Tá cur síos déanta cheana ar roinnt samplaí maidir le WiFi corparáideach a eagrú. Anseo déanfaidh mé cur síos ar an gcaoi ar chuir mé réiteach den sórt sin i bhfeidhm agus ar na fadhbanna a tháinig orm agus mé ag nascadh le gléasanna éagsúla. Úsáidfimid an LDAP atá ann cheana féin le húsáideoirí seanbhunaithe, suiteáilfimid FreeRadius agus cumróimid WPA2-Enterprise ar rialtóir Ubnt. Dealraíonn sé gach rud simplí. Ligean ar a fheiceáil…
Beagán faoi mhodhanna EAP
Sula dtosaímid ar an tasc, ní mór dúinn a chinneadh cén modh fíordheimhnithe a úsáidfimid inár réiteach.
Ó Vicipéid:
Is creat fíordheimhnithe é EAP a úsáidtear go minic i líonraí gan sreang agus i naisc pointe go pointe. Rinneadh cur síos ar an bhformáid ar dtús in RFC 3748 agus nuashonraíodh í in RFC 5247.
Úsáidtear EAP chun modh fíordheimhnithe a roghnú, eochracha a aistriú, agus na heochracha sin a phróiseáil trí fhorlíontáin ar a dtugtar modhanna EAP. Tá go leor modhanna EAP ann, a shainmhínítear leis an EAP féin agus iad siúd a scaoileann díoltóirí aonair araon. Ní shainíonn EAP an ciseal nasc, ní shainíonn sé ach formáid na teachtaireachta. Tá a phrótacal cuimsithe teachtaireachta EAP féin ag gach prótacal a úsáideann EAP.
Na modhanna iad féin:
- Is prótacal dílseánaigh é LEAP arna fhorbairt ag CISCO. Leochaileachtaí aimsithe. Ní mholtar é a úsáid faoi láthair
- Tá tacaíocht mhaith ag EAP-TLS i measc díoltóirí gan sreang. Is prótacal slán é toisc go bhfuil sé ina chomharba ar na caighdeáin SSL. Tá socrú an chliaint casta go leor. Teastaíonn teastas cliant uait chomh maith leis an bhfocal faire. Tacaithe ar go leor córais
- Cuireann EAP-TTLS - tacaithe go forleathan ar go leor córas, slándáil mhaith ar fáil trí úsáid a bhaint as teastais PKI ar an bhfreastalaí fíordheimhnithe amháin
- Is caighdeán oscailte eile é EAP-MD5. Tairiscintí slándála íosta. Leochaileach, ní thacaíonn sé le fíordheimhniú frithpháirteach agus giniúint eochair
- EAP-IKEv2 - bunaithe ar leagan 2 den Phrótacal Malartú Eochrach Idirlín. Soláthraíonn sé fíordheimhniú frithpháirteach agus bunú eochrach seisiúin idir an cliant agus an freastalaí
- Is comhréiteach é PEAP idir CISCO, Microsoft agus RSA Security mar chaighdeán oscailte. Ar fáil go forleathan i dtáirgí, soláthraíonn sé sábháilteacht an-mhaith. Cosúil le EAP-TTLS, ní theastaíonn ach teastas ar thaobh an fhreastalaí
- PEAPv0/EAP-MSCHAPv2 - Tar éis EAP-TLS, is é seo an dara caighdeán a úsáidtear go forleathan ar domhan. Caidreamh cliant-freastalaí úsáidte i Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Cruthaithe ag Cisco mar mhalairt ar PEAPv0/EAP-MSCHAPv2. Ní chosnaíonn sé sonraí fíordheimhnithe ar bhealach ar bith. Ní thacaítear leis ar Windows OS
- Is modh é EAP-FAST arna fhorbairt ag Cisco chun easnaimh LEAP a cheartú. Úsáideann sé an Dintiúir Rochtana Cosanta (PAC). Go hiomlán neamhchríochnaithe
As an éagsúlacht seo go léir, níl an rogha fós iontach. An modh fíordheimhnithe atá ag teastáil: slándáil mhaith, tacaíocht ar gach feiste (Windows 10, macOS, Linux, Android, iOS) agus, go deimhin, dá simplí is amhlaidh is fearr. Mar sin, thit an rogha ar EAP-TTLS i gcomhar leis an bprótacal PAP.
D’fhéadfadh an cheist teacht chun cinn - Cén fáth a n-úsáidfí PAP? Tar éis an tsaoil, tarchuireann sé pasfhocail i dtéacs soiléir?
Seá sin ceart. Beidh cumarsáid díreach mar seo idir FreeRadius agus FreeIPA. I mód dífhabhtaithe, is féidir leat a rianú conas a sheoltar an t-ainm úsáideora agus do phasfhocal. Sea, agus lig dóibh dul, níl ach rochtain agat ar an bhfreastalaí FreeRadius.
Is féidir leat tuilleadh a léamh faoi conas a oibríonn EAP-TTLS
SaorRADIUS
Déanfaimid FreeRadius a uasghrádú go CentOS 7.6. Níl aon rud casta anseo, déanaimid é a shuiteáil ar an ngnáthbhealach.
yum install freeradius freeradius-utils freeradius-ldap -yDe na pacáistí, tá leagan 3.0.13 suiteáilte. Is féidir an dara ceann a ghlacadh ag
Tar éis seo, tá FreeRadius ag obair cheana féin. Is féidir leat trácht a dhéanamh ar an líne in /etc/raddb/users
steve Cleartext-Password := "testing"Seoladh isteach sa fhreastalaí i mód dífhabhtaithe
freeradius -XAgus déan nasc tástála ó localhost
radtest steve testing 127.0.0.1 1812 testing123Fuaireamar freagra Faighte Rochtana-Glac Aitheantas 115 ó 127.0.0.1:1812 go 127.0.0.1:56081 fad 20, ciallaíonn sé go bhfuil gach rud ceart go leor. Lean ar aghaidh.
Ag nascadh an mhodúil LDAP.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapAgus déanfaimid é a athrú láithreach. Ní mór dúinn FreeRadius a bheith in ann rochtain a fháil ar FreeIPA
mods-chumasaithe/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Atosaigh an freastalaí ga agus seiceáil an sioncronú úsáideoirí LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Eagarthóireacht eap in mods-chumas/eap
Anseo cuirfimid dhá chás de eap. Ní bheidh difríocht acu ach i ndeimhnithe agus eochracha. Míneoidh mé cén fáth go bhfuil sé seo fíor thíos.
mods-chumas/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Ansin déanaimid eagarthóireacht suíomh-chumasaithe/réamhshocraithe. Tá suim agam sna hailt údaraithe agus fíordheimhnithe.
suíomh-chumasaithe/réamhshocraithe
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Sa rannán údarú bainimid gach modúl nach bhfuil de dhíth orainn. Ní fhágaimid ach ldap. Cuir fíorú cliant leis de réir ainm úsáideora. Sin é an fáth gur chuireamar dhá chás eap thuas leis.
Il EAPIs é an fírinne ná nuair a nascfaimid roinnt feistí úsáidfimid deimhnithe córais agus sonróidh muid an fearann. Tá teastas agus eochair againn ó údarás deimhnithe iontaofa. Go pearsanta, i mo thuairim, tá an nós imeachta nasc seo níos simplí ná deimhniú féin-shínithe a chaitheamh ar gach feiste. Ach fiú gan deimhnithe féin-shínithe níorbh fhéidir imeacht fós. Níl a fhios ag feistí Samsung agus Android =< 6 leagan conas teastais chórais a úsáid. Mar sin, cruthaímid sampla ar leith d’aoi-aoi dóibh le deimhnithe féin-shínithe. I gcás gach feiste eile bainfimid úsáid as eap-client le teastas iontaofa. Cinneann an réimse Gan Ainm an Ainm Úsáideora agus an gléas á nascadh. Ní cheadaítear ach 3 luach: Aoi, Cliant agus réimse folamh. Tá an chuid eile go léir caite. Is féidir é seo a chumrú i bpolasaithe. Tabharfaidh mé sampla beagán níos déanaí.
Déanaimis na hailt a údarú agus a fhíordheimhniú i suíomh-chumasaithe/tollán istigh
suíomh-chumasaithe/tollán istigh
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Ansin, ní mór duit a shonrú sna polasaithe cé na hainmneacha is féidir a úsáid le haghaidh logáil isteach gan ainm. Eagarthóireacht polasaí.d/scagaire.
Ní mór duit línte cosúil leis seo a fháil:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Agus thíos in elsif cuir na luachanna riachtanacha leis:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Anois caithfimid bogadh chuig an eolaire certs. Anseo ní mór dúinn an eochair agus an deimhniú a chur ó údarás deimhniúcháin iontaofa, atá againn cheana féin, agus ní mór dúinn deimhnithe féin-sínithe a ghiniúint le haghaidh eap-aoi.
Athrú ar na paraiméadair sa chomhad ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Scríobhann muid na luachanna céanna sa chomhad freastalaí.cnf. Ní athraíonn muid ach
ainm coitianta:
freastalaí.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Cruthaímid:
makeRéidh. Faighte freastalaí.crt и freastalaí.eochair Tá muid cláraithe cheana thuas in eap-aoi.
Agus ar deireadh, cuirimis ár bpointí rochtana leis an gcomhad cliant.conf. Tá 7 gcinn agam ionas nach gcuirfear gach pointe ar leithligh, ní chláróidh muid ach an líonra ina bhfuil siad suite (tá mo phointí rochtana i VLAN ar leith).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Rialaitheoir uilíoch
Ardaímid líonra ar leith ar an rialtóir. Bíodh sé 192.168.2.0/24
Téigh go dtí socruithe -> próifíl. Cruthaimis ceann nua:
Scríobhaimid síos seoladh agus port an fhreastalaí ga agus an focal faire a bhí scríofa sa chomhad cliaint.conf:
Cruthaigh ainm líonra gan sreang nua. Roghnaigh WPA-EAP (Fiontar) mar an modh fíordheimhnithe agus sonraigh an phróifíl ga cruthaithe:
Sábhálann muid gach rud, cuirimid i bhfeidhm é agus bogadh ar aghaidh.
Cliaint a shocrú
Cuirimis tús leis an gcuid is deacra!
Windows 10
Tagann an deacracht síos ar an bhfíric nach bhfuil a fhios ag Windows fós conas ceangal le WiFi corparáideach thar fhearann. Mar sin, ní mór dúinn ár dteastas a uaslódáil de láimh chuig an siopa deimhnithe iontaofa. Anseo is féidir leat ceann féin-shínithe nó ceann ó údarás deimhniúcháin a úsáid. Úsáidfidh mé an dara ceann.
Ansin ní mór duit nasc nua a chruthú. Chun é seo a dhéanamh, téigh go Socruithe Líonra agus Idirlín -> Lárionad Líonra agus Roinnte -> Cruthaigh agus cumraigh nasc nó líonra nua:
Cuirimid ainm an líonra isteach de láimh agus athraíonn muid an cineál slándála. Ansin cliceáil ar socruithe ceangail a athrú agus sa chluaisín Slándála, roghnaigh fíordheimhniú líonra - EAP-TTLS.
Téigh go dtí na socruithe, socraigh rúndacht an fhíordheimhnithe - cliant. Mar údarás deimhniúcháin iontaofa, roghnaigh an deimhniú a chuireamar leis, cuir tic sa bhosca “Ná tabhair cuireadh don úsáideoir mura féidir an freastalaí a údarú” agus roghnaigh an modh fíordheimhnithe - pasfhocal gnáththéacs (PAP).
Ansin, téigh go dtí paraiméadair bhreise agus seiceáil an bosca "Sonraigh modh fíordheimhnithe." Roghnaigh "Fíordheimhniú Úsáideora" agus cliceáil ar dintiúir a shábháil. Anseo beidh ort ainm úsáideora_ldap agus password_ldap a chur isteach
Sábhálann muid, cuirimid i bhfeidhm, dúnann muid gach rud. Is féidir leat ceangal le líonra nua.
Linux
Thástáil mé ar Ubuntu 18.04, 18.10, Fedora 29, 30.
Ar dtús, íoslódáil an deimhniú duit féin. Níor aimsigh mé i Linux an bhfuil sé indéanta teastais chórais a úsáid nó an bhfuil a leithéid de stór ann ar chor ar bith.
Déanfaimid nascadh tríd an bhfearann. Dá bhrí sin, ní mór dúinn deimhniú ón údarás deimhniúcháin ónar ceannaíodh ár dteastas.
Déantar gach nasc i bhfuinneog amháin. Roghnaigh ár líonra:
gan ainm - cliant
fearann — an fearann ar eisíodh an deimhniú ina leith
Android
neamh-Samsung
Ó leagan 7, agus tú ag nascadh WiFi, is féidir leat teastais chórais a úsáid tríd an bhfearann amháin a shonrú:
fearann — an fearann ar eisíodh an deimhniú ina leith
gan ainm - cliant
Samsung
Mar a scríobh mé thuas, níl a fhios ag feistí Samsung conas teastais chórais a úsáid agus iad ag nascadh WiFi, agus níl an cumas acu nascadh tríd an bhfearann. Mar sin, ní mór duit teastas fréimhe an údaráis deimhniúcháin a chur leis de láimh (ca.pem, é a thógáil ón bhfreastalaí Radius). Seo an áit a n-úsáidfear féin-shínithe.
Íoslódáil an teastas chuig do ghléas agus é a shuiteáil.
Suiteáil Teastais
Sa chás seo, beidh ort patrún díghlasála scáileáin, cód PIN nó pasfhocal a shocrú, mura bhfuil sé socraithe cheana féin:
Léirigh mé rogha casta maidir le deimhniú a shuiteáil. Ar fhormhór na bhfeistí, níl le déanamh ach cliceáil ar an deimhniú íoslódála.
Nuair a bheidh an teastas suiteáilte, is féidir leat dul ar aghaidh chuig an nasc:
teastas - cuir in iúl an ceann a shuiteáil tú
úsáideoir gan ainm - aoi
MacOS
Ní féidir le feistí Apple ach ceangal le EAP-TLS as an mbosca, ach ní mór duit fós deimhniú a sholáthar dóibh. Chun modh nasctha difriúil a shonrú, ní mór duit Apple Configurator 2 a úsáid. Dá réir sin, ní mór duit é a íoslódáil chuig do Mac ar dtús, próifíl nua a chruthú agus na socruithe wifi riachtanacha go léir a chur leis.
Cumraíocht Apple
Léirímid anseo ainm ár líonra
Cineál Slándála - WPA2 Enterprise
Cineálacha EAP a nGlactar leo - TTLS
Ainm Úsáideora agus Pasfhocal - fág folamh
Fíordheimhniú Istigh - PAP
Aitheantais Amuigh - cliant
Iontaobhas tab. Anseo léirímid ár bhfearann
Gach. Is féidir an phróifíl a shábháil, a shíniú agus a dháileadh ar ghléasanna
Tar éis don phróifíl a bheith réidh, ní mór duit é a íoslódáil chuig do Mac agus é a shuiteáil. Le linn an phróisis suiteála, beidh ort an usernmae_ldap agus password_ldap an úsáideora a shonrú:
iOS
Tá an próiseas cosúil le macOS. Ní mór duit próifíl a úsáid (is féidir leat an ceann céanna a úsáid agus atá le haghaidh macOS. Féach thuas le haghaidh conas próifíl a chruthú in Apple Configurator).
Íoslódáil an phróifíl, suiteáil, cuir isteach dintiúir, ceangail:
Sin é an méid. Chuireamar an freastalaí Radius ar bun, rinneamar é a shioncronú le FreeIPA, agus d’iniseamar do na pointí rochtana Ubiquiti WPA2-EAP a úsáid.
Ceisteanna féideartha
In: conas próifíl/teastas a aistriú chuig fostaí?
Maidir le: Stóráilim gach teastas/próifíl ar FTP le rochtain tríd an ngréasán. Bhunaigh mé líonra aíonna le teorainn luais agus rochtain ar an Idirlíon amháin, seachas FTP.
Maireann fíordheimhniú 2 lá, tar éis a athshocraítear é agus fágtar an cliant gan an Idirlíon. Sin. Nuair a bhíonn fostaí ag iarraidh ceangal le wifi, nascann sé leis an líonra aoi ar dtús, logálann sé isteach i FTP, íoslódálann sé an deimhniú nó an próifíl a theastaíonn uaidh, suiteálann sé iad, agus ansin is féidir leis nascadh leis an líonra corparáideach.
In: cén fáth nach n-úsáidfeá scéim le MSCHAPv2? tá sé níos sábháilte!
Maidir le: ar an gcéad dul síos, oibríonn an scéim seo go maith ar NPS (Córas Beartais Líonra Windows), agus sinn á gcur i bhfeidhm ní mór LDAP (FreeIpa) a chumrú agus hashes pasfhocail a stóráil ar an bhfreastalaí. Cuir. Níl sé inmholta socruithe a dhéanamh, mar gheall ar is féidir fadhbanna éagsúla a bheith mar thoradh air seo maidir le sioncrónú an chórais ultrafhuaime. Ar an dara dul síos, is é MD4 an hash, mar sin ní chuireann sé mórán slándála leis
In: An féidir gléasanna a údarú ag baint úsáide as seoltaí Mac?
Maidir le: NÍL, níl sé seo sábháilte, is féidir le hionsaitheoir seoltaí MAC a spoof, agus níos mó ná sin, ní thacaítear le húdarú seoltaí MAC ar go leor gléasanna
In: Cén fáth a n-úsáideann tú na deimhnithe seo ar fad? is féidir leat ceangal gan iad
Maidir le: úsáidtear teastais chun an freastalaí a údarú. Iad siúd. Nuair a bhíonn sé ag nascadh, seiceálann an gléas cibé an freastalaí é is féidir a bheith iontaofa nó nach bhfuil. Más amhlaidh, leanann an fíordheimhniú ar aghaidh; mura bhfuil, tá an nasc dúnta. Is féidir leat ceangal a dhéanamh gan teastais, ach má bhunaíonn ionsaitheoir nó comharsa freastalaí ga agus pointe rochtana leis an ainm céanna agus atá againne sa bhaile, is féidir leis dintiúir an úsáideora a idircheapadh go héasca (ná déan dearmad go ndéantar iad a tharchur i dtéacs soiléir) . Agus nuair a úsáidtear deimhniú, ní fheicfidh an namhaid ina logaí ach ár n-Ainm Úsáideora bréige - aoi nó cliant agus earráid chineál - Deimhniú CA Anaithnid
beagán níos mó faoi macOSDe ghnáth, ar macOS, déantar an córas a athshuiteáil tríd an Idirlíon. Sa mhodh aisghabhála, ní mór don Mac a bheith ceangailte le WiFi, agus ní oibreoidh ár wifi corparáideach ná an líonra aoi anseo. Go pearsanta, shuiteáil mé líonra eile, an gnáth WPA2-PSK, i bhfolach, ach amháin le haghaidh oibríochtaí teicniúla. Nó is féidir leat tiomáint USB flash bootable a dhéanamh leis an gcóras roimh ré. Ach má tá do Mac tar éis 2015, beidh ort adapter a aimsiú don tiomántán flash seo freisin)
Foinse: will.com