Корпоративдик WiFi уюштуруунун кээ бир мисалдары буга чейин сүрөттөлгөн. Бул жерде мен мындай чечимди кантип ишке ашырганымды жана ар кандай түзмөктөрдө туташуу учурундагы көйгөйлөрдү айтып берем. Биз учурдагы LDAPти белгиленген колдонуучулар менен колдонобуз, FreeRadius орнотобуз жана Ubnt контроллерунда WPA2-Enterprise конфигурациялайбыз. Баары жөнөкөй көрүнөт. көрөлү…
EAP ыкмалары жөнүндө бир аз
Биз тапшырманы баштоодон мурун, биз чечүүдө кайсы аутентификация ыкмасын колдоно турганыбызды чечишибиз керек.
Википедиядан:
EAP - бул зымсыз тармактарда жана чекиттен чекитке туташууларда колдонулган аутентификация алкагы. Формат биринчи жолу RFC 3748де сүрөттөлгөн жана RFC 5247де жаңыртылган.
EAP аутентификация ыкмасын тандоо, ачкычтарды өткөрүп берүү жана EAP ыкмалары деп аталган плагиндер аркылуу ошол ачкычтарды иштетүү үчүн колдонулат. EAP өзү менен аныкталган жана жеке сатуучулар тарабынан чыгарылган көптөгөн EAP ыкмалары бар. EAP шилтеме катмарын аныктабайт, ал билдирүү форматын гана аныктайт. EAP колдонгон ар бир протоколдун өзүнүн EAP билдирүү инкапсуляциялоо протоколу бар.
Методдор өздөрү:
- LEAP - CISCO тарабынан иштелип чыккан проприетардык протокол. Кемчиликтер табылды. Учурда колдонуу сунушталбайт
- EAP-TLS зымсыз сатуучулар арасында жакшы колдоого алынат. Бул коопсуз протокол, анткени ал SSL стандарттарынын мураскери. кардарды орнотуу абдан татаал. Сизге сырсөздөн тышкары кардар сертификаты керек. Көптөгөн системаларда колдоого алынат
- EAP-TTLS - көптөгөн системаларда кеңири колдоого алынган, аныктыгын текшерүү серверинде гана PKI сертификаттарын колдонуу менен жакшы коопсуздукту сунуштайт.
- EAP-MD5 дагы бир ачык стандарт болуп саналат. минималдуу коопсуздукту сунуш кылат. Аялуу, өз ара аутентификацияны жана ачкыч генерацияны колдобойт
- EAP-IKEv2 - Интернет ачкыч алмашуу протоколунун 2-версиясына негизделген. Кардар менен сервердин ортосунда өз ара аутентификацияны жана сессия ачкычын орнотууну камсыз кылат
- PEAP ачык стандарт катары CISCO, Microsoft жана RSA Security ортосундагы биргелешкен чечим болуп саналат. Продукцияларда кеңири жеткиликтүү, абдан жакшы коопсуздукту камсыз кылат. EAP-TTLS сыяктуу, сервер тараптын тастыктамасын гана талап кылат
- PEAPv0/EAP-MSCHAPv2 - EAP-TLSден кийин, бул дүйнөдө кеңири колдонулган экинчи стандарт. Microsoft, Cisco, Apple, Linux тармактарында кардар-сервер мамилеси колдонулат
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2ге альтернатива катары Cisco тарабынан түзүлгөн. Аутентификация маалыматтарын эч кандай түрдө коргобойт. Windows OS тутумунда колдоого алынбайт
- EAP-FAST – LEAPтин кемчиликтерин оңдоо үчүн Cisco тарабынан иштелип чыккан ыкма. Корголгон Кирүү Каттоосун (PAC) колдонот. Толугу менен бүтпөгөн
Бул ар түрдүүлүктүн ичинен тандоо дагы деле чоң эмес. Аутентификация ыкмасы талап кылынат: жакшы коопсуздук, бардык түзмөктөрдө колдоо (Windows 10, macOS, Linux, Android, iOS) жана чындыгында, канчалык жөнөкөй болсо, ошончолук жакшы. Ошондуктан, тандоо PAP протоколу менен бирге EAP-TTLSке түштү.
Суроо туулат - Эмне үчүн PAP керек? Анткени, ал ачык текстте сырсөздөрдү өткөрүп берет?
Ооба бардыгы туура. FreeRadius менен FreeIPA ортосундагы байланыш дал ушул сыяктуу ишке ашат. Мүчүлүштүктөрдү оңдоо режиминде сиз колдонуучунун аты менен сырсөздүн кантип жөнөтүлгөнүн көзөмөлдөй аласыз. Ооба, аларды коё бериңиз, FreeRadius серверине сиз гана кире аласыз.
EAP-TTLS кантип иштээри жөнүндө көбүрөөк окуй аласыз
FreeRADIUS
FreeRadiusту CentOS 7.6га жаңыртабыз. Бул жерде татаал эч нерсе жок, биз аны кадимки жол менен орнотобуз.
yum install freeradius freeradius-utils freeradius-ldap -yПакеттердин ичинен 3.0.13 версиясы орнотулган. Акыркысын алса болот
Андан кийин, FreeRadius мурунтан эле иштеп жатат. Сиз /etc/raddb/users ичинде сапты комментарийден чыгарсаңыз болот
steve Cleartext-Password := "testing"Мүчүлүштүктөрдү оңдоо режиминде серверге кириңиз
freeradius -XЖана жергиликтүү хосттон сыноо байланышын түзүңүз
radtest steve testing 127.0.0.1 1812 testing123Биз жооп алдык 115:127.0.0.1ден 1812:127.0.0.1ге чейин 56081 узундуктагы Кирүү-Кабыл алуу ID 20 алынган, бул баары жакшы дегенди билдирет. Уланта бер.
Модулду туташтыруу лап.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapА биз аны дароо өзгөртөбүз. FreeIPAга кирүү үчүн бизге FreeRadius керек
mods иштетилген/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Радиус серверин кайра иштетиңиз жана LDAP колдонуучуларынын синхрондоштуруусун текшериңиз:
radtest user_ldap password_ldap localhost 1812 testing123
Editing eap in mods иштетилген/eap
Бул жерде биз eapдын эки учурун кошобуз. Алар сертификаттар жана ачкычтар менен гана айырмаланат. Бул эмне үчүн туура экенин төмөндө түшүндүрөм.
mods иштетилген/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Кийинки биз түзөтөбүз сайт иштетилген/демейки. Мен авторизациялоо жана аныктыгын текшерүү бөлүмдөрүнө кызыгам.
сайт иштетилген/демейки
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Авторизация бөлүмүндө биз кереги жок бардык модулдарды алып салабыз. Лдап гана калтырабыз. Колдонуучунун аты менен кардарды текшерүүнү кошуу. Мына ошондуктан биз жогоруда эки эап инстанциясын коштук.
Multi EAPЧынында, кээ бир түзмөктөрдү туташтырууда биз системанын сертификаттарын колдонобуз жана доменди көрсөтөбүз. Бизде ишенимдүү тастыктама органынын сертификаты жана ачкычы бар. Жеке менин оюмча, бул туташуунун жол-жобосу ар бир түзмөккө өз алдынча кол коюлган сертификатты ыргытуудан жөнөкөй. Бирок өзү кол койгон күбөлүктөрү жок деле чыгууга мүмкүн болгон жок. Samsung түзмөктөрү жана Android =< 6 версиялары система сертификаттарын кантип колдонууну билишпейт. Ошондуктан, биз алар үчүн өзүнчө кол коюлган сертификаттар менен eap-коноктун өзүнчө мисалын түзөбүз. Башка бардык түзмөктөр үчүн биз ишенимдүү тастыктамасы бар eap-client колдонобуз. Колдонуучунун аты түзмөктү туташтырууда Анонимдүү талаа менен аныкталат. 3 гана мааниге уруксат берилет: Конок, Кардар жана бош талаа. Калганынын баары ташталат. Муну саясаттарда конфигурациялоого болот. Мен бир аздан кийин мисал келтирем.
Уруксат берүү жана аныктыгын текшерүү бөлүмдөрүн түзөтөлү сайт иштетилген/ички туннель
сайт иштетилген/ички туннель
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Андан кийин, сиз саясаттарда анонимдүү кирүү үчүн колдонула турган ысымдарды көрсөтүшүңүз керек. Түзөтүү policy.d/filter.
Сиз ушуга окшош сызыктарды табышыңыз керек:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ал эми төмөндө elsifге керектүү маанилерди кошуңуз:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Эми биз каталогго өтүшүбүз керек сертификаттар. Бул жерде биз ишеничтүү тастыктоочу органдын ачкычын жана сертификатын коюшубуз керек, ал бизде бар жана биз eap-конок үчүн өз алдынча кол коюлган сертификаттарды түзүшүбүз керек.
Файлдагы параметрлерди өзгөртүү ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Биз файлга ошол эле маанилерди жазабыз server.cnf. Биз жөн гана өзгөрөбүз
жалпы ысым:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Биз түзөбүз:
makeДаяр. Кабыл алынган server.crt и server.key Биз жогоруда eap-guestке катталганбыз.
Акырында, файлга кирүү чекиттерибизди кошолу client.conf. Менде алардын 7си бар.Ар бир пунктту өзүнчө кошпоо үчүн алар жайгашкан тармакты гана каттайбыз (менин кирүү чекиттерим өзүнчө VLANда).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti контроллери
Биз контроллерге өзүнчө тармакты көтөрөбүз. 192.168.2.0/24 болсун
Жөндөөлөргө өтүңүз -> профиль. Келгиле, жаңысын түзөлү:
Биз радиус серверинин дарегин жана портун жана файлга жазылган сырсөздү жазабыз clients.conf:
Жаңы зымсыз тармак атын түзүңүз. Аутентификация ыкмасы катары WPA-EAP (Enterprise) тандаңыз жана түзүлгөн радиус профилин көрсөтүңүз:
Биз баарын сактап, аны колдонобуз жана улантабыз.
Кардарларды орнотуу
Эң кыйын бөлүгүнөн баштайлы!
Windows 10
Кыйынчылык Windows домен аркылуу корпоративдик WiFi менен кантип туташаарын билбегендигинде келип чыгат. Ошондуктан, биз ишенимдүү сертификаттар дүкөнүнө сертификатыбызды кол менен жүктөшүбүз керек. Бул жерде сиз өз алдынча кол койгон кол тамганы же тастыктоочу органдын бирин колдоно аласыз. Мен экинчисин колдоном.
Андан кийин сиз жаңы байланыш түзүшүңүз керек. Бул үчүн, Тармак жана Интернет Орнотууларына өтүңүз -> Тармак жана бөлүшүү борбору -> Жаңы туташууну же тармакты түзүү жана конфигурациялоо:
Тармактын атын кол менен киргизип, коопсуздук түрүн өзгөртөбүз. Андан кийин басыңыз байланыш орнотууларын өзгөртүү жана Коопсуздук өтмөгүнөн тармактын аутентификациясын тандаңыз - EAP-TTLS.
Орнотууларга өтүңүз, аутентификациянын купуялуулугун орнотуңуз - керектөөчү. Ишенимдүү тастыктоочу орган катары биз кошкон сертификатты тандап, "Серверге уруксат берилбесе, колдонуучуга чакыруу бербеңиз" деген кутучаны белгилеңиз жана аутентификация ыкмасын - ачык текст сырсөзүн (PAP) тандаңыз.
Андан кийин, кошумча параметрлерге өтүп, "Аутентификация режимин көрсөтүү" кутучасын белгилеңиз. "Колдонуучунун аутентификациясын" тандап, чыкылдатыңыз эсептик дайындарды сактоо. Бул жерде сиз username_ldap жана password_ldap киргизишиңиз керек болот
Сактайбыз, колдонобуз, баарын жабабыз. Сиз жаңы тармакка туташа аласыз.
Linux
Мен Ubuntu 18.04, 18.10, Fedora 29, 30да сынап көрдүм.
Биринчиден, сертификатты өзүңүзгө жүктөп алыңыз. Мен Linux'та система сертификаттарын колдонууга болобу же андай дүкөн бар же жокпу, таба алган жокмун.
Биз домен аркылуу байланышабыз. Ошондуктан, бизге сертификатыбыз сатылып алынган сертификат берүүчү органдын сертификаты керек.
Бардык байланыштар бир терезеде жүргүзүлөт. Биздин тармакты тандаңыз:
анонимдүү - кардар
домен — сертификат берилген домен
Android
Samsung эмес
7-версиясынан баштап, WiFi туташтырып жатканда, сиз доменди гана көрсөтүү менен тутум сертификаттарын колдоно аласыз:
домен — сертификат берилген домен
анонимдүү - кардар
Samsung
Мен жогоруда жазгандай, Samsung аппараттары WiFi туташтырууда тутумдук сертификаттарды кантип колдонууну билишпейт жана домен аркылуу туташуу мүмкүнчүлүгү жок. Ошондуктан, сиз кол менен күбөлөндүрүүчү органдын түпкү сертификатын кошуу керек (ca.pem, аны Radius серверинен алыңыз). Бул жерде өз алдынча кол коюу колдонулат.
Түзмөгүңүзгө тастыктаманы жүктөп алып, орнотуңуз.
Сертификат орнотулууда
Бул учурда, экрандын кулпусун ачуу үлгүсүн, PIN-кодду же сырсөздү коюшуңуз керек, эгерде ал коюла элек болсо:
Мен күбөлүк орнотуунун татаал вариантын көрсөттүм. Көпчүлүк түзмөктөрдө, жөн гана жүктөлүп алынган сертификатты чыкылдатыңыз.
Сертификат орнотулгандан кийин, сиз байланышты уланта аласыз:
сертификат - орнотконуңузду көрсөтүңүз
анонимдүү колдонуучу - конок
MacOS
Apple түзмөктөрү EAP-TLS'ке кутудан гана туташа алат, бирок сиз дагы эле аларга сертификат беришиңиз керек. Башка туташуу ыкмасын көрсөтүү үчүн, сиз Apple Configurator 2 колдонушуңуз керек. Буга ылайык, адегенде аны Mac компьютериңизге жүктөп алып, жаңы профиль түзүп, бардык керектүү WiFi орнотууларын кошушуңуз керек.
Apple аныктооч
Бул жерде биз тармагыбыздын атын көрсөтөбүз
Коопсуздук түрү - WPA2 Enterprise
Кабыл алынган EAP түрлөрү - TTLS
Колдонуучунун аты жана сырсөз - бош калтырыңыз
Ички аутентификация - PAP
Сырткы идентификация - кардар
Ишеним өтмөгү. Бул жерде биз доменибизди көрсөтөбүз
Баары. Профилди сактоого, кол коюуга жана түзмөктөргө таратууга болот
Профиль даяр болгондон кийин, аны Mac компьютериңизге жүктөп алып, орнотуу керек. Орнотуу процессинде колдонуучунун usernmae_ldap жана password_ldap даректерин көрсөтүшүңүз керек болот:
Белги
Процесс MacOS менен окшош. Сиз профилди колдонушуңуз керек (сиз macOS үчүн болгон профилди колдонсоңуз болот. Apple Configurator программасында профилди кантип түзүүнү жогорудан караңыз).
Профилди жүктөп алыңыз, орнотуңуз, эсептик дайындарды киргизиңиз, туташыңыз:
Баары болду. Radius серверин орнотуп, аны FreeIPA менен шайкештештирип, Ubiquiti кирүү чекиттерине WPA2-EAP колдонууну айттык.
Мүмкүн болгон суроолор
IN: профилди/күбөлүктү кызматкерге кантип өткөрүп берүү керек?
ЖӨНҮНДӨ: Мен бардык сертификаттарды/профильдерди интернет аркылуу FTPде сактайм. Мен FTPди кошпогондо, ылдамдык чеги менен конок тармагын түздүм жана Интернетке гана кирдим.
Аутентификация 2 күнгө созулат, андан кийин ал баштапкы абалга келтирилип, кардар интернетсиз калат. Ошол. Кызматкер WiFi тармагына туташкысы келгенде, алгач конок тармагына туташып, FTPге кирип, өзүнө керектүү сертификатты же профилди жүктөп алып, аларды орнотуп, анан корпоративдик тармакка кошула алат.
IN: эмне үчүн MSCHAPv2 менен схеманы колдонбойсуз? бул коопсуз!
ЖӨНҮНДӨ: биринчиден, бул схема NPSде (Windows Network Policy System) жакшы иштейт, биздин ишке ашырууда LDAP (FreeIpa) кошумча конфигурациялоо жана сырсөз хэштерин серверде сактоо зарыл. кошуу. Бул жөндөөлөрдү жасоо максатка ылайыктуу эмес, анткени бул УЗИ системасын синхрондоштуруу менен ар кандай көйгөйлөргө алып келиши мүмкүн. Экинчиден, хэш MD4, ошондуктан көп коопсуздукту кошпойт
IN: Mac даректерин колдонуп түзмөктөрдү авторизациялоого болобу?
ЖӨНҮНДӨ: ЖОК, бул коопсуз эмес, чабуулчу MAC даректерин бурмалай алат, андан да көп түзмөктөрдө MAC даректери боюнча авторизация колдоого алынбайт
IN: Эмне үчүн бул сертификаттардын баарын колдонуш керек? аларсыз байланыша аласыз
ЖӨНҮНДӨ: сертификаттар серверди авторизациялоо үчүн колдонулат. Ошол. Туташып жатканда, түзмөк анын ишенимдүү сервер экендигин же ишенбөөнү текшерет. Андай болсо, аутентификация уланат, эгер андай болбосо, байланыш жабылат. Сертификатсыз туташа аласыз, бирок эгер чабуулчу же кошуна радиус серверин жана биздикине окшош кирүү түйүнүн үйдө орнотсо, ал колдонуучунун эсептик дайындарын оңой эле кармап алат (алар ачык текстте берилээрин унутпаңыз) . Сертификат колдонулганда, душман өзүнүн журналдарында биздин жасалма Колдонуучунун атын гана көрөт - конок же кардар жана ката түрү - Белгисиз CA сертификаты
macOS жөнүндө бир аз көбүрөөкАдатта, macOSдо системаны кайра орнотуу Интернет аркылуу ишке ашырылат. Калыбына келтирүү режиминде Mac WiFi'га туташып турушу керек жана бул жерде биздин корпоративдик WiFi да, конок тармагы да иштебейт. Жеке мен башка тармакты орноттум, кадимки WPA2-PSK, техникалык операциялар үчүн гана жашырылган. Же сиз дагы алдын ала система менен жүктөлүүчү USB флэш-дискти жасай аласыз. Бирок, эгер сиздин Mac 2015-жылдан кийин болсо, анда бул флешка үчүн адаптерди да табышыңыз керек болот)
Source: www.habr.com