Einige Beispiele für die Organisation von Unternehmens-WLAN wurden bereits beschrieben. Hier beschreibe ich, wie ich eine ähnliche Lösung implementiert habe und mit welchen Problemen ich beim Verbinden verschiedener Geräte konfrontiert war. Wir werden das bestehende LDAP mit registrierten Benutzern nutzen, FreeRadius erhöhen und WPA2-Enterprise auf dem Ubnt-Controller konfigurieren. Alles scheint einfach. Mal sehen…
Ein wenig über EAP-Methoden
Bevor wir mit der Aufgabe fortfahren, müssen wir entscheiden, welche Authentifizierungsmethode wir in unserer Lösung verwenden werden.
Aus Wikipedia:
EAP ist ein Authentifizierungsframework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Das Format wurde erstmals in RFC 3748 beschrieben und in RFC 5247 aktualisiert.
EAP wird verwendet, um eine Authentifizierungsmethode auszuwählen, Schlüssel weiterzugeben und diese Schlüssel mit Plug-Ins zu verarbeiten, die als EAP-Methoden bezeichnet werden. Es gibt viele EAP-Methoden, die sowohl mit EAP selbst definiert als auch von einzelnen Anbietern veröffentlicht wurden. EAP definiert nicht die Verbindungsschicht, sondern nur das Nachrichtenformat. Jedes Protokoll, das EAP verwendet, verfügt über ein eigenes EAP-Nachrichtenkapselungsprotokoll.
Die Methoden selbst:
- LEAP ist ein proprietäres Protokoll, das von CISCO entwickelt wurde. Gefundene Schwachstellen. Derzeit nicht zur Verwendung empfohlen
- EAP-TLS wird von Mobilfunkanbietern gut unterstützt. Es handelt sich um ein sicheres Protokoll, da es der Nachfolger des SSL-Standards ist. Das Einrichten des Clients ist ziemlich kompliziert. Zusätzlich zum Passwort benötigen Sie ein Client-Zertifikat. Wird auf vielen Systemen unterstützt
- EAP-TTLS – wird auf vielen Systemen weithin unterstützt und bietet gute Sicherheit, da PKI-Zertifikate nur auf dem Authentifizierungsserver verwendet werden
- EAP-MD5 ist ein weiterer offener Standard. Bietet minimale Sicherheit. Anfällig, unterstützt keine gegenseitige Authentifizierung und Schlüsselgenerierung
- EAP-IKEv2 – basierend auf Internet Key Exchange Protocol Version 2. Bietet gegenseitige Authentifizierung und Sitzungsschlüsseleinrichtung zwischen Client und Server
- PEAP ist eine gemeinsame Lösung von CISCO, Microsoft und RSA Security als offener Standard. Weit verbreitet in Produkten, bietet sehr gute Sicherheit. Ähnlich wie EAP-TTLS, erfordert nur ein Zertifikat auf der Serverseite
- PEAPv0/EAP-MSCHAPv2 – nach EAP-TLS ist dies der zweitweit verbreitete Standard weltweit. Verwendete Client-Server-Beziehung in Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC – Von Cisco als Alternative zu PEAPv0/EAP-MSCHAPv2 erstellt. Schützt Authentifizierungsdaten in keiner Weise. Wird unter Windows-Betriebssystemen nicht unterstützt
- EAP-FAST ist eine von Cisco entwickelte Technik zur Behebung der Mängel von LEAP. Verwendet Protected Access Credential (PAC). Völlig unvollendet
Bei all dieser Vielfalt ist die Auswahl immer noch nicht groß. Die Authentifizierungsmethode war erforderlich: gute Sicherheit, Unterstützung auf allen Geräten (Windows 10, macOS, Linux, Android, iOS) und tatsächlich gilt: je einfacher, desto besser. Daher fiel die Wahl auf EAP-TTLS in Verbindung mit dem PAP-Protokoll.
Möglicherweise stellt sich die Frage: Warum PAP verwenden? Schließlich werden Passwörter im Klartext übermittelt?
Ja, das ist richtig. Die Kommunikation zwischen FreeRadius und FreeIPA erfolgt auf diese Weise. Im Debug-Modus können Sie verfolgen, wie Benutzername und Passwort gesendet werden. Ja, und lassen Sie sie los, nur Sie haben Zugriff auf den FreeRadius-Server.
Lesen Sie mehr über die Arbeit von EAP-TTLS
KostenlosRADIUS
FreeRadius wird auf CentOS 7.6 erhöht. Hier gibt es nichts Kompliziertes, wir stellen es wie gewohnt ein.
yum install freeradius freeradius-utils freeradius-ldap -yVon den Paketen ist Version 3.0.13 installiert. Letzteres kann übernommen werden
Danach funktioniert FreeRadius bereits. Sie können die Zeile in /etc/raddb/users auskommentieren
steve Cleartext-Password := "testing"Starten Sie den Server im Debug-Modus
freeradius -XUnd stellen Sie eine Testverbindung von localhost her
radtest steve testing 127.0.0.1 1812 testing123Habe eine Antwort bekommen Erhaltene Access-Accept-ID 115 von 127.0.0.1:1812 bis 127.0.0.1:56081, Länge 20, es bedeutet, dass alles in Ordnung ist. Fortfahren.
Wir schließen das Modul an ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapUnd wir werden es sofort ändern. Wir benötigen FreeRadius, um auf FreeIPA zugreifen zu können
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Starten Sie den Radiusserver neu und überprüfen Sie die Synchronisierung der LDAP-Benutzer:
radtest user_ldap password_ldap localhost 1812 testing123
Eap in bearbeiten Mods-fähig/eap
Hier werden wir zwei Instanzen von eap hinzufügen. Sie unterscheiden sich nur in den Zertifikaten und Schlüsseln. Warum das so ist, erkläre ich weiter unten.
Mods-fähig/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Weitere Bearbeitung Site-aktiviert/Standard. Ich interessiere mich für die Abschnitte „Autorisieren“ und „Authentifizierung“.
Site-aktiviert/Standard
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Im Autorisierungsbereich entfernen wir alle Module, die wir nicht benötigen. Wir lassen nur ldap. Fügen Sie die Kundenüberprüfung anhand des Benutzernamens hinzu. Aus diesem Grund haben wir oben zwei Instanzen von eap hinzugefügt.
Multi-EAPTatsache ist, dass wir beim Anschließen einiger Geräte Systemzertifikate verwenden und die Domäne angeben. Wir verfügen über ein Zertifikat und einen Schlüssel von einer vertrauenswürdigen Zertifizierungsstelle. Persönlich ist ein solcher Verbindungsvorgang meiner Meinung nach einfacher, als auf jedes Gerät ein selbstsigniertes Zertifikat zu werfen. Aber auch ohne selbstsignierte Zertifikate hat es immer noch nicht geklappt. Samsung-Geräte und Android =< 6-Versionen können keine Systemzertifikate verwenden. Daher erstellen wir für sie eine separate Instanz von eap-guest mit selbstsignierten Zertifikaten. Für alle anderen Geräte verwenden wir den eap-Client mit einem vertrauenswürdigen Zertifikat. Der Benutzername wird durch das Feld „Anonym“ bestimmt, wenn das Gerät verbunden ist. Es sind nur 3 Werte erlaubt: Guest, Client und ein leeres Feld. Alles andere wird verworfen. Es wird in Politikern konfiguriert. Ich werde etwas später ein Beispiel geben.
Lassen Sie uns die Abschnitte „Autorisierung“ und „Authentifizierung“ bearbeiten Site-aktiviert/innerer Tunnel
Site-aktiviert/innerer Tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Als nächstes müssen Sie in den Richtlinien festlegen, welche Namen für die anonyme Anmeldung verwendet werden können. Bearbeitung Policy.d/filter.
Sie müssen Zeilen finden, die dieser ähneln:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Und unten in elsif fügen Sie die notwendigen Werte hinzu:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Jetzt müssen wir in das Verzeichnis wechseln Zertifikate. Hier müssen Sie den Schlüssel und das Zertifikat einer vertrauenswürdigen Zertifizierungsstelle eingeben, die wir bereits haben und die wir benötigen, um selbstsignierte Zertifikate für eap-guest zu generieren.
Ändern Sie die Parameter in der Datei ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Wir schreiben die gleichen Werte in die Datei server.cnf. Wir verändern uns nur
gemeinsamen Namen:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Erstellen:
makeBereit. Erhalten server.crt и server.key Wir haben uns oben bereits bei eap-guest registriert.
Und zum Schluss fügen wir der Datei unsere Zugangspunkte hinzu client.conf. Ich habe 7 davon. Um nicht jeden Punkt einzeln hinzuzufügen, registrieren wir nur das Netzwerk, in dem sie sich befinden (meine Zugangspunkte befinden sich in einem separaten VLAN).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti-Controller
Wir erstellen ein separates Netzwerk auf dem Controller. Sei es 192.168.2.0/24
Gehen Sie zu Einstellungen -> Profil. Wir erstellen ein neues:
Wir notieren die Adresse und den Port des Radiusservers sowie das Passwort, das in die Datei geschrieben wurde client.conf:
Erstellen Sie einen neuen Namen für das drahtlose Netzwerk. Wählen Sie als Authentifizierungsmethode WPA-EAP (Enterprise) und geben Sie das erstellte Radiusprofil an:
Wir speichern alles, bewerben uns und machen weiter.
Kunden einrichten
Beginnen wir mit dem schwierigsten Teil!
Windows 10
Die Schwierigkeit besteht darin, dass Windows noch nicht weiß, wie man sich über eine Domäne mit dem Unternehmens-WLAN verbindet. Daher müssen wir unser Zertifikat manuell in den vertrauenswürdigen Zertifikatsspeicher hochladen. Hier können Sie entweder eine selbstsignierte oder eine von einer Zertifizierungsstelle verwenden. Ich werde das zweite verwenden.
Als nächstes müssen Sie eine neue Verbindung erstellen. Gehen Sie dazu zu den Netzwerk- und Interneteinstellungen -> Netzwerk- und Freigabecenter -> Neue Verbindung oder neues Netzwerk erstellen und konfigurieren:
Geben Sie den Netzwerknamen manuell ein und ändern Sie die Art der Sicherheit. Nachdem wir auf geklickt haben Verbindungseinstellungen ändern und wählen Sie auf der Registerkarte Sicherheit die Netzwerkauthentifizierung – EAP-TTLS.
Gehen Sie zu den Einstellungen und legen Sie die Vertraulichkeit der Authentifizierung fest. Auftraggeber. Wählen Sie als vertrauenswürdige Zertifizierungsstelle das von uns hinzugefügte Zertifikat aus, aktivieren Sie das Kontrollkästchen „Keine Einladung an den Benutzer senden, wenn der Server nicht autorisiert werden kann“ und wählen Sie die Authentifizierungsmethode aus – unverschlüsseltes Passwort (PAP).
Gehen Sie als Nächstes zu den zusätzlichen Parametern und aktivieren Sie das Kontrollkästchen „Authentifizierungsmodus angeben“. Wählen Sie „Benutzerauthentifizierung“ und klicken Sie auf Anmeldeinformationen speichern. Hier müssen Sie Benutzername_ldap und Passwort_ldap eingeben
Wir speichern, wenden an, schließen alles. Sie können sich mit einem neuen Netzwerk verbinden.
Linux
Getestet habe ich auf Ubuntu 18.04, 18.10, Fedora 29, 30.
Laden Sie zunächst das Zertifikat herunter. Ich habe unter Linux nicht herausgefunden, ob es möglich ist, Systemzertifikate zu verwenden, oder ob es einen solchen Speicher überhaupt gibt.
Wir werden uns über eine Domain verbinden. Daher benötigen wir ein Zertifikat der Zertifizierungsstelle, bei der unser Zertifikat erworben wurde.
Alle Verbindungen werden in einem Fenster hergestellt. Wählen Sie unser Netzwerk:
anonym – Kunde
Domäne – die Domäne, für die das Zertifikat ausgestellt wurde
Android
nicht von Samsung
Ab Version 7 können Sie beim Herstellen einer WLAN-Verbindung Systemzertifikate verwenden, indem Sie nur die Domäne angeben:
Domäne – die Domäne, für die das Zertifikat ausgestellt wurde
anonym – Kunde
Samsung
Wie ich oben geschrieben habe, wissen Samsung-Geräte nicht, wie man Systemzertifikate beim Herstellen einer WLAN-Verbindung verwendet, und sie haben keine Möglichkeit, eine Verbindung über eine Domäne herzustellen. Daher müssen Sie das Stammzertifikat der Zertifizierungsstelle manuell hinzufügen (ca.pem, wir übernehmen es auf dem Radius-Server). Hier kommt die Selbstsignierung zum Einsatz.
Laden Sie das Zertifikat auf Ihr Gerät herunter und installieren Sie es.
Installieren eines Zertifikats
Gleichzeitig müssen Sie das Entsperrmuster, den PIN-Code oder das Passwort für den Bildschirm festlegen, sofern dies noch nicht geschehen ist:
Ich habe eine komplexe Möglichkeit zur Installation eines Zertifikats gezeigt. Klicken Sie auf den meisten Geräten einfach auf das heruntergeladene Zertifikat.
Wenn das Zertifikat installiert ist, können Sie mit der Verbindung fortfahren:
Zertifikat – geben Sie das Zertifikat an, das installiert wurde
Anonymer Benutzer - Gast
macOS
Apple-Geräte können standardmäßig nur eine Verbindung zu EAP-TLS herstellen, Sie müssen ihnen jedoch trotzdem ein Zertifikat bereitstellen. Um eine andere Verbindungsmethode festzulegen, müssen Sie Apple Configurator 2 verwenden. Dementsprechend müssen Sie es zunächst auf Ihren Mac herunterladen, ein neues Profil erstellen und alle erforderlichen WLAN-Einstellungen hinzufügen.
Apple-Konfigurator
Hier geben wir den Namen unseres Netzwerks an
Sicherheitstyp – WPA2 Enterprise
Akzeptierte EAP-Typen – TTLS
Benutzername und Passwort – leer lassen
Innere Authentifizierung – PAP
Outer Identity-Client
Registerkarte „Vertrauen“. Hier geben wir unsere Domain an
Alle. Das Profil kann gespeichert, signiert und an Geräte verteilt werden
Nachdem das Profil fertig ist, müssen Sie es auf Ihren Mac herunterladen und installieren. Während des Installationsvorgangs müssen Sie usernmae_ldap und password_ldap des Benutzers angeben:
iOS
Der Vorgang ähnelt dem von macOS. Sie müssen ein Profil verwenden (Sie können dasselbe wie für macOS verwenden. Informationen zum Erstellen eines Profils im Apple Configurator finden Sie oben).
Profil herunterladen, installieren, Anmeldedaten eingeben, verbinden:
Das ist alles. Wir haben einen Radius-Server eingerichtet, ihn mit FreeIPA synchronisiert und Ubiquiti-APs angewiesen, WPA2-EAP zu verwenden.
Mögliche Fragen
in: Wie übertrage ich ein Profil/Zertifikat an einen Mitarbeiter?
Über: Ich speichere alle Zertifikate/Profile auf FTP mit Zugriff über das Internet. Ich habe ein Gastnetzwerk mit Geschwindigkeitsbegrenzung und Zugriff nur auf das Internet, mit Ausnahme von FTP, eingerichtet.
Die Authentifizierung dauert 2 Tage, danach wird sie zurückgesetzt und der Client bleibt ohne Internetverbindung. Das. Wenn ein Mitarbeiter eine WLAN-Verbindung herstellen möchte, stellt er zunächst eine Verbindung zum Gastnetzwerk her, meldet sich bei FTP an, lädt das benötigte Zertifikat oder Profil herunter, installiert es und kann dann eine Verbindung zum Unternehmensnetzwerk herstellen.
in: Warum nicht ein Schema mit MSCHAPv2 verwenden? Sie ist sicherer!
Über: Erstens funktioniert ein solches Schema gut auf NPS (Windows Network Policy System), in unserer Implementierung ist es notwendig, zusätzlich LDAP (FreeIpa) zu konfigurieren und Passwort-Hashes auf dem Server zu speichern. Hinzufügen. Es ist nicht ratsam, Einstellungen vorzunehmen, da Dies kann zu verschiedenen Problemen bei der Synchronisation des Ultraschallsystems führen. Zweitens ist der Hash MD4, sodass er nicht viel Sicherheit bietet.
in: Ist es möglich, Geräte mithilfe von Mac-Adressen zu autorisieren?
Über: NEIN, das ist nicht sicher, ein Angreifer kann MAC-Adressen ändern und vor allem wird die Autorisierung durch MAC-Adressen auf vielen Geräten nicht unterstützt
in: Wofür sollen im Allgemeinen alle diese Zertifikate verwendet werden? Kannst du ohne sie mitmachen?
Über: Zertifikate werden zur Autorisierung des Servers verwendet. Diese. Beim Verbinden prüft das Gerät, ob es sich um einen vertrauenswürdigen Server handelt oder nicht. Ist dies der Fall, wird die Authentifizierung fortgesetzt, andernfalls wird die Verbindung geschlossen. Sie können eine Verbindung ohne Zertifikate herstellen, aber wenn ein Angreifer oder Nachbar zu Hause einen Radiusserver und einen Zugangspunkt mit demselben Namen wie wir einrichtet, kann er die Anmeldeinformationen des Benutzers leicht abfangen (vergessen Sie nicht, dass diese im Klartext übertragen werden). Und wenn ein Zertifikat verwendet wird, sieht der Feind in seinen Protokollen nur unseren fiktiven Benutzernamen – Gast oder Kunde – und einen Typfehler – Unbekanntes CA-Zertifikat
ein bisschen mehr über macOSNormalerweise erfolgt die Neuinstallation des Systems unter macOS über das Internet. Im Wiederherstellungsmodus muss der Mac mit WLAN verbunden sein und weder unser Firmen-WLAN noch das Gastnetzwerk funktionieren hier. Persönlich habe ich ein anderes Netzwerk, das übliche WPA2-PSK, versteckt, nur für technische Zwecke eingerichtet. Alternativ können Sie auch vorab mit dem System einen bootfähigen USB-Stick erstellen. Wenn Ihr Mac jedoch älter als 2015 ist, müssen Sie auch einen Adapter für dieses Flash-Laufwerk finden.)
Source: habr.com