Tác giả: Phạm Đình Thông


Lab: CẤU HÌNH XÁC THỰC BẰNG RADIUS SERVER

http://usera.imagecave.com/vnpro/Lab3_hinh1.jpg

- Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
- Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :
1. Cấu hình RADIUS server trên win 2003:

• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

http://usera.imagecave.com/vnpro/Lab3_hinh2.jpg


Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

http://usera.imagecave.com/vnpro/Lab3_hinh3.jpg


- Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
- Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
- Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
- Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
- TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

http://usera.imagecave.com/vnpro/Lab3_hinh4.jpg

- Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .

• Tạo User và password :
Giao diện chính của ACS:

http://usera.imagecave.com/vnpro/Lab3_hinh5.jpg

Click vào nút User Setup để tạo user

http://usera.imagecave.com/vnpro/Lab3_hinh6.jpg

Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

http://usera.imagecave.com/vnpro/Lab3_hinh7.jpg

Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

http://usera.imagecave.com/vnpro/Lab3_hinh8.jpg

Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environmen.

Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

http://usera.imagecave.com/vnpro/Lab3_hinh9.jpg
2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

Thực hiện trên webpage:

• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco. Nhập xong nhấn OK


http://usera.imagecave.com/vnpro/Lab3_hinh10.jpg

• Giao diện chính của AP

http://usera.imagecave.com/vnpro/Lab3_hinh11.jpg

Chọn mục EXPRESS SECURITY để vào tạo cấu hình mới và bảo mật RADIUS

http://usera.imagecave.com/vnpro/Lab3_hinh12.jpg

Chọn SSID là vnpro
Chon mục Broadcast SSID in Beacon để quản bá SSID của mình
Chọn mục EAP Authentication để bật tính năng xác thực RADIUS
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

Cấu hình bằng CLI:


• Vào mode config bật tính năng AAA
ap(config)# aaa new-model
• Định nghĩa AAA Server Groups
ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646
• Cho phép xác thực trên RADIUS
ap(config)#aaa authentication login eap_methods group rad_eap
• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài
ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode
• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :
ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456
• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này
ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr


Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :

- Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

http://usera.imagecave.com/vnpro/Lab3_hinh13.jpg

- Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

http://usera.imagecave.com/vnpro/Lab3_hinh14.jpg

- Click vào nút Add

http://usera.imagecave.com/vnpro/Lab3_hinh15.jpg

Đặt tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK

http://usera.imagecave.com/vnpro/Lab3_hinh16.jpg

1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.

http://usera.imagecave.com/vnpro/Lab3_hinh17.jpg

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.

http://usera.imagecave.com/vnpro/Lab3_hinh18.jpg

=>ping thành công, kết nối hoàn tất.

Bác Sang ơi.
Bác đã thử Dynamic vlan chưa.
Nếu bác đã làm được rồi thì post hướng dẫn help em 1 phát.
Thanks

Sao tôi làm theo như vậy rồi mà vẫn không được nhỉ? ACS tự tạo user mà khi connect lại báo authen failed.
Đây là running-config của con Aironet 1240AG, bác nào xem hộ xem sai ở đâu?

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP1.1
!
enable secret 5 $1$IPRa$/ww8rCOW3daaKFnuKWtc51
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.10.12 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid ap1
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation injector 0015.63a9.06c1
!
!
username Cisco password 7 106D000A0618
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap1
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2412
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
!
encryption key 1 size 40bit 7 92BFC72E79AE transmit-key
encryption mode wep mandatory
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
speed auto
full-duplex
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.11.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.11.1
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
snmp-server community communitydefault RW
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.10.12 auth-port 1645 acct-port 1646 key 7 08701E1D5D4C53404A52
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end

Bài viết này hay đấy,

các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)

Cho em link down Cisco Secure ACS 3.2 với

Cho em link down Cisco Secure ACS 3.2 với

Bài viết này hay đấy,

các bạn có thể mở rộng ra cho các AP khác và các kiểu chứng thực khác được không nhỉ? :)
Đúng đấy , bởi đồ cisco là hàng hiếm với anh em quá. còn hiện Cisco Secure ACS 3.2 (v40 thì to quá) tớ sẽ up vô itexpert.org ... nhưng mà chưa làm đủ 9 bài nên chưa up vô được .... hè hè hè (chắc đành gửi email cho bác Tuấn thôi)
Bạn Thanhtt có thể down ACS 3.2 từ link này :

http://www.live-share.com/files/226858/Cisco.Secure.ACS.Server.3.2.Retail--RADIUS.Server.zip.html

Cảm ơn bác cá mập nhiều.
Em down được rồi.

phần mềm Cisco Secure ACS có phải mua bản quyền ko?

nếu ko dùng ACS mà tự dụng Radius Server trên Win 2003 thì có được ko vậy? Nếu đã có sẵn user trên AD (Active Directory) thì làm sao sử dụng các user này để đăng nhập vào mạng wireless thông qua sát thực của Radius server. cần fải cấu hình những gì trên Radius Server. Bác nào biết chỉ dùm?

thx!!!

Hi all
Mình thấy chủ đề này rất hay đó. Lúc trước triển khai mình có đọc tài liệu của ACS nhưng mà thời gian gấp quá nên không làm được nhiều còn nhiều chức năng vẫn chưa thử được.
Nếu minh dùng cơ sở dữ liệu của AD thì phải cấu hình như thế nào nhỉ, và nếu mình tạo profile cho mỗi User khác nhau thì khác nhau thì mình cấu hình như thế nào?
Thanks

Reply di các bác ơi. Em đợi lâu quá rồi.
Thanks

Hi hoannx

Nếu cần gấp quá thì xem hai link này hướng dẫn cách tích hợp AD của MS vào ACS. Chú ý là phiên bản ACS 4.1 làm ok.

Using Windows as an external user database:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a00806fe260.html#w p353636

Mapping Windows AD groups to ACS groups:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a00806fe1ec.html#w p940538

This is for ACS 4.1 but you can find the same things in the documentation for the older versions.

Anh ơi ,có link down ACS 4.1 không anh, share cho em với.

Thanks,
Nguyên

http://rapidshare.com/files/5544413/cacpewir.rar
http://rapidshare.de/files/37246597/cacpewir.rar

Tôi đang thử Aironet 350 với ACS 4.0. Chưa config đuợc. Đang đọc concept :)

Anh ơi, anh share lại giùm em cái link download ACS v4.1 đi. Em cảm ơn rất nhiều

http://rapidshare.com/files/5544413/cacpewir.rar
http://rapidshare.de/files/37246597/cacpewir.rar


Thầy ơi check lại cái link giúp tụi em với .
ACS 4.0 có vấn đề khi get database Windows trong authen cho dot1x anh ơi .

Thanks .
Hùng

phanhung download thử ở link đính kèm xem có ok ko nhé:


http://rapidshare.com/files/70814570/ACSv4.0.1.27-FULL-K9_by_tsxht.zip

Em đang làm mô hình chứng thực Radius dùng certificate trên con WLSE (quản lý các Access point). Em tạo CA root, Private key client , Private key server trên win2k3. Sau đó import vào WLSE và labtop nhưng vẫn không chứng thực được. Các bạn nào đã từng cấu hình xin chỉ giúp mình nhé. Cám ơn nhiều

Mình cũng đang giống bạn Alpha đấy.Mình tạo một SSID là KTV-220-LOT và cấu hình cũng tương tự như mấy bài hướng dẫn.AP :10.20.200.11 còn AAA server là 10.20.196.88.Cái Ap của mình là 1 client AAA.Khi mình dùng Raidus và authen bằng EAP-TLS hoặc PEAP thì nó connect được AP nhưng không ping được mạng nội bộ và ko ra internet được.Còn mình dùng LEAP thì ko xác thực được bằng user mình đã tạo trên ACS server.(ACS server va AAA server la 1PC)

vậy bạn có phần mềm Cisco Secure ACS v3.2 không vậy, minh kiếm hoài mà hõng có

Minh dang trien khai ACS v4.1.Nhung ve linh vuc nay hau nhu rat it nguoi lam.Minh cung dang rat cang thang voi van de nay.Nhung khong biet co ai ben vnpro da lam cai nay chua.Co the chi them cho minh.neu ban muon minh co the send qua mail cho ban phan mem nay.

Cac bac oi, cho toi xin link download acs 4.1 voi,
Cam on nhieu,

Bạn tham khảo link này (http://networkexams.googlepages.com/tccnp-iscw2) về ACS. Bạn có thể down version 4.2 tại link dưới :
http://www.4shared.com/file/63960004/95ff11e/acs42124win.html?s=1
Chúc thành công !

Cám ơn Anh Luân rất nhiều,
Tôi đã down xong, sẽ install và thực tập cấu hình ACS. Hy vọng sẽ nhận được trợ giúp của Anh Luân khi gặp vấn đề.
Once more, thanks

KHông biết là còn phần mềm nào khác của cisco không vậy Luân.