Radius Server welke benodigheden en vragen

[Seppe_Unknown]

Hallo,
Ik maak voor mijn eindwerk 6de middelbaar IICT een Radius Server maar ik weet niet goed wat ik dan eigenlijk allemaal nodig heb. Ik heb een NUC waar ik linux ubuntu server heb opgezet en daar heb ik een freeradius op gezet. weet dat ik een 802.1X nodig heb voor beveiliging maar ik weet niet goed wat dit is en hoe ik dit op mijn radius server moet zetten. en ik heb een switch maar ja ik weet niet goed wat ik moet doen en wat ik nog nodig heb want op school heb ik hier niks over gezien dus heb ik me wat bijgeschoold via internet maar ik zit vast daarom hoop ik via hier hulp te krijgen.
Alvast dankuwel Seppe

[DSGebruiker]

RADIUS "op zich" staat wel los van 802.1X ("DOT 1X") zoals ze zeggen.
Met 802.1X ga je proberen een veel beter beveiliging van je netwerk te bekomen en niet zomaar iedereen die een kabeltje gaat insteken toelaten op je netwerk.

Een switch zal in dat geval een "radius client" worden van een radius-server. Hij gaat AAA-verkeer uitwisselen (Authentication Authorization & Accounting) met een RADIUS-server. Zo kan elke poort op een LAN-switch beveiligd worden, kunnen sommige gebruikers op basis van bepaalde criteria andere poort-paramters krijgen (vb de VLAN waarin ze komen te zitten) en zal alles in de logging verschijnen (Accounting) om een goed overzicht te houden wie-wat-waar etc.

Ik heb een zeeer oude presentatie bijgevoegd van iets dat we vroeger gemaakt hebben, maar het bevat ook "wat basis" van het hele AAA-gebeuren.
De "toepassing" met je switch, dus 802.1X is op zich niet zo heel moeilijk.
Hopelijk heb je hier wat aan, in het Engels, maar dat zal wel geen probleem zijn zeker?

Tip : dit forum laat geen PPT-bestanden toe, dus heb ik ze effe in een ZIP gestoken.

[Seppe_Unknown]

Danku DSGebruiker, ik zal het eens bekijken uw presentatie, hiervoor bedankt, en weet u wat ik zoal nodig heb voor dit zo beveiligd mogelijk op te zetten?

[DSGebruiker]

Eigenlijk ni veel : qua minimum => 1 x RADIUS server + 1 x 802.1X capabel device (vb LAN-switch, aka RADIUS "client") + CONFIG

En laat nu net dat laatste aspect nogal wisselend zijn. Dat kan volgens mij relatief eenvoudig tot zeer complex. Hangt af van wat de doelstelling is.
Welke zijn de "endpoints" die aan de switches hangen ? PC's ? Printers ? Hebben die een 802.1X "supplicant" ingebouwd of moet er ook gewerkt worden met MAB (MAC Authentication Bypass)

Volgens mij heb je op Youtube voldoende stap-voor-stap filmkes om vb FreeRADIUS config te doen. Dat kan zowel met "textbestanden" maar je heb er ook een web-interface voor (vb daloRadius)

Tja, dan de switch-kant, dan  moet daar in de documentatie duiken en je gaat daar zeker een config voorbeeld vinden. Welke merk van switch is het ?
switch-config kan is eigenlijk ook niet zoveel werk om het aan de praat te krijgen hoor.

[Seppe_Unknown]

ik zou aan de switches computers hangen voor te kunnen presenteren en misschien een telefoon zodat ik dit kan presenteren aan de GIP juri maar hierna zou dit gebruikt worden in een rusthuis deze radius. Hier zo -u moeten gewerkt worden met een MAB want deze "supplicant" zit niet in de computer die ik zou gebruiken niet ingebouwd. tenzij ik het niet zou weten dat deze hier in zit maar tot zo ver ik weet zit deze hier niet in.

De switch zou normaal een aruba switch zijn dat zou ik nog eens moeten checken.

[DSGebruiker]

De meest moderne OS'sen (vb Win 10/11 , "Linux") hebben zeker een ingebakken supplicant hoor.
Als ik vb op m'n Ubuntu Linux naar "netwerk" settings heb ik een zeker een "security" sectie waar ik m'n supplicant kan configgen. Vb om met gewoon een username/password te werken ofwel met certificaten etc.

Bepaalde telefoon en grotere printers hebben dat ook wel, maar soms beperkt. Je moet allesinds documentatie goed bestuderen want de kleine lettertjes zijn hier wel meestal belangrijk.

Voor MAB is het ook simpel, op je FreeRADIUS zal je een lijstje met "gebruikers" hebben dan gewoon de MAC-adressen zijn van de toestellen in kwestie. Dan moet jij zelf nog beslissen (dmv van de juiste Radius Attributes terug te sturen naar de Aruba LAN switch) vb in WELKE VLAN die moeten komen bijvoorbeeld.

Voor Aruba bijvoorbeeld staat het toch redelijk goed gedocumenteerd voor iets rond 802.1X
Je zal daar zeker wel iets vinden.

https://www.arubanetworks.com/techdocs/ArubaOS_63_Web_Help/Content/ArubaFrameStyles/802.1x/Example_Configurations.htm#802.1x_1833088626_1017784

[Seppe_Unknown]

ah okay dan zal mijn computer dit toch hebben haha bedankt.
ik zal dit een goed bekijken op mijn telefoon.
ah dus in de gebruikers settings moet ik die gewoon met MAC adressen toevoegen. dit gebreurt bij mijn in de VI.
danku ik zal dit eens lezen.

[DSGebruiker]

Het is de bedoeling dat je natuurlijk ook iets gaat leren hé. In de ICT is het dikwijls "trial & error" , dus proberen, kijken wat fout gaat en opnieuw proberen.
Je zal via Google genoeg "hits" tegenkomen hoe je op FreeRADIUS "MAC" "user" bijvoorbeeld moet maken, in welke file die moeten komen, eventueel wel attributes je in de radius-replies naar de switch enz zet. Want die Aruba moet dat kunnen interpreteren dat vb een bepaalde user in een bepaalde VLAN moet terecht komen.

Zie hieronder een voorbeeld.
https://www.arubanetworks.com/techdocs/ClearPass/6.10/PolicyManager/Content/Deploy/AOS%20Switch%20Integration/8021x_config.htm

Zie de screenshot waar uiteindelijk van de Radius-server 3 attributes terugkomen :

Tunnel-Type = 13 (VLAN)
Tunnel-Medium-Type = 6 (IEEE 802)
Tunnel-Private-Group-Id = 100 (eigenlijk VLAN waarin de gebruiker zal gemapped worden)

Etc,etc.

Probeer altijd, voor hulp te zoeken, goed in de LOGGING te kijken en desnoods de logging meer in detail te laten gebeuren. Dikwijls komt daar iets uit dat je nieuwe inzichten geeft waarom iets niet werkt etc.

Success!

[Briolet]

Ik neem aan dat je de uitgebreide "FreeRADIUS Technical Guide.pdf" ook al ergens opgehaald hebt en gelezen?

De Synology Nas heeft ook een Radius Server package en deze is ook op basis van FreeRadius.