Disa shembuj të organizimit të WiFi të korporatës janë përshkruar tashmë. Këtu do të përshkruaj se si e zbatova një zgjidhje të tillë dhe problemet që kam hasur gjatë lidhjes në pajisje të ndryshme. Ne do të përdorim LDAP ekzistues me përdorues të vendosur, do të instalojmë FreeRadius dhe do të konfigurojmë WPA2-Enterprise në kontrolluesin Ubnt. Gjithçka duket e thjeshtë. Le të shohim…
Pak për metodat EAP
Përpara se të fillojmë detyrën, duhet të vendosim se cilën metodë vërtetimi do të përdorim në zgjidhjen tonë.
Nga Wikipedia:
EAP është një kornizë vërtetimi që përdoret shpesh në rrjetet me valë dhe lidhjet pikë-për-pikë. Formati u përshkrua për herë të parë në RFC 3748 dhe u përditësua në RFC 5247.
EAP përdoret për të zgjedhur një metodë vërtetimi, për të transferuar çelësa dhe për të përpunuar ato çelësa nga shtojcat e quajtura metoda EAP. Ka shumë metoda EAP, të përcaktuara me vetë EAP dhe ato të lëshuara nga shitës individualë. EAP nuk përcakton shtresën e lidhjes, ai përcakton vetëm formatin e mesazhit. Çdo protokoll që përdor EAP ka protokollin e tij të kapsulimit të mesazhit EAP.
Vetë metodat:
- LEAP është një protokoll pronësor i zhvilluar nga CISCO. U gjetën dobësi. Aktualisht nuk rekomandohet për përdorim
- EAP-TLS mbështetet mirë midis shitësve me valë. Është një protokoll i sigurt sepse është pasardhësi i standardeve SSL. Vendosja e klientit është mjaft e ndërlikuar. Ju duhet një certifikatë klienti përveç fjalëkalimit. Mbështetet në shumë sisteme
- EAP-TTLS - i mbështetur gjerësisht në shumë sisteme, ofron siguri të mirë duke përdorur certifikatat PKI vetëm në serverin e vërtetimit
- EAP-MD5 është një tjetër standard i hapur. Ofron siguri minimale. E cenueshme, nuk mbështet vërtetimin e ndërsjellë dhe gjenerimin e çelësave
- EAP-IKEv2 - bazuar në versionin 2 të Protokollit të Shkëmbimit të Çelësave të Internetit. Ofron vërtetim të ndërsjellë dhe vendosjen e çelësit të sesionit ndërmjet klientit dhe serverit
- PEAP është një zgjidhje e përbashkët midis CISCO, Microsoft dhe RSA Security si një standard i hapur. I disponueshëm gjerësisht në produkte, ofron siguri shumë të mirë. Ngjashëm me EAP-TTLS, që kërkon vetëm një certifikatë nga ana e serverit
- PEAPv0/EAP-MSCHAPv2 - Pas EAP-TLS, ky është standardi i dytë i përdorur gjerësisht në botë. Përdorur marrëdhënie klient-server në Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Krijuar nga Cisco si një alternativë ndaj PEAPv0/EAP-MSCHAPv2. Nuk mbron në asnjë mënyrë të dhënat e vërtetimit. Nuk mbështetet në Windows OS
- EAP-FAST është një metodë e zhvilluar nga Cisco për të korrigjuar të metat e LEAP. Përdor kredencialet e mbrojtura të aksesit (PAC). Plotësisht i papërfunduar
Nga gjithë kjo shumëllojshmëri, zgjedhja nuk është ende e madhe. Metoda e vërtetimit kërkon: siguri të mirë, mbështetje në të gjitha pajisjet (Windows 10, macOS, Linux, Android, iOS) dhe, në fakt, sa më e thjeshtë aq më mirë. Prandaj, zgjedhja ra në EAP-TTLS në lidhje me protokollin PAP.
Mund të lindë pyetja - Pse të përdoret PAP? Në fund të fundit, ai transmeton fjalëkalime në tekst të qartë?
Po ashtu eshte. Komunikimi ndërmjet FreeRadius dhe FreeIPA do të bëhet pikërisht kështu. Në modalitetin e korrigjimit, mund të gjurmoni se si dërgohen emri i përdoruesit dhe fjalëkalimi. Po, dhe lërini të shkojnë, vetëm ju keni akses në serverin FreeRadius.
Mund të lexoni më shumë se si funksionon EAP-TTLS
FreeRADIUS
Ne do të përmirësojmë FreeRadius në CentOS 7.6. Nuk ka asgjë të komplikuar këtu, ne e instalojmë atë në mënyrën e zakonshme.
yum install freeradius freeradius-utils freeradius-ldap -yNga paketat, është instaluar versioni 3.0.13. Kjo e fundit mund të merret në
Pas kësaj, FreeRadius tashmë është duke punuar. Mund ta çkomentoni rreshtin në /etc/raddb/users
steve Cleartext-Password := "testing"Niseni në server në modalitetin e korrigjimit
freeradius -XDhe bëni një lidhje provë nga localhost
radtest steve testing 127.0.0.1 1812 testing123Morëm një përgjigje Marrë Access-Accept ID 115 nga 127.0.0.1:1812 deri në 127.0.0.1:56081 gjatësia 20, do të thotë se gjithçka është në rregull. Shkoni përpara.
Lidhja e modulit ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapDhe ne do ta ndryshojmë atë menjëherë. Ne kemi nevojë për FreeRadius që të mund të hyjmë në FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Rinisni serverin radius dhe kontrolloni sinkronizimin e përdoruesve të LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Po redakton eap in mods-enabled/eap
Këtu do të shtojmë dy raste të eap. Ato do të ndryshojnë vetëm në certifikata dhe çelësa. Unë do të shpjegoj pse kjo është e vërtetë më poshtë.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Më tej ne redaktojmë i aktivizuar/i parazgjedhur nga siti. Unë jam i interesuar për seksionet e autorizimit dhe vërtetimit.
i aktivizuar/i parazgjedhur nga siti
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Në seksionin e autorizimit ne heqim të gjitha modulet që nuk na duhen. Ne lëmë vetëm ldap. Shto verifikimin e klientit me emrin e përdoruesit. Kjo është arsyeja pse ne shtuam dy raste të eap më lart.
Multi EAPFakti është se kur lidhim disa pajisje do të përdorim certifikatat e sistemit dhe do të specifikojmë domenin. Ne kemi një certifikatë dhe çelës nga një autoritet i besuar i certifikatës. Personalisht, për mendimin tim, kjo procedurë e lidhjes është më e thjeshtë se hedhja e një certifikate të vetë-nënshkruar në çdo pajisje. Por edhe pa certifikata të vetë-nënshkruara nuk ishte ende e mundur të largohej. Pajisjet Samsung dhe versionet Android =< 6 nuk dinë të përdorin certifikatat e sistemit. Prandaj, ne krijojmë një shembull të veçantë të eap-guest për ta me certifikata të vetë-nënshkruara. Për të gjitha pajisjet e tjera ne do të përdorim eap-client me një certifikatë të besuar. Emri i përdoruesit përcaktohet nga fusha Anonim kur lidhni pajisjen. Lejohen vetëm 3 vlera: Vizitor, Klient dhe një fushë bosh. Pjesa tjetër është hedhur e gjitha. Kjo mund të konfigurohet në politika. Unë do të jap një shembull pak më vonë.
Le të modifikojmë seksionet e autorizimit dhe të vërtetimit në siti-enabled/inner-tunnel
siti-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Më pas, duhet të specifikoni në politika se cilët emra mund të përdoren për hyrje anonime. Redaktimi politika.d/filter.
Ju duhet të gjeni linja të ngjashme me këtë:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Dhe më poshtë në elif shtoni vlerat e nevojshme:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Tani duhet të kalojmë në drejtori vërtetime. Këtu duhet të vendosim çelësin dhe certifikatën nga një autoritet certifikues i besuar, të cilin e kemi tashmë, dhe duhet të gjenerojmë certifikata të vetë-nënshkruara për eap-guest.
Ndryshimi i parametrave në skedar ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Ne shkruajmë të njëjtat vlera në skedar server.cnf. Ne vetëm ndryshojmë
emer i perbashket:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Ne krijojmë:
makeGati. Marrë server.crt и server.çelës Ne jemi regjistruar tashmë më lart në eap-guest.
Dhe së fundi, le të shtojmë pikat tona të hyrjes në skedar klienti.konf. Unë i kam 7. Për të mos shtuar secilën pikë veç e veç, do të regjistrojmë vetëm rrjetin në të cilin ndodhen (pikat e mia të aksesit janë në një VLAN të veçantë).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Kontrolluesi Ubiquiti
Ne ngremë një rrjet të veçantë në kontrollues. Le të jetë 192.168.2.0/24
Shkoni te cilësimet -> profili. Le të krijojmë një të re:
Ne shkruajmë adresën dhe portin e serverit radius dhe fjalëkalimin që është shkruar në skedar klientët.conf:
Krijoni një emër të ri rrjeti pa tel. Zgjidhni WPA-EAP (Enterprise) si metodë vërtetimi dhe specifikoni profilin e krijuar të rrezes:
Ne ruajmë gjithçka, e zbatojmë dhe vazhdojmë.
Vendosja e klientëve
Le të fillojmë me pjesën më të vështirë!
Dritaret 10
Vështirësia vjen në faktin se Windows nuk di ende se si të lidhet me WiFi të korporatës përmes një domeni. Prandaj, ne duhet të ngarkojmë manualisht certifikatën tonë në dyqanin e besuar të certifikatave. Këtu mund të përdorni ose një të vetë-nënshkruar ose një nga një autoritet certifikimi. Unë do të përdor të dytën.
Më pas ju duhet të krijoni një lidhje të re. Për ta bërë këtë, shkoni te Cilësimet e Rrjetit dhe Internetit -> Qendra e Rrjetit dhe Ndarjes -> Krijoni dhe konfiguroni një lidhje ose rrjet të ri:
Ne futim manualisht emrin e rrjetit dhe ndryshojmë llojin e sigurisë. Pastaj klikoni mbi ndryshoni cilësimet e lidhjes dhe në skedën Siguria, zgjidhni vërtetimin e rrjetit - EAP-TTLS.
Shkoni te cilësimet, vendosni konfidencialitetin e vërtetimit - klient. Si një autoritet certifikues i besuar, zgjidhni certifikatën që kemi shtuar, kontrolloni kutinë "Mos lëshoni një ftesë për përdoruesin nëse serveri nuk mund të autorizohet" dhe zgjidhni metodën e vërtetimit - fjalëkalimi me tekst të thjeshtë (PAP).
Tjetra, shkoni te parametrat shtesë dhe kontrolloni kutinë "Specifikoni mënyrën e vërtetimit". Zgjidhni "Autentifikimi i përdoruesit" dhe klikoni mbi ruaj kredencialet. Këtu do t'ju duhet të vendosni username_ldap dhe password_ldap
Ne kursejmë, aplikojmë, mbyllim gjithçka. Mund të lidheni me një rrjet të ri.
Linux
Kam testuar në Ubuntu 18.04, 18.10, Fedora 29, 30.
Së pari, shkarkoni certifikatën për veten tuaj. Unë nuk kam gjetur në Linux nëse është e mundur të përdoren certifikatat e sistemit ose nëse ekziston fare një dyqan i tillë.
Ne do të lidhemi përmes domenit. Prandaj, na duhet një certifikatë nga autoriteti certifikues nga i cili është blerë certifikata jonë.
Të gjitha lidhjet bëhen në një dritare. Zgjidhni rrjetin tonë:
anonim - klient
domain - domeni për të cilin është lëshuar certifikata
android
jo Samsung
Nga versioni 7, kur lidhni WiFi, mund të përdorni certifikatat e sistemit duke specifikuar vetëm domenin:
domain - domeni për të cilin është lëshuar certifikata
anonim - klient
Samsung
Siç shkrova më lart, pajisjet Samsung nuk dinë të përdorin certifikatat e sistemit kur lidhin WiFi dhe nuk kanë aftësinë për t'u lidhur përmes domenit. Prandaj, duhet të shtoni manualisht certifikatën rrënjësore të autoritetit të certifikimit (ca.pem, merrni atë nga serveri Radius). Këtu do të përdoret vetë-nënshkrimi.
Shkarkoni certifikatën në pajisjen tuaj dhe instaloni atë.
Instalimi i një certifikate
Në këtë rast, do t'ju duhet të vendosni një model të shkyçjes së ekranit, kodin PIN ose fjalëkalimin, nëse nuk është vendosur tashmë:
Unë tregova një opsion kompleks për instalimin e një certifikate. Në shumicën e pajisjeve, thjesht klikoni në certifikatën e shkarkuar.
Kur të instalohet certifikata, mund të vazhdoni me lidhjen:
certifikatë - tregoni atë që keni instaluar
përdorues anonim - mysafir
MacOS
Pajisjet Apple mund të lidhen vetëm me EAP-TLS jashtë kutisë, por ju duhet t'i siguroni atyre një certifikatë. Për të specifikuar një metodë tjetër lidhjeje, duhet të përdorni Apple Configurator 2. Prandaj, së pari duhet ta shkarkoni në Mac-in tuaj, të krijoni një profil të ri dhe të shtoni të gjitha cilësimet e nevojshme WiFi.
Konfiguruesi i Apple
Këtu tregojmë emrin e rrjetit tonë
Lloji i sigurisë - WPA2 Enterprise
Llojet e pranuara të EAP - TTLS
Emri i përdoruesit dhe fjalëkalimi - lini bosh
Autentifikimi i brendshëm - PAP
Identiteti i jashtëm - klient
Skeda e besimit. Këtu ne tregojmë domenin tonë
Të gjitha. Profili mund të ruhet, nënshkruhet dhe shpërndahet në pajisje
Pasi profili të jetë gati, duhet ta shkarkoni në Mac dhe ta instaloni. Gjatë procesit të instalimit, do t'ju duhet të specifikoni usernmae_ldap dhe password_ldap të përdoruesit:
IOS
Procesi është i ngjashëm me macOS. Ju duhet të përdorni një profil (mund të përdorni të njëjtin si për macOS. Shihni më lart se si të krijoni një profil në Apple Configurator).
Shkarkoni profilin, instaloni, futni kredencialet, lidheni:
Kjo eshte e gjitha. Ne konfiguruam serverin Radius, e sinkronizuam atë me FreeIPA dhe u thamë pikave të hyrjes Ubiquiti të përdorin WPA2-EAP.
Pyetje të mundshme
NË: si t'i transferoni një profil/certifikatë një punonjësi?
O: I ruaj të gjitha certifikatat/profilet në FTP me akses nëpërmjet internetit. Kam krijuar një rrjet të ftuar me një kufi shpejtësie dhe akses vetëm në internet, me përjashtim të FTP.
Autentifikimi zgjat 2 ditë, pas së cilës rivendoset dhe klienti mbetet pa internet. Se. Kur një punonjës dëshiron të lidhet me WiFi, ai fillimisht lidhet me rrjetin e të ftuarve, futet në FTP, shkarkon certifikatën ose profilin që i nevojitet, i instalon ato dhe më pas mund të lidhet me rrjetin e korporatës.
NË: pse të mos përdorni një skemë me MSCHAPv2? është më e sigurt!
O: së pari, kjo skemë funksionon mirë në NPS (Sistemi i Politikave të Rrjetit të Windows), në zbatimin tonë është e nevojshme të konfiguroni gjithashtu LDAP (FreeIpa) dhe të ruani hash fjalëkalimet në server. Shtoni. Nuk këshillohet të bëni cilësime, sepse kjo mund të çojë në probleme të ndryshme me sinkronizimin e sistemit të ultrazërit. Së dyti, hash-i është MD4, kështu që nuk shton shumë siguri
NË: A është e mundur të autorizohen pajisjet duke përdorur adresa mac?
O: JO, kjo nuk është e sigurt, një sulmues mund të mashtrojë adresat MAC dhe aq më tepër, autorizimi nga adresat MAC nuk mbështetet në shumë pajisje
NË: Pse t'i përdorni fare të gjitha këto certifikata? ju mund të lidheni pa to
O: certifikatat përdoren për të autorizuar serverin. Ato. Kur lidhet, pajisja kontrollon nëse është një server që mund t'i besohet apo jo. Nëse po, atëherë vërtetimi vazhdon; nëse jo, lidhja mbyllet. Mund të lidheni pa certifikata, por nëse një sulmues ose fqinj vendos një server rreze dhe një pikë aksesi me të njëjtin emër si e jona në shtëpi, ai mund të përgjojë lehtësisht kredencialet e përdoruesit (mos harroni se ato transmetohen në tekst të qartë) . Dhe kur përdoret një certifikatë, armiku do të shohë në regjistrat e tij vetëm emrin e përdoruesit fiktiv - mysafir ose klient dhe një gabim tipi - Certifikatë CA e panjohur
pak më shumë rreth macOSNë mënyrë tipike, në macOS, riinstalimi i sistemit bëhet nëpërmjet internetit. Në modalitetin e rikuperimit, Mac duhet të jetë i lidhur me WiFi dhe as WiFi ynë i korporatës dhe as rrjeti i mysafirëve nuk do të funksionojnë këtu. Personalisht, kam instaluar një rrjet tjetër, WPA2-PSK të zakonshëm, të fshehur, vetëm për operacione teknike. Ose mund të krijoni paraprakisht një USB flash drive të bootable me sistemin. Por nëse Mac juaj është pas vitit 2015, do t'ju duhet gjithashtu të gjeni një përshtatës për këtë flash drive)
Burimi: www.habr.com