Autenticação EAP com Servidor RADIUS

Transcrição

1 Autenticação EAP com Servidor RADIUS Consulte Páginas de Suporte do Downloads Sem Fio para obter os drivers Cisco Aironet, firmware e software utilitário. Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Configurar EAP de Rede ou Autenticação Aberta com EAP Definir o Servidor de Autenticação Definir Métodos de Autenticação de Cliente Verificação Solução de Problemas Procedimento de Solução de Problemas Comandos de Solução de Problemas Informações Relacionadas Introdução Este documento fornece uma configuração de exemplo de um ponto de acesso baseado em Cisco IOS para autenticação EAP (Extensible Authentication Protocol) de usuários sem fio em relação a um banco de dados acessado por um servidor RADIUS. Devido à função passiva que o ponto de acesso possui no EAP (cria uma ponte de pacotes sem fio do cliente para pacotes com fio do servidor de autenticação e vice-versa), esta configuração é utilizada com praticamente todos os métodos EAP. Esses métodos incluem (mas não se limitam a) LEAP, Protected EAP (PEAP)-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, PEAP-Generic Token Card (GTC), EAP- Flexible Authentication via Secure Tunneling (FAST), EAP-Transport Layer Security (TLS) e EAP-Tunneled TLS (TTLS). Você deve configurar adequadamente o servidor de autenticação para cada um desses métodos EAP. Este documento explica apenas como configurar o ponto de acesso. Pré-requisitos Requisitos Verifique se estes requisitos são atendidos antes de tentar esta configuração: Você está familiarizado com a GUI Cisco IOS ou CLI. Você possui familiaridade com os conceitos por trás de uma autenticação de EAP. Componentes Usados As informações neste documento são baseadas nestas versões de hardware e software: Produtos de ponto de acesso (AP) Cisco Aironet executando Cisco IOS. Hipótese de haver apenas um LAN virtual VLAN na rede. Um produto de servidor de autenticação RADIUS que se integre em uma banco de dados de usuário com êxito. Esses são os servidores de autenticação suportados para Cisco LEAP e EAP-FAST:

2 Cisco Secure Access Control Server (ACS) Cisco Access Registrar (CAR) Funk Steel Belted RADIUS Interlink Merit Esses são os servidores de autenticação suportados para Microsoft PEAP-MS-CHAP versão 2 e PEAP-GTC: Microsoft Internet Access Service (IAS) Cisco Secure ACS Funk Steel Belted RADIUS Interlink Merit Qualquer servidor de autenticação adicional Microsoft por efetuar autorizações. Observação: Senhas de uma vez ou GTC exigem serviços adicionar que precisam de software adicional no cliente e no servidor, assim como geradores de tokens de hardware ou software. Consulte o fabricante do suplicante do cliente para obter detalhes sobre os servidores de autenticação com suporte aos produtos para EAP-TLS, EAP-TTLS e outros métodos EAP. As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco. Configurar Esta configuração descreve como configurar a autenticação EAP em um ponto de acesso baseado em IOS. Observação: Use a Ferramenta de Consulta de Comando (clientes registrados somente) para obter informações adicionais sobre os comandos utilizados nesta seção. Como ocorre com a maior parte dos algoritmos baseados em senha, o Cisco LEAP está vulnerável a ataques de dicionário. Esse não é um novo tipo de ataque ou uma nova vulnerabilidade do Cisco LEAP. A criação de uma diretriz de senha forte é a maneira mais eficaz de reduzir os ataques de dicionários Isso inclui o uso de senhas fortes e o vencimento periódico de senhas. Consulte Ataque de Dicionário em Cisco LEAP para obter mais informações sobre ataques de dicionário e sobre como evitá-los. EAP de Rede ou Autenticação Aberta com EAP Em qualquer método de autenticação baseado em EAP/802.1x, você pode questionar quais são as diferenças entre EAP de Rede e Autenticação Aberta com EAP. Estes itens se referem a valores no campo de algoritmo de autenticação nos cabeçalhos de pacotes de associação e gerenciamento. A maior parte dos fabricantes de clientes sem fio definem estes campos como o valor 0 (autenticação aberta) e então sinalizam um desejo de efetuar a autenticação EAP posteriormente no processo de autenticação. A Cisco define o valor de forma diferente, do início da associação com o indicador de EAP de Rede. Se a sua rede tiver clientes que sejam: Clientes Cisco Usar EAP de Rede. Clientes terceirizados (incluindo os produtos em conformidade com CCX) Usar Aberta com EAP Uma combinação de clientes Cisco e de terceiros Escolher EAP de Rede e Aberta com EAP. Definir o Servidor de Autenticação A primeira etapa da configuração do EAP é definir o servidor de autenticação e estabelecer um relacionamento com ele.

3 1. Na guia Server Manager do ponto de acesso (no item de menu Security > Server Manager), siga estas etapas: a. b. c. d. e. Insira o endereço IP do servidor de autenticação no campo Server. Especifique o Shared Secret e as portas. Clique em Apply para criar a definição e preencher as listas suspensas. Defina o campo EAP Authentication type Priority 1 para o endereço IP do servidor em Default Server Priorities. Clique em Apply. Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#aaa group server radius rad_eap AP(config-sg-radius)#server auth-port 1645 acct-port 1646 AP(config-sg-radius)#exit AP(config)#aaa new-model AP(config)#aaa authentication login eap_methods group rad_eap AP(config)#radius-server host auth-port 1645 acct-port 1646 key labap1200ip102

4 AP(config)#end AP#write memory 2. O ponto de acesso deve estar configurado no servidor de autenticação como um cliente AAA. Por exemplo, no Cisco Secure ACS, isto ocorre na página Network Configuration em que o nome do ponto de acesso, endereço IP, segredo compartilhado e método de autenticação (RADIUS Cisco Aironet ou RADIUS Cisco IOS/PIX) são definidos. Consulte a documentação do fabricante para obter outros servidores de autenticação não-acs. Certifique-se de que o servidor de autenticação esteja configurado para executar o método de autenticação EAP desejado. Por exemplo, para um Cisco Secure ACS que execute LEAP, configure a autenticação LEAP na página System Configuration - Global Authentication Setup. Clique em System Configuration e então em Global Authentication Setup. Consulte a documentação do fabricante para obter outros servidores de autenticação não-acs ou métodos de EAP. Esta imagem mostra o Cisco Secure ACS configurado para PEAP, EAP-FAST, EAP-TLS, LEAP e EAP-MD5.

5 Definir Métodos de Autenticação de Cliente Depois que o ponto de acesso souber onde enviar as solicitações de autenticação do cliente, configure-o para aceitar estes métodos. Observação: Essas instruções são para uma instalação baseada em WEP. Para WPA (que usa cifras em vez de WEP), consulte Visão Geral da Configuração de WPA. 1. Na guia Encryption Manager do ponto de acesso (sob o item de menu Security > Encryption Manager), conclua estas etapas: a. b. c. d. Especifique que você deseja usar a codificação WEP. Especifique que WEP é Mandatory (Obrigatório). Verifique se o tamanho da chave está definido como 128-bits. Clique em Apply.

6 Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#encryption mode wep mandatory AP(config-if)#end AP#write memory 2. Conclua estas etapas na guia SSID Manager do ponto de acesso (sob o item de menu Security > SSID Manager): a. b. Selecione o SSID desejado. Em "Authentication Methods Accepted," marque a caixa de verificação denominada Open e utilize as listas suspensas para escolher With EAP. c. Marque a caixa denominada Network-EAP se você tiver placas de cliente Cisco. Consulte a análise na seção EAP de Rede ou Autenticação Aberta com EAP. d. Clique em Apply.

7 Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#ssid ssid labap1200 AP(config-if-ssid)#authentication open eap eap_methods AP(config-if-ssid)#authentication network-eap eap_methods AP(config-if-ssid)#end AP#write memory Depois de confirmar a funcionalidade básica com uma configuração básica de EAP, você pode adicionar outros recursos e o gerenciamento de chaves posteriormente. Coloque funções mais complexas sobre funções fundamentais para facilitar a solução de problemas. Verificação Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente. Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente), o que permite visualizar uma análise da saída do comandoshow.

8 show radius server-group all Esse comando exibe uma lista de todos os grupos de servidores RADIUS configurados no AP. Solução de Problemas Procedimento de Solução de Problemas Conclua estas etapas para solucionar problemas de configuração No utilitário ou no software do cliente, crie um novo perfil ou conexão com os mesmos parâmetros ou parâmetros semelhantes para garantir que nada seja corrompido na configuração do cliente. Para eliminar a possibilidade de problemas de RF que evitam a autenticação bem-sucedida, desabilite temporariamente a autenticação conforme mostrado a seguir: A partir do CLI, utilize os comandos no authentication open eap eap_methods, no authentication network-eap eap_methods e authentication open. A partir da GUI, na página SSID Manager, desmarque Network-EAP, marque Open e defina a lista suspensa de volta para No Addition. Se o cliente se associar com êxito, o RF não está contribuindo para o problema de associação. 3. Verifique se as senhas secretas compartilhadas estão sincronizadas entre o ponto de acesso e o servidor de autenticação. A partir do CLI, marque a linha radius-server host x.x.x.x auth-port x acct-port x key <segredo_compartilhado>. A partir da GUI, na página Server Manager, insira novamente o segredo compartilhado do servidor adequado na caixa denominada "Shared Secret." A entrada de segredo compartilhado para o ponto de acesso no servidor RADIUS deve conter a mesma senha de segredo compartilhado dos mencionados anteriormente. 4. Remova todos os grupos de usuário do servidor RADIUS. Às vezes, pode haver conflitos entre grupos de usuários definidos pelo servidor RADIUS e os grupos de usuários no domínio subjacente. Verifique os logs do servidor RADIUS de tentativas frustradas e dos motivos das falhas das tentativas. Comandos de Solução de Problemas Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente), o que permite visualizar uma análise da saída do comandoshow. Autenticações de Depuração fornece uma quantidade significativa de detalhes sobre como obter e interpretar a saída das depurações relacionadas a EAP. Observação: Antes de emitir comandos debug, consulte Informações Importantes sobre Comandos de Depuração. debug dot11 aaa authenticator state-machine Exibe as principais divisões (ou status) da negociação entre o cliente e o servidor de autenticação. Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando debug é debug dot11 aaa dot1x statemachine. debug dot11 aaa authenticator process Exibe as entradas de diálogos individuais da negociação entre o cliente e o servidor de autenticação. Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando de depuração é debug dot11 aaa dot1x process. debug radius authentication Mostra as negociações RADIUS entre o servidor e o cliente, que, neste caso, são conectadas pelo AP. debug aaa authentication Exibe as negociações AAA de autenticação entre o dispositivo do cliente e o servidor de autenticação. Informações Relacionadas

9 Autenticações de Depuração Configurando os Tipos de Autenticação Configurando Servidores RADIUS e TACACS+ Cisco Secure ACS para PEAP-MS-CHAPv2 Cisco Secure ACS para EAP-TLS Configurando PEAP/EAP no Microsoft IAS Solucionando Problemas no Microsoft IAS como um servidor RADIUS Cliente de Autenticação Microsoft 802.1X Suporte Técnico e Documentação - Cisco Systems Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 2 Abril