Xem mẫu
- Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 7: RADIUS SERVER CHO
WLAN
GV: LƯƠNG MINH HUẤN
- NỘI DUNG
Lý do sử dụng Radius Server cho WLAN
Radius Server là gì?
. Nguyên tắc hoạt động
. Triển khai Radius server cho WLAN
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Xét vấn đề sau:
Có nhiều thiết bị access point đặt ở nhiều địa điểm khác nhau
văn phòng, thậm chí là nhiều nơi, nhiều tỉnh thành, thậm chí là n
quốc gia khác nhau.
Mất thời gian cho việc quản lý nó, nếu đặt password theo
WPA-Persional hoặc WEB,… ta phải đưa password access poin
nhân viên để họ tự join vào wifi hoặc ta phải nhập cho nhân viên
Mọi thứ sẽ không có gì bàn nếu nhân viên chỉ công tác 1 và
không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di ch
nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login
access point.
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Đặt trường hợp password có quá nhiều người biết, và nhân
ạm dụng để sử dụng cho thiết bị cá nhân, hoặc đưa cho n
khác, như vậy băng thông sử dụng mạng không dây sẽ bị
hưởng nặng nề.
Chưa kể việc lộ password rơi vào tay đối thủ, thì đó là 1 kên
hacker hoặc công ty đối thủ xâm nhập vào mạng nội bộ côn
điều nầy vô cùng nguy hiểm.
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Chính vì vậy, người ta cần một cơ chế để xác thực nhân viên
cách chính xác.
Việc bảo mật WLAN sử dụng chuẩn 802.1x kết hợp với xác
người dùng trên Access Point (AP).
Một máy chủ thực hiện việc xác thực trên nền tảng RADIU
hể là một giải pháp tốt cung cấp xác thực cho chuẩn 802.1x.
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
Mô hình xác thực
- LÝ DO SỬ DỤNG RADIUS SERVER CHO WLAN
- II. RADIUS SERVER LÀ GÌ?
RADIUS (Remote Authentication Dial trong User Service
một giao thức mạng phổ biến cung cấp cho các nhu cầu AAA (
hực, Cấp phép và Kế toán) của các môi trường CNTT hiện đại
RADIUS trang bị cho các quản trị viên các phương tiện để quả
ốt hơn việc truy cập mạng bằng cách cung cấp mức độ an n
kiểm soát và giám sát cao hơn.
Về cơ bản, RADIUS cho phép người dùng từ xa kết nối với m
không dây bằng cách xác định tài khoản và sau đó nhận đ
quyền truy cập vào hệ thống.
- II. RADIUS SERVER LÀ GÌ?
- II. RADIUS SERVER LÀ GÌ?
Khi bắt đầu xác thực RADIUS, yêu cầu xác thực và thông tin đ
nhập được gửi từ thiết bị của người dùng đến máy khách RAD
(RADIUS Client).
RADIUS Client gửi yêu cầu này tới máy chủ xác thực RADIU
kiểm tra các quy tắc được xác định trước trên cơ sở dữ liệu
khoản.
Phản hồi chấp nhận được gửi lại cho thiết bị người dùng thông
máy khách nếu yêu cầu này đáp ứng các yêu cầu cần thiết.
Các thiết lập được kích hoạt, cung cấp cho quản trị viên thôn
bổ sung như thời gian session kết nối và băng thông.
- III. NGUYÊN TẮC HOẠT ĐỘNG
Trong một mạng Wireless sử dụng 802.1x Port Access Con
các máy trạm sử dụng wireless với vai trò Remote Use
Wireless Access Point làm việc như một Network Access Se
(NAS).
Để thay thế cho việc kết nối đến NAS với dial-up như giao
PPP, wireless station kết nối đến Access Point bằng việc sử d
giao thức 802.11.
- III. NGUYÊN TẮC HOẠT ĐỘNG
Wireless station gửi một message EAP-Start tới Access Point.
Access Point sẽ yêu cầu station nhận dạng và chuyển các thôn
đó tới một AAA Server với thông tin là RADIUS Access-Req
User-Name attribute.
Máy chủ AAA và wireless station hoàn thành quá trình bằng
chuyển các thông tin RADIUS Access-Challenge và Acc
Request qua Access Point.
- III. NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Accept, Access P
và wireless station sẽ hoàn thành quá trình kết nối và thực
phiên làm việc với việc sử dụng WEP hay TKIP để mã ho
iệu.
Và tại điểm đó, Access Point sẽ không cấm cổng và wire
station có thể gửi và nhận dữ liệu từ hệ thống mạng một cách
hường.
Lưu ý là mã hoá dữ liệu từ wireless station tới Access Point
với quá trình mã hoá từ Access Point tới máy chủ AAA Se
(RADIUS Server).
- III. NGUYÊN TẮC HOẠT ĐỘNG
Nếu máy chủ AAA gửi một message Access-Reject, Access P
sẽ ngắt kết nối tới station.
Station có thể cố gắng thử lại quá tình xác thực, nhưng Ac
Point sẽ cấm station này không gửi được các gói tin tới các Ac
Point ở gần đó.
Chú ý là station này hoàn toàn có khả năng nghe được các dữ
được truyền đi từ các stations khác – Trên thực tế dữ liệu đ
ruyền qua sóng radio và đó là câu trả lời tại sao phải mã ho
iệu khi truyền trong mạng không dây
- IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Có khá nhiều loại Radius server để triển khai cho WLAN như:
Use Microsoft's RADIUS Server: Nếu có một máy chủ chạy hệ
hành Microsoft Windows Server.
Install an Open Source RADIUS Server: Nếu không có một p
bản Windows, một lựa chọn nữa là sử dụng giải pháp phần mềm
nguồn mở, tham khảo tại: http://www.freeradius.org. Với khả
hỗ trợ cho chuẩn 802.1x các máy chủ chạy hệ điều hành mã n
mở như Linux, Free or OpenBSD, OSF/Unix, hoặc Solaris đề
thể sử dụng làm RADIUS Server.
- IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Mua một Commercial RADIUS Server: Trong trường hợp phả
dụng một giải pháp chuyên nghiệp cần hỗ trợ đầy đủ toàn bộ
tính năng cũng như khả năng an toàn, và độ ổn định có thể mua
bản thương mại từ các nhà sản xuất khác, với tính năng hỗ
802.1x và là một RADIUS Server chuyên nghiệp
- IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Mô tả sơ đồ demo:
Một access point hỗ trợ WPA2-Enterprise
Một Window server 2012 bản standard trở lên RAM tối thiể
2GB
Một Laptop đã cài sẳn hệ điều hành Window 7 ( chưa join doma
Kết nối network giữa access point và Window server 2012
thông xuốt, không bị chặn bởi firewall.
- IV. TRIỂN KHAI RADIUS SERVER CHO WLAN
Các bước thực hiện:
Nâng cấp Active Director(AD)
Cài đặt, cấu hình radius
• Cài đặt + Cấu hình Active Directory Certificate Services (CA)
• Cài đặt NAP (Network Policy and Access Services)
• Cấu hình NAP
Test từ phía client (Laptop sử dụng Window 7)
- IV.1 NÂNG CẤP AD
nguon tai.lieu . vn