2008年8月9日 星期六

Radius Server的建置

December 29, 2004

Radius Server的建置

原本是很簡單的工作
把Linux Server架好(NAT, DHCP)
還有AP給設定好就可以的
但是因為該死的AP虎爛他們的功能(802.1X的部分)
害我浪費好多時間
不過有玩了HostAP倒是滿有趣的~

首先這是我的實驗環境
Layout.png

在Debian和RedHat間用OpenVPN把彼此的private network
192.168.124.0/24 & 192.168.125.0/24給連接起來

設定檔案:
Debian
RedHat

然後我在Debian那台接了兩張網卡,一張是對外的,一張對內做NAT&DHCP,並且接上AP。AP設定static ip : 192.168.124.2。

確定OpenVPN可以通了以後,就開始架設Radius Server,我是使用freeradius-1.0.1,需要設定的檔案有以下幾個:

[clients.conf]

以Debian那台來說,他的client就是AP,所以必須加入以下的entry
client 192.168.124.2{
secret = key1
shortname = ap
nastype = other
}

以RedHat來說,他的client就是Debian,所以加入
client 192.168.124.1 {
secret = key2
shortname = server
nastype = other
}

[users]
因為我的Radius是做一個最簡單的測試,所以我在users中直接加入了測試的帳號,
當然可以使用unix的系統帳號。

Debian中加入了
"sky" Auth-Type := EAP, User-Password == "sky"
Session-Tieout = 180,
Idle-Timeout = 120
RedHat中加入了
"horn" Auth-Type := EAP, User-Password == "horn"
Session-Tieout = 180,
Idle-Timeout = 120

[proxy.conf]
這是設定我的認證是要在local或是需要redirect到其他的server去認證。

Debian的設定加入
realm 140.112.21.103 {
type = radius
authhost = 192.168.125.1:1812
acchost = 192.168.125.1:1813
secret = key2
nostrip
}
代表user@140.112.21.103必須透過vpn tunnel到192.168.125.1,也就是Redhat去
做認證,特別注意的是加入nostrip的選項,告訴Debian上的freeradius不要把user@140.112.21.103中 的"@140.112.21.103"給去掉,要把"user@140.112.21.103"整個當作username傳給RedHat那台。

RedHat的設定加入
realm 140.112.21.103 {
type = radius
authhost = LOCAL
accthost = LOCAL
}
代表user@140.112.21.103的認證是要在LOCAL端來做。

接下來就來說說我的實驗心得。
client用的軟體有
1. Windows : Odyssey Client Enterprise Edition, version 3.03 Link
2. Linux : xsupplicant Link

[Exp. 1]
一開始我用的AP是D-Link DWL-2000AP
結果相當另人失望啊
我用windows client一直沒有任何訊息
使用xsupplicant結果看到log上告訴我他收到invalid eap message
所以我想這台D-LINK的AP產生的radius相關message和標準不同吧
就放棄這台了

[Exp.2]
第二個實驗我是用ASUS WL-300g
他有兩個mode可以選
我第一次是使用home gateway mode
也就是wired & wireless是分開來的
(相對於另一種把wired & wireless做bridge的mode)
在這個mode下我們要啟動dhcp server
AP再自已做nat之類的從wired端出去
但是在這個mode下我啟動802.1x設定radius server時
發現我的client送出request到AP的wireless端之後
就沒有任何request message從AP的wired端傳到radius server去
這台AP就這樣吃掉了我的request message
所以也失敗!

[Exp.3]
再來還是這台ASUS WL-300g
選用另一個operation mode : 把wired & wireless做bridge的mode(名稱我忘了)
一開始用ethereal來看
情況非常好
所有的802.1x認證message都有正確的往來
在server上也有log紀錄下認證成功的資訊
但是在這個mode下AP不能設定跑dhcp server
所以我必須在radius server上也跑個dhcp server(這是因為我把這幾個service都跑在同一台上)
但糟糕的是
通過認證後的dhcp request broadcast message
這台AP又硬是把他給吃了><>

[Exp.4]
最後也是最麻煩的一個實驗
我自己架個AP總行了吧?
我就用我的Gentoo Laptop跑HostAP這個package
並在他上面採用802.1x的認證
總算是可以完全work了..感動啊~
這個HostAP其實很簡單用
唯一困難的是你要找張使用prism chipset的wireless card
我也是好不容易才在光華找到一張神腦的卡
然後重編kernel把以下的選項打開
(開bridge是我想把wired & wireless給做一個bridge,因此是optional的)
Networking Options -> 802.1d Ethernet Bridging
Network device support -> Wireless LAN (non-hamradio)
裝好hostapd & hostap-drivers
跑hostapd這支daemon就可以在client上看到這個新的ap了
再來把hostap裡的802.1x的選項打開,設好radius server
用bridge-utils裡的brctl設定好bridge function
另外記得用sysctl把forwarding的功能打開:
echo "1" > /proc/sys/net/ipv4/ip_forward
或是
修改/etc/sysctl.conf加入net.ipv4.ip_forward = 1
就大功告成了^^

我把我的設定檔案放在這裡供參考
Download bridgeDownload hostapd.conf

To Be Continued...

Posted by skychaser at December 29, 2004 09:12 AM

原文網址

2008年8月6日 星期三

KAV 2009 設定 卡巴斯基常見問題

適用版本:
卡巴斯基防毒軟體7.0 MP1 ( Kaspersky Anti-Virus 7.0.1.325 )
卡巴斯基防毒軟體2009 ( Kaspersky Anti-Virus 2009 )
卡巴斯基網路安全套裝7.0 MP1 ( Kaspersky Internet Security 7.0.1.325 )
卡巴斯基網路安全套裝2009 ( Kaspersky Internet Security 2009 )
卡巴斯基防毒軟體for Windows Workstations 6.0.3.837

作業系統:
Microsoft Windows 2000 ( 只能安裝卡巴斯基防毒軟體個人版6.0 / 7.0 )
Microsoft Windows XP 32 / 64 位元
Microsoft Windows Vista 32 / 64 位元

當使用非微軟作業系統內建遠端管理軟體( 如VNC )透過網路管理另一部電腦安裝的卡巴斯基防毒軟體,會出現開啟卡巴斯基防毒軟體主視窗後,滑鼠無法點擊設定或任何防護元件。這是因為卡巴斯基防毒軟體預設啟用自我防護功能,防止攻擊者透過遠端管理軟體停止或修改卡巴斯基防毒軟體設定。

使用微軟遠端桌面( mstsc.exe )工具,啟用自我防護功能仍可進行遠端管理卡巴斯基防毒軟體

透過非微軟作業系統內建遠端管理軟體(以VNC為例),並且遠端電腦啟用自我防護功能情形下,要管理卡巴斯基防毒軟體,執行以下操作:

  • 先至遠端電腦開啟卡巴斯基防毒軟體主視窗( 直接至本機操作 )
  • 點擊設定
  • 遠端管理軟體執行檔加入卡巴斯基防毒軟體信任的應用程式,勾選不要限制(監控)應用程式活動
    卡巴斯基防毒軟體for Windows Workstations
    ■點擊右上方服務
    ■點擊左方信任區域(T)
    ■開啟信任區域視窗後,點擊第二頁面信任的應用程式 → 點擊加入(A)
    ■開啟信任的應用程式視窗後,點擊瀏覽(R) → 再點擊瀏覽(R) → 找尋vncviewer.exe執行檔
  • ■檢查加入的執行程式是否正確,僅勾選不限制應用程式活動 → 點擊確定 → 點擊確定完成設定

    卡巴斯基防毒軟體個人版7.0
    ■點擊右方威脅及排除項目
    ■點擊左方信任區域(T)
    ■操作如上述卡巴斯基防毒軟體for Windows Workstation

    卡巴斯基防毒軟體個人版2009
    ■點擊右方威脅及排除
    ■點擊左方信任區域
    ■開啟信任區域視窗後,點擊第二頁面信任的應用程式 → 點擊下方新增
    ■點擊瀏覽找尋vncviewer.exe執行檔

    ■開啟應用程式排除項目視窗,僅勾選不要監控應用程式活動 → 點擊確定 → 點擊確定完成設定

    建議執行上述操作,不要關閉卡巴斯基防毒軟體自我防護功能

    原文網址


    遠端桌面連線問題:

    1.在KIS的設定裡的,防護->駭客防護程式->啟用防火牆的設定
    (開始設定前,WINDOWS內建的防火牆,請先確認關閉)


    2.基本上應用程式規則,在預設中,mstsc.exe (遠端桌面連線),已經有新增設定好了。


    3.在此需要注意的是,在WINDOWS裡的控制台->系統,系統內容裡的遠端桌面是否有勾選。
    ※(允許使用者遠端連線到這部電腦)


    4.封包篩選規則:
    (在此要注意的是,這個規則的屬性大於應用程式規則,意思指如果與應用程式規則, 有相衝突,封包篩選規則是可以蓋過應用程式規則的設定,也就是說這兩個規則設定以封包篩選規則為主) 去新增一個「Remote Port」為TCP 3389 Inbound & Outbound ,再去新增一個「Local Port」為 3389,都 Allow,就可以了。

    在此稍微解釋一下,這兩個PORT的差別:
    「Local Port」:要求被遠端連線端的被控端電腦,需要開啟。
    「Remote Port」:要求遠端連線的主控端電腦,需要開啟。
    在此建議,可以兩個PORT都開啟,然後再指定IP,以方便互相遠端控制,避免重複設定的困擾。
    (若是浮動IP的用戶,或是DHCP的租用者,建議不要使用指定IP的設定)



    原文網址