Chaidh cuid de na h-eisimpleirean de bhith ag eagrachadh WiFi corporra a mhìneachadh mar-thà. An seo bheir mi cunntas air mar a chuir mi an gnìomh fuasgladh mar seo agus na duilgheadasan a choinnich mi nuair a bha mi a’ ceangal air diofar innealan. Cleachdaidh sinn an LDAP a th’ ann le luchd-cleachdaidh stèidhichte, stàlaichidh sinn FreeRadius agus rèitichidh sinn WPA2-Enterprise air rianadair Ubnt. Tha e coltach gu bheil a h-uile dad sìmplidh. Chì sinn…
Beagan mu dhòighean EAP
Mus tòisich sinn air a’ ghnìomh, feumaidh sinn co-dhùnadh dè an dòigh dearbhaidh a chleachdas sinn nar fuasgladh.
Bho Wikipedia:
Is e frèam dearbhaidh a th’ ann an EAP a thathas gu tric air a chleachdadh ann an lìonraidhean gun uèir agus ceanglaichean puing-gu-puing. Chaidh an cruth a mhìneachadh an toiseach ann an RFC 3748 agus ùrachadh ann an RFC 5247.
Tha EAP air a chleachdadh gus modh dearbhaidh a thaghadh, iuchraichean a ghluasad, agus na h-iuchraichean sin a phròiseasadh le plugins ris an canar dòighean EAP. Tha mòran dhòighean EAP ann, gach cuid air am mìneachadh le EAP fhèin agus an fheadhainn a chaidh fhoillseachadh le luchd-reic fa leth. Chan eil EAP a’ mìneachadh an ìre ceangail, chan eil e a’ mìneachadh ach cruth na teachdaireachd. Tha a phròtacal glacaidh teachdaireachd EAP fhèin aig gach protocol a chleachdas EAP.
Na dòighean fhèin:
- Tha LEAP na phròtacal seilbh air a leasachadh le CISCO. So-leòntachd a chaidh a lorg. Chan eilear a’ moladh a chleachdadh an-dràsta
- Tha deagh thaic aig EAP-TLS am measg luchd-reic gun uèir. Tha e na phròtacal tèarainte oir tha e a’ leantainn inbhean SSL. Tha stèidheachadh an neach-dèiligidh gu math iom-fhillte. Feumaidh tu teisteanas teachdaiche a bharrachd air am facal-faire. Le taic bho iomadh siostam
- Tha EAP-TTLS - le taic farsaing air mòran shiostaman, a’ tabhann deagh thèarainteachd a’ cleachdadh teisteanasan PKI a-mhàin air an t-seirbheisiche dearbhaidh
- Tha EAP-MD5 na inbhe fosgailte eile. A’ tabhann glè bheag de thèarainteachd. So-leònte, chan eil e a’ toirt taic do dhearbhadh dha chèile agus do phrìomh ghinealach
- EAP-IKEv2 - stèidhichte air Internet Key Exchange Protocol dreach 2. A’ toirt seachad dearbhadh dha chèile agus stèidheachadh prìomh sheisean eadar teachdaiche is frithealaiche
- Tha PEAP na cho-fhuasgladh eadar CISCO, Microsoft agus RSA Security mar ìre fhosgailte. Ri fhaighinn gu farsaing ann am bathar, a’ toirt seachad sàbhailteachd fìor mhath. Coltach ri EAP-TTLS, chan fheum ach teisteanas taobh an fhrithealaiche
- PEAPv0/EAP-MSCHAPv2 - Às deidh EAP-TLS, is e seo an dàrna inbhe a thathas a’ cleachdadh gu farsaing san t-saoghal. Cleachdadh dàimh teachdaiche-frithealaidh ann am Microsoft, Cisco, Apple, Linux
- PEAPv1 / EAP-GTC - Air a chruthachadh le Cisco mar roghainn eile an àite PEAPv0 / EAP-MSCHAPv2. Chan eil e a’ dìon dàta dearbhaidh ann an dòigh sam bith. Chan eil taic ann air Windows OS
- Tha EAP-FAST na dhòigh air a leasachadh le Cisco gus easbhaidhean LEAP a cheartachadh. A’ cleachdadh Teisteanas Ruigsinneachd Dìon (PAC). Gu tur neo-chrìochnach
A-mach às a 'mheasgachadh seo gu lèir, chan eil an roghainn fhathast fìor mhath. An dòigh dearbhaidh a tha a dhìth: tèarainteachd mhath, taic air a h-uile inneal (Windows 10, macOS, Linux, Android, iOS) agus, gu dearbh, mar as sìmplidh as fheàrr. Mar sin, thuit an roghainn air EAP-TTLS an co-bhonn ri protocol PAP.
Dh’ fhaodadh a’ cheist èirigh - Carson a chleachdas tu PAP? Às deidh na h-uile, bidh e a 'toirt seachad faclan-faire ann an teacsa soilleir?
Tha, tha sin ceart. Bidh conaltradh eadar FreeRadius agus FreeIPA dìreach mar seo. Ann am modh deasbaid, faodaidh tu sùil a chumail air mar a thèid an t-ainm-cleachdaidh agus am facal-faire a chuir. Tha, agus leig leotha falbh, chan eil ach cothrom agad air an fhrithealaiche FreeRadius.
Faodaidh tu barrachd a leughadh mu mar a tha EAP-TTLS ag obair
SaorRADIUS
Ùraichidh sinn FreeRadius gu CentOS 7.6. Chan eil dad iom-fhillte an seo, bidh sinn ga stàladh san dòigh àbhaisteach.
yum install freeradius freeradius-utils freeradius-ldap -yDe na pacaidean, tha dreach 3.0.13 air a chuir a-steach. Faodar an tè mu dheireadh a ghabhail aig
Às deidh seo, tha FreeRadius ag obair mu thràth. Faodaidh tu an loidhne a thoirt a-mach ann an /etc/raddb/users
steve Cleartext-Password := "testing"Cuir a-steach don fhrithealaiche ann am modh deasbaid
freeradius -XAgus dèan ceangal deuchainn bho localhost
radtest steve testing 127.0.0.1 1812 testing123Fhuair sinn freagairt Faighinn Ruigsinneachd - Gabh ri Id 115 bho 127.0.0.1: 1812 gu 127.0.0.1: 56081 fad 20, tha e a’ ciallachadh gu bheil a h-uile dad ceart gu leòr. Siuthad.
A 'ceangal a' mhodail ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapAgus atharraichidh sinn e sa bhad. Feumaidh sinn FreeRadius gus faighinn gu FreeIPA
mods-comas/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Ath-thòisich am frithealaiche radius agus thoir sùil air sioncronadh luchd-cleachdaidh LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Deasachadh eap a-steach mods-comas/eap
An seo cuiridh sinn dà eisimpleir de eap. Bidh iad eadar-dhealaichte a-mhàin ann an teisteanasan agus iuchraichean. Mìnichidh mi carson a tha seo fìor gu h-ìosal.
mods-comas/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}An uairsin bidh sinn a 'deasachadh làrach-comas / bunaiteach. Tha ùidh agam anns na h-earrannan ùghdarrachaidh agus dearbhaidh.
làrach-comas / bunaiteach
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Anns an earrann ùghdarrais bheir sinn air falbh a h-uile modal nach eil a dhìth oirnn. Bidh sinn a 'fàgail a-mhàin ldap. Cuir dearbhadh teachdaiche a rèir ainm-cleachdaidh. Sin as coireach gun do chuir sinn dà eisimpleir de AP gu h-àrd.
Ioma EAPIs e an fhìrinn, nuair a cheanglas sinn cuid de dh’ innealan, cleachdaidh sinn teisteanasan siostam agus sònraichidh sinn an àrainn. Tha teisteanas agus iuchair againn bho ùghdarras teisteanais earbsach. Gu pearsanta, nam bheachd-sa, tha am modh ceangail seo nas sìmplidh na bhith a 'tilgeil teisteanas fèin-shoidhnichte air gach inneal. Ach eadhon às aonais teisteanasan fèin-shoidhnichte cha robh e comasach fhathast falbh. Innealan Samsung agus Android =< Chan eil fios aig 6 dreach mar a chleachdas tu teisteanasan siostam. Mar sin, bidh sinn a’ cruthachadh eisimpleir air leth de eap-aoigh dhaibh le teisteanasan fèin-soidhnichte. Airson a h-uile inneal eile cleachdaidh sinn eap-client le teisteanas earbsach. Tha Ainm-cleachdaidh air a dhearbhadh leis an raon Anonymous nuair a cheanglas tu an inneal. Chan eil ach 3 luachan ceadaichte: Aoigh, Cliant agus raon falamh. Tha an còrr uile air a thilgeil air falbh. Faodar seo a rèiteachadh ann am poileasaidhean. Bheir mi eisimpleir beagan nas fhaide air adhart.
Deasaich sinn na h-earrannan ùghdarrachaidh agus dearbhte ann an comas-làraich/tunail a-staigh
comas-làraich/tunail a-staigh
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}An ath rud, feumaidh tu sònrachadh anns na poileasaidhean dè na h-ainmean a ghabhas cleachdadh airson logadh a-steach gun urra. Deasachadh poileasaidh.d/filter.
Feumaidh tu loidhnichean coltach ri seo a lorg:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Agus gu h-ìosal ann an elsif cuir na luachan riatanach:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}A-nis feumaidh sinn gluasad chun an eòlaire teisteanasan. An seo feumaidh sinn an iuchair agus an teisteanas a chuir bho ùghdarras teisteanachaidh earbsach, a tha againn mu thràth, agus feumaidh sinn teisteanasan fèin-soidhnichte a ghineadh airson eap-aoigh.
Ag atharrachadh nam paramadairean san fhaidhle ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Bidh sinn a 'sgrìobhadh na h-aon luachan anns an fhaidhle frithealaiche.cnf. Bidh sinn ag atharrachadh a-mhàin
Ainm cumanta:
frithealaiche.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Bidh sinn a’ cruthachadh:
makeReady. Fhuaireadh frithealaiche.crt и iuchair.fhrithealaiche Tha sinn mu thràth air clàradh gu h-àrd ann an eap-aoigh.
Agus mu dheireadh, cuiridh sinn na puingean inntrigidh againn ris an fhaidhle cliant.conf. Tha 7 dhiubh agam.
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti stiùiriche
Bidh sinn a 'togail lìonra fa leth air an rianadair. Leig leis a bhith 192.168.2.0/24
Rach gu roghainnean -> pròifil. Cruthaichidh sinn fear ùr:
Bidh sinn a 'sgrìobhadh sìos seòladh agus port an fhrithealaiche radius agus am facal-faire a chaidh a sgrìobhadh san fhaidhle luchd-dèiligidh.conf:
Cruthaich ainm lìonra uèirleas ùr. Tagh WPA-EAP (Iomairt) mar an dòigh dearbhaidh agus sònraich am pròifil radius cruthaichte:
Bidh sinn a 'sàbhaladh a h-uile càil, ga chur an sàs agus a' gluasad air adhart.
A 'stèidheachadh luchd-dèiligidh
Feuch an tòisich sinn leis a 'phàirt as cruaidhe!
Windows 10
Tha an duilgheadas a’ tighinn sìos chun fhìrinn nach eil fios aig Windows fhathast mar a cheanglas iad ri WiFi corporra thairis air àrainn. Mar sin, feumaidh sinn an teisteanas againn a luchdachadh suas le làimh chun stòr teisteanais earbsach. An seo faodaidh tu fear fèin-shoidhnichte no fear bho ùghdarras teisteanais a chleachdadh. Cleachdaidh mi an dàrna fear.
An uairsin feumaidh tu ceangal ùr a chruthachadh. Gus seo a dhèanamh, rachaibh gu Roghainnean Lìonra is Eadar-lìn -> Ionad Lìonra is Roinneadh -> Cruthaich agus rèitich ceangal no lìonra ùr:
Bidh sinn a’ cuir a-steach ainm an lìonraidh le làimh agus ag atharrachadh an seòrsa tèarainteachd. An uairsin cliog air atharraich roghainnean ceangail agus anns an taba Tèarainteachd, tagh dearbhadh lìonra - EAP-TTLS.
Rach gu na roghainnean, suidhich dìomhaireachd an dearbhaidh - neach-dèiligidh. Mar ùghdarras teisteanachaidh earbsach, tagh an teisteanas a chuir sinn ris, thoir sùil air a’ bhogsa “Na cuir a-mach cuireadh don neach-cleachdaidh mura h-urrainn don fhrithealaiche a bhith ùghdarraichte” agus tagh am modh dearbhaidh - facal-faire teacsa plain (PAP).
An ath rud, rachaibh gu paramadairean a bharrachd agus thoir sùil air a’ bhogsa “Sònraich modh dearbhaidh.” Tagh “Dearbhadh Cleachdaiche” agus cliog air sàbhail teisteanasan. An seo feumaidh tu ainm-cleachdaiche_ldap agus password_ldap a chur a-steach
Bidh sinn a 'sàbhaladh, a' buntainn, a 'dùnadh a h-uile càil. Faodaidh tu ceangal a dhèanamh ri lìonra ùr.
Linux
Rinn mi deuchainn air Ubuntu 18.04, 18.10, Fedora 29, 30.
An toiseach, luchdaich sìos an teisteanas dhut fhèin. Cha do lorg mi ann an Linux a bheil e comasach teisteanasan siostam a chleachdadh no a bheil leithid de stòr ann idir.
Nì sinn ceangal tro àrainn. Mar sin, feumaidh sinn teisteanas bhon ùghdarras teisteanachaidh bhon deach an teisteanas againn a cheannach.
Tha a h-uile ceangal air a dhèanamh ann an aon uinneag. Tagh an lìonra againn:
gun urra - neach-dèiligidh
àrainn - an àrainn airson an deach an teisteanas a thoirt seachad
Android
neo-Samsung
Bho dhreach 7, nuair a cheanglas tu WiFi, faodaidh tu teisteanasan siostam a chleachdadh le bhith a’ sònrachadh an àrainn a-mhàin:
àrainn - an àrainn airson an deach an teisteanas a thoirt seachad
gun urra - neach-dèiligidh
Samsung
Mar a sgrìobh mi gu h-àrd, chan eil fios aig innealan Samsung mar a chleachdas iad teisteanasan siostam nuair a cheanglas iad WiFi, agus chan eil comas aca ceangal tro àrainn. Mar sin, feumaidh tu teisteanas freumh an ùghdarrais teisteanais a chuir ris le làimh (ca.pem, thoir e bhon t-seirbheisiche Radius). Seo far an tèid fèin-soidhnigeadh a chleachdadh.
Luchdaich sìos an teisteanas chun inneal agad agus stàlaich e e.
A 'stàladh teisteanas
Anns a 'chùis seo, feumaidh tu pàtran fhuasgladh sgrion, còd PIN no facal-faire a shuidheachadh, mura h-eil e air a shuidheachadh mar-thà:
Sheall mi roghainn iom-fhillte airson teisteanas a stàladh. Air a’ mhòr-chuid de dh’ innealan, dìreach cliog air an teisteanas a chaidh a luchdachadh sìos.
Nuair a bhios an teisteanas air a stàladh, faodaidh tu a dhol air adhart chun cheangal:
teisteanas - comharraich am fear a chuir thu a-steach
cleachdaiche gun urra - aoigh
MacOS
Chan urrainn dha innealan Apple ach ceangal ri EAP-TLS a-mach às a’ bhogsa, ach feumaidh tu fhathast teisteanas a thoirt dhaibh. Gus dòigh ceangail eadar-dhealaichte a shònrachadh, feumaidh tu Apple Configurator 2 a chleachdadh. Mar sin, feumaidh tu an toiseach a luchdachadh sìos chun Mac agad, cruthaich pròifil ùr agus cuir ris na roghainnean WiFi riatanach uile.
Configurador Apple
An seo tha sinn a’ comharrachadh ainm an lìonra againn
Seòrsa tèarainteachd - Iomairt WPA2
Seòrsan EAP ris an deach gabhail - TTLS
Ainm-cleachdaidh agus Facal-faire - fàg falamh
Dearbhadh a-staigh - PAP
Aithne A-muigh - neach-dèiligidh
Urras tab. An seo tha sinn a’ comharrachadh ar fearann
Uile. Faodar am pròifil a shàbhaladh, a shoidhnigeadh agus a sgaoileadh gu innealan
Às deidh don phròifil a bhith deiseil, feumaidh tu a luchdachadh sìos chun Mac agad agus a stàladh. Rè a 'phròiseas stàlaidh, feumaidh tu an usernmae_ldap agus password_ldap an neach-cleachdaidh a shònrachadh:
iOS
Tha am pròiseas coltach ri macOS. Feumaidh tu pròifil a chleachdadh (faodaidh tu an aon fhear a chleachdadh airson macOS. Faic gu h-àrd airson mar a chruthaicheas tu pròifil ann an Apple Configurator).
Luchdaich sìos am pròifil, stàlaich, cuir a-steach teisteanasan, ceangail:
Sin e. Stèidhich sinn am frithealaiche Radius, shìn sinn e le FreeIPA, agus dh’ iarr sinn air puingean inntrigidh Ubiquiti WPA2-EAP a chleachdadh.
Ceistean a dh’ fhaodadh a bhith ann
AT: ciamar a ghluaiseas tu pròifil / teisteanas gu neach-obrach?
Mu dheidhinn: Bidh mi a’ stòradh a h-uile teisteanas / pròifil air FTP le ruigsinneachd tron lìon. Stèidhich mi lìonra aoighean le crìoch astair agus ruigsinneachd air an eadar-lìn a-mhàin, ach a-mhàin FTP.
Mairidh an dearbhadh 2 latha, às deidh sin tha e air ath-shuidheachadh agus tha an neach-dèiligidh air fhàgail às aonais an eadar-lìn. Sin. Nuair a tha neach-obrach ag iarraidh ceangal a dhèanamh ri WiFi, bidh e an-toiseach a 'ceangal ris an lìonra aoighean, a' logadh a-steach gu FTP, a 'luchdachadh sìos an teisteanas no an ìomhaigh a tha a dhìth air, gan stàladh, agus an uairsin faodaidh e ceangal ris an lìonra corporra.
AT: carson nach cleachd thu sgeama le MSCHAPv2? tha e nas sàbhailte!
Mu dheidhinn: an toiseach, tha an sgeama seo ag obair gu math air NPS (Siostam Poileasaidh Lìonra Windows), nar buileachadh feumar cuideachd LDAP (FreeIpa) a rèiteachadh agus hashes facal-faire a stòradh air an fhrithealaiche. Cuir ris. Chan eil e ciallach suidheachaidhean a dhèanamh, oir faodaidh seo leantainn gu diofar dhuilgheadasan le sioncronadh an t-siostam ultrasound. San dàrna h-àite, is e MD4 an hash, agus mar sin chan eil e a’ cur mòran tèarainteachd ris
AT: A bheil e comasach innealan a cheadachadh a’ cleachdadh seòlaidhean mac?
Mu dheidhinn: CHAN EIL, chan eil seo sàbhailte, faodaidh neach-ionnsaigh seòlaidhean MAC a spùtadh, agus eadhon nas motha na sin, chan eil cead bho sheòlaidhean MAC a’ faighinn taic air iomadh inneal
AT: Carson a chleachdas tu na teisteanasan sin uile idir? faodaidh tu ceangal a dhèanamh às aonais
Mu dheidhinn: tha teisteanasan gan cleachdadh gus am frithealaiche a cheadachadh. An fheadhainn sin. Nuair a bhios tu a’ ceangal, bidh an inneal a’ dèanamh cinnteach an e frithealaiche a th’ ann anns a bheil earbsa ann no nach eil. Ma tha, thèid an dearbhadh air adhart; mura h-eil, tha an ceangal dùinte. Faodaidh tu ceangal a dhèanamh às aonais teisteanasan, ach ma shuidhicheas neach-ionnsaigh no nàbaidh frithealaiche radius agus àite inntrigidh leis an aon ainm ris an fhear againn aig an taigh, is urrainn dha casg a chuir air teisteanasan an neach-cleachdaidh gu furasta (na dìochuimhnich gu bheil iad air an sgaoileadh ann an teacsa soilleir) . Agus nuair a thèid teisteanas a chleachdadh, chan fhaic an nàmhaid anns na logaichean aige ach an t-ainm cleachdaiche meallta againn - aoigh no neach-dèiligidh agus mearachd seòrsa - Teisteanas CA neo-aithnichte
beagan a bharrachd mu macOSMar as trice, air macOS, thèid an siostam ath-shuidheachadh tron eadar-lìn. Ann am modh ath-bheothachaidh, feumaidh am Mac a bhith ceangailte ri WiFi, agus chan obraich an WiFi corporra againn no an lìonra aoighean an seo. Gu pearsanta, chuir mi a-steach lìonra eile, an WPA2-PSK àbhaisteach, falaichte, dìreach airson obair theicnigeach. No faodaidh tu cuideachd draibhear USB flash bootable a dhèanamh leis an t-siostam ro-làimh. Ach ma tha do Mac às deidh 2015, feumaidh tu cuideachd inneal-atharrachaidh a lorg airson an draibhear flash seo)
Source: www.habr.com