《x与radiusserver》PPT课件.ppt

802.1X应用简单介绍,820.1X的来历 802.1X的概念 820.1X重要组成部分名词解释 820.1X认证体系结构 802.1X认证流程 Radius server的安装配置,一、802.1X的来历,802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议）。,在802.1x出现之前，IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。这在早期企业有线LAN应用环境下并不存在明显的安全隐患。 随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。,二、802.1X的概念,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）。 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。,三、名词解释,以下的名词为802.1x协议中的重要组成部分： Supplicant 客户端 客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator 如下）发起请求，对其身份的合法性进行检验。 Authenticator认证系统 认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。 Authentication Server 认证服务器 认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。,Network Access Port 网络访问端口 网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。 Port Access Entity (PAE) 端口访问实体 指一个端口的相关协议实体。PAE 能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。 System 系统 系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。,四、802.1X认证体系,PAE：认证机制中负责处理算法和协议的实体。 EAP：Extensible Authentication Protocol,802.1x协议的体系结构,五、认证流程 wireless实际效果图,Wireless认证流程,802.1X认证流程,基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-TTLS以及LEAP，PEAP等认证方法。,EAP-MD5(消息摘要)验证是一种提供基本级别的EAP支持的EAP验证类型。它提供单向验证(不存在无线客户端和验证端的相互验证) EAP-TLS(传输层安全)提供了基于证书的客户端和验证端间的相互验证，并可用来动态生成基于用户和基于会话的WEP密钥，必须同时在客户端和服务器端管理证书,每个使用者在使用EAP-TLS认证的服务以前,都必须要先取得网路上负责认证CA的Certificate. EAP-TTLS(隧道传输层安全)由Funk Software和Certicom公司开发的，是EAP-TLS的一种扩展。它提供了一种基于证书的验证方法，并通过加密的隧道进行客户端和网络的相互验证，还提供了一种方法来根据每个用户、每个会话动态派生WEP密钥。与EAP-TLS不同的是，EAP-TTLS只需要服务器端的证书,LEAP(轻量级可扩展验证协议)是一种主要用于 Cisco Aironet WLAN中的EAP验证类型。它使用动态生成的WEP密钥对数据传输进行加密，并支持相互验证 PEAP(受保护的可扩展验证协议)Microsoft、Cisco和RSA Security公司共同开发。PEAP通过在PEAP传输来实现此目的。与隧道传输层安全(TTLS)标准相同，PEAP也使用隧道以及只使用服务器端的证书进行验证,基于EAP-MD5的802.1x认证流程,以EAP-MD5为例，描述802.1x的认证流程，如图：,(1)客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入； (2)接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来； (3)客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名； (4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器；,(5)认证服务器产生一个Challenge，通过RADIUS Access-Challenge报文发送给接入设备，其中包含有EAP-Request/MD5-Challenge； (6)接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证； (7)客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备； (8)接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证,(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束； (10)如果认证通过，用户通过标准的DHCP协议，通过接入设备获取规划的IP地址； (11)如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器； (12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。,总结,802.1x认证系统提供了一种用户接入认证的手段，它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时，该端口打开，而对于非法用户接入或没有用户接入时，则使端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及其它认证技术所考虑的IP地址协商和分配问题，是各种认证技术中最为简化的实现方案。 必须注意到802.1x认证技术的操作颗粒度为端口，合法用户接入端口之后，端口始终处于打开状态，此时其它用户(合法或非法)通过该端口接入时，不需认证即可访问网络资源。对于无线局域网接入而言，认证之后建立起来的信道(端口)被独占，不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网，就存在端口打开之后，其它用户(合法或非法)可自由接入且难以控制的问题。因此，在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术，还需要谨慎分析所适用的场合，并考虑与其它信息绑定组合认证的可能性。,六、 Radius server的安装与配置,1、802.1x server setup Step 1 - Install Windows 2000 Domain Controller Run dcpromo.exe from the command prompt.,Step 2 - Install the required services,Go to the Control Panel, and select the Add/Remove Programs Applet Select Add/Remove Windows Components from the left side. Ensure that the following options are selected: （1）Certificate Services (It will warn you that the computer cannot be renamed and join or leave a domain after installing certificate services. Select Yes to continue.) （2）From the Application Server select the Internet Information Services (IIS) category, in which select World Wide Web Server. （3）From the Networking Services category, select Dynamic Host Configuration Protocol (DHCP), and Internet Authentication Service,Select Next.,Select the default Enterprise root CA option, and Select Next.,Enter the appropriate information to identify your Certificate Authority, and select Next.,Step 3 - Configure DHCP server,Click on the Start Button - Programs - Administrative Tools - DHCP Right-click on the your server as shown, and select New Scope.,Click Next when the New Scope Wizard Begins Enter a practical name of the scope, and its description, then select Next,Define the ip address range that you want dhcp to hand out to clients. Change the subnet mask as necessary for your ip subnet. Select Next.,If you want to add exclusions from the address range youve specified, you can do it here. Select Next.,You can set your dhcp lease to whatever works for your situation. (the default is 8 days) Select Next.,For the Parent domain enter the domain you entered formerly for the domain controller setup, and enter that servers address for the ip address. Click Next.,Select Yes, I want to activate this scope now, and click Next, then Finish.,Step 4 - Setup Certificate Authority,Click on the Start Button - Programs - Administrative Tools - Certification Authority,Right-click Policy Settings under your Certificate Authority server, select New - Certificate to Issue,Select Authenticated Session and Smartcard Logon (select more than one by holding down Ctrl key), and Select OK.,Click on the Start Button - Programs - Administrative Tools - Active Directory Users and Computers Right-click on your active directory domain, and select Properties,Select the Group Policy tab, ensure that the Default Domain Policy is highlighted, and click Edit,Under Computer Configuration - Windows Settings - Security Settings - Public Key Policies, right-click Automatic Certificate Request Settings, Select New, then Automatic Certificate Request.,When the Certificate Request Wizard comes up, select Next. Select the Computer certificate template, and click Next.,Step-5 Enable Remote Access Login for Users,Under your active directory domain right-click , Select New, then User.,Select the Dial-in tab, and select Allow access. Click OK,Open up a command prompt (Start - Run, type cmd and press enter), and type secedit /refreshpolicy machine_policy . It may take a few minutes for it to take effect.,Step - Setup Internet Authentication Service (radius),Click on the Start Button - Programs - Administrative Tools - Internet Authentication Service,Right-click on Clients, and Select New Client.,Enter a name for your access point, and click Next.,Enter the IP address of your access point, and set a shared secret. Select Finish.,Right-Click on Remote Access Policies, and Select New Remote Access Policy,Name the policy eap-tls, and select Next,Click Add. In this screen youre basically setting conditions of using eap-tls to access the network, and since I dont really want to set any restrictions and a condition is required, I select Day-And-Time-Restrictions, and click Add.,Click Permitted, then OK. Select Next.,Select Grant remote access permission, and click Next,Click on Edit Profile. and select the Authentication tab. Make sure Extensible Authentication Protocol is selected, and Smart Card or other Certificate is set. Deselect other authentication methods listed. Click OK.,Windows will a