Mehlala e meng ea ho hlophisa WiFi ea khoebo e se e hlalositsoe. Mona ke tla hlalosa kamoo ke sebelisitseng tharollo e tšoanang le mathata ao ke ileng ka tlameha ho tobana le 'ona ha ke hokahanya lisebelisoa tse fapaneng. Re tla sebelisa LDAP e teng le basebelisi ba ngolisitsoeng, re phahamise FreeRadius le ho lokisa WPA2-Enterprise ho molaoli oa Ubnt. Ntho e 'ngoe le e 'ngoe e bonahala e le bonolo. Ha re bone…
Hanyane ka mekhoa ea EAP
Pele re tsoela pele ka mosebetsi, re hloka ho etsa qeto ea hore na re tla sebelisa mokhoa ofe oa ho netefatsa tharollo ea rona.
Ho tsoa ho Wikipedia:
EAP ke moralo oa netefatso o sebelisoang hangata ho marang-rang a se nang mohala le likhokahano tsa ntlha-to-point. Sebopeho se qalile ho hlalosoa ho RFC 3748 'me sa ntlafatsoa ho RFC 5247.
EAP e sebelisoa ho khetha mokhoa oa netefatso, linotlolo tsa ho fetisa, le ho sebetsa linotlolo tseo ka li-plug-ins tse bitsoang mekhoa ea EAP. Ho na le mekhoa e mengata ea EAP, ka bobeli e hlalosoang ka EAP ka boeona mme e lokolloa ke barekisi ka bomong. EAP ha e hlalose lera la sehokelo, e hlalosa feela sebopeho sa molaetsa. Protocol e 'ngoe le e' ngoe e sebelisang EAP e na le protocol ea eona ea ho kenyelletsa molaetsa oa EAP.
Mekhoa ka boeona:
- LEAP ke proprietary protocol e entsoeng ke CISCO. Bofokoli bo fumanoe. Hajoale ha e khothalletsoe ho e sebelisa
- EAP-TLS e tšehetsoa hantle har'a barekisi ba waelese. Ke protocol e sireletsehileng hobane ke mohlahlami oa litekanyetso tsa SSL. Ho theha moreki ho thata haholo. U hloka setifikeiti sa moreki ntle le password. E tšehetsoa ho litsamaiso tse ngata
- EAP-TTLS - e tšehelitsoe haholo lits'ebetsong tse ngata, e fana ka ts'ireletso e ntle ka ho sebelisa setifikeiti sa PKI feela ho seva sa netefatso.
- EAP-MD5 ke tekanyetso e 'ngoe e bulehileng. E fana ka tšireletso e fokolang. E tlokotsing, ha e tšehetse netefatso e kopanetsoeng le tlhahiso ea bohlokoa
- EAP-IKEv2 - e ipapisitse le mofuta oa 2 oa Internet Key Exchange Protocol. E fana ka netefatso e kopaneng le ho theha senotlolo sa nako lipakeng tsa moreki le seva.
- PEAP ke tharollo e kopaneng ea CISCO, Microsoft le RSA Security joalo ka maemo a bulehileng. E fumaneha haholo lihlahisoa, e fana ka tšireletso e ntle haholo. E ts'oana le EAP-TTLS, e hloka setifikeiti feela lehlakoreng la seva
- PEAPv0/EAP-MSCHAPv2 - kamora EAP-TLS, ona ke tekanyetso ea bobeli e sebelisoang haholo lefatšeng. E sebelisitsoe kamano ea bareki le seva ho Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - E entsoe ke Cisco e le mokhoa o mong oa PEAPv0/EAP-MSCHAPv2. Ha e sireletse data ea netefatso ka tsela efe kapa efe. Ha e tšehetsoe ho Windows OS
- EAP-FAST ke mokhoa o ntlafalitsoeng ke Cisco ho lokisa mefokolo ea LEAP. E Sebelisa Boitsebiso bo Sirelelitsoeng ba Phihlello (PAC). E sa phethoa ka ho felletseng
Har'a mefuta-futa ena eohle, khetho e ntse e se kholo. Mokhoa oa netefatso o ne o hlokahala: ts'ireletso e ntle, ts'ehetso ho lisebelisoa tsohle (Windows 10, macOS, Linux, Android, iOS) mme, ha e le hantle, e bonolo haholoanyane. Ka hona, khetho e ile ea oela ho EAP-TTLS hammoho le protocol ea PAP.
Potso e ka hlaha - Hobaneng u sebelisa PAP? hobane o fetisa li-password ka mokhoa o hlakileng?
Ee ho jwalo. Puisano lipakeng tsa FreeRadius le FreeIPA e tla etsahala ka tsela ena. Ka mokhoa oa debug, o ka tseba hore na lebitso la mosebelisi le password li romeloa joang. E, 'me u ba tlohele, ke uena feela ea nang le monyetla oa ho fumana seva sa FreeRadius.
U ka bala haholoanyane ka mosebetsi oa EAP-TTLS
FreeRADIUS
FreeRadius e tla phahamisoa ho CentOS 7.6. Ha ho letho le rarahaneng mona, re le beha ka tsela e tloaelehileng.
yum install freeradius freeradius-utils freeradius-ldap -y
Mofuta oa 3.0.13 o kentsoe ho tsoa ho liphutheloana. Ea ho qetela e ka nkoa
Ka mor'a moo, FreeRadius e se e ntse e sebetsa. U ka hlakola mohala ho /etc/raddb/users
steve Cleartext-Password := "testing"
Kena ho seva ka mokhoa oa ho lokisa liphoso
freeradius -X
'Me u etse khokahanyo ea liteko ho tsoa ho localhost
radtest steve testing 127.0.0.1 1812 testing123
Ke fumane karabo E Fumanehile Access-Accept Id 115 ho tloha 127.0.0.1:1812 ho 127.0.0.1:56081 bolelele 20, ho bolela hore tsohle li lokile. Tsoela pele.
Re kopanya mojule ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Mme re tla e fetola hanghang. Re hloka FreeRadius hore re tsebe ho fihlella FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...
Qala hape seva sa radius 'me u hlahlobe khokahano ea basebelisi ba LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Editing eap in mods-enabled/eap
Mona re kenyelletsa mehlala e 'meli ea eap. Li tla fapana feela ka litifikeiti le linotlolo. Ka tlase ke tla hlalosa hore na ke hobane'ng ha ho le joalo.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
Tokiso e eketsehileng site-enabled/default. Likarolo tsa tumello le ho netefatsa lia khahla.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}
Karolong ea tumello, re tlosa li-module tsohle tseo re sa li hlokeng. Re siea ldap feela. Kenya netefatso ea bareki ka lebitso la mosebelisi. Ke kahoo re kentseng mehlala e 'meli ea eap ka holimo.
EAP e ngataTaba ke hore ha re hokahanya lisebelisoa tse ling, re tla sebelisa litifikeiti tsa sistimi mme re hlakise sebaka sa marang-rang. Re na le setifikeiti le senotlolo ho tsoa ho bolaoli bo tšepahalang ba setifikeiti. Ka boeena, ka maikutlo a ka, mokhoa o joalo oa ho hokahanya o bonolo ho feta ho lahlela setifikeiti sa ho ingolisa sesebelisoa ka seng. Empa le ntle le litifikeiti tse saenneng, li ne li ntse li sa sebetse. Lisebelisoa tsa Samsung le Android =< Liphetolelo tsa 6 li ke ke tsa sebelisa litifikeiti tsa tsamaiso. Ka hona, re theha mohlala o arohaneng oa moeti oa eap bakeng sa bona ka litifikeiti tse saenneng. Bakeng sa lisebelisoa tse ling kaofela, re tla sebelisa eap-client ka setifikeiti se tšepahalang. User-Name e khethoa ke sebaka sa Anonymous ha sesebelisoa se hoketsoe. Ke litekanyetso tse 3 feela tse lumelletsoeng: Moeti, Moreki le lebala le se nang letho. Tse ding tsohle di lahlilwe. E tla hlophisoa ka bo-ralipolotiki. Ke tla fana ka mohlala hamorao.
Ha re fetoleng matla le ho netefatsa likarolo ho site-enabled/ Inner-tunnel
site-enabled/ Inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}
Ka mor'a moo, o hloka ho hlakisa ka har'a maano hore na ke mabitso afe a ka sebelisoang bakeng sa ho kena ka mokhoa o sa tsejoeng. Ho lokisa policy.d/filter.
U hloka ho fumana mela e tšoanang le ena:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
'Me ka tlase ho elsif eketsa litekanyetso tse lakatsehang:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Hona joale re hloka ho fallela ho directory likatse. Mona o hloka ho beha senotlolo le setifikeiti ho tsoa ho bolaoli bo tšepahalang ba setifikeiti, tseo re seng re ntse re e-na le tsona mme re hloka ho hlahisa litifikeiti tsa ho ingolisa bakeng sa eap-guest.
Fetola liparamente faeleng ka.cnf.
ka.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"
Re ngola litekanyetso tse tšoanang faeleng seva.cnf. Re fetoha feela
lebitso le tloaelehileng:
seva.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"
Theha:
make
E lokile. E amohetse server.crt и senotlolo.seva re se re ngolisitse ka holimo ho eap-guest.
'Me qetellong, ha re kenye lintlha tsa rona tsa ho fihlella faeleng moemeli.conf. Ke na le tse 7. E le hore re se ke ra eketsa ntlha e 'ngoe le e' ngoe ka thoko, re tla ngola feela marang-rang ao li leng ho tsona (lintlha tsa ka tsa ho fihlella li VLAN e fapaneng).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}
Ubiquiti controller
Re phahamisa marang-rang a arohaneng ho molaoli. E ke e be 192.168.2.0/24
Eya ho litlhophiso -> profil. Re theha e ncha:
Re ngola aterese le boema-kepe ba seva sa radius le password e ngotsoeng faeleng bareki.conf:
Theha lebitso le lecha la marang-rang a waelese. Khetha WPA-EAP (Enterprise) joalo ka mokhoa oa netefatso 'me u hlalose profil ea radius e entsoeng:
Re boloka ntho e 'ngoe le e' ngoe, re e sebelise 'me re tsoele pele.
Ho theha bareki
Ha re qaleng ka tse thata ka ho fetisisa!
Windows 10
Bothata bo tla tabeng ea hore Windows ha e so tsebe ho hokela WiFi ea khoebo ka domain. Ka hona, re tlameha ho kenya setifikeiti sa rona ka letsoho lebenkeleng le tšepahalang la setifikeiti. Mona o ka sebelisa ho saena le ho tsoa ho balaoli ba setifikeiti. Ke tla sebelisa ea bobeli.
E latelang, o hloka ho theha khokahano e ncha. Ho etsa sena, e ea ho litlhophiso tsa marang-rang le marang-rang -> Setsi sa Marang-rang le Se arolelanoang -> Theha le ho lokisa khokahano e ncha kapa marang-rang:
Ka bowena kenya lebitso la netweke mme o fetole mofuta wa tshireletso. Ka mor'a hore re tobetse ho fetola litlhophiso tsa khokahano mme ho tab ya Tshireletso, kgetha netefatso ya netweke - EAP-TTLS.
Re kena ho liparamente, re fana ka lekunutu la netefatso - Mookameli. Joaloka bolaoli bo tšepahalang ba setifikeiti, khetha setifikeiti seo re se kentseng, sheba lebokose le reng "U se ke ua fana ka memo ho mosebelisi haeba seva se ke ke sa lumelloa" 'me u khethe mokhoa oa ho netefatsa - password e sa ngolisoang (PAP).
E latelang, e-ea ho li-setting tse tsoetseng pele, beha letšoao ho "Hlalosa mokhoa oa ho netefatsa." Khetha "User Authentication" 'me u tobetse boloka mangolo a bopaki. Mona o tla hloka ho kenya username_ldap le password_ldap
Re boloka tsohle, sebelisa, koala. O ka hokela marangrang a macha.
Linux
Ke lekile ho Ubuntu 18.04, 18.10, Fedora 29, 30.
Pele, ha re khoasolle setifikeiti sa rona. Ha kea fumana ho Linux hore na hoa khoneha ho sebelisa setifikeiti sa sistimi le hore na ho na le lebenkele le joalo ho hang.
Ha re hokahaneng le domain name. Ka hona, re hloka setifikeiti se tsoang ho balaoli ba setifikeiti seo setifikeiti sa rona se rekiloeng ho sona.
Lihokelo tsohle li entsoe ka fensetere e le 'ngoe. Ho khetha marang-rang a rona:
motho ea sa tsejoeng
domain - sebaka seo setifikeiti se fanoeng bakeng sa sona
Android
e seng Samsung
Ho tsoa ho mofuta oa 7, ha o hokela WiFi, o ka sebelisa litifikeiti tsa sistimi ka ho hlakisa sebaka sa marang-rang feela:
domain - sebaka seo setifikeiti se fanoeng bakeng sa sona
motho ea sa tsejoeng
Samsung
Joalokaha ke ngotse ka holimo, lisebelisoa tsa Samsung ha li tsebe ho sebelisa setifikeiti sa sistimi ha li hokela ho WiFi, 'me ha li na bokhoni ba ho hokela ka domain. Ka hona, o tlameha ho eketsa ka letsoho setifikeiti sa motso oa bolaoli ba setifikeiti (ca.pem, re e nka ho seva sa Radius). Mona ke moo ho ingolisa ho tla sebelisoa.
Khoasolla setifikeiti sesebelisoa sa hau ebe u se kenya.
Ho kenya setifikeiti
Ka nako e ts'oanang, o tla hloka ho beha mohlala oa ho notlolla skrineng, khoutu ea phini kapa password, haeba e so beoa:
Ke bontšitse mofuta o rarahaneng oa ho kenya setifikeiti. Ho lisebelisoa tse ngata, tobetsa feela setifikeiti se jarollotsoeng.
Ha setifikeiti se kentsoe, o ka tsoela pele ho hokahanya:
setifikeiti - bonts'a se kentsoeng
mosebelisi ea sa tsejoeng - moeti
macOS
Lisebelisoa tsa Apple tse ka ntle ho lebokose li ka hokela ho EAP-TLS feela, empa u ntse u hloka ho lahlela setifikeiti ho tsona. Ho hlakisa mokhoa o fapaneng oa ho hokahanya, o hloka ho sebelisa Apple Configurator 2. Ka lebaka leo, u tlameha ho qala ho e jarolla ho Mac ea hau, u thehe profil e ncha 'me u kenye litlhophiso tsohle tse hlokahalang tsa WiFi.
Apple Configurator
Kenya lebitso la marang-rang a hau mona
Mofuta oa Tšireletso - Khoebo ea WPA2
Mefuta e Amoheletsoeng ea EAP - TTLS
Lebitso la mosebedisi le Password - tlohela letho
Bopaki ba ka hare - PAP
Outer Identity-client
Thepa ea tšepo. Mona re totobatsa sebaka sa rona sa marang-rang
Tsohle. Profaele e ka bolokoa, ea saena le ho ajoa ho lisebelisoa
Kamora hore profil e se e lokile, o hloka ho e jarolla ho poppy ebe o e kenya. Nakong ea ts'ebetso ea ho kenya, o tla hloka ho hlakisa usernmae_ldap le password_ldap ea mosebedisi:
iOS
Mokhoa ona o tšoana le oa macOS. U hloka ho sebelisa profil (o ka sebelisa e tšoanang le ea macOS. Mokhoa oa ho theha profil ho Apple Configurator, bona ka holimo).
Khoasolla profil, kenya, kenya lintlha, hokela:
Ke phetho. Re thehile seva sa Radius, ra se lumellana le FreeIPA, 'me ra bolella Ubiquiti APs ho sebelisa WPA2-EAP.
Lipotso tse ka bang teng
NAKO: mokhoa oa ho fetisetsa profil/setifikeiti ho mosebeletsi?
MABAPI: Ke boloka litifikeiti/profaele kaofela ho ftp ka phihlello ea webo. E phahamisitse marang-rang a baeti a nang le moeli oa lebelo le phihlello ea Marang-rang feela, ntle le ftp.
Netefatso e nka matsatsi a 2, ka mor'a moo e tsosolosoa 'me mofani o sala a se na Inthanete. Seo. ha mosebeletsi a batla ho hokela WiFi, o qala ka ho hokela marang-rang a baeti, a fihlella FTP, a khoasolla setifikeiti kapa profil eo a e hlokang, a e kenye, ebe o khona ho hokela marang-rang a khoebo.
NAKO: hobaneng o sa sebelise schema le MSCHAPv2? O bolokehile ho feta!
MABAPI: Taba ea pele, leano le joalo le sebetsa hantle ho NPS (Windows Network Policy System), ts'ebetsong ea rona hoa hlokahala ho hlophisa LDAP (FreeIpa) le ho boloka li-hashes tsa password ho seva. Eketsa. ha ho eletswe ho etsa di-setting, hobane. sena se ka lebisa mathateng a fapaneng a ho lumellana ha ultrasound. Ea bobeli, hashe ke MD4, kahoo ha e kenye ts'ireletso e ngata.
NAKO: na hoa khoneha ho fana ka tumello ea lisebelisoa ka liaterese tsa mac?
MABAPI: Che, sena ha se bolokehe, mohlaseli a ka fetola liaterese tsa MAC, 'me ho feta moo tumello ea liaterese tsa MAC ha e tšehetsoe lisebelisoa tse ngata.
NAKO: seo ka kakaretso litifikeiti tsee kaofela li ka sebelisoa? o ka kopanela ntle le bona?
MABAPI: setifikeiti se sebelisoa ho fana ka tumello ea seva. Tseo. ha o hokela, sesebelisoa se hlahloba hore na ke seva se ka tšeptjoang kapa che. Haeba ho joalo, joale netefatso e tsoela pele, haeba ho se joalo, khokahano e koetsoe. O ka hokela ntle le litifikeiti, empa haeba mohlaseli kapa moahelani a theha seva sa radius le sebaka sa phihlello se nang le lebitso le tšoanang le la rona lapeng, a ka thibela habonolo lintlha tsa mosebelisi (u se ke oa lebala hore li fetisoa ka mongolo o hlakileng). 'Me ha setifikeiti se sebelisoa, sera se tla bona ka har'a li-log tsa hae feela Lebitso la rona la maiketsetso - moeti kapa moreki le phoso ea mofuta - Setifikeiti sa CA se sa Tsejoeng.
ho eketsehileng ka macOSHangata ho macOS, ho kenya sistimi hape ho etsoa ka Marang-rang. Ka mokhoa oa ho hlaphoheloa, Mac e tlameha ho hokahanngoa le WiFi, 'me WiFi ea rona ea khoebo kapa marang-rang a baeti a ke ke a sebetsa mona. Ka bonna, ke ile ka phahamisa marang-rang a mang, WPA2-PSK e tloaelehileng, e patiloeng, feela bakeng sa ts'ebetso ea tekheniki. Kapa u ntse u ka etsa bootable USB flash drive ka sistimi esale pele. Empa haeba poppy e ka mor'a 2015, u ntse u tla hloka ho fumana adaptara bakeng sa flash drive ena)
Source: www.habr.com