احراز هویت MAC WiFi با RADIUS Server در میکروتیک

احراز هویت مک WiFi با User Manager در میکروتیک

در بیشتر اوقات روتر میکروتیک به عنوان وای فای اکسس پوینت مورد استفاده قرار می‌گیرد. AP میکروتیک دارای ویژگی‌های زیادی برای تنظیم شبکه WiFi مطابق نیاز شما است. احراز هویت MAC یکی از ویژگی‌های شگفت انگیز و مفید در وای فای میکروتیک می‌باشد. این قابلیت قادر است آدرس MAC را فیلتر کند و در نهایت بدون احراز هویت اجازه دسترسی به هیچ آدرس MAC ای را نمی‌دهد. این عمل با سرور RADIUS امکاناتی را برای مدیریت چندین AP از پایگاه داده متمرکز فراهم می‌کند.

User Manager یک برنامه RADIUS است که توسط تیم میکروتیک توسعه یافته و می‌توان از آن برای مدیریت آسان کاربران DHCP، Hotspot، PPPOE و وایرلس استفاده کرد. در این مقاله قصد داریم به نحوه مدیریت کاربر WiFi با User Manager RADIUS Server بپردازیم.

نمودار پیکربندی شبکه

در این مطلب نمودار زیر را برای پیکربندی شبکه دنبال خواهیم کرد:

در این نمودار یک روتر بی‌سیم میکروتیک (RB941-2nD) به عنوان اکسس پوینت وای فای استفاده می‌شود که به یک سوئیچ WAN متصل است. همچنین به سرور رادیوس نیز وصل است. WiFi AP به عنوان AP تایید شده MAC پیکربندی می‌شود تا هیچ دستگاه بی‌سیمی مانند لپ تاپ، تلفن همراه، نوت بوک و غیره نتوانند بدون احراز هویت از طریق RADIUS و ارائه آدرس MAC متصل شوند.

پیکربندی AP WiFi تایید شده توسط مک با سرور RADIUS

احراز هویت MAC WiFi با RADIUS Server را می‌توان به دو بخش زیر تقسیم کرد:

فعال کردن MAC authentication از سرور RADIUS در WiFi AP
پیکربندی سرور مدیریت کاربر RADIUS برای احراز هویت دستگاه‌های WiFi

بخش 1 : فعال کردن احراز هویت MAC از سرور RADIUS در WiFi AP

به طور کلی طرح احراز هویت WiFi AP در میکروتیک این است که هر کسی می‌تواند فقط با دانستن SSID و رمز عبور به دستگاه متصل شود. بدیهی است که این موضوع امنیت یک شبکه را به خطر می‌اندازد. با این حساب احراز هویت MAC بهترین انتخاب برای شبکه‌های بی‌سیم است. از آن جایی که اهراز هویت MAC به طور پیش فرض فعال نیست برای اعمال این طرح باید احراز هویت MAC را به صورت دستی فعال کنیم. برای فعال کردن این مورد مراحل زیر را دنبال کنید:

مراحل فعال کردن احراز هویت مک (MAC Authentication)

از طریق Winbox به تنظیمات روتر خود بروید. روی آیتم منوی وایرلس کلیک کنید. پنجره Wireless Tables ظاهر می‌شود.
حالا بر روی Security Profiles کلیک کنید و سپس روی WiFi Profile ایجاد شده که توسط WiFi AP استفاده می‌شود دو بار کلیک کنید تا پنجره Security Profile برایتان باز شود.
در این مرحله بر روی تب RADIUS کلیک کنید و سپس تیک چک باکس MAC Authentication را بزنید.
برای مک اکانتینگ نیز تیک گزینه MAC accounting را بزنید و زمان بروزرسانی موقت را تنظیم کنید. (به عنوان مثال 00:00:59)
در صورت تمایل می‌توانید فرمت آدرس MAC را که ترجیح می‌دهید از منوی کشویی فرمت MAC انتخاب کنید.
در آخر بر روی گزینه Apply و OK کلیک کنید.

شما همچنین می‌توانید تنظیم کنید که مک به عنوان نام کاربری و یا رمز عبور به سرور RADIUS برای احراز هویت ارسال شود. حالت پیش فرض مک تنها نام کاربری است شما می‌توانید تنظیمات را بر روی همین گزینه قرار دهید.

اکنون آدرس وای فای میکروتیک تایید شده است و تایید اعتبار MAC از سرور RADIUS بررسی می‌شود. بنابر این اگر رادیوس سرور به MAC مجوز دهد دستگاه مجاز خواهد بود به WiFi AP متصل شود در غیر این صورت دستگاه رد می‌شود.

اکنون باید کلاینت RADIUS را در RouterOS میکروتیک پیکربندی کنیم تا RouterOS بتواند با RADIUS Server ارتباط برقرار کند و از این طریق احراز هویت، مجوز و داده‌های accounting را ارسال و دریافت کند. مراحل زیر نحوه پیکربندی کلاینت رادیوس را در RouterOS میکروتیک نشان خواهد داد:

نحوه پیکربندی کلاینت RADIUS در RouterOS

از وینباکس بر روی آیتم RADIUS کلیک کنید. سپس پنجره RADIUS باز می‌شود.
حالا برای افزودن یک سرور رادیوس روی + کلیک کنید. پنجره جدید Radiuse Server برایتان باز می شود.
از پنل Service روی چک باکس بی‌سیم کلیک کنید.
آدرس سرور RADIUS (در این مطلب 192.168.70.3) را در قسمت ورودی آدرس قرار دهید.
حالا Shared Secret (در این مطلب 123) را در قسمت Secret input قرار دهید و آن را به خاطر بسپارید زیزرا باید این رمز را در پیکربندی RADIUS Server روتر ارائه دهید.
روی دکمه Apply و OK کلیک کنید.
از پنجره RADIUS روی دکمه Incoming کلیک کنید. تا پنجره RADIUS Incoming ظاهر شود.
حالا بر روی گزینه Accept کلیک کنید. پورت پیش فرض 3799 خواهد بود.
در آخر بر روی Apply و OK کلیک کنید.

خب دیگر پیکربندی RADIUS Clinet در روتر میکروتیک تکمیل شده است. اکنون RouterOS میکروتیک قادر خواهد بود با سرور RADIUS ارتباط برقرار کند.

حالا باید User Manager رادیوس سرور را پیکربندی کنیم تا دستگاه بی‌سیم بتواند از سرور RADIUS احراز هویت شود و مجوز مناسب دریافت کند.

بخش 2 : پیکربندی سرور RADIUS مدیر کاربر برای احراز هویت دستگاه‌های WiFi

User Manager یک برنامه رادیوس است و از RADIUS Server برای انجام راه حل AAA استفاده می‌شود.

بنابراین، با استفاده از User Manager می‌توانیم احراز هویت، مجوز و اکانتینگ دستگاه‌های WiFi را در یک شبکه بی‌سیم انجام دهیم. ما در مقاله ای قبل تر نحوه نصب User Manager را توضیح دادیم پس در این مطلب تنها قصد داریم نحوه پیکربندی User Manager برای احراز هویت دستگاه های WiFi را نشان دهیم.

برای شروع ما روتر بی‌سیم خود را به عنوان یک دستگاه NAS Usar Manager اضافه می‌کنیم تا یوزر منیجر بتواند به درخواست‌های RADIUS روتر وایرلس ما پاسخ دهد. مراحل زیر نحوه اضافه کردن روتر وایرلس میکروتیک را به عنوان یک دستگاه NAS در سرور User Manager RADIUS نشان خواهد داد:

اضافه کردن روتر وایرلس به عنوان یک دستگاه NAS در سرور User Manager RADIUS

وارد رابط کاربری User Manager شوید.
حالا بر روی آیتم Routers کلیک کنید تا صفحه روتر ظاهر شود.
از نوار منوی بالایی بر روی آیتم Add menu کلیک کرده و سپس گزینه New را انتخاب کنید. اکنون پنجره Router Details نمایان می‌شود.
در پنل اصلی، یک نام معنادار (مثال: Mikrotik Router) برای آن روتر کلاینت در قسمت Name input قرار دهید.
آدرس IP روتر مشتری (مثال: 192.168.70.2 که از User Manager به عنوان مشتری RADIUS خود استفاده می کند) را در قسمت ورودی آدرس IP قرار دهید.
رمز عبوری را که در پیکربندی RouterOS RADIUS Clinet ارائه می‌دهید در قسمت ورودی Shared secret قرار دهید. این رمز عبور باید مطابقت داشته باشد در غیر این صورت روتر بی‌سیم نمی‌تواند با این سرور RADIUS ارتباط برقرار کند.
در پنل ورودی RADIUS، کادر CoA گزینه Change of Authorization را علامت بزنید و پورت CoA 3799 را قرار دهید. این پورت برای ارسال تاییدیه به دستگاه NAS برای مجوز کاربر استفاده می‌شود. به عنوان مثال، اگر کاربر از محدودیت زمانی خود فراتر رود، سرور RADIUS به دستگاه NAS می‌گوید که فوراً اتصال کاربر را قطع کند.
در نهایت برای افزودن دستگاه NAS روی دکمه Add کلیک کنید.

روتر بی‌سیم و سرور یوزرمنیجر RADIUS اکنون آماده ارتباط با یکدیگر هستند. در مرحله بعدی کاربر RADIUS را پیکربندی می‌کنیم که در WiFi AP احراز هویت شود. در User Manager RADIUS Server، هر کاربر باید یک نمایه داشته باشد در غیر این صورت کاربر نمی‌تواند معتبر باشد. بنابراین، قبل از ایجاد کاربر، باید پروفایل کاربران را پیکربندی کنیم. در این مقاله با توجه به اطلاعات زیر سه پروفایل ایجاد می‌کنیم.

محدودیت	نام پروفایل	SN
1 Mbps download speed	1 Mb Packag	1
2 Mbps download speed	2 Mb Package	2
5 Mbps download speed	5 Mb Package	3

در مراحل زیر نحوه ایجاد این سه نمایه به صورت مختصر توضیح داده شده است.

نحوه ایجاد پروفایل در RouterOS

از منو نواری بر روی آیتم Profiles کلیک کنید. صفحه Profile برایتان باز می‌شود.
حالا از تب Profiles بر روی آیتم + کلیک کنید. اینک پنجره Create Profile باز شود.
خب حالا مطایق جدول اولین نام پروفایل یعنی 1 Mb Package را در فیلد Name قرار دهید و روی دکمه Create کلیک کنید. حالا نمایه و لیست ویژگی‌های آن نمایان می‌شود که در صورت لزوم می‌توان آن را تغییر داد.
Profile ایجاد شده هیچ گونه محدودیتی ندارد برای اضافه کردن یک یا چند محدودیت خاص بر روی دکمه Add new limitation کلیک کنید تا پنجره Profile Part باز شود.
در قسمت Period می‌توانید روزها و یا زمانی را که می‌خواهید این نمایه فعال باشد تنظیم کنید. این زمان به طور پیش فرض بر روی 24/7 قرار دارد.
حالا از قسمت Limits بر روی دکمه New Limit کلیک کنید تا پنجره Limitation details باز شود.
در قسمت Main یک نام محدود (مثلا 1Mb) را در فیلد Name قرار دهید.
در مرحله بعد در قسمت Rate Limits و در فیلد Rate limit Tx مانند تصویر 1M را قرار دهید. و بعد روی دکمه Add کلیک کنید. (شما مطابق با نیازتان می‌توانید هر کدام از فیلدهای دیگر را نیز تنظیم کنید.)

نکته : در روتر وایرلس میکروتیک ، محدودیت Tx (محدودیت انتقال از AP به دستگاه بی‌سیم) اعمال می‌شود. این در حالی است که محدودیت های Rx نمی‌تواند اعمال شود. زیرا محدودیت Rx فقط برای سرویس گیرنده RouterOS قابل اجرا است. بنابراین در این پیکربندی نیازی به قرار دادن محدودیت Rx ندارید.

محدودیت ایجاد شده در دسترس خواهد بود و در قسمت Limits همانطور که آن را تنظیم کردید باقی می‌ماند. در آخر برای افزودن این محدودیت به Profile کاربر روی دکمه Add کلیک کنید.
خب حالا اولین Profile با محدودیت مورد نظر را ایجاد کردیم.

شما می‌توانید مانند کاری که در بالا کردیم پاکت‌های 2Mb و 5Mb را نیز ایجاد کنید. پس از ساخت پروفایل حالا باید کاربر ایجاد کنیم و پروفایل را به آن اختصاص دهیم.

مراحل زیر نحوه ایجاد کاربر در User Manager RADIUS Server را نشان می‌دهد:

ایجاد کاربر در User Manager RADIUS Server

روی آیتم منوی کاربران کلیک کنید. صفحه کاربری ظاهر خواهد شد.
از نوار منوی بالا روی Add کلیک کنید و سپس روی گزینه One بزنید. اکنون پنجره User details ظاهر می‌شود.
در قسمت Main آدرس MAC دستگاهی را که می‌خواهید به آن دسترسی دهید در فیلد Username قرار دهید.
از آنجایی که MAC Mode only username را در پیکربندی WiFi RADIUS انتخاب کردیم. قسمت Password را خالی می‌گذاریم.
از قسمت Constraints می‌توانید آدرس IP و از قسمت Wireless در فیلد Preshared می‌توانید رمز عبور خصوصی SSID برای این کاربر تنظیم کنید.
حالا از منوی کشویی Assign Profile می‌توانید هر پروفایل ایجاد شده ای که می‌خواهید را انتخاب کنید و به کاربر اختصاص دهید.
در آخر برای ایجاد این کاربر روی دکمه Add کلیک کنید.

با رعایت مراحل بالا می‌توانید هر تعداد کاربر که می‌خواهید برای شبکه بی‌سیم خود ایجاد کنید. پس از ایجاد کاربر اکنون دستگاه وایرلس مورد نظر را به WiFi AP متصل کنید. اگر همه چیز درست باشد، دستگاه مورد نظر شما می‌تواند به شبکه بی‌سیم شما متصل شود. اینگونه شما می‌توانید جلسات فعالیت کاربر را در User Manager RADIUS Server ببینید.

نکته :

یک سوال رایج در رابطه با این پیکربندی که ممکن است سوال خیلی از شما نیز باشد این است که اگر کسی آدرس MAC مجاز را بداند و آدرس MAC خود را تغییر دهد، می‌تواند در این فرآیند هک متصل شود؟

در پاسخ به این سوال باید بگوییم میکروتیک یک راه حل آسان برای این وضعیت دارد. آن هم این است که هنگام ایجاد کاربر در User Manager RADIUS Server، رمز عبور خصوصی را در کلید Preshared تعریف کنید. برای اتصال به WiFi AP، کاربر باید هم آدرس MAC و هم رمز Preshared را داشته باشد در غیر این صورت قادر به اتصال نیست. بنابراین، هک آدرس MAC بی‌فایده خواهد بود.

نتیجه گیری

در این مطلب به شما نحوه احراز هویت MAC WiFi با RADIUS Server در روتر میکروتیک را توضیح دادیم و چگونگی ایجاد پروفایل و کاربر اختصاصی برای دسترسی به WiFi وایرلس را نیز گفتیم. با این کار شما می‌توانید وضعیت کاربران متصل را در Wireless Table و در تب Registration مشاهده کنید. در نهایت اگر کسی سعی کند به AP وای فای شما متصل شود و مجاز نباشد، رد می‌شود. امیدواریم مقاله نحوه احراز هویت MAC WiFi با RADIUS Server در روتر میکروتیک برای شما مفید بوده باشد برای خواندن مطالب بیشتر شبکه دیده بان را دنبال کنید.