WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti

Веќе се опишани некои примери за организирање на корпоративна WiFi. Овде ќе опишам како имплементирав слично решение и проблемите со кои морав да се соочам при поврзување на различни уреди. Ќе го користиме постоечкиот LDAP со регистрирани корисници, ќе го подигнеме FreeRadius и ќе го конфигурираме WPA2-Enterprise на контролерот Ubnt. Се чини дека сè е едноставно. Ајде да видиме…

Малку за методите на EAP

Пред да продолжиме со задачата, треба да одлучиме кој метод за автентикација ќе го користиме во нашето решение.

Од Википедија:

EAP е рамка за автентикација која често се користи во безжични мрежи и поврзувања од точка до точка. Форматот првпат беше опишан во RFC 3748 и ажуриран во RFC 5247.
EAP се користи за избор на метод за автентикација, за пренесување клучеви и за обработка на тие клучеви со приклучоци наречени методи EAP. Постојат многу методи на EAP, и дефинирани со самиот EAP и објавени од индивидуални продавачи. EAP не го дефинира слојот за врска, го дефинира само форматот на пораката. Секој протокол кој користи EAP има свој протокол за енкапсулација на пораки EAP.

Самите методи:

• LEAP е комерцијален протокол развиен од CISCO. Пронајдени ранливости. Во моментов не се препорачува да се користи
• EAP-TLS е добро поддржан меѓу продавачите на безжична мрежа. Тој е безбеден протокол бидејќи е наследник на SSL стандардите. Поставувањето на клиентот е доста комплицирано. Покрај лозинката, потребен ви е сертификат за клиент. Поддржано на многу системи
• EAP-TTLS - широко поддржан на многу системи, нуди добра безбедност со користење на PKI сертификати само на серверот за автентикација
• EAP-MD5 е уште еден отворен стандард. Нуди минимална безбедност. Ранлив, не поддржува меѓусебна автентикација и генерирање клучеви
• EAP-IKEv2 - базиран на Протоколот за размена на клучеви за Интернет верзија 2. Обезбедува взаемна автентикација и воспоставување клуч за сесија помеѓу клиентот и серверот
• PEAP е заедничко решение на CISCO, Microsoft и RSA Security како отворен стандард. Широко достапен во производите, обезбедува многу добра безбедност. Слично на EAP-TTLS, бара само сертификат од страната на серверот
• PEAPv0/EAP-MSCHAPv2 - по EAP-TLS, ова е втор широко користен стандард во светот. Користена врска клиент-сервер во Microsoft, Cisco, Apple, Linux
• PEAPv1/EAP-GTC - Создаден од Cisco како алтернатива на PEAPv0/EAP-MSCHAPv2. Не ги заштитува податоците за автентикација на кој било начин. Не е поддржано на Windows OS
• EAP-FAST е техника развиена од Cisco за да се поправат недостатоците на LEAP. Користи акредитиви за заштитен пристап (PAC). Целосно недовршена

Од сета оваа разновидност, изборот сè уште не е голем. Беше потребен метод за автентикација: добра безбедност, поддршка на сите уреди (Windows 10, macOS, Linux, Android, iOS) и, всушност, колку поедноставно, толку подобро. Затоа, изборот падна на EAP-TTLS во врска со протоколот PAP.
Може да се појави прашањето - Зошто да се користи ПАП? затоа што тој пренесува лозинки на чисто?

Да тоа е точно. Комуникацијата помеѓу FreeRadius и FreeIPA ќе се одвива на овој начин. Во режимот за отстранување грешки, можете да следите како се испраќаат корисничкото име и лозинката. Да, и пуштете ги, само вие имате пристап до серверот FreeRadius.

Можете да прочитате повеќе за работата на EAP-TTLS тука

Слободен РАДИУС

FreeRadius ќе се подигне на CentOS 7.6. Тука нема ништо комплицирано, го поставивме на вообичаен начин.

yum install freeradius freeradius-utils freeradius-ldap -y

Верзијата 3.0.13 е инсталирана од пакетите. Вториот може да се земе https://freeradius.org/

После тоа, FreeRadius веќе работи. Можете да ја декоментирате линијата во /etc/raddb/users

steve   Cleartext-Password := "testing"

Стартувајте во серверот во режим за отстранување грешки

freeradius -X

И направете тест врска од localhost

radtest steve testing 127.0.0.1 1812 testing123

Доби одговор Примен пристап-Прифати ID 115 од 127.0.0.1:1812 до 127.0.0.1:56081 должина 20, тоа значи дека се е во ред. Само напред.

Го поврзуваме модулот ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

И веднаш ќе го промениме. Ни треба FreeRadius за да можеме да пристапиме до FreeIPA

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

Рестартирајте го серверот за радиус и проверете ја синхронизацијата на корисниците на LDAP:

radtest user_ldap password_ldap localhost 1812 testing123

Уредување eap in mods-овозможено/eap
Овде додаваме два примери на eap. Тие ќе се разликуваат само во сертификати и клучеви. Подолу ќе објаснам зошто е тоа така.

mods-овозможено/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

Понатамошно уредување овозможено/стандардно на страницата. Секциите за авторизирање и автентикација се од интерес.

овозможено/стандардно на страницата

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

Во делот за авторизирање, ги отстрануваме сите модули што не ни се потребни. Оставаме само ldap. Додајте потврда на клиентот по корисничко име. Затоа погоре додадовме два примери на eap.

Мулти EAPФакт е дека при поврзување на некои уреди, ќе користиме системски сертификати и ќе го наведеме доменот. Имаме сертификат и клуч од доверлив орган за сертификати. Лично, според мое мислење, таквата процедура за поврзување е полесна отколку да се фрли самопотпишан сертификат на секој уред. Но, дури и без самопотпишани сертификати, сè уште не успеа. Уредите на Samsung и верзии на Android =< 6 не можат да користат системски сертификати. Затоа, создаваме посебен пример на eap-гостин за нив со самопотпишани сертификати. За сите други уреди, ќе го користиме eap-client со доверлив сертификат. Корисничкото име се одредува со полето Анонимно кога уредот е поврзан. Дозволени се само 3 вредности: гостин, клиент и празно поле. Се друго е отфрлено. Ќе се конфигурира кај политичарите. Ќе дадам пример малку подоцна.

Ајде да ги уредиме секциите за авторизирање и автентикација во овозможено место/внатрешен тунел

овозможено место/внатрешен тунел

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

Следно, треба да наведете во политиките кои имиња може да се користат за анонимно најавување. Уредување политика.d/filter.

Треба да најдете линии слични на ова:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

И подолу во elif додадете ги саканите вредности:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

Сега треба да се префрлиме во директориумот потврди. Овде треба да го ставите клучот и сертификатот од доверлив орган за сертификати, кои веќе ги имаме и треба да генерираме самопотпишани сертификати за eap-guest.

Променете ги параметрите во датотеката ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

Ги пишуваме истите вредности во датотеката сервер.cnf. Се менуваме само
заедничко име:

сервер.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

Креирај:

make

Подготвени. Примено сервер.crt и сервер.клуч веќе се регистриравме погоре во eap-guest.

И, конечно, да ги додадеме нашите точки за пристап во датотеката клиент.конф. Имам 7. За да не ја додаваме секоја точка посебно, ќе ја напишеме само мрежата во која се наоѓаат (пристапните точки ми се во посебен VLAN).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Убиквити контролер

Подигнуваме посебна мрежа на контролорот. Нека биде 192.168.2.0/24
Одете во поставки -> профил. Ние создаваме нов:

Ја пишуваме адресата и портата на серверот за радиус и лозинката што е напишана во датотеката клиенти.conf:

Креирајте ново име за безжична мрежа. Изберете WPA-EAP (Enterprise) како метод за автентикација и наведете го креираниот профил на радиус:

Заштедуваме сè, аплицираме и продолжуваме понатаму.

Поставување клиенти

Да почнеме со најтешкото!

Windows 10

Тешкотијата се сведува на фактот дека Windows сè уште не знае како да се поврзе со корпоративна WiFi преку домен. Затоа, мора рачно да го поставиме нашиот сертификат во доверливата продавница за сертификати. Овде можете да користите и самопотпишани и од органот за сертификација. Ќе го користам вториот.

Следно, треба да креирате нова врска. За да го направите ова, одете до поставките за мрежа и Интернет -> Центар за мрежи и споделување -> Креирајте и конфигурирајте нова врска или мрежа:

Рачно внесете го името на мрежата и променете го типот на безбедност. Откако ќе кликнете на промена на поставките за поврзување и во картичката Безбедност, изберете мрежна автентикација - EAP-TTLS.

Влегуваме во параметрите, ја пропишуваме доверливоста на автентикацијата - клиентот. Како доверлив орган за сертификација, изберете го сертификатот што го додадовме, штиклирајте го полето „Не издавај покана за корисникот ако серверот не може да се овласти“ и изберете го методот за автентикација - нешифрирана лозинка (PAP).

Следно, одете до напредните поставки, ставете штиклирање на „Наведете го режимот за автентикација“. Изберете „Корисничка автентикација“ и кликнете на зачувај акредитиви. Овде ќе треба да внесете username_ldap и password_ldap

Заштедуваме сè, аплицираме, затвораме. Можете да се поврзете на нова мрежа.

Linux

Тестирав на Ubuntu 18.04, 18.10, Fedora 29, 30.

Прво, да го преземеме нашиот сертификат. Во Линукс не најдов дали е можно да се користат системски сертификати и дали воопшто постои таква продавница.

Ајде да се поврземе со доменот. Затоа, потребен ни е сертификат од органот за сертификација од кој е купен нашиот сертификат.

Сите врски се направени во еден прозорец. Избор на нашата мрежа:

анонимен-клиент
домен - доменот за кој се издава сертификатот

Андроид

не-Самсунг

Од верзијата 7, кога поврзувате WiFi, можете да користите системски сертификати со наведување само на доменот:

домен - доменот за кој се издава сертификатот
анонимен-клиент

Samsung

Како што напишав погоре, уредите на Samsung не знаат како да користат системски сертификати при поврзување на WiFi и немаат можност за поврзување преку домен. Затоа, мора рачно да го додадете коренскиот сертификат на органот за сертификација (ca.pem, го земаме на серверот Radius). Еве каде ќе се користи само-потпишан.

Преземете го сертификатот на вашиот уред и инсталирајте го.

Инсталација на сертификат







Во исто време, ќе треба да поставите шема за отклучување на екранот, пин-кодот или лозинката, ако веќе не е поставена:

Покажав комплицирана верзија на инсталирање сертификат. На повеќето уреди, едноставно кликнете на преземениот сертификат.

Кога сертификатот е инсталиран, можете да продолжите на врската:

сертификат - наведете го оној што е инсталиран
анонимен корисник - гостин

MacOS

Уредите на Apple надвор од кутијата можат да се поврзат само со EAP-TLS, но сепак треба да им фрлите сертификат. За да наведете различен начин на поврзување, треба да користите Apple Configurator 2. Според тоа, прво мора да го преземете на вашиот Mac, да креирате нов профил и да ги додадете сите потребни поставки за WiFi.

Епл Конфигуратор



Внесете го името на вашата мрежа овде
Тип на безбедност - WPA2 Enterprise
Прифатени типови EAP - TTLS
Корисничко име и лозинка - оставете празни
Внатрешна автентикација - ПАП
Надворешен идентитет-клиент

Картичка за доверба. Овде го одредуваме нашиот домен

Сите. Профилот може да се зачува, потпише и дистрибуира на уреди

Откако профилот е подготвен, треба да го преземете на афион и да го инсталирате. За време на процесот на инсталација, ќе треба да ги наведете usernmae_ldap и password_ldap на корисникот:

iOS

Процесот е сличен на macOS. Треба да користите профил (може да биде исто како и за macOS. Како да креирате профил во Apple Configurator, видете погоре).

Преземете го профилот, инсталирајте, внесете акредитиви, поврзете се:

Тоа е се. Поставивме сервер Radius, го синхронизиравме со FreeIPA и им кажавме на Ubiquiti AP да користат WPA2-EAP.

Можни прашања

НА: како да префрлите профил/сертификат на вработен?

ЗА: Ги чувам сите сертификати/профили на ftp со веб пристап. Подигна гостинска мрежа со ограничување на брзината и пристап само до Интернет, со исклучок на ftp.
Автентикацијата трае 2 дена, по што се ресетира и клиентот останува без Интернет. Тоа. кога вработен сака да се поврзе на WiFi, тој прво се поврзува на гостинската мрежа, пристапува до FTP, го презема сертификатот или профилот што му е потребен, го инсталира, а потоа може да се поврзе на корпоративната мрежа.

НА: зошто да не користите шема со MSCHAPv2? Таа е побезбедна!

ЗА: Прво, таквата шема работи добро на NPS (Систем за мрежна политика на Windows), во нашата имплементација неопходно е дополнително да се конфигурира LDAP (FreeIpa) и да се складираат хашовите на лозинката на серверот. Додадете. не е препорачливо да се прават поставки, бидејќи. ова може да доведе до разни проблеми со синхронизирање на ултразвукот. Второ, хашот е MD4, така што не додава голема безбедност.

НА: дали е можно да се овластат уреди преку мак-адреси?

ЗА: НЕ, ова не е безбедно, напаѓачот може да ги менува MAC адресите, а уште повеќе овластувањето од MAC адресите не е поддржано на многу уреди

НА: што да се користат генерално сите овие сертификати? дали можеш да се придружиш без нив?

ЗА: сертификатите се користат за овластување на серверот. Оние. при поврзување, уредот проверува дали е сервер на кој може да му се верува или не. Ако е, тогаш автентикацијата продолжува, ако не, врската е затворена. Можете да се поврзете без сертификати, но ако напаѓачот или соседот постави сервер со радиус и пристапна точка со исто име како нашата дома, тој лесно може да ги пресретне ингеренциите на корисникот (не заборавајте дека тие се пренесуваат во јасен текст). И кога се користи сертификат, непријателот во своите дневници ќе го види само нашето фиктивно корисничко име - гостин или клиент и грешка во типот - Непознат CA сертификат

малку повеќе за macOSОбично на macOS, повторно инсталирање на системот се врши преку Интернет. Во режимот за обновување, Mac-от мора да биде поврзан со WiFi и ниту нашата корпоративна WiFi, ниту гостинската мрежа нема да работат овде. Лично, подигнав друга мрежа, вообичаената WPA2-PSK, скриена, само за технички операции. Или сè уште можете однапред да направите бутабилен USB флеш драјв со системот. Но, ако афионот е по 2015 година, сепак ќе треба да најдете адаптер за овој флеш-уред)

Извор: www.habr.com