이 실습은 EVE-ng 가상환경에서 네트워크 장비와 컴퓨터 시스템 장비들을 운용하고 있다. 물론 GNS 또는 실장비를 구비해서 실습환경을 구현해도 괜찮을 듯...
실습 목표
; 시스코 장비의 로그인 인증서버로 윈도우 20008 RADIUS서버를 운영하는 것.
실습구현
1. 시스코 장비 configuration
IP Rouging, DHCP, DACL, AAA
2. 윈도우 서버 RADIUS 서버 구성
NPS 서버
3. 외부 클라이언트 접속 테스트
Telnet Client 설치
실습 토폴로지
Network Simulation Program : EVE-ng
Network Device Image : i86bi-linux-l2-adventerprisek9-15.2c.bin / i86bi-linux-l3-adventerprisek9-15.4.1T.bin
Linux : Metasploitable2
Windows : Windows 7 sp1
Windows Server : Windows Server 2008 R2
1. Topology
|
R1 e0/0 : 10.1.1.1/24
R1 s1/0 : 1.1.12.1/30
Winserver(2008R2) : 10.1.1.12
Linux(Web server) : 10.1.1.11
Win8(External User) : 14.1.1.12
R1 설정 |
en conf t hostname BBR ! enable secret ciscosec ! aaa new-model ! aaa authentication login TELNET group radius local ! ip dhcp excluded-address 10.1.1.1 10.1.1.10 ! ip dhcp pool KG network 10.1.1.0 255.255.255.0 default-router 10.1.1.1 lease infinite ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ! interface Serial1/0 ip address 1.1.12.1 255.255.255.252 ip access-group acl-in in ! ip route 0.0.0.0 0.0.0.0 Serial1/0 1.1.12.2 ! ip access-list extended acl-in permit tcp any host 1.1.12.1 eq telnet dynamic allplythis permit ip any any ! radius server WIN address ipv4 10.1.1.12 auth-port 1812 acct-port 1813 key cisco ! line vty 0 4 login authentication TELNET autocommand access-enable host timeout 10 transport input all ! end BBR# |
R1 주요 설정 해설 |
aaa new-model // AAA 계정/인증/권한 활성화 aaa authentication login TELNET group radius local // TELNET : login 할 때 인증 방법과 인증 우선순위를 정의할 변수명 // 인증 우선순위 : 먼저 RADIUS 서버, 그 다음은 LOCAL 을 사용할 계획 radius server WIN // RADIUS 서버 이름 지정(임의값) address ipv4 10.1.1.12 auth-port 1812 acct-port 1813 // RADIUS서버 ip와 인증,계정 PORT 지정 key cisco // RADIUS 서버에 인증의뢰 할때 키 값 line vty 0 4 login authentication TELNET // telnet,SSH연결 할때 사용할 인증수단(윗 단계에서 정의한 변수) |
R5 설정 |
en conf t hostname ER ! ip dhcp excluded-address 14.1.1.1 14.1.1.10 ! ip dhcp pool ISP network 14.1.1.0 255.255.255.0 default-router 14.1.1.1 lease infinite ! interface Ethernet0/0 ip address 14.1.1.1 255.255.255.0 ! interface Ethernet0/1 ip address dhcp ! interface Serial1/0 ip address 1.1.12.2 255.255.255.0 ! ip route 10.1.1.0 255.255.255.0 Serial1/0 1.1.12.1 ! end ER# |
Windwos Server 2008 R2
1. RADIUS 인증에 사용될 계정 생성
|
2. NPS server 설치
Start>Server Manager>Role>Right mouse>Add Role>네트워크정책및네트워크서비스
시작>관리도구>서버관리자>역할>우측 마우스>역할 추가>네트워크정책밍 네트워크서비스>네트워크정책서버 선택
3. RADIUS 클라이언트 생성
|
RADIUS Server 는 Windows 서버이며, RADIUS Client는 인증의뢰를 하는 Router이다. 공유암호는 라우터에서 설정한 key값과 일치해야 |
4. 네트워크 정책 생성
|
|
사용자 그룹 선택하여 RADIUS에 인증에 사용될 그룹을 선택한다. |
이 실습에서는 편의상 users그룹을 사용한다. 하지만 별도의 그룹계정을 생성할 것을 권장한다. |
|
이 실습에서는 인증방법 구성에서 CHAP,PAP인증을 활성한다. |
이 실습에서는 기본값으로 넘어가지만 유휴시간을 제한을 하여 많은 리소스를 절약 할 수 있다. |
설정구성에서 특성은 별도로 지정할 필요가 없다. 물론 기존의 특성도 제외해도 된다. |
정책생성의 결과값에 대한 요약정보을 확인한 다음 마침을 선택한다. |
네트워크 정책은 우선순위로 적용되어 진다. 생성한 정책을 최 상위로 올린다. |
서버에서 RADIUS관련 PORT정보를 확인해 본다. |
윈도우 외부 클라이언트에서
1. Telnet 클라이언트 설치
시작>제어판>프로그램>윈도우기능사용/사용안함>텔넷클라이언트 선택
2. cmd 창에서
|
|
EVE-ng에서 R1라우터의 E0/0을 모니터링 한 모습
Access-Request
|
Access-Accept
|
