będzie już wyświetlał na starcie swoją stronę
domową, zawierającą statystyki pracy, a nie stronę „Express setup”. Do strony tej można
później wrócić wybierając „Setup” z paska menu, a następnie opcję „Express setup”.
Rys 4.
Wprowadzamy tu właściwą konfigurację: IP (adres, maska, brama jeśli to konieczne),
ustawiamy SSID sieci bezprzewodowej na podany w zadaniu oraz sprawdzamy czy tryb
pracy urządzenia jest ustawiony na Root Access Point.
Użycie przycisku Apply spowoduje zapisanie ustawień. Użycie przycisku OK spowoduje
zapisanie ustawień i przejście do głównej strony interfejsu zarządzania AP.
Dalej konfigurujemy ustawienia fizycznego interfejsu radiowego.
Można tam przejść bezpośrednio ze strony „Express setup” naciskając słowo „Custom” przy
opcji: „Optimize radio network for:”, lub przy użyciu paska menu:
1. Wychodzimy z „Express setup” z użyciem przycisku OK lub Cancel.
2. Wybieramy dział „Setup” z paska menu.
3. W części „Network ports” wybieramy ustawienia „Hardware” interfejsu „AP Radio”.
Rys 5.
Dowolna z tych metod spowoduje pojawienie się ustawień fizycznego interfejsu radiowego.
Rys 6.
Dysponujemy tu dużą liczbą opcji, z których część (np. SSID) ustawiliśmy już z użyciem
„Express setup” – można je jednak konfigurować również z tej strony interfejsu.
Ustawiamy tu właściwy kanał częstotliwościowy pracy naszej sieci, z użyciem opcji „Default
radio channel”. Po poprawnym ustawieniu i potwierdzeniu ustawień wskaźnik „In use:” w tej
samej linii powinien pokazywać wybrany przez nas kanał.
Tak skonfigurowany AP powinien być już w stanie obsługiwać klientów pracując w trybie
bez żadnych zabezpieczeń.
Ustawienia WEP
Ustawienia zabezpieczeń sieci bezprzewodowej odstępne są w dziale „Setup”, w części
„Services”.
Wybieramy pozycję „Security” – spowoduje to otwarcie strony pozwalającej przejść do:
• ustawień szyfrowania WEP: Radio Data Encryption (WEP).
• oraz (co opisano w dalszej części dokumentu) do strony pozwalającej skonfigurować
adresy serwerów RADIUS: Authentication Server.
Po wybraniu Radio Data Encryption (WEP) uzyskamy dostęp do następujących ustawień:
Rys 7.
Accept Authentication Type – pozwala na ustalenie możliwych sposobów uwierzytelniania
się klientów:
• OPEN – bez uwierzytelniania,
• SHARED – uwierzytelnianie oparte na mechanizmach WEP ze użyciem wspólnego
hasła,
• NETWORK EAP – uwierzytelnianie parte na mechanizmach Cisco LEAP.
Require EAP – włączenie oznacza, iż w przypadku wykorzystania danego rodzaju
uwierzytelniania, należy dodatkowo przeprowadzić uwierzytelnianie z użyciem protokołu
EAP.
UWAGA: Powyższe ustawienia nie mają związku z szyfrowaniem. Są to tylko ustawienia
uwierzytelniania, które jest niezależne od ustawień szyfrowania.
Poniżej można ręcznie ustawić klucze WEP: najpierw ustawiamy Key Size na odpowiednią
wartość (40 lub 128 bitów), a potem podajemy klucz WEP w polu Encryption Key (w formie
szesnastkowej).
Zatwierdzenie ustawień posiadających choć jeden ustawiony klucz WEP, spowoduje
odblokowanie pola „Use of Data Encryption by Stations is”, które odpowiada za obecność
szyfrowania w naszej sieci bezprzewodowej. Dostępne ustawienia to:
• NO ENCRYPTION – aby nie zezwalać na użycie szyfrowania,
• OPTIONAL – aby umżliwić stacjom wybór, czy chcą używać szyforwania,
• FULL ENCRYPTION – aby wymusić użycie szyfrowania.
Sieć będzie wykrywana jako sieć zabezpieczona, tylko przy ustawieniu na FULL
ENCRYPTION.
Uwierzytelnianie MAC z użyciem serwera RADIUS
Mechanizm filtrowania klientów z użyciem adresów MAC można, w AP Cisco 350, uznać za
stale aktywny. Zmieniać można jedynie jego domyślną politykę w stosunku do nieznanych
adresów:
• ALLOWED – są dopuszczane, chyba że korzystając z listy szczegółowej zabroniono
podłączenia konkretnemu adresowi MAC,
• DISALLOWED – są odrzucane, chyba że korzystając z listy szczegółowej
dozwolono podłączanie się konkretnemu adresowi MAC,
Aby dopuszczać do sieci wyłącznie stacje klienckie o określonych adresach MAC, należy
zatem ustawić domyślną politykę na DISALLOWED oraz określić listę adresów MAC które
są dopuszczalne.
Ustawienie domyślnej polityki filtru adresów MAC
W tym celu przechodzimy do strony „Setup” i wybieramy na niej odnośnik „Service sets” w
dziale „Associations”.
Rys 8.
Widzimy tam nazwę naszej sieci bezprzewodowej na liście „Existing SSIDs”. Wybieramy ją
i naciskamy przycisk „Edit” – spowoduje to wyświetlenie szczegółowej konfiguracji.
Dysponujemy tu repliką opisywanych wcześniej ustawień uwierzytelniania w sieci
bezprzewodowej, oraz interesującą nas w tej chwili opcją „Default Unicast Address Filter”.
Rys 9.
Zgodnie z wyświetlonym w kolorze zielonym poleceniem, ustawiamy opcję „Default Unicast
Address Filter” na DISALLOWED, dla każdego z dozwolonych dla danej sieci
bezprzewodowej sposobu uwierzytelniania (czyli w naszym przypadku dla uwierzytelniania
typu OPEN).
Ustawienie tej opcji na powoduje ustawienie domyślnej polityki mechanizmu filtrowania
klientów z użyciem adresów MAC – w tym przypadku nakazujemy ich odrzucanie, chyba że
szczegółowy wpis na liście klientów nakaże inaczej.
Szczegółowa lista adresów MAC mechanizmu filtracji klientów
Mechanizm filtrowania jest już aktywny i domyślnie odrzuca klientów, należy zatem określić
jakie adresy MAC są dopuszczalne. AP Cisco Aironet 350 posiada wewnętrzną tablicę
adresów MAC oraz może współpracować z serwerem RADIUS:
1. W pierwszej kolejności sprawdzana jest tablica wewnętrzna AP. Jeśli adres MAC
zostanie tam znaleziony, to podejmowane jest stosowne działanie (dopuszczenie lub
odrzucenie).
2. Jeśli nie znaleziono adresu w wewnętrznej tablicy (i włączona jest odpowiednia opcja
– patrz niżej), sprawdzane są serwery RADIUS wg swojej kolejności na liście. Brane
pod uwagę są tylko serwery z zaznaczoną funkcją „MAC Address Auth.”
Szczegółowy opis konfiguracji w dalszej części rozdziału.
Wewnętrzną tablicę filtracji adresów MAC dla AP znajdujemy w menu Setup, dziale
„Associations”, pod nazwą „Address filters”.
Rys 10.
Po umieszczeniu adresu MAC w polu „Dest MAC Address” określamy czy ma on być
obsługiwany (Allowed) czy nie (Disallowed). Następnie przyciskiem ADD dodajemy go do
listy. Z kolei przycisk REMOVE pozwala (po wcześniejszym wskazaniu adresu) na jego
usunięcie z listy.
Aby umożliwić odpytanie serwerów RADIUS w przypadku nieobecności adresu na
liście wewnętrznej, należy ustawić opcję „Lookup MAC Address on Authentication Server if
not in Existing Filter List?” na YES.
Jeśli zezwoliliśmy na współpracę z serwerami RADIUS, to musimy teraz podać, z jakimi
serwerami mamy współpracować. W tym celu wybieramy łącze „Authentication Server” z
obecnej strony.
(Można też przejść do głównej strony „Setup” z menu, a następnie wybrać pozycję
„Security” z działu „Services”. Następnej stronie wybieramy „Authentication Server”.)
Po wybraniu opcji Authentication Server otrzymamy następującą stronę:
Rys 11.
Pozwala ona na zdefiniowanie do 5 serwerów RADIUS używanych do różnych zadań:
• uwierzytelniania użytkowników z użyciem protokołu EAP,
• uwierzytelniania klientów sieci bezprzewodowej po adresach MAC,
• uwierzytelniania użytkowników którzy mają dostęp do interfejsu zarządzania naszego
AP.
Jeśli zdefiniujemy kilka serwerów które mogą pełnić te samą funkcję, to najpierw używany
będzie pierwszy na liście. Jeśli nie odpowie on „Max Retran” razy to użyty zostanie
następny. Za każdym razem AP czeka na odpowiedź „Retran Int (sec)” sekund.
W celu uruchomienia na danym AP uwierzytelniania klientów sieci bezprzewodowej z
użyciem serwera RADIUS, musimy tu podać odpowiednie dane konfiguracyjne:
• Server name / IP – nazwa lub adres serwera RADIUS,
• Server type – ustawiamy na RADIUS (AP umożliwia także współpracę z serwerami
TACACS),
• Port – port UDP na którym serwer obsługuje klientów (pozostawiamy domyślne
1812),
• Shared secret – hasło protokołu RADIUS, używane do zabezpieczania komunikacji
pomiędzy AP a serwerem (musi być zgodne z tym, które podaliśmy w pliku
clients.conf konfiguracji serwera FreeRadius).
Opisane wcześniej pola „Max Retran” oraz „Retran Int (sec)” najlepiej pozostawić bez
zmian.
Następnie należy określić, w jakich przypadkach może być używany dany serwer. W tym celu
należy zaznaczyć pola wyboru zlokalizowane poniżej:
• EAP Auth. – pozwala na uwierzytelnianie użytkowników sieci bezprzewodowej z
użyciem protokołu EAP,
•
MAC Address Auth. – pozwala na uwierzytelnianie klientów sieci bezprzewodowej z
użyciem adresów MAC,
• User Auth. – pozwala na uwierzytelnianie użytkowników chcących zarządzać AP.
W naszym przypadku interesuje nas opcja „MAC Address Auth.” którą włączamy.
Ustawienia powyższe pozwalają AP na korzystanie z podanego serwera RADIUS, w celu
sprawdzenia czy klient o danym adresie MAC może podłączyć się do sieci bezprzewodowej.
Po potwierdzeniu tych ustawień, AP jest skonfigurowany do współpracy z określonym przez
nas serwerem RADIUS i dopuści do sieci bezprzewodowej tylko klientów, których adresy
MAC zatwierdzi serwer.
Monitoring
Klienci którzy zostaną pomyślnie uwierzytelnieni z użyciem serwera RADIUS, zostają
tymczasowo (na czas swojego podłączenia do sieci) dopisani do listy dopuszczalnych
adresów MAC na stronie Setup->Address filters.
Rys 12.
Uwierzytelnianie EAP z użyciem serwera RADIUS
Wykorzystanie protokołu EAP pozwala na bezpieczne (z użyciem szyfrowanego tunelu)
uwierzytelnianie użytkowników (a nie stacji klienckich). Oznacza to, że możemy
modyfikować ustawienia pracy sieci, w zależności od podanej przez użytkownika tożsamości.
Daje nam to wiele cennych możliwości, jak na przykład:
1. szyfrowanie ruchu sieciowego kluczami różnymi dla każdego z użytkowników,
2. automatyczne przydzielanie kluczy szyfrujących,
3. wymuszanie okresowej, automatycznej, zmiany klucza szyfrującego.
W celu wprowadzenia możliwości uwierzytelnienia się użytkownika z użyciem protokołu
EAP, należy:
1. (opcjonalnie – jeśli sieć ma być zabezpieczona tym protokołem) włączyć
obowiązkowe szyfrowanie WEP,
2. ustawić konieczność użycia protokołu EAP, dla używanej w naszej sieci metody
uwierzytelniania,
3. dodać do listy serwerów uwierzytelniania („Authentication Server”) serwer
posiadający zaznaczoną możliwość obsługi „EAP Authentication”.
Tak skonfigurowany system będzie wymagał od użytkownika podania loginu i hasła, które
zostaną następnie przesłane szyfrowanym tunelem do serwera RADIUS.
Jeśli serwer potwierdzi tożsamość użytkownika, to nakaże punktowi dostępowemu
dopuszczenie klienta do sieci bezprzewodowej, a także prześle klientowi tą samą drogą klucz
WEP do użycia w sieci (o ile sieć jest zabezpieczona tym mechanizmem).
Włączenie obowiązkowego szyfrowania WEP
Korzystając z opisu w rozdziale „Ustawienia WEP” należy:
1. włączyć klucz WEP o wybranej długości („Key Size”),
2. ustawić pola klucza („Encryption Key”) na dowolną dopuszczalną wartość (wartość
ta nie będzie używana do transmisji danych - klucze wygeneruje serwer
RADIUS, jej ustawienie służy jedynie odblokowaniu opcji użytej dalej w pkt.3),
3. wymusić konieczność użycia szyfowania („Use of Data Encryption by Stations is:
FULL ENCRYPTION”).
Ustawienie wymogu użycia protokołu EAP
Na tej samej stronie, na której ustawiamy szyfrowanie WEP (rys. 7) lub na tej, na której
włączamy domyślną politykę filtru adresów MAC (rys. 9), zaznaczyć pole „Require EAP”
dla używanej przez nas metody uwierzytelniania (czyli OPEN).
Modyfikacja listy serwerów RADIUS
Na znanej już stronie pozwalającej na skonfigurowanie serwerów RADIUS (rys. 11)
umieszczamy odpowiedni adres/typ/port/hasło serwera oraz ustawiamy dla niego opcję „EAP
Authentication”.
Pojedynczy serwer może obsługiwać jednocześnie kilka zadań, na przykład uwierzytelnianie
EAP i jednocześnie uwierzytelnianie z użyciem adresów MAC.
Rys 13.
Jednoczesne uwierzytelnianie MAC/EAP
Jeśli chcemy jednocześnie zachować konieczność uwierzytelniania z użyciem adresów
MAC, to musimy, oczywiście, pozostawić na liście także serwer z zaznaczoną możliwością
obsługi „MAC Address Auth.”.
Należy jednak wtedy pamiętać o odpowiednim ustawieniu opcji na stronie „Setup->Address
filters”.
Rys 14.
Konkretnie mowa o opcji „Is MAC Authentication alone sufficient for a client to be fully
authenticated?”:
• Jej ustawienie na YES spowoduje, że aby podłączyć się do sieci bezprzewodowej
wystarczy pomyślnie przejść uwierzytelnianie na podstawie adresów MAC
(niezalecane).
• Ustawienie na NO oznacza, że konieczne jest pomyślne przejście przez
uwierzytelnianie MAC oraz EAP.
Rotacja kluczy WEP
Rotacja kluczy szyfrujących, czyli ich automatyczna, okresowa zmiana może być
przydatnym mechanizmem zabezpieczeń z oczywistych przyczyn.
Dysponując serwerem RADIUS, który zapewnia automatyczną generację kluczy szyfrujących
dla pomyślnie uwierzytelnionych użytkowników, realizacja rotacji kluczy jest sprawą prostą.
Aby skonfigurować rotację klucza szyfrującego dla punktu dostępowego Cisco 350,
przechodzimy do menu „Setup” i wybieramy zaawansowane ustawienia interfejsu radiowego
(„Advanced” w linii „AP Radio” w dziale „Network ports”). Spowoduje to pojawienie się
następującej strony.
Rys. 15
Interesująca nas opcja to „Broadcast WEP Key rotation interval (sec)”, gdzie podajemy (w
sekundach) okres po którym wykonywana będzie zmiana klucza szyfrującego.
Przywrócenie ustawień fabrycznych
W przypadku punktu dostępowego Aironet 350 możliwe jest przywrócenie wszystkich
ustawień urządzenia do stanu wyjściowego. Co interesujące możliwe jest również
jednoczesne zachowanie ustawień IP, aby uniknąć utraty łączności z urządzeniem.
Odpowiednie opcje znajdują się w dziale „Setup”. Wchodzimy do strony „Cisco services”,
odnośnik do której można znaleźć w części „Services”. Po wczytaniu strony wybieramy opcję
„Manage system configuration”. A po niej przycisk: Reset System Factory Defaults Except
IP Identity – przywrócenie ustawień fabrycznych, z zachowaniem konfiguracji IP.