บทความล่าสุด

Home / ความรู้ทั่วไป / โปรแกรมทั่วไป / Network / Network Knowledge / NTRadPing สุดยอด Tools Test RADIUS Connection ที่ออกแบบมาให้ใช้งานกันง่ายๆ

NTRadPing สุดยอด Tools Test RADIUS Connection ที่ออกแบบมาให้ใช้งานกันง่ายๆ

, , ,

NTRadPing (For Windows)
NTRadPing is a Radius Server Testing Tool

สำหรับเจ้า NTRadPing นั้นเป็น Tools ที่ใช้สำหรับทดสอบการเชื่อมต่อไปมาระหว่าง Device - Server RADIUS ซึ่งในที่นี้ใช้ Windows Server เปิด Service NPS ขึ้นมาทดสอบเพื่อตรวจสอบว่า RADIUS สามารถใช้งานได้จริง Ports ต่างๆ เช่น 1812, 1645 ได้ทำการเปิดเรียบร้อยแล้ว โดยในการทดสอบระบบนี้ได้ทำการผูกกับ Active Directory เพื่อให้ดึงกลุ่มรายชื่อมาทดสอบว่าสามารถ Authentication ได้จริง

ถ้าจะพูดถึง Usecase ที่เราต้องใช้ NTRadPing เข้ามาช่วยนั้นก็จะมีตัวอย่างเช่น

  • Wi-Fi Controller ที่ทำการตั้งค่า AAA โดยชี้ RADIUS ไปหาแล้วแต่ไม่สามารถ Auhentication ได้
  • Access Point ที่เป็นพวก Cloud base เชื่อม RADIUS กลับมาแล้ว Authen ไม่ผ่าน
  • Firewall ทำ RADIUS Connection เพื่อจะมาดึงรายชื่อขึ้นไปทำ SSO (Single-Sign-On)
  • การทำ VPN ต่างๆ โดยดึงรายชื่อจาก RADIUS มาใช้ตรวจสอบสิทธิ์ Authentication
ซึ่งจะเห็นได้ว่า RADIUS นั้นรองรับแทบทุกอุปกรณ์ใช้งานง่าย ไม่ค่อยมีปัญหาค้าง หรือ ช้า ซึ่งกรณีเดียวจะ RADIUS จะพังคือ Windows Server ถูกโจมตี ซึ่ง RADIUS ชื่อเต็มคือ Remote Authentication Dial-In User Service เป็นโปรโตคอลเครือข่ายที่ใช้สำหรับการตรวจสอบสิทธิ์ การอนุญาต และการจัดการบัญชี (AAA) จากส่วนกลางสำหรับผู้ใช้ที่ต้องการเข้าถึงเครือข่ายโดยไปถาม AD/LDAP อีกที

จะอธิบายให้เห็นภาพว่า RADIUS ทำงานอย่างไรจะแยกเป็นหัวข้อได้ดังนี้

  • AD = บ้านที่เก็บ User / Password
  • LDAP = กุญแจสำหรับเปิดบ้านไปอ่าน - เขียนข้อมูลใน AD เรียกได้ว่าเป็นมาตรฐานกลางไม่จำกัด Vender ทำให้สามารถเข้ามา Query ข้อมูลจาก AD ได้ ซึ่งอุปกรณ์เกือบทุกตัวรองรับ
  • RADIUS = ยามหน้า Gate ที่ตรวจบัตรคนเข้าออก สามารถ Allow/Deny ได้ทันทีถ้าผู้ที่จะเข้าหมู่บ้านมาแบบไม่ถูกต้อง หรือ พยายามหาช่องโหว่ที่จะเข้าหมู่บ้าน
ซึ่ง LDAP กับ RADIUS จะวิ่งเข้ามาเช็ค และถามว่า User นี้มีอยู่จริงไหมที่ Active Directory ของเรานั่นเอง

และถ้าถามต่อไปอีกว่า ทำไมบางอุปกรณ์มีให้เลือกทุกรูปแบบเราใช้แบบไหนดี นั่นก็เพราะว่าอุปกรณ์นั้นรองรับ  Kerberos/NTLM ซึ่งจะสามารถเชื่อมต่อแบบ Active Directory ตรงๆ ได้เลย ซึ่งจะมีความปลอดภัยสูงระบบจะไม่ส่ง Password plain text ที่สามารถดัก Hack ได้ง่าย ส่วนถ้าใช้ LDAP แบบเดิมที่ไม่ใช่ LDAPS ก็จะมีความเสี่ยงเรื่อง Password plain text มากกว่านั่นเอง

สรุป 
  • ถ้าอุปกรณ์รองรับ Active Directory และเรามี Windows Server (ADDS) ให้ใช้ได้เลย
  • ถ้าอุปกรณ์รองรับ LDAPS ก็ใช้ได้เลย ส่วนใหญ่จะรองรับเป็นมาตรฐานกลางทั่วโลก
  • ถ้าอุปกรณ์รองรับ RADIUS เรามี FreeRADIUS หรือ Windows Server NPS ให้ใช้ได้เลย

วิธีการการใช้โปรแกรม NTRadPing

จากภาพที่ 1
  • เข้า Windows Server (NPS) Service
  • สร้าง RADIUS Clients
  • ใส่ Friendy name (เพื่อผูกกับ Policies)
  • ใส่ IP (ของอุปกรณ์ที่จะเชื่อมเข้ามา)
  • ในที่นี้ IP Windows ที่ทดสอบคือ 10.128.114.84
  • Shared Secret (ต้องตรงกันทั้งต้นทาง - ปลายทาง)
ภาพที่ 1

ภาพที่ 2

จากภาพที่ 2
  • ที่ Connection Request สร้าง Policies ขึ้นมา
  • ไปที่แทบ Conditions
  • เพิ่ม Friendy name (ชื่อเดียวกับ RADIUS Clients)
  • ในตัวอย่างภาพผิดให้ใส่ชื่อ WINDOWS

ภาพที่ 3

จากภาพที่ 3
  • ในส่วนนี้ไม่ต้องต้องค่าอะไร

ภาพที่ 4

จากภาพที่ 4
  • สร้าง Network Policies 
  • สร้าง Conditions โดยดึง Group ที่ต้องให้ Authentication ผ่านมาใส่ที่นี่
  • ถ้าใส่ Domain user หมายถึงทุกคนเข้าได้

ภาพที่ 5

จากภาพที่ 5
  • ที่ Constraints ใส่ตามภาพได้เลย
ภาพที่ 6

จากภาพที่ 6
  • ทำการเปิด NAS Port type
ภาพที่ 7

จากภาพที่ 7
  • เปิด PPP กับ Framed ด้วย
  • เมื่อสร้างเสร็จให้ Move Policies ไปไว้ด้านบนทุก Policies กากบาทสีแดง

ภาพที่ 8

จากภาพที่ 8
  • สร้าง User ที่จะใช้ Test บน Active Directory ของเรา

ภาพที่ 9

จากภาพที่ 9
  • ทำการ Download NTRadPing ที่นี่
  • แตกไฟล์ และทดสอบได้เลย
  • ใส่ IP ของ RADIUS และ Port (1812, 1645)
  • ใส่ Key ให้ตรงกันกับที่เราสร้าง
  • ใส่ User / Pass
  • Add NAS-Port-Type พิมพ์ว่า Ethernet และกด Add
  • จากนั้นกดปุ่ม Send ต้องขึ้น Access-Acept 
  • ถ้าขึ้น Reject แสดงว่าการตั้งค่าไม่ถูกต้อง
  • สามารถไปเช็ค Error ได้ที่ Computer management > Event > NPS 


ขอบคุณครับ

ไม่มีความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น ( Atom )