E puer Beispiller fir Firmen-WiFi z'organiséieren si scho beschriwwe ginn. Hei wäert ech beschreiwen wéi ech sou eng Léisung implementéiert hunn an d'Problemer déi ech begéint hunn wann ech op verschidden Apparater konnektéieren. Mir wäerten déi existent LDAP mat etabléierte Benotzer benotzen, FreeRadius installéieren an WPA2-Enterprise op der Ubnt Controller konfiguréieren. Alles schéngt einfach. Mol kucken…
E bëssen iwwer EAP Methoden
Ier mer d'Aufgab ufänken, musse mir entscheeden wéi eng Authentifikatiounsmethod mir an eiser Léisung benotzen.
Aus wikipedia:
EAP ass en Authentifikatiounskader deen dacks a drahtlose Netzwierker a Punkt-zu-Punkt Verbindungen benotzt gëtt. De Format gouf fir d'éischt am RFC 3748 beschriwwen an am RFC 5247 aktualiséiert.
EAP gëtt benotzt fir eng Authentifikatiounsmethod ze wielen, Schlësselen ze transferéieren an dës Schlësselen duerch Plugins genannt EAP Methoden ze veraarbecht. Et gi vill EAP Methoden, souwuel definéiert mat EAP selwer an déi vun eenzelne Verkeefer verëffentlecht. EAP definéiert net d'Linkschicht, et definéiert nëmmen de Messageformat. All Protokoll deen EAP benotzt huet säin eegene EAP Message Encapsulation Protokoll.
D'Methoden selwer:
- LEAP ass e propriétaire Protokoll entwéckelt vum CISCO. Schwachstelle fonnt. Momentan net recommandéiert fir ze benotzen
- EAP-TLS ass gutt ënner drahtlose Ubidder ënnerstëtzt. Et ass e séchere Protokoll well et den Nofolger vun den SSL Standarden ass. De Client opzestellen ass zimlech komplizéiert. Dir braucht e Client Zertifikat Nieft dem Passwuert. Ënnerstëtzt op ville Systemer
- EAP-TTLS - wäit ënnerstëtzt op ville Systemer, bitt gutt Sécherheet mat PKI Zertifikater nëmmen um Authentifikatiounsserver
- EAP-MD5 ass en aneren oppene Standard. Bitt minimal Sécherheet. Vulnerabel, ënnerstëtzt keng géigesäiteg Authentifikatioun a Schlësselgeneratioun
- EAP-IKEv2 - baséiert op Internet Key Exchange Protocol Versioun 2. Bitt géigesäiteg Authentifikatioun a Sessiounsschlëssel Etablissement tëscht Client a Server
- PEAP ass eng gemeinsam Léisung tëscht CISCO, Microsoft an RSA Security als en oppene Standard. Breet verfügbar a Produkter, bitt ganz gutt Sécherheet. Ähnlech wéi EAP-TTLS, erfuerdert nëmmen e Server-Säit Zertifikat
- PEAPv0/EAP-MSCHAPv2 - No EAP-TLS ass dëst den zweete wäit benotzte Standard op der Welt. Benotzt Client-Server Relatioun zu Microsoft, Cisco, Apple, Linux
- PEAPv1 / EAP-GTC - Erstellt vun Cisco als Alternativ zu PEAPv0 / EAP-MSCHAPv2. Schützt keng Authentifikatiounsdaten op iergendeng Manéier. Net ënnerstëtzt op Windows OS
- EAP-FAST ass eng Method entwéckelt vu Cisco fir d'Mängel vu LEAP ze korrigéieren. Benotzt Protected Access Credential (PAC). Ganz ongeschloss
Vun all dëser Varietéit ass d'Wiel nach ëmmer net grouss. D'Authentifikatiounsmethod erfuerderlech: gutt Sécherheet, Ënnerstëtzung op all Apparater (Windows 10, macOS, Linux, Android, iOS) an tatsächlech, wat méi einfach, wat besser. Dofir ass d'Wiel op EAP-TTLS a Verbindung mam PAP-Protokoll gefall.
D'Fro kann opstoen - Firwat PAP benotzen? Iwwerhaapt iwwerdréit et Passwierder am Kloertext?
Jo dat ass richteg. D'Kommunikatioun tëscht FreeRadius an FreeIPA wäert genau esou stattfannen. Am Debugmodus kënnt Dir verfollegen wéi de Benotzernumm a Passwuert geschéckt ginn. Jo, a loosst se goen, nëmmen Dir hutt Zougang zum FreeRadius Server.
Dir kënnt méi iwwer liesen wéi EAP-TTLS funktionnéiert
FreeRADIUS
Mir upgrade FreeRadius op CentOS 7.6. Et gëtt näischt komplizéiert hei, mir installéieren et op déi üblech Manéier.
yum install freeradius freeradius-utils freeradius-ldap -yVun de Packagen ass d'Versioun 3.0.13 installéiert. Déi lescht kann op geholl ginn
Duerno funktionnéiert FreeRadius scho. Dir kënnt d'Linn an /etc/raddb/users decommentéieren
steve Cleartext-Password := "testing"Start an de Server am Debug Modus
freeradius -XA maacht eng Testverbindung vum localhost
radtest steve testing 127.0.0.1 1812 testing123Mir kruten eng Äntwert Received Access-Accept Id 115 vun 127.0.0.1:1812 bis 127.0.0.1:56081 Längt 20, et heescht datt alles an der Rei ass. Maach weider.
De Modul verbannen ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapA mir wäerten et direkt änneren. Mir brauchen FreeRadius fir Zougang zu FreeIPA ze kréien
mods-aktivéiert / ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Restart de Radiusserver a kontrolléiert d'Synchroniséierung vun LDAP Benotzer:
radtest user_ldap password_ldap localhost 1812 testing123
Änneren eap an mods-aktivéiert / eap
Hei wäerte mir zwee Instanzen vun eap derbäi. Si ënnerscheeden nëmmen an Certificaten a Schlësselen. Ech erkläre firwat dat hei ënnendrënner ass.
mods-aktivéiert / eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Nächst änneren mir Site-aktivéiert / Standard. Ech interesséiert d'Autorisatioun an d'Authentifizéierungssektiounen.
Site-aktivéiert / Standard
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}An der Autorisatiounssektioun läschen mir all Moduler déi mir net brauchen. Mir verloossen nëmmen ldap. Füügt Clientverifikatioun mam Benotzernumm. Dofir hu mir zwee Instanzen vun eap uewen bäigefüügt.
Multi EAPD'Tatsaach ass datt wann Dir e puer Apparater verbënnt, wäerte mir Systemzertifikater benotzen an d'Domain spezifizéieren. Mir hunn e Certificat a Schlëssel vun enger zouverléisseg Zertifika Autoritéit. Perséinlech, menger Meenung no, ass dës Verbindungsprozedur méi einfach wéi e selbst ënnerschriwwenen Zertifika op all Apparat ze werfen. Mä och ouni selwer ënnerschriwwen Certificaten war et nach net méiglech ze verloossen. Samsung Apparater an Android =< 6 Versiounen wëssen net wéi System Zertifikater ze benotzen. Dofir kreéiere mir eng separat Instanz vun eap-Guest fir si mat selbst ënnerschriwwenen Certificaten. Fir all aner Apparater benotze mir eap-Client mat engem vertrauenswürdege Certificat. Benotzernumm gëtt vum Anonyme Feld festgeluegt wann Dir den Apparat verbënnt. Nëmmen 3 Wäerter sinn erlaabt: Gaascht, Client an en eidelt Feld. De Rescht gëtt alles verworf. Dëst kann a Politik konfiguréiert ginn. Ech ginn e Beispill e bësse méi spéit.
Loosst eis d'Autorisatioun änneren an authentifizéieren Sektiounen an Site-aktivéiert / banneschten-Tunnel
Site-aktivéiert / banneschten-Tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Als nächst musst Dir an de Politiken uginn, wéi eng Nimm fir anonyme Login kënne benotzt ginn. Redaktioun policy.d/filter.
Dir musst Linnen ähnlech wéi dëst fannen:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}An ënnen am elsif füügt déi néideg Wäerter derbäi:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Elo musse mir an den Dossier plënneren Certificaten. Hei musse mir de Schlëssel an d'Zertifikat vun enger vertrauenswürdeger Zertifizéierungsautoritéit setzen, déi mir scho hunn, a mir mussen selbst ënnerschriwwen Certificaten fir eap-Guest generéieren.
Änneren d'Parameteren an der Datei ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Mir schreiwen déiselwecht Wäerter an der Datei server.cnf. Mir änneren nëmmen
gemeinsam Numm:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Mir kreéieren:
makeFäerdeg. Erhalen server.crt и server.key Mir hu schonn uewen an eap-Guest ugemellt.
A schlussendlech addéiere mer eis Zougangspunkte fir d'Datei client.conf. Ech hunn der 7. Fir net all Punkt getrennt derbäizeféieren, registréiere mir nëmmen de Reseau an deem se sinn (meng Zougangspunkte sinn an engem separaten VLAN).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti Controller
Mir erhéijen e separaten Netzwierk um Controller. Loosst et 192.168.2.0/24 sinn
Gitt op Astellungen -> Profil. Loosst eis en neien erstellen:
Mir schreiwen d'Adress an den Hafen vum Radiusserver an d'Passwuert dat an der Datei geschriwwe gouf clients.conf:
Erstellt en neien drahtlose Netzwierknumm. Wielt WPA-EAP (Enterprise) als Authentifikatiounsmethod a spezifizéiert den erstallte Radiusprofil:
Mir späicheren alles, gëllen et a fuere weider.
Clienten opsetzen
Loosst eis mam haardsten Deel ufänken!
Windows 10
D'Schwieregkeet kënnt op d'Tatsaach, datt Windows nach net weess wéi ee mat Firmen-WiFi iwwer en Domain verbënnt. Dofir musse mir eisen Zertifika manuell an de vertrauenswürdege Certificate Store eroplueden. Hei kënnt Dir entweder e selwer ënnerschriwwenen oder een vun enger Zertifizéierungsautoritéit benotzen. Ech wäert déi zweet benotzen.
Als nächst musst Dir eng nei Verbindung erstellen. Fir dëst ze maachen, gitt op Network and Internet Settings -> Network and Sharing Center -> Erstellt a konfiguréiert eng nei Verbindung oder Netzwierk:
Mir gitt manuell den Netznumm an änneren d'Sécherheetstyp. Da klickt op änneren Verbindung Astellunge an an der Sécherheet Reiter, wielt Reseau Authentifikatioun - EAP-TTLS.
Gitt op d'Astellungen, set d'Vertraulechkeet vun der Authentifikatioun - Client. Als vertrauenswürdege Zertifizéierungsautoritéit, wielt de Certificat dee mir bäigefüügt hunn, markéiert d'Këscht "Gitt keng Invitatioun un de Benotzer wann de Server net autoriséiert ka ginn" a wielt d'Authentifikatiounsmethod - Kloertext Passwuert (PAP).
Als nächst gitt op zousätzlech Parameteren a kontrolléiert d'Këscht "Authentifikatiounsmodus spezifizéieren." Wielt "Benotzer Authentifikatioun" a klickt op späicheren Umeldungsinformatiounen. Hei musst Dir username_ldap a password_ldap aginn
Mir späicheren, gëllen, maachen alles zou. Dir kënnt mat engem neien Netzwierk verbannen.
Linux
Ech hunn op Ubuntu 18.04, 18.10, Fedora 29, 30 getest.
Als éischt, luet de Certificat fir Iech selwer erof. Ech hunn am Linux net fonnt ob et méiglech ass Systemzertifikater ze benotzen oder ob et iwwerhaapt esou e Buttek gëtt.
Mir verbannen iwwer Domain. Dofir brauche mir en Zertifika vun der Zertifizéierungsautoritéit vun där eisen Zertifika kaaft gouf.
All Verbindunge ginn an enger Fënster gemaach. Wielt eisen Netzwierk:
anonym - Client
Domain - d'Domain fir deen de Certificat ausgestallt gouf
Android
net-Samsung
Vun der Versioun 7, wann Dir WiFi verbënnt, kënnt Dir Systemzertifikater benotzen andeems Dir nëmmen d'Domain spezifizéiert:
Domain - d'Domain fir deen de Certificat ausgestallt gouf
anonym - Client
Samsung
Wéi ech uewen geschriwwen, Samsung Apparater wëssen net wéi System Certificaten ze benotzen wann WiFi Verbindung, a si hunn net d'Fähegkeet iwwer Domain ze konnektéieren. Dofir musst Dir de Rootzertifika vun der Zertifizéierungsautoritéit manuell addéieren (ca.pem, huelt et vum Radius-Server). Dëst ass wou selbst ënnerschriwwen benotzt gëtt.
Luet den Zertifika op Ärem Apparat erof an installéiert et.
Installatioun vun engem Certificat
An dësem Fall musst Dir en Écran Spärmuster, PIN Code oder Passwuert astellen, wann et net scho festgeluecht ass:
Ech hunn eng komplex Optioun gewisen fir en Zertifika z'installéieren. Op de meeschten Apparater klickt einfach op den erofgeluede Zertifika.
Wann de Certificat installéiert ass, kënnt Dir op d'Verbindung virugoen:
Zertifikat - gitt deen deen Dir installéiert hutt
anonym Benotzer - Gaascht
macOS
Apple Apparater kënnen nëmme mat EAP-TLS aus der Këscht verbannen, awer Dir musst hinnen nach ëmmer e Certificat ubidden. Fir eng aner Verbindungsmethod ze spezifizéieren, musst Dir Apple Configurator benotzen 2. Deementspriechend musst Dir et fir d'éischt op Äre Mac eroflueden, en neie Profil erstellen an all déi néideg WiFi-Astellunge bäidroen.
Apple Configurator
Hei gi mir den Numm vun eisem Netzwierk un
Sécherheet Typ - WPA2 Enterprise
Akzeptéiert EAP Typen - TTLS
Benotzernumm a Passwuert - loosst eidel
Innere Authentifikatioun - PAP
Baussent Identitéit - Client
Vertrauen Tab. Hei weisen mir eis Domain un
All. De Profil kann gespäichert, ënnerschriwwen a verdeelt ginn op Apparater
Nodeems de Profil fäerdeg ass, musst Dir et op Ärem Mac eroflueden an installéieren. Wärend dem Installatiounsprozess musst Dir de usernmae_ldap a password_ldap vum Benotzer spezifizéieren:
iOS
De Prozess ass ähnlech wéi macOS. Dir musst e Profil benotzen (Dir kënnt dee selwechte benotzen wéi fir macOS. Kuckt hei uewen fir wéi een e Profil am Apple Configurator erstellt).
De Profil eroflueden, installéieren, Umeldungsinformatiounen aginn, konnektéieren:
Dat ass alles. Mir hunn de Radius-Server opgeriicht, et mat FreeIPA synchroniséiert, an den Ubiquiti Access Points gesot fir WPA2-EAP ze benotzen.
Méiglech Froen
IN: wéi engem Profil / Zertifikat un en Employé ze Transfert?
IWWERT: Ech späicheren all Certificaten / Profiler op FTP mat Zougang iwwer de Web. Ech Ariichten e Gaascht Reseau mat enger Vitesse Limite an Zougang nëmmen op den Internet, mat Ausnam vun FTP.
D'Authentifikatioun dauert 2 Deeg, duerno gëtt se zréckgesat an de Client bleift ouni Internet. Dat. Wann en Employé mat WiFi konnektéieren wëllt, verbënnt hien als éischt mam Gaaschtnetz, loggt op FTP, luet den Zertifikat oder de Profil erof, deen hie brauch, installéiert se, a kann dann mat dem Firmennetz verbannen.
IN: firwat net e Schema mat MSCHAPv2 benotzen? et ass méi sécher!
IWWERT: éischtens, dëst Schema funktionnéiert gutt op NPS (Windows Network Policy System), an eiser Ëmsetzung ass et néideg zousätzlech LDAP (FreeIpa) ze konfiguréieren a Passwuert-Hashes um Server ze späicheren. Addéieren. Et ass net ubruecht Astellungen ze maachen, well dëst kann zu verschiddene Probleemer mat der Synchroniséierung vum Ultraschallsystem féieren. Zweetens ass den Hash MD4, sou datt et net vill Sécherheet bäidréit
IN: Ass et méiglech Apparater mat Mac Adressen ze autoriséieren?
IWWERT: NEE, dëst ass net sécher, en Ugräifer kann MAC Adressen spoofen, an nach méi, Autorisatioun duerch MAC Adressen gëtt net op villen Apparater ënnerstëtzt
IN: Firwat all dës Certificaten iwwerhaapt benotzen? Dir kënnt ouni si konnektéieren
IWWERT: Certificaten gi benotzt fir de Server ze autoriséieren. Déi. Wann Dir konnektéiert, iwwerpréift den Apparat ob et e Server ass dee ka vertrauen oder net. Wann jo, da geet d'Authentifikatioun weider; wann net, ass d'Verbindung zou. Dir kënnt ouni Zertifikater konnektéieren, awer wann en Ugräifer oder Noper e Radiusserver an en Zougangspunkt mam selwechten Numm wéi bei eis doheem opstellt, kann hien d'Umeldungsinformatioune vum Benotzer einfach interceptéieren (vergiesst net datt se am Kloertext iwwerdroe ginn) . A wann e Certificat benotzt gëtt, gesäit de Feind a senge Logbicher nëmmen eise fiktive Benotzernumm - Gaascht oder Client an en Typfehler - Onbekannt CA Certificate
e bësse méi iwwer macOSNormalerweis, op macOS, gëtt d'Installatioun vum System iwwer Internet gemaach. Am Erhuelungsmodus muss de Mac mat WiFi verbonne sinn, a weder eise Firmen-WiFi nach de Gaaschtnetz funktionnéiert hei. Perséinlech hunn ech en anert Netzwierk installéiert, déi üblech WPA2-PSK, verstoppt, nëmme fir technesch Operatiounen. Oder Dir kënnt och e bootbar USB Flash Drive mam System am Viraus maachen. Awer wann Äre Mac no 2015 ass, musst Dir och en Adapter fir dëse Flash Drive fannen)
Source: will.com