Laboratorní úloha č. 8

Úvod

Cílem této laboratorní úlohy je studentům přiblížit možnosti centralizované autentizace v porovnání s mechanismy lokálního ověřování identity uživatelů, resp. zařízení. Seznámí se s principy zabezpečení přístupu do sítě pomocí autentizačních protokolů EAP (Extensible Authentication Protocol) a RADIUS (Remote Authentication Dial-In User Service) a získají praktické zkušenosti s implementací RADIUS serveru jakožto centrálního prvku pro řízení přístupu a zabezpečené připojení do sítě.

V rámci této úlohy získáte základní poznatky o procesu autentizace klienta ve Wi-Fi síti s podporou standardu IEEE 802.1X. V teoretické části bude vysvětlen způsob konfigurace serveru FreeRADIUS a popsán proces ověřování identity uživatele prostřednictvím externího autentizačního mechanismu. V praktické části si v připravené virtuální síti složené ze tří virtuálních strojů ve VMware – klienta, přístupového bodu a autentizačního serveru – vyzkoušíte nasazení a konfiguraci FreeRADIUS serveru, jako centrálního autentizačního bodu, jeho propojení s přístupovým bodem pomocí protokolu EAP a samotnou autentizaci klienta. Důležitou součástí úlohy bude analýza průběhu autentizačního procesu pomocí nástrojů síťové analýzy, která studentům umožní lépe porozumět vzájemné spolupráci jednotlivých vrstev síťové architektury, především linkové, síťové a aplikační.

Teoretický úvod

V této laboratorní úloze zaměřené na autentizační protokoly EAP a RADIUS se seznámíte s možnostmi centralizovaného řízení přístupu a ověřování uživatelů v počítačových sítích. Autentizace je jedním z klíčových prvků pro dosažení vysoké úrovně zabezpečení.

Kombinace autentizační metody EAP (Extensible Authentication Protocol) a systému RADIUS (Remote Authentication Dial-In User Service) se běžně využívá především v podnikových Wi-Fi sítích a VPN, kde slouží k centralizované správě ověřování identity uživatelů a řízení jejich přístupu ke sdíleným síťovým prostředkům.

IEEE 802.1X

IEEE 802.1X je síťový standard definovaný organizací IEEE , který slouží ke kontrole přístupu do lokálních sítí. Představuje základní technologii pro řízení přístupu na úrovni fyzických portů. PNAC, z angl. Port-Based Network Access Control V praxi to znamená, že zařízení (klient) nezíská plný přístup k síťovým službám, dokud neproběhne úspěšně autentizační proces. Tento proces zahrnuje spolupráci tří základních prvků:

• klient (supplicant) – resp. koncové zařízení (např. notebook nebo virtuální stroj), které se snaží připojit do sítě a předkládá svou identitu;
• ověřovatel (authenticator) – zpravidla přístupový bod (AP) do bezdrátové sítě nebo přepínač (switch), který reguluje přístup koncových klientů do sítě a zprostředkovává výměnu autentizačních informací mezi těmito klienty a autentizačním serverem;
• autentizační server – ověřovací server (typicky RADIUS), který na základě definovaných konfiguračních pravidel a uložených přihlašovacích údajů rozhoduje, zda klientovi bude přístup do sítě povolen či zamítnut.

Standard IEEE 802.1X se často používá ve spojení s protokolem EAP (Extensible Authentication Protocol) a v podnikových sítích představuje běžný způsob řízení bezpečného přístupu. Detailní znění standardu IEEE 802.1X je dostupné na oficiálních stránkách, přičemž bližší vysvětlení principů a průběhu autentizace lze nalézt i v odborné literatuře [3], [4], [5].

Extensible Authentication Protocol (EAP)

EAP představuje flexibilní autentizační framework navržený pro podporu různých metod ověřování přistupujících uživatelů. Nejedná se o konkrétní autentizační protokol, ale o rámec, který umožňuje využití několika různých autentizačních metod. Jednotlivé metody jsou založeny na výměně zpráv mezi klientem (např. uživatelským zařízením) a autentizačním serverem (např. RADIUS serverem). EAP se široce používá v bezdrátových sítích a v zabezpečených VPN připojeních.

Mezi nejznámější autentizační metody EAP patří:

• EAP-MD5: jednoduchá autentizační metoda založená na principu výzva-odpověď, kdy klient žádající o ověření identity obdrží od autentizačního serveru náhodně generovanou výzvu (challenge), na kterou odpovídá zprávou (response) obsahující hash vytvořený z autentizačního faktoru klienta, typicky hesla, a náhodné výzvy, kterou získal od serveru. Tato metoda však není považována za bezpečnou, protože výměna obou zpráv (výzvy a odpovědi) probíhá nešifrovaně.
• EAP-TLS: metoda využívá digitální certifikáty jak na straně klienta, tak serveru. Jde o nejbezpečnější variantu mezi dostupnými metodami, avšak vyžaduje zavedení infrastruktury pro správu certifikátů.
• EAP-TTLS: rozšiřuje metodu EAP-TLS o možnost kombinace certifikátu a tradičních přihlašovacích (autentizačních) údajů, např. v podobě přístupového jména a hesla. Certifikát se používá pouze k ověření serveru, což usnadňuje implementaci autentizační metody.
• PEAP (Protected EAP): metoda obsahuje mechanizmy pro tunelování autentizačních údajů přes šifrované TLS spojení. Uživatelské jméno a heslo jsou přenášeny uvnitř tohoto bezpečného kanálu, čímž se zvyšuje míra zajištění důvěrnosti autentizačních údajů žadatele o ověření identity.

Protokol EAP definuje základní rámec pro autentizační proces, přičemž všechny metody využívají stejné typy základních EAP zpráv, které si klient a autentizační server (zprostředkovaně přes přístupový bod nebo přepínač) vyměňují. Existují čtyři základní typy zpráv, jejich přehled je uveden v následující tabulce.

Každá EAP zpráva má následovný základní formát:

• Code – označuje typ zprávy ( 1 = Request, 2 = Response, 3 = Success, 4 = Failure);
• Identifier – slouží ke spárovaní výzvy a odpovědi;
• Length – dĺžka EAP zprávy  v B;
• Payload – pole využívané v procesu autentizace, je obsaženo jenom ve zprávách EAP-Request a  EAP-Response. Dělí se na:
  • Type Příklady hodnot pole Type jsou např.: 1 = Identity: požadavek/odpověď s identitou (např. uživatelské jméno); 2 = Notification: zpráva sloužící k informování klienta, resp. žadatele; 3 = NAK: odmítnutí typu autentizace ze strany klienta; 4 = MD5-Challenge: zpráva používaná pro odesílání výzvy a odpovědi v průběhu autentizace MD5. – určuje, co bude obsahem následujících dát (Type-Data) – například, zda se jedná o výměnu identity klienta, výzvu pro zadání hesla, odeslání certifikátu apod. Pole definuje konkrétní EAP metodu nebo příslušný krok, resp. fázi autentizačního procesu.
  • Type-Data – obsahuje vlastní data podle konkrétního typu zprávy (např. řetězec s identitou klienta, náhodná výzva, hash hesla, certifikát atd.)

Rozložení základních polí EAP zprávy je znázorněno na obrázku níže.

V procesu autentizace si mezi sebou klient (resp. žadatel) a autentizační server vyměňují EAP zprávy zprostředkovaně přes AP. Typicky server odosiela požiadavky (Request), na které klient reaguje odpovědí (Response). V závislosti na konkrétním typu použité autentizační metody de liší obsah datové části přenášené v příslušné EAP zprávě. Jako příklad lze uvést různé typy zpráv, které jsou odesílány v průběhu autentizačního procesu pomocí metody MD5:

• EAP-Request/Identity:
  Server vyžaduje od klienta jeho jméno (identitu). V poli Type je uvedena hodnota 1 (Identity), následuje textový řetězec "Who are you?".


• EAP-Response/Identity:
  Klient v odpovědi zasílá svou identitu, obvykle ve formě uživatelského jména. V poli Type je opět uvedena hodnota 1 = (Identity), následuje řetězec s identitou.


• EAP-Request/MD5-Challenge:
  Server zasílá výzvu (challenge) k zadání autentizačních údajů.


• EAP-Response/MD5-Challenge:
  Klient reaguje na výzvu serveru a odesílá zprávu, která obsahuje údaje potřebné k ověření identity. V případě autentizace pomocí MD5 jde o hash řetězce složeného z ID žadatele, hesla a přijaté výzvy.

Autentizace EAP-MD5

EAP-MD5 je jednoduchá autentizační metoda používaná k ověřování identity uživatelů v počítačových sítích. Funguje na principu, kdy server (autentizátor) odešle klientovi výzvu (challenge), klient na základě svého uživatelského jména, hesla a obdržené výzvy vypočítá odpověď (response), kterou zašle zpět. Server následně tuto odpověď porovná s očekávaným výsledkem a na základě shody klientovi přístup do sítě buď povolí, nebo zamítne.

Výhodou této metody je její rychlost a jednoduchost. Mezi hlavní nevýhody však patří absence jakýchkoli mechanismů pro šifrování či ochranu přenášených dat – klientovo heslo lze totiž poměrně snadno získat pomocí útoku hrubou silou . EAP-MD5 nepodporuje ověření serveru, a proto je považována za nevhodnou pro použití ve veřejných sítích. Výborně se však hodí pro výukové účely, protože umožňuje názorně vysvětlit základní principy a jednotlivé kroky autentizačního procesu.

Průběh autentizace pomocí EAP-MD5 zahrnuje celkem pět základních kroků, jejichž analýzu přináší následující tabulka. Schematické znázornění průběhu komunikace je uvedeno na obrázku.

EAPoL (EAP over LAN)

Při komunikaci probíhající v sítích IEEE 802.1X jsou EAP zprávy mezi klientem (supplicant) a přístupovým bodem (authenticator) přenášeny ve formátu EAP over LAN na linkové vrstvě – tzv. EAPoL zprávy.

EAPoL představuje rozšíření protokolu EAP navržené specificky pro použití v sítích založených na přenosových technologiích Ethernet a Wi-Fi, kde se autentizační data přenášejí přímo na druhé (linkové) vrstvě referenčního modelu ISO/OSI.

EAPoL slouží výhradně ke komunikaci klienta s AP a jeho úkolem je přenášet EAP zprávy zapouzdřené do ethernetového rámce na linkové vrstvě. Standard EAPoL definuje pět základních typů zpráv:

Proces zapouzdření EAPoL zprávy do ethernetového rámce na úrovni linkové vrstvy je znázorněn na dalším obrázku, přičemž struktura samotné EAPoL zprávy je rovněž graficky zobrazena. Význam jednotlivých polí je následující:

• Version – verze protokolu EAPoL (např. 0x01 pro IEEE 802.1X);
• Type – typ EAPoL zprávy (např. 0x00 pro EAP-Packet);
• Length – délka datové části zprávy v bajtech;
• Body – samotný obsah, tj. zpráva EAP protokolu (např. EAP výzva (Request), odpověď (Response), apod.) – pole Body je přítomné pouze u zpráv typu EAP-Packet.

Přístupový bod (AP) následně tyto EAP zprávy zapouzdřuje do zpráv protokolu RADIUS na aplikační vrstvě a přeposílá je dále na autentizační server.

Výhodou protokolu EAP je jeho modularita a schopnost přizpůsobit se různým scénářům z praxe. Metody frameworku EAP tvoří základní pilíře zabezpečení zejména v dnešních Wi-Fi sítích s WPA-Enterprise, jelikož umožňují výběr z široké škály různých autentizačních metod podle konkrétních požadavků.

Podrobný popis architektury, typů a formátů přenášených zpráv i používaných autentizačních metod lze nalézt v oficiálním standardu definujícím EAP, dokumentu RFC: Extensible Authentication Protocol (EAP). Více o jednotlivých autentizačních metodách dostupných v rámci EAP frameworku, včetně detailní analýzy výhod, a naopak omezení a nedostatků jednotlivých přístupů, lze najít v literatuře [7].

RADIUS (Remote Authentication Dial-In User Service)

RADIUS pje aplikační protokol založený na architektuře klient-server, který poskytuje služby AAA (Authentication, Authorization, Accounting),tedy autentizaci, autorizaci a účtování. Byl vyvinut jako mechanismus centralizované autentizace uživatelů. V kontextu IEEE 802.1X je klíčovým prvkem autentizační server RADIUS. V lokálních sítích plní jeho úlohu přístupový bod, který vystupuje jako klient protokolu RADIUS a veškeré zprávy přijaté od klienta přeposílá na autentizační server.

Mezi hlavní součásti architektury RADIUS patří:

• klient RADIUS: zařízení, které pro přistupujícího uživatele zprostředkovává proces autentizace (např. Wi-Fi přístupový bod nebo VPN server). Toto zařízení přijímá požadavky na připojení a odesílá je autentizačnímu RADIUS serveru
• RADIUS server: zpracovává autentizační požadavky, ověřuje zadané autentizační údaje a na základě výsledku procesu ověřovaní identity rozhoduje o povolení či zamítnutí přístupu;
• databáze uživatelů: jedná se úložiště obsahující přihlašovací (autentizační) údaje uživatelů a případně i další informace a oprávnění nezbytná pro řízení přístupu ke sdíleným prostředkům. Může jít např. o soubor, LDAP server nebo jiný adresářový systém.

Protokol RADIUS využívá na transportní vrstvě jednoduchý bezstavový protokol UDP a typicky komunikuje na portech 1812 (pro autentizaci) a 1813 (pro účtování). Po úspěšné autentizaci může být přistupujícímu uživateli umožněn přístup do sítě či k požadovaným prostředkům.

Autentizační server RADIUS v procesu autentizace

V procesu autentizace EAP-MD5 vystupují tři klíčové komponenty: klient (žadatel), přístupový bod (AP) a autentizační server RADIUS. Přístupový bod slouží jako prostředník, který pouze přenáší autentizační zprávy mezi klientem a serverem. Komunikace mezi klientem a AP probíhá formou EAP zpráv zapouzdřených do EAPoL (EAP over LAN), které jsou přenášeny přes Ethernet.

Autentizační server je zodpovědný za samotné ověření identity klienta. Jakmile AP obdrží od klienta zprávu typu EAP-Response/Identity , s jeho identitou, zapouzdří ji do RADIUS zprávy typu Access-Request a odešle na server. Server odpoví výzvou typu Access-Challenge, která obsahuje náhodný řetězec (výzvu, challenge), a ten je následně přeposlán klientovi prostřednictvím AP jako zpráva typu EAP-Request/MD5-Challenge.

Klient z výzvy, ID výměny a svého hesla spočítá hash a odešle jej zpět jako reakci (odpověď, response) ve zprávě EAP-Response/MD5-Challenge . AP tuto odpověď opět zapouzdří do zprávy Access-Request a přepošle ji RADIUS serveru. Server ověří správnost výpočtu (porovná s vlastním výpočtem hodnoty hash) a na základě výsledku rozhodne o úspěšnosti autentizace. V případě úspěchu odešle zprávu Access-Accept, jinak Access-Reject. AP poté informuje klienta výslednou zprávou EAP-Success , resp.  EAP-Failure .

Tento mechanismus zajišťuje, že heslo klienta nikdy není přenášeno v otevřené podobě. AP přitom nezná žádné autentizační údaje – jeho úkolem je pouze zapouzdření EAP zpráv do formátu RADIUS a zpět. Protokol RADIUS se používá výhradně pro komunikaci mezi AP a autentizačním serverem, zatímco EAPoL slouží k přenosu zpráv mezi klientem a AP. Podrobný průběh komunikace je znázorněn na obrázku:

Pro více informací a podrobnější vysvětlení a popis výše uvedených protokolů a metod autentizace je možné nahlédnout do literatury [8], [9], [10]

Použité nástroje

Wireshark

Wireshark je síťový analyzátor, který umožňuje sledování datových přenosů. Použití tohoto nástroje jste si prakticky vyzkoušeli již v několika předchozích laboratorních úlohách, a proto zde nebude detailněji popisován.

FreeRADIUS

FreeRADIUS představuje open-source řešení pro implementaci protokolu RADIUS určeného k autentizaci, autorizaci a účtování přístupů v sítích. Umožňuje nasazení RADIUS serverů a je využíván jak v podnikových, tak ve veřejných sítích pro potřeby centralizovaného ověřování uživatelů. FreeRADIUS podporuje široké spektrum autentizačních protokolů, včetně EAP-MD5, PEAP, EAP-TTLS a mnoha dalších, což z něj činí vhodné řešení pro různorodá síťová prostředí.
Kromě samotné autentizace nabízí FreeRADIUS také možnosti monitorování činnosti uživatelů v síti a vytváření záznamů o jejich přístupech ke zdrojům. FreeRADIUS je modulární a flexibilní, což umožňuje jeho integraci s databázemi, LDAP servery a dalšími externími autentizačními systémy.

Instalace a konfigurace RADIUS serveru

V rámci praktické části úlohy budete realizovat vlastní implementaci RADIUS serveru. Pro tento účel bude využit nástroj FreeRADIUS dostupný v systému Kali Linux.
Instalace FreeRADIUS na Kali Linux:

Konfigurace autentizační politiky v souboru /etc/freeradius/3.0/users pro přidání nového uživatele:

Spuštění vytvořeného RADIUS serveru:

Hostapd

Hostapd představuje softwarové řešení, které umožňuje běžným klientským zařízením (např. virtuálnímu stroji s Kali Linux) emulovat funkcionalitu plnohodnotného přístupového bodu (authenticator) ve smyslu standardu IEEE 802.1X. Je primárně navržen pro bezdrátové sítě, avšak v laboratorních podmínkách může být využit i v simulovaném ethernetovém prostředí. Umožňuje implementaci autentizačních mechanismů, správu SSID SSID (Service Set IDentifier) představuje název bezdrátové sítě, který se zobrazuje uživatelům při připojení ke konkrétní Wi-Fi. , zabezpečení sítě a komunikaci s RADIUS serverem. V rámci laboratorní úlohy bude nástroj hostapd použit k vytvoření jednoduchého autentizačního bodu sítě, který zprostředkovává výměnu údajů mezi klientem a RADIUS serverem prostřednictvím EAP.

Základní parametry jako název sítě (SSID), síťové rozhraní, povolení mechanizmu autentizace IEEE 802.1X a údaje o RADIUS serveru jsou součástí konfiguračního souboru hostapd.conf.
Příklad konfigurace:

conn test
interface=eth0
driver=wired
ssid=EduLab
ieee8021x=1
auth_server_addr=192.168.126.130
auth_server_port=1812
auth_server_shared_secret=heslo1245

Vysvětlení jednotlivých nastavení obsažených v konfiguraci:

• interface=eth0 – určuje síťové rozhraní, na kterém bude hostapd naslouchat a zprostředkovávat autentizační procesy.
• driver=wired – specifikuje průběh 802.1X autentizace přes ethernetové připojení.
• ssid=EduLab – nastavuje název sítě (SSID), který bude AP vysílat.
• ieee8021x=1 – aktivuje podporu autentizačního protokolu IEEE 802.1X.
• auth_server_addr=192.168.126.130 – IP adresa RADIUS serveru.
• auth_server_port=1812 – standardní port pro autentizační požadavky používaný na straně RADIUS serveru.
• auth_server_shared_secret=heslo1245 – sdílené heslo (tajný klíč) pro zabezpečení komunikace mezi přístupovým bodem a RADIUS serverem.

Po definování konfiguračních parametrů a uložení příslušného konfiguračního souboru se služba hostapd spouští příkazem:

Uvedený příkaz zajistí načtení konfiguračního souboru a spuštění služby hostapd s požadovanými nastaveními. Je nezbytné jej spouštět s administrátorskými oprávněními (sudo), protože práce se službou hostapd zahrnuje manipulaci se síťovými rozhraními, jejich konfiguraci a správu autentizačních procesů, které vyžadují vyšší úroveň systémových oprávnění. Pozn.: správná konfigurace a spuštění tohoto nástroje je nezbytné pro úspěšné zprostředkování autentizace mezi klientem a RADIUS serverem.

Wpa_supplicant

Praktická část

V rámci praktické části úlohy získáte komplexní přehled o možnostech implementace autentizačních protokolů EAP a RADIUS a také vlastní praktické zkušenosti s nastavením a správnou konfigurací vhodných metod autentizace a pokročilého řízení přístupu ke zdrojům v počítačové síti.

Topologie virtuální sítě a nastavení virtuálních strojů

Vytvořená síť bude sestávat ze tří virtuálních strojů:

• klient: simulované koncové zařízení, které se připojuje do sítě přes 802.1X
• Access Point (authenticator )= přístupový bod: zařízení využívající hostapd, zprostředkovatel autentizace, resp. komunikace klienta s autentizačním RADIUS serverem
• RADIUS server:zařízení s implementovanou instancí autentizačního serveru pomocí nástroje freeradius

Sieťová konfigurácia:

• klient: 192.168.126.129
• přístupový bod: 192.168.126.131
• RADIUS server: 192.168.126.130

Všechny virtuální stroje musí být propojeny ve stejné virtuální podsíti, doporučuje se použít síťový režim: "Host-only".

Seznámení se s použitými nástroji

Přehled základních příkazů pro jednotlivé používané nástroje

• FreeRADIUS:
  • instalace:
    sudo apt install freeradius
  • spuštění:
    sudo systemctl start freeradius
  • ověření stavu:
    sudo systemctl status freeradius
  • záznamy o událostech (logy) jsou dostupné v souboru:
    /var/log/freeradius/radius.log
• hostapd:
  • instalace:
    sudo apt install hostapd
  • konfigurační soubor obsahující nastavení SSID, síťových parametrů a parametrů souvisejících s autentizačním procesem:
    /etc/hostapd/hostapd.conf
• wpa_supplicant:
  • nastavení služby se provádí úpravou konfiguračního souboru:
    /etc/wpa_supplicant/wpa_supplicant.conf
  • příklad spuštění autentizačního procesu:
    sudo wpa_supplicant -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -D wired

Postup pro vypracování laboratorní úlohy

A) Příprava prostředí

Spuštění virtuálních strojů

• Otevřete VMware Workstation Pro (zástupce na ploše).
• Postupně spusťte všechny tři virtuální stroje (klient, AP, RADIUS server).
• Zkontrolujte, že všechny VMs jsou připojeny ke stejné virtuální síti (např. NAT nebo Host-Only).
  Ověřte také správnost síťové konfigurace a přidělení IP adres.
• Přihlaste se do prostředí Kali Linux na všech VMs.

Přihlašovací údaje:

Ověření síťové konektivity

• Otevřete terminál (kliknutím na ikonu terminálu na horní liště nebo stlačte Ctrl + Alt + T).


• Na jednotlivých VMs si zobrazte přidělené IP adresy (na rozhraní eth0) příkazem:
  ip a


• Zkontrolujte konektivitu mezi stroji pomocí ping z klienta na AP a server, a obousměrně mezi AP a RADIUS serverem:
  ping <ip_adresa_zařízení>
  Pokud přichází odpověď ping echo reply ze strany serveru, síťová komunikace mezi zařízeními funguje.

B) Konfigurace přístupového bodu

Aby mohl přístupový bod vytvořené sítě v procesu autentizace klienta vystupovat jako authenticator a zprostředkovávat komunikaci mezi klientem a autentizačním RADIUS serverem, je třeba příslušný VM náležitě nakonfigurovat. Pro tento účel bude použit nástroj hostapd, který umožňuje plnohodnotně emulovat funkčnost přístupového bodu na „běžném zařízení“.

Použití nástroje hostapd

• Na VM, který bude zastávat roli přístupového bodu, otevřete terminál (ikona v horním panelu nebo v menu zvoľte Applications > System Tools > Terminal). Otevře se okno s příkazovou řádkou.


• Nainstalujte hostapd pomocí příkazu:
  sudo apt install hostapd bridge-utils -y


• Aby mohl VM obstarávat funkce AP v autentizačním procesu, je nutné vhodně upravit konfiguraci v konfiguračním souboru /etc/hostapd/hostapd.conf.
  Vytvořte nebo upravte soubor:
  sudo nano /etc/hostapd/hostapd.conf
• Do souboru vložte požadovanou konfiguraci:

  conn test
  interface=eth0
  driwer=wired
  ssid=EduLab
  ieee8021x=1
  auth_server_addr=192.168.126.130
  auth_server_port=1812
  auth_server_shared_secret=radiusheslo
  

• Po úpravě konfigurace stiskněte kombinaci kláves Ctrl + O pre uložení, potvrďte název souboru klávesou Enter a nakonec ukončete textový editor kombinací Ctrl + X.


• Alternativně: Ctrl + X → Y → Enter – tímto způsobem se změny uloží a editor se ukončí.


• Následně spusťte službu hostapd:
  sudo hostapd /etc/hostapd/hostapd.conf
V případě úspěšného spuštění služby se v používaném terminálovém okně zobrazí stav AP-ENABLED .

C) Konfigurace RADIUS serveru

Implementace a následná konfigurace vlastního autentizačního RADIUS serveru na jednom z používaných VMs bude provedena pomocí nástroje FreeRADIUS

Instalace nástroje FreeRADIUS

• Na serveru otevřete terminál.
• Po zobrazení okna s příkazovou řádkou nejdříve zkontrolujte, jestli je FreeRADIUS na VM nainstalován, případně nainstalujte příkazem:
  sudo apt update
  sudo apt install freeradius

Konfigurace uživatele

• Po instalaci je nutné na autentizačním RADIUS serveru vytvořit záznam o autentizačních údajích klienta (žadatele):
  • Pro úpravu konfiguračních souborů nástroje FreeRADIUS bude třeba použít privilegovaný režim. Zadejte příkaz:
    sudo -i
    jako heslo (password) zadejte: kali
    
  
  
  • Otevřete soubor:
    sudo nano /etc/freeradius/3.0/users
  • a do souboru vložte následující záznam:

    student Cleartext-Password := "tajneheslo"

Konfigurace přístupového bodu

• V dalším kroku je třeba definovat také parametry spojení mezi RADIUS serverem a přístupovým bodem.
  • Otevřete soubor:
    sudo nano /etc/freeradius/3.0/clients.conf
  
  
  • a do souboru vložte následující záznam:

    client ap {
    	ipaddr = 192.168.126.131
    	secret = radiusheslo
    }
    

Spuštění služby

• Následně server restartujte a spusťte službu:
  sudo systemctl start freeradius


• Po spuštění služby FreeRADIUS sledujte logy (záznamy událostí) pro ověření správnosti použitých nastavení – potřebné logy se automaticky zobrazí v terminálu po zadání příkazu:
  sudo journalctl -u freeradius -f
Logy obsahují důležité informace o průběhu autentizačního procesu, jako jsou úspěšné nebo neúspěšné pokusy o autentizaci, chyby v konfiguraci, zamítnuté požadavky na přístup nebo problémy se síťovou komunikací. Pokud se v logech objeví chybová hlášení (např. neplatné přihlašovací údaje, nesprávný klíč, resp. shared secret mezi AP a RADIUS serverem apod.), je třeba všechny zaznamenané chyby analyzovat a opravit.


• Příklad ukázkového výstupu logu FreeRADIUS:

  
  (0) Received Access-Request Id 45 from 192.168.126.128:54321 to 192.168.126.130:1812 length 150
  (0) User-Name = "student"
  (0) NAS-IP-Address = 192.168.126.128
  (0) Called-Station-Id = "00-11-22-33-44-55:EduLab"
  (0) Calling-Station-Id = "66-77-88-99-AA-BB"
  (0) EAP-Message = 0x0200000d0173747564656e74
  (0) Message-Authenticator = 0x1234567890abcdef1234567890abcdef
  (0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
  (0)   authorize {
  (0)     ok
  (0)   } # authorize = ok
  (0) Found Auth-Type EAP
  (0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
  (0)   authenticate {
  (0)     eap: Peer sent EAP Response (code 2) ID 0 length 13
  (0)     eap: No EAP Start, assuming it's an on-going EAP conversation
  (0)   } # authenticate = ok
  (0) Sent Access-Accept Id 45 from 192.168.126.130:1812 to 192.168.126.128:54321 length 80	
  
  

D) Konfigurace klienta

Pro zajištění bezpečného připojení k bezdrátové síti a autentizace pomocí protokolu IEEE 802.1X a komunikace s autentizačním serverem RADIUS bude na straně klienta použit nástroj wpa_supplicant.

Použití nástroje wpa_supplicant

• Na VM klienta otevřete terminál.
• Nainstalujte wpa_supplicant a spusťte:
  sudo apt install wpasupplicant -y


• Vytvořte nebo upravte konfigurační soubor služby wpa_supplicant:
  sudo nano /etc/wpa_supplicant/wpa_supplicant.conf
• Do souboru vložte následující konfiguraci:

  network={
  	ssid="EduLab"
  	key_mgmt=IEEE8021X
  	eap=MD5
  	identity="student"
  	password="tajneheslo"
  } 

• Upravený soubor uložte pomocí kombinace kláves Ctrl + O, potvrďte stiskem klávesy Enter a následně ukončete pomocí Ctrl + X.


• Poté spusťte wpa_supplicant:
  sudo wpa_supplicant -i eth0 -c /etc/wpa_supplicant/wpa_supplicant.conf -D wired
Sledujte výstup v terminálu, ve kterém by se mělo zobrazit hlášení potvrzující úspěšné připojení.

Sledování a analýza komunikace ve Wiresharku

• Na klientovi (případně na AP) spusťte Wireshark pomocí příkazu:
  
  sudo wireshark &
  Přepínač sudo spustí nástroj Wireshark s oprávněními administrátora, což je nezbytné pro zachytávání síťového provozu v Kali Linux.


• Vyberte rozhraní eth0 a spusťte zachytávání datové komunikace kliknutím na tlačítko "Start Capturing" (ikona modrého žraloka) nebo volbou Capture > Start.


• Nastavte filtr pro zachytávání paketů protokolů EAP a RADIUS. Do pole pro filtr v horní části Wiresharku zadejte:
  
  eap or radius


• Po spuštění zachytávání komunikace se pokuste připojit klienta k síti a sledujte průběh autentizačního procesu. Zaměřte se zejména na:
  • zahájení komunikace a výměnu EAP zpráv při autentizaci EAP-MD5 ( Identity Request/Response, Success/Failure);
  • v zachycené komunikaci na AP analyzujte požadavky Access-Request a odpovědi Access-Accept/Reject v protokolu RADIUS.
  
  
• Rozklikněte zachycené pakety a analyzujte jejich podrobnosti:
  • v EAP paketech si všímejte hodnoty "Identity", "Request", "Response",
  • hodnoty v poli Identifier v příslušných zprávách Request/Response,
  • v paketech protokolu RADIUS sledujte pořadí odeslaných zpráv a odpovídající hodnotu v poli Identifier,
  • dále atributy jako User-Name, NAS-IP-Address, Message-Authenticator,
  • ověřte shodu mezi identitou v EAP a RADIUS zprávách,
  • a nakonec sledujte, zda se v případě úspěšné autentizace objeví zpráva "Access-Accept".
  
  
• Po dokončení procesu můžete zachytávání probíhající komunikace ukončit kliknutím na "Stop Capturing". Ukázku zachycené komunikace můžete vidět níže na obrázku.

Závěr

V tomto laboratorním cvičení jste se seznámili s možnostmi centralizované autentizace klientů s využitím autentizačního serveru RADIUS.

V praktické části jste ve vytvořené virtuální síti simulovali pomocí tří virtuálních strojů autentizační proces využívající metodu EAP-MD5 a měli jste možnost analyzovat průběh celé komunikace přistupujícího klienta se vzdáleným autentizačním RADIUS serverem, jehož zprostředkovatelem byl přístupový bod. V prostředí nástroje Wireshark jste analyzovali výměnu EAP zpráv, které jsou přenášeny v průběhu autentizace, a to jednak mezi klientem a přístupovým bodem prostřednictvím protokolu EAPoL na linkové vrstvě, a následně aplikačním protokolem RADIUS mezi přístupovým bodem a autentizačním serverem. Vaším samostatným úkolem bylo následně implementovat metodu EAP-TLS využívající pro ověření identity klienta certifikát s veřejným klíčem a provést její porovnání s předchozí použitou autentizační metodou.

Seznam literatury

Kompletní seznam použitých zdrojů naleznete na samostatné stránce: Seznam literatury