Korporativ WiFi-nin təşkilinin bəzi nümunələri artıq təsvir edilmişdir. Burada oxşar həlli necə həyata keçirdiyimi və müxtəlif cihazlara qoşulduqda qarşılaşdığım problemləri təsvir edəcəyəm. Biz qeydiyyatdan keçmiş istifadəçilərlə mövcud LDAP-dan istifadə edəcəyik, FreeRadius-u artıracağıq və Ubnt nəzarətçisində WPA2-Müəssisəni konfiqurasiya edəcəyik. Hər şey sadə görünür. Görək…
EAP üsulları haqqında bir az
Tapşırığa davam etməzdən əvvəl həllimizdə hansı autentifikasiya metodundan istifadə edəcəyimizə qərar verməliyik.
Vikipediyadan:
EAP simsiz şəbəkələrdə və nöqtə-nöqtə bağlantılarında tez-tez istifadə olunan autentifikasiya çərçivəsidir. Format ilk dəfə RFC 3748-də təsvir edilmiş və RFC 5247-də yenilənmişdir.
EAP autentifikasiya metodunu seçmək, açarları ötürmək və bu açarları EAP metodları adlanan plaginlərlə emal etmək üçün istifadə olunur. Həm EAP-ın özü ilə müəyyən edilmiş, həm də fərdi satıcılar tərəfindən buraxılan bir çox EAP metodları var. EAP keçid qatını təyin etmir, yalnız mesaj formatını müəyyən edir. EAP-dan istifadə edən hər bir protokolun öz EAP mesaj encapsulation protokolu var.
Metodların özləri:
- LEAP, CISCO tərəfindən hazırlanmış xüsusi bir protokoldur. Zəifliklər tapıldı. Hazırda istifadə etmək tövsiyə edilmir
- EAP-TLS simsiz təchizatçılar arasında yaxşı dəstəklənir. SSL standartlarının varisi olduğu üçün təhlükəsiz protokoldur. Müştərinin qurulması olduqca mürəkkəbdir. Şifrə əlavə olaraq müştəri sertifikatına ehtiyacınız var. Bir çox sistemdə dəstəklənir
- EAP-TTLS - bir çox sistemlərdə geniş şəkildə dəstəklənir, yalnız autentifikasiya serverində PKI sertifikatlarından istifadə etməklə yaxşı təhlükəsizlik təklif edir
- EAP-MD5 başqa bir açıq standartdır. Minimum təhlükəsizlik təklif edir. Həssas, qarşılıqlı autentifikasiya və açar yaratmağı dəstəkləmir
- EAP-IKEv2 - İnternet Açarının Mübadilə Protokolunun 2 versiyasına əsaslanır. Müştəri və server arasında qarşılıqlı autentifikasiya və sessiya açarının yaradılmasını təmin edir
- PEAP açıq standart kimi CISCO, Microsoft və RSA Security-nin birgə həllidir. Məhsullarda geniş şəkildə mövcuddur, çox yaxşı təhlükəsizlik təmin edir. EAP-TTLS-ə bənzər, yalnız server tərəfində sertifikat tələb edir
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS-dən sonra bu, dünyada geniş istifadə olunan ikinci standartdır. Microsoft, Cisco, Apple, Linux-da istifadə olunan müştəri-server əlaqəsi
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2-yə alternativ olaraq Cisco tərəfindən yaradılmışdır. Doğrulama məlumatlarını heç bir şəkildə qorumur. Windows OS-də dəstəklənmir
- EAP-FAST, LEAP-in çatışmazlıqlarını düzəltmək üçün Cisco tərəfindən hazırlanmış bir texnikadır. Qorunan Giriş Etibarnaməsindən (PAC) istifadə edir. Tamamilə yarımçıq
Bütün bu müxtəliflikdən seçim hələ də böyük deyil. Doğrulama metodu tələb olunurdu: yaxşı təhlükəsizlik, bütün cihazlarda dəstək (Windows 10, macOS, Linux, Android, iOS) və əslində nə qədər sadə olsa, bir o qədər yaxşıdır. Buna görə də seçim PAP protokolu ilə birlikdə EAP-TTLS-ə düşdü.
Sual yarana bilər - niyə PAP istifadə olunur? çünki o, parolları aydın şəkildə ötürür?
Bəli doğrudur. FreeRadius və FreeIPA arasında əlaqə bu şəkildə baş verəcək. Sazlama rejimində istifadəçi adı və parolun necə göndərildiyini izləyə bilərsiniz. Bəli və onları buraxın, yalnız FreeRadius serverinə girişiniz var.
EAP-TTLS-in işi haqqında ətraflı oxuya bilərsiniz
Sərbəst RADIUS
FreeRadius CentOS 7.6-da artırılacaq. Burada mürəkkəb bir şey yoxdur, biz onu adi şəkildə təyin edirik.
yum install freeradius freeradius-utils freeradius-ldap -yPaketlərdən 3.0.13 versiyası quraşdırılıb. Sonuncu götürülə bilər
Bundan sonra FreeRadius artıq işləyir. /etc/raddb/users-də sətri şərhdən çıxara bilərsiniz
steve Cleartext-Password := "testing"Sazlama rejimində serverə işə salın
freeradius -XVə localhost-dan sınaq bağlantısı qurun
radtest steve testing 127.0.0.1 1812 testing123Cavab aldım 115:127.0.0.1-dən 1812:127.0.0.1-ə qədər qəbul edilmiş Giriş-Qəbul İd 56081 uzunluq 20, hər şey qaydasındadır. Davam et.
Modulu bağlayırıq ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapVə biz onu dərhal dəyişdirəcəyik. FreeIPA-ya daxil olmaq üçün bizə FreeRadius lazımdır
mods effektiv/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Radius serverini yenidən başladın və LDAP istifadəçilərinin sinxronizasiyasını yoxlayın:
radtest user_ldap password_ldap localhost 1812 testing123
Redaktə eap mods effektiv/eap
Burada iki eap nümunəsini əlavə edirik. Onlar yalnız sertifikatlarda və açarlarda fərqlənəcəklər. Bunun niyə belə olduğunu aşağıda izah edəcəyəm.
mods effektiv/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Əlavə redaktə sayt aktivdir/defolt. Səlahiyyət və autentifikasiya bölmələri maraq doğurur.
sayt aktivdir/defolt
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Avtorizasiya bölməsində ehtiyacımız olmayan bütün modulları çıxarırıq. Biz yalnız ldap buraxırıq. İstifadəçi adı ilə müştəri doğrulamasını əlavə edin. Buna görə yuxarıda iki eap nümunəsini əlavə etdik.
Çoxlu EAPFakt budur ki, bəzi cihazları birləşdirərkən biz sistem sertifikatlarından istifadə edəcəyik və domeni göstərəcəyik. Etibarlı sertifikat orqanından sertifikat və açarımız var. Şəxsən mənim fikrimcə, belə bir əlaqə proseduru hər bir cihazda özünü imzalayan sertifikat atmaqdan daha asandır. Ancaq öz-özünə imzalanmış sertifikatlar olmasa da, yenə də nəticə vermədi. Samsung cihazları və Android =< 6 versiyaları sistem sertifikatlarından istifadə edə bilməz. Buna görə də, biz özləri imzalanmış sertifikatlarla onlar üçün ayrıca eap-qonaq nümunəsi yaradırıq. Bütün digər cihazlar üçün biz eap-client-dən etibarlı sertifikatla istifadə edəcəyik. İstifadəçi adı cihaz qoşulduqda Anonim sahəsi ilə müəyyən edilir. Yalnız 3 dəyərə icazə verilir: Qonaq, Müştəri və boş sahə. Qalan hər şey atılır. Bu siyasətçilərdə konfiqurasiya ediləcək. Bir az sonra misal verəcəm.
Gəlin avtorizasiya və autentifikasiya bölmələrini redaktə edək site effektiv/daxili tunel
site effektiv/daxili tunel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Sonra, siyasətlərdə anonim giriş üçün hansı adların istifadə oluna biləcəyini göstərməlisiniz. Redaktə Policy.d/filter.
Buna bənzər xətləri tapmaq lazımdır:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Və aşağıda elsif-də istədiyiniz dəyərləri əlavə edin:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}İndi kataloqa keçməliyik təriflər. Burada artıq bizdə olan və eap-qonaq üçün özünü imzalanmış sertifikatlar yaratmalı olan etibarlı sertifikat orqanının açarını və sertifikatını qoymalısınız.
Fayldakı parametrləri dəyişdirin ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Eyni dəyərləri fayla yazırıq server.cnf. Yalnız dəyişirik
ümumi ad:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Yaradın:
makeHazır. Qəbul edildi server.crt и server.key biz artıq yuxarıda eap-guest-də qeydiyyatdan keçmişik.
Və nəhayət, fayla giriş nöqtələrimizi əlavə edək müştəri.conf. Məndə 7 ədəd var.Hər bir nöqtəni ayrıca əlavə etməmək üçün yalnız onların yerləşdiyi şəbəkəni yazacağıq (giriş nöqtələrim ayrıca VLAN-dadır).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti nəzarətçi
Nəzarətçidə ayrı bir şəbəkə qaldırırıq. 192.168.2.0/24 olsun
Parametrlər -> Profilə keçin. Yenisini yaradırıq:
Radius serverinin ünvanını və portunu və faylda yazılmış parolu yazırıq clients.conf:
Yeni simsiz şəbəkə adı yaradın. Doğrulama metodu kimi WPA-EAP (Müəssisə) seçin və yaradılmış radius profilini göstərin:
Hər şeyi saxlayırıq, müraciət edirik və davam edirik.
Müştərilərin qurulması
Ən çətinindən başlayaq!
Windows 10
Çətinlik ondan irəli gəlir ki, Windows hələ domen vasitəsilə korporativ WiFi-yə necə qoşulacağını bilmir. Buna görə də, sertifikatımızı etibarlı sertifikat mağazasına əl ilə yükləməliyik. Burada həm özünü imzalayan, həm də sertifikatlaşdırma orqanından istifadə edə bilərsiniz. İkincisini istifadə edəcəm.
Sonra, yeni bir əlaqə yaratmalısınız. Bunu etmək üçün şəbəkə və İnternet parametrlərinə keçin -> Şəbəkə və Paylaşım Mərkəzi -> Yeni əlaqə və ya şəbəkə yaradın və konfiqurasiya edin:
Şəbəkə adını əl ilə daxil edin və təhlükəsizlik növünü dəyişdirin. Biz kliklədikdən sonra əlaqə parametrlərini dəyişdirin və Təhlükəsizlik sekmesinde şəbəkə identifikasiyası - EAP-TTLS seçin.
Parametrlərə daxil oluruq, autentifikasiyanın məxfiliyini təyin edirik - müştəri. Etibarlı sertifikatlaşdırma orqanı olaraq, əlavə etdiyimiz sertifikatı seçin, "Serverə icazə verilə bilmədikdə istifadəçiyə dəvətnamə verməyin" qutusuna işarələyin və autentifikasiya metodunu - şifrələnməmiş parol (PAP) seçin.
Sonra, inkişaf etmiş parametrlərə keçin, "Autentifikasiya rejimini təyin edin" üzərinə bir işarə qoyun. "İstifadəçi Doğrulaması" seçin və üzərinə klikləyin etimadnaməsini yadda saxla. Burada username_ldap və password_ldap daxil etməlisiniz
Hər şeyi saxlayırıq, tətbiq edirik, bağlayırıq. Siz yeni şəbəkəyə qoşula bilərsiniz.
Linux
Ubuntu 18.04, 18.10, Fedora 29, 30-da sınaqdan keçirdim.
Əvvəlcə sertifikatımızı yükləyək. Linux-da sistem sertifikatlarından istifadə etmək mümkün olub-olmadığını və ümumiyyətlə belə bir mağazanın olub-olmadığını tapmadım.
Gəlin domenə qoşulaq. Buna görə də, sertifikatımızın alındığı sertifikatlaşdırma orqanının sertifikatına ehtiyacımız var.
Bütün əlaqələr bir pəncərədə aparılır. Şəbəkəmizi seçərkən:
anonim-müştəri
domen - sertifikatın verildiyi domen
Android
Samsung olmayan
7-ci versiyadan WiFi-yə qoşulduqda, yalnız domeni göstərərək sistem sertifikatlarından istifadə edə bilərsiniz:
domen - sertifikatın verildiyi domen
anonim-müştəri
Samsung
Yuxarıda yazdığım kimi, Samsung cihazları WiFi-yə qoşulduqda sistem sertifikatlarından necə istifadə edəcəyini bilmir və domen vasitəsilə qoşulmaq imkanı yoxdur. Buna görə də, sertifikatlaşdırma orqanının kök sertifikatını əl ilə əlavə etməlisiniz (ca.pem, biz onu Radius serverində götürürük). Burada özünü imzalama istifadə olunacaq.
Sertifikatı cihazınıza endirin və quraşdırın.
Sertifikatın quraşdırılması
Eyni zamanda, ekranın kilidini açma modelini, pin kodunu və ya parolunu təyin etməli olacaqsınız, əgər o, artıq qurulmayıbsa:
Sertifikatın quraşdırılmasının mürəkkəb versiyasını göstərdim. Əksər cihazlarda sadəcə yüklənmiş sertifikatın üzərinə klikləyin.
Sertifikat quraşdırıldıqdan sonra əlaqəyə davam edə bilərsiniz:
sertifikat - quraşdırılmışı göstərin
anonim istifadəçi - qonaq
MacOS
Qutudan çıxan Apple cihazları yalnız EAP-TLS-ə qoşula bilər, lakin siz hələ də onlara sertifikat atmalısınız. Fərqli bir əlaqə metodunu təyin etmək üçün Apple Configurator 2-dən istifadə etməlisiniz. Buna uyğun olaraq, ilk növbədə onu Mac-a yükləməli, yeni profil yaratmalı və bütün zəruri WiFi parametrlərini əlavə etməlisiniz.
Apple Configurator
Şəbəkə adınızı buraya daxil edin
Təhlükəsizlik növü - WPA2 Enterprise
Qəbul edilən EAP növləri - TTLS
İstifadəçi adı və şifrə - boş buraxın
Daxili Doğrulama - PAP
Xarici Kimlik-müştəri
Güvən nişanı. Burada domenimizi təyin edirik
Hamısı. Profil yadda saxlanıla, imzalana və cihazlara paylana bilər
Profil hazır olduqdan sonra onu haşhaşa yükləmək və quraşdırmaq lazımdır. Quraşdırma zamanı siz istifadəçinin usernmae_ldap və password_ldap ünvanlarını göstərməlisiniz:
iOS
Proses macOS-a bənzəyir. Siz profildən istifadə etməlisiniz (siz macOS üçün olduğu kimi istifadə edə bilərsiniz. Apple Configurator-da profili necə yaratmaq olar, yuxarıya baxın).
Profili endirin, quraşdırın, etimadnamələri daxil edin, qoşulun:
Hamısı budur. Radius serveri qurduq, onu FreeIPA ilə sinxronlaşdırdıq və Ubiquiti AP-lərinə WPA2-EAP-dən istifadə etmələrini bildirdik.
Mümkün suallar
IN: profili/sertifikatı işçiyə necə ötürmək olar?
HAQQINDA: Bütün sertifikatları/profilləri veb girişi olan ftp-də saxlayıram. Ftp istisna olmaqla, sürət həddi və yalnız İnternetə çıxışı olan qonaq şəbəkəsini qaldırdı.
Doğrulama 2 gün davam edir, bundan sonra sıfırlanır və müştəri internetsiz qalır. Bu. işçi WiFi-yə qoşulmaq istəyəndə əvvəlcə qonaq şəbəkəsinə qoşulur, FTP-yə daxil olur, ona lazım olan sertifikatı və ya profili yükləyir, quraşdırır, sonra isə korporativ şəbəkəyə qoşula bilir.
IN: niyə MSCHAPv2 ilə sxemdən istifadə etmirsiniz? O, daha təhlükəsizdir!
HAQQINDA: Birincisi, belə bir sxem NPS-də (Windows Şəbəkə Siyasəti Sistemi) yaxşı işləyir, tətbiqimizdə əlavə olaraq LDAP (FreeIpa) konfiqurasiya etmək və parol hashlərini serverdə saxlamaq lazımdır. əlavə et. tənzimləmələr etmək məqsədəuyğun deyil, çünki. bu, ultrasəsin sinxronizasiyasında müxtəlif problemlərə səbəb ola bilər. İkincisi, hash MD4-dür, ona görə də çox təhlükəsizlik əlavə etmir.
IN: mac-ünvanları ilə cihazları avtorizasiya etmək mümkündürmü?
HAQQINDA: XEYR, bu təhlükəsiz deyil, təcavüzkar MAC ünvanlarını dəyişə bilər və daha çox MAC ünvanları ilə avtorizasiya bir çox cihazlarda dəstəklənmir.
IN: ümumiyyətlə bütün bu sertifikatlardan nə istifadə etmək olar? onlarsız qoşula bilərsən?
HAQQINDA: sertifikatlar serverə icazə vermək üçün istifadə olunur. Bunlar. qoşulduqda cihaz onun etibar edilə bilən server olub-olmadığını yoxlayır. Əgər belədirsə, onda autentifikasiya davam edir, yoxsa, əlaqə bağlanır. Siz sertifikatlar olmadan qoşula bilərsiniz, lakin təcavüzkar və ya qonşu evdə bizimklə eyni adlı bir radius serveri və giriş nöqtəsi qurarsa, o, istifadəçinin etimadnaməsini asanlıqla ələ keçirə bilər (onların aydın mətnlə ötürüldüyünü unutmayın). Sertifikatdan istifadə edildikdə, düşmən öz qeydlərində yalnız bizim qondarma İstifadəçi adımızı - qonaq və ya müştərini və növ xətasını - Naməlum CA Sertifikatını görəcək.
macOS haqqında bir az daha çoxAdətən macOS-da sistemin yenidən quraşdırılması İnternet vasitəsilə həyata keçirilir. Bərpa rejimində Mac WiFi-yə qoşulmalıdır və burada nə korporativ WiFi, nə də qonaq şəbəkəsi işləməyəcək. Şəxsən mən başqa bir şəbəkə qaldırdım, adi WPA2-PSK, gizli, yalnız texniki əməliyyatlar üçün. Və ya hələ də sistemlə əvvəlcədən yüklənə bilən USB flash sürücü edə bilərsiniz. Ancaq haşhaş 2015-ci ildən sonradırsa, hələ də bu flash sürücü üçün bir adapter tapmaq lazımdır)
Mənbə: www.habr.com