ZiMSK.z08.(RADIUS_au..
Transkrypt
ZiMSK.z08.(RADIUS_au..
ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Imię Nazwisko ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h 1. 2. 3. 4. 5. Zbudować sieć laboratoryjną RADIUS authentication-proxy IEEE 802.1x Czynności końcowe -1- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej -2- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: ……………… o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ……………… o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ……… o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: ……………… o z hosta wewnątrz sieci outside adres interfejsu Routera: ……………… o z hosta wewnątrz sieci outside adres interfejsu outside ASA: ……………… Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze HTTP prostą stronę z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ……………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? ……………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? …………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? ……………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? ………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? ………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? … Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? ………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? ………………………… Jeśli nie – wyjaśnić dlaczego? ………………………………………………………………………………………………. -3- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 3. RADIUS RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston Enterprises, Inc (obecnie część Lucent Technologies). RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie działań użytkownika. RADIUS składa się z trzech elementów: o Protokołu korzystającego z UDP/IP. o Serwera. o Klienta. 4. authentication-proxy Zadanie Włączyć authentication-proxy na ASA dla wszystkich połączeń wychodzących z sieci inside_pracownicy. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin. Materiał pomocniczy -4- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Idea działania authentication-proxy Konfiguracja authentication-proxy ASA(config)# aaa authentication include <protokół> <nazwa_sieci> <adres_sieci_źródłowej> <maska_sieci_źródłowej > <adres_sieci_docelowej> <maska_sieci_docelowej > <nazwa_bazy> Ustawienie komunikatów przy uwierzytelnianiu: ASA(config)# auth-prompt prompt <dowolny_tekst> ASA(config)# auth-prompt accept <dowolny_tekst> ASA(config)# auth-prompt reject <dowolny_tekst> protokół – jeśli dowolny należy użyć słowa any. nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika. Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET. -5- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Konfiguracja RADIUS (sewer z bazą danych użytkowników) Konfiguracja połączenia z serwerem RADIUS: ASA(config)# aaa-server <nazwa_bazy> protocol radius ASA(config-aaa-server-group)# exit ASA(config)# aaa-server <nazwa_bazy> (<nazwa_sieci>) host <adres_IP> ASA(config-aaa-server-host)# key <klucz> ASA(config-aaa-server-host)# authentication-port <nr_portu_1> ASA(config-aaa-server-host)# accounting-port <nr_portu_2> Sprawdzenie konfiguracji: ASA(config)# show running-config aaa-server nazwa_bazy – nazwa bazy, w której będą weryfikowane dane użytkownika. nazwa_sieci – nazwa sieci, w której znajduje się serwer RADIUS. adres_IP – adres IP serwera RADIUS. klucz – tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem RADIUS. nr_portu_1 – nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to najczęściej port 1812). nr_portu_2 – nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to najczęściej port 1813). Zarządzanie authentication-proxy Wyświetlenie statystyk uwierzytelniania: ASA(config)# show uauth Usunięcie uwierzytelnionych użytkowników: ASA(config)# clear uauth -6- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Instalacja i konfiguracja serwera RADIUS: Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z archiwum ZIP do dowolnego foldera. Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb dowolnego użytkownika (w tabeli tbUsers wprowadzić nowy rekord podając tylko username i password). Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje: Wybrać z menu Settings->System, w oknie dialogowym wprowadzić: o NAS Secret – klucz do szyfrowanej komunikacji pomiędzy serwerem a urządzeniem. o Authorization port – port, na którym będzie nasłuchiwał serwer do uwierzytelniania użytkowników. o Accounting port – port, na którym będzie nasłuchiwał serwer do zliczania działań użytkowników. Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak aby przy konfiguracji danych o serwerze RADIUS na ASA podać te same informacje. Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk Configure ODBC Automatically. Zamknąć program i ponownie go uruchomić. Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo. -7- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Sprawozdanie Przeprowadzić testy: o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP w strefie dmz ……………………… Czy było wymagane uwierzytelnianie? ……………………… Czy uwierzytelnianie powiodło się? ……………………… o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera HTTP w strefie outside ……………………… Czy było wymagane uwierzytelnianie? ……………………… Czy uwierzytelnianie powiodło się? ……………………… o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie outside ……………………… Czy było wymagane uwierzytelnianie? ……………………… Czy uwierzytelnianie powiodło się? ……………………… Sprawdzić zestawienie uwierzytelnionych użytkowników. Usunąć zestawienie uwierzytelnionych użytkowników. 5. Konfiguracja IEEE 802.1x Zadanie Włączyć obsługę 802.1x na Switch. Włączyć obsługę 802.1x w systemie Windows. Skonfigurować porty Switch należące do sieci inside_pracownicy tak aby wymagane było uwierzytelnianie 802.1x. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin. -8- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Materiał pomocniczy Idea działania IEEE 802.1x IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego portu Switch). Aby uzyskać dostęp do portu Switch (do sieci LAN) należy przeprowadzić proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS). Konfiguracja IEEE 802.1x (Switch) Switch(config)# aaa new-model Do uwierzytelniania wybrać serwer RADIUS: Switch(config)# aaa authentication dot1x default group radius Aktywować IEEE 802.1x: Switch(config)# dot1x system-auth-control Skonfigurować wybrany port Switch: Switch(config-if)# switchport mode access Switch(config-if)# dot1x pae authenticator IOS: c2960-lanbasek9-tar.122-35.SE5 Switch(config-if)# dot1x port-control auto IOS: c2960-lanbasek9-tar.122-53.SE2 Switch(config-if)# authentication port-control auto W przypadku podłączenia do wybranego portu Switch większej liczby hostów, należy zezwolić na ich obsługę: Switch(config-if)# authentication host-mode <single-host | multi-host | multidomain | multi-auth> -9- ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim: Switch(config)# radius-server host <adres_IP> auth-port <nr_portu_1> acct-port <nr_portu_2> key <klucz> Weryfikacja działania IEEE 802.1x Switch# show dot1x all Switch# show dot1x interface fa0/x Konfiguracja IEEE 802.1x (Windows) Uwaga: Aby host obsługiwał protokół 802.1x należy: o w systemie Windows włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless Configuration), o w systemie Windows z SP3 włączyć usługę Automatyczna Konfiguracja Sieci Przewodowej (Wired AutoConfig), o we właściwościach kablowego połączenia sieciowego w zakładce Authentication włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge. - 10 - ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 Sprawozdanie Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy). Przeprowadzić testy: o Czy wymagane jest uwierzytelnienie? …………………………… o Czy z hosta można się połączyć z bramę za pomocą ping? …………………………………… o Czy działa połączenie z hosta do serwera HTTP w strefie outside? ……………………… 6. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 11 - ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 [edit protocols] + dot1x { + authenticator { + authentication-profile-name juniper-access-profile; + interface { + ge-0/0/11.0 { + supplicant single; + retries 10; + reauthentication 3600; + } + } + } + } [edit] + access { + radius-server { + 10.2.0.10 { + port 1812; + secret "$9$/SwnAu1Srv7-wRh-wYgUD9Ap0RhylK8xN"; ## SECRET-DATA + timeout 5; + retry 10; + } + } + profile juniper-access-profile { + authentication-order radius; + radius { + authentication-server 10.2.0.10; + + } } + } - 12 - ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 - 13 - ZADANIE.08 Zarządzanie i Monitorowanie Sieci Komputerowych v.2015 - 14 -