WiFi საწარმო. FreeRadius + FreeIPA + Ubiquiti

კორპორატიული WiFi-ს ორგანიზების რამდენიმე მაგალითი უკვე აღწერილია. აქ მე აღვწერ, თუ როგორ განვახორციელე მსგავსი გადაწყვეტა და პრობლემები, რომელთა წინაშეც მომიწია სხვადასხვა მოწყობილობებზე დაკავშირებისას. ჩვენ გამოვიყენებთ არსებულ LDAP-ს რეგისტრირებულ მომხმარებლებთან ერთად, გავზრდით FreeRadius-ს და დავაკონფიგურირებთ WPA2-Enterprise-ს Ubnt კონტროლერზე. როგორც ჩანს, ყველაფერი მარტივია. Მოდი ვნახოთ…

ცოტა EAP მეთოდების შესახებ

სანამ დავალებას გავაგრძელებთ, უნდა გადავწყვიტოთ ავტორიზაციის რომელ მეთოდს გამოვიყენებთ ჩვენს გადაწყვეტაში.

ვიკიპედიიდან:

EAP არის ავთენტიფიკაციის ჩარჩო, რომელიც ხშირად გამოიყენება უკაბელო ქსელებში და წერტილამდე კავშირებში. ფორმატი პირველად აღწერილი იყო RFC 3748-ში და განახლდა RFC 5247-ში.
EAP გამოიყენება ავტორიზაციის მეთოდის შესარჩევად, გასაღებების გადასაცემად და ამ კლავიშების დასამუშავებლად დანამატებით, რომელსაც ეწოდება EAP მეთოდები. არსებობს მრავალი EAP მეთოდი, როგორც განსაზღვრული თავად EAP-ით და გამოშვებული ინდივიდუალური მომწოდებლების მიერ. EAP არ განსაზღვრავს ბმულის ფენას, ის მხოლოდ განსაზღვრავს შეტყობინების ფორმატს. თითოეულ პროტოკოლს, რომელიც იყენებს EAP-ს, აქვს საკუთარი EAP შეტყობინებების ინკაფსულაციის პროტოკოლი.

თავად მეთოდები:

• LEAP არის CISCO-ს მიერ შემუშავებული საკუთრების პროტოკოლი. აღმოჩენილი ხარვეზები. ამჟამად მისი გამოყენება არ არის რეკომენდებული
• EAP-TLS კარგად არის მხარდაჭერილი უკაბელო მომწოდებლებს შორის. ეს არის უსაფრთხო პროტოკოლი, რადგან ის არის SSL სტანდარტების მემკვიდრე. კლიენტის დაყენება საკმაოდ რთულია. პაროლის გარდა გჭირდებათ კლიენტის სერთიფიკატი. მხარდაჭერილია ბევრ სისტემაზე
• EAP-TTLS - ფართოდ არის მხარდაჭერილი ბევრ სისტემაზე, გთავაზობთ კარგ უსაფრთხოებას PKI სერთიფიკატების გამოყენებით მხოლოდ ავტორიზაციის სერვერზე
• EAP-MD5 კიდევ ერთი ღია სტანდარტია. გთავაზობთ მინიმალურ უსაფრთხოებას. დაუცველი, არ უჭერს მხარს ორმხრივ ავთენტიფიკაციას და გასაღების გენერირებას
• EAP-IKEv2 - დაფუძნებულია ინტერნეტ გასაღების გაცვლის პროტოკოლის 2 ვერსიაზე. უზრუნველყოფს ორმხრივ ავთენტიფიკაციას და სესიის კლავიშის დადგენას კლიენტსა და სერვერს შორის
• PEAP არის CISCO, Microsoft და RSA Security-ის ერთობლივი გადაწყვეტა, როგორც ღია სტანდარტი. ფართოდ ხელმისაწვდომია პროდუქტებში, უზრუნველყოფს ძალიან კარგ უსაფრთხოებას. EAP-TTLS-ის მსგავსად, რომელიც მოითხოვს მხოლოდ სერთიფიკატს სერვერის მხარეს
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS-ის შემდეგ, ეს არის მეორე ფართოდ გამოყენებული სტანდარტი მსოფლიოში. გამოყენებული კლიენტ-სერვერის ურთიერთობა Microsoft-ში, Cisco-ში, Apple-ში, Linux-ში
• PEAPv1/EAP-GTC - შექმნილია Cisco-ს მიერ, როგორც PEAPv0/EAP-MSCHAPv2-ის ალტერნატივა. არანაირად არ იცავს ავთენტიფიკაციის მონაცემებს. არ არის მხარდაჭერილი Windows OS-ზე
• EAP-FAST არის Cisco-ს მიერ შემუშავებული ტექნიკა LEAP-ის ხარვეზების გამოსასწორებლად. იყენებს დაცულ წვდომის სერთიფიკატს (PAC). სრულიად დაუმთავრებელი

მთელი ამ მრავალფეროვნებიდან არჩევანი ჯერ კიდევ არ არის დიდი. საჭირო იყო ავთენტიფიკაციის მეთოდი: კარგი უსაფრთხოება, მხარდაჭერა ყველა მოწყობილობაზე (Windows 10, macOS, Linux, Android, iOS) და, ფაქტობრივად, რაც უფრო მარტივია, მით უკეთესი. ამიტომ არჩევანი დაეცა EAP-TTLS-ზე PAP პროტოკოლთან ერთად.
შეიძლება გაჩნდეს კითხვა - რატომ გამოვიყენოთ PAP? იმიტომ რომ ის პაროლებს გარკვევით გადასცემს?

Დიახ ეს სწორია. FreeRadius-სა და FreeIPA-ს შორის კომუნიკაცია ამ გზით განხორციელდება. გამართვის რეჟიმში, შეგიძლიათ თვალყური ადევნოთ, თუ როგორ იგზავნება მომხმარებლის სახელი და პაროლი. დიახ, და გაუშვით ისინი, მხოლოდ თქვენ გაქვთ წვდომა FreeRadius სერვერზე.

შეგიძლიათ მეტი წაიკითხოთ EAP-TTLS-ის მუშაობის შესახებ აქ

თავისუფალი რადიუსი

FreeRadius გაიზრდება CentOS 7.6-ზე. აქ არაფერია რთული, ჩვენ ჩვეულ რეჟიმში დავაყენეთ.

yum install freeradius freeradius-utils freeradius-ldap -y

ვერსია 3.0.13 დაინსტალირებულია პაკეტებიდან. ამ უკანასკნელის აღება შესაძლებელია https://freeradius.org/

ამის შემდეგ FreeRadius უკვე მუშაობს. თქვენ შეგიძლიათ გააუქმოთ სტრიქონი /etc/raddb/users-ში

steve   Cleartext-Password := "testing"

სერვერზე გაშვება გამართვის რეჟიმში

freeradius -X

და გააკეთეთ სატესტო კავშირი ლოკალჰოსტიდან

radtest steve testing 127.0.0.1 1812 testing123

მიიღო პასუხი მიღებულია Access-Accept ID 115 127.0.0.1:1812-დან 127.0.0.1:56081-მდე სიგრძე 20, ეს ნიშნავს, რომ ყველაფერი რიგზეა. Განაგრძე.

ჩვენ ვუკავშირდებით მოდულს Ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

და ჩვენ მაშინვე შევცვლით. ჩვენ გვჭირდება FreeRadius, რომ შეგვეძლოს FreeIPA-ზე წვდომა

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

გადატვირთეთ რადიუსის სერვერი და შეამოწმეთ LDAP მომხმარებლების სინქრონიზაცია:

radtest user_ldap password_ldap localhost 1812 testing123

ეაპ-ში რედაქტირება mods-ჩართულია/eap
აქ დავამატებთ eap-ის ორ შემთხვევას. ისინი განსხვავდებიან მხოლოდ სერთიფიკატებში და გასაღებებში. ქვემოთ აგიხსნით, რატომ არის ეს ასე.

mods-ჩართულია/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

შემდგომი რედაქტირება საიტი ჩართულია/ნაგულისხმევი. ავტორიზაციისა და ავთენტიფიკაციის სექციები საინტერესოა.

საიტი ჩართულია/ნაგულისხმევი

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

ავტორიზაციის განყოფილებაში ჩვენ ვშლით ყველა მოდულს, რომელიც არ გვჭირდება. ჩვენ ვტოვებთ მხოლოდ ldap-ს. დაამატეთ კლიენტის დადასტურება მომხმარებლის სახელით. ამიტომ ზემოთ დავამატეთ eap-ის ორი შემთხვევა.

მრავალ EAPფაქტია, რომ ზოგიერთი მოწყობილობის დაკავშირებისას ჩვენ გამოვიყენებთ სისტემის სერთიფიკატებს და მივუთითებთ დომენს. ჩვენ გვაქვს სერტიფიკატი და გასაღები სანდო სერტიფიკატის ორგანოსგან. პირადად, ჩემი აზრით, ასეთი კავშირის პროცედურა უფრო ადვილია, ვიდრე თვით ხელმოწერილი სერთიფიკატის გადაყრა თითოეულ მოწყობილობაზე. მაგრამ თვით ხელმოწერილი სერთიფიკატების გარეშეც კი, მაინც არ გამოვიდა. Samsung მოწყობილობებსა და Android =< 6 ვერსიებს არ შეუძლიათ სისტემის სერთიფიკატების გამოყენება. ამიტომ, ჩვენ ვქმნით მათთვის ეაპ-სტუმრის ცალკეულ ინსტანციას თვითმოწერის სერტიფიკატებით. ყველა სხვა მოწყობილობისთვის ჩვენ გამოვიყენებთ eap-კლიენტს სანდო სერტიფიკატით. მომხმარებლის სახელი განისაზღვრება ანონიმური ველით, როდესაც მოწყობილობა დაკავშირებულია. დასაშვებია მხოლოდ 3 მნიშვნელობა: სტუმარი, კლიენტი და ცარიელი ველი. დანარჩენი ყველაფერი უგულებელყოფილია. ის კონფიგურირებული იქნება პოლიტიკოსებში. მაგალითს ცოტა მოგვიანებით მოვიყვან.

მოდით დაარედაქტიროთ ავტორიზაცია და ავთენტიფიკაცია სექციებში საიტი ჩართულია/შიდა გვირაბი

საიტი ჩართულია/შიდა გვირაბი

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

შემდეგი, თქვენ უნდა მიუთითოთ პოლიტიკაში, რომელი სახელების გამოყენება შეიძლება ანონიმური შესვლისთვის. რედაქტირება პოლიტიკა.d/filter.

თქვენ უნდა იპოვოთ მსგავსი ხაზები:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

და ქვემოთ elif-ში დაამატეთ სასურველი მნიშვნელობები:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ახლა ჩვენ უნდა გადავიდეთ დირექტორიაში სერთიფიკატები. აქ თქვენ უნდა დააყენოთ გასაღები და სერთიფიკატი სანდო სერტიფიკატის ორგანოსგან, რომელიც ჩვენ უკვე გვაქვს და უნდა გენერირება ხელმოწერილი სერთიფიკატები eap-სტუმრისთვის.

შეცვალეთ პარამეტრები ფაილში ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

ჩვენ ვწერთ იგივე მნიშვნელობებს ფაილში server.cnf. ჩვენ ვცვლით მხოლოდ
საერთო სახელი:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

Შექმნა:

make

მზადაა. მიღებული server.crt и სერვერი.გასაღები ზემოთ უკვე დავრეგისტრირდით eap-guest-ში.

და ბოლოს, მოდით დავამატოთ ჩვენი წვდომის წერტილები ფაილს კლიენტი. მე მაქვს 7. იმისათვის, რომ თითოეული წერტილი ცალ-ცალკე არ დავამატო, დავწერთ მხოლოდ იმ ქსელს, რომელშიც ისინი მდებარეობს (ჩემი წვდომის წერტილები ცალკე VLAN-შია).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti კონტროლერი

ჩვენ ვაყენებთ ცალკე ქსელს კონტროლერზე. ეს იყოს 192.168.2.0/24
გადადით პარამეტრებში -> პროფილი. ჩვენ ვქმნით ახალს:

ჩვენ ვწერთ რადიუსის სერვერის მისამართს და პორტს და პაროლს, რომელიც ჩაწერილი იყო ფაილში კლიენტები.conf:

შექმენით ახალი უკაბელო ქსელის სახელი. ავთენტიფიკაციის მეთოდად აირჩიეთ WPA-EAP (Enterprise) და მიუთითეთ შექმნილი რადიუსის პროფილი:

ჩვენ ყველაფერს ვზოგავთ, ვაცხადებთ და ვაგრძელებთ.

კლიენტების დაყენება

დავიწყოთ ყველაზე რთულით!

Windows 10

სირთულე მოდის იმით, რომ Windows-მა ჯერ არ იცის როგორ დაუკავშირდეს კორპორატიულ WiFi-ს დომენის საშუალებით. ამიტომ, ჩვენ ხელით უნდა ავტვირთოთ ჩვენი სერთიფიკატი სანდო სერტიფიკატების მაღაზიაში. აქ შეგიძლიათ გამოიყენოთ როგორც ხელმოწერილი, ასევე სერტიფიცირების ორგანოდან. მეორეს გამოვიყენებ.

შემდეგი, თქვენ უნდა შექმნათ ახალი კავშირი. ამისათვის გადადით ქსელისა და ინტერნეტის პარამეტრებში -> ქსელის და გაზიარების ცენტრი -> შექმენით და დააკონფიგურირეთ ახალი კავშირი ან ქსელი:

ხელით შეიყვანეთ ქსელის სახელი და შეცვალეთ უსაფრთხოების ტიპი. მას შემდეგ რაც დავაწკაპუნებთ შეცვალეთ კავშირის პარამეტრები და უსაფრთხოების ჩანართში აირჩიეთ ქსელის ავტორიზაცია - EAP-TTLS.

ჩვენ შევდივართ პარამეტრებში, ვწერთ ავთენტიფიკაციის კონფიდენციალურობას - კლიენტი. როგორც სანდო სერტიფიცირების ორგანო, აირჩიეთ ჩვენ მიერ დამატებული სერთიფიკატი, მონიშნეთ ველი „არ გასცეთ მოწვევა მომხმარებლისთვის, თუ სერვერის ავტორიზაცია შეუძლებელია“ და აირჩიეთ ავთენტიფიკაციის მეთოდი - დაუშიფრული პაროლი (PAP).

შემდეგი, გადადით გაფართოებულ პარამეტრებზე, დააწკაპუნეთ ღილაკზე "დააზუსტეთ ავტორიზაციის რეჟიმი". აირჩიეთ "მომხმარებლის ავთენტიფიკაცია" და დააწკაპუნეთ შეინახეთ რწმუნებათა სიგელები. აქ თქვენ უნდა შეიყვანოთ username_ldap და password_ldap

ჩვენ ვზოგავთ ყველაფერს, ვაცხადებთ, ვხურავთ. შეგიძლიათ დაუკავშირდეთ ახალ ქსელს.

Linux

მე გამოვცადე Ubuntu 18.04, 18.10, Fedora 29, 30.

პირველ რიგში, გადმოვწეროთ ჩვენი სერთიფიკატი. ლინუქსში ვერ ვიპოვე შესაძლებელია თუ არა სისტემის სერთიფიკატების გამოყენება და საერთოდ არის თუ არა ასეთი მაღაზია.

მოდით დავუკავშირდეთ დომენს. ამიტომ, ჩვენ გვჭირდება სერთიფიკატი სერტიფიცირების ორგანოსგან, საიდანაც ჩვენი სერთიფიკატი შეძენილია.

ყველა კავშირი ხდება ერთ ფანჯარაში. ჩვენი ქსელის არჩევა:

ანონიმ-კლიენტი
დომენი - დომენი, რომელზეც გაიცემა სერტიფიკატი

Android

არა სამსუნგი

7 ვერსიიდან, WiFi-ს დაკავშირებისას, შეგიძლიათ გამოიყენოთ სისტემის სერთიფიკატები მხოლოდ დომენის მითითებით:

დომენი - დომენი, რომელზეც გაიცემა სერტიფიკატი
ანონიმ-კლიენტი

Samsung

როგორც ზემოთ დავწერე, სამსუნგის მოწყობილობებმა არ იციან როგორ გამოიყენონ სისტემის სერთიფიკატები WiFi-თან დაკავშირებისას და არ აქვთ დომენის საშუალებით დაკავშირების შესაძლებლობა. ამიტომ, თქვენ ხელით უნდა დაამატოთ სერტიფიკაციის ორგანოს ძირეული სერტიფიკატი (ca.pem, ჩვენ მას Radius სერვერზე ვიღებთ). აი, სად იქნება გამოყენებული თვით-ხელმოწერა.

ჩამოტვირთეთ სერთიფიკატი თქვენს მოწყობილობაზე და დააინსტალირეთ.

სერთიფიკატის ინსტალაცია







ამავდროულად, თქვენ უნდა დააყენოთ ეკრანის განბლოკვის ნიმუში, პინის კოდი ან პაროლი, თუ ის უკვე არ არის დაყენებული:

მე ვაჩვენე სერთიფიკატის დაყენების რთული ვერსია. უმეტეს მოწყობილობებზე, უბრალოდ დააწკაპუნეთ გადმოწერილ სერთიფიკატზე.

როდესაც სერთიფიკატი დაინსტალირებულია, შეგიძლიათ გააგრძელოთ კავშირი:

სერთიფიკატი - მიუთითეთ ის, რომელიც დაინსტალირებულია
ანონიმური მომხმარებელი - სტუმარი

MacOS

Apple-ის მოწყობილობებს ყუთიდან შეუძლიათ მხოლოდ EAP-TLS-თან დაკავშირება, მაგრამ თქვენ მაინც გჭირდებათ მათზე სერთიფიკატის გაგზავნა. სხვა კავშირის მეთოდის დასაზუსტებლად, თქვენ უნდა გამოიყენოთ Apple Configurator 2. შესაბამისად, ჯერ უნდა ჩამოტვირთოთ ის თქვენს Mac-ზე, შექმნათ ახალი პროფილი და დაამატოთ ყველა საჭირო WiFi პარამეტრი.

Apple კონფიგურატორი



შეიყვანეთ თქვენი ქსელის სახელი აქ
უსაფრთხოების ტიპი - WPA2 Enterprise
მიღებული EAP ტიპები - TTLS
მომხმარებლის სახელი და პაროლი - დატოვეთ ცარიელი
შიდა ავთენტიფიკაცია - PAP
გარე იდენტობა-კლიენტი

ნდობის ჩანართი. აქ ჩვენ ვაზუსტებთ ჩვენს დომენს

ყველა. პროფილის შენახვა, ხელმოწერა და მოწყობილობებზე განაწილება შესაძლებელია

პროფილის მომზადების შემდეგ, თქვენ უნდა გადმოწეროთ იგი ყაყაჩოში და დააინსტალიროთ. ინსტალაციის პროცესში, თქვენ უნდა მიუთითოთ მომხმარებლის usernmae_ldap და password_ldap:

iOS

პროცესი macOS-ის მსგავსია. თქვენ უნდა გამოიყენოთ პროფილი (შეგიძლიათ გამოიყენოთ იგივე, რაც macOS-ისთვის. როგორ შევქმნათ პროფილი Apple Configurator-ში, იხილეთ ზემოთ).

ჩამოტვირთეთ პროფილი, დააინსტალირეთ, შეიყვანეთ რწმუნებათა სიგელები, დააკავშირეთ:

Სულ ეს არის. ჩვენ დავაყენეთ Radius სერვერი, სინქრონიზაცია მოვახდინეთ FreeIPA-სთან და ვუთხარით Ubiquiti AP-ებს, რომ გამოეყენებინათ WPA2-EAP.

შესაძლო კითხვები

In: როგორ გადავიტანო პროფილი/სერთიფიკატი თანამშრომელს?

შესახებ: მე ვინახავ ყველა სერთიფიკატს/პროფილს ftp-ზე ვებ წვდომით. გაზარდა სტუმრების ქსელი სიჩქარის ლიმიტით და მხოლოდ ინტერნეტზე წვდომით, ftp-ის გარდა.
ავთენტიფიკაცია გრძელდება 2 დღე, რის შემდეგაც იგი გადატვირთულია და კლიენტი რჩება ინტერნეტის გარეშე. რომ. როდესაც თანამშრომელს სურს WiFi-თან დაკავშირება, ის ჯერ უერთდება სტუმრების ქსელს, წვდება FTP-ს, ჩამოტვირთავს მისთვის საჭირო სერთიფიკატს ან პროფილს, დააინსტალირებს და შემდეგ შეუძლია კორპორატიულ ქსელთან დაკავშირება.

In: რატომ არ გამოიყენოთ სქემა MSCHAPv2-ით? ის უფრო უსაფრთხოა!

შესახებ: პირველ რიგში, ასეთი სქემა კარგად მუშაობს NPS-ზე (Windows Network Policy System), ჩვენი განხორციელებისას აუცილებელია დამატებით კონფიგურაცია LDAP (FreeIpa) და პაროლის ჰეშების შენახვა სერვერზე. დამატება. არ არის მიზანშეწონილი პარამეტრების გაკეთება, რადგან. ამან შეიძლება გამოიწვიოს ულტრაბგერის სინქრონიზაციის სხვადასხვა პრობლემები. მეორეც, ჰეში არის MD4, ასე რომ, ის დიდ უსაფრთხოებას არ მატებს.

In: შესაძლებელია მოწყობილობების ავტორიზაცია mac-მისამართებით?

შესახებ: არა, ეს არ არის უსაფრთხო, თავდამსხმელს შეუძლია შეცვალოს MAC მისამართები და მით უმეტეს, MAC მისამართების ავტორიზაცია არ არის მხარდაჭერილი ბევრ მოწყობილობაზე

In: რა არის ზოგადად ყველა ამ სერთიფიკატის გამოყენება? შეგიძლიათ შეუერთდეთ მათ გარეშე?

შესახებ: სერთიფიკატები გამოიყენება სერვერის ავტორიზაციისთვის. იმათ. დაკავშირებისას მოწყობილობა ამოწმებს არის თუ არა ის სერვერი, რომლის ნდობაც შეიძლება. თუ ასეა, მაშინ ავტორიზაცია გრძელდება, თუ არა, კავშირი დახურულია. თქვენ შეგიძლიათ დაუკავშირდეთ სერთიფიკატების გარეშე, მაგრამ თუ თავდამსხმელი ან მეზობელი დააყენებს რადიუსის სერვერს და წვდომის წერტილს იმავე სახელით, როგორც ჩვენი სახლში, მას შეუძლია ადვილად გადაჭრას მომხმარებლის რწმუნებათა სიგელები (არ უნდა დაგვავიწყდეს, რომ ისინი გადაცემულია მკაფიო ტექსტით). და როდესაც სერთიფიკატი გამოიყენება, მტერი თავის ჟურნალებში დაინახავს მხოლოდ ჩვენს ფიქტიურ მომხმარებლის სახელს - სტუმარი ან კლიენტი და ტიპის შეცდომა - უცნობი CA სერთიფიკატი.

ცოტა მეტი macOS-ის შესახებროგორც წესი, macOS-ზე სისტემის ხელახალი ინსტალაცია ხდება ინტერნეტის საშუალებით. აღდგენის რეჟიმში, Mac უნდა იყოს დაკავშირებული WiFi-თან და არც ჩვენი კორპორატიული WiFi და არც სტუმრების ქსელი აქ არ იმუშავებს. პირადად მე გავზარდე სხვა ქსელი, ჩვეულებრივი WPA2-PSK, დამალული, მხოლოდ ტექნიკური ოპერაციებისთვის. ან შეგიძლიათ წინასწარ გააკეთოთ ჩამტვირთავი USB ფლეშ დრაივი სისტემით. მაგრამ თუ ყაყაჩო არის 2015 წლის შემდეგ, თქვენ კვლავ უნდა იპოვოთ ადაპტერი ამ ფლეშ დრაივისთვის)

წყარო: www.habr.com