网络管理实验报告
—基于端口的认证管理配置
学院:计算机学院
班级:
姓名:
学号:
实验二
基于端口的认证管理配置
【实验目的】
1、熟练掌握IEEE802.1X的工作原理
2、熟悉AAA身份认证机制
3、掌握RADIUS服务器的配置
【预备知识】
1、AAA概念和基本原理
2、IEEE802.1X
3、配置交换机与RADIUS SERVER之间通讯
【实现功能】
实现LAN接入的安全身份认证。
【实验拓扑】
PC1 192.168.0.44/24
RG-S2126G
192.168.0.2/24
RG-SAM Server
192.168.0.185/24
【实验原理】
无线局域网技术标准自1997年公布以来,使人们能更方便、灵活、快捷地访问网络资源,摆脱了传统有线网络的线缆束缚,随时随地的访问使用Internet网络。手机、笔记本电脑等个人无线接入终端设备和无线组网设备因为价格不断下降的大规模普及,越来越多的单位和家庭使用无线局域网进行组网,导致无线网络安全问题日益凸显。早期的无线局域网安全防范仅靠WEP协议[1],即有线等效加密(Wired Equivalent Privacy)保护网络的安全。由于无线电的开放性,以及WEP技术本身的缺陷导致它特别容易被窃听和破解。根据资料显示在一个繁忙的WEP无线网通过嗅探工具可以在短短的数分钟内破解,并且现在大量的破解工具流传于网络并有相关专用设备出售,严重危害无线网络的安全。因此WEP标准在2003年被 Wi-Fi Protected Acce (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代[2]。无线局域网802.11i标准中使用802.1x认证和密钥管理方式保障无线网络的安全性。尽管802.11i支持预WPA和WPA2加密下的共享密码,但如果只使用预共享密码保障校园网安全,可能面临密码外泄后,知道密码的非授权用户也能使用校园网络的安全隐患。
所以校园无线网建设过程中建立一套安全可靠高效的用户认证机制显得尤为迫切。本文就在Windows系统平台下使用免费Radius软件TekRadius构建基于PEAP技术的Radius认证服务器,保护校园无线局域网的安全进行探讨。
1 802.1X概述
IEEE802.1X[3]是IEEE制定关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”协议,早期802.1x标准仅为有线网设计,并广泛应用于有线以太网中。最新版802.1X协议针对无线局域网的特点进行修订,针对无线局域网的认证方式和认证体系结构进行了相关技术优化。IEEE 802.1X协议在用户接入网络之前运行,运行于网络中的数据链路层,EAP协议RADIUS协议。
无线局域网中802.1X协议的体系结构包括三个重要的部分:客户端系统、认证系统和认证服务器,无线局域网中802.1X的拓扑结构如图1所示。
客户端系统(Supplicant System)通常是一个用户终端系统,在无线局域网中即为支持WiFi的笔记本电脑、手机等终端系统,该系统通常无需安装第三方客户软件,windows XP系统内置了相关模块,能够发起并完成802.1x协议的认证过程。
认证系统(Authenticator System)即认证者,在无线局域网中就是无线接入点AP(Acce Point)或路由器,在认证过程中起“转发”作用。认证系统只是把客户端发起的认证信息转发到认证服务器完成相关认证。
认证服务器(Authentication Server System)通常为RADIUS服务器,在该服务器上存储用户名和密码、访问控制列表等相关用户信息。在客户端发起认证时,由认证服务器对客户端用户信息与储存资料进行鉴别验证,该申请者是否为授权用户。
2 PEAP协议
EAP可扩展认证机制 (Extensible Authentication Protocol)是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。
PEAP受保护的可扩展身份验证协议是由CISCO、微软和RSA Security联合提出的开放标准,是WPA2标准[4]中被正式采纳的7类认证机制之一。并已被广泛的运用在各种产品中,为网络提供安全保障。它在设计上和EAP-TLS相似,但只需要通过服务器端的证书来建立一个安全的传输层安全通道(TLS)以保护用户认证信息的安全。它分两个阶段进行:第一阶段建立单项服务器认证的TLS隧道;第二阶段在该隧道保护下,对客户端进行EAP-MS-CHAPv2等基于EAP的方式认证。与EAP-TLS采用的双向证书验证方式相比,PEAP较好的在保障无线网络安全性和认证系统的布署难度之间找到一个平衡点。在校园无线网络访问控制中应用基于PEAP技术认证802.1X,可以为无线局域网提供安全可靠的授权访问控制解决方案。
3 TekRadius系统安装与配置
TekRADIUS是一个windows下使用的功能强大并免费的RADIUS 服务器软件,使用微软SQL数据库作为支撑数据库,支持EAP-MD5, EAP-MS-CHAP v2, PEAP(PEAPv0-EAP- MS-CHAP v2)等多种接入认证方式。安装平台
1) 安装SQL数据库设置sa账户;Radius默认情况下以sa用户访问使用SQL数据库。
2) 安装TekRadius软件:从www.daodoc.com下载软件安装包“TekRADIUS.zip”解压缩后找到setup.exe双击根据提示完成安装。程序将会安装管理工具TekRADIUS Manager和TekRADIUS服务在电脑中。版本不低于“.NET Framework 2.0”的运行库必须安装于系统上。
3) 依次点击“开始/程序/TekRADIUS/TekRADIUS Manager”启动GUI管理界面,配置TekRadius。必须用具有管理员权限的账户登录windows才能以管理员身份对程序进行设置操作。
4) 点击“setting tab”选项卡开始配置系统。
5) 连接SQL数据库设置:在“SQL server”中填入SQL数据库主机地址,如果Radius服务器与SQL数据库安装在同一台电脑上则填写本机IP;“username”当中输入连接SQL数据库的用户名,系统默认用户名为sa容易被注入攻击,建议另外设置SQL同权限用户名使用提高系统安全性。如果SQL数据库使用windows整合认证则还需要更改设置数据库到 “用户名/密码”登录模式。其他保持默认配置,完成配置后点击“Test Connection”,当系统反馈“Connection Succeful but
database
not
exists”
或
者“ConnectionSuccefulbuttherewasmiing table(s)” 表示我们数据库连接设置正确,就可以在下一步中进行创建数据库和数据表操作。
6) 创建数据库和表:连接到SQL数据库后通过点击“Database Table”开始创建TekRadius需要的数据库和数据表。在“Database name”后文本框输入数据库名称然后点击后边“Creat Database”,然后根据系统需要在下方四组Table中选择所需的数据库表后点击“Creat Table”创建数据库表。由于本校园无线局域网主要提供给教师办公教学使用,故仅添加了Users和Groups项数据库表。创建的SQL数据库和相关表用于用户属性数据存贮,提供给Radius检查核对,只有经过认证核对的用户才能有权访问网络。
7) 设置服务参数:设置Radius服务器监听IP地址和认证端口,默认情况下认证端口为1812,可自行在1-65535之间进行设置但必须与AP当中配置一致,并且需要确保此端口未被占用而影响系统运行。设置系统自动启动服务,在Startup下拉菜单中选择为Automatic选项。PEAP内部认证方式保持默认EAP-MS-CHAP -v2认证方式。Failure Count中设置登录失败系统自动禁用账户的次数,设置为0时本功能禁用。
8) 配置用户组和用户:点击“Groups”选项卡,添加用户组“WlanGroup”;点击“Users”选项卡,添加用户并设置登录密码:在user后的文本框中输入用户名test,后边选择新增加用户所在用户组,然后点击下方Add按钮。选择test设置其密码:添加Attribute属性check 和user-paword,在最后的文本框中设置密码“wasd1234”然后点Add/Update按钮。
9) 增加Client客户端:点击Client选项卡,再输入NAS客户端地址192.168.0.1,设置预共享密码:zxc12345,verdor:ietf,将校园无线网络中存在的多个NAS客户端IP地址依照此操作反复添加即可。
10) 安装证书:在PEAP身份验证方式下,至少需要在验证服务器端需要安装符合X.509标准的数字证书用于PEAP身份验证时安全信道的建立。数字证书可以从Verisign公司等第三方证书发行机构购买,或者由公司内部证书发行机构获取,企业内部证书。我们在校园无线网中使用IIS6.0自带的Self SSL1.0组件获取根证书,安装Self SSL组件后,启动命令提示符并转到程序安装目录下,输入以下命令“selfl /N:CN=Servername /K:1024 /V:365 /S:1 /P:443”产生并获取系统所需数字证书[6],至此Radius服务器的配置完成。
4 无线AP配置步骤
无线AP配置:登录Dlink-615无线路由器,依次点击“安装→无线安装→手动无线因特网安装→设置无线模式为AccePoint,SSID为WlanTest 安全模式设置为WPA2,密码类型选择AES,设置为EAP模式,802.1X中填写服务器地址、认证端口及通信密码(与Radius服务器相同)”。
5 PC客户端配置
在笔记本上打开无线网卡Atheros客户端程序[7]点击“配置文件管理→新建,填写配置文件名,SSID为Wlan(与AP中相同)→点击安全,设置安全项802.1X,类型设为PEAP(EAP-MSCHAPv2),然后点击配置,选择使用用户名和密码进行连接,设置用于登录的用户名和密码,再点设置设置服务器域名和用户名”,确定完成设置并启用设置文件,笔记本通过验证正常介入并访问使用因特网。
6 讨论
经过上述的配置服务器数据库中的合法用户就可以在连接到无线网络时,在WPA2保护的无线网络中通过PEAP方式进行身份验证,访问使用Internet网络。由于SQL数据库的使用,可以方便的用户数据管理备份等工作提高了管理效率,并解决了WEP保护下的无线网络存在WEP密码被暴力破解带来的安全问题和使用预共享密码接入网络存在的共享密码泄露可能带来的网络安全风险。
较好地解决了校园无线局域网的安全性问题,使得授权用户访问Internet网络应用摆脱线缆的束缚更加方便并阻止非法用户的入侵。由于应用的PEAP认证方式在服务器安装数字证书大大的提高了无线局域网的安全性。
【实验步骤】
1、交换机配置
第一步:查看交换机版本信息 验证测试:
查看交换机版本信息:
Switch>show version System description
: Red-Giant Gigabit Intelligent Switch(S2126G) By
Ruijie Network System uptime
: 0d:0h:8m:40s System hardware version : 3.3 System software version : 1.5(1) Build Mar 3 2005 Temp System BOOT version
: RG-S2126G-BOOT 03-02-02 System CTRL version
: RG-S2126G-CTRL 03-05-02 Running Switching Image : Layer2 Switch> 第二步:初始化交换机配置
所有的交换机在开始进行配置前,必需先进行初始化,清除原有的一切配置,命令如下: Switch> Switch>enable Switch#delete flash:config.text Switch#reload …..
!删除配置
Switch#configure terminal !进入配置层 Switch(config)#
验证测试:
使用命令show running-config命令查看配置信息,删除原始配置信息后该命令的打印结果如下:
Switch#show running-config Building configuration...Current configuration : 318 bytes ! version 1.0 ! hostname Switch vlan 1 ! end Switch# 第三步:
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1 !!!设置交换机默认网关,实现跨网段管理交换机
Switch(config)#interface vlan 1 Switch(config-if)#ip addre 192.168.0.2 255.255.255.0 Switch(config)#exit Switch(config)#radius-server host 192.168.0.185 auth-port 1812 !!! 指定RADIUS服务器的地址及UDP认证端口
Switch(config)#aaa accounting server 192.168.0.185 !!! 指定记账服务器的地址
Switch(config)#aaa accounting acc-port 1813
!!! 指定记账服务器的UDP端口
Switch(config)#aaa authentication dot1x
!!! 开启AAA功能中的802.1x认证功能 Switch(config)#aaa accounting
!!! 开启AAA功能中的记账功能 Switch(config)#radius-server key star
!!!设置RADIUS服务器认证字 Switch(config)#snmp-server community public rw
!!!为通过简单网络管理协议访问交换机设置认证名(public为缺省认证名) 并分配读写权限
Switch(config)#interface fastEthernet 0/
4 !!! 实验中将在4号接口启动802.1x的认证 Switch(config-if)#dot1x port-control auto
!!! 设置该接口参与802.1x认证 Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...[OK] Switch#
2、交换机配置的截图
2、安装SQL server
3、使用软件TekRADIUS进行用户名和密码管理
Radius Server维护了所有用户的信息:用户名、密码、该用户的授权信息以及该用户的记帐信息。所有的用户集中于 Radius Server管理,而不必分散于每台交换机,便于管理员对用户的集中管理。
Radius Server端:要注册一个Radius Client。注册时要告知Radius Server交换机的IP、认证的UDP端口若记帐还要添记帐的UDP端口)、交换机与Radius Server通讯的约定密码,还要选上对该Client支持EAP扩展认证方式)。
交换机端:设置Radius Server的IP地址,认证(记帐)的UDP端口,与服务器通讯的约定密码。
【实验体会】
相比上次实验,这次实验更加复杂。尽管是在小组的互动与合作下,本次实验还是没有成功。原因是实验要求的环境较多,对 TekRADIUS软件的使用不是很熟悉短时间内无法完全掌握它的原理及应用,导致在使用软件TekRADIUS进行配置时,创建数据库和表时不成功,最后的4步骤“设置服务参数、配置用户组和用户、增加Client客户端、安装证书”无法完成,而且实验时间也到了,电脑也自动关机了,无法再进行下去了,我们就这样结束了实验。从课程的内容来看,本次实验十分重要,独立完成实验内容是对我们很好的一次锻炼,没有全面完成它,但是课后我对802.1X配置的相关知识做了一次更深的了解。
一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Acce Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:
Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统
Authentication Server System,认证服务器
三、认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;
2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
