Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server trong mạng WLAN để buộc các client muốn gia nhập mạng phải xác thực bằng 802.1x, nhờ đó ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client phải đăng nhập đúng username và password hợp lệ mới truy cập được. Quá trình xác thực này được điều khiển bởi RADIUS server.
Yêu cầu:
Các bước thực hiện :
1. Cấu hình RADIUS server trên Windows 2003:
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :
Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dụng Access Point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access Point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Window Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.
Các tùy chọn trong ACS. Ta nên chọn toàn bộ để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
Giao diện chính của ACS:
Click vào nút User Setup để tạo user
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environmen.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép Java start
2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:
Thực hiện trên webpage:
Giao diện chính của AP
Chọn mục EXPRESS SECURITY để vào tạo cấu hình mới và bảo mật RADIUS
Chọn SSID là vnpro
Chọn mục Broadcast SSID in Beacon để quảng bá SSID của mình
Chọn mục EAP Authentication để bật tính năng xác thực RADIUS
Đặt IP của server là 192.168.1.1
Đặt Secret key trùng với key của server PC
nhấn apply => hoàn tất cài đặt.
Cấu hình bằng CLI:
ap(config)# aaa new-model
ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646
ap(config)#aaa authentication login eap_methods group rad_eap
ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode
ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456
ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr
Cấu hình tham khảo:
ap#show running-config
Building configuration...
Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
!
username Cisco password 7 047802150C2E
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
!
line con 0
line vty 0 4
!
end
3. Kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tính năng xác thực trên trên card wireless
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.
Click vào nút Add
Đặt tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK
1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn Connect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.
Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. Khi đó trên màn hình CLI của AP sẽ báo Authentication Failed, và bắt buộc client phải đăng nhập lại.
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.
→ ping thành công, kết nối hoàn tất.
