ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

Podobne dokumenty
ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

Budowa i konfiguracja sieci komputerowej cz.2

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Windows Server Serwer RADIUS


Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Konfiguracja własnego routera LAN/WLAN

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

ZiMSK NAT, PAT, ACL 1

Laboratorium Ericsson HIS NAE SR-16

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń)

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

INSTRUKCJA OBSŁUGI DLA SIECI

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Telefon AT 530 szybki start.

Telefon IP 620 szybki start.

INSTRUKCJA OBSŁUGI ROUTERA 4 w 1 - ΩMEGA O700 - WIRELESS N 300M ROUTER.

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Bramka IP 2R+L szybki start.

BEZPRZEWODOWY ROUTER SZEROKOPASMOWY 11N 300MBPS

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

Uwagi dla użytkowników sieci bezprzewodowej

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń) 1h

MikroTik Serwer OpenVPN

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Ćwiczenie Konfiguracja routingu między sieciami VLAN

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Interfejsy: Ethernet do połączenia z siecią LAN Serial do połączenia z siecią WAN. pełną konfigurację urządzenia. Zadanie

INFORMATOR TECHNICZNY WONDERWARE

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

Podłączanie się do bezprzewodowej sieci eduroam na platformie MS Windows XP w wersji Professional oraz HOME.

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

Windows Server Ochrona dostępu do sieci z wykorzystaniem 802.1X

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

INFORMATOR TECHNICZNY WONDERWARE

L2TP over IPSec Application

Sieci Komputerowe Laboratorium 11. VLAN i VTP

Konfiguracja ROUTERA bezprzewodowego z modemem ADSL 2+, TP-Link TD-W8910G/TDW8920G

PAP-2T w sieci FreePhone

Następnie kliknąć prawym klawiszem myszy na Połączenie sieci bezprzewodowej i wybrać Wyłącz.

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Przygotowanie urządzenia:

Punkt dostępowy z Routerem Wireless-G

Instrukcja konfiguracji funkcji skanowania

Laboratorium Użycie wiersza poleceń w celu zebrania informacji na temat urządzeń sieciowych

ZiMSK. dr inż. Łukasz Sturgulewski dr inż. Artur Sierszeń

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7 wersja 2

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

pasja-informatyki.pl

ZyXEL NBG-415N. Bezprzewodowy router szerokopasmowy n. Skrócona instrukcja obsługi. Wersja /2006 Edycja 1

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

Wykorzystanie pamięci USB jako serwera Samba

Instrukcja konfiguracji urządzenia TL-WA830RE v.1

CLI TELNET SSH HTTP SNMP

Podłączenie urządzenia

Instalacja i konfiguracja serwera SSH.

Uwagi dla użytkowników sieci bezprzewodowej

PROFFICE/ MultiCash PRO Zmiana parametrów komunikacji VPN do połączenia z Bankiem Pekao S.A.

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Transkrypt:

Imię Nazwisko ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x) dr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl http://luk.kis.p.lodz.pl/ http://tinyurl.com/gngwb4l 1. Zbudować sieć laboratoryjną 2. RADIUS 3. authentication-proxy 4. IEEE 802.1x 5. Czynności końcowe - 1 -

1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80-2 -

2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze HTTP prostą stronę z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? - 3 -

3. RADIUS RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston Enterprises, Inc (obecnie część Lucent Technologies). RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie działań użytkownika. RADIUS składa się z trzech elementów: o Protokołu korzystającego z UDP/IP. o Serwera. o Klienta. Instalacja i konfiguracja serwera RADIUS: WinRADIUS Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z archiwum ZIP do dowolnego foldera. Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb dowolnego użytkownika (w tabeli tbusers wprowadzić nowy rekord podając tylko username i password). Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje: Wybrać z menu Settings->System, w oknie dialogowym wprowadzić: o NAS Secret klucz do szyfrowanej komunikacji pomiędzy serwerem a urządzeniem. o Authorization port port, na którym będzie nasłuchiwał serwer do uwierzytelniania użytkowników. o Accounting port port, na którym będzie nasłuchiwał serwer do zliczania działań użytkowników. Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak aby przy konfiguracji danych o serwerze RADIUS na ASA podać te same informacje. Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk Configure ODBC Automatically. Zamknąć program i ponownie go uruchomić. - 4 -

Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo. TekRADIUS - 5 -

4. authentication-proxy Zadanie Włączyć authentication-proxy na ASA dla wszystkich połączeń wychodzących z sieci inside_pracownicy. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin. Materiał pomocniczy Idea działania authentication-proxy Konfiguracja authentication-proxy ASA(config)# aaa authentication include <protokół> <nazwa_sieci> <adres_sieci_źródłowej> <maska_sieci_źródłowej > <adres_sieci_docelowej> <maska_sieci_docelowej > <nazwa_bazy> Ustawienie komunikatów przy uwierzytelnianiu: ASA(config)# auth-prompt prompt <dowolny_tekst> ASA(config)# auth-prompt accept <dowolny_tekst> - 6 -

ASA(config)# auth-prompt reject <dowolny_tekst> protokół jeśli dowolny należy użyć słowa any. nazwa_bazy nazwa bazy, w której będą weryfikowane dane użytkownika. Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET. Konfiguracja RADIUS (sewer z bazą danych użytkowników) Konfiguracja połączenia z serwerem RADIUS: ASA(config)# aaa-server <nazwa_bazy> protocol radius ASA(config-aaa-server-group)# exit ASA(config)# aaa-server <nazwa_bazy> (<nazwa_sieci>) host <adres_ip> ASA(config-aaa-server-host)# key <klucz> ASA(config-aaa-server-host)# authentication-port <nr_portu_1> ASA(config-aaa-server-host)# accounting-port <nr_portu_2> Sprawdzenie konfiguracji: ASA(config)# show running-config aaa-server nazwa_bazy nazwa bazy, w której będą weryfikowane dane użytkownika. nazwa_sieci nazwa sieci, w której znajduje się serwer RADIUS. adres_ip adres IP serwera RADIUS. klucz tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem RADIUS. nr_portu_1 nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to najczęściej port 1812). nr_portu_2 nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to najczęściej port 1813). Zarządzanie authentication-proxy Wyświetlenie statystyk uwierzytelniania: ASA(config)# show uauth Usunięcie uwierzytelnionych użytkowników: ASA(config)# clear uauth Sprawozdanie Przeprowadzić testy: o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP w strefie dmz Czy było wymagane uwierzytelnianie? - 7 -

Czy uwierzytelnianie powiodło się? o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera HTTP w strefie outside Czy było wymagane uwierzytelnianie? Czy uwierzytelnianie powiodło się? o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie outside Czy było wymagane uwierzytelnianie? Czy uwierzytelnianie powiodło się? Sprawdzić zestawienie uwierzytelnionych użytkowników. Usunąć zestawienie uwierzytelnionych użytkowników. 5. Konfiguracja IEEE 802.1x Zadanie Włączyć obsługę 802.1x na Switch. Włączyć obsługę 802.1x w systemie Windows. Skonfigurować porty Switch należące do sieci inside_pracownicy tak aby wymagane było uwierzytelnianie 802.1x. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin. - 8 -

Materiał pomocniczy Idea działania IEEE 802.1x IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego portu Switch). Aby uzyskać dostęp do portu Switch (do sieci LAN) należy przeprowadzić proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS). Konfiguracja IEEE 802.1x (Switch) Switch(config)# aaa new-model Do uwierzytelniania wybrać serwer RADIUS: Switch(config)# aaa authentication dot1x default group radius Aktywować IEEE 802.1x: Switch(config)# dot1x system-auth-control Skonfigurować wybrany port Switch: Switch(config-if)# switchport mode access Switch(config-if)# dot1x pae authenticator IOS: c2960-lanbasek9-tar.122-35.se5 IOS: c2960-lanbasek9-tar.122-53.se2 Switch(config-if)# dot1x port-control auto Switch(config-if)# authentication port-control auto W przypadku podłączenia do wybranego portu Switch większej liczby hostów, należy zezwolić na ich obsługę: Switch(config-if)# authentication host-mode <single-host multi-host multidomain multi-auth> Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim: Switch(config)# radius-server host <adres_ip> auth-port <nr_portu_1> acct-port <nr_portu_2> key <klucz> Weryfikacja działania IEEE 802.1x Switch# show dot1x all Switch# show dot1x interface fa0/x - 9 -

[edit protocols] dot1x { authenticator { authentication-profile-name nazwa_profilu; interface { ge-x/y/z.k { supplicant multiple; retries a; reauthentication b; [edit] access { radius-server { IP_serwera { port nr_portu; secret "$9$/SwnAu1Srv7-wRh-wYgUD9Ap0RhylK8xN"; ## SECRET-DATA timeout c; retry d; profile nazwa_profilu { authentication-order radius; radius { authentication-server IP_serwera; Konfiguracja IEEE 802.1x (Windows) Uwaga: Aby host obsługiwał protokół 802.1x należy: o w systemie Windows XP włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless Configuration), o w systemie Windows XP z SP3 oraz Windows 7 i 8 i 10 włączyć usługę Automatyczna Konfiguracja Sieci Przewodowej (Wired AutoConfig), o we właściwościach kablowego połączenia sieciowego w zakładce Authentication włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge (dla WinRadius) albo PEAP (dla TekRADIUS). - 10 -

- 11 -

Sprawozdanie Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy). Przeprowadzić testy: o Czy wymagane jest uwierzytelnienie? o Czy z hosta można się połączyć z bramę za pomocą ping? o Czy działa połączenie z hosta do serwera HTTP w strefie outside? 6. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 12 -

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres