intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Một số loại VPN Router

Chia sẻ: Do Van Nam | Ngày: | Loại File: DOCX | Số trang:6

79
lượt xem
11
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server....

Chủ đề:
Lưu

Nội dung Text: Một số loại VPN Router

  1. Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều   cho phép tạo User Profile ngay trên router nhưng có nhược  điểm là số lượng người dùng bị giới hạn (thường khoảng   30­100 người dùng) và  nhất là  gây khó  khăn trong việc sử  dùng bởi người dùng phải nhớ  nhiều loại mật khẩu (mật  khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...) Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập  vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có  thể  truy cập  được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại.   Quản trị  mạng có  thể  quản lý  và  kiểm tra việc sử  dụng của từng người dùng thông qua file log (text / MS SQL) trên   RADIUS Server. Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access  Server (NAS) khác như  Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ  ra), DHCP Server  (cấp phát IP dựa trên xác thực người dùng)... Vì sao cần sử dụng RADIUS server để xác thực người dùng? 1. Trong môi trường domain, vì lý do tăng cường mức độ bảo mật ta không muốn join máy VPN server  hoặc ISA server vào domain. Vậy làm sao VPN/ISA server có thể xác thực được người dùng (user của  domain)? 2. Nếu ta sử dụng VPN server hoặc firewall cứng (không phải là máy tính cài Windows để join domain) thì  tương tự như trên làm sao VPN/firewall có thể xác thực được người dùng (user của domain)? Vậy để xác thực người dùng ta cần một server trung gian giữa DC và VPN/ISA server (server này join  domain để có thể truy cập được AD).Server này nhận yêu cầu xác thực từ VPN/ISA server và truy cập AD   để xác thực rồi trả kết quả về cho VPN/ISA server. Server này gọi là RADIUS server. Bên ngoài Hosted RADIUS server Nhiều tổ chức có một xác thực người dùng hiện hành hoặc máy chủ thư mục mà họ muốn sử dụng để kiểm soát truy cập mạng LAN không dây. Các loại máy chủ phổ biến bao gồm LDAP và Active. Bất kỳ loại máy chủ xác thực với một giao diện RADIUS có thể được tích hợp với một mạng không dây Meraki. MCC cho phép một quản trị viên để cấu hình các máy chủ RADIUS nhiều để chuyển đổi dự phòng. Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với một trong hai kiểm soát truy cập dựa trên MAC hoặc WPA2 Enterprise với xác thực 802.1x, AP Meraki phải có khả năng để tiếp cận với máy chủ RADIUS. MCC cung cấp một công cụ kiểm tra cho phép một quản trị viên để xác minh kết nối của tất cả các AP Meraki đến máy chủ RADIUS, và để kiểm tra một tập hợp các thông tin người dùng chống lại các máy chủ RADIUS. Các công cụ kiểm tra xuất hiện dưới tab Configure trên trang Access Control. Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với đăng nhập trên trang splash, một quản trị viên có thể cấu hình Meraki mạng không dây để sử dụng một máy chủ RADIUS bên ngoài tổ chức để xác thực người dùng. MCC hoạt động như một trung gian trong cấu hình này để cung cấp (1) kinh nghiệm người dùng một kết thúc phù hợp (ví dụ, người sử dụng không dây không được trình bày với các trang splash một lần nữa nếu anh ta lại cộng khác AP) và (2) tính năng kế toán RADIUS.
  2. Nếu trang đăng nhập splash được lưu trữ bởi MCC, cuộc trò chuyện là RADIUS một trao đổi đơn giản giữa các MCC và RADIUS máy chủ bên ngoài. Nếu các dấu hiệu trên splash trang bản thân nó là bên ngoài tổ chức, cuộc trò chuyện liên quan đến việc trao đổi giữa các máy chủ trang splash, MCC, và máy chủ RADIUS. Cụ thể là: 1. Khách hàng liên kết không dây với mạng không dây Meraki. 2. Người sử dụng làm cho một yêu cầu ban đầu cho một URL trong trình duyệt web của mình. 3. AP Meraki chuyển hướng người dùng đến một URL trên máy chủ trang splash. (Quản trị viên cấu hình URL này trong MCC, dưới tab Configure trên trang Trang Splash) Khi AP Meraki chuyển hướng người dùng đến máy chủ trang splash, nó bao gồm các thông số sau đây HTTP chuyển hướng HTTP: a. continue_url: URL mà người dùng yêu cầu ban đầu. Tham số này có thể được giải thích bởi các máy chủ trang splash để quyết định nơi người sử dụng nên được chuyển hướng nếu ông xác thực thành công. b. LOGIN_URL: URL ở MCC máy chủ trang splash nên gửi một HTTP POST với các thông tin thu thập được từ người sử dụng (xem Bước 4). Tham số này là chạy thoát để bao gồm các continue_url nhúng bên trong nó, và không nên được hiểu bởi các máy chủ trang splash. c. ap_mac: địa chỉ MAC của AP Meraki mà người sử dụng có liên quan. d. ap_name: Tên của AP Meraki mà người dùng có liên quan (nếu cấu hình). e. ap_tags: Tags (nếu cấu hình) áp dụng cho AP Meraki mà người sử dụng có liên quan. f. mauth: Một chuỗi mờ được sử dụng bởi MCC để xác thực và an ninh. 4. Splash trang chủ bên ngoài hiện cho người dùng với một hình thức web nắm bắt các thông tin của người sử dụng và gây ra người sử dụng để gửi một HTTP POST đến MCC, bằng cách sử dụng URL được chỉ định trong LOGIN_URL (xem Bước 3). HTTP POST này, máy chủ bao gồm các thông số sau: a. username: tên người dùng mà người sử dụng không dây cung cấp cho các máy chủ trang splash. b. mật khẩu: mật khẩu mà người sử dụng không dây cung cấp cho các máy chủ trang splash. c. success_url (tùy chọn): URL mà người dùng không dây được chuyển hướng nếu ông đi qua xác thực. Các máy chủ trang splash có thể sử dụng tham số này để ghi đè lên continue_url mà người sử dụng yêu cầu ban đầu. 5. MCC nhận được HTTP POST từ máy chủ trang splash, và lần lượt, sẽ gửi một RADIUS Access-Request tới máy chủ RADIUS bên ngoài với tên người dùng và mật khẩu. 6. Các máy chủ RADIUS xử lý RADIUS Access-Request từ MCC, và đáp ứng với MCC với một RADIUS Access-Chấp nhận hoặc Access-Reject. Các máy chủ RADIUS có thể tùy chọn các thuộc tính RADIUS với MCC để thực thi trên người sử dụng không dây. 7. MCC xử lý các phản hồi từ máy chủ RADIUS và chuyển hướng người dùng không dây cho phù hợp. a. Nếu MCC nhận được một thông báo Access-Accept từ máy chủ RADIUS, người sử dụng đã xác thực thành công. MCC chuyển hướng người dùng đến các URL ban đầu ông đã yêu cầu (continue_url), hoặc URL được chỉ định bởi các máy chủ trang splash trong success_url (tùy chọn) (xem Bước 4). b. Nếu MCC nhận được một thông báo Access-Reject từ máy chủ RADIUS, ng ười sử d ụng đã không xác thực và được chuyển hướng trở lại URL của máy chủ trang splash (ở bước 3). Bởi vì MCC cần liên lạc với một máy chủ RADIUS bên ngoài, MCC phải có khả năng để tiếp cận với máy chủ RADIUS. Yêu cầu này có thể cần phải thay đổi tường lửa cho phép các kết nối gửi đến máy chủ RADIUS. Nếu máy chủ RADIUS trở nên tạm thời không có, khách hàng không dây hiện có (đã được xác thực) duy trì kết nối, nhưng khách hàng không dây mới không thể để xác thực để truy cập vào mạng.
  3. RADIUS server Network Policy Server (NPS) có thể được sử dụng như một máy chủ RADIUS để thực hiện xác thực, ủy quyền, và kế toán cho các khách hàng RADIUS. Một khách hàng RADIUS có thể là một máy chủ truy cập mạng hoặc một proxy RADIUS.Khi NPS được sử dụng như một máy chủ RADIUS, nó cung cấp những điều sau đây: • Một trung tâm xác thực và dịch vụ ủy quyền cho tất cả các yêu cầu truy cập được gửi bởi máy khách RADIUS. NPS sử dụng một Microsoft ® Windows NT ® Server 4.0 domain, một Active Directory ® miền, hoặc Security Accounts Manager (SAM) tài khoản người dùng cơ sở dữ liệu để xác thực thông tin người dùng cho các cố gắng kết nối. NPS sử dụng dial-thuộc tính của tài khoản người dùng và chính sách mạng cho phép một kết nối. • Kế toán ghi trung tâm dịch vụ cho tất cả các yêu cầu kế toán được gửi bởi máy khách RADIUS. Yêu cầu kế toán được lưu trữ trong một tập tin log địa phương hoặc Microsoft ® SQL ™ cơ sở dữ liệu để phân tích. Hình minh họa sau đây cho thấy NPS như một máy chủ RADIUS cho một loạt các khách hàng truy cập, và cũng cho thấy một RADIUS proxy. NPS sử dụng một Directory domain ® đăng nhập để xác thực thông tin người dùng của RADIUS đến tin nhắn Access-Request. Khi NPS được sử dụng như một máy chủ RADIUS, tin nhắn RADIUS cung cấp xác thực, uỷ quyền, và kế toán cho các kết nối truy cập mạng theo cách sau: 1. Máy chủ truy cập, chẳng hạn như dial-up máy chủ truy cập mạng, máy chủ VPN, và các điểm truy cập không dây, nhận được yêu cầu kết nối từ các khách hàng truy cập. 2. Các máy chủ truy cập, cấu hình để sử dụng RADIUS xác thực, ủy quyền, và giao thức kế toán, tạo ra một thông báo Access-Request và gửi nó đến máy chủ NPS. 3. Các máy chủ NPS đánh giá được thông báo Access-Request.
  4. 4. Nếu có yêu cầu, máy chủ NPS gửi một thông báo Access-Challenge đến máy chủ truy cập. Các máy chủ truy cập xử lý các thách thức và gửi một yêu cầu truy cập được cập nhật cho các máy chủ NPS. 5. Các thông tin người dùng được kiểm tra và dial-in thuộc tính của tài khoản người dùng được thu được bằng cách sử dụng một kết nối an toàn với một bộ điều khiển miền. 6. Nỗ lực kết nối được ủy quyền với cả dial-in thuộc tính của tài khoản người dùng và chính sách mạng. 7. Nếu nỗ lực kết nối được cả hai xác thực và ủy quyền, máy chủ NPS gửi một thông báo Access-Accept đến máy chủ truy cập. Nếu nỗ lực kết nối hoặc không xác nhận hoặc không được uỷ quyền, máy chủ NPS gửi một thông báo Access-Reject đến máy chủ truy cập. 8. Các máy chủ truy cập hoàn tất quá trình kết nối với các khách hàng truy cập và gửi một thông báo Accounting-Request máy chủ NPS, nơi mà tin nhắn được đăng nhập. 9. Các máy chủ NPS sẽ gửi một kế toán đáp ứng đến máy chủ truy cập. Ghi Các máy chủ truy cập cũng sẽ gửi tin nhắn Accounting-Request trong thời gian mà kết nối được thiết lập, khi kết nối truy cập của khách hàng được đóng lại, và khi các máy chủ truy cập được bắt đầu và dừng lại. Bạn có thể sử dụng NPS như một máy chủ RADIUS khi: • Bạn đang sử dụng Windows NT Server 4.0 domain, một miền Active mục, hoặc cơ sở dữ liệu SAM tài khoản người dùng địa phương như cơ sở dữ liệu tài khoản người dùng của bạn cho khách hàng truy cập. • Bạn đang sử dụng định tuyến và truy cập từ xa trên nhiều dial-up máy chủ, máy chủ VPN, hoặc các thiết bị định tuyến demand-dial và bạn muốn tập trung cả hai cấu hình các chính sách mạng và kết nối đăng nhập kế toán. • Bạn đang gia công phần mềm dial-up, VPN, hoặc truy cập không dây cho một nhà cung cấp dịch vụ. Các máy chủ truy cập sử dụng RADIUS để xác thực và ủy quyền cho các kết nối được thực hiện bởi các thành viên của tổ chức của bạn. • Bạn muốn tập trung xác thực, ủy quyền, và kế toán cho một tập hợp không đồng nhất của các máy chủ truy cập. Ghi Trong Internet Authentication Service (IAS) trong Windows Server ® 2003 hệ thống điều hành, chính sách mạng được gọi là chính sách truy cập từ xa. Từ xa xác thực Dial-Người dùng dịch vụ (RADIUS) máy chủ được phổ biến trong các mạng doanh nghiệp để cung cấp tập trung xác thực, uỷ quyền và kế toán (AAA) để kiểm soát truy c ập. Tuy nhiên, các máy chủ RADIUS cũng có thể có ích trong các mạng v ừa và nh ỏ để cho phép xác th ực 802.1X và bảo mật WPA2 (802.11i) cho mạng lưới Wi-Fi. Chúng tôi đã thử nghiệm bốn máy chủ RADIUS mà các doanh nghi ệp nh ỏ h ơn có th ể xem xét: Elektron, ClearBox, Microsoft Network Policy Server từ Windows Server 2008 R2, và FreeRADIUS.
  5. Chúng tôi đo dễ dàng chất lượng, lắp đặt và cấu hình của tài liệu hướng dẫn và kh ả năng tùy ch ỉnh cấu hình. Tất cả các nhà cung cấp ghi bàn, với ClearBox trên đầu trang và Elektron cận th ứ hai, FreeRADIUS và Windows Server NPS buộc thứ ba. Elektron ($ 750) là một entry-level và thân thiện với người sử dụng máy ch ủ. ClearBox (599 $) là một lựa chọn tuyệt vời cho các mạng nhỏ, nhưng nó cũng có quy mô mạng l ưới lớn h ơn.Microsoft Windows Server 2008 R2 NPS có thể được đưa ra cho các t ổ chức đã được ch ạy m ột Windows Server, miễn là họ không cần tất cả các tính năng tiên tiến và hỗ trợ cơ sở dữ li ệu. Và FreeRADIUS ( mã nguồn mở ) là một sự lựa chọn vững chắc và kinh tế để quản trị viên Unix / Linux cung cấp các tuỳ biến và tính linh hoạt. Dưới đây là những đánh giá cá nhân: Elektron Các máy chủ RADIUS Elektron từ Periodik Labs là một Windows giao di ện dựa trên máy ch ủ đó là mục tiêu hướng tới xác thực không dây cho các mạng vừa và nhỏ, nhưng hỗ trợ các mục đích khác AAA cũng. Nó được cung cấp như là một 30-ngày dùng thử miễn phí và sau đó chi phí $ 750 cho một giấy phép máy chủ duy nhất. Elektron có thể chạy trên Windows XP Pro, Vista, Windows 7 và Windows Server 2003 và 2008. Ngoài ra còn có một phiên bản Mac OS X chạy trên 10,5 hoặc sau này hoặc v ới bộ vi xử lý Intel Core Duo hoặc bộ xử lý tốt hơn. Cả hai yêu cầu ít nhất 512MB bộ nhớ và 20MB không gian đĩa miễn phí. Elektron hỗ trợ các phương pháp xác thực sau đây: PEAP, TTLS, EAP-FAST, EAP-TLS, LEAP, PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-MS-CHAPv2, EAP-MD5, EAP-GTC, và EAP- OTP. Nó cũng hỗ trợ các cơ sở dữ liệu cho các dữ liệu tài khoản người dùng sau đây: nội bộ cơ sở dữ li ệu (cấu hình thông qua giao diện được gọi là Tài khoản Elektron), các tài khoản Windows, Mac OS X Directory Services, Active Directory và thư mục LDAP khác, SQL và các ngu ồn ODBC d ữ li ệu khác tuân thủ, từ xa RADIUS máy chủ và Script. Chúng tôi đã thử nghiệm Elektron Phiên bản 2.2 trong Windows Server 2008 R2 trên m ột máy ảo VMware. Việc cài đặt rất đơn giản và chỉ mất khoảng một phút. Nó sử dụng một trình cài đặt Windows điển hình và không nhắc chúng tôi cho bất kỳ cài đặt liên quan đến máy ch ủ.
  6. Ngay sau khi cài đặt, chúng tôi tìm thấy một Setup Wizard để cấu hình Elektron để xác th ực không dây. Nó nhắc nhở chúng tôi tạo ra một mật khẩu (chia sẻ bí mật) cho một điểm truy cập không dây (RADIUS client) và giúp cấu hình / tạo ra một chứng chỉ máy chủ. Thuật sĩ là hữu ích, nhưng có thể được cải thiện bằng cách cho phép bạn nhập mật khẩu cho các điểm truy cập cá nhân hơn là t ạo ra một nhận tất cả mục nhập cho bất kỳ điểm truy cập, mà là một phương pháp kém an toàn h ơn. Sau khi dùng Setup Wizard, chúng ta bị bỏ lại trong bóng tối như bước tiếp theo của chúng tôi. Vì chúng ta đang kinh nghiệm với quá trình RADIUS, chúng tôi biết chúng tôi ph ải c ấu hình các nhà cung cấp xác thực (chúng tôi sử dụng cơ sở dữ liệu nội bộ) và thông tin tài khoản người dùng đầu vào (chúng tôi tạo ra một người dùng trên trang Tài khoản Elektron).Tuy nhiên, nh ững ng ười không quen thuộc với RADIUS có thể bị nhầm lẫn bởi vì thuật sĩ này không bao gồm đi ều này và ph ần Getting Started trong tài liệu hướng dẫn bỏ qua nó như là tốt. Tuy nhiên, sau khi cấu hình điểm truy cập không dây của chúng tôi với WPA2-Enterprise, chúng tôi đã có th ể để xác th ực thông qua Ngh ị định thư Protected Extensible Authentication (PEAP).
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
8=>2