Implementare protocol Radius pe Infrastructură Wireless

RADIUS (engleză Remote Authentication in Dial-In User Service) – protocolul AAA (Authentication, Authorization și Accounting), elaborat pentru transferul datelor între platforma centrală AAA și utilajului de acces Dial-UP (NAS, Network Access Server) și sistemul de billing (sistemului de tarifare pentru a utiliza resursele unui anumit abonat/utilizator).

  • Authentication — proces care permite identificare (unic definit) obiectului după datele sale, spre exemplu, după login (nume de utilizator, numarul de telefon, etc) și o parola.
  • Authorization — proces, de definire a competențelor obiectului de identificare pentru a avea acces la anumite facilități sau servicii.
  • Accounting — proces, care permite culegerea informației (datelor de acreditare) de utilizare a resurselor. Date primare (transmise în mod tradițional prin protocolul RADIUS) sunt valorile de intrare și ieșire a traficului: bytes/pachete (recent, în gigaocteți). Cu toate acestea, protocolul prevede, transmiterea datelor de orice tip, care este realizat prin intermediul VSA (Vendor Specific Attributes).
      Există peste 30 implementări de RADIUS-server, pentru toate varietățile

sistemelor de operare

      și platforme. –>

http://ro.wikipedia.org/wiki/RADIUS

Cu alte cuvinte un protocol care să faciliteze Autentificarea unor useri pe o platforma Wireless.

Recent acest sistem a fost implementat în Facultatea de Economie și Administrarea Afacerilor, unde era foarte necesar un protocol de autentificare și monitorizare a utilizatorilor de pe wireless. Pe scurt studentul / profesorul care are cont în domeniul feaa.uaic.ro poate beneficia de internet wireless dacă își introduce credențialele cu care se autentifică pe pc-urile din laboratoare sau de pe portal.feaa.uaic.ro.

Acest sistem a fost gândit de domnul Valy Greavu, realizat de mine (Ionuț Sinescu) și Vasile Chiriac (aka Wasea) cu suportul domnului Florin Matran.

În rândurile ce urmează voi detalia cum se poate implementa un astfel de sistem, de ce este nevoie, care sunt limitarile și alternative. Din motive de securitate, nu voi da detalii despre implementarea de la facultate.

În funcție de aplicabilitate, pot exista 2 metode:

1. Privat CA –> Active Directory Certificate Authority. Cu un domain CA poți să îți creezi certificate și să le trimiți pe pc-urile client numai dacă acestea fac parte din domeniu. Situația ideală, o companie care are angajați cu conexiune wired (pc-uri) dar și wireless (laptopuri).

2.  Certificat Public. Se poate realiza cu certificate publice în situația în care nu ai nici o șansă să trimiți un certificat emis de un local CA pe mașina client. În această situație se încadrează și FEAA, când toți clienții (prin client mă refer la toate persoanele autorizate să se conecteze wireless), au conturi în sistem, dar folosesc laptopuri personale.

1. Privat CA

Pentru a implementa securitatea pe Radius cu un PKI este nevoie de:

  • Active Directory Domain Services & Group Policy
  • Certificate Authority (CA)
  • Network Policy Server (NPS)
  • Access Point (AP) sau Router care sa cunoasca protocolul Radius. Trebuie configurate cu Ip static.

O imagine de ansamblu arată ca în imaginea de mai jos.

RADIUS

Crearea Certificatului pentru Autoenrollment.

Setările din Group Policy:

Setările în Network Policy Server (NPS):

Configurare Access Point:

Access_Point

Pagina de autentificare după ce s-au făcut toate setările de mai sus.

Connect_radius

Imaginea de mai jos prezintă cum se realizează o Autentificare, Autorizare.

RADIUS2

––––––––––––––––––––––––––––––––––––––––––––––––––––-

==========================================================================================

––––––––––––––––––––––––––––––––––––––––––––––––––––-

2. Certificat Public

  • Active Directory Domain Services & Group Policy
  • Un certificat Public, emis de o autoritate recunoscuta, gen Verisign. Certificatul trebuie sa fie pentru Computer Autentication & Client Autentication.
  • Network Policy Server (NPS)
  • Access Point (AP) sau Router care sa cunoasca protocolul Radius. Trebuie configurate cu Ip static.

Imaginea de ansamblu nu mai include și Certificate Authority.

RADIUS3

Setările din Group Policy:

Setările în Network Policy Server (NPS). Se instalează certificatul în prealabil.

Configurare Access Point:

Access_Point

Pagina de autentificare după ce s-au făcut toate setările de mai sus.

Connect_radius

Imaginea de mai jos prezintă cum se realizează o Autentificare, Autorizare în situația în care se folosește un certificat public.

RADIUS4

Întrebări?????????

12 Responses to Implementare protocol Radius pe Infrastructură Wireless

  1. Mugurel spune:

    Ce NU a mers?

    • Daca voiai sa spui: Ce nu a mers de a durat atat? :-p Noi am mers pe prima varianta, cea cu certificatele si autoenrollment, dar in documentatie scris de 9, zicea ca este imposibil sa faci autoenrollment pe un PC care nu este al tau (adica nu face parte din domeniu). :-d Daca cineva se gandeste la ceva de genul, „vai, dar de ce nu ati citit toata documentatia”, il informez ca nu exista documentatie special pentru cazul FEAA, doar niste blog-uri de specialitate, care au oferit cateva articole la fel de detaliate ca si mine (adica intelese doar de ei). :-d Daca alta era intrebarea, te rog detaliaza un pic.

      • Cred ca un raspuns l-am dat eu cu toate cele 3 puncte de discutat… toate au legatura intre ele. Schemele de mai sus sunt excelente… o teorie pusa in practica… dar practica ne-a aratat o groaza de hibe/probleme: si de la noi (ce am gasit o sa trebuiasca sa le documentam), si de la echipamente (sa nu uitam ca s-a facut cu echipamentele existente, unde 2/3 accepta RADIUS), si de la „clienti” (conectarea automata pe mobile, folosirea certificatelor pe Mac/Linux, este sau nu o retea academica? – aplicarea profilelor de securitate)… Oricum: la pomul laudat sa nu te duci cu sacul…

  2. frumos, frumos… dar ca orice solutie „la cheie” pentru mine au ramas trei elemente despre care ar trebui scris
    1. problemele de infrastructura: distante, echipamente diverse, securitate si securizare
    2. device-uri conectate: laptopuri, tablete, mobile, etc. – mai ales conectarea de tip automat, timpul de conectare, sisteme de operare si aplicarea profilurilor de securitate
    3. Implementare IPv6
    asa ca asteptam urmarea…🙂

    • Intradevar ar mai trebui scris, dar nu putem pune pe blog elemente de securitate, distanta dintre echipamente, securitate si securitate. Nu de alta dar ajutam tinerii talentati.
      Dupa cum stii/ stim, deocamdata radius-ul NU functioneaza pentru mobile/tablete. Aici trebuie investigat cum se poate face.
      Legat de conectarea de tip automat: Am auzit cateva zvonuri, cum ca radius-ul merge, dar merge aiurea (adica nu tot timpul le cere credentiale). Pe aceasta cale vreau sa anunt ca nu merge aiurea, este doar un check undeva prin settings „Fast Reconnect” si cred ca ar trebui sa o scoatem, sa bage de fiecare data user si parola, cu ocazia asta isi invata si matricolul🙂. Despre timpul de conectare, sisteme de operare si aplicarea profilurilor de securitate cred ca va scrie domnul Wasea in lucrarea de disertatie.
      Implementarea IPv6 imi face cu ochiul, si nici nu cred ca este foarte greu de implementat, mai ales pe zona de wireless. O am pe lista, dar din pacate din cauza timpului cu low priority.

  3. wasea spune:

    Ionut, nu trebuie sa scrii tot aici. O sa scriu eu mai documentat in DISERTATIE. Daca scrii aici , o sa am probleme cu copyright-ul.
    @matran – Inca mai este de lucru la reteaua asta. Problemele le vom rezolva in timp, pentru ca atat eu cat si Ionut suntem cam ocupati.

    • 🙂 mă bucur să aud asta „Inca mai este de lucru la reteaua asta”, nu de alta dar m-ați „speriat” când ați venit prima dată – mă gândeam că nu o să pot să fac față termenelor :)).
      Stai liniștit la cât mai e de lucru o să ai destule de scris… timp să fie…

      • Eu sunt foarte sigur pe mine de obicei, si daca era mai mult timp de investigat, si nu o luam de la inceput intr-o directie gresita, era gata de mult. Si a fost dus la bun sfarsit numai din ambitie si orgoliu.

    • Ba nu, o sa ai, pentru ca o sa descrii cum ai inteles tu, si eventual sa adaugi si a 3 varianta care o luasem in calcul – Web Enrollment. Se poate dezvolta foarte mult pe acest subiect, chiar si la setari se mai poate face fine-tuning. Si poate faci si al 3-lea A din definitia radius-ului🙂

      • Tare asta…

  4. wasea spune:

    Ionut, nu ai treaba?…:))

    • ai dreptate… se pare ca am ajuns sa folosim blogul lui ca pe chat… la munca tovarasi…

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: