Կորպորատիվ WiFi-ի կազմակերպման որոշ օրինակներ արդեն նկարագրված են: Այստեղ ես նկարագրելու եմ, թե ինչպես եմ ես իրականացրել նմանատիպ լուծում և այն խնդիրները, որոնք ես ստիպված էի հանդիպել տարբեր սարքերում միանալիս: Մենք կօգտագործենք արդեն գոյություն ունեցող LDAP-ը գրանցված օգտվողների հետ, կբարձրացնենք FreeRadius-ը և կկարգավորենք WPA2-Enterprise-ը Ubnt կարգավորիչի վրա: Ամեն ինչ կարծես թե պարզ է. Տեսնենք…
Մի փոքր EAP մեթոդների մասին
Նախքան առաջադրանքին անցնելը, մենք պետք է որոշենք, թե վավերացման որ մեթոդն ենք օգտագործելու մեր լուծման մեջ:
Վիքիպեդիայից.
EAP-ը նույնականացման շրջանակ է, որը հաճախ օգտագործվում է անլար ցանցերում և կետից կետ միացումներում: Ձևաչափն առաջին անգամ նկարագրվել է RFC 3748-ում և թարմացվել է RFC 5247-ում:
EAP-ն օգտագործվում է նույնականացման մեթոդ ընտրելու, ստեղները փոխանցելու և այդ ստեղները մշակելու համար, որոնք կոչվում են EAP մեթոդներ: Կան բազմաթիվ EAP մեթոդներ, որոնք և՛ սահմանված են EAP-ի հետ, և՛ թողարկված առանձին վաճառողների կողմից: EAP-ը չի սահմանում կապի շերտը, այն սահմանում է միայն հաղորդագրության ձևաչափը: EAP օգտագործող յուրաքանչյուր արձանագրություն ունի իր EAP հաղորդագրությունների ամփոփման արձանագրությունը:
Ինքնին մեթոդները.
- LEAP-ը CISCO-ի կողմից մշակված սեփականության արձանագրություն է: Հայտնաբերվել են խոցելիություններ. Ներկայումս խորհուրդ չի տրվում օգտագործել
- EAP-TLS-ը լավ աջակցվում է անլար վաճառողների շրջանում: Այն ապահով արձանագրություն է, քանի որ այն SSL ստանդարտների իրավահաջորդն է: Հաճախորդի կարգավորումը բավականին բարդ է: Բացի գաղտնաբառից, ձեզ անհրաժեշտ է հաճախորդի վկայական: Աջակցվում է բազմաթիվ համակարգերում
- EAP-TTLS - լայնորեն աջակցվում է բազմաթիվ համակարգերում, առաջարկում է լավ անվտանգություն՝ օգտագործելով PKI վկայագրերը միայն իսկորոշման սերվերում
- EAP-MD5-ը ևս մեկ բաց ստանդարտ է: Առաջարկում է նվազագույն անվտանգություն: Խոցելի է, չի աջակցում փոխադարձ իսկորոշմանը և բանալիների ստեղծմանը
- EAP-IKEv2 - հիմնված է ինտերնետ բանալիների փոխանակման արձանագրության 2-րդ տարբերակի վրա: Ապահովում է փոխադարձ նույնականացում և նստաշրջանի բանալիների հաստատում հաճախորդի և սերվերի միջև:
- PEAP-ը CISCO-ի, Microsoft-ի և RSA Security-ի համատեղ լուծումն է՝ որպես բաց ստանդարտ: Լայնորեն հասանելի է արտադրանքներում, ապահովում է շատ լավ անվտանգություն: EAP-TTLS-ի նման, որը պահանջում է միայն սերվերի կողմից վկայական
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS-ից հետո սա երկրորդ լայնորեն կիրառվող ստանդարտն է աշխարհում: Օգտագործված հաճախորդ-սերվեր հարաբերություններ Microsoft-ում, Cisco-ում, Apple-ում, Linux-ում
- PEAPv1/EAP-GTC - Ստեղծվել է Cisco-ի կողմից՝ որպես PEAPv0/EAP-MSCHAPv2-ի այլընտրանք: Ոչ մի կերպ չի պաշտպանում նույնականացման տվյալները: Windows OS-ում չի աջակցվում
- EAP-FAST-ը Cisco-ի կողմից մշակված տեխնիկա է՝ LEAP-ի թերությունները շտկելու համար: Օգտագործում է պաշտպանված մուտքի վկայականը (PAC): Ամբողջովին անավարտ
Այս ամբողջ բազմազանությունից ընտրությունը դեռ մեծ չէ։ Պահանջվում էր նույնականացման մեթոդ՝ լավ անվտանգություն, աջակցություն բոլոր սարքերում (Windows 10, macOS, Linux, Android, iOS) և, փաստորեն, որքան պարզ, այնքան լավ: Հետեւաբար, ընտրությունը ընկավ EAP-TTLS-ի վրա՝ ԲՀԿ արձանագրության հետ համատեղ:
Հարց կարող է առաջանալ՝ ինչո՞ւ օգտվել ԲՀԿ-ից։ քանի որ նա փոխանցում է գաղտնաբառերը պարզ.
Այո դա ճիշտ է. FreeRadius-ի և FreeIPA-ի միջև հաղորդակցությունը տեղի կունենա այս կերպ: Վրիպազերծման ռեժիմում կարող եք հետևել, թե ինչպես են ուղարկվում օգտվողի անունը և գաղտնաբառը: Այո, և թող գնան, միայն դուք ունեք մուտք դեպի FreeRadius սերվեր:
Դուք կարող եք ավելին կարդալ EAP-TTLS-ի աշխատանքի մասին
FreeRADIUS
FreeRadius-ը կբարձրացվի CentOS 7.6-ում: Այստեղ ոչ մի բարդ բան չկա, մենք այն սովորական ձևով ենք դրել։
yum install freeradius freeradius-utils freeradius-ldap -y
Փաթեթներից տեղադրված է 3.0.13 տարբերակը։ Վերջինս կարելի է վերցնել
Դրանից հետո FreeRadius-ն արդեն աշխատում է։ Դուք կարող եք հանել տողը /etc/raddb/users-ում
steve Cleartext-Password := "testing"
Գործարկեք սերվերը վրիպազերծման ռեժիմում
freeradius -X
Եվ կատարեք թեստային կապ localhost-ից
radtest steve testing 127.0.0.1 1812 testing123
Պատասխան ստացա Ստացել է Access-Accept Id 115 127.0.0.1:1812-ից մինչև 127.0.0.1:56081 երկարությունը 20, դա նշանակում է, որ ամեն ինչ կարգին է: Շարունակիր.
Մենք միացնում ենք մոդուլը լադապ.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Եվ մենք անմիջապես կփոխենք այն: Մեզ պետք է FreeRadius, որպեսզի կարողանանք մուտք գործել FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...
Վերագործարկեք շառավիղի սերվերը և ստուգեք LDAP օգտվողների համաժամացումը.
radtest user_ldap password_ldap localhost 1812 testing123
Eap in-ի խմբագրում mods-enabled/eap
Այստեղ մենք ավելացնում ենք eap-ի երկու օրինակ: Դրանք կտարբերվեն միայն վկայագրերով և բանալիներով: Ստորև կբացատրեմ, թե ինչու է այդպես։
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
Հետագա խմբագրում կայքի միացված/կանխադրված. Հետաքրքրություն են ներկայացնում լիազորել և վավերացնել բաժինները:
կայքի միացված/կանխադրված
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}
Լիազորման բաժնում մենք հեռացնում ենք բոլոր մոդուլները, որոնք մեզ պետք չեն: Մենք թողնում ենք միայն ldap: Ավելացրեք հաճախորդի հաստատում օգտանունով: Այդ իսկ պատճառով մենք վերևում ավելացրել ենք eap-ի երկու օրինակ:
Multi EAPՓաստն այն է, որ որոշ սարքեր միացնելիս մենք կօգտագործենք համակարգի վկայագրերը և կսահմանենք տիրույթը: Մենք ունենք վկայագիր և բանալի վստահելի հավաստագրման մարմնից: Անձամբ, իմ կարծիքով, նման միացման ընթացակարգն ավելի հեշտ է, քան յուրաքանչյուր սարքի վրա ինքնաստորագրված վկայական գցելը։ Բայց նույնիսկ առանց ինքնաստորագրված վկայականների, դա այդպես էլ չստացվեց։ Samsung սարքերը և Android =< 6 տարբերակները չեն կարող օգտագործել համակարգի վկայագրերը: Հետևաբար, մենք նրանց համար ստեղծում ենք eap-guest-ի առանձին օրինակ՝ ինքնաստորագրված վկայականներով։ Բոլոր մյուս սարքերի համար մենք կօգտագործենք eap-client-ը վստահելի վկայականով: Օգտատիրոջ անունը որոշվում է Անանուն դաշտով, երբ սարքը միացված է: Թույլատրվում է ընդամենը 3 արժեք՝ Հյուր, Հաճախորդ և դատարկ դաշտ: Մնացած ամեն ինչ անտեսված է: Այն կկարգավորվի քաղաքական գործիչների մեջ։ Քիչ հետո օրինակ բերեմ.
Եկեք խմբագրենք լիազորման և իսկորոշման բաժինները կայքի միացված/ներքին թունել
կայքի միացված/ներքին թունել
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}
Հաջորդը, դուք պետք է նշեք քաղաքականության մեջ, թե որ անունները կարող են օգտագործվել անանուն մուտքի համար: Խմբագրում Policy.d/filter.
Դուք պետք է գտնեք նման տողեր.
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Եվ ստորև էլսիֆում ավելացրեք ցանկալի արժեքները.
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Այժմ մենք պետք է տեղափոխվենք գրացուցակ սերտիֆիկատներ. Այստեղ դուք պետք է դնեք բանալին և վկայականը վստահելի սերտիֆիկատի մարմնից, որը մենք արդեն ունենք և պետք է ստեղծենք ինքնստորագրված վկայականներ eap-guest-ի համար:
Փոխեք պարամետրերը ֆայլում ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"
Մենք նույն արժեքները գրում ենք ֆայլում server.cnf. Մենք փոխվում ենք միայն
ընդհանուր անուն:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"
Ստեղծել.
make
Պատրաստ. Ստացել է server.crt и server.key վերևում մենք արդեն գրանցվել ենք eap-guest-ում։
Եվ վերջապես, եկեք ֆայլին ավելացնենք մեր մուտքի կետերը հաճախորդ. Ես ունեմ դրանցից 7-ը, որպեսզի յուրաքանչյուր կետ առանձին չավելացնենք, մենք կգրենք միայն այն ցանցը, որտեղ դրանք գտնվում են (իմ մուտքի կետերը առանձին VLAN-ում են):
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}
Ubiquiti վերահսկիչ
Մենք բարձրացնում ենք առանձին ցանց վերահսկիչի վրա: Թող լինի 192.168.2.0/24
Գնացեք կարգավորումներ -> պրոֆիլ: Մենք ստեղծում ենք նորը.
Մենք գրում ենք շառավիղի սերվերի հասցեն և պորտը և ֆայլում գրված գաղտնաբառը clients.conf:
Ստեղծեք նոր անլար ցանցի անուն: Ընտրեք WPA-EAP (Ձեռնարկություն) որպես նույնականացման մեթոդ և նշեք ստեղծված շառավիղի պրոֆիլը.
Մենք խնայում ենք ամեն ինչ, դիմում ենք և առաջ ենք գնում։
Հաճախորդների տեղադրում
Սկսենք ամենադժվարից:
Windows 10
Դժվարությունը պայմանավորված է նրանով, որ Windows-ը դեռ չգիտի, թե ինչպես միանալ կորպորատիվ WiFi-ին տիրույթի միջոցով: Հետևաբար, մենք պետք է ձեռքով վերբեռնենք մեր վկայականը վստահելի վկայագրերի խանութում: Այստեղ դուք կարող եք օգտագործել ինչպես ինքնաստորագրված, այնպես էլ սերտիֆիկացման մարմնից: Ես կօգտագործեմ երկրորդը.
Հաջորդը, դուք պետք է ստեղծեք նոր կապ: Դա անելու համար անցեք ցանցի և ինտերնետի կարգավորումներ -> Ցանց և համօգտագործման կենտրոն -> Ստեղծեք և կազմաձևեք նոր կապ կամ ցանց.
Ձեռքով մուտքագրեք ցանցի անունը և փոխեք անվտանգության տեսակը: Այն բանից հետո, երբ մենք սեղմում ենք փոխել կապի կարգավորումները և Անվտանգություն ներդիրում ընտրեք ցանցի վավերացում՝ EAP-TTLS:
Մենք անցնում ենք պարամետրերին, սահմանում ենք իսկության գաղտնիությունը. հաճախորդ. Որպես հավաստագրման վստահված մարմին՝ ընտրեք մեր ավելացրած վկայագիրը, նշեք «Մի թողարկեք հրավեր օգտվողին, եթե սերվերը չի կարող լիազորված լինել» վանդակը և ընտրեք նույնականացման եղանակը՝ չգաղտնագրված գաղտնաբառ (PAP):
Հաջորդը, անցեք առաջադեմ կարգավորումներ, նշեք «Նշեք նույնականացման ռեժիմը»: Ընտրեք «User Authentication» և սեղմեք պահպանել հավատարմագրերը. Այստեղ դուք պետք է մուտքագրեք username_ldap և password_ldap
Մենք խնայում ենք ամեն ինչ, դիմում, փակում: Դուք կարող եք միանալ նոր ցանցին:
Linux
Ես փորձարկել եմ Ubuntu 18.04, 18.10, Fedora 29, 30:
Նախ, եկեք ներբեռնենք մեր վկայականը: Ես Linux-ում չգտա՝ հնարավո՞ր է համակարգային սերտիֆիկատներ օգտագործել և ընդհանրապես կա՞ նման խանութ։
Եկեք միանանք տիրույթին։ Հետևաբար, մեզ անհրաժեշտ է վկայագիր սերտիֆիկացման մարմնից, որտեղից գնվել է մեր վկայականը:
Բոլոր միացումները կատարվում են մեկ պատուհանում։ Ընտրելով մեր ցանցը.
անանուն-հաճախորդ
տիրույթ - տիրույթ, որի համար տրվում է վկայագիրը
Android
ոչ Samsung
7 տարբերակից WiFi-ը միացնելիս կարող եք օգտագործել համակարգի վկայականները՝ նշելով միայն տիրույթը.
տիրույթ - տիրույթ, որի համար տրվում է վկայագիրը
անանուն-հաճախորդ
Samsung
Ինչպես վերևում գրեցի, Samsung-ի սարքերը չգիտեն, թե ինչպես օգտագործել համակարգի վկայականները WiFi-ին միանալիս և չունեն տիրույթի միջոցով միանալու հնարավորություն։ Հետևաբար, դուք պետք է ձեռքով ավելացնեք սերտիֆիկացման մարմնի արմատային վկայագիրը (ca.pem, մենք այն վերցնում ենք Radius սերվերում): Ահա թե որտեղ է օգտագործվելու ինքնաստորագրումը։
Ներբեռնեք վկայագիրը ձեր սարքում և տեղադրեք այն:
Վկայագրի տեղադրում
Միևնույն ժամանակ, դուք պետք է սահմանեք էկրանի ապակողպման նախշը, փին կոդը կամ գաղտնաբառը, եթե այն արդեն սահմանված չէ.
Ցույց տվեցի սերտիֆիկատի տեղադրման բարդ տարբերակը։ Շատ սարքերում պարզապես սեղմեք ներբեռնված վկայագրի վրա:
Երբ սերտիֆիկատը տեղադրվի, կարող եք անցնել միացմանը՝
վկայագիր - նշեք այն, որը տեղադրված է
անանուն օգտվող - հյուր
MacOS
Apple սարքերը տուփից դուրս կարող են միանալ միայն EAP-TLS-ին, բայց դուք դեռ պետք է վկայական գցեք դրանց վրա: Կապի այլ եղանակ նշելու համար դուք պետք է օգտագործեք Apple Configurator 2: Համապատասխանաբար, նախ պետք է ներբեռնեք այն ձեր Mac-ում, ստեղծեք նոր պրոֆիլ և ավելացնեք WiFi-ի բոլոր անհրաժեշտ կարգավորումները:
Apple կոնֆիգուրատոր
Մուտքագրեք ձեր ցանցի անունը այստեղ
Անվտանգության տեսակը - WPA2 ձեռնարկություն
Ընդունված EAP տեսակները - TTLS
Օգտվողի անուն և գաղտնաբառ - թողեք դատարկ
Ներքին վավերացում - PAP
Արտաքին ինքնություն-հաճախորդ
Վստահության ներդիր: Այստեղ մենք նշում ենք մեր տիրույթը
Բոլորը. Պրոֆիլը կարող է պահպանվել, ստորագրվել և բաշխվել սարքերին
Այն բանից հետո, երբ պրոֆիլը պատրաստ է, դուք պետք է ներբեռնեք այն կակաչ և տեղադրեք այն: Տեղադրման գործընթացում դուք պետք է նշեք օգտվողի usernmae_ldap և password_ldap.
iOS
Գործընթացը նման է macOS-ին: Դուք պետք է օգտագործեք պրոֆիլը (կարող եք օգտագործել նույնը, ինչ macOS-ի համար: Ինչպես ստեղծել պրոֆիլ Apple Configurator-ում, տես վերևում):
Ներբեռնեք պրոֆիլը, տեղադրեք, մուտքագրեք հավատարմագրերը, միացեք.
Այսքանը: Մենք ստեղծեցինք Radius սերվեր, համաժամացրինք այն FreeIPA-ի հետ և Ubiquiti ԱԵԱ-ներին ասացինք օգտագործել WPA2-EAP:
Հնարավոր հարցեր
IN: ինչպես փոխանցել պրոֆիլը/վկայականը աշխատակցին:
Մասին: Ես պահում եմ բոլոր վկայականները/պրոֆիլները ftp-ում՝ վեբ հասանելիությամբ: Բարձրացրեց հյուրերի ցանցը արագության սահմանափակմամբ և միայն ինտերնետին հասանելիությամբ, բացառությամբ ftp-ի:
Նույնականացումը տևում է 2 օր, որից հետո այն վերականգնվում է, և հաճախորդը մնում է առանց ինտերնետի: Դա. երբ աշխատակիցը ցանկանում է միանալ WiFi-ին, նա սկզբում միանում է հյուրի ցանցին, մուտք է գործում FTP, ներբեռնում է իրեն անհրաժեշտ վկայականը կամ պրոֆիլը, տեղադրում այն, այնուհետև կարող է միանալ կորպորատիվ ցանցին:
IN: ինչու չօգտագործել սխեման MSCHAPv2-ով: Նա ավելի ապահով է:
Մասին: Նախ, նման սխեման լավ է աշխատում NPS-ի վրա (Windows Network Policy System), մեր իրականացման ընթացքում անհրաժեշտ է լրացուցիչ կարգավորել LDAP-ը (FreeIpa) և պահպանել գաղտնաբառի հեշերը սերվերում: Ավելացնել. ցանկալի չէ կարգավորումներ կատարել, քանի որ. դա կարող է հանգեցնել ուլտրաձայնի համաժամացման տարբեր խնդիրների: Երկրորդ, հեշը MD4 է, ուստի այն մեծ անվտանգություն չի ավելացնում:
IN: հնարավո՞ր է սարքերը թույլատրել mac-հասցեներով:
Մասին: ՈՉ, սա անվտանգ չէ, հարձակվողը կարող է փոխել MAC հասցեները, և առավել ևս, MAC հասցեների կողմից թույլտվությունը չի ապահովվում շատ սարքերում
IN: ի՞նչ օգտագործել այս բոլոր վկայականները: կարո՞ղ եք միանալ առանց նրանց
Մասին: սերտիֆիկատներն օգտագործվում են սերվերին լիազորելու համար: Նրանք. միանալիս սարքը ստուգում է՝ արդյոք դա սերվեր է, որին կարելի է վստահել, թե ոչ։ Եթե այդպես է, ապա նույնականացումը շարունակվում է, եթե ոչ՝ կապը փակ է։ Դուք կարող եք միանալ առանց վկայագրերի, բայց եթե հարձակվողը կամ հարևանը տանը ստեղծի շառավղային սերվեր և մուտքի կետ նույն անունով, ինչ մերն է, նա հեշտությամբ կարող է գաղտնալսել օգտատիրոջ հավատարմագրերը (մի մոռացեք, որ դրանք փոխանցվում են հստակ տեքստով): Եվ երբ սերտիֆիկատ է օգտագործվում, թշնամին իր տեղեկամատյաններում կտեսնի միայն մեր մտացածին Օգտվողի անունը՝ հյուր կամ հաճախորդ, և տիպային սխալ՝ Անհայտ CA վկայական։
մի փոքր ավելին macOS-ի մասինՍովորաբար macOS-ում համակարգի վերատեղադրումը կատարվում է ինտերնետի միջոցով։ Վերականգնման ռեժիմում Mac-ը պետք է միացված լինի WiFi-ին, և ոչ մեր կորպորատիվ WiFi-ը, ոչ հյուրերի ցանցը այստեղ չեն աշխատի: Անձամբ ես բարձրացրեցի մեկ այլ ցանց, սովորական WPA2-PSK, թաքնված, միայն տեխնիկական գործողությունների համար: Կամ դուք դեռ կարող եք համակարգով նախապես ստեղծել bootable USB ֆլեշ կրիչ: Բայց եթե կակաչը 2015 թվականից հետո է, դուք դեռ պետք է ադապտեր գտնեք այս ֆլեշ կրիչի համար)
Source: www.habr.com