Mitigera STP attacker Labb 26: Port security
Syftet med denna laboration är att implementera och testa autentisering med 802.1X och en RADIUS-server. Autentisering via 802.1X säkerställer att endast auktoriserade användare får nätverksåtkomst. Här används en switch som authenticator, en RADIUS-server som authentication server och klienter som autentiseras via 802.1X.
Teori
802.1X är en standard för säker autentisering av enheter innan nätverksåtkomst beviljas och innefattar tre huvudkomponenter:
- Supplicant: Enheten som vill ansluta och skickar autentiserings uppgifter (t.ex. användarnamn och lösenord).
- Authenticator: En switch eller accesspunkt som fungerar som mellanhand mellan klienten och autentiserings servern.
- Authentication Server: Servern som validerar autentiseringsuppgifterna och beslutar om klienten ska få åtkomst.
RADIUS (Remote Authentication Dial-In User Service) är ett protokoll för att hantera autentisering, auktorisering och granskning i nätverk och fungerar tillsammans med 802.1X för att autentisera användare. I denna laboration agerar servern både som RADIUS-, DHCP- och DNS-server.
Topologi
Denna laboration visar hur 802.1X-autentisering och en RADIUS-server säkrar nätverksåtkomst. Klienter måste logga in med rätt användarnamn och lösenord för att få tillgång till nätverket och dess resurser.
Konfigurationer
Server ns1.diginto.se
- IP adressering
- IPv4 Address: 192.168.0.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.0.1
- DNS server: 192.168.0.2
- DHCP server konfiguration
- Pool Name: serverPool (default)
- Default Gateway: 192.168.0.1
- DNS Server: 192.168.0.2
- Start IP address: 192.168.0.5
- Subnet Mask: 255.255.255.0
- Maximum Number of Users: 20
Authentication Server: ns1.diginto.se
- IPv4 Address: 192.168.0.2
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.0.1
- DNS server: 192.168.0.2
- Services: AAA
- Client Name: sw1
- Client IP: 192.168.0.3
- Server Type: Radius
- Key: sw12345
- User Setup
- Username: erik@diginto.se
- Password: erik12345
- Username: hampus@diginto.se
- Password: hampus12345
- Username: norbert@diginto.se
- Password: norbert12345
- Aktivering av autentiseringsmekanismer
- Radius EAP
Switch konfiguration
- IP adressering
- sw1(config)# interface vlan 1
- sw1(config-if)# ip address 192.168.0.3 255.255.255.0
- sw1(config-if)# no shutdown
- sw1(config-if)# exit
- Implementera AAA
- sw1(config)# aaa new-model
- sw1(config)# aaa authentication dot1x default group radius
- sw1(config)# radius-server host 192.168.0.2 key sw12345
- Aktivera 802.1X globalt på switchen
- sw1(config)# dot1x system-auth-control
- Konfigurera accessportar med 802.1X och Port Access Entity (PAE) Authenticator
- sw1(config)# interface f0/1
- sw1(config-if)# switchport mode access
- sw1(config-if)# authentication port-control auto
- sw1(config-if)# dot1x pae authenticator
- sw1(config-if)# exit
- sw1(config)# interface fa0/3
- sw1(config-if)# switchport mode access
- sw1(config-if)# authentication port-control auto
- sw1(config-if)# dot1x pae authenticator
- Konfigurera switchen för att ansluta till RADIUS-servern
- sw1(config)# radius-server host 192.168.0.2 key sw12345
- sw1(config)# end
- sw1#
Tre klienter (PC) ska vara inställda som DHCP-klienter, så att de får IP-adresser från DHCP-servern.
Se till att klienterna har 802.1X supplicant (klientprogramvara) aktiverad så att de kan autentisera sig mot RADIUS-servern.
