+7 (977) 422-05-25
пн-пт с 10.00 до 18.00

Корзина пуста

Все системы безопасности в одном центре
Продажа Доставка по России Монтаж Обслуживание
Поиск по каталогу

EAP-аутентификация беспроводных пользователей с RADIUS-сервером

В этой статье содержится пример конфигурации аутентификации EAP (протокол расширенной аутентификации) беспроводных пользователей в локальной базе данных сервера RADIUS на точке доступа, работающей под управлением Cisco IOS®.

Благодаря пассивной роли, которую играет точка доступа в EAP (она преобразует беспроводные пакеты клиентов в пакеты, передающиеся по проводам, и направляет их на сервер аутентификации, и наоборот), данная конфигурация используется практически со всеми методами EAP. Эти методы включают (но не ограничиваются) LEAP, защищенный EAP (PEAP)-MS-протокол взаимной аутентификации (CHAP) версии 2, PEAP-плата Generic Token (GTC), гибкая аутентификация EAP через безопасный туннель (FAST), EAP-протокол безопасности транспортного уровня (TLS) и EAP-Tunneled TLS (TTLS). Необходимо соответствующим образом настроить сервер аутентификации для каждого из методов EAP. Данная статья содержит только сведения по настройке точки доступа.

Требования

При проведении настройки могут понадобиться следующие знания:

  • Общее представление о Cisco IOS GUI или CLI.
  • Общее представление о концепции аутентификации EAP.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующего программного и аппаратного обеспечения:

  • Точка доступа Cisco Aironet, работающая под управлением Cisco IOS.
  • Виртуальная LAN (VLAN), предположим, что в сети она только одна.
  • RADIUS сервер аутентификации, успешно выполняющий интеграцию в базу данных пользователя.
    • Cisco LEAP и EAP-FAST поддерживают следующие серверы аутентификации:
      • Сервер контроля доступа (ACS) Cisco Secure
      • Регистратор доступа Cisco (CAR)
      • Funk Steel Belted RADIUS
      • Interlink Merit
    • Microsoft PEAP-MS-CHAP версии 2 и PEAP-GTC поддерживают следующие серверы аутентификации:
      • Microsoft Internet Authentication Service (IAS)
      • Cisco Secure ACS
      • Funk Steel Belted RADIUS
      • Interlink Merit
      • Авторизацию могут выполнять любые другие серверы аутентификации Microsoft.
    Примечание: GTC или единоразовое введение пароля требуют подключения дополнительных служб, в свою очередь требующих наличия на стороне клиента и на стороне сервера дополнительного программного обеспечения, а также наличия аппаратного или программного генератора маркеров.
    • Необходимо проконсультироваться с производителем оборудования, установленного у клиента, чтобы уточнить при каких условиях сервера аутентификации, работающие по методам EAP-TLS, EAP-TTLS и другим EAP-методам, поддерживаются их продуктами.

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

Настройка

Данная конфигурация предполагает настройку EAP-аутентификации на точке доступа, работающей под управлением IOS.

Как большинство алгоритмов аутентификации, основанных на применении пароля, Cisco LEAP чувствителен к словарным атакам. Речь не идет о новом виде атаки или новом уязвимом месте Cisco LEAP. Для того, чтобы смягчить словарные атаки, необходимо разработать политику стойкого пароля. Это включает в себя использование устойчивых паролей и периодическую их смену.

Сетевой EAP или открытая аутентификация с EAP

При любом методе аутентификации, основанном на EAP/802.1x, может возникнуть вопрос о том каковы различия между сетевым EAP и открытой аутентификацией с EAP. Это относится к значениям в поле Authentication Algorithm в заголовках пакетов управления и связывания. Большинство производителей беспроводных клиентских устройств устанавливают значение этого поля равным 0 (открытая аутентификация), а затем сообщают о желании проводить аутентификацию EAP позднее, во время процесса ассоциации. В продуктах Cisco это значение задается по-другому, а именно с начала ассоциации с флагом сетевого протокола EAP.

Если в сети есть клиенты, которые являются:

  • Клиентами Cisco – необходимо использовать сетевой EAP.
  • Клиентами стороннего производителя (в том числе продукты, совместимые с CCX) – необходимо использовать открытую аутентификацию с EAP.
  • Сочетанием клиентских устройств Cisco и сторонних производителей – необходимо выбрать и сетевой EAP и открытую аутентификацию с EAP.

Определение сервера аутентификации

Первым шагом в настройке EAP является определение сервера аутентификации и установление связи с ним.

1. На закладке точки доступа Server Manager (пункт меню Security > Server Manager), необходимо выполнить следующие действия:
  1. Ввести IP адрес сервера аутентификации в поле Server.
  2. Указать общий секретный ключ и порты.
  3. Нажать Apply для того, чтобы создать определение и заполнить выпадающие списки.
  4. Задать IP адрес сервера в поле Default Server Priorities > EAP Authentication type > Priority 1.
  5. Нажать Apply.

Также можно выполнить из CLI следующие команды:
AP#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

AP(config)#aaa group server radius rad_eap

AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646

AP(config-sg-radius)#exit

AP(config)#aaa new-model

AP(config)#aaa authentication login eap_methods group rad_eap

AP(config)#radius-server host 10.0.0.3 auth-port 1645
acct-port 1646 key labap1200ip102

AP(config)#end

AP#write memory

2. Точка доступа должна быть настроена на сервере аутентификации как ААА клиент.

Например, на сервере контроля доступа Cisco Secure это настраивается на странице Network Configuration, на которой определены имя точки доступа, IP адрес, общий секретный пароль и метод аутентификации (RADIUS Cisco Aironet или RADIUS Cisco IOS/PIX). Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, обратитесь к документации их производителя.

Необходимо убедиться в том, что сервер аутентификации настроен на применение желаемого метода аутентификации EAP. Например, для сервера контроля доступа Cisco Secure, применяющего LEAP, необходимо настроить аутентификацию LEAP на странице System Configuration - Global Authentication Setup. Нажать System Configuration, затем нажать Global Authentication Setup. Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, или другим методам EAP обратитесь к документации их производителя.

На следующем рисунке показана настройка ACS Cisco Secure на применение PEAP, EAP-FAST, EAP-TLS, LEAP и EAP-MD5.


Определение методов аутентификации клиента

Как только точка доступа определит, куда необходимо отправить запрос на аутентификацию клиента, ее необходимо настроить на применение следующих методов.

Примечание: Эти инструкции предназначены для установки, основанной на WEP.

1. На закладке точки доступа Encryption Manager (пункт меню Security > Encryption Manager) необходимо выполнить следующие действия:

  1. Указать использование WEP encryption.
  2. Указать, что использование WEP является обязательным Mandatory.
  3. Убедиться в том, что для размера ключа установлено значение 128-bits.
  4. Нажать Apply.


Также можно выполнить из CLI следующие команды:

AP#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#encryption mode wep mandatory

AP(config-if)#end

AP#write memory

2. Выполнить следующие действия на закладке точки доступа SSID Manager (пункт меню Security > SSID Manager):

  1. Выбрать желаемый SSID.
  2. В пункте "Authentication Methods Accepted," установить флажок Open и использовав выпадающий список выбрать With EAP.
  3. Установить флажок Network-EAP при наличии клиентской карты Cisco.
  4. Нажать Apply.

Также можно выполнить из CLI следующие команды:

AP#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory

Как только правильная работа основной функциональной возможности с основной настройкой EAP будет подтверждена, можно будет добавить дополнительные функциональные возможности и управление ключами. Расположите более сложные функции на вершине функциональной базы для того, чтобы сделать поиск и устранение неисправностей легче.

Проверка

В данном разделе содержатся сведения, которые могут быть использованы при проверке работы конфигурации.

Некоторые команды show поддерживаются инструментом Output Interpreter Tool (только для зарегистрированных пользователей), который позволяет просмотреть анализ выходных данных команды show.
    • show radius server-group all – Выводит список всех настроенных групп RADIUS-серверов на точке доступа.

Поиск и устранение неисправностей

Процедура поиска и устранения неисправностей

Для того, чтобы осуществить поиск и устранение неисправностей в своей конфигурации, необходимо выполнить следующие действия.

  1. В утилите на стороне клиента или в программном обеспечении необходимо создать новый профиль или соединение с теми же или похожими параметрами для того, чтобы убедиться в том, что в настройках клиента ничего не было повреждено.

  2. Для того, чтобы исключить возможность влияния радиочастотных помех на успешную аутентификацию, необходимо временно отключить аутентификацию при помощи показанных ниже действий:
    • Из CLI выполнить команды no authentication open eap eap_methods, no authentication network-eap eap_methods и authentication open.
    • Из GUI на странице SSID Manager необходимо снять флажок Network-EAP, установить флажок Open и установить выпадающий список обратно в No Addition.
    Если клиент будет успешно сопоставлен, то радиочастота не вызовет проблем сопоставления.
  3. Необходимо убедиться в том, что общие секретные пароли синхронизированы между точкой доступа и сервером аутентификации.
    • Из CLI выбрать строку radius-server host x.x.x.x auth-port x acct-port x key <shared_secret>.
    • Из GUI на странице Server Manager повторно ввести общий секретный ключ для соответствующего сервера в поле "Shared Secret."
    Общая секретная запись для точки доступа на RADIUS сервере должна содержать тот же общий секретный пароль, который упоминался ранее.
  4. Удалите все группы пользователей с сервера RADIUS. Иногда могут возникать конфликты между группами пользователей, определенными RADIUS-сервером, и группами пользователей на базовом домене. Проверьте записи журнала сервера RADIUS на предмет неудачных попыток и причин, по которым эти попытки были неудачными.

Команды поиска и устранения неисправностей

Некоторые команды show поддерживаются средством Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет просматривать результаты выполнения команды show.

Раздел Отладка аутентификации содержит значительное количество подробностей того, как можно собрать и интерпретировать выходные данные команд отладки, связанных с EAP.

Примечание: Перед тем, как выполнять команды debug, необходимо ознакомиться с разделом Важная информация о командах отладки.

  • debug dot11 aaa authenticator state-machine – Выводит основные разделы (или состояния) согласования между клиентом и сервером аутентификации.
    Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды debug является следующим debug dot11 aaa dot1x state-machine.
  • debug dot11 aaa authenticator process – Выводит единичные записи диалогов согласования между клиентом и сервером аутентификации.
    Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды отладки следующий debug dot11 aaa dot1x process.
  • debug radius authentication – Выводит согласования RADIUS между сервером и клиентом, связанными мостом с точкой доступа.
  • debug aaa authentication – Выводит согласования ААА для аутентификации между клиентским устройством и сервером аутентификации.

Есть вопросы?
Обращайтесь в "Аквилон-А", чтобы узнать подробности и получить именно то, что вам требуется.

Чтобы связаться с нашими менеджерами, Вы можете:
сделать заказ, задать любой вопрос
позвонить по телефону 977 422-05-25 (многоканальный)