Network Policy Serverکد 642-70

کانفیگ و پیکربندی RADIUS Server – بخش اول

برای مثال، اگر شما در محل کارتان access point داشته باشید و قصد دارید ارتباط کلاینت های وایرلس، بصورت امن صورت بگیرد، نیاز به این دارد که کلاینت ها احراز هویت شوند. یکی از راه های احراز هویت (در شبکه های دامین)، استفده از RADIUS sever است. یکی از امن ترین حالت ممکن برای اتصال کلاینت ها، استفاده از حالت Enterprise پروتکل امنیتی یا همان WIFI Protected Access یا (WPA یا WPA2) با رمزنگاری AES است.

حالت Enterprise، از احراز هویت 802.1x استفاده کرده که کلید های رمزنگاری یکتایی را برای هر session کاربر فراهم می کند، در صورتی که حالت Personal از عبارت امنیتی pre-shared Key یا (PSK) استفاده می کند که رمزنگاری ایستا بوده و برای موارد تجاری و سازمان ها، امنیت کمی دارند.

استفاده از حالت WPA/WPA2 Enterprise فواید مهمی را به دنبال دارد:

  • کاربران (End-user) می توانند با نام کاربری و پسورد خود که در Active Directory دارند، logon شوند. همچنین می توان نام کاربری و پسورد هر کاربر را تغییر داد. اگر شما از حالت Personal استفاده کنید، همه کاربران از یک کلید رمزنگاری ایستا و یکسان بهره می برند. بنابراین اگر ، برای مثال، لپ تاپی دزیده شود، بایستی کلید رمزنگاری همه کلاینت ها تغییر کند، در صورتی که در حالت Enterprise این گونه نیست.
  • این مدل رمزنگاری امنیت بهتری دارد، به گونه ای که PSK های مربوط به حالت Personal به حملات brute-force حساس هستند.
  • کاربران (End-user) به صورت امن، کلید های رمزنگاری یکتایی از هر session دریافت می کنند. بنابراین کارمندان، نمی تواننند ترافیک وایرلس های دیگر را sniff کنند. (برخلاف حالت Personal)
  • این مدل VLAN ها را بهتر پشتیبانی می کنند. شما می توانید فقط یکSSID را برای همه کاربان ایجاد کنید (کارمندان، ساختمان ها و مهمانان). در این صورت می توان، کاربران را در RADIUS سرور به VLAN های مختلف هدایت کرده تا بصورت امن به VLAN های متفاوتی متصل شوند.

تنها مشکل استفاده از حالت Enterprise، تنظیمات زیاد و وقت گیر روی RADIUS سرور و کلاینت هاست.

همانطور که می دانید، ویندوز سرور می تواند به عنوان RADIUS سرور عمل کرده و احراز هویت 802.1x را انجام دهد. برای پیاده سازی RADIUS سرور، بایستی Role مربوط به Network Policy Server یا (NPS) را نصب کرد. از RADIUS سرور می توان برای موارد دیگری نیز استفاده کرد که شامل :

  • ارتباطات IPsec
  • احراز هویت 802.1x
  • ارتباطات VPN
  • کانفیگ DHCP
  • ارتباطات TS Gateway

در این آموزش، از 802.1x استفاده شده و RADIUS کلاینت یک اکسس پوینت است.

نصب services Certificate

به دلیل اینکه RADIUS سرور، برای رمزنگاری از پروتکل هایی مانند PEAP استفاده می کند، شما بایستی سرویس مربوط به Certificate ها را نصب کنید. این امر، به شما اجازه می دهد که یک Certificate Authority بسازید تا بتوان Certificate ها را ایجاد و به سرور اعمال کرد. با این کار، کلاینت ها می توانند قبل از اینکه موارد امنیتی (Credential) خود را به سرور ارسال کنند، سرور را شناخته و تایید می کنند.

برای نصب Role، از Server Manager به قسمت Roles رفته و Add Role را بزنید. از لیست پیش رو، Active Directory Certificate Services را تیک زده و Next کنید.

radius server1

در مرحله بعد، گزینه های Certificate Authority و Certificate Authority Web Enrollment را تیک بزنید. پس از آن صفحه ای مبنی بر نصب سرویس های مورد نیاز باز شده که روی Add Required Role Services کلیک کرده و Next کنید.

radius server2

در صفحه پیش رو، حالت Enterprise را انتخاب و Next کنید.

radius server3

برای انتخاب نوع CA، گزینه Root CA را انتخاب و Next کنید.

radius server4

برای تنظیم Private Key، گزینه Create New Private Key را انتخاب و Next کنید.

radius server5

رمزنگاری های پیشفرض CA را تایید و Next کنید.

radius server 6

در این قسمت، می توان نام Common Name را تغییر داد (به دلایل امنیتی). البته توجه داشته باشید که این نام بایستی به _CA ختم شود تا از دیگر Certificate ها تمیز داده شود.

radius server 7

در این صفحه، مدت زمان اعتبار اینCertificate را برای CA تعیین می کنید که بصورت پیشفرض 5 سال است. Next کنید.

radius server 8

دیگر تنظیمات را Next کرده و Install کنید.

Request the Certificates (درخواست Certificate)

در این مرحله، CA نصب و در حال اجراست و شما می توانید برای احراز هویت خود، Certificate مورد نیاز PEAP را درخواست کرده و دریافت کنید. برای این کار، ابتدا در Run عبارت mmc را تایپ و Enter کنید.

از منوی file گزینه Add/Remove Snap-in را انتخاب کرده و Certificates را انتخاب و Add کنید.

radius server 10

در ادامه Computer account را انتخاب کرده و Next کنید. سپس روی Local Computer کلیک کرده و finish کنید.

پس از انجام این مراحل، شما بایستی از CA یک Certificate درخواست کنید. از قسمت Certificates (Local Computer Account) به قسمت Personal و سپس certificate رفته و روی آن راست کلیک کنید. از گزینه All task گزینه Request New Certificate انتخاب کنید. تمامی گزینه ها را Next کرده و نام Domain Controller خود را انتخاب و Enroll را بزنید.

radius server 11

تا این قسمت، پیش نیازهای RADIUS سرور ایجاد شده و پس از انجام این مراحل، بایستی Network Policy and Access Services Role نصب گردد. به دلیل اینکه آموزش این سرویس، طولانی بوده و گنجاندن آن در یک پست خسته کننده است، پیکربندی آن به سه قسمت تقسیم شده و در پایان کل مقاله بصورت PDF برای دانلود قرار خواهد گرفت.

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید
بستن
دکمه بازگشت به بالا