VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA Katedra elektrotechniky a informatiky Obor Aplikovaná informatika
I m p l e m e n t a c e W I - F I s í t ě e d u ro a m v Nemocnici Jihlava bakalářská práce
Autor: Martin Kratochvil Vedoucí práce: Ing. Petr Pavlinec Jihlava 2014
Abstrakt Bakalářská práce je zaměřena na rozšíření sítě národního výzkumu a vzdělání. V úvodu se práce zaměřuje na informace o eduroam federaci. Vymezení rolí organizací zapojených do eduroam federace. V druhé části dochází k samotné implementaci. Nastavení RADIUS serveru na Krajském úřadě. Nastavení RADIUS serveru v Nemocnici Jihlava a spojení s AP. Vytvoření RADIUS serveru, který propojí Krajský úřad a Nemocnici Jihlava.
Klíčová slova eduroam, RADIUS, server, Wi-Fi, klient, politika, CESNET, roaming, IP, AP
Abstract The thesis is focused to the expansion of the national research and education network. In the introduction, the work focuses on information about the eduroam federation. The roles of organizations involved in the eduroam federation are defined.
In the second part, the actual implementation is performed. Setting the RADIUS server at the Regional Office. Setting the RADIUS server at the Jihlava Hospital and links with AP. Creating the RADIUS server that connects the Regional Authority and the Jihlava Hospital.
Key words eduroam, RADIUS, server, Wi-Fi, client, politics, CESNET, roaming, IP, AP
Prohlašuji, že předložená bakalářská práce je původní a zpracoval/a jsem ji samostatně. Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil/a autorská práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, v platném znění, dále též „AZ“). Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce nebo k vlastní vnitřní potřebě VŠPJ. Byl/a jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ, zejména § 60 (školní dílo). Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej, zapůjčení apod.). Jsem si vědom/a toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutí licence. V Jihlavě dne
............................................... Podpis
Poděkování Na tomto místě bych rád poděkoval svému vedoucímu práce Ing. Petru Pavlincovi za poskytnutí tématu a možnost vytvářet ho pod jeho vedením. Mé poděkování patří též Radku Brychtovi za odborné a cenné rady, které mi pomohly tuto práci zpracovat.
Obsah 1
Úvod.......................................................................................................................... 7
2
Roaming, Autentizace a politika eduroam ................................................................ 8 2.1
Roaming pro uživatele ....................................................................................... 9
2.2
Autentizace pomocí protokolu 802.1x ............................................................. 10
2.2.1
3
2.3
Hierarchická struktura RADIUS serverů ......................................................... 14
2.4
Roamingová politika ........................................................................................ 15
2.4.1
Vymezení rolí organizací zapojených do eduroam federace .................... 15
2.4.2
Zapojení organizace do eduroam federace ............................................... 18
Zvolené řešení, nastavení klienta. ........................................................................... 19 3.1
4
Nastavení klienta Radius_NEMJI .................................................................... 20
Vytvoření RADIUS serveru nem1.nemji.cz ........................................................... 21 4.1
Přidání Role ...................................................................................................... 22
4.1.1
5
Nastavení RADIUS klienta wifi.nem-jih.cz..................................................... 23
4.3
Nastavení RADIUS klienta Radius-NEMJI.kr-vysocina.cz ............................ 24
Nastavení centrálního Wi-Fi kontroléru Nemocnice Jihlava .................................. 25 5.1
Nastavení RADIUS klienta radius_Eduroam................................................... 25
5.2
Vytvoření VSC (SSID) .................................................................................... 26
5.3
7
Server NPS (Network Policy Server) ....................................................... 22
4.2
5.2.1 6
Postup při ověřování uživatele .................................................................. 12
DHCP server ............................................................................................. 27
Přístupový bod (AP) ......................................................................................... 28
Nastavení klientských stanic ................................................................................... 29 6.1
Android ............................................................................................................ 29
6.2
Windows phone ................................................................................................ 30
6.3
Windows .......................................................................................................... 31
Závěr ....................................................................................................................... 33 7.1
Popis průběhu autorizačního požadavku .......................................................... 33
7.2
Testování .......................................................................................................... 34
Seznam použité literatury ............................................................................................... 35 Seznam obrázků .............................................................................................................. 36 Seznam použitých zkratek .............................................................................................. 37 Přílohy............................................................................................................................. 39 1
Obsah přiloženého CD ............................................................................................ 39
1 Úvod Téma bakalářské práce „Implementace Wi-Fi sítě eduroam v Nemocnici Jihlava“ bylo zvoleno za účelem rozšíření IP mobility uživatelů a roamingové sítě národního výzkumu a vzdělání. Nemocnice Jihlava od zimního semestru 2014/2015 poskytne prostory pro výuku budoucích lékařů z lékařské fakulty Masarykovy univerzity. Ve spolupráci s Krajem Vysočina, který je poskytovatel identit v síti eduroam, začlením RADIUS server, tak aby odpovídal eduroam politice, komunikoval s centrálním Wi-Fi kontrolérem v Nemocnici Jihlava a stávajícím RADIUS serverem na Krajském úřadě Kraje Vysočina. Bakalářská práce je rozdělena na čtyři hlavní části. V první části nastavím RADIUS server (edurad.kr-vysocina.cz) Kraje Vysočina tak aby komunikoval s budoucím novým RADIUSem Nemocnice Jihlava. V druhé části tedy vytvořím nový RADIUS server Nemocnice Jihlava (nem1.nemji.cz), který bude mít dva klienty, přes které bude probíhat komunikace s RADIUS serverem na Krajském úřadě a centrálním Wi-Fi kontrolérem v Nemocnici Jihlava. Ve třetí části proběhne nastavení Wi-Fi kontroléru pro eduroam a bude povolena komunikaci s RADIUSem Nemocnice Jihlava. Ve čtvrté části po skončení implementace následuje návod na nastavení klientských stanice pro nejběžnější operační systémy (Windows, android, Windows phone). Dále následuje popis průběhu autorizačního požadavku a testování.
7
2 Roaming, Autentizace a politika eduroam Eduroam je globální služba, která umožní studentům, výzkumným pracovníkům a zaměstnancům ze zúčastněných institucí získat připojení k internetu ale i přístup k vnitřním službám či zdrojům připojených institucí. Uživatelé, kteří mají předvyplněný uživatelský profil se pak při návštěvě jiné zúčastněné, do eduroamu taktéž zapojené, instituce mohou připojit pouhým otevřením laptopu nebo aktivováním svého smartphonu nebo jiného přenosného zařízení. Uživatel má jeden domovský účet, který umožňuje využívat bezdrátové připojení u kteréhokoliv člena projektu. Poté, co začal v roce 2003 v rámci pracovní skupiny TERENA mobility TF v Evropě, eduroam rozšířil komunitu po celém světě a nyní je k dispozici v 68 teritoriích po celém světě [3]. Obrázek 2 - 1 zachycuje místa, kde se připojit.
Obrázek 2 - 1: Místa, kde se připojit
Zdroj obrázku: http://monitor.eduroam.org/eduroam_map.php?type=all IP mobilitu a roaming v rámci české sítě zajišťuje sdružení CESNET. „Úloha CESNETu spočívá v koordinaci a propagaci aktivit souvisejících s roamingem v počítačových sítích, v prezentaci našich národních představ na evropské úrovni a v neposlední řadě v provozu infrastruktury RADIUS serverů nutných po propojení s Evropskou roamingovou strukturou“ [1].
8
2.1 Roaming pro uživatele Roaming mezi organizacemi vznikl především pro snadné připojení uživatelů k síti v co možná největším počtu lokací. Připojit se k internetu nejen v domovské organizaci, ale v každé organizaci, která patří do eduroam federace. Tato mobilita a roaming se nevztahuje pouze na Českou republiku, ale po celém světě. Uživatel ve své domovské instituci získá identitu, kterou se připojuje ve všech organizacích [1]. Pro úspěšné připojení se uživatel autorizuje ve své domovské organizaci. Tam je rozhodnuto, zda je uživatel tím, za kterého se vydává, a zda má právo přístupu. „Tato informace je přenesena zpět do navštívené sítě a přístupový mechanizmus (AP, switch) se podle ní zařídí – buďto uživatele do sítě vpustí nebo jeho požadavek zamítne“[1].
Syntaxe uživatelského jména „jmeno@realm“:
Jméno obsahuje informace, původ uživatele (z které domovské organizace pochází), autentizační infrastrukturu, která přenáší autentizační data. Zpravidla se jedná o uživatelské jméno (login), který je v nějaké centrální databázi uživatelů domovské organizace (např. uživatel v doméně)
Realm určuje název organizace + její umístění, pro Českou Republiku má realm koncovku „.cz“. Např. muni.cz, mendelu.cz, někdy bývá realm ještě blíže doplněn např. fakultou tj. faf.cuni.cz
Příklad:
[email protected] (zaměstnanec Krajského úřadu Kraje Vysočina) ale i
[email protected] či
[email protected] kde jménem je pak tzv. UČO – Unikátní číslo studenta. „Hlavním úkolem autentizační infrastruktury (AAI – autentication and authorization infrastructure) je nasměrovat ověřovací údaje do domácí sítě daného uživatele a přenést zpět na systém, který se dotazuje“ [1]. Vše probíhá bezpečně a spolehlivě. AAI je v současné době tvořeno (stromovou) hierarchii RADIUS serverů, které jsou mezi sebou propojeny [1].
9
2.2 Autentizace pomocí protokolu 802.1x IEEE 802.1X je název protokolu, který zabezpečuje přístup do počítačové sítě. „Klient se připojí na port zařízení (u AP virtuální, u switche fyzicky), tento port je ve stavu „zavřeno““[1]. Jediné co je povoleno, tak je protokol EAP (autentizační protokol). Speciální program (suplikant), pracující na straně klienta, zahájí ověřování přes protokol EAP. „Suplikant vyšle na AP žádost o autentizaci, AP naváže spojení na RADIUS server a zprostředkuje ověření suplikantu vůči RADIUSu“ [1]. Windows 2000 a vyšší podporuje 802.1x pro všechny síťové připojení. Pro nižší verze Windows, které nepodporují 802.1x, lze použít speciální program třetích stran. Linux vytvořil projekt Open1X, Xsupplicant. Mac OS X nabízí podporu od verze 10.3. Protokol EAP nabízí rozšiřitelný autentizační mechanizmus, který umožňuje implementovat různé druhy autentizace (EAP-TLS, EAP-TTLS, PEAP, PANA, MS-CHAP, …). EAP-Transport Layer Security (EAP-TLS) Zabezpečení protokolu TLS je silné pouze v případě, že uživatel rozumí varování před použitím falešných údajů. Protokol se používá velmi zřídka, ale je stále jeden z nejbezpečnějších. Vyšší zabezpečení je dosaženo privátním klíčem na čipové kartě. Používá PKI pro zabezpečení komunikaci s RADIUS serverem. Nevýhodou je certifikát na straně klienta. EAP-Tunneled Transport Layer Security (EAP-TTLS) EAP-TTLS je rozšířená verze protokolu TLS. Podporován na většině platforem, ale nemá nativní podporu Microsoft Windows. Pro použití se musí nainstalovat speciální program. Protokol nabízí dobé zabezpečení. Klient si zaregistruje privátní klíč a certifikační autority. Autentizace klienta probíhá přes zabezpečení připojení („tunel“), takže všechny údaje jsou šifrované. Zabezpečení zabrání odposlechům. Protocol for Carrying Authentication for Network Access (PANA) PANA umožnuje ověřit sama sebe a povolit přístup. EAP určí autentizační protokol, distribuci a správu klíče, PANA to zprostředkuje. Vhodná pro často cestující uživatele, nezávislá na mechanizmu a linkové vrstvě.
10
Protected Extensible Authentication Protocol (PEAP) EAP pouze definuje formát zpráv, není zprostředkující protokol. Pouze určí způsob zapouzdření zprávy. PEAP zapouzdřuje EAP s šifrovaným a autentizovaným TLS. Je podobný v designu EAP-TTLS, vyžaduje PKI certifikát na straně serveru k vytvoření tunelu pro bezpečné ověření uživatele. Vznikl pro nápravu nedostatků v protokolu EAP. PEAP byl vyvinut společnostmi Cisco Systém, RSA (RSA je zkratka jmen Ron Rivest, Adi Shamir a Len Adleman) Security a Microsoft. Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP) Protokol existuje ve dvou verzích MS-CHAPv1 a MS-CHAPv2. MS-CHAPv2 byl zaveden ve Windows NT 4.0 SP4, a byly přidány do systému Windows 95 a 98. MS-CHAPv1 byl zaveden ve Windows Vista. MS-CHAP se používá jako možnost ověření v implementaci protokolu PPTP, virtuálních privátních sítích. To je také používáno jako ověřování s RADIUS servery, které se používá pro zabezpečení Wi-Fi pomocí protokolu WPA nebo WPA2 Enterprise. MS-CHAP se také používá jako hlavní možnost ověřování v PEAP protokolu.
11
2.2.1 Postup při ověřování uživatele Lokální uživatel „Pokud je uživatel lokální, proběhne ověřování přímo na RADIUS serveru, se kterým komunikuje AP“ [1]. Obrázek 2 - 2 zachycuje připojení lokálního uživatele.
Obrázek 2 - 2: Lokální uživatel
12
Hostující uživatel „Pokud jde o návštěvníka, bude autentizační požadavek transportován přes strukturu RADIUS serverů až na domácí síť uživatele“ [1]. Obrázek 2 - 3 zachycuje připojení hostujícího uživatele.
Obrázek 2 - 3: Hostující uživatel
RADIUS server informuje AP o výsledku, přístup byl povolen nebo přístup byl zamítnut. „Tento mechanizmus pracuje na druhé síťové vrstvě a umožňuje kromě prostého otevření/zavření portu také jeho přepnutí do určité VLANy“ [1]. Uživatel poté dostane přístup (např. do sítě pro hosty, zaměstnance, studenty).
13
2.3 Hierarchická struktura RADIUS serverů Všechny organice patřící do eduroam federace mají vlastní RADIUS server, který dokáže ověřovat uživatele z této organizace. Účet může být přímo na RADIUS serveru, ale často bývá uveden na jiné platformě (např. LDAP, Active Directory, SQL), poté slouží RADIUS jako rozhraní. Právě tyto RADIUS servery jsou napojeny na národní RADIUS server. Národní RADIUS server předává požadavky na ověřování účtů mezi organizacemi. Národní server v České Republice je nastaven (nakonfigurován), aby všechny dotazy na realm „.cz“ zpracoval nebo přesměroval [1]. Národní RADIUS servery (jednotlivých zemí) jsou napojeny na tzv. top-level RADIUS server. Tento server je spravován společností SURNet. Pro lepší zabezpečení se používají šifrovací protokoly RadSec nebo IPsec přes které všechny národní Radius servery a Radius servery jednotlivých připojených organizací komunikují [1]. Obrázek 2 - 4 zachycuje hierarchickou strukturu RADIUS serverů.
Obrázek 2 - 4: Struktura RADIUS serverů
14
2.4 Roamingová politika 2.4.1 Vymezení rolí organizací zapojených do eduroam federace Správce eduroam federace V České Republice vykonává roli správce sdružení CESNET. „Správce provozuje národní autentizační servery v souladu s technickými pravidly definovanými v evropské konfederační
politice
(především
s ohledem
na
požadovanou
vysokou
míru
zabezpečení)“[2]. Národní servery zajišťují napojení na tzv. „top - level“ autentizační servery. „To zajistí technické připojení do eduroam federace. Národní servery musí být dostupné a reagovat na autentizační dotazy od připojených autentizačních serverů“ [2]. Informace o uživatelích, kteří se úspěšně autorizovali, ukládá do logů. Ukládá informace i o uživatelích, kterým neumožnil přístup do sítě. Doba uchovávání informací je 6 měsíců. Úkolem správce je zajistit podporu organizacím v souvislosti s napojením nebo při bezpečnostních incidentech [2]. „Správce zajišťuje technickou podporu organizacím zapojeným do federace, a to v souvislosti s jejich napojením na národní autentizační servery a řešením případných bezpečnostních incidentů“[2]. Uživatel Uživatelem se může stát osoba, která má právní vztah (student, výzkumný pracovník, zaměstnanec) k organizaci. Organizaci patřící do eduroam federace, která poskytuje identity. Poskytovatel identit a poskytovatel zdrojů určí pravidla pro přístup do sítě. Uživatel je povinen tyto pravidla dodržovat. V případě jejich porušení mu bude odepřen přístup, také je zavázán ohlásit zneužívání svého účtu [2].
15
Poskytovatel identit Poskytovatelé identit dohlíží na autentizační dotazy přicházející od poskytovatele zdrojů. RADIUS server poskytovatele zdrojů se ptá RADIUS serveru poskytovatele identit, zda patří uživatel do jejich organizace. Poskytovatel identity má všechny potřebné informace pro autorizaci uživatele, který u ní pracuje nebo studuje (např. Vysoká škola, Univerzita). Při správné autorizaci umožní uživateli přístup do sítě. V opačném případě právo odepře [2]. Uživatel musí uznávat poskytovatele identity jako autoritativní orgán, který musí poslouchat. Poskytovatel identit může navrhnout svá pravidla pro připojení, ale také musí dodržovat federační politiku (pravidla musí být v souladu). Uživatel je povinen se s těmito pravidly seznámit a dodržovat. Poskytovatel identity by měl zveřejnit (na své www stránce):
kontakty na technickou podporu,
podrobný popis připojení klienta do sítě eduroam,
popis funkce systému eduroam,
informace o platné legislativě (pravidla pro používání eduroam sítě),
odkazy na národní a evropský eduroam informační portál.
Tato stránka by měla být v českém i anglickém jazyce. „Poskytovatel identity zaznamenává do logů informace o autentizačních požadavcích, které jeho servery zpracovávají (zejména uživatelskou identitu, výsledek autentizace, přesný čas atd.) Tyto údaje je povinen uchovávat po dobu 6 měsíců“ [2]. Tyto logy je oprávněn použít při zneužívání sítě. Také je oprávněn poskytnout je správci (CESNETu) eduroam federace, poskytovateli zdrojů, soudu, státnímu zástupci a policii[2].
16
Poskytovatel zdrojů „Poskytovatel zdrojů je každý subjekt, který nabízí své síťové služby (např. konektivitu) uživatelům roamingového systém eduroam“ [2]. Konektivitu nabídne pouze uživatelům, kteří se autorizují ve své domovské organizaci. Pokud nastane problém při ověřování uživatele, nesmí být do sítě vpuštěn. Za přístup k sítí nesmí poskytovatel zdrojů žádat žádné finanční ohodnocení. Poskytovatelé zdrojů při vstupu do eduroam federace musí dodržovat zásady AP sítě CESNET, tyto zásady musí vyžadovat i od svých uživatelů. Prověřuje a zaznamenává incidenty spojené s nedodržováním těchto zásad. Uživatelům nedodržujícím tyto pravidla musí odepřít přístup, také je povinen je nahlásit [2]. Při používání bezdrátové technologie Wi-Fi (802.11 a/b/g/n) je poskytovatel zdrojů povinen implementovat bezpečnostní metody 802.1x a WPA/TKIP (nebo lepší a dnes často využívána kombinace WPA2/AES), tyto metody zajišťují bezpečný přenos dat. Poskytovatel zdrojů by měl zveřejnit (na své www stránce):
kontakty na technickou podporu
informace o platné legislativě (pravidla pro používání eduroam sítě)
informace o použitém zabezpečení (WPA/WPA2, TKIP/AES, 802.1x, EAP metody atd.)
informace o použitých SSID radiové sítě a jejich anoncování
odkazy na národní a evropský eduroam informační portál
informační plánek pokrytí signálem sítě eduroam v dané lokalitě
logo eduroam
popis používaného IP adresového prostoru
informovat o prováděném monitoringu
Tato stránka by měla být v českém i anglickém jazyce. 17
Služba musí mít alespoň jednu osobu jako technický kontakt. Technický kontakt komunikuje mezi poskytovatelem zdrojů a správcem eduroam federace. Je povinen uchovávat informace o autorizacích na svých serverech po dobu 6 měsíců. Informace ukládá do logů. Také je oprávněn poskytnout je správci (CESNETu) eduroam federace, poskytovateli identity, soudu, státnímu zástupci a policii [2].
2.4.2 Zapojení organizace do eduroam federace „Do systému eduroam v rámci české eduroam federace se může připojit každá organizace, která je připojena nebo spolupracuje se sítí národního výzkumu a vzdělání CESNET2“ [2]. Správce eduroam federace rozhodne, zda bude přijata. Organizace při vstupu do eduroam federace musí souhlasit s roamingovou politikou a dodržovat všechny její body. Členství a poskytování je bezplatné.
18
3 Zvolené řešení, nastavení klienta. Roumingová politika eduroam federace nabízí dvě možnosti řešení. Nemocnice Jihlava se stane poskytovatelem identit nebo poskytovatelem zdrojů. U první možnosti je hlavní výhodou, pro uživatelé poskytovatelů identit, že se pomocí jména a hesla dostanou k řadě síťových služeb (např. Právnická fakulta Univerzity Karlovy nabízí plnohodnotný přístup k právnímu systému ASPI a CODEXIS, dále také různé online právní databáze). Své heslo zadávají jen jednou na svém domovském serveru. Tímto se zvyšuje komfort, bezpečnost celého systému. Avšak Nemocnice Jihlava se nechtěla stát plnohodnotným partnerem eduroam federace, chce pouze poskytnout své zdroje, pro vysílání eduroam sítě, tak aby se mohli připojit uživatelé z organizací zapojených do eduroam federace. Pro nemocnici bude prostředníkem, pro připojení do eduroam federace, Krajský úřad Kraje Vysočina (KrKV), který je poskytovatel identit. Krajský RADIUS server edurad.kr-vysocina.cz šifrovaně komunikace prostřednictvím protokolu IPsec s národním RADIUS serverem radius1.eduroam.cz. Tyto RADIUS servery používají pro komunikaci bezpečnostní rozšíření IP protokolu založené na šifrování a autentizaci každého IP datagramu, které se jmenuje IPsec (IP security). IPsec (Internet Protocol Security ) Základním principem IPsec je vytvořit logický kanál tzv. security associations (SA), který bude pouze jednosměrný. Při přijetí paketu ověřuje, zda odpovídá odesilateli a zda vůbec existuje. Při šifrování paketu se obě strany dohodnou na formě šifrování paketu, poté dojde k zašifrování celého paketu krom IP hlavičky. Používá dva protokoly, první protokol Authentication Header (AH), který zajišťuje autorizaci příjemce a odesilatele, integritu dat v hlavičce, ale tato data nejsou šifrována. Druhý protokol Encapsulating Security Payload (ESP) je používán pro šifrování paketů. Tyto protokoly se doplňují a jsou používány zároveň.
19
3.1 Nastavení klienta Radius_NEMJI Klient s popisným názvem Radius_NEMJI, který se nachází na RADIUS serveru edurad.kr-vysocina.cz byl vytvořen pro šifrovanou komunikaci. Šifrovaná komunikace probíhá pomocí sdíleného tajného hesla. Sdílený tajný klíč poskytuje přidanou vrstvu zabezpečení tím, že posílá nepřímý odkaz do sdíleného tajného klíče. Vzájemný sdílený klíč je zvolen na základě dohody mezi odesilatelem a příjemcem pro šifrování a dešifrování. RADIUS
klient
Radius_NEMJI
šifruje
a
dešifruje
komunikaci
s klientem
Radius-NEMJI.kr-vysocina.cz, který se nachází na RADIUS serveru nem1.nemji.cz, který je popsán v kapitole 4.3. Obrázek 3 - 1 zachycuje nastavení klienta Radius_NEMJI na Radius serveru edurad.kr-vysocina.cz.
Obrázek 3 - 1: RADIUS klient (Radius_NEMJI)
20
4 Vytvoření RADIUS serveru nem1.nemji.cz RADIUS server byl vytvořen v operačním systému Microsoft Windows Server 2012. Proč byl zvolen operační systém Windows? Nemocnice vlastní neomezenou licenci na produkty Microsoft. Proto byl vybrán Microsoft Windows Server 2012. Nemocnice Jihlava poskytla virtuální prostředí, klienta pod virtualizační platformou VMWARE. Připojen jsem byl pomocí vzdálené plochy ve Windows 7 Professional. Veškerá tvorba probíhala přímo ze serverovny na Krajském úřadě, kde má nemocnice uloženo diskové pole a potřebnou LAN infrastrukturu. Pomocí ethernetového kabelu jsem se připojil přímo do vyhrazené LAN sítě Nemocnice Jihlava, kde byl dostupný RADIUS server nemocnice. Přes vzdálenou plochu, RDP, jsem se připojil na Windows Server 2012, kde jsem přidal roli RADIUS, ve kterém jsou 2 klienti. Local server: Computer name : srv.eduroam Domain: nem1.nemji.cz Ethernet: 172.16.203.180 Operation system version: Microsoft Windows Server 2012 Standard Hardware information: VMware, Inc. VMware Virtual Platform Procesors: Intel(R) Xeon(R) CPU X5650 @ 2,67 GHz, Intel(R) Xeon(R) CPU X5650 @ 5,67 GHz Installed memory (RAM): 4GB Total disk space: 48.48 GB
21
4.1 Přidání Role 4.1.1 Server NPS (Network Policy Server) „Server NPS umožňuje centrálně konfigurovat a spravovat ověření a autorizace přístupu k síti a zásady stavu klienta. K tomu slouží následující tři funkce: “[4]. RADIUS server Před použitím serveru NPS jako RADIUS serveru je třeba v modulu snap-in server NPS nakonfigurovat servery pro přístup k síti, např. bezdrátové přístupové body, jako klienty RADIUS. Lze také nakonfigurovat monitorování účtů RADIUS, tak aby NPS server zapisoval informace na disk nebo na SQL server RADIUS proxy Slouží jako centrální přepínač nebo směrovač, kterým prochází informace o přístupu a informace o monitorování účtu protokoly RADIUS. Netowork acces Protection (NAP) policy server Architektura NAP vynucuje zásady stavu kontrolováním a hodnocením stavu klientských počítačů. Při vyhodnocení stavu jako nekompatibilní - omezí přístup do sítě. Vynucení může nastat během připojení klientského počítače do sítě. Při měření stavu je kontrolováno: provozní stav brány firewall, aktualizace antiviru.
22
4.2 Nastavení RADIUS klienta wifi.nem-jih.cz Vytvořil jsem RADIUS klienta s popisným názvem wifi.nem-jih.cz na RADIUS serveru nem1.nemji.cz. Tento RADIUS klient bude šifrovaně komunikovat s klientem radius_Eduroam, který je popsaný v kapitole 5.1. Byl nastaven název klienta, IP adresu Wi-Fi kontroléru a sdílený tajný klíč. Obrázek 4 - 1 zachycuje nastavení RADIUS klienta wifi.nem-jih.cz.
Obrázek 4 - 1: RADIUS klient (wifi.nem-jih.cz)
23
4.3 Nastavení RADIUS klienta Radius-NEMJI.kr-vysocina.cz Vytvořil jsem RADIUS klienta s popisným názvem Radius-NEMJI.kr-vysocina.cz s IP adresou 195.113.207.114 a DNS jménem edurad.kr-vysocina.cz na RADIUS serveru nem1.nemji.cz. Tento RADIUS klient bude šifrovaně komunikovat s RADIUS klientem Radius_NEMJI, který je uveden v kapitole 3.1. Nastavil jsem název klienta, IP adresu a sdílený tajný klíč. Obrázek 4 - 2 zachycuje nastavení RADIUS klienta Radius-NEMJI.kr-vysocina.cz.
Obrázek 4 - 2: RADIUS klient (Radius-NEMJI.kr-vysocina.cz)
24
5 Nastavení centrálního Wi-Fi kontroléru Nemocnice Jihlava Nemocnice Jihlava využívá na centrální správu Wi-Fi řešení a monitorování: Wi-Fi kontrolér HP ProCurve MSM765.
5.1 Nastavení RADIUS klienta radius_Eduroam Vytvořil jsem RADIUS klienta s popisným názvem radius_Eduroam na RADIUS serveru radius_nemocnice. RADIUS klient bude komunikovat s RADIUS klientem wifi.nem-jih.cz, který je uveden v kapitole 4.2. Přiřadíme RADIUS serveru IP adrese, název, sdílený tajný klíč, MSCHAPv2 autorizace. Sdílený tajný klíč bude shodný s klientem wifi.jih-nem.cz. Obrázek 5 - 1 zachycuje nastavení RADIUS serveru radius_Eduroam.
Obrázek 5 - 1: Profil RADIUS serveru (radius_Eduroam)
25
5.2 Vytvoření VSC (SSID) SSID je identifikátor bezdrátové (Wi-Fi) sítě. Přístupový bod (AP) bude vysílat název sítě eduroam (bude viditelný na PC, mobilu…). Byla vytvořena skupina s názvem eduroam. V počáteční fázi testování bylo přidáno pouze jedno AP. Broadcast name bude vysílat název sítě eduroam. Obrázek 5 - 2 zachycuje nastavení VSC profilu.
Obrázek 5 - 2: VSC profil
26
5.2.1 DHCP server Pro účely testování, byl použit stávající DHCP server, pro veřejný přístup do sítě internet. V případě že dojde k úspěšné autorizaci, poskytne DHCP klientům automatické nastavení sítě. DHCP server umožňuje automatické nastavení stanic v počítačové síti. Nastaví všechny parametry nutné pro komunikaci s protokoly TCP/IP. Zjednoduší a centralizuje počítačovou síť.
Hlavní úkol DNS serveru je převod doménových jmen a IP adres uzlů sítě, ale má o další funkce (funkce pro elektronickou poštu, IP telefonii). DNS je distribuovaná databáze síťových informací. Start a End určuje rozsah IP adres. Počáteční IP adresa 10.10.12.5, konečná IP adresa 10.10.12.254. Brána (Gateway) spojuje dvě sítě, vykonává funkci routeru. Maska sítě (Netmask) popisuje rozdělení PC sítě do podsítí. Maska 255.255.255.0 je nejpoužívanější na počítačích připojený do sítě internet. Psáno jako 32- bitové číslo: 11111111 11111111 11111111 00000000 maska rozděluje na 24 bitů a zbylých 8 bitů pro číslo síťového rozhraní. Podsíť (Subnet je zkratka pro subnetwork) 10.10.12.0. Této podsíti můžeme nastavit určité práva, které nebudou platit pro celou síť, ale jen pro podsíť 10.10.12.0 [5]. Obrázek 5 - 3 zachycuje nastavení DHCP serveru.
Obrázek 5 - 3: DHCP server
27
5.3 Přístupový bod (AP) Do vytvořené skupiny eduroam bylo přidáno jedno AP s názvem CN30DWZ 12. Obrázek 5 - 4 zachycuje přidání AP do skupiny eduroam. HP MSM430
Access point IEEE 802.11a/b/g/n
2.4 GHz a 5 GHz
Přenosová rychlost až 300 Mbits
Napojeno přes PoE (802.3af)
Lze spravovat přes kontrolér nebo samostatně
Až 16 SSID
Obrázek 5 - 4: Přidání AP
28
6 Nastavení klientských stanic 6.1 Android Tento návod je pro systém android verze 4.4.2. Z úvodní obrazovky vstupte do nastavení > systémové nastavení > bezdrátové připojení a sítě > eduroam. Obrázek 6 - 1 zachycuje nastavení operačního systému android. Zadejte následující údaje:
SSID: eduroam (ve verzi 2.1, u vyších verzí je předvyplněno )
Zabezpečení: 802.1x (ve verzi 2.1, u vyších verzí je předvyplněno )
Metoda EAP: PEAP
Ověření Phase 2: MSCHAPv2
Identita:
[email protected]
Heslo: *****
Obrázek 6 - 1 Nastavení operační systém android
29
6.2 Windows phone Tento návod je pro verzi windows phone 8.1. Z úvodní obrazovky vstupte do nastavení > Wi-Fi > eduroam. Obrázek 6 - 2 zachycuje nastavení operačního nastavení windows phone. Zadejte následující údaje:
Uživatelské jméno:
[email protected]
Heslo: *****
Metoda EAP: PEAP, MS-CHAPv2
Obrázek 6 - 2 Nastavení operačního systému windows phone
30
6.3 Windows Tento návod je pro windows 7. Rozklikněte na nabídku start a vyberte ovládací panely > síť a internet > centrum sítí a sdílení > spravovat bezdrátové sítě > přidat > ručně vytvořte síťový profil. Obrázek 6 - 3 zachycuje nastavení síťového profilu.
Obrázek 6 - 3 Nastavení síťového profilu
Byla úspěšně přidána síť eduroam, klikněte na „Změnit nastavení připojení“. Zobrazí se okno „eduroam – vlastnosti bezdrátové sítě“. Na kartě „Připojení“ nic neměňte. Na kartě „Zabezpečení“ rozklikněte Nastavení.
Obrázek 6 - 4 Nastavení vlastností bezdrátové sítě, zabezpečení
31
Vlastnosti protokolu Protected EAP, zde vyberte kořenový certifikát. Obrázek 6 - 5 zachycuje nastavení kořenového certifikátu, zde je možnost vybrat kořenový certifikát.
Obrázek 6 - 5 Nastavení kořenového certifikátu
Odškrtnout Automaticky použít jméno a heslo. Obrázek 6 - 6 zachycuje použití automatické jméno a heslo.
Obrázek 6 - 6 Automatické jméno, heslo
Nyní se můžete pokusit připojit k bezdrátové síti, zapněte bezdrátovou kartu a aktualizujte seznam sítí. Pokud je síť v dosahu dojde k automatickému přihlašování. Po vyplnění uživatelského jména a hesla proběhne ověření účtu. Pokud vše proběhne v pořádku, budete připojeni.
32
7 Závěr 7.1
Popis průběhu autorizačního požadavku
Obousměrná červená šipka znázorňuje cestu autorizační požadavku. Uživatel se připojí pomocí notebooku v nemocnici. Než ho vpustí AP do sítě, musí proběhnout ověření uživatele. AP informuje centrální Wi-Fi kontrolér převezme autorizaci uživatele a přepošle ho na nadřazený RADIUS server nem1.nemji.cz (IP 195.16.100.102, Nemocniční RADIUS server). Dále se přepošle požadavek na nadřazený RADIUS server edurad.kr-vysocina.cz (IP 195.113.227.137, Krajský RADIUS server). Pokud se jedná o uživatele z domovské organizace Krajského úřadu Kraje Vysočina, bude ověřen a vpuštěn do sítě. Pokud půjde o jiného uživatele z jiné domovské organizace (např. studenta
lékařské
fakulty
Masarykovy
univerzity,
ale
i
testovací
identita
[email protected]) přepošle se požadavek na autorizaci na národní RADIUS radius1.eduroam.cz (195.113.187.22, Národní RADIUS server) a dále směrem k RADIUS serveru domovské organizace uživatele. Obrázek 7 - 1 zachycuje průběh požadavku.
Obrázek 7 - 1 Průběh autorizačního požadavku
33
7.2 Testování Byl použit testovací účet:
[email protected]. Pomocí tohoto účtu jsem ověřoval spojení RADIUS servery. Obrázek 7 - 2 zachycuje log o přístupu. Ze kterého je patrné, že uživateli
[email protected] byl udělen přístup. Podle adresy IP 172.16.100.102 zjistíme, že se jedná o připojení z Wi-Fi kontroléru Nemocnice Jihlava. Podle adresy IP 195.113.227.137 je patrno, že požadavek vyšel z nemocniční LAN sítě routerem Nemocnice Jihlava resp. jeho venkovním rozhraním 195.113.227.137 tzv. překladem adres - NATem.
Obrázek 7 - 2 Log přístupu
34
Seznam použité literatury [1] CESNET, z. s. p. o. Eduroam [online]. 1996, 2012 [cit. 2014-04-27]. Dostupné z: http://eduroam.cz/ [2] GRUNTORÁD, Jan. CESNET. Roamingová politika [online]. Praha, 2009 [cit.
Dostupné
2014-04-29].
z: http://eduroam.cz/_media/cs/cz_roam_policy_v2.0.pdf [3] TERENA. Eduroam [online]. 2003, 2012 [cit. 2014-05-08]. Dostupné z: https://www.eduroam.org/ [4] MICROSOFT. Microsoft Developer Network [online]. 1992, 2014 [cit. 2014-05-14]. Dostupné z: http://msdn.microsoft.com/dn308572 [5] WALES,
Jimmy. Wikipedie [online].
1995,
2014
[cit.
2014-05-14].
Dostupné z: http://cs.wikipedia.org/wiki/Wikipedie
35
Seznam obrázků Obrázek 2 - 1: Místa, kde se připojit ................................................................................ 8 Obrázek 2 - 2: Lokální uživatel ...................................................................................... 12 Obrázek 2 - 3: Hostující uživatel .................................................................................... 13 Obrázek 2 - 4: Struktura RADIUS serverů ..................................................................... 14 Obrázek 3 - 1: RADIUS klient (Radius_NEMJI) ........................................................... 20 Obrázek 4 - 1: RADIUS klient (wifi.nem-jih.cz) ........................................................... 23 Obrázek 4 - 2: RADIUS klient (Radius-NEMJI.kr-vysocina.cz) ................................... 24 Obrázek 5 - 1: Profil RADIUS serveru (radius_Eduroam) ............................................. 25 Obrázek 5 - 2: VSC profil ............................................................................................... 26 Obrázek 5 - 3: DHCP server ........................................................................................... 27 Obrázek 5 - 4: Přidání AP ............................................................................................... 28 Obrázek 6 - 1 Nastavení operační systém android ......................................................... 29 Obrázek 6 - 2 Nastavení operačního systému windows phone ...................................... 30 Obrázek 6 - 3 Nastavení síťového profilu....................................................................... 31 Obrázek 6 - 4 Nastavení vlastností bezdrátové sítě, zabezpečení ................................... 31 Obrázek 6 - 5 Nastavení kořenového certifikátu ............................................................ 32 Obrázek 6 - 6 Automatické jméno, heslo ....................................................................... 32 Obrázek 7 - 1 Průběh autorizačního požadavku ............................................................. 33 Obrázek 7 - 2 Log přístupu ............................................................................................. 34
36
Seznam použitých zkratek WPA – Wi-Fi Protected Access TKIP – Temporal Key Integrity Protocol SSID – Service Set Identification EAP – Extensible Authentication Protocol AAI – Autentication And Authorization Infrastructure VLAN – Virtual Local Area Network AP – Access Point IP – Internet Protocol UČO – Unikátní číslo studenta LDAP – Lightweight Directory Access Protocol SQL – Structured Query Language RadSec – RADIUS Security IPsec – Internet Protocol security AES – Advanced Encryption Standart LAN – Local Area Network RDP – Remote Desktop Protocol DHCP – Dynamic Host Configuration Protocol TCP – Transmission Control Protocol PC – Personal Computer DNS – Domain Name System IEEE – Institute of Electrical and Electronics Engineers EAP-TLS – Extensible Authentication Protocol - Transport Layer Security MS-CHAP – Microsoft Challenge-Handshake Authentication Protocol PPTP – Point - to - Point Tunneling Protocol EAP-TTLS – Extensible Authentication Protocol - Tunneled Transport Layer Security PEAP – Protected Extensible Authentication Protocol PANA – Protocol for Carrying Authentication for Network Access PKI – Public Key Infrastructure ASPI – Automatizovaný Seznam Právních Informací AH – Authentication Header ESP – Encapsulating Security Payload SA – Security Associations 37
NPS – Network Policy Server SQL – Structured Query Language NAP – Netowork acces Protection NAT – Network address translation
38
Přílohy 1 Obsah přiloženého CD Na přiloženém CD se v kořenovém adresáři nachází tato bakalářská práce ve formátu bakalarska_prace.pdf.
39