FreeRADIUS: Authentifizierung, Autorisierung und Accounting

Seminarziel

Am Ende des Seminars sind die Teilnehmer in der Lage, FreeRADIUS zu installieren, zu konfigurieren und für die Authentifizierung, Autorisierung und das Accounting in Netzwerken zu verwenden. Sie verstehen die Sicherheitsanforderungen und können RADIUS-Dienste für verschiedene Netzwerkumgebungen bereitstellen.

Inhalt

• Einführung in FreeRADIUS
  • Was ist FreeRADIUS? FreeRADIUS ist ein Open-Source-RADIUS-Server, der zur Verwaltung der Netzwerksicherheit verwendet wird, indem er Authentifizierungs-, Autorisierungs- und Accounting-Dienste (AAA) bereitstellt. Er wird in großen Netzwerken, Unternehmen und Service-Providern eingesetzt, um sichere Netzwerkzugriffe zu ermöglichen.
  • RADIUS-Protokoll und Anwendungsbereiche: Überblick über das RADIUS-Protokoll und seine Anwendungsbereiche. Wie FreeRADIUS Netzwerkauthentifizierungen für VPNs, WLANs, Netzwerkgeräte und Remote-Zugriff absichert.
  • FreeRADIUS im Vergleich zu anderen AAA-Lösungen: Vorteile von FreeRADIUS gegenüber anderen AAA-Lösungen wie Cisco ACS, NPS (Network Policy Server) oder ClearPass.
• Installation und Konfiguration von FreeRADIUS
  • Installation von FreeRADIUS: Schritt-für-Schritt-Anleitung zur Installation von FreeRADIUS auf verschiedenen Linux-Distributionen (Ubuntu, CentOS, Debian). Installation auf einem lokalen Server oder in einer Cloud-Umgebung.
  • Konfiguration der grundlegenden FreeRADIUS-Parameter: Einführung in die grundlegende Konfiguration von FreeRADIUS. Wie man Konfigurationsdateien für die Authentifizierung, Autorisierung und das Accounting anpasst (Radiusd.conf, Clients.conf, Users-Dateien).
  • Integration von FreeRADIUS mit Datenbanken: Wie man FreeRADIUS mit einer externen Datenbank (MySQL, PostgreSQL) integriert, um Benutzer und Autorisierungsdaten zu speichern und zu verwalten.
• Praxisübung 1: Installation und grundlegende Konfiguration von FreeRADIUS
  • Ziel der Übung: Die Teilnehmer lernen, wie sie FreeRADIUS auf einem Linux-Server installieren und die grundlegenden Konfigurationsdateien anpassen.
  • Projektbeschreibung: Die Teilnehmer installieren FreeRADIUS, konfigurieren die Authentifizierungsdateien und richten grundlegende AAA-Dienste ein.
  • Tools: Linux-Server (Ubuntu, CentOS, Debian), FreeRADIUS, Terminal.
  • Ergebnisse: Die Teilnehmer haben erfolgreich FreeRADIUS installiert und grundlegende Authentifizierungs-, Autorisierungs- und Accounting-Funktionen eingerichtet.
• Authentifizierung und Autorisierung mit FreeRADIUS
  • Benutzer-Authentifizierung: Wie FreeRADIUS Benutzer authentifiziert, um den Zugriff auf Netzwerke zu gewähren. Einführung in die verschiedenen Authentifizierungsmethoden, wie PAP, CHAP, MS-CHAP, EAP (Extensible Authentication Protocol).
  • Erweiterte Authentifizierungsmethoden: Wie man EAP-TTLS, EAP-TLS und PEAP (Protected EAP) für sicherere Authentifizierungsprozesse in WLAN-Umgebungen und VPNs einrichtet. Konfiguration von Zertifikaten für EAP-TLS.
  • Autorisierungsrichtlinien und Gruppenmanagement: Wie man Autorisierungsrichtlinien definiert, um den Netzwerkzugang auf Basis von Benutzergruppen zu steuern. Verwendung der Clients.conf und der Users-Dateien zur Definition von Zugriffsrechten.
  • Integration von FreeRADIUS mit Active Directory/LDAP: Wie man FreeRADIUS mit einem Active Directory oder LDAP-Server integriert, um Benutzerdaten und Authentifizierungsinformationen aus einer zentralen Benutzerverwaltung zu beziehen.
• Accounting und Logging mit FreeRADIUS
  • Accounting-Funktionen in FreeRADIUS: Wie FreeRADIUS Accounting-Daten erfasst, um Netzwerkaktivitäten zu überwachen. Einführung in die wichtigsten Accounting-Funktionen wie Start-Stop-Datensätze, Verkehrszählung und Zeiterfassung.
  • Speichern von Accounting-Daten in Datenbanken: Wie man Accounting-Daten in einer MySQL- oder PostgreSQL-Datenbank speichert, um Berichte zu erstellen und Abrechnungsinformationen zu verwalten.
  • FreeRADIUS-Logging und Fehlersuche: Einführung in die FreeRADIUS-Logging-Funktionalitäten, um Fehler zu analysieren und den Betrieb des RADIUS-Servers zu überwachen. Wie man FreeRADIUS so konfiguriert, dass relevante Logs für Authentifizierungen und Netzwerkzugriffe gespeichert werden.
• Praxisübung 2: Erweiterte Authentifizierung und Accounting mit FreeRADIUS
  • Ziel der Übung: Die Teilnehmer lernen, wie sie erweiterte Authentifizierungsmethoden und Accounting-Dienste in FreeRADIUS einrichten.
  • Projektbeschreibung: Die Teilnehmer konfigurieren eine EAP-TLS-Authentifizierung, integrieren FreeRADIUS mit einem Active Directory/LDAP-Server und richten Accounting-Dienste ein, um Benutzeraktivitäten zu erfassen.
  • Tools: FreeRADIUS, Active Directory oder LDAP-Server, MySQL/PostgreSQL.
  • Ergebnisse: Die Teilnehmer haben erfolgreich erweiterte Authentifizierungsmethoden und Accounting-Dienste konfiguriert und Logs zur Fehlersuche aktiviert.
• Sicherheit und Best Practices für FreeRADIUS
  • Sicherheitsmaßnahmen für RADIUS-Server: Einführung in die Best Practices zur Sicherung eines FreeRADIUS-Servers. Nutzung von Verschlüsselung, Zertifikaten und sicheren Authentifizierungsmethoden zur Absicherung von Netzwerken.
  • TLS und Zertifikatverwaltung: Wie man TLS zur Verschlüsselung der Kommunikation zwischen RADIUS-Clients und dem Server einrichtet. Erstellung und Verwaltung von Zertifikaten für die EAP-TLS-Authentifizierung.
  • Schutz vor Brute-Force-Angriffen: Wie man FreeRADIUS gegen Brute-Force-Angriffe absichert, indem man Fail2ban und andere Sicherheitswerkzeuge einsetzt, um unerlaubte Zugriffsversuche zu blockieren.
  • Netzwerksegmentierung und Firewalls: Einführung in die Netzwerksegmentierung und Firewall-Regeln, um den FreeRADIUS-Server vor unautorisierten Zugriffen zu schützen.
• Hochverfügbarkeit und Lastverteilung in FreeRADIUS
  • Hochverfügbarkeitskonfiguration: Wie man FreeRADIUS in einer hochverfügbaren Umgebung konfiguriert, um eine unterbrechungsfreie Netzwerkauthentifizierung zu gewährleisten. Einsatz von Clustering und Load-Balancing für RADIUS-Dienste.
  • Lastverteilung für RADIUS-Anfragen: Wie man Lastverteilung einrichtet, um die RADIUS-Server-Last auf mehrere Server zu verteilen. Verwendung von Load-Balancern, um hohe Lasten im Netzwerk effizient zu verteilen.
  • Failover-Strategien: Einführung in Failover-Strategien für RADIUS-Server, um sicherzustellen, dass RADIUS-Dienste auch bei einem Serverausfall verfügbar bleiben.
• Fehlersuche und Wartung von FreeRADIUS
  • Diagnose und Fehlersuche: Wie man Fehler im Betrieb von FreeRADIUS diagnostiziert und behebt. Nutzung von Tools wie Wireshark und tcpdump zur Analyse des Netzwerkverkehrs und der RADIUS-Protokollkommunikation.
  • Wartung von FreeRADIUS: Einführung in regelmäßige Wartungsaufgaben, um FreeRADIUS auf dem neuesten Stand zu halten, z.B. durch Updates, Backup-Strategien und Überwachung des Systemstatus.
  • Troubleshooting von Verbindungsproblemen: Anleitung zur Fehlersuche bei Authentifizierungsproblemen, wie z.B. ungültigen Zertifikaten oder falschen Benutzerdaten. Wie man Authentifizierungsfehler identifiziert und behebt.