کانفیگ و پیکربندی RADIUS Server
کانفیگ و پیکربندی RADIUS Server ، سرویسی برای برقراری یک ارتباط امن بین کلاینت های وایرلس از طریق ایجاد یک سیستم احراز هویت در شبکه های دامین میباشد . انستیتو ایزایران در این مقاله آموزشی بر آن است تا کانفیگ و پیکربندی RADIUS Server بطور تخصصی و دقیق شرح دهد.
اگر شما نیاز به یک access point داشته باشید و قصد دارید ارتباط کلاینت های وایرلس،امن باشد، نیاز به این دارد که کلاینت ها احراز هویت شوند. استفاده از RADIUS Sever یکی از راه های احراز هویت است. یکی از امن ترین حالت ممکن برای اتصال کلاینت ها، استفاده از حالت Enterprise پروتکل امنیتی یا همان WIFI Protected Access یا (WPA یا WPA2) با رمزنگاری AES است.
کانفیگ و پیکربندی RADIUS Server
حالت Enterprise ، از احراز هویت ۸۰۲٫۱x استفاده کرده که کلید های رمزنگاری رمز نگاری منحصر بفردی را برای هر session کاربر فراهم می کند، در صورتی که حالت Personal از عبارت امنیتی pre-shared Key یا (PSK) بهره مند میشود که رمزنگاری ایستا بوده و برای موارد تجاری و سازمان ها، امنیت پایینی داشته باشد .
فواید استفاده از WPA/WPA2 Enterprise :
- کاربران (End-user) می توانند با نام کاربری و پسورد خود که در Active Directory دارند، login شوند. همچنین می توان نام کاربری و پسورد هر کاربر را تغییر داد . اگر شما از حالت Personal استفاده کنید، همه کاربران از یک کلید رمزنگاری ایستا و یکسان استفاده میکنند . بنابراین اگر ، برای مثال، لپ تاپی دزیده شود، بایستی کلید رمزنگاری همه کلاینت ها تغییر کند، در صورتی که در حالت Enterprise این گونه نیست.
- این مدل رمزنگاری امنیت بهتری دارد، به گونه ای که PSK های مربوط به حالت Personal به حملات brute-force حساس هستند.
- کاربران (End-user) به صورت امن ، کلید های رمزنگاری یکتایی از هر session دریافت می کنند . بنابراین کارمندان ، نمی توانند ترافیک وایرلس های دیگر را sniff کنند.
- این مدل VLAN ها را بهتر پشتیبانی می کنند. شما می توانید فقط یکSSID را برای همه کاربران ایجاد کنید. در این صورت می توان، کاربران را در RADIUS سرور به VLAN های مختلف هدایت کرده تا بصورت امن به VLAN های متفاوتی متصل شوند.
همانطور که می دانید ، ویندوز سرور می تواند به عنوان RADIUS سرور عمل کرده و احراز هویت ۸۰۲٫۱x را انجام دهد. برای پیاده سازی RADIUS سرور، بایستی Role مربوط به Network Policy Server یا (NPS) را نصب کرد. از RADIUS سرور می توان برای موارد دیگری نیز استفاده کرد که شامل :
- ارتباطات IPsec
- احراز هویت ۸۰۲٫۱x
- ارتباطات VPN
- کانفیگ DHCP
- ارتباطات TS Gateway
در این آموزش، از ۸۰۲٫۱x استفاده شده و RADIUS کلاینت یک اکسس پوینت است.
کانفیگ و پیکربندی RADIUS Server : نصب services Certificate
به دلیل اینکه RADIUS Sever ، برای رمزنگاری از پروتکل PEAP استفاده می کند، شما باید سرویس مربوط به Certificate ها را نصب کنید. این امر، به شما اجازه می دهد که یک Certificate Authority بسازید تا بتوان Certificate ها را ایجاد و به سرور اعمال کرد. با این کار، کلاینت ها می توانند قبل از اینکه موارد امنیتی خود را به سرور ارسال کنند، سرور را شناخته و تایید می کنند.
برای نصب Role، از Server Manager به قسمت Roles رفته و Add Role را بزنید. از لیست پیش رو، Active Directory Certificate Services را تیک زده و Next کنید.
-
- کانفیگ و پیکربندی Active Directory Certificate Services - RADIUS Server
در مرحله بعد، گزینه های Certificate Authority و Certificate Authority Web Enrollment را انتخاب کنید. پس از آن صفحه ای مبنی بر نصب سرویس های مورد نیاز باز شده که روی Add Required Role Services کلیک کرده و Next کنید.
-
- کانفیگ و پیکربندی Add Remove Snap in - RADIUS Server
در صفحه پیش رو، حالت Enterprise را انتخاب و Next کنید.
-
- کانفیگ و پیکربندی Enterprise - RADIUS Server
برای انتخاب نوع CA، گزینه Root CA را انتخاب و Next کنید.
-
- کانفیگ و پیکربندی Root CA - RADIUS Server
برای تنظیم Private Key، گزینه Create New Private Key را انتخاب و Next کنید.
-
- کانفیگ و پیکربندی Create New Private Key - RADIUS Server
رمزنگاری های پیشفرض CA را تایید و Next کنید.
-
- کانفیگ و پیکربندی CA - RADIUS Server
در این قسمت، می توان نام Common Name را تغییر داد (به دلایل امنیتی). البته توجه داشته باشید که این نام بایستی به _CA ختم شود تا از دیگر Certificate ها تمیز داده شود.
-
- کانفیگ و پیکربندی Common CA Name - RADIUS Server
در این صفحه، مدت زمان اعتبار اینCertificate را برای CA تعیین می کنید که بصورت پیشفرض ۵ سال است. Next کنید.
دیگر تنظیمات را Next کرده و Install کنید.
-
- کانفیگ و پیکربندی SET VALIDAITY PERIOD - RADIUS Server
Request the Certificates (درخواست Certificate)
در این مرحله، CA نصب و در حال اجراست و شما می توانید برای احراز هویت خود، Certificate مورد نیاز PEAP را درخواست کرده و دریافت کنید. برای این کار، ابتدا در Run عبارت mmc را تایپ و Enter کنید.
از منوی file گزینه Add/Remove Snap-in را انتخاب کرده و Certificates را انتخاب و Add کنید.
-
- کانفیگ و پیکربندی Add Remove Snap in - RADIUS Server
در ادامه Computer account را انتخاب کرده و Next کنید. سپس روی Local Computer کلیک کرده و finish کنید.
پس از انجام این مراحل، شما بایستی از CA یک Certificate درخواست کنید. از قسمت Certificates (Local Computer Account) به قسمت Personal و سپس certificate رفته و روی آن راست کلیک کنید. از گزینه All task گزینه Request New Certificate انتخاب کنید. تمامی گزینه ها را Next کرده و نام Domain Controller خود را انتخاب و Enroll را بزنید.
-
- کانفیگ و پیکربندی Domain Controller - RADIUS Server
تا این قسمت، پیش نیازهای RADIUS Server سرور ایجاد شده و پس از این مراحل ، باید Network Policy and Access Services Role نصب گردد،که در مقاله آموزشی بعدی به کانفیگ و پیکربندی Network Policy Server میپردازیم.
کانفیگ و پیکربندی RADIUS Server
