Xi eżempji ta’ organizzazzjoni tal-WiFi korporattiva diġà ġew deskritti. Hawnhekk ser niddeskrivi kif implimentajt soluzzjoni simili u l-problemi li kelli niffaċċja meta kkonnettja fuq apparati differenti. Aħna se nużaw l-LDAP eżistenti ma 'utenti reġistrati, ngħollu FreeRadius u kkonfigurat WPA2-Enterprise fuq il-kontrollur Ubnt. Kollox jidher li huwa sempliċi. Ejja naraw…
Ftit dwar il-metodi EAP
Qabel ma nipproċedu bil-kompitu, irridu niddeċiedu liema metodu ta 'awtentikazzjoni se nużaw fis-soluzzjoni tagħna.
Mill-Wikipedija:
L-EAP huwa qafas ta' awtentikazzjoni li spiss jintuża f'netwerks mingħajr fili u konnessjonijiet minn punt għal punt. Il-format kien deskritt għall-ewwel darba f'RFC 3748 u aġġornat f'RFC 5247.
L-EAP jintuża biex tagħżel metodu ta' awtentikazzjoni, jgħaddu ċwievet, u tipproċessa dawk iċ-ċwievet bi plug-ins imsejħa metodi EAP. Hemm ħafna metodi EAP, kemm definiti bl-EAP innifsu kif ukoll rilaxxati minn bejjiegħa individwali. L-EAP ma jiddefinixxix is-saff tal-link, jiddefinixxi biss il-format tal-messaġġ. Kull protokoll li juża l-EAP għandu l-protokoll ta’ inkapsulament tal-messaġġ EAP tiegħu stess.
Il-metodi nfushom:
- LEAP huwa protokoll proprjetarju żviluppat minn CISCO. Vulnerabbiltajiet misjuba. Bħalissa mhux rakkomandat li tuża
- EAP-TLS huwa appoġġjat tajjeb fost il-bejjiegħa mingħajr fili. Huwa protokoll sikur għaliex huwa s-suċċessur għall-istandards SSL. It-twaqqif tal-klijent huwa pjuttost ikkumplikat. Għandek bżonn ċertifikat tal-klijent minbarra l-password. Appoġġjat fuq ħafna sistemi
- EAP-TTLS - appoġġjat b'mod wiesa 'f'ħafna sistemi, joffri sigurtà tajba billi juża ċertifikati PKI biss fuq is-server ta' awtentikazzjoni
- EAP-MD5 huwa standard miftuħ ieħor. Joffri sigurtà minima. Vulnerabbli, ma jappoġġjax l-awtentikazzjoni reċiproka u l-ġenerazzjoni taċ-ċavetta
- EAP-IKEv2 - ibbażat fuq l-Internet Key Exchange Protocol verżjoni 2. Jipprovdi awtentikazzjoni reċiproka u stabbiliment taċ-ċavetta tas-sessjoni bejn il-klijent u s-server
- PEAP hija soluzzjoni konġunta ta' CISCO, Microsoft u RSA Security bħala standard miftuħ. Disponibbli ħafna fil-prodotti, jipprovdi sigurtà tajba ħafna. Simili għal EAP-TTLS, li jeħtieġ biss ċertifikat fuq in-naħa tas-server
- PEAPv0/EAP-MSCHAPv2 - wara EAP-TLS, dan huwa t-tieni standard użat ħafna fid-dinja. Użat relazzjoni klijent-server fil-Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Maħluq minn Cisco bħala alternattiva għal PEAPv0/EAP-MSCHAPv2. Ma jipproteġi d-dejta tal-awtentikazzjoni bl-ebda mod. Mhux appoġġjat fuq Windows OS
- EAP-FAST hija teknika żviluppata minn Cisco biex tikkoreġi n-nuqqasijiet tal-LEAP. Juża Kredenzjali ta' Aċċess Protett (PAC). Kompletament mhux mitmum
Minn din id-diversità kollha, l-għażla għadha mhix kbira. Il-metodu ta 'awtentikazzjoni kien meħtieġ: sigurtà tajba, appoġġ fuq l-apparati kollha (Windows 10, macOS, Linux, Android, iOS) u, fil-fatt, aktar ma jkun sempliċi l-aħjar. Għalhekk, l-għażla waqgħet fuq EAP-TTLS flimkien mal-protokoll PAP.
Tista' tqum il-mistoqsija - Għaliex tuża PAP? għax jittrasmetti passwords fil-ċar?
Iva, hekk hu. Il-komunikazzjoni bejn FreeRadius u FreeIPA se ssir b'dan il-mod. Fil-modalità debug, inti tista 'ssegwi kif username u password jintbagħtu. Iva, u ħallihom imorru, inti biss għandek aċċess għas-server FreeRadius.
Tista' taqra aktar dwar ix-xogħol ta' EAP-TTLS
FreeRADIUS
FreeRadius se jitqajjem fuq CentOS 7.6. M'hemm xejn ikkumplikat hawn, aħna nissettjawha bil-mod tas-soltu.
yum install freeradius freeradius-utils freeradius-ldap -yVerżjoni 3.0.13 hija installata mill-pakketti. Dawn tal-aħħar jistgħu jittieħdu
Wara dan, FreeRadius diġà qed jaħdem. Tista' tneħħi l-kumment tal-linja f'/etc/raddb/users
steve Cleartext-Password := "testing"Tnedija fis-server fil-modalità debug
freeradius -XU agħmel konnessjoni tat-test minn localhost
radtest steve testing 127.0.0.1 1812 testing123Ghandek risposta Irċieva Aċċess-Aċċetta Id 115 minn 127.0.0.1:1812 sa 127.0.0.1:56081 tul 20, dan ifisser li kollox huwa OK. Aqbad.
Aħna qabbad il-modulu LDAP.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapU nbiddluha minnufih. Neħtieġu FreeRadius biex inkunu nistgħu naċċessaw il-FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Ibda mill-ġdid is-server tar-radju u ċċekkja s-sinkronizzazzjoni tal-utenti LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Editjar eap in mods-enabled/eap
Hawnhekk inżidu żewġ każijiet ta 'eap. Huma ser ivarjaw biss fiċ-ċertifikati u ċ-ċwievet. Hawn taħt ser nispjega għaliex dan huwa hekk.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Editjar ulterjuri ppermettiet mis-sit/default. Is-sezzjonijiet ta' l-awtorizzazzjoni u l-awtentikazzjoni huma ta' interess.
ppermettiet mis-sit/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Fit-taqsima tal-awtorizzazzjoni, aħna neħħi l-moduli kollha li m'għandniex bżonn. Nitilqu biss ldap. Żid il-verifika tal-klijent bl-isem tal-utent. Huwa għalhekk li żidna żewġ każijiet ta 'eap hawn fuq.
Multi EAPIl-fatt hu li meta nikkonnettjaw xi apparati, se nużaw ċertifikati tas-sistema u nispeċifikaw id-dominju. Għandna ċertifikat u ċavetta minn awtorità taċ-ċertifikati fdata. Personalment, fl-opinjoni tiegħi, proċedura ta 'konnessjoni bħal din hija aktar faċli milli titfa' ċertifikat iffirmat minnu nnifsu fuq kull apparat. Iżda anke mingħajr ċertifikati ffirmati minnha nfisha, xorta ma ħadmitx. Tagħmir Samsung u Android =< 6 verżjonijiet ma jistgħux jużaw ċertifikati tas-sistema. Għalhekk, noħolqu istanza separata ta 'eap-guest għalihom b'ċertifikati ffirmati lilhom infushom. Għall-apparati l-oħra kollha, aħna se nużaw l-eap-client b'ċertifikat ta 'fiduċja. L-Isem tal-Utent huwa determinat mill-qasam Anonymous meta l-apparat ikun konness. Huma permessi 3 valuri biss: Mistieden, Klijent u qasam vojt. Kull ħaġa oħra hija mormija. Se jkun ikkonfigurat fil-politiċi. Nagħti eżempju ftit aktar tard.
Ejja neditjaw is-sezzjonijiet ta' awtorizzazzjoni u ta' awtentikazzjoni fi is-sit ppermettiet/inner-mina
is-sit ppermettiet/inner-mina
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Sussegwentement, trid tispeċifika fil-politiki liema ismijiet jistgħu jintużaw għal login anonimu. Editjar policy.d/filtru.
Trid issib linji simili għal dan:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}U hawn taħt f'elsif żid il-valuri mixtieqa:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Issa għandna bżonn nimxu għad-direttorju ċertifikati. Hawnhekk għandek bżonn tpoġġi ċ-ċavetta u ċ-ċertifikat minn awtorità taċ-ċertifikati fdata, li diġà għandna u jeħtieġ li niġġenera ċertifikati ffirmati minnha nfushom għal eap-guest.
Ibdel il-parametri fil-fajl ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Aħna niktbu l-istess valuri fil-fajl server.cnf. Nibdlu biss
isem komuni:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Oħloq:
makeLest. Riċevuti server.crt и server.key diġà rreġistrajna hawn fuq f'eap-guest.
U fl-aħħarnett, ejja nżidu l-punti ta 'aċċess tagħna mal-fajl klijent.konf. Għandi minnhom 7. Sabiex ma nżidux kull punt separatament, aħna se niktbu biss in-netwerk li jinsabu fih (il-punti ta 'aċċess tiegħi huma f'VLAN separat).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Kontrollur Ubiquiti
Aħna ngħollu netwerk separat fuq il-kontrollur. Ħalli jkun 192.168.2.0/24
Mur fl-issettjar -> profil. Noħolqu waħda ġdida:
Aħna niktbu l-indirizz u l-port tas-server tar-raġġ u l-password li kienet miktuba fil-fajl klijenti.conf:
Oħloq isem ġdid għan-netwerk mingħajr fili. Agħżel WPA-EAP (Intrapriża) bħala l-metodu ta' awtentikazzjoni u speċifika l-profil tar-raġġ maħluq:
Aħna nsalvaw kollox, napplikaw u nimxu 'l quddiem.
Twaqqif ta' klijenti
Nibdew bl-aktar diffiċli!
Windows 10
Id-diffikultà tiġi għall-fatt li Windows għadu ma jafx kif tikkonnettja mal-WiFi korporattiv permezz ta 'dominju. Għalhekk, irridu ntellgħu manwalment iċ-ċertifikat tagħna fil-maħżen taċ-ċertifikati fdati. Hawnhekk tista' tuża kemm iffirmata minnha stess kif ukoll mill-awtorità taċ-ċertifikazzjoni. Se nuża t-tieni waħda.
Sussegwentement, għandek bżonn toħloq konnessjoni ġdida. Biex tagħmel dan, mur fis-settings tan-netwerk u tal-Internet -> Ċentru tan-Netwerk u l-Qsim -> Oħloq u kkonfigurat konnessjoni jew netwerk ġdid:
Daħħal manwalment l-isem tan-netwerk u ibdel it-tip ta 'sigurtà. Wara nikklikkjaw fuq ibdel is-settings tal-konnessjoni u fit-tab tas-Sigurtà, agħżel l-awtentikazzjoni tan-netwerk - EAP-TTLS.
Aħna nidħlu fil-parametri, nippreskrivu l-kunfidenzjalità tal-awtentikazzjoni - klijent. Bħala awtorità ta 'ċertifikazzjoni ta' fiduċja, agħżel iċ-ċertifikat li żidna, iċċekkja l-kaxxa "Ma toħroġx stedina lill-utent jekk is-server ma jistax jiġi awtorizzat" u agħżel il-metodu ta 'awtentikazzjoni - password mhux kriptata (PAP).
Sussegwentement, mur fis-settings avvanzati, poġġi immarka fuq "Speċifika l-mod ta 'awtentikazzjoni." Agħżel "Awtentikazzjoni tal-Utent" u kklikkja fuq ħlief kredenzjali. Hawnhekk ser ikollok bżonn iddaħħal username_ldap u password_ldap
Aħna niffrankaw kollox, napplikaw, nagħlqu. Tista' tikkonnettja ma' netwerk ġdid.
Linux
Ittestjajt fuq Ubuntu 18.04, 18.10, Fedora 29, 30.
L-ewwel, ejja tniżżel iċ-ċertifikat tagħna. Ma sibtx fil-Linux jekk huwiex possibbli li tuża ċertifikati tas-sistema u jekk hemmx maħżen bħal dan.
Ejja nqabbdu mad-dominju. Għalhekk, għandna bżonn ċertifikat mill-awtorità taċ-ċertifikazzjoni li minnha nxtara ċ-ċertifikat tagħna.
Il-konnessjonijiet kollha jsiru f'tieqa waħda. L-għażla tan-netwerk tagħna:
anonimu-klijent
domain - id-dominju li għalih jinħareġ iċ-ċertifikat
Android
mhux Samsung
Mill-verżjoni 7, meta tikkonnettja l-WiFi, tista 'tuża ċertifikati tas-sistema billi tispeċifika biss id-dominju:
domain - id-dominju li għalih jinħareġ iċ-ċertifikat
anonimu-klijent
Samsung
Kif ktibt hawn fuq, l-apparati Samsung ma jafux kif jużaw ċertifikati tas-sistema meta jikkonnettjaw mal-WiFi, u m'għandhomx il-kapaċità li jgħaqqdu permezz ta 'dominju. Għalhekk, trid iżżid manwalment iċ-ċertifikat ta 'l-għerq ta' l-awtorità ta 'ċertifikazzjoni (ca.pem, neħduh fuq is-server Radius). Hawnhekk huwa fejn se jintuża awto-firmat.
Niżżel iċ-ċertifikat fuq it-tagħmir tiegħek u installah.
Installazzjoni taċ-ċertifikat
Fl-istess ħin, ser ikollok bżonn tissettja l-mudell tal-ftuħ tal-iskrin, il-kodiċi tal-pin jew il-password, jekk ma jkunx diġà ssettjat:
Urejt verżjoni kkumplikata tal-installazzjoni ta 'ċertifikat. Fuq il-biċċa l-kbira tat-tagħmir, sempliċement ikklikkja fuq iċ-ċertifikat imniżżel.
Meta ċ-ċertifikat ikun installat, tista' tipproċedi għall-konnessjoni:
ċertifikat - indika dak li ġie installat
utent anonimu - mistieden
MacOS
L-apparat tat-tuffieħ barra mill-kaxxa jista 'jgħaqqad biss ma' EAP-TLS, iżda xorta trid titfagħhom ċertifikat. Biex tispeċifika metodu ta 'konnessjoni differenti, għandek bżonn tuża Apple Configurator 2. Għaldaqstant, l-ewwel trid tniżżlu fuq il-Mac tiegħek, toħloq profil ġdid u żid is-settings kollha meħtieġa tal-WiFi.
Konfigurazzjoni ta 'Apple
Daħħal l-isem tan-netwerk tiegħek hawn
Tip ta' Sigurtà - Intrapriża WPA2
Tipi EAP Aċċettati - TTLS
Isem tal-Utent u Password - ħalli vojta
Awtentikazzjoni Interjuri - PAP
Identità ta' Barra-klijent
Trust tab. Hawnhekk nispeċifikaw id-dominju tagħna
Kollha. Il-profil jista 'jiġi ssejvjat, iffirmat u mqassam lill-apparati
Wara li l-profil ikun lest, għandek bżonn tniżżel fuq il-peprin u tinstallah. Matul il-proċess tal-installazzjoni, ser ikollok bżonn tispeċifika l-usernmae_ldap u l-password_ldap tal-utent:
IOS
Il-proċess huwa simili għal macOS. Għandek bżonn tuża profil (tista 'tuża l-istess wieħed bħal macOS. Kif toħloq profil fl-Apple Configurator, ara hawn fuq).
Niżżel il-profil, installa, daħħal il-kredenzjali, qabbad:
Dak kollox. Waqqafna server Radius, issinkronizzawh ma' FreeIPA, u għidna lill-APs Ubiquiti biex jużaw WPA2-EAP.
Mistoqsijiet possibbli
FI: kif tittrasferixxi profil/ċertifikat lil impjegat?
DWAR: Naħżen iċ-ċertifikati/profili kollha fuq ftp b'aċċess għall-web. Qabbel netwerk mistieden b'limitu ta' veloċità u aċċess biss għall-Internet, bl-eċċezzjoni tal-ftp.
L-awtentikazzjoni ddum għal jumejn, u wara tiġi reset u l-klijent jitħalla mingħajr l-Internet. Dik. meta impjegat irid jikkonnettja mal-WiFi, l-ewwel jikkonnettja man-netwerk mistieden, jaċċessa l-FTP, iniżżel iċ-ċertifikat jew il-profil li għandu bżonn, jinstallah, u mbagħad jista 'jqabbad man-netwerk korporattiv.
FI: għaliex ma tużax schema ma MSCHAPv2? Hija aktar sigura!
DWAR: L-ewwelnett, skema bħal din taħdem tajjeb fuq NPS (Sistema ta 'Politika tan-Netwerk Windows), fl-implimentazzjoni tagħna huwa meħtieġ li jiġi kkonfigurat addizzjonalment LDAP (FreeIpa) u taħżen il-hashes tal-password fuq is-server. Żid. mhuwiex rakkomandabbli li tagħmel settings, għaliex. dan jista 'jwassal għal diversi problemi ta' sinkronizzazzjoni tal-ultrasound. It-tieni, il-hash huwa MD4, għalhekk ma jżidx ħafna sigurtà.
FI: huwa possibbli li tawtorizza apparati b'indirizzi mac?
DWAR: LE, dan mhux sikur, attakkant jista 'jbiddel l-indirizzi MAC, u aktar u aktar l-awtorizzazzjoni mill-indirizzi MAC mhix appoġġata fuq ħafna apparati
FI: x'inhuma ġeneralment dawn iċ-ċertifikati kollha għall-użu? tista tingħaqad mingħajrhom?
DWAR: ċertifikati jintużaw biex jawtorizzaw is-server. Dawk. meta tikkonnettja, l-apparat jiċċekkja jekk huwiex server li jista 'jkun fdat jew le. Jekk hu, allura l-awtentikazzjoni tkompli, jekk le, il-konnessjoni tingħalaq. Tista' tikkonnettja mingħajr ċertifikati, imma jekk attakkant jew ġar iwaqqaf radius server u punt ta' aċċess bl-istess isem tagħna fid-dar, jista' faċilment jinterċetta l-kredenzjali tal-utent (tinsiex li huma trażmessi b'test ċar). U meta jintuża ċertifikat, l-ghadu se jara fir-zkuk tiegħu biss l-Isem tal-Utent fittizju tagħna - mistieden jew klijent u żball tat-tip - Ċertifikat CA mhux magħruf
ftit aktar dwar macOSNormalment fuq macOS, l-installazzjoni mill-ġdid tas-sistema ssir permezz tal-Internet. Fil-mod ta 'rkupru, il-Mac għandu jkun imqabbad mal-WiFi, u la l-WiFi korporattiv tagħna u lanqas in-netwerk mistieden ma se jaħdmu hawn. Personalment, qajjem netwerk ieħor, is-soltu WPA2-PSK, moħbi, għal operazzjonijiet tekniċi biss. Jew xorta tista 'tagħmel USB flash drive bootable bis-sistema bil-quddiem. Imma jekk il-peprin ikun wara l-2015, xorta jkollok bżonn issib adapter għal din il-flash drive)
Sors: www.habr.com