Implementare protocol Radius pe Infrastructură Wireless


RADIUS (engleză Remote Authentication in Dial-In User Service) – protocolul AAA (Authentication, Authorization și Accounting), elaborat pentru transferul datelor între platforma centrală AAA și utilajului de acces Dial-UP (NAS, Network Access Server) și sistemul de billing (sistemului de tarifare pentru a utiliza resursele unui anumit abonat/utilizator).

  • Authentication — proces care permite identificare (unic definit) obiectului după datele sale, spre exemplu, după login (nume de utilizator, numarul de telefon, etc) și o parola.
  • Authorization — proces, de definire a competențelor obiectului de identificare pentru a avea acces la anumite facilități sau servicii.
  • Accounting — proces, care permite culegerea informației (datelor de acreditare) de utilizare a resurselor. Date primare (transmise în mod tradițional prin protocolul RADIUS) sunt valorile de intrare și ieșire a traficului: bytes/pachete (recent, în gigaocteți). Cu toate acestea, protocolul prevede, transmiterea datelor de orice tip, care este realizat prin intermediul VSA (Vendor Specific Attributes).
      Există peste 30 implementări de RADIUS-server, pentru toate varietățile

sistemelor de operare

      și platforme. –>

http://ro.wikipedia.org/wiki/RADIUS

Cu alte cuvinte un protocol care să faciliteze Autentificarea unor useri pe o platforma Wireless.

Recent acest sistem a fost implementat în Facultatea de Economie și Administrarea Afacerilor, unde era foarte necesar un protocol de autentificare și monitorizare a utilizatorilor de pe wireless. Pe scurt studentul / profesorul care are cont în domeniul feaa.uaic.ro poate beneficia de internet wireless dacă își introduce credențialele cu care se autentifică pe pc-urile din laboratoare sau de pe portal.feaa.uaic.ro.

Acest sistem a fost gândit de domnul Valy Greavu, realizat de mine (Ionuț Sinescu) și Vasile Chiriac (aka Wasea) cu suportul domnului Florin Matran.

În rândurile ce urmează voi detalia cum se poate implementa un astfel de sistem, de ce este nevoie, care sunt limitarile și alternative. Din motive de securitate, nu voi da detalii despre implementarea de la facultate.

În funcție de aplicabilitate, pot exista 2 metode:

1. Privat CA –> Active Directory Certificate Authority. Cu un domain CA poți să îți creezi certificate și să le trimiți pe pc-urile client numai dacă acestea fac parte din domeniu. Situația ideală, o companie care are angajați cu conexiune wired (pc-uri) dar și wireless (laptopuri).

2.  Certificat Public. Se poate realiza cu certificate publice în situația în care nu ai nici o șansă să trimiți un certificat emis de un local CA pe mașina client. În această situație se încadrează și FEAA, când toți clienții (prin client mă refer la toate persoanele autorizate să se conecteze wireless), au conturi în sistem, dar folosesc laptopuri personale.

1. Privat CA

Pentru a implementa securitatea pe Radius cu un PKI este nevoie de:

  • Active Directory Domain Services & Group Policy
  • Certificate Authority (CA)
  • Network Policy Server (NPS)
  • Access Point (AP) sau Router care sa cunoasca protocolul Radius. Trebuie configurate cu Ip static.

O imagine de ansamblu arată ca în imaginea de mai jos.

RADIUS

Crearea Certificatului pentru Autoenrollment.

Setările din Group Policy:

Setările în Network Policy Server (NPS):

Configurare Access Point:

Access_Point

Pagina de autentificare după ce s-au făcut toate setările de mai sus.

Connect_radius

Imaginea de mai jos prezintă cum se realizează o Autentificare, Autorizare.

RADIUS2

––––––––––––––––––––––––––––––––––––––––––––––––––––-

==========================================================================================

––––––––––––––––––––––––––––––––––––––––––––––––––––-

2. Certificat Public

  • Active Directory Domain Services & Group Policy
  • Un certificat Public, emis de o autoritate recunoscuta, gen Verisign. Certificatul trebuie sa fie pentru Computer Autentication & Client Autentication.
  • Network Policy Server (NPS)
  • Access Point (AP) sau Router care sa cunoasca protocolul Radius. Trebuie configurate cu Ip static.

Imaginea de ansamblu nu mai include și Certificate Authority.

RADIUS3

Setările din Group Policy:

Setările în Network Policy Server (NPS). Se instalează certificatul în prealabil.

Configurare Access Point:

Access_Point

Pagina de autentificare după ce s-au făcut toate setările de mai sus.

Connect_radius

Imaginea de mai jos prezintă cum se realizează o Autentificare, Autorizare în situația în care se folosește un certificat public.

RADIUS4

Întrebări?????????

Anunțuri