WiFi 엔터프라이즈. FreeRadius + FreeIPA + 유비쿼터스

기업 WiFi를 구성하는 몇 가지 예는 이미 설명되었습니다. 여기에서는 유사한 솔루션을 구현한 방법과 다른 장치에 연결할 때 직면해야 했던 문제에 대해 설명합니다. 등록된 사용자와 함께 기존 LDAP를 사용하고 FreeRadius를 높이고 Ubnt 컨트롤러에서 WPA2-Enterprise를 구성합니다. 모든 것이 간단한 것 같습니다. 보자…

EAP 방법에 대해 조금

작업을 진행하기 전에 솔루션에서 사용할 인증 방법을 결정해야 합니다.

위키 피 디아 출신 :

EAP는 무선 네트워크 및 지점 간 연결에 자주 사용되는 인증 프레임워크입니다. 형식은 RFC 3748에서 처음 설명되었고 RFC 5247에서 업데이트되었습니다.
EAP는 인증 방법을 선택하고, 키를 전달하고, EAP 방법이라는 플러그인을 사용하여 해당 키를 처리하는 데 사용됩니다. EAP 자체로 정의된 방법과 개별 공급업체에서 출시한 방법 모두 다양한 EAP 방법이 있습니다. EAP는 링크 계층을 정의하지 않고 메시지 형식만 정의합니다. EAP를 사용하는 각 프로토콜에는 고유한 EAP 메시지 캡슐화 프로토콜이 있습니다.

메소드 자체는 다음과 같습니다.

• LEAP은 CISCO에서 개발한 독점 프로토콜입니다. 취약점이 발견되었습니다. 현재는 사용하지 않는 것이 좋습니다.
• EAP-TLS는 무선 공급업체에서 잘 지원됩니다. SSL 표준의 후속 프로토콜이기 때문에 안전한 프로토콜입니다. 클라이언트 설정은 꽤 복잡합니다. 비밀번호 외에 클라이언트 인증서가 필요합니다. 많은 시스템에서 지원됨
• EAP-TTLS - 많은 시스템에서 널리 지원되며 인증 서버에서만 PKI 인증서를 사용하여 우수한 보안을 제공합니다.
• EAP-MD5는 또 다른 개방형 표준입니다. 최소한의 보안을 제공합니다. 취약하며 상호 인증 및 키 생성을 지원하지 않습니다.
• EAP-IKEv2 - 인터넷 키 교환 프로토콜(Internet Key Exchange Protocol) 버전 2를 기반으로 합니다. 클라이언트와 서버 간 상호 인증 및 세션 키 설정을 제공합니다.
• PEAP는 개방형 표준인 CISCO, Microsoft 및 RSA Security의 공동 솔루션입니다. 제품에서 널리 사용 가능하며 매우 우수한 보안을 제공합니다. EAP-TTLS와 유사하며 서버 측 인증서만 필요
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS 다음으로 세계에서 두 번째로 널리 사용되는 표준입니다. Microsoft, Cisco, Apple, Linux에서 클라이언트-서버 관계 사용
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2의 대안으로 Cisco에서 만들었습니다. 어떤 방식으로든 인증 데이터를 보호하지 않습니다. Windows OS에서는 지원되지 않습니다.
• EAP-FAST는 LEAP의 단점을 보완하기 위해 Cisco에서 개발한 기술입니다. PAC(보호 액세스 자격 증명)를 사용합니다. 완전히 미완성

이 모든 다양성 중에서 선택의 여지가 여전히 크지 않습니다. 인증 방법이 필요했습니다. 우수한 보안, 모든 장치(Windows 10, macOS, Linux, Android, iOS) 지원, 실제로 간단할수록 좋습니다. 따라서 PAP 프로토콜과 함께 EAP-TTLS를 선택했습니다.
질문이 발생할 수 있습니다. 왜 PAP를 사용합니까? 그가 비밀번호를 분명하게 전송했기 때문에?

네 맞습니다. FreeRadius와 FreeIPA 간의 통신은 이러한 방식으로 이루어집니다. 디버그 모드에서는 사용자 이름과 비밀번호가 어떻게 전송되는지 추적할 수 있습니다. 예, 그대로 놔두십시오. 귀하만이 FreeRadius 서버에 접근할 수 있습니다.

EAP-TTLS 작업에 대해 자세히 알아볼 수 있습니다. 여기에

FreeRADIUS

FreeRadius는 CentOS 7.6에서 증가합니다. 여기에는 복잡한 것이 없으며 일반적인 방식으로 설정합니다.

yum install freeradius freeradius-utils freeradius-ldap -y

버전 3.0.13이 패키지에서 설치됩니다. 후자를 택할 수 있다 https://freeradius.org/

그 후 FreeRadius는 이미 작동 중입니다. /etc/raddb/users에서 해당 줄의 주석 처리를 해제할 수 있습니다.

steve   Cleartext-Password := "testing"

디버그 모드에서 서버 시작

freeradius -X

그리고 localhost에서 테스트 연결을 만듭니다.

radtest steve testing 127.0.0.1 1812 testing123

답변을 받았습니다 115:127.0.0.1에서 1812:127.0.0.1 길이 56081까지 액세스 허용 ID 20를 받았습니다., 그것은 모든 것이 괜찮다는 것을 의미합니다. 계속하세요.

모듈을 연결합니다 LDAP.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

그리고 우리는 그것을 즉시 바꿀 것입니다. FreeIPA에 액세스하려면 FreeRadius가 필요합니다.

모드 활성화/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

Radius 서버를 다시 시작하고 LDAP 사용자의 동기화를 확인하십시오.

radtest user_ldap password_ldap localhost 1812 testing123

다음에서 편집 중 모드 활성화/EAP
여기에 두 개의 eap 인스턴스를 추가합니다. 인증서와 키만 다릅니다. 아래에서 그 이유를 설명하겠습니다.

모드 활성화/EAP

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

추가 편집 사이트 활성화/기본. 승인 및 인증 섹션이 중요합니다.

사이트 활성화/기본

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

승인 섹션에서는 필요하지 않은 모든 모듈을 제거합니다. LDAP만 남겨둡니다. 사용자 이름으로 클라이언트 확인을 추가합니다. 이것이 바로 위에서 eap 인스턴스 두 개를 추가한 이유입니다.

멀티 EAP사실 일부 장치를 연결할 때 시스템 인증서를 사용하고 도메인을 지정합니다. 신뢰할 수 있는 인증 기관의 인증서와 키가 있습니다. 개인적으로 이러한 연결 절차는 각 장치에 자체 서명된 인증서를 생성하는 것보다 더 쉽다고 생각합니다. 그러나 자체 서명된 인증서가 없어도 여전히 작동하지 않았습니다. 삼성 기기 및 Android =< 6 버전에서는 시스템 인증서를 사용할 수 없습니다. 따라서 자체 서명된 인증서를 사용하여 별도의 eap-guest 인스턴스를 생성합니다. 다른 모든 장치의 경우 신뢰할 수 있는 인증서와 함께 eap-client를 사용합니다. 사용자 이름은 장치가 연결될 때 익명 필드에 의해 결정됩니다. 게스트, 클라이언트 및 빈 필드의 3가지 값만 허용됩니다. 다른 모든 것은 폐기됩니다. 정치인으로 구성됩니다. 잠시 후에 예를 들어 보겠습니다.

승인 및 인증 섹션을 편집해 보겠습니다. 사이트 지원/내부 터널

사이트 지원/내부 터널

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

다음으로, 익명 로그인에 사용할 수 있는 이름을 정책에 지정해야 합니다. 편집 정책.d/필터.

다음과 유사한 줄을 찾아야 합니다.

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

그리고 아래 elsif에 원하는 값을 추가합니다.

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

이제 디렉토리로 이동해야 합니다. 증명서. 여기에는 이미 보유하고 있고 eap-guest에 대한 자체 서명 인증서를 생성하는 데 필요한 신뢰할 수 있는 인증 기관의 키와 인증서를 넣어야 합니다.

파일의 매개변수를 변경하세요. ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

파일에 동일한 값을 씁니다. 서버.cnf. 우리만 변해요
일반 이름:

서버.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

만들다:

make

준비가 된. 받았다 서버.crt и 서버 키 우리는 이미 eap-guest에 위에서 등록했습니다.

마지막으로 파일에 액세스 포인트를 추가해 보겠습니다. 클라이언트.conf. 그 중 7개가 있습니다. 각 포인트를 별도로 추가하지 않기 위해 해당 포인트가 있는 네트워크만 작성하겠습니다(내 액세스 포인트는 별도의 VLAN에 있음).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

유비쿼터스 컨트롤러

컨트롤러에서 별도의 네트워크를 구축합니다. 192.168.2.0/24로 놔두세요
설정 -> 프로필로 이동하세요. 우리는 새로운 것을 만듭니다:

Radius 서버의 주소와 포트, 그리고 파일에 적혀있던 비밀번호를 적어줍니다 클라이언트.conf:

새 무선 네트워크 이름을 만듭니다. 인증 방법으로 WPA-EAP(Enterprise)를 선택하고 생성된 반경 프로필을 지정합니다.

모든 것을 저장하고 적용하고 계속 진행합니다.

클라이언트 설정

가장 어려운 것부터 시작합시다!

윈도우 10

문제는 Windows가 도메인을 통해 회사 WiFi에 연결하는 방법을 아직 모른다는 사실로 귀결됩니다. 따라서 인증서를 신뢰할 수 있는 인증서 저장소에 수동으로 업로드해야 합니다. 여기에서는 자체 서명된 인증서와 인증 기관의 인증서를 모두 사용할 수 있습니다. 나는 두 번째 것을 사용할 것이다.

다음으로 새 연결을 만들어야 합니다. 이렇게 하려면 네트워크 및 인터넷 설정 -> 네트워크 및 공유 센터 -> 새 연결 또는 네트워크 만들기 및 구성으로 이동하세요.

네트워크 이름을 수동으로 입력하고 보안 유형을 변경하세요. 클릭한 후 연결 설정 변경 보안 탭에서 네트워크 인증 - EAP-TTLS를 선택합니다.

우리는 매개변수로 들어가서 인증의 기밀성을 규정합니다. 클라이언트. 신뢰할 수 있는 인증 기관으로서 추가한 인증서를 선택하고 "서버를 인증할 수 없는 경우 사용자에게 초대를 발행하지 않음" 상자를 선택한 다음 인증 방법 - 암호화되지 않은 비밀번호(PAP)를 선택합니다.

다음으로 고급 설정으로 이동하여 "인증 모드 지정"을 선택하세요. "사용자 인증"을 선택하고 클릭하세요. 자격 증명 저장. 여기에 사용자 이름_ldap 및 비밀번호_ldap을 입력해야 합니다.

모든 것을 저장하고 적용하고 닫습니다. 새로운 네트워크에 연결할 수 있습니다.

Linux

Ubuntu 18.04, 18.10, Fedora 29, 30에서 테스트했습니다.

먼저 인증서를 다운로드해 보겠습니다. Linux에서 시스템 인증서를 사용할 수 있는지, 그러한 저장소가 있는지 여부를 찾지 못했습니다.

도메인에 접속해 보겠습니다. 따라서 인증서를 구매한 인증 기관의 인증서가 필요합니다.

모든 연결은 하나의 창에서 이루어집니다. 네트워크 선택:

익명 클라이언트
domain - 인증서가 발급되는 도메인

Android

삼성 이외의 제품

버전 7부터는 WiFi 연결 시 도메인만 지정하여 시스템 인증서를 사용할 수 있습니다.

domain - 인증서가 발급되는 도메인
익명 클라이언트

삼성

위에서 쓴 것처럼 삼성 기기는 WiFi에 연결할 때 시스템 인증서를 사용하는 방법을 모르고 도메인을 통해 연결할 수 있는 기능도 없습니다. 따라서 인증 기관의 루트 인증서(ca.pem, Radius 서버에서 가져옴)를 수동으로 추가해야 합니다. 여기서는 자체 서명이 사용됩니다.

인증서를 장치에 다운로드하고 설치하십시오.

인증서 설치







동시에 화면 잠금 해제 패턴, 핀 코드 또는 비밀번호가 아직 설정되지 않은 경우 이를 설정해야 합니다.

인증서 설치의 복잡한 버전을 보여드렸습니다. 대부분의 장치에서는 다운로드한 인증서를 클릭하기만 하면 됩니다.

인증서가 설치되면 연결을 진행할 수 있습니다.

인증서 - 설치된 인증서를 나타냅니다.
익명 사용자 - 손님

macOS

기본적으로 Apple 장치는 EAP-TLS에만 연결할 수 있지만 여전히 인증서를 제출해야 합니다. 다른 연결 방법을 지정하려면 Apple Configurator 2를 사용해야 합니다. 따라서 먼저 이를 Mac에 다운로드하고 새 프로필을 생성한 후 필요한 모든 WiFi 설정을 추가해야 합니다.

Apple Configurator



여기에 네트워크 이름을 입력하세요.
보안 유형 - WPA2 기업
허용되는 EAP 유형 - TTLS
사용자 이름 및 비밀번호 - 비워두세요
내부 인증 - PAP
외부 ID 클라이언트

신뢰 탭. 여기에서 도메인을 지정합니다.

모두. 프로필을 저장하고 서명하고 장치에 배포할 수 있습니다.

프로필이 준비되면 Poppy에 다운로드하여 설치해야 합니다. 설치 프로세스 중에 사용자의 usernmae_ldap 및 비밀번호_ldap을 지정해야 합니다.

iOS

프로세스는 macOS와 유사합니다. 프로필을 사용해야 합니다(macOS와 동일한 프로필을 사용할 수 있습니다. Apple Configurator에서 프로필을 생성하는 방법은 위 참조).

프로필 다운로드, 설치, 자격 증명 입력, 연결:

그게 다야. Radius 서버를 설정하고 FreeIPA와 동기화한 후 Ubiquiti AP에 WPA2-EAP를 사용하도록 지시했습니다.

가능한 질문

에서 : 프로필/인증서를 직원에게 어떻게 전송하나요?

회사 소개 : 웹 액세스를 통해 FTP에 모든 인증서/프로필을 저장합니다. 속도 제한이 있고 FTP를 제외하고 인터넷에만 액세스할 수 있는 게스트 네트워크를 높였습니다.
인증은 2일 동안 지속되며 그 이후에는 재설정되고 클라이언트는 인터넷에 연결되지 않습니다. 저것. 직원이 WiFi에 연결하려면 먼저 게스트 네트워크에 연결하고 FTP에 액세스하여 필요한 인증서나 프로필을 다운로드하고 설치한 다음 회사 네트워크에 연결할 수 있습니다.

에서 : MSCHAPv2와 함께 스키마를 사용하지 않는 이유는 무엇입니까? 그녀는 더 안전합니다!

회사 소개 : 첫째, 이러한 체계는 NPS(Windows 네트워크 정책 시스템)에서 잘 작동합니다. 구현 시 LDAP(FreeIpa)를 추가로 구성하고 서버에 비밀번호 해시를 저장해야 합니다. 추가하다. 왜냐하면 설정을 하는 것은 바람직하지 않습니다. 이로 인해 초음파 동기화에 다양한 문제가 발생할 수 있습니다. 둘째, 해시는 MD4이므로 보안이 많이 추가되지 않습니다.

에서 : Mac 주소로 장치를 인증할 수 있나요?

회사 소개 : 아니요, 이는 안전하지 않습니다. 공격자가 MAC 주소를 변경할 수 있으며 더욱이 MAC 주소에 의한 인증은 많은 장치에서 지원되지 않습니다.

에서 : 일반적으로 이러한 모든 인증서는 무엇을 사용합니까? 그들 없이도 참여할 수 있나요?

회사 소개 : 인증서는 서버를 인증하는 데 사용됩니다. 저것들. 연결 시 장치는 신뢰할 수 있는 서버인지 여부를 확인합니다. 그렇다면 인증이 계속되고, 그렇지 않으면 연결이 종료됩니다. 인증서 없이 연결할 수 있지만 공격자나 이웃이 집에 우리와 동일한 이름을 가진 반경 서버와 액세스 포인트를 설정하면 사용자의 자격 증명을 쉽게 가로챌 수 있습니다(일반 텍스트로 전송된다는 점을 잊지 마세요). 그리고 인증서가 사용되면 적의 로그에는 가상의 사용자 이름(게스트 또는 클라이언트)과 유형 오류(알 수 없는 CA 인증서)만 표시됩니다.

macOS에 대해 조금 더일반적으로 macOS에서는 시스템 재설치가 인터넷을 통해 수행됩니다. 복구 모드에서는 Mac이 Wi-Fi에 연결되어 있어야 하며 회사 Wi-Fi나 게스트 네트워크는 여기서 작동하지 않습니다. 개인적으로 저는 기술 작업을 위해서만 숨겨진 일반적인 WPA2-PSK라는 또 다른 네트워크를 구축했습니다. 또는 시스템으로 미리 부팅 가능한 USB 플래시 드라이브를 만들 수도 있습니다. 하지만 양귀비가 2015년 이후인 경우에도 이 플래시 드라이브용 어댑터를 찾아야 합니다.)

출처 : habr.com