آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

در ادامه بحث پیاده سازی 802.1x در خدمت شما عزیزان هستیم.

تعریف کاربران در Cisco Secure ACS :

مراحل زیر را دنبال کنید که در دیتابیس داخلی Cisco Secure ACS کاربر تعریف کنید.

  • روی گزینه User Setup در منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • یک نام منحصر به فرد در کادر User وارد کنید سپس کلید Add/Edit را بزنید تا پنجره مربوط به تنظیمات کاربر ظاهر شود.
  • در این قسمت یک پسورد برای کاربر در نظر بگیرد و همچنین آنرا عضو یک گروه کنید.
  • کلید Submit را بزنید.

در تصویر زیر بخش تنظیمات کاربر نمایش داده شده است :

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

تولید فایل PAC :

این مرحله اختیاری است. اگر مسیر بین Supplicant و سرور AAA یک مسیر کاملا امن نیست پیشنهاد می شود عمل توزیع فایل PAC به صورت دستی انجام گیرد. برای اینکه اینکار به صورت دستی انجام گیرد باید در ابتدا فایل PAC باید تولید شود. در این مرحله نحوی تولید فایل PAC توضیح داده شده است به همین منظور مراحل زیر را دنبال کنید :

  • Command Prompt را در مسیر نصب Cisco Secure ACS با دسترسی Administrator باز کنید. همانند تصویر زیر :

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • دستور CSUtil را با سوئیچ های –a و –t اجرا کنید تا فایل PAC تولید شود.
  • فایل تولید شده را روی تمام Supplicant ها کپی کنید.

نکته : اگر PAC فایل به صورت خودکار به Supplicant ها ارسال می شود این کار در طی اولین تایید هویت EAP-FAST انجام می گیرد.

تنظیم (Network Access Restrictions (NAR برای کاربران 802.1x :

این مرحله اختیاری است. اگر بخواهیم کاربر را برای تایید هویت تنها به یک RADIUS Clients محدود کنیم می توانیم از (Network Access Restrictions (NAR استفاده کنیم. در این مرحله نحوی تنظیم NAR نمایش داده شده است. برای اینکار مراحل زیر را دنبال کنید :

  • روی گزینه Group Setup از منوی سمت چپ کلیک کنید تا پنجره مربوطه باز شود.
  • گروهی که حاوی کاربر 802.1x است که می خواهیم آنرا محدود کنیم را انتخاب کنید سپس کلید Edit Settings را بزنید تا پنجره مربوطه باز شود.
  • در پنجره تنظیمات گروه به بخش Network Access Restrictions و چک باکس Define CLI/DNIS-based Access Restrictions را انتخاب کنید. در کادر AAA Client نام دستگاهی که می خواهید تایید هویت را انجام دهد را انتخاب کنید و مقدار کادر های Port ، CLI و DNIS را برابر * قرار دهید سپس کلید enter را کلیک کنید تا به لیست اضافه گردد.
  • کلید Submit + Restart را کلیک کنید.

در تصویر زیر این بخش نمایش داده شده است :

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

فعال کردن logging :

Cisco Secure ACS می تواند تایید هویت های موفق را نیز همانند تایید هویت های ناموفق برای کاربر را log گیری کند. Log گیری برای تایید هویت های موفق به صورت پیش فرض غیرفعال است. برای فعال کردن آن مراحل زیر را طی کنید:

  • روی کلید Network Configuration از منوی سمت چپ کلید کنید.
  • گزینه logging را انتخاب کنید تا صفحه مربوط به تنظیمات logging نمایش داده شود.
  • در جدول ACS Report روی گزینه Configure از ستون CSV و ردیف Passed Authentication کلیک کنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • در این صفحه چک باکس Log to CSV Passed Authentication Report را انتخاب کنید و کلید Submit را بزنید.

در تصویر زیر این بخش نمایش داده شده است :

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

تنظیم Cisco Secure ACS به اتمام رسیده است و در مرحله بعدی باید Supplicant تنظیم شود.

تنظیم Cisco Secure Service Client به عنوان Supplicant :

برای اینکه کلاینت برای تایید هویت از EAP-FAST استفاده کند باید (Cisco Secure Services Client (CSSC روی کلاینت نصب و تنظیم گردد. این به طور کلی شامل مراحل زیر است :

  • ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility
  • ساخت پروفایل و Policy برای تایید هویت
  • تنظیم تایمرهای 802.1x
  • انتخاب متد تایید هویت (یوزر ، دستگاه یا هردو)
  • انتخاب متد EAP
  • ساخت پکیچ نصب CSSC حاوی Configuration Profile
  • نصب پکیچ CSSC در کلاینت

ساخت پروفایل CSSC Configuration با استفاده از CSSC Management Utility :

اولین مرحله ساخت پروفایل با استفاده از CSSC Management Utility است. خروجی CSSC Management Utility یک فایل XML است که شامل تنظیمات لازم برای Supplicant است. مراحل زیر را برای تنظیم پروفایل دنبال کنید :

  • CSSC Management Utility را دانلود کنید و از حالت فشرده خارج کنید سپس فایل sscManagementUtility را اجرا کنید که صفحه اصلی ظاهر شود.
  • گزینه Create New Configuration Profile را در صفحه اصلی انتخاب کنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • نسخه CSSC که می خواهید استفاده کنید را انتخاب کنید. که در اینجا ما از نسخه 5.1 استفاده می کنیم.

ساخت پروفایل و Policy برای تایید هویت :

در مرحله بعد یک پروفایل مربوط به شبکه کابلی در پروفایل CSSC Configuration ایجاد می کنیم. مراحل زیر را دنبال کنید :

  • اگر فقط گزینه Allow Wired انتخاب شود نیاز به لایسنس ندارد اما اگر بخواهید هر دو شبکه کابلی و وایرلس را استفاده کنید باید لایسنس را در کادر provide license وارد کنید.
  • گزینه Attempt Connection After User Login را در بخش Connection Setting انتخاب کنید.
  • گزینه Allow Wired Media را انتخاب کنید سپس کلید Next را بزنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • در صفحه Authentication Policy گزینه EAP FAST را در قسمت Allowed Authentication Modes انتخاب کنید و کلید Next را بزنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • در صفجه Network کلید Add Network را بزنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

  • تنظیمات مربوط به صفحه Network Media را بدون تغییر Next بزنید.
  • یک نام برای پروفایل جدید در صفحه Wired Network Settings در نظر بگیرید. در بخش Security Level گزینه authenticating network را انتخاب کنید سپس کلید Next را بزنید.

آموزش راه اندازی  802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9

ادامه تنظیمات را در بخش بعدی شرح خواهیم داد. موفق ، پیروز و itpro باشید.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#تنظیم_cssc #مراحل_پیاده_سازی_802.1x #پیاده_سازی_802 #تنظیم_کلاینت_به_عنوان_supplicant #فایل_pac_چیست #802.1x_چیست #ساخت_پروفایل_با_cssc_management_utility #logging_در_acs #تعریف_کاربر_در_acs
عنوان
1 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 1 رایگان
2 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 2 رایگان
3 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 3 رایگان
4 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 4 رایگان
5 802.1x و IBNS چیست و روش امن کردن شبکه با این پروتکل قسمت 5 رایگان
6 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 6 رایگان
7 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 7 رایگان
8 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 8 رایگان
9 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 9 رایگان
10 آموزش راه اندازی 802.1x (دات وان ایکس) و امنیت شبکه با آن قسمت 10 رایگان
زمان و قیمت کل 0″ 0
20 نظر
میثم رضوان دوست

سلام مهندس

خیلی عالی بود

aseman.guilan

CSSC Management Utility از کجا دانلود کنم؟

جعفر قنبری شوهانی

از سایت سیسکو در صورت داشتن اکانت می تونید دانلود کنید

aseman.guilan

در صورت نداشتن؟ میتونید لینکشو قرار بدین؟

جعفر قنبری شوهانی

نه لینکی از نرم افزار ندارم پیشنهاد می کنم از پروتکل (Protect EAP (PEAP استفاده کنید که توسط خود ویندوز پشتیبانی میشه

aseman.guilan

تو آموزش شما مراحل جور دیگه تنظیم شده ، تو کدوم مرحله پروتکل رو عوض کنم؟و مراحل بعدی چطور؟

جعفر قنبری شوهانی

در مرحله مربوط به کلاینت باید سرویس Wired AutoConfig رو فعال کنید بعد یک سربرگ تحت عنوان authentication به properties کارت شبکه شما اضافه میشه و در اونجا می تونید نوع پروتکل و همچنین سایر تنظیمات رو انجام بدید

aseman.guilan

سرویس Wired AutoConfig رو فعال کردم تو سربرگ تحت عنوان authentication به properties کارت شبکه نوع پروتکل Protect EAP (PEAP گذاشتم ولی اتفاق خاصی نیفتاد.... تو ACS چیزی عوض کنم؟

خودتون که CSSC Management Utility نداشتین این آموزشو پیاده کردین ؟

جعفر قنبری شوهانی

باید سوپیچ و ACS رو هم کانفیگ کنید تا کار کنه مراحل تنظیم توی این مقاله و ویدیو آموزشی که توی سایت گذاشتم موجوده

aseman.guilan

مراحل طبق مقاله شما انجام دادم (به جز تنظیمات CSSC به بعد که همش کار با این نرم افزار بود)، ولی پسورد نخواست و وصل شد.فکر نکنم کسی اینو تست کرده باشه....تو ویدیو هم از نزم افزار خاصی استفاده کردید(که موجود نباشه)؟

جعفر قنبری شوهانی

توی ویدیو از خود ویندوز استفاده شده و از نرم افزار استفاده نکردم

برای اینکه ازتون یوزر و پسورد بخواد باید کلید setting جلوی Protect EAP رو بزنید و در پنجره باز شده کلید configure رو بزنید و تیک گزینه اونجا رو بردارید

aseman.guilan

واقعا ممنون که جواب میدین

این کارو انجام دادم هم تو 7 هم تو XP و پسورد میخواد ولی Athenticate نمیشه ( این همون یوزر و پسوردیه که تو رادیوس درست کزدیم دزسته؟)

تو ویندوز 7 هم نه خطایی نه چیزی که پسورد بخواد نیست failed میشه

جعفر قنبری شوهانی

سوئیچ رو به عنوان authenticator برای ACS مشخص کردید؟

aseman.guilan

اگه منظورتون AAA Clients تو ACS هست بله معرفی کردم و یوزر پسورد هم از اینجا میخونه دیگه درسته؟

تو سوییچ

radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key rad123

اینجا بهش میگیم که برو از ACS پسوردو بگیر؟

جعفر قنبری شوهانی

برای اینکه متوجه بشین چرا احراز هویت انجام نمیشه باید برید قسمت گزارشگیری و از اونجا بررسی کنید که چرا احراز هویت انجام نمیشه

aseman.guilan

وب سایت توسینسو

اینم صفحه گزارش خطا

با MD5 تو XP شناسایی Athenticate میشه ولی Protect EAP (PEAP نه

جعفر قنبری شوهانی

همینطور که توی متن گزارش اومده تنظیمات PEAP در ACS انجام نشده و باید برای ACS مشخص کنید که از این پروتکل می خواد استفاده بشه

aseman.guilan

دیدم مهندس ولی توی SYS configuration تو بخش Global Authentication Setupمگه نباید تنظیم بشه؟

ولی اینجا که PEAP سه تا گزینه داره که هر کدوم بزارم خطا رو به روشو میده

وب سایت توسینسو

دز ضمن ت Help نوشه

PEAP

PEAP is the outer layer protocol for the secure tunnel.

Note: PEAP is a certificate-based authentication protocol. PEAP authentication can occur only after you have completed the required steps on the ACS Certificate Setup page.

نوشته certificate-based ؟؟؟؟

جعفر قنبری شوهانی

certificate که استفاده میشه یکطرفه هست و فقط کلاینت می تونه سرور رو با این certificate بررسی کنه که می تونید توی تنظیم کلاینت مشخص کنید که برای سرور certificate نیاز نیست

توضیحات این پروتکل ها رو اگه بخونید دقیقا ویژگی هاشو ذکر کردم :


(Protected EAP (PEAP به صورت مشترک توسط Cisco Systems ، Microsoft و RSA Security ارائه شده است و از روش های مختلف کپسوله کردن EAP به همراه تانل (Transport Layer Security (TLS پشتیبانی می کند.

PEAP از مجموعه از روش های تایید هویت کاربران پشتیبانی می کند. در سمت سرور از Certificate برای تایید هویت استفاده می شود که بر پایه (public-key infrastructure (PKI می باشد. PEAP میتواند برای تایید هویت از یوزر و پسورد های ویندوزی استفاده کند که این یوزر و پسوردها می توانند دامینی یا به صورت local باشد.

PEAP برای عملکرد خود از دو فاز استفاده می کند :

فاز 1 : در این فاز یک تانل امن توسط سرور ایجاد می گردد. که این تانل برای حمل بسته های تایید هویت EAP بین کاربر و Radius Server مورد استفاده قرار می گیرد.

فاز 2 : Radius Server کلاینت را به وسیله MS-CHAP version 2 از طریق تانل امنی که ایجاد شده تایید هویت می کند.

نکته : در این روش احراز هویت به صورت دو طرفه انجام می گیرد که کلاینت با استفاده از Cetificate سرور را تایید هویت می کند. در ابتدا کلاینت سرور را تایید هویت می کند.

نکته : در این روش Radius Server ما نیاز به Certificate دارد. نرم افزار ACS سیسکو قابلیت ایجاد Certificate به صورت Self-sign را دارد.


توی ACS 4 باید از توی تنظیماتش یک certificate به صورت self sign ایجاد کنید اما توی نسخه 5 به بالا این certificate به صورت پیش فرض وجود داره و نیاز به ایجاد نداره

aseman.guilan

ممنون

از اینجا certificate انجام دادم و فایل تو مسیر مشخص ایجاد شد

Self-signed Certificate Setup (only if you do not use an external CA)

Note: When you test in the lab with self-signed certificates, it results in a longer authentication time the first time a client authenticates with the Microsoft supplicant. All subsequent authentications are fine.

Complete these steps:

On the Cisco Secure ACS server, click System Configuration.

Click ACS Certificate Setup.

Click Generate Self-signed Certificate.

Type something into the Certificate subject field preceded by cn=, for example, cn=ACS33.

Type the full path and name of the certificate that you want to create, for example, c:\acscert \acs33.cer.

Type the full path and name of the private key file that you want to create, for example, c:\acscert \acs33.pvk.

Enter and confirm the private key password.

Choose 1024 from the key length drop-down menu.

Note: While Cisco Secure ACS can generate key sizes greater than 1024, the use of a key larger than 1024 does not work with PEAP. Authentication might appear to pass in ACS, but the client hangs while authentication is attempted.

Check Install generated certificate.

Click Submit.

ولی بازم EAP_PEAP Type not configured این خطا رو میده

چیزی که نباید نصب کنم؟؟ وقتی شبکه رو disable enable میکنم پسور میخواد ولی بازم failed میده

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....