WiFiエンタープライズ。 FreeRadius + FreeIPA + ユビキティ

企業 WiFi を整理する例をいくつかすでに説明しました。 ここでは、同様のソリューションをどのように実装したか、およびさまざまなデバイスで接続するときに直面しなければならなかった問題について説明します。 登録済みユーザーには既存の LDAP を使用し、FreeRadius を上げ、Ubnt コントローラーで WPA2-Enterprise を構成します。 すべてがシンプルなようです。 見てみましょう…

EAP メソッドについて少し

タスクを進める前に、ソリューションでどの認証方法を使用するかを決定する必要があります。

ウィキペディアから：

EAP は、ワイヤレス ネットワークやポイントツーポイント接続でよく使用される認証フレームワークです。 この形式は最初に RFC 3748 で説明され、RFC 5247 で更新されました。
EAP は、認証方法を選択し、キーを渡し、EAP メソッドと呼ばれるプラグインでそれらのキーを処理するために使用されます。 EAP メソッドは多数あり、どちらも EAP 自体で定義されているものと、個々のベンダーによってリリースされています。 EAP はリンク層を定義せず、メッセージ形式のみを定義します。 EAP を使用する各プロトコルには、独自の EAP メッセージ カプセル化プロトコルがあります。

メソッド自体:

• LEAP は、CISCO によって開発された独自のプロトコルです。 脆弱性が見つかりました。 現時点では使用は推奨されていません
• EAP-TLS はワイヤレス ベンダー間で十分にサポートされています。 これは SSL 標準の後継プロトコルであるため、安全なプロトコルです。 クライアントの設定は非常に複雑です。 パスワードに加えてクライアント証明書が必要です。 多くのシステムでサポートされています
• EAP-TTLS - 多くのシステムで広くサポートされており、認証サーバー上でのみ PKI 証明書を使用することで優れたセキュリティを提供します
• EAP-MD5 もオープン スタンダードです。 最小限のセキュリティを提供します。 脆弱性があり、相互認証と鍵生成をサポートしていません
• EAP-IKEv2 - インターネット キー交換プロトコル バージョン 2 に基づいています。クライアントとサーバー間の相互認証とセッション キーの確立を提供します。
• PEAP は、CISCO、Microsoft、RSA Security の共同ソリューションであり、オープン スタンダードです。 製品で広く入手可能であり、非常に優れたセキュリティを提供します。 EAP-TTLS と同様、サーバー側の証明書のみが必要です
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS に次いで、世界で XNUMX 番目に広く使用されている標準です。 Microsoft、Cisco、Apple、Linux で使用されるクライアント/サーバー関係
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 の代替として Cisco によって作成されました。 認証データはいかなる方法でも保護されません。 Windows OSではサポートされていません
• EAP-FAST は、LEAP の欠点を修正するために Cisco が開発した技術です。 Protected Access Credential (PAC) を使用します。 完全に未完成

このような多様性の中で、選択肢はまだ多くありません。 認証方法には、優れたセキュリティ、すべてのデバイス (Windows 10、macOS、Linux、Android、iOS) でのサポートが必要であり、実際、シンプルであるほど優れています。 したがって、選択は PAP プロトコルと組み合わせた EAP-TTLS に決まりました。
なぜ PAP を使用するのでしょうか?という疑問が生じるかもしれません。 彼はパスワードを平文で送信するからですか？

はい、そうです。 FreeRadius と FreeIPA 間の通信はこのようにして行われます。 デバッグ モードでは、ユーザー名とパスワードがどのように送信されるかを追跡できます。 はい、彼らを解放してください。FreeRadius サーバーにアクセスできるのはあなただけです。

EAP-TTLS の取り組みについて詳しく読むことができます。 ここで

フリーラジアス

FreeRadius は CentOS 7.6 で提供されます。 ここでは複雑なことは何もなく、通常の方法で設定します。

yum install freeradius freeradius-utils freeradius-ldap -y

バージョン 3.0.13 はパッケージからインストールされます。 後者は取れるよ https://freeradius.org/

その後、FreeRadius はすでに動作しています。 /etc/raddb/users 内の行のコメントを解除できます。

steve   Cleartext-Password := "testing"

デバッグモードでサーバーを起動します

freeradius -X

そしてローカルホストからテスト接続を行います

radtest steve testing 127.0.0.1 1812 testing123

答えが出ました 115:127.0.0.1 から 1812:127.0.0.1 までの Access-Accept Id 56081 を受信しました、長さ 20、すべてOKという意味です。 どうぞ。

モジュールを接続します LDAP.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

そして、すぐに変更します。 FreeIPA にアクセスするには FreeRadius が必要です

MOD有効/LDAP

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

RADIUS サーバーを再起動し、LDAP ユーザーの同期を確認します。

radtest user_ldap password_ldap localhost 1812 testing123

EAP を編集中 MOD有効/EAP
ここでは、eap の XNUMX つのインスタンスを追加します。 それらは証明書とキーのみが異なります。 その理由を以下に説明します。

MOD有効/EAP

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

さらなる編集 サイト有効/デフォルト。 authorize セクションとauthenticate セクションが重要です。

サイト有効/デフォルト

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

authorize セクションでは、不要なモジュールをすべて削除します。 LDAP だけを残します。 ユーザー名によるクライアント検証を追加します。 そのため、上記に eap の XNUMX つのインスタンスを追加しました。

マルチ EAP実際、一部のデバイスを接続するときは、システム証明書を使用し、ドメインを指定します。 信頼できる認証局からの証明書とキーを持っています。 個人的には、このような接続手順は、各デバイスに自己署名証明書を投入するよりも簡単だと思います。 しかし、自己署名証明書がなくても、それでもうまくいきませんでした。 Samsung デバイスおよび Android =< 6 バージョンでは、システム証明書を使用できません。 したがって、自己署名証明書を使用して、eap-guest の別のインスタンスを作成します。 他のすべてのデバイスについては、信頼された証明書を持つ eap-client を使用します。 ユーザー名は、デバイスの接続時に匿名フィールドによって決定されます。 ゲスト、クライアント、空のフィールドの 3 つの値のみが許可されます。 それ以外はすべて破棄されます。 それは政治家で構成されます。 少し後で例を挙げます。

の authorize セクションとauthenticate セクションを編集してみましょう。 サイト対応/内部トンネル

サイト対応/内部トンネル

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

次に、匿名ログインに使用できる名前をポリシーで指定する必要があります。 編集 ポリシー.d/フィルター.

次のような行を見つける必要があります。

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

そして、以下の elsif に必要な値を追加します。

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

次に、ディレクトリに移動する必要があります 証明書。 ここでは、信頼できる認証局からのキーと証明書を入力する必要があります。この認証局はすでに持っており、eap-guest の自己署名証明書を生成する必要があります。

ファイル内のパラメータを変更する ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

同じ値をファイルに書き込みます サーバー.cnf。 私たちはただ変えるだけ
一般名:

サーバー.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

作成する：

make

準備ができて。 受け取った サーバー.crt и サーバーキー 上記で eap-guest に登録済みです。

最後に、アクセス ポイントをファイルに追加しましょう client.conf。 7 つありますが、各ポイントを個別に追加しないように、それらが配置されているネットワークのみを記述します (アクセス ポイントは別の VLAN にあります)。

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

ユビキティコントローラー

コントローラー上に別のネットワークを構築します。 192.168.2.0/24 とします。
設定 -> プロフィールに移動します。 新しいものを作成します。

ファイルに書き込んだRADIUSサーバーのアドレスとポート、パスワードを書きます クライアント.conf:

新しいワイヤレスネットワーク名を作成します。 認証方法として WPA-EAP (エンタープライズ) を選択し、作成した RADIUS プロファイルを指定します。

すべてを保存し、適用して次に進みます。

クライアントのセットアップ

最も難しいことから始めましょう!

Windows 10

問題は、Windows がドメイン経由で企業 WiFi に接続する方法をまだ知らないという事実に帰着します。 したがって、証明書を信頼できる証明書ストアに手動でアップロードする必要があります。 ここでは、自己署名と証明機関からの署名の両方を使用できます。 XNUMX本目を使います。

次に、新しい接続を作成する必要があります。 これを行うには、[ネットワークとインターネットの設定] -> [ネットワークと共有センター] -> [新しい接続またはネットワークを作成して構成] に移動します。

ネットワーク名を手動で入力し、セキュリティの種類を変更します。 クリックした後 接続設定を変更する [セキュリティ] タブで、ネットワーク認証 - EAP-TTLS を選択します。

パラメータを検討し、認証の機密性を規定します。 クライアント。 信頼できる証明機関として、追加した証明書を選択し、「サーバーを認証できない場合はユーザーに招待を発行しない」チェックボックスをオンにして、認証方法として暗号化されていないパスワード (PAP) を選択します。

次に、詳細設定に移動し、「認証モードを指定する」にチェックを入れます。 「ユーザー認証」を選択し、 をクリックします。 認証情報を保存する。 ここでusername_ldapとpassword_ldapを入力する必要があります。

すべてを保存し、適用して、閉じます。 新しいネットワークに接続できます。

Linux

Ubuntu 18.04、18.10、Fedora 29、30でテストしました。

まず、証明書をダウンロードしましょう。 Linux ではシステム証明書を使用できるかどうか、またそのようなストアがあるかどうかは見つかりませんでした。

ドメインに接続してみましょう。 したがって、証明書を購入した認証局からの証明書が必要です。

すべての接続は XNUMX つのウィンドウで行われます。 ネットワークの選択:

匿名クライアント
ドメイン - 証明書が発行されるドメイン

Android

サムスン以外の

バージョン 7 以降、WiFi に接続するときに、ドメインのみを指定してシステム証明書を使用できるようになりました。

ドメイン - 証明書が発行されるドメイン
匿名クライアント

サムスン

上で書いたように、Samsung デバイスは WiFi に接続するときにシステム証明書を使用する方法を知りません。また、ドメイン経由で接続する機能もありません。 したがって、認証局のルート証明書 (ca.pem、Radius サーバー上で取得します) を手動で追加する必要があります。 ここで自己署名が使用されます。

証明書をデバイスにダウンロードしてインストールします。

証明書のインストール







同時に、画面のロック解除パターン、PIN コード、またはパスワードを設定する必要があります (まだ設定されていない場合)。

証明書のインストールの複雑なバージョンを示しました。 ほとんどのデバイスでは、ダウンロードした証明書をクリックするだけです。

証明書がインストールされたら、接続に進むことができます。

証明書 - インストールされたものを示します
匿名ユーザー - ゲスト

macOS

Apple デバイスはそのままでは EAP-TLS にのみ接続できますが、それでも証明書をスローする必要があります。 別の接続方法を指定するには、Apple Configurator 2 を使用する必要があります。したがって、最初に Apple Configurator XNUMX を Mac にダウンロードし、新しいプロファイルを作成して、必要なすべての WiFi 設定を追加する必要があります。

Apple Configurator



ここにネットワーク名を入力してください
セキュリティの種類 - WPA2 エンタープライズ
受け入れられる EAP タイプ - TTLS
ユーザー名とパスワード - 空のままにしておきます
内部認証 - PAP
外部アイデンティティクライアント

「信頼」タブ。 ここでドメインを指定します

全て。 プロファイルの保存、署名、デバイスへの配布が可能

プロファイルの準備ができたら、それをポピーにダウンロードしてインストールする必要があります。 インストールプロセス中に、ユーザーの usernmae_ldap と passwd_ldap を指定する必要があります。

iOS

このプロセスは macOS と似ています。 プロファイルを使用する必要があります (macOS の場合と同じものを使用できます。Apple Configurator でプロファイルを作成する方法については、上記を参照してください)。

プロファイルをダウンロードし、インストールし、資格情報を入力して接続します。

それだけです。 Radius サーバーをセットアップし、FreeIPA と同期し、Ubiquiti AP に WPA2-EAP を使用するように指示しました。

考えられる質問

で： プロファイル/証明書を従業員に転送するにはどうすればよいですか?

について： すべての証明書/プロファイルを Web アクセスを使用して FTP に保存します。 速度制限を設け、ftp を除いてインターネットのみにアクセスするゲスト ネットワークを構築しました。
認証は 2 日間続き、その後リセットされ、クライアントはインターネットなしのままになります。 それ。 従業員が WiFi に接続したい場合、まずゲスト ネットワークに接続し、FTP にアクセスし、必要な証明書またはプロファイルをダウンロードしてインストールすると、企業ネットワークに接続できるようになります。

で： MSCHAPv2 でスキーマを使用しないのはなぜですか? 彼女の方が安全だよ！

について： まず、このようなスキームは NPS (Windows ネットワーク ポリシー システム) でうまく機能しますが、私たちの実装では、追加で LDAP (FreeIpa) を構成し、サーバーにパスワード ハッシュを保存する必要があります。 追加。 設定を行うことはお勧めできません。 これにより、超音波の同期に関するさまざまな問題が発生する可能性があります。 次に、ハッシュは MD4 であるため、セキュリティはあまり強化されません。

で： MAC アドレスでデバイスを認証することはできますか?

について： いいえ、これは安全ではありません。攻撃者が MAC アドレスを変更する可能性があり、さらに多くのデバイスでは MAC アドレスによる認証がサポートされていません。

で： これらすべての証明書は一般的に何を使用すればよいのでしょうか? 彼らなしで参加できますか？

について： 証明書はサーバーを認証するために使用されます。 それらの。 接続時に、デバイスは信頼できるサーバーかどうかを確認します。 そうである場合は認証が続行され、そうでない場合は接続が閉じられます。 証明書なしで接続することはできますが、攻撃者または隣人が自宅と同じ名前の RADIUS サーバーとアクセス ポイントをセットアップすると、ユーザーの資格情報を簡単に傍受できます (資格情報はクリア テキストで送信されることを忘れないでください)。 そして、証明書が使用されると、敵のログには、架空のユーザー名 (ゲストまたはクライアント) とタイプ エラー (不明な CA 証明書) だけが表示されます。

macOS についてもう少し詳しく通常、macOS では、システムの再インストールはインターネット経由で行われます。 リカバリ モードでは、Mac を WiFi に接続する必要があり、社内 WiFi もゲスト ネットワークもここでは機能しません。 個人的には、技術的な操作のみを目的として、別のネットワーク (通常の WPA2-PSK) を非表示にしました。 または、事前にシステムで起動可能な USB フラッシュ ドライブを作成することもできます。 ただし、ポピーが 2015 年以降の場合は、このフラッシュ ドライブ用のアダプターを見つける必要があります)

出所： habr.com