# Lab5 ## Tematy na wejściówkę * **Podstawowa składnia i przeznaczenie plików konfiguracyjnych serwera FreeRADIUS.** * **Składnia** * **Pliki konfiguracyjne** * **clients.conf** Zawiera adresy wszystkich klientów (punktów dostępowych lub innych serwerów RADIUS) z którymi nasz serwer będzie wymieniał informacje. Sekcje w pliku: ``` client <hostname|ip-address|ip-network> { secret = <wartość> shortname = <wartość> <opcja> = <wartość> } ``` gdzie `secret` to hasło do zabezpieczenia komunikacji pomiędzy klientem i serwerem RADIUS. `shortname` to dowolna umowna nazwa klienta **WAŻNE** - to **nie** ma związku z klientami, które chcą się łączyć z daną siecią. * **users** Jedna z baz użytkowników, którymi może wpółpracować serwer FreeRADIUS. Wpisy składaja się z nazwy użytkownika, listy parametrów pozwalających na jego uwierzytelnienie lub polecenie jego bezwarunkowego dopuszczenia/odrzycenia. W dalszych liniach (po tabie) występują opcje. Przykład: ``` user1 Auth-Type := Accept "user 2" Cleartext-Password := "password" Framed-Protocol = PPP, Frames-Compression = Van-JacobsenTCP-IP ``` Serwer porównuje nazwę użytkownika w pliku do tej, przesłanej przez klienta. Potem leci dalej, jeśli są jeszcze jakieś linie. * **radiusd.conf** **Nieważne.** Daje dosyć duże możliwości konfiguracji sposobu pracy serwera. * **eap.conf** odpowiada za ustawienia protokołu EAP (_you don't say_). Umożliwia użycie jednego z wielu mechanizmów uwierzytelniających oraz przesłanie kluczy szyfrujących. Zawiera sekcję główną `eap`. W tej sekcji można konfigurować działanie protokołu. Przykład: ``` eap{ tls{...} //tunel TLS peap{...} //dodanie prot. uw. PEAP mschapv2{...} //konieczne by obsługa tej metody działała } ``` * **proxy.conf** Plik pozwalający na przekierowanie zgłoszeń odebranych przez serwer do innych serwerór RADIUS. * **Możliwości oferowane przez zastosowanie serwera RADIUS w sieci bezprzwodowej.** * Bezpieczeństwo - przy zastosowaniu odpowiedniego protokołu można zapobiec atakom MitM. * Bezpieczne uwierzytelnienie na różne sposoby * Skojarzenie użytkowników wraz z ich automatycznym przyjęciem/odrzuceniem lub definiowaniem preferowanej metody uwieżytelnienia, kompresowania, użwyania odpowiednich długości ramek * **Protokół EAP/PEAP: możliwości, sposób działania, bezpieczeństwo.** Protokół pozwalający obu stronom procesu uwierzytelnienia na wymianę informacji. Dzięki temu obie strony są w stanie wybrać najlepszy, znany im sposób uwierzytelnienia. **Sposób działania**: EAP przenoszony jest przy pomocy protokołu 802.1x, który działa w 2 warstwie (ISO/OSI). **EAP** w wersji podstawowej używa metody uwierzytelnienia MD5. Polega na szyfrowaniu nazwy użytkownika i hasło za pomocą funkcji skrótu MD5. **PEAP** (Protected EAP) polega na zastawieniu tunelu TSL (pomiędzy suplikantem a NAS) oraz uruchamianiu kolejnej warstwy protokołu EAP wewnątrz tunelu, przez który komunikują się metody uwierzytelniania. **Bezpieczeństwo** * **EAP (EAP/MD5)** Jest tym słabszym sposobem na uwierzytelnienie, dlatego zaleca się stosowanie go jedynie w środowiskach przewodowych, gdyż MD5 jest bardzo podatny. * **PEAP** PEAP, w odróżnieniu od EAP pozwala suplikantowi na weryfikację tożsamości serwera uwierzytelniającego (czyli sprawdzenie, czy dane rzeczywiście dotrą do właściwego serwera). Zapobiega to atakom MitM. * **Obsługa kontrolera sieci bezprzewodowej Fortinet MC3200-V - procedury konfiguracji określonych mechanizmów (WEP/WPA/WPA2, filtry MAC, współpraca z serwerami RADIUS).** * Procedury konfiguracji mechanizmów bezpieczeństwa... * WEP Klasyczyny mechanizm WEP (klucze 64 lub 128 bitów). Należy wypełnić pole _WEP key (Alphanumeric/Hexadecimal)_, czyli klucz WEP w postaci hexów lub ciągu znaków ASCII. Pole _Shared Key Authentication_ (on/off) pozwala uruchomić uwierzytelnienie WEP Shared Key (on) albo WEP Open System (off). * WPA ? _To samo co w WPA2?_ * WPA2 Wymaga wypełnienia pola _Pre-shared Key (Alphanumeric/Hexadecimal)_ podając ciąg _znaków ASCII/bajtów hexadecymalnych_ o długości 8-63. * filtry MAC ACL Environment State - konfiguruję sposób działania funkcji filtracji: * Disabled - przepuszcza wszystkie stacje * Permit List Enabled - dopuszczane są tylko adresy z listy * Deny List Enabled - odrzucane są wszystkie stacje, które są na liście * współpraca z serwerami RADIUS Wymaga podania nazwy profilu RADIUS, adresu ip serwera RADIUS oraz hasła (secret) wykorzystywanego do ochrony komunikacji między serwerem RADIUS a kontrolerem. Istotne znaczenie mają również pola _MAC Address Delimieter_, które określa znak rozdzielający bajty adresu MAC w zapytaniu przesyłanym przez kontrollera oraz pole _Password Type_, określające zawartość pola Password. ## Planowane zadania * Wstępna konfiguracja sieci w trybie infrastructure. * Filtracja adresów MAC z użyciem serwera RADIUS. * Uwierzytelnianie użytkowników z użyciem serwera RADIUS i protokołu EAP-MD5. * Uwierzytelnianie użytkowników z użyciem serwera RADIUS i protokołu PEAP z automatycznym przydzielaniem kluczy szyfrujących ruch sieciowy. ## Copy-Paste z paczki ``` Mo�liwo�� przekierowania zg�osze� do innych serwer�w RADIUS: PYTANIE WIELOKOROTNEGO WYBORU Jest konfigurowane z u�yciem pliku realms.conf * Pozwala na kierowanie zg�osze� do r�nych serwer�w na podstawie element�w podanej przez loguj�cego si� nazwy u�ytkownika. * Pozwala na zapewnienie wi�kszej bezawaryjno�ci. * Pozwala na roz�o�enie obci��enia na wiele serwer�w. Protok� PEAP jest odmian� protoko�u EAP, w kt�rej: Dane przesy�ane s� szyfrowanym tunelem TLS. Dane przesy�ane s� szyfrowanym tunelem SSL. * Dane przesy�ane s� szyfrowanym tunelem TLS, a klient jest w stanie potwierdzi� to�samo�� serwera. Dane przesy�ane s� bez �adnego zabezpieczenia. Plik clients.conf serwera FreeRADIUS mo�e s�u�y� do okre�lenia: Jakie stacje ko�cowe (komputery u�ytkownik�w) mog� pod��cza� si� do sieci bezprzewodowej. * Jakie punkty dost�powe mog� wymienia� dane z serwerem RADIUS. Jakie stacje ko�cowe (komputery u�ytkownik�w) mog� wymienia� dane z serwerem RADIUS. Jakie urz�dzenia sieciowe serwer RADIUS ma odpytywa� w celu wyszukania i uwierzytelnienia nowo pod��czonych klient�w. Zastosowanie, w sieci zabezpieczonej WEP, serwera RADIUS z uwierzytelnianiem PEAP pozwala na: PYTANIE WIELOKOROTNEGO WYBORU * Jednoczesne u�ywanie przez r�nych klient�w sieci r�nych kluczy szyfruj�cych. * Automatyczne uzyskiwanie przez klient�w sieci kluczy szyfruj�cych. Zastosowanie szyfrowania metod� AES. Wyd�u�enie klucza szyfruj�cego do ponad 128 bit�w, w celu poprawy bezpiecze�stwa sieci. ```