ВиФи Ентерприсе. ФрееРадиус + ФрееИПА + Убикуити

Неки примери организовања корпоративног ВиФи-а су већ описани. Овде ћу описати како сам имплементирао слично решење и проблеме са којима сам морао да се суочим приликом повезивања на различитим уређајима. Користићемо постојећи ЛДАП са регистрованим корисницима, подићи ФрееРадиус и конфигурисати ВПА2-Ентерприсе на Убнт контролеру. Чини се да је све једноставно. Хајде да видимо…

Мало о ЕАП методама

Пре него што наставимо са задатком, морамо да одлучимо који метод провере аутентичности ћемо користити у нашем решењу.

Са Википедије:

ЕАП је оквир за аутентификацију који се често користи у бежичним мрежама и везама од тачке до тачке. Формат је први пут описан у РФЦ 3748 и ажуриран у РФЦ 5247.
ЕАП се користи за избор метода аутентификације, прослеђивање кључева и обраду тих кључева помоћу додатака који се називају ЕАП методе. Постоји много ЕАП метода, које су дефинисане самим ЕАП-ом и које су издали појединачни добављачи. ЕАП не дефинише слој везе, он само дефинише формат поруке. Сваки протокол који користи ЕАП има сопствени протокол за енкапсулацију ЕАП порука.

Саме методе:

• ЛЕАП је власнички протокол који је развио ЦИСЦО. Пронађене рањивости. Тренутно се не препоручује употреба
• ЕАП-ТЛС је добро подржан међу произвођачима бежичних мрежа. То је сигуран протокол јер је наследник ССЛ стандарда. Постављање клијента је прилично компликовано. Потребан вам је и сертификат клијента поред лозинке. Подржано на многим системима
• ЕАП-ТТЛС - широко подржан на многим системима, нуди добру сигурност коришћењем ПКИ сертификата само на серверу за аутентификацију
• ЕАП-МД5 је још један отворени стандард. Нуди минималну сигурност. Рањиво, не подржава међусобну аутентификацију и генерисање кључева
• ЕАП-ИКЕв2 – заснован на протоколу за размену интернет кључева верзије 2. Обезбеђује међусобну аутентификацију и успостављање кључа сесије између клијента и сервера
• ПЕАП је заједничко решење ЦИСЦО-а, Мицрософт-а и РСА Сецурити-а као отвореног стандарда. Широко доступан у производима, пружа веома добру сигурност. Слично ЕАП-ТТЛС, захтева само сертификат на страни сервера
• ПЕАПв0/ЕАП-МСЦХАПв2 - после ЕАП-ТЛС-а, ово је други широко коришћени стандард у свету. Коришћен однос клијент-сервер у Мицрософт, Цисцо, Аппле, Линук
• ПЕАПв1/ЕАП-ГТЦ – Креирао Цисцо као алтернативу ПЕАПв0/ЕАП-МСЦХАПв2. Ни на који начин не штити податке за аутентификацију. Није подржано на Виндовс ОС-у
• ЕАП-ФАСТ је техника коју је развио Цисцо да исправи недостатке ЛЕАП-а. Користи акредитиве заштићеног приступа (ПАЦ). Потпуно недовршен

Од све те разноликости, избор ипак није велики. Био је потребан метод аутентификације: добра сигурност, подршка на свим уређајима (Виндовс 10, мацОС, Линук, Андроид, иОС) и, у ствари, што једноставније то боље. Стога је избор пао на ЕАП-ТТЛС у комбинацији са ПАП протоколом.
Може се поставити питање - Зашто користити ПАП? јер преноси лозинке у чистом?

Да то је тачно. Комуникација између ФрееРадиуса и ФрееИПА ће се одвијати на овај начин. У режиму за отклањање грешака, можете пратити како се корисничко име и лозинка шаљу. Да, и пустите их, само ви имате приступ ФрееРадиус серверу.

Можете прочитати више о раду ЕАП-ТТЛС-а овде

ФрееРАДИУС

ФрееРадиус ће бити подигнут на ЦентОС-у 7.6. Овде нема ништа компликовано, постављамо га на уобичајен начин.

yum install freeradius freeradius-utils freeradius-ldap -y

Верзија 3.0.13 је инсталирана из пакета. Ово последње се може узети https://freeradius.org/

Након тога, ФрееРадиус већ ради. Можете декоментирати ред у /етц/раддб/усерс

steve   Cleartext-Password := "testing"

Покрените сервер у режиму за отклањање грешака

freeradius -X

И направите пробну везу са локалног хоста

radtest steve testing 127.0.0.1 1812 testing123

Добио сам одговор Примљени ИД прихватања приступа 115 од 127.0.0.1:1812 до 127.0.0.1:56081 дужине 20, значи да је све у реду. Хајде.

Повезујемо модул лдап.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

И одмах ћемо га променити. Потребан нам је ФрееРадиус да бисмо могли да приступимо ФрееИПА

модс-енаблед/лдап

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

Поново покрените радиус сервер и проверите синхронизацију ЛДАП корисника:

radtest user_ldap password_ldap localhost 1812 testing123

Уређивање еап ин модс-енаблед/еап
Овде додајемо две инстанце еап-а. Они ће се разликовати само по сертификатима и кључевима. У наставку ћу објаснити зашто је то тако.

модс-енаблед/еап

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

Даље уређивање сите-енаблед/подразумевано. Одељак за ауторизацију и аутентификацију је од интереса.

сите-енаблед/подразумевано

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

У одељку за ауторизацију уклањамо све модуле који нам нису потребни. Остављамо само лдап. Додајте верификацију клијента по корисничком имену. Зато смо горе додали две инстанце еап-а.

Мулти ЕАПЧињеница је да ћемо приликом повезивања неких уређаја користити системске сертификате и навести домен. Имамо сертификат и кључ од поузданог ауторитета за издавање сертификата. Лично, по мом мишљењу, такав поступак повезивања је лакши од бацања самопотписаног сертификата на сваки уређај. Али чак и без самопотписаних сертификата и даље није успело. Самсунг уређаји и Андроид =< 6 верзија не могу да користе системске сертификате. Због тога за њих креирамо засебну инстанцу еап-гуест са самопотписаним сертификатима. За све остале уређаје користићемо еап-клијент са поузданим сертификатом. Корисничко име је одређено пољем Анонимоус када је уређај повезан. Дозвољене су само 3 вредности: Гост, Клијент и празно поље. Све остало се одбацује. То ће бити конфигурисано у политичарима. Навешћу пример мало касније.

Уредимо одељке за ауторизацију и аутентификацију у сите-енаблед/иннер-туннел

сите-енаблед/иннер-туннел

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

Затим морате да наведете у смерницама која имена се могу користити за анонимно пријављивање. Уређивање политика.д/филтер.

Морате пронаћи линије сличне овоме:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

И испод у елсиф додајте жељене вредности:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

Сада морамо да пређемо на директоријум цертс. Овде треба да ставите кључ и сертификат од поузданог ауторитета за сертификацију, који већ имамо и треба да генеришемо самопотписане сертификате за еап-гуест.

Промените параметре у датотеци ца.цнф.

ца.цнф

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

Исте вредности уписујемо у датотеку сервер.цнф. Ми се само мењамо
уобичајено име:

сервер.цнф

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

Креирај:

make

Спреман. Примљен сервер.црт и сервер.кључ већ смо се регистровали горе у еап-гуест.

И на крају, додајмо наше приступне тачке датотеци цлиент.цонф. Имам их 7. Да не бисмо додавали сваку тачку посебно, написаћемо само мрежу у којој се налазе (моје приступне тачке су у посебном ВЛАН-у).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Убикуити контролер

Подижемо засебну мрежу на контролеру. Нека буде 192.168.2.0/24
Идите на подешавања -> профил. Правимо нову:

Уписујемо адресу и порт радиус сервера и лозинку која је записана у датотеци цлиентс.цонф:

Креирајте ново име бежичне мреже. Изаберите ВПА-ЕАП (Ентерприсе) као метод аутентификације и наведите креирани профил радијуса:

Све чувамо, примењујемо и идемо даље.

Постављање клијената

Почнимо са најтежим!

прозори КСНУМКС

Потешкоћа се своди на чињеницу да Виндовс још не зна како да се повеже на корпоративни ВиФи преко домена. Због тога морамо ручно да отпремимо наш сертификат у поуздано складиште сертификата. Овде можете користити и самопотписане и од ауторитета за сертификацију. Користићу другу.

Затим морате да креирате нову везу. Да бисте то урадили, идите на подешавања мреже и Интернета -> Центар за мрежу и дељење -> Креирајте и конфигуришите нову везу или мрежу:

Ручно унесите назив мреже и промените врсту заштите. Након што кликнемо на промените подешавања везе а на картици Безбедност изаберите мрежну аутентификацију – ЕАП-ТТЛС.

Улазимо у параметре, прописујемо поверљивост аутентификације - купац. Као поуздани ауторитет за сертификацију, изаберите сертификат који смо додали, означите поље „Немојте да шаљете позив кориснику ако сервер не може да се овласти” и изаберите метод аутентификације – нешифрована лозинка (ПАП).

Затим идите на напредна подешавања, ставите квачицу на „Одредите режим аутентификације“. Изаберите „Потврда идентитета корисника“ и кликните на сачувајте акредитиве. Овде ћете морати да унесете корисничко име_лдап и лозинку_лдап

Све чувамо, примењујемо, затварамо. Можете се повезати на нову мрежу.

линук

Тестирао сам на Убунту 18.04, 18.10, Федора 29, 30.

Прво, хајде да преузмемо наш сертификат. Нисам нашао у Линуксу да ли је могуће користити системске сертификате и да ли уопште постоји таква продавница.

Хајде да се повежемо са доменом. Због тога нам је потребан сертификат од сертификационог тела од којег је наш сертификат купљен.

Све везе се врше у једном прозору. Одабир наше мреже:

анонимни-клијент
домен - домен за који се издаје сертификат

Android

не-Самсунг

Од верзије 7, када повезујете ВиФи, можете користити системске сертификате тако што ћете навести само домен:

домен - домен за који се издаје сертификат
анонимни-клијент

самсунг

Као што сам горе написао, Самсунг уређаји не знају да користе системске сертификате приликом повезивања на ВиФи, а немају ни могућност повезивања преко домена. Због тога морате ручно додати роот сертификат ауторитета за сертификацију (ца.пем, преузимамо га на Радиус серверу). Овде ће се користити самопотписани.

Преузмите сертификат на свој уређај и инсталирајте га.

Инсталација сертификата







У исто време, мораћете да подесите шаблон за откључавање екрана, пин код или лозинку, ако већ није подешен:

Показао сам компликовану верзију инсталирања сертификата. На већини уређаја једноставно кликните на преузети сертификат.

Када је сертификат инсталиран, можете да пређете на везу:

сертификат - означите онај који је инсталиран
анонимни корисник - гост

Мац ОС

Аппле уређаји из кутије могу да се повежу само на ЕАП-ТЛС, али и даље морате да им баците сертификат. Да бисте одредили другачији начин повезивања, потребно је да користите Аппле Цонфигуратор 2. Сходно томе, прво морате да га преузмете на свој Мац, креирате нови профил и додате сва потребна ВиФи подешавања.

Аппле Цонфигуратор



Овде унесите назив своје мреже
Тип безбедности - ВПА2 Ентерприсе
Прихваћени ЕАП типови - ТТЛС
Корисничко име и лозинка - оставите празно
Унутрашња аутентикација - ПАП
Спољни идентитет-клијент

Картица поверења. Овде наводимо наш домен

Све. Профил се може сачувати, потписати и дистрибуирати уређајима

Након што је профил спреман, потребно је да га преузмете у мак и инсталирате. Током процеса инсталације, мораћете да наведете усернмае_лдап и пассворд_лдап корисника:

иОС

Процес је сличан мацОС-у. Морате да користите профил (можете да користите исти као за мацОС. Како да направите профил у Аппле конфигуратору, погледајте горе).

Преузмите профил, инсталирајте, унесите акредитиве, повежите се:

То је све. Поставили смо Радиус сервер, синхронизовали га са ФрееИПА-ом и рекли Убикуити АП-овима да користе ВПА2-ЕАП.

Могућа питања

ИН: како пренети профил/сертификат запосленом?

Абоут: Чувам све сертификате/профиле на фтп-у са веб приступом. Подигнуо мрежу за госте са ограничењем брзине и приступом само Интернету, са изузетком фтп-а.
Аутентификација траје 2 дана, након чега се ресетује и клијент остаје без интернета. То. када запослени жели да се повеже на ВиФи, прво се повезује на мрежу за госте, приступа ФТП-у, преузима сертификат или профил који му је потребан, инсталира га, а затим може да се повеже на корпоративну мрежу.

ИН: зашто не користити шему са МСЦХАПв2? Она је сигурнија!

Абоут: Прво, таква шема добро функционише на НПС (Виндовс Нетворк Полици Систем), у нашој имплементацији потребно је додатно конфигурисати ЛДАП (ФрееИпа) и чувати хешове лозинке на серверу. Додати. није препоручљиво вршити подешавања, јер. ово може довести до различитих проблема у синхронизацији ултразвука. Друго, хеш је МД4, тако да не додаје велику сигурност.

ИН: да ли је могуће овластити уређаје по мац-адресама?

Абоут: НЕ, ово није безбедно, нападач може да промени МАЦ адресе, а још више ауторизација МАЦ адреса није подржана на многим уређајима

ИН: за шта уопште да се користе сви ови сертификати? можете ли се придружити без њих?

Абоут: сертификати се користе за ауторизацију сервера. Оне. приликом повезивања, уређај проверава да ли је сервер коме се може веровати или не. Ако јесте, онда се аутентификација наставља, ако није, веза се затвара. Можете да се повежете без сертификата, али ако нападач или комшија код куће подеси радијус сервер и приступну тачку са истим именом као наша, лако може да пресретне акредитиве корисника (не заборавите да се преносе у чистом тексту) . А када се користи сертификат, непријатељ ће у својим евиденцијама видети само наше фиктивно корисничко име - гост или клијент и грешку у типу - непознати ЦА сертификат

мало више о мацОС-уОбично на мацОС-у, поновна инсталација система се врши преко Интернета. У режиму опоравка, Мац мора бити повезан на ВиФи, а ни наша корпоративна ВиФи ни мрежа за госте овде неће радити. Лично сам подигао другу мрежу, уобичајену ВПА2-ПСК, скривену, само за техничке операције. Или још увек можете унапред да направите УСБ флеш диск са системом за покретање. Али ако је мак после 2015. године, и даље ћете морати да пронађете адаптер за овај флеш диск)

Извор: ввв.хабр.цом