Ny ohatra sasany amin'ny fandaminana ny WiFi orinasa dia efa nofaritana. Eto aho dia hilazalaza ny fomba nametrahako vahaolana toy izany sy ny olana sendra ahy rehefa mifandray amin'ny fitaovana samihafa. Hampiasa ny LDAP efa misy izahay miaraka amin'ireo mpampiasa efa miorina, hametraka FreeRadius ary amboary ny WPA2-Enterprise amin'ny mpifehy Ubnt. Toa tsotra ny zava-drehetra. Andao hojerena…
Kely momba ny fomba EAP
Alohan'ny hanombohantsika ny asa dia mila manapa-kevitra isika hoe inona ny fomba fanamarinana hampiasaina amin'ny vahaolana.
Avy amin'ny Wikipedia:
Ny EAP dia rafitra fanamarinana izay matetika ampiasaina amin'ny tambajotra tsy misy tariby sy fifandraisana point-to-point. Ny endrika dia nofaritana voalohany tao amin'ny RFC 3748 ary nohavaozina tao amin'ny RFC 5247.
EAP dia ampiasaina hisafidianana fomba fanamarinana, famindrana fanalahidy, ary fanodinana ireo fanalahidy ireo amin'ny alàlan'ny plugins antsoina hoe fomba EAP. Misy fomba maro EAP, samy voafaritra amin'ny EAP manokana sy ireo navoakan'ny mpivarotra tsirairay. Ny EAP dia tsy mamaritra ny sosona rohy fa mamaritra ny endrika hafatra ihany. Ny protocole tsirairay mampiasa ny EAP dia manana ny protocole encapsulation hafatra EAP manokana.
Ny fomba ihany:
- LEAP dia protocol proprietary novolavolain'ny CISCO. Hita ny vulnerability. Tsy soso-kevitra hampiasaina amin'izao fotoana izao
- EAP-TLS dia tohana tsara amin'ireo mpivarotra tsy misy tariby. Protocol azo antoka izy io satria izy no mpandimby ny fenitra SSL. Ny fametrahana ny mpanjifa dia somary sarotra. Mila taratasy fanamarinana mpanjifa ianao ankoatra ny tenimiafina. Tohanana amin'ny rafitra maro
- EAP-TTLS - tohanana betsaka amin'ny rafitra maro, manome fiarovana tsara amin'ny alàlan'ny certificat PKI raha tsy amin'ny mpizara fanamarinana
- EAP-MD5 dia fenitra misokatra hafa. Manolotra fiarovana kely indrindra. vulnerable, tsy manohana ny fanamarinana sy ny famoronana fototra
- EAP-IKEv2 - mifototra amin'ny Internet Key Exchange Protocol dikan-2.
- PEAP dia vahaolana iraisan'ny CISCO, Microsoft ary ny RSA Security ho fenitra misokatra. Be dia be amin'ny vokatra, manome fiarovana tena tsara. Mitovy amin'ny EAP-TTLS, mila taratasy fanamarinana amin'ny lafiny mpizara ihany
- PEAPv0/EAP-MSCHAPv2 - Taorian'ny EAP-TLS, ity no fenitra faharoa be mpampiasa eran'izao tontolo izao. Fifandraisana amin'ny mpanjifa amin'ny serivisy amin'ny Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Noforonin'ny Cisco ho solon'ny PEAPv0/EAP-MSCHAPv2. Tsy miaro ny angona fanamarinana amin'ny fomba rehetra. Tsy tohana amin'ny Windows OS
- Ny EAP-FAST dia fomba novolavolain'ny Cisco hanitsiana ny lesoka amin'ny LEAP. Mampiasa fahazoan-dàlana azo antoka (PAC). Tsy vita tanteraka
Amin'ireo karazany rehetra ireo, ny safidy dia mbola tsy lehibe. Ny fomba fanamarinana ilaina: fiarovana tsara, fanohanana amin'ny fitaovana rehetra (Windows 10, macOS, Linux, Android, iOS) ary, raha ny marina, ny tsotra kokoa ny tsara kokoa. Noho izany, ny safidy dia nianjera tamin'ny EAP-TTLS miaraka amin'ny protocol PAP.
Mety hipoitra ny fanontaniana - Nahoana no mampiasa PAP? Rehefa dinihina tokoa, dia mampita tenimiafina amin'ny lahatsoratra mazava?
Eny marina izany. Ny fifandraisana eo amin'ny FreeRadius sy ny FreeIPA dia hatao tahaka izao. Amin'ny fomba debug, azonao atao ny manara-maso ny fandefasana ny solonanarana sy ny tenimiafina. Eny, ary avelao izy ireo handeha, ianao ihany no afaka miditra amin'ny mpizara FreeRadius.
Afaka mamaky bebe kokoa momba ny fomba fiasan'ny EAP-TTLS ianao
FreeRADIUS
Hanavao ny FreeRadius amin'ny CentOS 7.6. Tsy misy sarotra eto, apetrakay amin'ny fomba mahazatra.
yum install freeradius freeradius-utils freeradius-ldap -yAmin'ireo fonosana dia napetraka ny version 3.0.13. Ity farany dia azo raisina amin'ny
Aorian'izany dia efa miasa sahady ny FreeRadius. Azonao atao ny manala ny tsipika ao amin'ny /etc/raddb/users
steve Cleartext-Password := "testing"Alefaso any amin'ny mpizara amin'ny fomba debug
freeradius -XAry manaova fifandraisana fitsapana avy amin'ny localhost
radtest steve testing 127.0.0.1 1812 testing123Nahazo valiny izahay Nahazo Access-Accept Id 115 avy amin'ny 127.0.0.1:1812 hatramin'ny 127.0.0.1:56081 halavany 20, midika izany fa OK ny zava-drehetra. Ataovy tsy am-pihambahambana.
Mampifandray ny module LDAP.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapAry hanova izany avy hatrany izahay. Mila FreeRadius izahay vao afaka miditra amin'ny FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Avereno indray ny mpizara radius ary jereo ny fampifanarahana ny mpampiasa LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Fanovana eap in mods-enabled/eap
Eto isika dia hanampy ohatra roa momba ny eap. Izy ireo dia tsy hitovy afa-tsy amin'ny fanamarinana sy ny fanalahidy. Hazavaiko eto ambany hoe nahoana no marina izany.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Manaraka izany dia manova isika site-enabled/default. Liana amin'ny fizarana manome alalana sy manamarina aho.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Ao amin'ny fizarana manome alalana dia esorinay ny modules rehetra izay tsy ilainay. ldap ihany no avelanay. Ampio ny fanamarinana mpanjifa amin'ny solonanarana. Izany no nahatonga anay nanampy tranga roa momba ny eap etsy ambony.
Multi EAPNy zava-misy dia rehefa mampifandray fitaovana sasany isika dia hampiasa ny mari-pamantarana rafitra ary hamaritra ny sehatra. Manana mari-pankasitrahana sy lakile avy amina manam-pahefana azo itokisana izahay. Raha ny hevitro manokana, ity fomba fifandraisana ity dia tsotra kokoa noho ny manipy taratasy fanamarinana nosoniavin'ny tena amin'ny fitaovana tsirairay. Saingy na dia tsy nisy taratasy fanamarinana nosoniavin'ny tena aza dia tsy azo natao ny niala. Ny fitaovana Samsung sy ny Android =<6 dia tsy mahafantatra ny fomba fampiasana ny fanamarinana rafitra. Noho izany, mamorona ohatra misaraka amin'ny eap-vahiny ho azy ireo izahay miaraka amin'ny mari-pankasitrahana nosoniavin'ny tena. Ho an'ny fitaovana hafa rehetra dia hampiasa eap-client miaraka amin'ny taratasy fanamarinana azo itokisana izahay. Ny anaran'ny mpampiasa dia faritana amin'ny saha Anonymous rehefa mampifandray ny fitaovana. Soatoavina 3 ihany no avela: vahiny, mpanjifa ary saha tsy misy na inona na inona. Ny ambiny dia ariana avokoa. Azo amboarina amin'ny politika izany. Hanome ohatra aho aoriana kely.
Andao hanova ny fizarana manome alalana sy hanamarina ao site-enabled/inner-tunnel
site-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Manaraka, mila mamaritra ao amin'ny politika izay anarana azo ampiasaina amin'ny fidirana tsy mitonona anarana ianao. nanova politika.d/sivana.
Mila mahita andalana mitovy amin'ity ianao:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ary eto ambany ao amin'ny elsif ampio ny soatoavina ilaina:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ankehitriny dia mila mifindra any amin'ny lahatahiry taratasy fanamarinana. Eto isika dia mila mametraka ny fanalahidy sy ny taratasy fanamarinana avy amin'ny fahefana fanamarinana azo itokisana, izay efa ananantsika, ary mila mamorona mari-pankasitrahana nosoniavin'ny tena ho an'ny vahiny.
Fanovana ny masontsivana ao anaty rakitra ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Manorata sanda mitovy amin'ny rakitra izahay server.cnf. Miova ihany isika
commonName:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Mamorona izahay:
makeVonona. NORAISINY server.crt и server.key Efa nisoratra anarana etsy ambony amin'ny eap-guest izahay.
Ary farany, ndao hampiditra ireo teboka fidirana amin'ny rakitra client.conf. Manana 7 amin'izy ireo aho. Mba tsy hampidirana ny teboka tsirairay misaraka dia ny tambajotra misy azy ireo ihany no hisoratra anarana (ao amin'ny VLAN mitokana ny toerana misy ahy).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti controller
Manangana tambajotra misaraka amin'ny mpanara-maso izahay. Aoka ho 192.168.2.0/24
Mandehana any amin'ny Settings -> Profile. Andao hamorona vaovao:
Soraty ny adiresy sy seranan-tsambon'ny mpizara radius ary ny tenimiafina voasoratra ao anaty rakitra clients.conf:
Mamorona anarana tambajotra tsy misy tariby vaovao. Safidio ny WPA-EAP (Enterprise) ho fomba fanamarinana ary mariho ny mombamomba ny radius noforonina:
Mamonjy ny zava-drehetra izahay, mampihatra izany ary mandroso.
Fametrahana mpanjifa
Andeha isika hanomboka amin'ny ampahany sarotra indrindra!
Windows 10
Ny fahasahiranana dia tonga amin'ny hoe tsy mbola hain'i Windows ny mampifandray amin'ny WiFi orinasa amin'ny sehatra iray. Noho izany, tsy maintsy mampakatra an-tanana ny taratasy fanamarinanay any amin'ny fivarotana fanamarinana azo itokisana. Eto ianao dia afaka mampiasa na sonia manokana na iray avy amin'ny manampahefana fanamarinana. Ny faharoa no hampiasaiko.
Avy eo dia mila mamorona fifandraisana vaovao ianao. Mba hanaovana izany, mandehana any amin'ny Network and Internet Settings -> Network and Sharing Center -> Mamorona sy manamboatra fifandraisana na tambajotra vaovao:
Ampidiro amin'ny tanana ny anaran'ny tambajotra ary ovainay ny karazana fiarovana. Dia tsindrio eo hanova ny toe-javatra fifandraisana ary ao amin'ny tabilao Security, safidio ny fanamarinana tambajotra - EAP-TTLS.
Mandehana any amin'ny Settings, mametraka ny tsiambaratelon'ny fanamarinana - mpanjifa. Amin'ny maha-tompon'andraikitra fanamarinana azo itokisana, safidio ny taratasy fanamarinana nampianay, jereo ny boaty "Aza manome fanasana ho an'ny mpampiasa raha tsy mahazo alàlana ny mpizara" ary safidio ny fomba fanamarinana - tenimiafina plaintext (PAP).
Manaraka, mandehana any amin'ny paramètre fanampiny ary jereo ny boaty "Specify authentication mode." Mifidiana "User Authentication" ary tsindrio eo tehirizo ny fahazoan-dàlana. Eto ianao dia mila miditra username_ldap sy password_ldap
Mitahiry, mampihatra, manidy ny zava-drehetra izahay. Afaka mifandray amin'ny tambajotra vaovao ianao.
Linux
Nanandrana tamin'ny Ubuntu 18.04, 18.10, Fedora 29, 30 aho.
Voalohany, alao ho anao ny taratasy fanamarinana. Tsy hitako tao amin'ny Linux na azo atao ny mampiasa certificat system na misy fivarotana toy izany mihitsy.
Hifandray amin'ny alàlan'ny sehatra izahay. Noho izany, mila taratasy fanamarinana avy amin'ny manampahefana fanamarinana izay nividianana ny taratasy fanamarinana izahay.
Ny fifandraisana rehetra dia atao amin'ny varavarankely iray. Safidio ny tambajotranay:
tsy fantatra anarana - mpanjifa
domain — ny sehatra namoahana ny taratasy fanamarinana
Android
tsy Samsung
Avy amin'ny dikan-teny 7, rehefa mampifandray ny WiFi dia azonao atao ny mampiasa taratasy fanamarinana rafitra amin'ny alàlan'ny famaritana ny sehatra ihany:
domain — ny sehatra namoahana ny taratasy fanamarinana
tsy fantatra anarana - mpanjifa
Samsung
Araka ny nosoratako etsy ambony, ny fitaovana Samsung dia tsy mahafantatra ny fomba fampiasana ny fanamarinana rafitra rehefa mampifandray ny WiFi, ary tsy manana fahafahana mifandray amin'ny sehatra. Noho izany, mila ampidirinao amin'ny tanana ny taratasy fanamarinana fototra amin'ny fahefana fanamarinana (ca.pem, alao avy amin'ny mpizara Radius). Eo no hampiasaina ny sonia tena.
Ampidino amin'ny fitaovanao ny taratasy fanamarinana ary apetraho.
Fametrahana taratasy fanamarinana
Amin'ity tranga ity dia mila mametraka lamina fanalana ny efijery ianao, kaody PIN na tenimiafina, raha tsy efa napetraka:
Nasehoko ny safidy sarotra amin'ny fametrahana taratasy fanamarinana. Amin'ny ankamaroan'ny fitaovana, tsindrio fotsiny ny taratasy fanamarinana alaina.
Rehefa napetraka ny taratasy fanamarinana dia azonao atao ny miroso amin'ny fifandraisana:
taratasy fanamarinana - manondro ny iray napetrakao
mpampiasa tsy mitonona anarana - vahiny
macOS
Ny fitaovana Apple dia tsy afaka mifandray amin'ny EAP-TLS ivelan'ny boaty ihany, fa mbola mila manome azy ireo taratasy fanamarinana ianao. Mba hamaritana fomba fifandraisana hafa dia mila mampiasa Apple Configurator 2 ianao. Noho izany, mila misintona azy voalohany amin'ny Mac ianao, mamorona mombamomba vaovao ary ampio ny fikandrana WiFi ilaina rehetra.
Apple Configurator
Eto izahay dia manondro ny anaran'ny tambajotranay
Karazana fiarovana - WPA2 Enterprise
Karazana EAP ekena - TTLS
Anarana mpampiasa sy tenimiafina - avelao ho foana
Fanamarinana anatiny - PAP
Outer Identity - mpanjifa
Tab matoky. Eto izahay dia manondro ny sehatra misy anay
Rehetra. Ny mombamomba dia azo tehirizina, sonia ary zaraina amin'ny fitaovana
Rehefa vonona ny mombamomba azy dia mila misintona azy amin'ny Mac ianao ary mametraka azy. Mandritra ny dingana fametrahana dia mila mamaritra ny usernmae_ldap sy password_ldap an'ny mpampiasa ianao:
iOS
Ny dingana dia mitovy amin'ny macOS. Mila mampiasa profil ianao (afaka mampiasa mitovy amin'ny macOS ianao. Jereo etsy ambony ny fomba hamoronana mombamomba ao amin'ny Apple Configurator).
Ampidino ny mombamomba, apetraho, ampidiro ny fahazoan-dàlana, mampifandray:
Izay ihany. Nanangana ny lohamilina Radius izahay, nampifanaraka izany tamin'ny FreeIPA, ary nilaza tamin'ireo teboka fidirana Ubiquiti hampiasa WPA2-EAP.
Fanontaniana mety
IN: ahoana ny famindrana ny mombamomba/certificat amin'ny mpiasa iray?
O: Mitahiry ny mari-pankasitrahana/profil rehetra ao amin'ny FTP aho miaraka amin'ny fidirana amin'ny Internet. Nanangana tambajotra vahiny aho miaraka amin'ny fetran'ny hafainganam-pandeha ary ny fidirana amin'ny Internet ihany, afa-tsy ny FTP.
Maharitra 2 andro ny fanamarinana, aorian'izay dia averina ary avela tsy misy Internet ny mpanjifa. Izany. Rehefa te-hifandray amin'ny WiFi ny mpiasa iray, dia mifandray amin'ny tambajotran'ny vahiny aloha izy, miditra ao amin'ny FTP, misintona ny taratasy fanamarinana na mombamomba ilainy, mametraka azy ireo, ary avy eo dia afaka mifandray amin'ny tambajotra orinasa.
IN: maninona raha mampiasa tetika miaraka amin'ny MSCHAPv2? azo antoka kokoa!
O: voalohany, ity tetika ity dia miasa tsara amin'ny NPS (Windows Network Policy System), amin'ny fampiharana ataontsika dia ilaina ny manitsy ny LDAP (FreeIpa) ary mitahiry tenimiafina ao amin'ny server. Ampio. Tsy mety ny manao setting, satria izany dia mety hitarika ho amin`ny olana isan-karazany amin`ny synchronization ny rafitra fitarafana. Faharoa, ny hash dia MD4, noho izany dia tsy manampy fiarovana firy
IN: Azo atao ve ny manome alalana ny fitaovana mampiasa adiresy mac?
O: TSIA, tsy azo antoka izany, ny mpanafika dia afaka mamitaka ny adiresy MAC, ary mihoatra noho izany aza, ny fanomezan-dàlana amin'ny adiresy MAC dia tsy tohanana amin'ny fitaovana maro.
IN: Nahoana no mampiasa an'ireo taratasy fanamarinana rehetra ireo? afaka mifandray tsy misy azy ireo ianao
O: ny taratasy fanamarinana dia ampiasaina hanomezana alalana ny mpizara. Ireo. Rehefa mifandray dia manamarina ny fitaovana raha mpizara azo itokisana izy io na tsia. Raha izany no izy, dia mandeha ny fanamarinana; raha tsy izany dia mikatona ny fifandraisana. Afaka mifandray tsy misy certificat ianao, fa raha misy mpanafika na mpifanolo-bodirindrina iray manangana server radius sy toerana fidirana mitovy anarana amin'ny anay ao an-trano, dia azony atao ny manakana mora foana ny mombamomba ny mpampiasa (aza adino fa alefa amin'ny lahatsoratra mazava) . Ary rehefa certificat no ampiasaina dia tsy ho hitan'ny fahavalo ao amin'ny diariny afa-tsy ny Anaran'ny mpampiasa foronina - vahiny na mpanjifa ary fahadisoana karazana - Certificate CA tsy fantatra
bebe kokoa momba ny macOSAmin'ny ankapobeny, amin'ny macOS, ny fametrahana indray ny rafitra dia atao amin'ny alàlan'ny Internet. Amin'ny fomba fanarenana, ny Mac dia tsy maintsy mifandray amin'ny WiFi, ary na ny WiFi orinasa na ny tambajotra vahiny dia tsy hiasa eto. Izaho manokana dia nametraka tambajotra hafa, ny mahazatra WPA2-PSK, miafina, ho an'ny asa ara-teknika ihany. Na azonao atao koa ny manamboatra USB flash drive miaraka amin'ny rafitra mialoha. Fa raha ny Mac dia aorian'ny 2015, mila mitady adaptatera ho an'ity kapila tselatra ity koa ianao)
Source: www.habr.com