Trong hệ thống này, RADIUS server sẽ xác minh thông tin đăng nhập của người dùng như tên tài khoản và mật khẩu khi họ yêu cầu kết nối tới VPN.. Nếu xác thực thành công, RADIUS sẽ cấp quy
Trang 1KHOA CÔNG NGHỆ THÔNG TIN -
-BÀI TẬP LỚN MÔN HỌC
AN TOÀN HỆ THỐNG THÔNG TIN
Đề tài TÌM HIỂU, XÂY DỰNG HỆ THỐNG XÁC THỰC SỬ DỤNG RADIUS SERVER CHO
VPN
2251052137 Nguyễn Ngọc Tưởng
Giảng viên hướng dẫn: ThS Lưu Quang Phương
Tháng 11 năm 2024
Trang 2MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 3
1 G IỚI THIỆU HỆ THỐNG 3
1.1 T ỔNG QUAN VỀ HỆ THỐNG 3
1.1.1 Khái niệm 3
1.1.2 Cơ chế hoạt động 3
1.1.3 Ứng dụng 4
CHƯƠNG 2: MÔ TẢ HỆ THỐNG VÀ MÔI TRƯỜNG CÀI ĐẶT 4
CHƯƠNG 3: CÀI ĐẶT VÀ CẤU HÌNH 7
SƠ ĐỒ HỆ THỐNG 7 1 C ÀI ĐẶT MÁY D OMAIN 7
2 C ÀI ĐẶT MÁY R ADIUS SERVER : 9
3 C ẤU HÌNH TRÊN MÁY VPN S ERVER ( RADIUS – CLIENT , MÁY NÀY THÔNG QUA RADIUS SERVER CHỨNG THỰC CHO USER YÊU CẦU ĐĂNG NHẬP VÀO HỆ THỐNG 10
4 C ẤU HÌNH TRÊN MÁY VPN S ERVER 2 ( RADIUS – CLIENT , MÁY NÀY THÔNG QUA RADIUS SERVER CHỨNG THỰC CHO USER YÊU CẦU ĐĂNG NHẬP VÀO HỆ THỐNG 16
Trang 3Chương 1: Tổng quan về đề tài
1 Giới thiệu hệ thống
1.1 Tổng quan về hệ thống
1.1.1 Khái niệm
RADIUS (Remote Authentication Dial-In User Service) là một giao thức mạng được sử dụng để cung cấp dịch vụ xác thực, cấp quyền, và ghi log truy cập cho người dùng từ
xa Hệ thống này thường dùng để quản lý truy cập cho các mạng VPN, mạng không dây, hoặc các thiết bị truy cập từ xa RADIUS giúp tăng cường bảo mật và kiểm soát truy cập bằng cách xác minh danh tính của người dùng, đảm bảo rằng chỉ có người dùng được ủy quyền mới có thể truy cập vào mạng
Dịch vụ xác thực bằng RADIUS (Remote Authentication Dial-In User Service) cho VPN (Virtual Private Network) là một giải pháp nhằm đảm bảo rằng chỉ có những người dùng hợp lệ mới có thể truy cập vào mạng riêng ảo RADIUS server thực hiện quá trình xác thực, cấp quyền truy cập và kiểm tra thông tin của người dùng khi họ kết nối VPN, giúp nâng cao bảo mật và quản lý người dùng một cách hiệu quả
Trong hệ thống này, RADIUS server sẽ xác minh thông tin đăng nhập của người dùng (như tên tài khoản và mật khẩu) khi họ yêu cầu kết nối tới VPN Nếu xác thực thành công, RADIUS sẽ cấp quyền truy cập và các chính sách kết nối phù hợp, đảm bảo người dùng chỉ có quyền truy cập vào các tài nguyên nhất định trong mạng VPN theo đúng quyền hạn của mình
1.1.2 Cơ chế hoạt động
Hệ thống RADIUS hoạt động dựa trên ba bước chính:
Xác thực (Authentication): Khi người dùng cố gắng truy cập vào mạng VPN, họ sẽ gửi thông tin đăng nhập (thường là tên người dùng và mật khẩu) đến thiết bị VPN (như firewall hoặc router) Thiết bị này sẽ chuyển yêu cầu đến RADIUS server RADIUS server xác minh thông tin người dùng trong cơ sở dữ liệu nội bộ hoặc từ nguồn bên ngoài (ví dụ: Active Directory, LDAP) Nếu thông tin chính xác, người dùng sẽ được xác thực thành công
Cấp quyền (Authorization): Sau khi xác thực thành công, RADIUS server sẽ kiểm tra và áp dụng các chính sách truy cập cho người dùng dựa trên quyền hạn được cấp Các chính sách này có thể giới hạn quyền truy cập vào các tài nguyên nhất định hoặc áp dụng các quy tắc bảo mật cụ thể
Ghi log và kế toán (Accounting): RADIUS server lưu lại log thông tin về thời gian,
vị trí truy cập, và các hoạt động của người dùng trên mạng Điều này giúp quản trị viên dễ dàng theo dõi, phân tích và xử lý các vấn đề bảo mật khi cần
Trang 41.1.3 Ứng dụng
RADIUS được sử dụng rộng rãi trong các hệ thống VPN, cụ thể là:
Mạng công ty: RADIUS thường được dùng để bảo mật kết nối VPN trong các tổ chức và doanh nghiệp, đảm bảo chỉ có nhân viên hoặc người dùng hợp lệ mới có quyền truy cập tài nguyên nội bộ của công ty
Mạng không dây doanh nghiệp: Với hệ thống mạng không dây lớn, RADIUS cho phép doanh nghiệp quản lý xác thực truy cập của nhiều người dùng mà không cần phải cấu hình riêng trên từng thiết bị truy cập
VPN dành cho khách hàng: Các nhà cung cấp dịch vụ (ISP) có thể triển khai RADIUS để quản lý truy cập VPN cho khách hàng, đảm bảo mỗi khách hàng chỉ truy cập vào những tài nguyên mà họ được phép
Quản lý truy cập từ xa: Trong các hệ thống lớn, nơi có nhiều người dùng từ xa cần truy cập vào mạng, RADIUS giúp quản lý danh tính và quyền truy cập, giúp kiểm soát truy cập an toàn và hiệu quả
Chương 2: Mô tả hệ thống và môi trường cài đặt
1 Mô tả Hệ thống RADIUS cho VPN
Các thành phần chính của hệ thống:
RADIUS Server: Là máy chủ xử lý xác thực và cấp quyền truy cập Server này kết nối với cơ
sở dữ liệu người dùng để xác minh thông tin đăng nhập và lưu trữ log truy cập
VPN Gateway/Firewall: Thiết bị đóng vai trò trung gian giữa người dùng và mạng nội bộ, giúp mã hóa kết nối và truyền tải dữ liệu an toàn Thiết bị này nhận yêu cầu truy cập từ người dùng và gửi đến RADIUS server để xác thực
Cơ sở dữ liệu người dùng: Có thể là cơ sở dữ liệu nội bộ của RADIUS hoặc các dịch vụ quản
lý danh tính khác như LDAP (Lightweight Directory Access Protocol) hoặc Active
Directory Cơ sở dữ liệu này lưu trữ thông tin xác thực của người dùng (tên, mật khẩu, chính sách truy cập)
Người dùng từ xa: Người dùng ở ngoài mạng nội bộ, thường là nhân viên cần kết nối vào VPN để truy cập tài nguyên của công ty hoặc tổ chức từ xa
Trang 52 Môi trường Cài đặt Hệ thống RADIUS cho VPN
Để cài đặt hệ thống RADIUS cho VPN, cần chuẩn bị môi trường phần cứng và phần mềm phù hợp như sau:
Phần cứng:
Máy chủ RADIUS: Máy chủ chạy RADIUS server có thể là một server vật lý hoặc máy ảo,
có cấu hình trung bình đến cao tùy thuộc vào số lượng người dùng
Thiết bị VPN Gateway/Firewall: Thiết bị này có thể là một firewall chuyên dụng, router hỗ trợ VPN, hoặc phần mềm VPN như OpenVPN, pfSense (có tích hợp RADIUS)
Phần mềm và Hệ điều hành:
Hệ điều hành máy chủ: Máy chủ RADIUS thường chạy trên các hệ điều hành Linux như Ubuntu, CentOS, hoặc trên Windows Server
Phần mềm RADIUS: Phần mềm RADIUS phổ biến gồm FreeRADIUS (miễn phí, mã nguồn
mở trên Linux), Microsoft NPS (Network Policy Server - Windows), hoặc Cisco ACS
(Access Control Server)
Phần mềm VPN: Có thể sử dụng các phần mềm VPN mã nguồn mở như OpenVPN, hoặc các giải pháp thương mại như Cisco AnyConnect, FortiGate, hay Check Point, tùy theo nhu cầu
và ngân sách
Mạng và Cấu hình:
Mạng cục bộ (LAN): Cần có kết nối mạng cục bộ giữa RADIUS server và VPN Gateway để truyền tải các yêu cầu xác thực
IP tĩnh: RADIUS server nên có địa chỉ IP tĩnh để đảm bảo tính ổn định và truy cập dễ dàng
từ các thiết bị cần xác thực
Cổng giao tiếp: RADIUS server thường giao tiếp qua cổng UDP 1812 (cho xác thực) và
1813 (cho kế toán) Cần mở các cổng này trên firewall để các yêu cầu xác thực và ghi log có thể lưu thông bình thường
Cấu hình Bổ sung:
Tích hợp LDAP/Active Directory (tùy chọn): Nếu hệ thống đã có sẵn Active Directory hoặc LDAP, nên cấu hình để RADIUS truy vấn và xác thực thông tin từ các nguồn này, giúp đồng
bộ danh sách người dùng và chính sách truy cập
Chứng chỉ SSL/TLS: Để bảo mật dữ liệu truyền tải giữa người dùng và VPN server, nên cài đặt chứng chỉ SSL/TLS cho VPN Điều này cũng bảo vệ thông tin xác thực khi được gửi tới RADIUS server
Trang 63 Quá trình Cài đặt Tổng quát
Cài đặt RADIUS Server: Cài đặt FreeRADIUS hoặc NPS và cấu hình cơ bản trên máy chủ Tích hợp VPN Gateway: Thiết lập VPN Gateway để sử dụng RADIUS làm nguồn xác thực Cấu hình thiết bị hoặc phần mềm VPN để gửi yêu cầu xác thực tới RADIUS server
Cấu hình cơ sở dữ liệu người dùng: Kết nối RADIUS với cơ sở dữ liệu người dùng (Active Directory, LDAP, hoặc database nội bộ) để lấy thông tin đăng nhập
Trang 7Chương 3: Cài đặt và cấu hình
SƠ ĐỒ HỆ THỐNG
1 Cài đặt máy Domain
Mk:Abc123
https://drive.google.com/file/d/1UoshqanSSlvQz9eljfCNJI2Z0u25k4pt/view?usp=sharing 1.1 Cài ip và cấu hình tên máy
1.2 Cài đặt các dịch vụ
1.2.1 Active Directory Domain Services
Cấu hình các user và cho vào nhóm vpn
Trang 8Cấu hình user có quyền truy cập từ xa
1.2.2 Cài DHCP
Thiết lập DHCP khi có người dùng đăng nhập vào hệ thống qua VPN DHCP sẽ cấp IP người dùng qua DHCP relay agent
Trang 92 Cài đặt máy Radius server:
https://drive.google.com/file/d/1ECcaMAFgZd4GPrk3OAwh8c4VynDYFCCH/view? usp=sharing
2.1 Cài đặt IP, Thêm vào DOMAIN
2.2 Cài đặt dịch vụ Network Policy and Access Services (Installed)
2.2.1 Thêm các RADIUS – Client
Trang 102.2.2 Thêm chính sách xác thực (xác thực nhóm vpn trong domain có quyền truy cập từ xa)
3 Cấu hình trên máy VPN Server ( RADIUS – client, máy này thông qua RADIUS server chứng thực cho user yêu cầu đăng nhập vào hệ thống
https://drive.google.com/file/d/1pJwIcpsDM-CGHaOuMx-veIHsRBOBsgCb/view?
usp=drive_link
3.1 Cài đặt IP, đăng nhập vào domain
Trang 113.2 Cài routing and remote access
3.2.1 Cài đặt Remote Acess (dial-up or VPN)
3.2.2 Cài DHCP relay Agent
Trang 123.3 Network Load Balancing (phần này yêu cầu có them VPN2 để cân bằng tài VPN server) 3.3.1 Cài đặt công cụ
- Với Win Server2019 có thể cài đặt trong Server manager
- Với Win Server2016:
Mở powel shell và chạy lệnh: InstallWindowsFeature Name NLB
-IncludeManagementTools
Hệ thống sẽ cài đặt và cả công cụ cho bạn
Trang 133.3.2 Cấu hinh NLB (Phải có thêm một máy VPN Server)
Thêm IP 2 máy vào cấu hình ở phần New Cluster
Trang 14Thêm địa chỉ IP (Thiết lập một địa chỉ IP ảo cho NLB Cluster)
Chú ý các options khi cài đặt:
1 Chế độ Unicast
Ưu điểm: Dễ cấu hình, thường không yêu cầu cấu hình đặc biệt trên các thiết bị mạng
Trang 15Nhược điểm: Unicast có thể gây ra vấn đề với các mạng phức tạp, vì nó thay đổi địa chỉ MAC của NLB Cluster, dẫn đến việc mỗi VPN Server sẽ không thể giao tiếp trực tiếp với nhau (do cả hai máy chia sẻ cùng một địa chỉ MAC) Điều này có thể gây ra vấn đề với việc quản lý mạng và hiệu suất trên một số hệ thống
Khi nào nên sử dụng: Chế độ này phù hợp với các môi trường mạng đơn giản hoặc khi không
có nhiều cấu hình phức tạp trên thiết bị mạng
2 Chế độ Multicast
Ưu điểm: Cho phép mỗi VPN Server duy trì địa chỉ MAC riêng biệt, giúp cải thiện khả năng giao tiếp trực tiếp giữa các máy chủ trong Cluster và giảm tải trên thiết bị mạng
Nhược điểm: Yêu cầu thiết bị mạng (router/switch) hỗ trợ Multicast và có thể cần cấu hình thêm trên switch để xử lý địa chỉ MAC Multicast
Khi nào nên sử dụng: Nếu thiết bị mạng của bạn hỗ trợ và bạn có một hệ thống mạng phức tạp, Multicast là lựa chọn tốt hơn vì nó tối ưu hóa hiệu suất và giúp tránh xung đột về địa chỉ MAC
Sau khi hoàn thành chờ một khoảng thời gian để 2 máy kết nối với nhau (5 – 10 phút)
Trang 164 Cấu hình trên máy VPN Server 2 ( RADIUS – client, máy này thông qua RADIUS server chứng thực cho user yêu cầu đăng nhập vào hệ thống
https://drive.google.com/file/d/1SPEvr4Pfkvytrt6Bpd5QhgAtPP-RQKOA/view?usp=sharing 4.1 Cài đặt IP, đăng nhập vào domain
4.2 Cài routing and remote access
4.2.1 Cài đặt Remote Acess (dial-up or VPN)
Trang 174.2.2 Cài DHCP relay Agent
4.3 Network Load Balancing
4.3.1 Cài đặt công cụ
- Với Win Server2019 có thể cài đặt trong Server manager
- Với Win Server2016:
Mở powel shell và chạy lệnh: InstallWindowsFeature Name NLB
-IncludeManagementTools
Trang 18Hệ thống sẽ cài đặt và cả công cụ cho bạn
Trên máy 2 không cần cấu hình Loadbalancing 2 máy sẽ tự kết nối với nhau Tải công cụ này dùng để quản lý