🥇WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti

Daži korporatīvā WiFi organizēšanas piemēri jau ir aprakstīti. Šeit es aprakstīšu, kā es ieviesu līdzīgu risinājumu, un problēmas, ar kurām man nācās saskarties, veidojot savienojumu dažādās ierīcēs. Mēs izmantosim esošo LDAP ar reģistrētiem lietotājiem, paaugstināsim FreeRadius un konfigurēsim WPA2-Enterprise Ubnt kontrollerī. Šķiet, ka viss ir vienkārši. Paskatīsimies…

Mazliet par EAP metodēm

Pirms turpināt uzdevumu, mums jāizlemj, kuru autentifikācijas metodi izmantosim mūsu risinājumā.

No Vikipēdijas:

EAP ir autentifikācijas ietvars, ko bieži izmanto bezvadu tīklos un punkta-punkta savienojumos. Formāts pirmo reizi tika aprakstīts RFC 3748 un atjaunināts RFC 5247.
EAP tiek izmantots, lai atlasītu autentifikācijas metodi, nodotu atslēgas un apstrādātu šīs atslēgas ar spraudņiem, ko sauc par EAP metodēm. Ir daudzas EAP metodes, gan definētas ar pašu EAP, gan atsevišķi piegādātāji. EAP nedefinē saites slāni, tas nosaka tikai ziņojuma formātu. Katram protokolam, kas izmanto EAP, ir savs EAP ziņojumu iekapsulēšanas protokols.

Pašas metodes:

LEAP ir patentēts protokols, ko izstrādājis CISCO. Atrastas ievainojamības. Pašlaik to nav ieteicams lietot
EAP-TLS ir labi atbalstīts bezvadu pakalpojumu sniedzēju vidū. Tas ir drošs protokols, jo tas ir SSL standartu pēctecis. Klienta iestatīšana ir diezgan sarežģīta. Papildus parolei ir nepieciešams klienta sertifikāts. Atbalstīts daudzās sistēmās
EAP-TTLS - plaši atbalstīts daudzās sistēmās, piedāvā labu drošību, izmantojot PKI sertifikātus tikai autentifikācijas serverī
EAP-MD5 ir vēl viens atvērts standarts. Piedāvā minimālu drošību. Neaizsargāts, neatbalsta savstarpēju autentifikāciju un atslēgu ģenerēšanu
EAP-IKEv2 - pamatojoties uz interneta atslēgu apmaiņas protokola versiju 2. Nodrošina savstarpēju autentifikāciju un sesijas atslēgas izveidi starp klientu un serveri
PEAP ir CISCO, Microsoft un RSA Security kopīgs risinājums kā atvērts standarts. Plaši pieejams produktos, nodrošina ļoti labu drošību. Līdzīgi kā EAP-TTLS, servera pusē ir nepieciešams tikai sertifikāts
PEAPv0/EAP-MSCHAPv2 – pēc EAP-TLS šis ir otrais plaši izmantotais standarts pasaulē. Izmantotas klienta-servera attiecības Microsoft, Cisco, Apple, Linux
PEAPv1/EAP-GTC — izveidoja Cisco kā alternatīvu PEAPv0/EAP-MSCHAPv2. Nekādā veidā neaizsargā autentifikācijas datus. Nav atbalstīts operētājsistēmā Windows OS
EAP-FAST ir Cisco izstrādāta tehnika, lai labotu LEAP nepilnības. Izmanto aizsargātās piekļuves akreditācijas datus (PAC). Pilnīgi nepabeigts

No visas šīs daudzveidības izvēle joprojām nav liela. Bija nepieciešama autentifikācijas metode: laba drošība, atbalsts visās ierīcēs (Windows 10, macOS, Linux, Android, iOS) un, patiesībā, jo vienkāršāk, jo labāk. Tāpēc izvēle krita uz EAP-TTLS kopā ar PAP protokolu.
Var rasties jautājums - Kāpēc izmantot PAP? jo viņš pārsūta paroles skaidri?

Jā, tieši tā. Saziņa starp FreeRadius un FreeIPA notiks šādā veidā. Atkļūdošanas režīmā varat izsekot, kā tiek nosūtīts lietotājvārds un parole. Jā, un ļaujiet viņiem iet, tikai jums ir piekļuve FreeRadius serverim.

Jūs varat lasīt vairāk par EAP-TTLS darbu šeit

FreeRADIUS

FreeRadius tiks paaugstināts uz CentOS 7.6. Šeit nav nekā sarežģīta, mēs to iestatām parastajā veidā.

yum install freeradius freeradius-utils freeradius-ldap -y

No pakotnēm ir instalēta versija 3.0.13. Pēdējo var ņemt https://freeradius.org/

Pēc tam FreeRadius jau strādā. Jūs varat noņemt rindiņas komentārus mapē /etc/raddb/users

steve   Cleartext-Password := "testing"

Palaidiet serverī atkļūdošanas režīmā

freeradius -X

Un izveidojiet testa savienojumu no localhost

radtest steve testing 127.0.0.1 1812 testing123

Saņēma atbildi Saņemts Access-Accept ID 115 no 127.0.0.1:1812 līdz 127.0.0.1:56081 garums 20, tas nozīmē, ka viss ir kārtībā. Uz priekšu.

Mēs savienojam moduli ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

Un mēs to tūlīt mainīsim. Mums ir nepieciešams FreeRadius, lai varētu piekļūt FreeIPA

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

Restartējiet rādiusa serveri un pārbaudiet LDAP lietotāju sinhronizāciju:

radtest user_ldap password_ldap localhost 1812 testing123

Rediģēšana eap in mods-enabled/eap
Šeit mēs pievienojam divus eap gadījumus. Tie atšķirsies tikai ar sertifikātiem un atslēgām. Tālāk es paskaidrošu, kāpēc tas tā ir.

mods-enabled/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

Turpmāka rediģēšana vietne iespējota/noklusējums. Interesantas ir autorizācijas un autentifikācijas sadaļas.

vietne iespējota/noklusējums

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

Autorizācijas sadaļā mēs noņemam visus mums nevajadzīgos moduļus. Mēs atstājam tikai ldap. Pievienojiet klienta verifikāciju pēc lietotājvārda. Tāpēc iepriekš pievienojām divus eap gadījumus.

Vairāki EAPFakts ir tāds, ka, savienojot dažas ierīces, mēs izmantosim sistēmas sertifikātus un norādīsim domēnu. Mums ir sertifikāts un atslēga no uzticamas sertifikācijas iestādes. Personīgi, manuprāt, šāda savienojuma procedūra ir vienkāršāka, nekā katrai ierīcei uzmest pašparakstītu sertifikātu. Bet pat bez pašparakstītiem sertifikātiem tas tik un tā neizdevās. Samsung ierīces un Android =< 6 versijas nevar izmantot sistēmas sertifikātus. Tāpēc viņiem mēs izveidojam atsevišķu eap-guest gadījumu ar pašparakstītiem sertifikātiem. Visām pārējām ierīcēm mēs izmantosim eap-klientu ar uzticamu sertifikātu. Lietotājvārdu nosaka lauks Anonīms, kad ierīce ir pievienota. Ir atļautas tikai 3 vērtības: Viesis, Klients un tukšs lauks. Viss pārējais tiek izmests. Tas tiks konfigurēts politiķos. Es sniegšu piemēru nedaudz vēlāk.

Rediģēsim autorizācijas un autentifikācijas sadaļas vietne iespējota/iekšējais tunelis

vietne iespējota/iekšējais tunelis

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

Pēc tam politikās jānorāda, kurus vārdus var izmantot anonīmai pieteikšanai. Rediģēšana politika.d/filtrs.

Jums jāatrod rindas, kas līdzīgas šim:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

Un zemāk elsif pievienojiet vajadzīgās vērtības:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

Tagad mums ir jāpārvietojas uz direktoriju serti. Šeit jums jāievieto atslēga un sertifikāts no uzticamas sertifikācijas iestādes, kas mums jau ir, un ir jāģenerē eap-guest pašparakstītie sertifikāti.

Mainiet failā esošos parametrus ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

Mēs ierakstām vienādas vērtības failā serveris.cnf. Mēs maināmies tikai
parastais nosaukums:

serveris.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

Izveidot:

make

Gatavs. Saņemts serveris.crt и serveris.atslēga mēs jau esam reģistrējušies iepriekš eap-guest.

Un visbeidzot pievienosim failam savus piekļuves punktus klient.konf. Man tādu ir 7. Lai katru punktu neliktu atsevišķi, rakstīsim tikai tīklu, kurā tie atrodas (mani piekļuves punkti atrodas atsevišķā VLAN).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti kontrolieris

Kontrolerī mēs izveidojam atsevišķu tīklu. Lai tas būtu 192.168.2.0/24
Dodieties uz iestatījumi -> profils. Mēs izveidojam jaunu:

Mēs ierakstām rādiusa servera adresi un portu un paroli, kas tika ierakstīta failā clients.conf:

Izveidojiet jaunu bezvadu tīkla nosaukumu. Kā autentifikācijas metodi atlasiet WPA-EAP (Enterprise) un norādiet izveidoto rādiusa profilu:

Saglabājam visu, piesakāmies un dodamies tālāk.

Klientu iestatīšana

Sāksim ar grūtāko!

Windows 10

Grūtības ir saistītas ar faktu, ka Windows vēl nezina, kā izveidot savienojumu ar korporatīvo WiFi, izmantojot domēnu. Tāpēc mums ir manuāli jāaugšupielādē savs sertifikāts uzticamajā sertifikātu krātuvē. Šeit varat izmantot gan pašparakstītus, gan sertifikācijas iestādes. Es izmantošu otro.

Tālāk jums ir jāizveido jauns savienojums. Lai to izdarītu, dodieties uz tīkla un interneta iestatījumiem -> Tīkla un koplietošanas centrs -> Izveidojiet un konfigurējiet jaunu savienojumu vai tīklu:

Manuāli ievadiet tīkla nosaukumu un mainiet drošības veidu. Pēc tam, kad mēs noklikšķinām uz mainīt savienojuma iestatījumus un cilnē Drošība atlasiet tīkla autentifikāciju — EAP-TTLS.

Mēs iedziļināmies parametros, nosakām autentifikācijas konfidencialitāti - klients. Kā uzticama sertifikācijas iestāde atlasiet mūsu pievienoto sertifikātu, atzīmējiet izvēles rūtiņu "Neizsniegt lietotājam ielūgumu, ja serveri nevar autorizēt" un atlasiet autentifikācijas metodi - nešifrētā parole (PAP).

Pēc tam dodieties uz papildu iestatījumiem, atzīmējiet "Norādīt autentifikācijas režīmu". Izvēlieties "Lietotāja autentifikācija" un noklikšķiniet uz saglabāt akreditācijas datus. Šeit jums būs jāievada lietotājvārds_ldap un parole_ldap

Visu saglabājam, piesakāmies, aizveram. Varat izveidot savienojumu ar jaunu tīklu.

Linux

Es pārbaudīju Ubuntu 18.04, 18.10, Fedora 29, 30.

Vispirms lejupielādēsim mūsu sertifikātu. Linuxā neatradu, vai var izmantot sistēmas sertifikātus un vai vispār ir tāds veikals.

Savienosimies ar domēnu. Tāpēc mums ir nepieciešams sertifikāts no sertifikācijas iestādes, no kuras mūsu sertifikāts tika iegādāts.

Visi savienojumi tiek veikti vienā logā. Izvēloties mūsu tīklu:

anonīms-klients
domēns - domēns, kuram izsniegts sertifikāts

android

kas nav Samsung

Sākot ar 7. versiju, savienojot WiFi, varat izmantot sistēmas sertifikātus, norādot tikai domēnu:

domēns - domēns, kuram izsniegts sertifikāts
anonīms-klients

samsung

Kā jau rakstīju iepriekš, Samsung ierīces neprot izmantot sistēmas sertifikātus, pieslēdzoties WiFi, un tām nav iespēju izveidot savienojumu caur domēnu. Tādēļ jums manuāli jāpievieno sertifikācijas iestādes saknes sertifikāts (ca.pem, mēs to ņemam uz Radius servera). Šeit tiks izmantots pašparakstītais.

Lejupielādējiet sertifikātu savā ierīcē un instalējiet to.

Sertifikāta uzstādīšana

Tajā pašā laikā jums būs jāiestata ekrāna atbloķēšanas modelis, PIN kods vai parole, ja tas vēl nav iestatīts:

Es parādīju sarežģītu sertifikāta instalēšanas versiju. Lielākajā daļā ierīču vienkārši noklikšķiniet uz lejupielādētā sertifikāta.

Kad sertifikāts ir instalēts, varat turpināt savienojumu:

sertifikāts - norādiet to, kas tika instalēts
anonīms lietotājs - viesis

macOS

Apple ierīces no komplektācijas var izveidot savienojumu tikai ar EAP-TLS, taču tām joprojām ir jāiesniedz sertifikāts. Lai norādītu citu savienojuma metodi, ir jāizmanto Apple Configurator 2. Attiecīgi vispirms tas ir jālejupielādē savā Mac datorā, jāizveido jauns profils un jāpievieno visi nepieciešamie WiFi iestatījumi.

Apple Configurator

Šeit ievadiet sava tīkla nosaukumu
Drošības veids - WPA2 Enterprise
Pieņemtie EAP veidi — TTLS
Lietotājvārds un parole - atstājiet tukšu
Iekšējā autentifikācija — PAP
Ārējā identitāte-klients

Uzticības cilne. Šeit mēs norādām savu domēnu

Visi. Profilu var saglabāt, parakstīt un izplatīt ierīcēs

Kad profils ir gatavs, tas ir jālejupielādē magonē un jāinstalē. Instalēšanas procesa laikā jums būs jānorāda lietotāja usernmae_ldap un password_ldap:

iOS

Process ir līdzīgs macOS. Jums ir jāizmanto profils (varat izmantot to pašu, ko MacOS. Kā izveidot profilu programmā Apple Configurator, skatiet iepriekš).

Lejupielādējiet profilu, instalējiet, ievadiet akreditācijas datus, izveidojiet savienojumu:

Tas ir viss. Mēs uzstādījām Radius serveri, sinhronizējām to ar FreeIPA un likām Ubiquiti AP izmantot WPA2-EAP.

Iespējamie jautājumi

In: kā darbiniekam nodot profilu/sertifikātu?

Par: Es glabāju visus sertifikātus/profilus ftp ar tīmekļa piekļuvi. Izveidoja viesu tīklu ar ātruma ierobežojumu un piekļuvi tikai internetam, izņemot ftp.
Autentifikācija ilgst 2 dienas, pēc tam tā tiek atiestatīta un klients paliek bez interneta. Tas. kad darbinieks vēlas izveidot savienojumu ar WiFi, viņš vispirms izveido savienojumu ar viesu tīklu, piekļūst FTP, lejupielādē viņam nepieciešamo sertifikātu vai profilu, instalē to un pēc tam var izveidot savienojumu ar korporatīvo tīklu.

In: kāpēc neizmantot shēmu ar MSCHAPv2? Viņa ir drošāka!

Par: Pirmkārt, šāda shēma labi darbojas uz NPS (Windows tīkla politikas sistēma), mūsu ieviešanā ir nepieciešams papildus konfigurēt LDAP (FreeIpa) un serverī saglabāt paroļu jaucējus. Pievienot. nav vēlams veikt iestatījumus, jo. tas var izraisīt dažādas ultraskaņas sinhronizācijas problēmas. Otrkārt, hash ir MD4, tāpēc tas nepalielina drošību.

In: vai ir iespējams autorizēt ierīces pēc mac adresēm?

Par: NĒ, tas nav droši, uzbrucējs var mainīt MAC adreses, un vēl jo vairāk autorizācija pēc MAC adresēm netiek atbalstīta daudzās ierīcēs.

In: ko vispār izmantot visiem šiem sertifikātiem? vai bez viņiem var pievienoties?

Par: sertifikāti tiek izmantoti, lai autorizētu serveri. Tie. pieslēdzoties ierīce pārbauda, vai tas ir serveris, kuram var uzticēties vai nē. Ja tā ir, tad autentifikācija turpinās, ja nē, savienojums tiek aizvērts. Varat izveidot savienojumu bez sertifikātiem, taču, ja uzbrucējs vai kaimiņš mājās iestata rādiusa serveri un piekļuves punktu ar tādu pašu nosaukumu kā mums, viņš var viegli pārtvert lietotāja akreditācijas datus (neaizmirstiet, ka tie tiek pārsūtīti skaidrā tekstā). Un, kad tiek izmantots sertifikāts, ienaidnieks savos žurnālos redzēs tikai mūsu fiktīvo lietotājvārdu - viesis vai klients un tipa kļūdu - nezināms CA sertifikāts.

nedaudz vairāk par macOSParasti operētājsistēmā macOS sistēmas atkārtota instalēšana tiek veikta, izmantojot internetu. Atkopšanas režīmā Mac jābūt savienotam ar WiFi, un šeit nedarbosies ne mūsu uzņēmuma WiFi, ne viesu tīkls. Personīgi es izcēlu citu tīklu, parasto WPA2-PSK, slēptu, tikai tehniskām darbībām. Vai arī jūs joprojām varat iepriekš izveidot sāknējamu USB zibatmiņas disku, izmantojot sistēmu. Bet, ja magone ir pēc 2015. gada, jums joprojām būs jāatrod adapteris šim zibatmiņas diskam)

Avots: www.habr.com

WiFi uzņēmums. FreeRadius + FreeIPA + Ubiquiti