Bài giảng Mạng không dây - Chương 7: Radius server cho WLAN cung cấp cho người học các kiến thức: Lý do sử dụng radius server cho WLAN, radius server là gì, nguyên tắc hoạt động, triển khai radius server cho WLAN. Mời các bạn cùng tham khảo nội dung chi tiết.
Trang 1Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 7: RADIUS SERVER CHO
WLAN
GV: LƯƠNG MINH HUẤN
Trang 2NỘI DUNG
Lý do sử dụng Radius Server cho WLANRadius Server là gì?
III Nguyên tắc hoạt động
IV Triển khai Radius server cho WLAN
Trang 3I LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Xét vấn đề sau:
Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau
văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là nhiều quốc gia khác nhau.
Mất thời gian cho việc quản lý nó, nếu đặt password theo
WPA-Persional hoặc WEB,… ta phải đưa password access point
nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên
Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 vài
không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di chuyển nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login
access point.
Trang 4I LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Trang 5Đặt trường hợp password có quá nhiều người biết, và nhân
lạm dụng để sử dụng cho thiết bị cá nhân, hoặc đưa cho ngườikhác, như vậy băng thông sử dụng mạng không dây sẽ bị
hưởng nặng nề
Chưa kể việc lộ password rơi vào tay đối thủ, thì đó là 1 kênh
hacker hoặc công ty đối thủ xâm nhập vào mạng nội bộ công
điều nầy vô cùng nguy hiểm
Trang 6I LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Chính vì vậy, người ta cần một cơ chế để xác thực nhân viêncách chính xác
Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xácngười dùng trên Access Point (AP)
Một máy chủ thực hiện việc xác thực trên nền tảng RADIUSthể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x
Trang 7I LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Mô hình xác thực
Trang 8I LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Trang 9II RADIUS SERVER LÀ GÌ?
RADIUS (Remote Authentication Dial trong User Service)
một giao thức mạng phổ biến cung cấp cho các nhu cầu AAA (Xácthực, Cấp phép và Kế toán) của các môi trường CNTT hiện đại
RADIUS trang bị cho các quản trị viên các phương tiện để quản
tốt hơn việc truy cập mạng bằng cách cung cấp mức độ an ninh,kiểm soát và giám sát cao hơn
Về cơ bản, RADIUS cho phép người dùng từ xa kết nối với mạngkhông dây bằng cách xác định tài khoản và sau đó nhận được
quyền truy cập vào hệ thống
Trang 10II RADIUS SERVER LÀ GÌ?
Trang 11Khi bắt đầu xác thực RADIUS, yêu cầu xác thực và thông tin đăngnhập được gửi từ thiết bị của người dùng đến máy khách RADIUS
(RADIUS Client)
RADIUS Client gửi yêu cầu này tới máy chủ xác thực RADIUS
kiểm tra các quy tắc được xác định trước trên cơ sở dữ liệu
khoản
Phản hồi chấp nhận được gửi lại cho thiết bị người dùng thông
máy khách nếu yêu cầu này đáp ứng các yêu cầu cần thiết
Các thiết lập được kích hoạt, cung cấp cho quản trị viên thông
bổ sung như thời gian session kết nối và băng thông
Trang 12III NGUYÊN TẮC HOẠT ĐỘNG
Trong một mạng Wireless sử dụng 802.1x Port Access Control,các máy trạm sử dụng wireless với vai trò Remote User
Wireless Access Point làm việc như một Network Access Server(NAS)
Để thay thế cho việc kết nối đến NAS với dial-up như giao
PPP, wireless station kết nối đến Access Point bằng việc sử dụnggiao thức 802.11
Trang 13III NGUYÊN TẮC HOẠT ĐỘNG
Wireless station gửi một message EAP-Start tới Access Point
Access Point sẽ yêu cầu station nhận dạng và chuyển các thông
đó tới một AAA Server với thông tin là RADIUS Access-RequestUser-Name attribute
Máy chủ AAA và wireless station hoàn thành quá trình bằng
chuyển các thông tin RADIUS Access-Challenge và AccessRequest qua Access Point
Trang 14III NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Accept, Access Point
và wireless station sẽ hoàn thành quá trình kết nối và thực
phiên làm việc với việc sử dụng WEP hay TKIP để mã hoá
liệu
Và tại điểm đó, Access Point sẽ không cấm cổng và wirelessstation có thể gửi và nhận dữ liệu từ hệ thống mạng một cách
thường
Lưu ý là mã hoá dữ liệu từ wireless station tới Access Point
với quá trình mã hoá từ Access Point tới máy chủ AAA Server(RADIUS Server)
Trang 15III NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Reject, Access Point
sẽ ngắt kết nối tới station
Station có thể cố gắng thử lại quá tình xác thực, nhưng AccessPoint sẽ cấm station này không gửi được các gói tin tới các Access
Point ở gần đó
Chú ý là station này hoàn toàn có khả năng nghe được các dữ
được truyền đi từ các stations khác – Trên thực tế dữ liệu đượctruyền qua sóng radio và đó là câu trả lời tại sao phải mã hoá
liệu khi truyền trong mạng không dây
Trang 16IV TRIỂN KHAI RADIUS SERVER CHO WLAN
Có khá nhiều loại Radius server để triển khai cho WLAN như:
Use Microsoft's RADIUS Server: Nếu có một máy chủ chạy hệ
hành Microsoft Windows Server.
Install an Open Source RADIUS Server: Nếu không có một phiên bản Windows, một lựa chọn nữa là sử dụng giải pháp phần mềm
nguồn mở, tham khảo tại: http://www.freeradius.org Với khả
hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã nguồn
mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đều
thể sử dụng làm RADIUS Server.
Trang 17IV TRIỂN KHAI RADIUS SERVER CHO WLAN
Mua một Commercial RADIUS Server: Trong trường hợp phải dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ tính năng cũng như khả năng an toàn, và độ ổn định có thể mua bản thương mại từ các nhà sản xuất khác, với tính năng hỗ 802.1x và là một RADIUS Server chuyên nghiệp
Trang 18IV TRIỂN KHAI RADIUS SERVER CHO WLAN
Mô tả sơ đồ demo:
Một access point hỗ trợ WPA2-Enterprise
Một Window server 2012 bản standard trở lên RAM tối thiểu 2GB
Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join domain)
Kết nối network giữa access point và Window server 2012
thông xuốt, không bị chặn bởi firewall.
Trang 19IV TRIỂN KHAI RADIUS SERVER CHO WLAN
Các bước thực hiện:
Nâng cấp Active Director(AD)
Cài đặt, cấu hình radius
• Cài đặt + Cấu hình Active Directory Certificate Services (CA)
• Cài đặt NAP (Network Policy and Access Services)
• Cấu hình NAP
Test từ phía client (Laptop sử dụng Window 7)
Trang 20IV.1 NÂNG CẤP AD
Trang 21IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cài đặt CA
Vào Server Manager> Add Roles and Features
Trang 22IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 24Sau khi install xong bấm Close để hoàn tất bước cài đặt CA.
Trang 25IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Cấu hình CA
Sau khi cài đặt xong ở Server Manager, click vào dấu chấm than,
Chọn Configure Active Directory Certificate Server On th…
Trang 26IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 37Cài đặt NAP và cấu hình NAP(Network Policy and Access Services)
Cài đặt NAP
Ta tiếp tục vào Server Manager> Add Roles and Features.
Trang 38IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 48Cấu hình NAP
Để apply NAP cho group user ta tiến hành tạo user và add user đó vào group trước NAP sẽ apply cho Group
Trang 49IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 58Cấu trên access point và client
Cấu hình trên access point:
Trường hợp access point hỗ trợ DHCP thì có thể tận dụng, trongtrường hợp access point không hỗ trợ thì phải setup DHCP Server
để cấp IP cho wifi
Trang 59IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 60Tại Access Point:
Truy cập vào access point để cấu hình
Trang 61IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS
Trang 62Tại Client (Máy Laptop chạy Window 7) chưa có SSID nào đượcđăng ký trong phần Manage Wireless Networks.
Lưu ý : cần phải Add SSID, nếu không wifi sẽ không sử dụngđược
Tại phần Manage Wireless Networks chọn Add để add SSID vào
Trang 63IV.2 CÀI ĐẶT, CẤU HÌNH RADIUS