Ang pipila ka mga pananglitan sa pag-organisar sa corporate WiFi gihulagway na. Dinhi akong ihulagway kung giunsa nako pagpatuman ang parehas nga solusyon ug ang mga problema nga kinahanglan nakong atubangon kung magkonektar sa lainlaing mga aparato. Atong gamiton ang kasamtangan nga LDAP uban sa mga rehistradong tiggamit, ipataas ang FreeRadius ug i-configure ang WPA2-Enterprise sa Ubnt controller. Morag simple ra ang tanan. Atong tan-awonβ¦
Usa ka gamay bahin sa mga pamaagi sa EAP
Sa dili pa ipadayon ang buluhaton, kinahanglan nga magdesisyon kung unsang paagi sa pag-authenticate ang among gamiton sa among solusyon.
Gikan sa Wikipedia:
Ang EAP usa ka balangkas sa pag-authenticate nga sagad gigamit sa mga wireless network ug point-to-point nga koneksyon. Ang pormat una nga gihulagway sa RFC 3748 ug gi-update sa RFC 5247.
Ang EAP gigamit sa pagpili og paagi sa pag-authenticate, pagpasa sa mga yawe, ug pagproseso niadtong mga yawe gamit ang mga plug-in nga gitawag ug EAP nga mga pamaagi. Adunay daghang mga pamaagi sa EAP, pareho nga gihubit sa EAP mismo ug gipagawas sa mga indibidwal nga vendor. Ang EAP wala maghubit sa link layer, kini naghubit lamang sa format sa mensahe. Ang matag protocol nga naggamit sa EAP adunay kaugalingon nga EAP message encapsulation protocol.
Ang mga pamaagi sa ilang kaugalingon:
- Ang LEAP usa ka proprietary protocol nga gihimo sa CISCO. Nakit-an ang mga kahuyangan. Sa pagkakaron wala kini girekomendar nga gamiton
- Ang EAP-TLS maayo nga gisuportahan sa mga wireless vendor. Kini usa ka luwas nga protocol tungod kay kini ang manununod sa mga sumbanan sa SSL. Ang pag-set up sa kliyente medyo komplikado. Kinahanglan nimo ang usa ka sertipiko sa kliyente dugang sa password. Gisuportahan sa daghang mga sistema
- EAP-TTLS - kaylap nga gisuportahan sa daghang mga sistema, nagtanyag maayo nga seguridad pinaagi sa paggamit sa mga sertipiko sa PKI lamang sa server sa pag-authenticate
- Ang EAP-MD5 usa pa ka bukas nga sumbanan. Nagtanyag gamay nga seguridad. Bulnerable, dili mosuporta sa mutual authentication ug key generation
- EAP-IKEv2 - base sa Internet Key Exchange Protocol nga bersyon 2. Naghatag og mutual authentication ug session key establishment tali sa kliyente ug server
- Ang PEAP usa ka hiniusang solusyon sa CISCO, Microsoft ug RSA Security isip bukas nga sumbanan. Kaylap nga anaa sa mga produkto, naghatag og maayo kaayo nga seguridad. Susama sa EAP-TTLS, nanginahanglan lamang usa ka sertipiko sa bahin sa server
- PEAPv0/EAP-MSCHAPv2 - pagkahuman sa EAP-TLS, kini ang ikaduha nga kaylap nga gigamit nga sumbanan sa kalibutan. Gigamit nga relasyon sa kliyente-server sa Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Gihimo sa Cisco isip alternatibo sa PEAPv0/EAP-MSCHAPv2. Dili manalipod sa datos sa panghimatuod sa bisan unsang paagi. Dili suportado sa Windows OS
- Ang EAP-FAST usa ka teknik nga gihimo sa Cisco aron matul-id ang mga kakulangan sa LEAP. Gigamit ang Protected Access Credential (PAC). Hingpit nga wala mahuman
Sa tanan niini nga pagkalainlain, ang pagpili dili pa maayo. Ang pamaagi sa pag-authenticate gikinahanglan: maayo nga seguridad, suporta sa tanan nga mga aparato (Windows 10, macOS, Linux, Android, iOS) ug, sa tinuud, mas simple ang labi ka maayo. Busa, ang pagpili nahulog sa EAP-TTLS inubanan sa PAP protocol.
Mahimong mutungha ang pangutana - Ngano nga gigamit ang PAP? tungod kay siya nagpadala sa mga password sa klaro?
Oo nga tama. Ang komunikasyon tali sa FreeRadius ug FreeIPA mahitabo niining paagiha. Sa debug mode, masubay nimo kung giunsa pagpadala ang username ug password. Oo, ug pasagdan sila, ikaw ra ang adunay access sa FreeRadius server.
Makabasa ka ug dugang bahin sa buhat sa EAP-TTLS
LibreRADIUS
Ang FreeRadius ipataas sa CentOS 7.6. Walaβy komplikado dinhi, gipahimutang namon kini sa naandan nga paagi.
yum install freeradius freeradius-utils freeradius-ldap -yAng Bersyon 3.0.13 gi-install gikan sa mga pakete. Ang ulahi mahimong makuha
Pagkahuman niana, nagtrabaho na ang FreeRadius. Mahimo nimong i-uncomment ang linya sa /etc/raddb/users
steve Cleartext-Password := "testing"Ilunsad ngadto sa server sa debug mode
freeradius -XUg paghimo usa ka pagsulay nga koneksyon gikan sa localhost
radtest steve testing 127.0.0.1 1812 testing123Naa kay tubag Nakadawat og Access-Accept Id 115 gikan sa 127.0.0.1:1812 ngadto sa 127.0.0.1:56081 gitas-on 20, kini nagpasabot nga ang tanan OK ra. Sige na nga.
Gikonektar namon ang module ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapUg usbon namo kini dayon. Kinahanglan namon ang FreeRadius aron maka-access sa FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...I-restart ang radius server ug susiha ang synchronization sa LDAP users:
radtest user_ldap password_ldap localhost 1812 testing123
Pag-edit sa eap in mods-enabled/eap
Dinhi gidugang namon ang duha ka mga higayon sa eap. Sila magkalahi lamang sa mga sertipiko ug mga yawe. Sa ubos akong isaysay kung nganong ingon niini.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Dugang nga pag-edit site-enabled/default. Interesado ang awtorisado ug gipamatud-an nga mga seksyon.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Sa seksyon sa pagtugot, among tangtangon ang tanan nga mga module nga wala namo kinahanglana. Ldap ra among biyaan. Idugang ang pag-verify sa kliyente pinaagi sa username. Mao nga gidugang namon ang duha ka mga higayon sa eap sa ibabaw.
Daghang EAPAng tinuod mao nga kung magkonektar sa pipila ka mga aparato, gamiton namon ang mga sertipiko sa sistema ug ipiho ang domain. Kami adunay usa ka sertipiko ug usa ka yawe gikan sa usa ka kasaligan nga awtoridad sa sertipiko. Sa personal, sa akong opinyon, ang ingon nga pamaagi sa koneksyon mas sayon ββββkay sa paglabay sa usa ka sertipiko nga gipirmahan sa kaugalingon sa matag device. Apan bisan walaβy mga sertipiko nga gipirmahan sa kaugalingon, wala gihapon kini nahimo. Ang mga Samsung device ug Android =<6 nga mga bersyon dili makagamit sa mga sertipiko sa sistema. Busa, naghimo kami usa ka bulag nga pananglitan sa eap-guest para kanila nga adunay mga sertipiko nga gipirmahan sa kaugalingon. Alang sa tanan nga uban pang mga aparato, among gamiton ang eap-client nga adunay kasaligan nga sertipiko. Ang User-Name gitino pinaagi sa Anonymous field kung konektado ang device. 3 ra nga kantidad ang gitugotan: Bisita, Kliyente ug usa ka walay sulod nga uma. Ang tanan nga uban gilabay. I-configure kini sa mga politiko. Maghatag ako usa ka pananglitan sa ulahi.
Atong usbon ang pagtugot ug pagmatuod sa mga seksyon sa site-enabled/inner-tunnel
site-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Sunod, kinahanglan nimong ipiho sa mga palisiya kung unsang mga ngalan ang magamit alang sa dili mailhan nga pag-login. Pag-edit palisiya.d/filter.
Kinahanglan nimo pangitaon ang mga linya nga parehas niini:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ug sa ubos sa elsif idugang ang gusto nga mga kantidad:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Karon kinahanglan namong mobalhin sa direktoryo mga sertipikasyon. Dinhi kinahanglan nimo nga ibutang ang yawe ug sertipiko gikan sa usa ka kasaligan nga awtoridad sa sertipiko, nga naa na namo ug kinahanglan nga maghimo mga sertipiko nga gipirmahan sa kaugalingon alang sa eap-guest.
Usba ang mga parameter sa file ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Gisulat namon ang parehas nga mga kantidad sa file server.cnf. Magbag-o lang mi
komon nga ngalan:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Paghimo:
makeAndam. Nakadawat server.crt ΠΈ server.key nakarehistro na kami sa ibabaw sa eap-guest.
Ug sa katapusan, atong idugang ang atong mga access point sa file kliyente.conf. Naa koy 7. Aron dili madugangan ang matag punto nga gilain, among isulat ang network kung diin sila nahimutang (ang akong mga access point naa sa lahi nga VLAN).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti controller
Gipataas namo ang usa ka bulag nga network sa controller. Himoa kini nga 192.168.2.0/24
Lakaw ngadto sa mga setting -> profile. Naghimo kami usa ka bag-o:
Gisulat namon ang adres ug pantalan sa radius server ug ang password nga gisulat sa file mga kliyente.conf:
Paghimo og bag-ong ngalan sa wireless network. Pilia ang WPA-EAP (Enterprise) isip pamaagi sa pag-authenticate ug ipiho ang gibuhat nga profile sa radius:
Gitipigan namon ang tanan, nag-apply ug nagpadayon.
Pag-set up sa mga kliyente
Magsugod ta sa pinakalisud!
Windows 10
Ang kalisud moabut sa kamatuoran nga ang Windows wala pa mahibal-an kung unsaon pagkonektar sa corporate WiFi pinaagi sa usa ka domain. Busa, kinahanglan namon nga mano-mano nga i-upload ang among sertipiko sa kasaligan nga tindahan sa sertipiko. Dinhi mahimo nimong gamiton ang duha nga gipirmahan sa kaugalingon ug gikan sa awtoridad sa sertipikasyon. Akong gamiton ang ikaduha.
Sunod, kinahanglan nimo nga maghimo usa ka bag-ong koneksyon. Aron mahimo kini, adto sa mga setting sa network ug Internet -> Network and Sharing Center -> Paghimo ug pag-configure og bag-ong koneksyon o network:
Manu-mano nga pagsulod sa ngalan sa network ug usba ang matang sa seguridad. Human namo i-klik usba ang mga setting sa koneksyon ug sa Security tab, pilia ang network authentication - EAP-TTLS.
Moadto kami sa mga parameter, magreseta sa kompidensyal sa pag-authenticate - kliyente. Ingon usa ka kasaligan nga awtoridad sa sertipikasyon, pilia ang sertipiko nga among gidugang, susiha ang kahon nga "Ayaw pag-isyu og imbitasyon sa user kung ang server dili mahimong awtorisado" ug pilia ang pamaagi sa pag-authenticate - unencrypted password (PAP).
Sunod, adto sa mga advanced nga setting, pagbutang og tsek sa "Specify the authentication mode." Pilia ang "User Authentication" ug i-klik i-save ang mga kredensyal. Dinhi kinahanglan nimong isulod ang username_ldap ug password_ldap
Gitipigan namon ang tanan, gipadapat, gisira. Mahimo kang magkonektar sa bag-ong network.
Linux
Gisulayan nako ang Ubuntu 18.04, 18.10, Fedora 29, 30.
Una, atong i-download ang atong sertipiko. Wala nako nakit-an sa Linux kung posible nga magamit ang mga sertipiko sa sistema ug kung adunay ingon nga tindahan.
Magkonektar ta sa domain. Busa, kinahanglan namo ang sertipiko gikan sa awtoridad sa sertipikasyon diin gipalit ang among sertipiko.
Ang tanan nga mga koneksyon gihimo sa usa ka bintana. Pagpili sa among network:
anonymous-kliyente
domain - ang domain diin ang sertipiko gihatag
Android
dili samsung
Gikan sa bersyon 7, kung magkonektar sa WiFi, mahimo nimong gamiton ang mga sertipiko sa sistema pinaagi sa pagtino lamang sa domain:
domain - ang domain diin ang sertipiko gihatag
anonymous-kliyente
Samsung
Sama sa akong gisulat sa ibabaw, ang mga Samsung device wala mahibal-an kung unsaon paggamit ang mga sertipiko sa sistema kung magkonektar sa WiFi, ug wala sila'y katakus sa pagkonektar pinaagi sa usa ka domain. Busa, kinahanglan nimo nga mano-mano nga idugang ang gamut nga sertipiko sa awtoridad sa sertipikasyon (ca.pem, gikuha namon kini sa server sa Radius). Dinhi gamiton ang self-signed.
I-download ang sertipiko sa imong device ug i-install kini.
Pag-instalar sa Sertipiko
Sa parehas nga oras, kinahanglan nimo nga itakda ang pattern sa pag-unlock sa screen, pin code o password, kung wala pa kini itakda:
Gipakita nako ang usa ka komplikado nga bersyon sa pag-instalar sa usa ka sertipiko. Sa kadaghanan nga mga aparato, pag-klik lang sa na-download nga sertipiko.
Kung na-install ang sertipiko, mahimo ka magpadayon sa koneksyon:
sertipiko - ipakita ang usa nga na-install
anonymous user - bisita
macOS
Ang mga aparato sa Apple nga wala sa kahon mahimo ra makonektar sa EAP-TLS, apan kinahanglan nimo nga ilabay ang usa ka sertipiko sa kanila. Aron mahibal-an ang lain nga pamaagi sa koneksyon, kinahanglan nimo nga gamiton ang Apple Configurator 2. Busa, kinahanglan nimo nga i-download una kini sa imong Mac, paghimo usa ka bag-ong profile ug idugang ang tanan nga kinahanglan nga mga setting sa WiFi.
Apple Configurator
Ibutang ang imong ngalan sa network dinhi
Tipo sa Seguridad - WPA2 Enterprise
Gidawat nga Mga Matang sa EAP - TTLS
Ngalan sa Gumagamit ug Password - biyai nga walay sulod
Inner Authentication - PAP
Outer Identity-kliyente
Tab sa pagsalig. Dinhi among gipiho ang among domain
Tanan. Ang profile mahimong ma-save, mapirmahan ug maapod-apod sa mga aparato
Human maandam ang profile, kinahanglan nimo nga i-download kini sa poppy ug i-install kini. Atol sa proseso sa pag-instalar, kinahanglan nimong ipiho ang usernmae_ldap ug password_ldap sa user:
iOS
Ang proseso susama sa macOS. Kinahanglan ka nga mogamit usa ka profile (mahimo nimong gamiton ang parehas nga alang sa macOS. Giunsa paghimo ang usa ka profile sa Apple Configurator, tan-awa sa ibabaw).
Pag-download sa profile, pag-install, pagsulod sa mga kredensyal, pagkonektar:
Mao ra. Nag-set up mi og Radius server, gi-sync kini sa FreeIPA, ug giingnan ang Ubiquiti APs nga gamiton ang WPA2-EAP.
Posibleng mga pangutana
SA: unsaon pagbalhin ug profile/certificate sa empleyado?
About: Gitipigan nako ang tanan nga mga sertipiko / profile sa ftp nga adunay access sa web. Gipataas ang usa ka bisita nga network nga adunay limitasyon sa tulin ug access lamang sa Internet, gawas sa ftp.
Ang authentication molungtad sa 2 ka adlaw, pagkahuman kini i-reset ug ang kliyente gibiyaan nga wala ang Internet. Nga. kung ang usa ka empleyado gusto nga magkonektar sa WiFi, siya una nga magkonektar sa bisita nga network, mag-access sa FTP, mag-download sa sertipiko o profile nga iyang gikinahanglan, i-install kini, ug dayon makakonektar sa corporate network.
SA: nganong dili gamiton ang schema sa MSCHAPv2? Mas luwas siya!
About: Una, ang ingon nga laraw molihok nga maayo sa NPS (Windows Network Policy System), sa among pagpatuman kinahanglan nga dugang nga i-configure ang LDAP (FreeIpa) ug itago ang mga hash sa password sa server. Idugang. kini dili advisable sa paghimo sa mga setting, tungod kay. kini mahimong mosangpot sa nagkalain-laing mga problema sa pag-synchronize sa ultrasound. Ikaduha, ang hash mao ang MD4, mao nga dili kini makadugang sa daghang seguridad.
SA: Posible ba ang pagtugot sa mga aparato pinaagi sa mga mac-address?
About: DILI, dili kini luwas, ang usa ka tig-atake mahimong magbag-o sa mga ad sa MAC, ug labi pa nga ang pagtugot sa mga ad sa MAC dili suportado sa daghang mga aparato.
SA: unsa man sa kasagaran kining tanan nga mga sertipiko nga gamiton? maka apil ka nga wala sila?
About: ang mga sertipiko gigamit sa pagtugot sa server. Mga. kung magkonektar, susihon sa aparato kung kini usa ka server nga kasaligan o dili. Kung mao, nan ang pag-authenticate magpadayon, kung dili, ang koneksyon sirado. Mahimo ka nga makonektar nga walaβy mga sertipiko, apan kung ang usa ka tig-atake o silingan nagbutang usa ka radius server ug usa ka punto sa pag-access nga parehas ang ngalan sa amon sa balay, dali niya ma-intercept ang mga kredensyal sa tiggamit (ayaw kalimti nga kini gipasa sa tin-aw nga teksto). Ug kung gigamit ang usa ka sertipiko, makita sa kaaway sa iyang mga troso ang among tinumotumo nga User-Name - bisita o kliyente ug usa ka sayup nga tipo - Wala mailhi nga CA Certificate
gamay pa bahin sa macOSKasagaran sa macOS, ang pag-instalar sa sistema gihimo pinaagi sa Internet. Sa recovery mode, ang Mac kinahanglan nga konektado sa WiFi, ug ang among corporate WiFi o ang guest network dili molihok dinhi. Sa personal, gipataas nako ang lain nga network, ang naandan nga WPA2-PSK, gitago, alang lamang sa mga teknikal nga operasyon. O mahimo ka pa maghimo usa ka bootable USB flash drive nga adunay sistema nga abante. Apan kung ang poppy pagkahuman sa 2015, kinahanglan nimo pangitaon ang usa ka adapter alang sa kini nga flash drive)
Source: www.habr.com