Autentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00

Transkript

1 Autentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00 Lubomír Turčík Abstrakt: Tato práce je zaměřena na popis konfigurace zabezpečení přístupu do LAN pomocí IEEE standardu 802.1x. V této práci je použit přepínač 3Com Switch 4200G a RADIUS server Winradius Klíčová slova: switch, 802.1x, autentizace, RADIUS, supplicant Obsah Úvod...2 Standard 802.1x...2 Využití 802.1X...2 Princip činnosti 802.1X...2 Výhody a nevýhody...2 3Com Switch 4200G...3 Winradius Odyssey Access Client Manager...4 Modelová situace...5 Topologie...5 Konfigurace aktivních prvků...6 3Com Switch 4200G...6 Winradius Odyssey Access Client Manager...8 Výsledky Com Switch 4200G Winradius Odyssey Access Client Manager Závěr Literatura /16

2 Úvod Tento semestrální projekt je zaměřen na popis konfigurace zabezpečení přístupu do LAN pomocí IEEE standardu 802.1x. V projektu je použit přepínač 3Com Switch 4200G. Ověřování uživatelů bude prováděno na externím RADIUS serveru Winradius Jako supplicant bude použit softwarový klient Odyssey Access Client Manager. V projektu je uveden základní popis použitých technologií, použitá konfigurace prostředků a jejich výsledné chování. Standard 802.1x IEEE 802.1x je standard pro průchod EAP přes bezdrátovou nebo klasickou LAN, který umožňuje jednoduché a efektivní zabezpečení fyzického přístupu do počítačové sítě[1][3]. Pokud je do síťového portu připojeno nové zařízení, je port zablokován, dokud nejsou poskytnuty správné autentizační údaje. Využití 802.1X IEEE 802.1X zabraňuje neautorizovaným osobám v přístupu k síťové komunikaci, aniž by bylo nutné všechna připojená zařízení fyzicky autorizovat. Jeho použití je výhodné především u bezdrátových sítí, kde je fyzické zabezpečení v podstatě nemožné a volné připojení je snadno zneužitelné. Princip činnosti 802.1X Pokud se uživatel připojí na síťový port, má blokovanou veškerou komunikaci kromě EAP protokolu, který zajišťuje autentizaci. Ta proběhne takto: Zařízení připojené na port, musí mít odpovídající softwarový klient (supplicant), který pošle pomocí EAP protokolu žádost o autentizaci na přepínač nebo access point. Přepínač nebo access point přepošle žádost RADIUS serveru. RADIUS server ověří uživatele. Výsledek autentizace je zaslán na přepínač nebo access point. Ten další síťový provoz buď povolí, nebo zakáže. Standard 802.1X se sebou přináší řadu výhod, ale i určité nevýhody. Výhody a nevýhody Výhody: Nevýhody: Zabránění přístupu neautorizovaných uživatelů do LAN Pokud to přepínač nebo AP server podporuje, je možné umístit neautorizované uživatele do speciální VLAN. V této VLAN může uživatel využívat pouze definované (povolené) síťové prostředky. Problematická vzdálená správa zařízení připojeného na neautorizovaný port. 2/16

3 3Com Switch 4200G Přepínače řady 3COM Switch 4200G jsou určeny především jako páteřní přepínače pro menší lokální počítačové sítě, nebo pro levné gigabitové sítě s páteří na 10Gbit Ethernetu, se statickým směrováním IP provozu[2]. Tato řada obsahuje 12, 24 a 48 portové gigabitové přepínače s možností vložení až 4 gigabitových SFP. Dále 24 a 48 portové verze umožňují vložení 10Gbit XENPAK modulů. Navíc je pro rodinu 4200G k dispozici i konverzní XENPAK modul, který umožňuje používání XFP 10Gbit modulů. Síťová architektura: GigabitEthernet Počet portů 1000BaseT (RJ45): 48 ks Management, monitoring a konfigurace: SNMPv1 - Simple Network Management Protocol ver. 1, WEB management, Telnet, RMON - Remote Monitoring, RMON II - Remote Monitoring ver. 2, CLI - Command Line Interface, SNMPv2 - Simple Network Management Protocol ver. 2, SNMPv3 - Simple Network Management Protocol ver. 3 Autorizační protokoly a kontrola přístupu: IEEE 802.1x - Network Login (MAC-based Access Control), IEEE 802.1x - Network Login (Port-based Access Control), ACL založen na TCP/UDP portech, SSH v.1 - Secure Shall ver. 1, SSH v.2 - Secure Shall ver. 2, EAP - Extensible Authentification Protocol, ACL založen na IP a typu protokolu, ACL založen na MAC, RADIUS Podporované směrovací protokoly: Stating Routing Podporované protokoly a standardy: IEEE 802.1D - Spanning Tree, IEEE 802.1p - Priority, IEEE 802.1Q - Virtual LANs, IEEE 802.1w - Rapid Convergence Spanning Tree, IEEE BaseT, IEEE 802.3u - 100BaseTX, IEEE 802.3ab BaseT, IEEE 802.3ad - Link Aggregation Control Protocol, IEEE 802.3x - Flow Control, UDP - User Datagram Protocol, ICMP - Internet Control Message Protocol, TCP/IP - Transmission Control Protocol/Internet Protocol, ARP - Address Resolution Protocol, TFTP - Trivial File Transfer Protocol, BOOTP - Bootstrap Protocol, DHCP - Dynamic Host Configuration Protocol, HTTP - Hypertext Transfer Protocol, IGMP - Internet Group Management Protocol, Auto MDI/MDI-X, DSCP - DiffServ Code Point, IEEE 802.1w - Rapid Convergence Spanning Tree, IEEE 802.3z BaseSX/LX, half/full duplex, SFTP - Secure File Transfer Protocol, IEEE 802.1s - Multiple Spanning Tree, IEEE 802.3z BaseSX/LX 3/16

4 Winradius 4.00 WinRadius je standardní RADIUS server (Remote Authentication Dial In User Service)[4][5]. Používá se pro zabezpečení přístupu do počítačových sítí. Výhodné je jeho použití především u bezdrátových sítí, kde zajištění odpovídající bezpečnosti, bývá často problematické. Aplikace se jednoduše ovládá, podporuje několik možností připojení a obsahuje velké množství užitečných funkcí. Volně šiřitelná verze umožňuje připojení maximálně pěti uživatelů. Pokud potřebujete více připojení, musíte si zakoupit placenou verzi. Odyssey Access Client Manager Je softwarový klient (supplicant) umožňující autentizaci podle IEEE standardu 802.1x*6+. Provést autentizaci jde jak u bezdrátových, tak i u klasických LAN. 4/16

5 Modelová situace Na přepínači 3Com Switch 4200G - 48 portů je zapnuta autentizace podle standardu IEEE 802.1x. K autentizaci je využit počítač s nainstalovaným RADIUS serverem Winradius Konfigurační počítač se používá ke konfiguraci přepínače a je připojen k jeho konzole (AUX 0). Konfigurace je také možná přes webové rozhraní nebo pomocí telnetu. Proto má přepínač přidělenou IP adresu. Pokud se bude chtít počítač s nainstalovaným softwarovým klientem (supplicant) Odyssey Access Client Manager připojit k LAN, musí provést autentizaci proti RADIUS serveru. Topologie 5/16

6 Konfigurace aktivních prvků 3Com Switch 4200G #Globální zapnutí protokolu 802.1x. <4200G>system-view System View: return to User View with Ctrl+Z. [4200G]dot1x 802.1X is enabled globally. [4200G]dot1x authentication-method eap EAP authentication is enabled. # Zapnutí protokolu 802.1x na portu GigabitEthernet 1/0/1. [4200G]dot1x interface GigabitEthernet 1/0/ X is enabled on port GigabitEthernet1/0/1. # Vytvoření a konfigurace RADIUS schéma winradius. [4200G]radius scheme winradius New Radius scheme [4200G-radius-winradius]primary authentication [4200G-radius-winradius]primary accounting [4200G-radius-winradius]key authentication heslo [4200G-radius-winradius]key accounting heslo [4200G-radius-winradius]timer realtime-accounting 15 [4200G-radius-winradius]user-name-format without-domain [4200G-radius-winradius]quit 6/16

7 # Vytvoření a konfigurace domény tps.cz. [4200G]domain tps.cz New Domain added. [4200G-isp-tps.cz]scheme radius-scheme winradius [4200G-isp-tps.cz]access-limit enable 10 [4200G-isp-tps.cz]idle-cut enable [4200G-isp-tps.cz]quit # Nastavení defaultní domény tps.cz a restartování portu. [4200G]domain default enable tps.cz [4200G]interface GigabitEthernet 1/0/1 [4200G-GigabitEthernet1/0/1]undo sh [4200G-GigabitEthernet1/0/1]undo shutdown Winradius 4.00 Nebudeme využívat databázi, uživatele vložíme přímo do RADIUS serveru. 7/16

8 Nastavíme pouze základní parametry, nutné pro správnou funkci RADIUS serveru. Odyssey Access Client Manager Nejprve je nutné přidat síťový adaptér, přes který se budeme autentizovat. 8/16

9 Nyní potřebujeme nastavit parametry autentizace. 9/16

10 Zaškrtnutím Connect to the network, se připojíme do sítě. Je vyžadováno zadání hesla. Výsledky 3Com Switch 4200G * G 8021X/8/PACKET:- 1 -Port:0,Received a EAPOL packet. * G 8021X/8/PACKET:- 1 -Port:0,Packet type: EAPOL-START. * G 8021X/8/EVENT:- 1 -Port:0,No resource exist. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Alloc or search resource successfully. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Band the resource to port successfully. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Send Msg EAPOL-START to 802.1X-Msg- Queue successfully. * G 8021X/8/PACKET:- 1 -Port:0,End processing the packet received. ---Verbose information of the packet--- Destination Mac Address: 0180-c Source Mac Address: d81-182a Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 1. Packet Length: 0. * G 8021X/8/EVENT:- 1 -Auth:36,Msg:EAP-START, Supplicant->Authenticator. * G 8021X/8/EVENT:- 1 -Auth:36,Jump to CONNECTING Status... * G 8021X/8/EVENT:- 1 -Auth:36,Processing node CONNECTING... * G 8021X/8/EVENT:- 1 -Port:0,Auth:36, Send shakehanding-pkt without proxy-chk tag * G 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet. ---Verbose information of the packet--- Destination Mac Address: d81-182a Source Mac Address: 001e-c1c4-3a40 10/16

11 Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 1. Identifier: 2. Length: 5. * G 8021X/8/PACKET:- 1 -Port:0,Received a EAPOL packet. * G 8021X/8/PACKET:- 1 -Port:0,NOT a Eapol-start. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,PacketType: EAPOL-PACKET. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,EAP Type: Response. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Resource exists. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,Code Type: Identity. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Sent EAP Msg to 1X-Queue. * G 8021X/8/PACKET:- 1 -Port:0,End processing the packet received. ---Verbose information of the packet--- Destination Mac Address: 0180-c Source Mac Address: d81-182a Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 2. Identifier: 2. Length: 9. * G 8021X/8/EVENT:- 1 -Auth:36,Msg: EAP Reply. * G 8021X/8/EVENT:- 1 -Auth:36,Processing node SC_MSG_EAP_RELAY, jump to EAPRELAY state... * G 8021X/8/EVENT:- 1 -Auth:36, * G 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet. ---Verbose information of the packet--- Destination Mac Address: d81-182a Source Mac Address: 001e-c1c4-3a40 Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 1. Identifier: 29. Length: 26. * G 8021X/8/PACKET:- 1 -Port:0,Received a EAPOL packet. * G 8021X/8/PACKET:- 1 -Port:0,NOT a Eapol-start. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,PacketType: EAPOL-PACKET. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,EAP Type: Response. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Resource exists. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,Code Type: Challenge. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Sent EAP Msg to 1X-Queue. * G 8021X/8/PACKET:- 1 -Port:0,End processing the packet received. ---Verbose information of the packet--- 11/16

12 Destination Mac Address: 0180-c Source Mac Address: d81-182a Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 2. Identifier: 29. Length: 22. * G 8021X/8/EVENT:- 1 -Auth:36,Msg: EAP Reply. * G 8021X/8/EVENT:- 1 -Auth:36,Msg: Auth request ack for succeed, ACM->1X. * G 8021X/8/EVENT:- 1 -Auth:36,Processing node SUCCESS... * G 8021X/8/EVENT:- 1 -Auth:36,Sending EAPoL-Success... * G 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet. ---Verbose information of the packet--- Destination Mac Address: d81-182a Source Mac Address: 001e-c1c4-3a40 Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 3. Identifier: 29. Length: 4. * G 8021X/8/EVENT:- 1 -Auth:36,Processing node WORKING... * G 8021X/8/EVENT:- 1 -Auth:36,Start handshake timer... * G 8021X/8/EVENT:- 1 -Auth:36, * G 8021X/8/EVENT:- 1 -Port:0,Auth:36, Send shakehanding-pkt without proxy-chk tag * G 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet. ---Verbose information of the packet--- Destination Mac Address: d81-182a Source Mac Address: 001e-c1c4-3a40 Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 1. Identifier: 2a. Length: 5. * G 8021X/8/EVENT:- 1 -Auth:36,Processing node ACM_MSG_AUTH_TIMEOUT handshake,start handshake timer... * G 8021X/8/PACKET:- 1 -Port:0,Received a EAPOL packet. * G 8021X/8/PACKET:- 1 -Port:0,NOT a Eapol-start. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,PacketType: EAPOL-PACKET. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,EAP Type: Response. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Resource exists. * G 8021X/8/PACKET:- 1 -Port:0,Auth:36,Code Type: Identity. * G 8021X/8/EVENT:- 1 -Port:0,Auth:36,Sent EAP Msg to 1X-Queue. 12/16

13 * G 8021X/8/PACKET:- 1 -Port:0,End processing the packet received. ---Verbose information of the packet--- Destination Mac Address: 0180-c Source Mac Address: d81-182a Mac Frame Type: 888e. Protocol Version ID: 1. Packet Type: 0. Packet Length: Packet Body----- Code: 2. Identifier: 2a. Length: 9. * G 8021X/8/EVENT:- 1 -Auth:36,Msg: EAP Reply. * G 8021X/8/EVENT:- 1 -Auth:36,Processing node SC_MSG_EAP_RELAY handshake,start handshake timer... Winradius y12m12d 8h8m41s LOAD DB : Název zdroje dat nebyl nalezen a nebyl určen žádný výchozí ovladač y12m12d 8h8m41s Please goto "Settings/Database..." and create the ODBC for your RADIUS database y12m12d 8h8m41s Launch ODBC service failed y12m12d 8h9m5s Add user successfully y12m12d 8h9m9s y12m12d 8h9m9s Message Type=Access_Request y12m12d 8h9m9s ID=16, Length= y12m12d 8h9m9s User name=test y12m12d 8h9m9s EAP Message...= y12m12d 8h9m9s Message Authenticator present y12m12d 8h9m9s NAS IP address= y12m12d 8h9m9s NAS ID=001ec1c43a y12m12d 8h9m9s NAS port= y12m12d 8h9m9s NAS port type= y12m12d 8h9m9s Service type= y12m12d 8h9m9s Frame protocol= y12m12d 8h9m9s Calling number=0003-0d81-182a y12m12d 8h9m9s EAP-Message code=2, Length= y12m12d 8h9m9s EAP-Message Identity=test y12m12d 8h9m9s User (test) authenticate continued y12m12d 8h9m9s y12m12d 8h9m9s Message Type=Access_Request y12m12d 8h9m9s ID=17, Length= y12m12d 8h9m9s User name=test y12m12d 8h9m9s EAP Message...=) y12m12d 8h9m9s Message Authenticator present y12m12d 8h9m9s NAS IP address= y12m12d 8h9m9s NAS ID=001ec1c43a y12m12d 8h9m9s NAS port= y12m12d 8h9m9s NAS port type= y12m12d 8h9m9s Service type= y12m12d 8h9m9s Frame protocol= y12m12d 8h9m9s Calling number=0003-0d81-182a 13/16

14 y12m12d 8h9m9s EAP-Message code=2, Length= y12m12d 8h9m9s EAP-MD5(username-password) present y12m12d 8h9m9s EAP-Message MD5 Challenge Name= y12m12d 8h9m9s User (test) authenticate OK y12m12d 8h9m9s y12m12d 8h9m9s Message Type=Accounting_Request y12m12d 8h9m9s ID=8, Length= y12m12d 8h9m9s User name=test y12m12d 8h9m9s NAS ID=001ec1c43a y12m12d 8h9m9s NAS port= y12m12d 8h9m9s NAS port type= y12m12d 8h9m9s Calling number=0003-0d81-182a y12m12d 8h9m9s Session status= y12m12d 8h9m9s Session Authentic= y12m12d 8h9m9s Session ID= y12m12d 8h9m9s NAS IP address= y12m12d 8h9m9s Unknown type= y12m12d 8h9m9s User (test) call () started y12m12d 8h9m16s y12m12d 8h9m16s Message Type=Accounting_Request y12m12d 8h9m16s ID=9, Length= y12m12d 8h9m16s User name=test y12m12d 8h9m16s NAS ID=001ec1c43a y12m12d 8h9m16s NAS port= y12m12d 8h9m16s NAS port type= y12m12d 8h9m16s Calling number=0003-0d81-182a y12m12d 8h9m16s Session status= y12m12d 8h9m16s Session Authentic= y12m12d 8h9m16s Session ID= y12m12d 8h9m16s NAS IP address= y12m12d 8h9m16s Unknown type= y12m12d 8h9m16s Session duration time= y12m12d 8h9m16s Session delay time= y12m12d 8h9m16s Session input octets= y12m12d 8h9m16s Acct Input Packets= y12m12d 8h9m16s Session output octets= y12m12d 8h9m16s Acct Output Packets= y12m12d 8h9m16s Unknown type= y12m12d 8h9m16s Unknown type= y12m12d 8h9m16s User (test) call () interim-updated y12m12d 8h9m39s y12m12d 8h9m39s Message Type=Accounting_Request y12m12d 8h9m39s ID=10, Length= y12m12d 8h9m39s User name=test y12m12d 8h9m39s NAS ID=001ec1c43a y12m12d 8h9m39s NAS port= y12m12d 8h9m39s NAS port type= y12m12d 8h9m39s Calling number=0003-0d81-182a y12m12d 8h9m39s Session status= y12m12d 8h9m39s Session Authentic= y12m12d 8h9m39s Session ID= y12m12d 8h9m39s NAS IP address= /16

15 y12m12d 8h9m39s Unknown type= y12m12d 8h9m39s Session duration time= y12m12d 8h9m39s Session delay time= y12m12d 8h9m39s Session input octets= y12m12d 8h9m39s Acct Input Packets= y12m12d 8h9m39s Session output octets= y12m12d 8h9m39s Acct Output Packets= y12m12d 8h9m39s Unknown type= y12m12d 8h9m39s Unknown type= y12m12d 8h9m39s Unknown type= y12m12d 8h9m39s User (test) call () ended, (29) seconds used, fee is (3) cent. Odyssey Access Client Manager Závěr Úspěšně jsem nakonfiguroval switch 3Com 4200G tak, aby pro autentizaci portů použil externí RADIUS server Winradius. V tom mi velmi pomohla podrobná technická dokumentace k tomuto zařízení[7][8]. Jediný větší problém se vyskytl u softwarového klienta. Původně jsem chtěl použít supplicant integrovaný ve Windows XP. Tento supplicant ale bohužel nepodporoval autentizaci pomocí protokolu EAP-MD5. Protokol EAP-MSCHAP používaný tímto supplicantem, zase nepodporovalo ostatní použité zařízení. V zadání projektu byl definován RADIUS server Winradius, ale nebyl definován supplicant. Proto jsem se nakonec rozhodl použít jako softwarový klient Odyssey Access Client Manager. Použitý RADIUS server Winradius umožňuje připojení k databázi, ale pro účely tohoto projektu bylo dostačující zadat uživatele manuálně. Myslím si, že cíl tohoto semestrálního projektu se mi podařilo splnit. 15/16

16 Literatura [1] IEEE 802.1X - dostupný z WWW: [2] 3Com Switch 4200G - dostupný z WWW: [3] Technologie pro zlepšení bezpečnosti datových sítí - dostupný z WWW: [4] Winradius - dostupný z WWW: [5] Winradius - dostupný z WWW: [6] Odyssey Access Client Manager - dostupný z WWW: [7] 4200G_Command_Reference_Guide_v dostupný z WWW: [8] Switch_4200G_CG_V _6W100 - dostupný z WWW: 16/16