Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

CSATTT nhóm 09 giao thức xác thực radius

14 49 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VỀ GIAO THỨC XÁC THỰC RADIUS Sinh viên thực hiện: NGUYỄN HỮU HUÂN AT150223 LÊ QUANG HUY AT150126 TRẦN THỊ ÁNH HỒNG AT150321 Nhóm Giảng viên: VŨ THỊ VÂN Hà Nội, 9-2021 Contents CHƯƠNG 1: LÝ THUYẾT Giới thiệu giao thức Radius 1.1 Khái niệm 1.2 Lịch sử hình thành phát triển Cách thức hoạt động Radius Ưu điểm giao thức Radius Nhược điểm giao thức Radius Ứng dụng giao thức Radius 5.1 Sử dụng Radius Server để xác thực người dùng VPN 5.2 Sử dụng Radius Server để xác thực mạng không dây Cấu hình Radius Server 6.1 Cài đặt Radius Server 6.2 Cấu hình Radius Server 10 CHƯƠNG 2: THỰC NGHIỆM 12 TÀI LIỆU THAM KHẢO 13 CHƯƠNG 1: Giới thiệu giao thức Radius 1.1 Khái niệm LÝ THUYẾT - Radius từ viết tắt Remote Authentication Dial In User Service Đây là giao thức mạng cung cấp quản lý xác thực tập trung (Authentication), phân quyền (Authorization) tính cước (Accounting) cho người dùng kết nối từ xa sử dụng dịch vụ mạng - Giao thức Radius hoạt động theo mơ hình client – server chạy tầng ứng dụng, Radius client chạy Network Access Server (NAS – máy chủ truy cập mạng) nằm tồn mạng chuyển thơng tin người dùng cần xác thực lên server Còn Radius server tiến trình hoạt động tảng máy chủ UNIX Windows nơi lưu trữ tập trung tất thông tin chứng thực người dùng thông tin trao đổi bên mã hóa 1.2 Lịch sử hình thành phát triển - Giao thức Radius định nghĩa RFC 2058 vào tháng năm 1997 Cũng năm 1997, Radius Accounting giới thiệu RFC 2059 Vào tháng năm 1997 nhiều RFC thay RFC 2138 RFC 2139 - Vào tháng năm 2000 RFC 2865 chuẩn hóa Radius thay cho RFC 2138, RFC 2866 Accounting thay cho RFC 2139 - Hiện nay, xác thực ủy quyền Radius định nghĩa RFC 2865 tính cước định nghĩa RFC 2866 Cách thức hoạt động Radius - Khi client (máy tính người dùng) gửi thơng tin đăng nhập để truy cập vào tài nguyên mạng đến máy chủ truy cập mạng (NAS) Thông tin đăng nhập chuyển đến thiết bị NAS thông qua giao thức link – layer (ví dụ: giao thức điểm – điểm P2P trường hợp nhiều nhà cung cấp dịch vụ quay số DSL đăng form web bảo mật HTTPS) - Sau đó, NAS gửi thơng báo u cầu truy cập (Radius Access Request Message) đến máy chủ RADIUS, yêu cầu ủy quyền cấp quyền truy cập thông qua giao thức Radius Kết nối NAS máy chủ RADIUS mã hóa chuỗi mật (shared secret) định sẵn đầu Yêu cầu bao gồm thông tin đăng nhập, thường dạng tên người dùng mật chứng bảo mật (certificate) người dùng cung cấp Ngoài ra, yêu cầu chứa thơng tin khác mà NAS biết người dùng (ví dụ: địa IP, MAC số điện thoại thơng tin liên quan đến vị trí vật lý người dùng với NAS) - Máy chủ RADIUS kiểm tra thơng tin có xác khơng cách sử dụng phương thức xác thực PAP, CHAP EAP Thông tin nhận dạng người dùng xác minh, gồm thơng tin khác yêu cầu khác, chẳng hạn địa mạng số điện thoại, trạng thái tài khoản quyền truy cập dịch vụ mạng cụ thể Trước kia, máy chủ RADIUS kiểm tra thông tin người dùng sở liệu cục Các máy chủ RADIUS thực việc cách truy vấn nguồn khác máy chủ SQL, Kerberos, LDAP Active Directory để xác minh thơng tin đăng nhập người dùng - Sau đó, máy chủ RADIUS trả ba phản hồi cho NAS:  Từ chối truy cập (Access Reject) : Người dùng bị từ chối truy cập vào tất tài nguyên mạng Lý bao gồm việc không cung cấp chứng nhận tài khoản người dùng khơng xác định khơng hoạt động, bị khóa, v.v  Yêu cầu gửi thêm thông tin truy cập (Access Challenge) : Yêu cầu thông tin bổ sung từ người dùng mật phụ, mã PIN, mã thông báo thẻ Access Challenge sử dụng hộp thoại xác thực phức tạp hơn, đường hầm (tunnel) bảo mật thiết lập máy người dùng máy chủ RADIUS để giấu thông tin đăng nhập khỏi NAS  Chấp nhận truy cập (Access Accept) : Người dùng cấp quyền truy cập Khi người dùng xác thực, máy chủ RADIUS thường kiểm tra xem người dùng có phép sử dụng dịch vụ mạng yêu cầu hay không Chẳng hạn người dùng phép sử dụng mạng không dây, không sử dụng VPN cơng ty Thơng tin lưu trữ cục máy chủ RADIUS truy vấn nguồn bên LDAP Active Directory Mỗi số ba phản hồi RADIUS bao gồm thêm thuộc tính phản hồi (Reply-Message Attribute) Máy chủ RADIUS phản hồi lý từ chối, thông báo yêu cầu thêm thông tin, thông báo chào mừng cho việc chấp nhận.Các thuộc tính ủy quyền chuyển đến NAS, quy định quyền truy cập phép - Khi NAS cấp quyền truy cập mạng cho người dùng, Thơng tin tính cước (gói u cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị "bắt đầu" (Start)) gửi đến máy chủ RADIUS cổng mặc định UDP 1813 để thông báo cho máy chủ RADIUS việc truy cập mạng người dùng bắt đầu Bản ghi "Bắt đầu" thường chứa thông tin nhận dạng người dùng, địa mạng, điểm đính kèm số phiên (session ID) Định kỳ, ghi Cập nhật tạm thời (gói u cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị "cập nhật tạm thời" (interim-update)) gửi NAS đến máy chủ RADIUS, để cập nhật trạng thái phiên hoạt động Các ghi "tạm thời" thường cung cấp thời lượng phiên thông tin việc sử dụng liệu Cuối cùng, chấm dứt quyền truy cập mạng người dùng, NAS phát hành ghi dừng tính cước cuối (gói u cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị "dừng" (Stop)) cho máy chủ RADIUS, cung cấp thông tin cuối thời gian, tổng số gói tin truyền, tổng liệu truyền, lý ngắt kết nối thông tin khác liên quan đến truy cập mạng người dùng Thơng thường, NAS gửi gói u cầu tính cước nhận xác nhận Phản hồi tính cước, NAS gửi lại u cầu không nhận phản hồi từ máy chủ RADIUS (chẳng hạn lỗi kết nối) Mục đích liệu người dùng lập hóa đơn tương ứng; liệu thường sử dụng cho mục đích thống kê giám sát mạng chung Ưu điểm giao thức Radius  Radius dạng giao thức hoàn toàn mở rộng nên người dùng thay đổi để làm việc với hệ thống bảo mật có  Radius có chức tính cước mở rộng, nhờ theo dõi việc sử dụng tài nguyên suốt phiên làm việc  Radius thường dùng để tính cước dựa tài nguyên sử dụng, cài đặt Radius tính cước mà khơng cần sử dụng Radius để xác thực cấp quyền Nhược điểm giao thức Radius  Tốn chi phí sở hạ tầng giao thức kiểm tra chỗ nên Radius đòi hỏi sở hạ tầng đáp ứng yêu cầu nhận dạng chỗ  Giao thức Radius bộc lộ nhiều hạn chế môi trường hybrid-cloud mơi trường đa tảng  Chỉ mã hóa mật gói access – request  Khơng hỗ trợ truy cập ARA, Net Bios Frame Protocol Control Protocol, NASI X.25  Không cho phép người dùng thực thi dòng lệnh thiết bị định tuyến Ứng dụng giao thức Radius  Bản chất giao thức Radius tăng khả kiểm soát độ bảo mật mạng nên Radius ứng dụng rộng rãi để quản lý chứng thực người dùng cách tập trung cho kết nối VPN, WLAN, Với việc tổ chức quản lý người dùng theo Group phân quyền áp dụng sách thích hợp để đáp ứng nhu cầu bảo mật liệu truyền mạng Radius cịn có chức Accounting nhằm kiểm soát người dùng cách chặt chẽ theo dạng file log  Nhờ khả bảo mật cao giao thức Radius nên ngày có nhiều doanh nghiệp tập đoàn lớn sử dụng rộng rãi nhiều quốc gia giới bao gồm Việt Nam, nhằm mục đích đề phịng việc cắp liệu 5.1 Sử dụng Radius Server để xác thực người dùng VPN - Máy chủ IAS chạy máy chủ Windows 2000 xác thực người dùng máy khách VPN Tại đây, tập trung VPN nhận yêu cầu từ Máy khách VPN mạng công cộng, bao gồm tên người dùng mật mã hóa Trước tập trung VPN gửi thông tin đến máy chủ RADIUS mạng riêng, băm thơng tin, sử dụng thuật toán HMAC / MD5 Sau người dùng xác thực thành công máy chủ RADIUS, đường hầm VPN mã hóa thiết lập để máy khách sử dụng Trong tương tác trên, PAP sử dụng làm phương thức xác thực đường hầm VPN sử dụng Bảo mật giao thức Internet (IPSec) thiết lập máy khách VPN tập trung 5.2 Sử dụng Radius Server để xác thực mạng không dây - Hầu hết người sử dụng wireless văn phịng thường hay cấu hình chế độ bảo mật cho access point không dây (hay router không dây) WEP, hay WPA TKIP/AES với “Key” chia chung cho người Tuy nhiên, “Key” WEP WPA TKIP bị hacker bẻ khóa dễ dàng nên thấy việc xác thực “Key” chưa đủ bạn nên hạn chế sử dụng mode cấu hình cho mạng khơng dây doanh nghiệp Hiện tại, hầu hết access point khơng dây có hỗ trợ mode bảo mật khác an toàn WPA RADIUS giúp tăng cường bảo mật cho mạng không dây cần độ an toàn cao Với mode bảo mật này, bạn dùng RADIUS server để xác thực cho user cần đăng nhập vào mạng không dây Nghĩa người muốn sử dụng khơng dây cần phải có username password hợp pháp gia nhập mạng 802.1x chuẩn đặc tả cho việc truy cập dựa cổng (port-based) định nghĩa IEEE Hoạt động mơi trường có dây truyền thống khơng dây Việc điều khiển truy cập thực cách: Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn (blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức sử dụng (MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn - Quá trình chứng thực 802.1x-EAP: Wireless client muốn liên kết với AP mạng  AP chặn lại tất thông tin client client log on vào mạng, Client yêu cầu liên kết tới AP  AP đáp lại yêu cầu liên kết với yêu cầu nhận dạng EAP  Client gửi đáp lại yêu cầu nhận dạng EAP cho AP  Thông tin đáp lại yêu cầu nhận dạng EAP client chuyển tới Server chứng thực  Server chứng thực gửi yêu cầu cho phép tới AP  AP chuyển yêu cầu cho phép tới client  Client gửi trả lời cấp phép EAP tới AP  AP chuyển trả lời tới Server chứng thực  Server chứng thực gửi thông báo thành công EAP tới AP  AP chuyển thông báo thành công tới client đặt cổng client chế độ forward  AP: Access Point ( điểm truy cập mạng) Cấu hình Radius Server 6.1 Cài đặt Radius Server Giả định ta hoàn tất thiết lập hộp Windows sở kết hợp với tên miền đích Tiếp đến, ta truy cập hệ thống mục tiêu qua RDP Console Một cửa sổ tính ra, ta chọn “Add Roles and Features Wizard” nhấn “Next” lần liên tiếp để xuất hình “Server Roles” Ta click vào hộp “Network Policy and Access Service” cột Roles Trong cửa sổ xuất hiện, ta kiểm tra xem hộp “Role Administration Tools” chọn hay chưa, nhấn nút “Install” Ta nhấn liên tiếp nút “Next” trang “Confirm Installation Selections” xuất nhấn nút “Install” 6.2 Cấu hình Radius Server Bước 1: Thiết lập người dùng Ta tiến hành hạn chế quyền xác thực cho thành viên nhóm theo hướng dẫn sau Truy cập vào hệ thống quản lý AD Domain Controller cho chạy mục “Người dùng Máy tính Thư mục Cá nhân” Di chuyển đến OU chứa nhóm cần hạn chế quyền Chọn mục “Hành động”, chọn tiếp “Mới”, sau nhấn “Nhóm” Tại phần “Tên nhóm”, ta nhập “Người dùng VPN” nhấn “OK” Sau đó, ta nhập mơ tả chọn tab “Thành viên” Cuối cùng, ta tiến hành thêm người dùng Bước 2: Đăng ký giấy phép Với mặc định thơng thường, máy tính bị hạn chế quyền xem tồn thuộc tính dành cho người dùng Vì thế, cần cho phép truy cập vào tất thơng tin thuộc tính thơng qua chế tích hợp Microsoft, gọi “đăng ký” Cách đăng ký giấy phép sau: Ta nhấn vào nút “Star” nhập cmd hộp Run Click phải chuột vào mục “Command Prompt”, chọn tiếp “Run as administrator” click “Yes” để xác nhận độ cao UAC Cuối cùng, ta nhập câu lệnh “netsh nps add registeredserver” để tiến hành đăng ký Bước 3: Cài đặt Khách hàng Để kết nối Radius chấp nhận từ thiết bị đầu cuối, ta phải cấu hình máy Client máy chủ Các thao tác thực hiện: Ta nhấn vào nút “Star” nhập nps.msc hộp Run Tại menu bên trái, click chuột phải vào phần “Radius Clients” chọn “New” Sau đó, ta nhập thông tin tên hiển thị mục “Friendly name”, địa IP mục “Address (IP or DNS)” thiết bị máy chủ Radius xác thực Cuối chọn “OSI Security” cho mục “Shared Secret” Click “OK” Đến đây, Client giao tiếp với Radius thực việc xác thực Tuy nhiên, để người dùng xác thực, ta cần tạo sách liên kết người dùng Bước 4: Chính sách người dùng Các thao tác thực hiện: Tại menu trái, chọn phần “Policy” Click phải chuột vào “Network Policies”, sau chọn “New” Nhập thơng tin tên sách kết nối nhấn “Next” Trong mục “Select Condition”, click chọn “Add” Chọn “User Groups” nhấn “Add…” Trong “User Groups”, ta nhấn “Add” nhập thơng tin nhóm “Người dùng VPN” Click “OK”, tiếp đến nhấn “Next” đảm bảo mục “Access granted” tick chọn nhấn “Next” Chọn “MS-CHAPv2”, “MS-CHAP” nhấn “Next” Ta nhấn “Next” liên tiếp cuối kiểm tra lại lựa chọn click “Finish” để hồn tất Như vậy, ta tùy ý chỉnh sửa thiết bị Client thêm vào hệ thống Windows Radius Server để xác thực CHƯƠNG 2: THỰC NGHIỆM TÀI LIỆU THAM KHẢO Trên chia sẻ Hosting Việt Radius Server cách cấu hình https://gmailwireless.com/giao-thuc-radius-la-gi/ ... Giới thiệu giao thức Radius 1.1 Khái niệm 1.2 Lịch sử hình thành phát triển Cách thức hoạt động Radius Ưu điểm giao thức Radius Nhược điểm giao thức Radius ... Ứng dụng giao thức Radius 5.1 Sử dụng Radius Server để xác thực người dùng VPN 5.2 Sử dụng Radius Server để xác thực mạng không dây Cấu hình Radius Server 6.1 Cài đặt Radius Server...  Radius thường dùng để tính cước dựa tài ngun sử dụng, cài đặt Radius tính cước mà khơng cần sử dụng Radius để xác thực cấp quyền Nhược điểm giao thức Radius  Tốn chi phí sở hạ tầng giao thức

Ngày đăng: 13/10/2021, 08:27

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w