D-Link DGS Serisi Switchler Üzerinde Freeradius İle Mac Güvenliği

RADIUS-wallpaper

Aşağıda DLINK Switchler üzerinde, MAC-Based authentication işini freeradius?a yüklemenin yollunu anlatıyor olacağım, Kurulum sırasında bize lazım olacak malzemeler ;

1 Adet dlink switch ?yönetilebilir olmak zorunda?

1 Adet pc/server

1 adet Ubuntu 12.04.04 server cd si

Internet bağlantısı ? server için ?

Bilgisayarımıza ilgili ip adresleri ile birlikte openssh ve LAMP server kurulumu yaptıktan sonra aşağıdaki bölümleri sırası ile yapmanız gerekmektedir.

+Radius sunucu ayarları

Config radius add 1 192.168.10.45 encryption_key sizin_keyiniz auth_port 1812 acct_port 1813 timeout 5 retransmit 2

# GLOBAL Ayarlar

enable mac_based_access_control
config mac_based_access_control max_users no_limit
config mac_based_access_control method radius
config mac_based_access_control password default
config mac_based_access_control password_type client_mac_address
config mac_based_access_control authorization attributes radius enable

# Port ayarları # aşağıda sadece 2. port için uygulama var.

config mac_based_access_control ports 2 state enable
config mac_based_access_control ports 2 mode port_based
config mac_based_access_control ports 2 max_users 128
config mac_based_access_control ports 2 aging_time 1440
config mac_based_access_control ports 2 block_time 300
config mac_based_access_control trap state enable
config mac_based_access_control log state enable

+Ubuntu 12.04.04 tarafı

sudo apt-get install freeradius
vi /etc/freeradius/radiusd.conf

Log scope u altındaki değerleri YES olarak düzeltiyoruz ki ?tail -f /var/log/freeradius/radius.log? komutunu yazdığımızda auth isteklerini görüntüleyebilelim.

log {
auth_badpass = yes
auth_goodpass = yes
}
vi /etc/freeradius/client.conf
client 192.168.10.1 {
secret = 12345 # Switch üzerinde yazdığımız password
shortname = dlink # Sorguyu gönderen cihaz için takma ad
nastype = other # Bunu yazmazsak çalışmıyor zannedersem soru soran için bilgi almak adına yazıyoruz
require_message_authenticator = no # Bazı eski versiyon radius taleplerinde authneticator değeri olmayabiliyor o zaman da alet cevap vermiyor önün geçmek için yazıyorurz.
}

scope unu ekliyoruz ki freeradius auth taleplerimizi ciddiye alsın. :)

users dosyasına son olarak mac adresimizi ve sözde şifremizi ekliyoruz.

vi /etc/freeradius/users
#sadece mac security için
3C075446D732 Auth-Type := Local, Cleartext-Password := ?3C075446D732?
#hem 802.1x hemde dynamic vlan tagging için
mesutbayrak Auth-Type: = EAP, User-Password == ?test1234?
Tunnel-Type = ?VLAN?,
Tunnel-Medium-Type = ?IEEE-802?,
Tunnel-Private-Group-ID = ?77?

baştaki string değeri aslında username sondaki string değerde baştaki ile aynı.

+İzlemek için

tail -f /var/log/freeradius/radius.log

Örnek çıktı

Başarılı sonuç ;

Tue Apr 1 14:10:20 2014 : Auth: Login OK: [3C075446D732/3C075446D732] (from client dlink port 2 cli 3C-07-54-46-D7-32)

Başarısız switch konfigürasyonu;

Tue Apr 1 13:34:16 2014 : Error: Ignoring request to authentication address * port 1812 from unknown client 192.168 .10.1 port 8021
başarısız auth talebi ;
Auth: Login incorrect (No password configured for the user): [3C 075446D732/3C075446D732] (from client dlink port 2 cli 3C-07-54-46-D7-32)

Aşağıda da vendor specific code listesini bulabilirsiniz.

# Copyright (C) 2013 The FreeRADIUS Server project and contributors
##############################################################################
#
# D-Link Vendor Specific Attributes Dictionary
#
# Created by Sylph Lin <sylph.lin@gmail.com>
#
# Version $Id$
#
##############################################################################
VENDOR Dlink 171
BEGIN-VENDOR Dlink
ATTRIBUTE Dlink-User-Level 1 integer
ATTRIBUTE Dlink-Ingress-Bandwidth-Assignment 2 integer
ATTRIBUTE Dlink-Egress-Bandwidth-Assignment 3 integer
ATTRIBUTE Dlink-1p-Priority 4 integer
ATTRIBUTE Dlink-VLAN-Name 10 string
ATTRIBUTE Dlink-VLAN-ID 11 string
ATTRIBUTE Dlink-ACL-Profile 12 string
ATTRIBUTE Dlink-ACL-Rule 13 string
ATTRIBUTE Dlink-ACL-Script 14 string
VALUE Dlink-User-Level User-Legacy 1
VALUE Dlink-User-Level User 3
VALUE Dlink-User-Level Operator 4
VALUE Dlink-User-Level Admin 5
VALUE Dlink-User-Level Power-User 6
VALUE Dlink-User-Level Admin-Legacy 15
END-VENDOR Dlink

Bir sonraki yazı IMPB, DHCP Snooping, ARP & IP inspection kısmı ile ilgili olacak.