ZiMSK.z08.(RADIUS_au..

Transkrypt

ZADANIE.08
Zarządzanie i Monitorowanie Sieci Komputerowych v.2015
Imię
Nazwisko
ZADANIE.08
RADIUS
(authentication-proxy, IEEE 802.1x)
2h
1.
2.
3.
4.
5.
Zbudować sieć laboratoryjną
RADIUS
authentication-proxy
IEEE 802.1x
Czynności końcowe
-1-
ZADANIE.08
1. Zbudować sieć laboratoryjną
Zadanie
 Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.
Topologia sieci laboratoryjnej
-2-
ZADANIE.08
2. Czynności wstępne

Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania.

Sprawdzić za pomocą programu ping działanie interfejsów:

o
z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA:
………………
o
z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ………………
o
z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ………
o
z hosta wewnątrz sieci dmz adres interfejsu dmz ASA:
………………
o
z hosta wewnątrz sieci outside adres interfejsu Routera:
………………
o
z hosta wewnątrz sieci outside adres interfejsu outside ASA:
………………
Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP
(np. TYPSoft FTP Server oraz Apache).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego
folderu na dysku.

Utworzyć na każdym serwerze HTTP prostą stronę z informacją o położeniu serwera.

Przeprowadzić testy:
o
Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ………………………………
Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………………….
o
Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? ………………
o
Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? ……………………
o
Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? ………………………
o
Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? …………………
o
Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? …………………
o
Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? …
o
Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………………………
o
Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………………………
-3-
ZADANIE.08
3. RADIUS
RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston
Enterprises, Inc (obecnie część Lucent Technologies).
RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie
działań użytkownika.
RADIUS składa się z trzech elementów:
o Protokołu korzystającego z UDP/IP.
o Serwera.
o Klienta.
4. authentication-proxy
Zadanie

Włączyć authentication-proxy na ASA dla wszystkich połączeń wychodzących z sieci
inside_pracownicy.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.
Materiał pomocniczy
-4-
ZADANIE.08
Idea działania authentication-proxy
Konfiguracja authentication-proxy
ASA(config)# aaa authentication include <protokół> <nazwa_sieci>
<adres_sieci_źródłowej> <maska_sieci_źródłowej >
<adres_sieci_docelowej> <maska_sieci_docelowej > <nazwa_bazy>
Ustawienie komunikatów przy uwierzytelnianiu:
ASA(config)# auth-prompt prompt <dowolny_tekst>
ASA(config)# auth-prompt accept <dowolny_tekst>
ASA(config)# auth-prompt reject <dowolny_tekst>
protokół – jeśli dowolny należy użyć słowa any.
nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika.
Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET.
-5-
ZADANIE.08
Konfiguracja RADIUS (sewer z bazą danych użytkowników)
Konfiguracja połączenia z serwerem RADIUS:
ASA(config)# aaa-server <nazwa_bazy> protocol radius
ASA(config-aaa-server-group)# exit
ASA(config)# aaa-server <nazwa_bazy> (<nazwa_sieci>) host <adres_IP>
ASA(config-aaa-server-host)# key <klucz>
ASA(config-aaa-server-host)# authentication-port <nr_portu_1>
ASA(config-aaa-server-host)# accounting-port <nr_portu_2>
Sprawdzenie konfiguracji:
ASA(config)# show running-config aaa-server
nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika.
nazwa_sieci – nazwa sieci, w której znajduje się serwer RADIUS.
adres_IP – adres IP serwera RADIUS.
klucz – tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem
RADIUS.
nr_portu_1 – nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to
najczęściej port 1812).
nr_portu_2 – nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to
najczęściej port 1813).
Zarządzanie authentication-proxy
Wyświetlenie statystyk uwierzytelniania:
ASA(config)# show uauth
Usunięcie uwierzytelnionych użytkowników:
ASA(config)# clear uauth
-6-
ZADANIE.08
Instalacja i konfiguracja serwera RADIUS:

Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z
archiwum ZIP do dowolnego foldera.

Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb
dowolnego użytkownika (w tabeli tbUsers wprowadzić nowy rekord podając tylko
username i password).

Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje:

Wybrać z menu Settings->System, w oknie dialogowym wprowadzić:
o NAS Secret – klucz do szyfrowanej komunikacji pomiędzy serwerem a
urządzeniem.
o Authorization port – port, na którym będzie nasłuchiwał serwer do
uwierzytelniania użytkowników.
o Accounting port – port, na którym będzie nasłuchiwał serwer do
zliczania działań użytkowników.
Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak
aby przy konfiguracji danych o serwerze RADIUS na ASA podać te same
informacje.

Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk
Configure ODBC Automatically.

Zamknąć program i ponownie go uruchomić.

Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż
użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo.
-7-
ZADANIE.08
Sprawozdanie

o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP
w strefie dmz
………………………
Czy było wymagane uwierzytelnianie?
………………………
Czy uwierzytelnianie powiodło się?
………………………
o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera
HTTP w strefie outside
………………………
………………………
………………………
o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie
outside
………………………
………………………
………………………

Sprawdzić zestawienie uwierzytelnionych użytkowników.

Usunąć zestawienie uwierzytelnionych użytkowników.
5. Konfiguracja IEEE 802.1x
Zadanie

Włączyć obsługę 802.1x na Switch.

Włączyć obsługę 802.1x w systemie Windows.

Skonfigurować porty Switch należące do sieci inside_pracownicy tak aby wymagane
było uwierzytelnianie 802.1x.

Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS.

Serwer RADIUS ma znajdować się w sieci inside_admin.
-8-
ZADANIE.08
Materiał pomocniczy
Idea działania IEEE 802.1x
IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego
portu Switch). Aby uzyskać dostęp do portu Switch (do sieci LAN) należy przeprowadzić
proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS).
Konfiguracja IEEE 802.1x (Switch)
Switch(config)# aaa new-model
Do uwierzytelniania wybrać serwer RADIUS:
Switch(config)# aaa authentication dot1x default group radius
Aktywować IEEE 802.1x:
Switch(config)# dot1x system-auth-control
Skonfigurować wybrany port Switch:
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
IOS: c2960-lanbasek9-tar.122-35.SE5
Switch(config-if)#
dot1x port-control auto
IOS: c2960-lanbasek9-tar.122-53.SE2
Switch(config-if)#
authentication port-control auto
W przypadku podłączenia do wybranego portu Switch większej liczby hostów, należy
zezwolić na ich obsługę:
Switch(config-if)# authentication host-mode <single-host | multi-host | multidomain | multi-auth>
-9-
ZADANIE.08
Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim:
Switch(config)# radius-server host <adres_IP> auth-port <nr_portu_1>
acct-port <nr_portu_2> key <klucz>
Weryfikacja działania IEEE 802.1x
Switch# show dot1x all
Switch# show dot1x interface fa0/x
Konfiguracja IEEE 802.1x (Windows)
Uwaga: Aby host obsługiwał protokół 802.1x należy:
o w systemie Windows włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless
Configuration),
o w systemie Windows z SP3 włączyć usługę Automatyczna Konfiguracja Sieci
Przewodowej (Wired AutoConfig),
o we właściwościach kablowego połączenia sieciowego w zakładce Authentication
włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge.
- 10 -
ZADANIE.08
Sprawozdanie

Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy).

o Czy wymagane jest uwierzytelnienie? ……………………………
o Czy z hosta można się połączyć z bramę za pomocą ping? ……………………………………
o Czy działa połączenie z hosta do serwera HTTP w strefie outside? ………………………
6. Czynności końcowe

Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.
- 11 -
ZADANIE.08
[edit protocols]
+ dot1x {
+
authenticator {
+
authentication-profile-name juniper-access-profile;
+
interface {
+
ge-0/0/11.0 {
+
supplicant single;
+
retries 10;
+
reauthentication 3600;
+
}
+
}
+
}
+ }
[edit]
+ access {
+
radius-server {
+
10.2.0.10 {
+
port 1812;
+
secret "$9$/SwnAu1Srv7-wRh-wYgUD9Ap0RhylK8xN"; ## SECRET-DATA
+
timeout 5;
+
retry 10;
+
}
+
}
+
profile juniper-access-profile {
+
authentication-order radius;
+
radius {
+
authentication-server 10.2.0.10;
+
+
}
}
+ }
- 12 -
ZADANIE.08
- 13 -
ZADANIE.08
- 14 -

ZiMSK.z08.(RADIUS_au..

Transkrypt

Podobne dokumenty

Fundacja „Radius” obchodzi pierwsze urodziny

Realizujemy projekt "Prawa dziecka – jeden świat, jedna przyszłość”.

Translacja adresów i authentication

O Fundacji

Test kino domowe 5.1 - Hi

D1/05_06/Z

Parę słów o English Inside – mojej autorskiej

seria RADIUS - Systemy Alarmowe

Dostęp do sieci WiFi w oparciu o system czasowych voucherów