Nailarawan na ang ilang halimbawa ng pag-aayos ng corporate WiFi. Dito ko ilalarawan kung paano ko ipinatupad ang gayong solusyon at ang mga problemang naranasan ko noong kumokonekta sa iba't ibang device. Gagamitin namin ang umiiral na LDAP kasama ang mga nakatatag na user, i-install ang FreeRadius at i-configure ang WPA2-Enterprise sa Ubnt controller. Parang simple lang ang lahat. Tingnan natinβ¦
Kaunti tungkol sa mga pamamaraan ng EAP
Bago natin simulan ang gawain, kailangan nating magpasya kung aling paraan ng pagpapatunay ang gagamitin natin sa ating solusyon.
Mula sa Wikipedia:
Ang EAP ay isang authentication framework na kadalasang ginagamit sa mga wireless network at point-to-point na koneksyon. Ang format ay unang inilarawan sa RFC 3748 at na-update sa RFC 5247.
Ginagamit ang EAP upang pumili ng paraan ng pagpapatotoo, paglipat ng mga key, at pagproseso ng mga key na iyon sa pamamagitan ng mga plugin na tinatawag na mga pamamaraan ng EAP. Mayroong maraming mga paraan ng EAP, parehong tinukoy sa EAP mismo at sa mga inilabas ng mga indibidwal na vendor. Hindi tinukoy ng EAP ang layer ng link, tinutukoy lamang nito ang format ng mensahe. Ang bawat protocol na gumagamit ng EAP ay may sarili nitong EAP message encapsulation protocol.
Ang mga pamamaraan mismo:
- Ang LEAP ay isang proprietary protocol na binuo ng CISCO. Natagpuan ang mga kahinaan. Kasalukuyang hindi inirerekomenda para sa paggamit
- Ang EAP-TLS ay mahusay na sinusuportahan sa mga wireless vendor. Ito ay isang secure na protocol dahil ito ang kahalili sa mga pamantayan ng SSL. Ang pag-set up ng kliyente ay medyo kumplikado. Kailangan mo ng sertipiko ng kliyente bilang karagdagan sa password. Sinusuportahan sa maraming mga sistema
- EAP-TTLS - malawak na suportado sa maraming system, nag-aalok ng magandang seguridad gamit ang mga PKI certificate lamang sa server ng pagpapatunay
- Ang EAP-MD5 ay isa pang bukas na pamantayan. Nag-aalok ng minimal na seguridad. Masugatan, hindi sumusuporta sa mutual authentication at key generation
- EAP-IKEv2 - batay sa Internet Key Exchange Protocol na bersyon 2. Nagbibigay ng mutual authentication at session key establishment sa pagitan ng client at server
- Ang PEAP ay isang pinagsamang solusyon sa pagitan ng CISCO, Microsoft at RSA Security bilang isang bukas na pamantayan. Malawakang magagamit sa mga produkto, nagbibigay ng napakahusay na kaligtasan. Katulad ng EAP-TTLS, nangangailangan lang ng certificate sa gilid ng server
- PEAPv0/EAP-MSCHAPv2 - Pagkatapos ng EAP-TLS, ito ang pangalawang malawakang ginagamit na pamantayan sa mundo. Ginamit na relasyon ng client-server sa Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Ginawa ng Cisco bilang alternatibo sa PEAPv0/EAP-MSCHAPv2. Hindi pinoprotektahan ang data ng pagpapatunay sa anumang paraan. Hindi suportado sa Windows OS
- Ang EAP-FAST ay isang paraan na binuo ng Cisco upang itama ang mga pagkukulang ng LEAP. Gumagamit ng Protected Access Credential (PAC). Ganap na hindi natapos
Sa lahat ng iba't ibang ito, ang pagpipilian ay hindi pa rin mahusay. Ang paraan ng pagpapatunay ay kinakailangan: mahusay na seguridad, suporta sa lahat ng mga device (Windows 10, macOS, Linux, Android, iOS) at, sa katunayan, mas simple ang mas mahusay. Samakatuwid, ang pagpipilian ay nahulog sa EAP-TTLS kasabay ng protocol ng PAP.
Maaaring lumitaw ang tanong - Bakit gumagamit ng PAP? Pagkatapos ng lahat, nagpapadala ito ng mga password sa malinaw na teksto?
Oo, tama iyan. Ang komunikasyon sa pagitan ng FreeRadius at FreeIPA ay magaganap nang eksakto tulad nito. Sa debug mode, maaari mong subaybayan kung paano ipinadala ang username at password. Oo, at hayaan mo sila, ikaw lang ang may access sa FreeRadius server.
Maaari kang magbasa nang higit pa tungkol sa kung paano gumagana ang EAP-TTLS
LibrengRADIUS
I-upgrade namin ang FreeRadius sa CentOS 7.6. Walang kumplikado dito, ini-install namin ito sa karaniwang paraan.
yum install freeradius freeradius-utils freeradius-ldap -ySa mga pakete, naka-install ang bersyon 3.0.13. Ang huli ay maaaring kunin sa
Pagkatapos nito, gumagana na ang FreeRadius. Maaari mong alisin sa komento ang linya sa /etc/raddb/users
steve Cleartext-Password := "testing"Ilunsad sa server sa debug mode
freeradius -XAt gumawa ng isang pagsubok na koneksyon mula sa localhost
radtest steve testing 127.0.0.1 1812 testing123Nakatanggap kami ng sagot Nakatanggap ng Access-Accept Id 115 mula 127.0.0.1:1812 hanggang 127.0.0.1:56081 haba 20, ibig sabihin ay OK ang lahat. Sige lang.
Pagkonekta ng module ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapAt agad naming babaguhin. Kailangan namin ng FreeRadius para ma-access ang FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...I-restart ang radius server at suriin ang pag-synchronize ng mga user ng LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Pag-edit ng eap in mods-enabled/eap
Dito ay magdaragdag kami ng dalawang pagkakataon ng eap. Magkaiba lang sila sa mga certificate at key. Ipapaliwanag ko kung bakit ito totoo sa ibaba.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Sunod na edit namin site-enabled/default. Interesado ako sa mga seksyon ng awtorisasyon at pagpapatunay.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Sa seksyon ng awtorisasyon ay tinanggal namin ang lahat ng mga module na hindi namin kailangan. ldap lang ang iiwan namin. Magdagdag ng pag-verify ng kliyente sa pamamagitan ng username. Ito ang dahilan kung bakit nagdagdag kami ng dalawang pagkakataon ng eap sa itaas.
Maraming EAPAng katotohanan ay kapag kumokonekta sa ilang mga aparato ay gagamitin namin ang mga sertipiko ng system at tukuyin ang domain. Mayroon kaming sertipiko at susi mula sa isang pinagkakatiwalaang awtoridad ng sertipiko. Sa personal, sa aking opinyon, ang pamamaraan ng koneksyon na ito ay mas simple kaysa sa paghahagis ng isang self-sign na sertipiko sa bawat aparato. Ngunit kahit na walang mga self-signed certificate ay hindi pa rin posible na umalis. Ang mga Samsung device at Android =< 6 na bersyon ay hindi alam kung paano gamitin ang mga certificate ng system. Samakatuwid, gumawa kami ng hiwalay na instance ng eap-guest para sa kanila na may mga self-signed certificate. Para sa lahat ng iba pang device, gagamitin namin ang eap-client na may pinagkakatiwalaang certificate. Ang User-Name ay tinutukoy ng Anonymous na field kapag kumokonekta sa device. 3 value lang ang pinapayagan: Guest, Client at isang walang laman na field. Ang natitira ay itinapon lahat. Maaari itong i-configure sa mga patakaran. Magbibigay ako ng isang halimbawa sa ibang pagkakataon.
I-edit natin ang pahintulot at patotohanan ang mga seksyon sa site-enabled/inner-tunnel
site-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Susunod, kailangan mong tukuyin sa mga patakaran kung aling mga pangalan ang maaaring gamitin para sa anonymous na pag-login. Pag-edit patakaran.d/filter.
Kailangan mong maghanap ng mga linyang katulad nito:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}At sa ibaba sa elsif idagdag ang mga kinakailangang halaga:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ngayon kailangan nating lumipat sa direktoryo mga certs. Dito kailangan nating ilagay ang susi at sertipiko mula sa isang pinagkakatiwalaang awtoridad sa sertipikasyon, na mayroon na tayo, at kailangan nating bumuo ng mga self-signed na certificate para sa eap-guest.
Pagbabago ng mga parameter sa file ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Sinusulat namin ang parehong mga halaga sa file server.cnf. Nagbabago lang tayo
karaniwang pangalan:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Lumilikha kami ng:
makehanda na. Natanggap server.crt ΠΈ Server.Key Nakarehistro na kami sa itaas sa eap-guest.
At panghuli, idagdag natin ang ating mga access point sa file kliyente.conf. Mayroon akong 7 sa kanila. Upang hindi maidagdag ang bawat punto nang hiwalay, irerehistro lamang namin ang network kung saan sila matatagpuan (ang aking mga access point ay nasa isang hiwalay na VLAN).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti controller
Nagtataas kami ng isang hiwalay na network sa controller. Hayaan itong maging 192.168.2.0/24
Pumunta sa mga setting -> profile. Gumawa tayo ng bago:
Isinulat namin ang address at port ng radius server at ang password na nakasulat sa file mga kliyente.conf:
Gumawa ng bagong pangalan ng wireless network. Piliin ang WPA-EAP (Enterprise) bilang paraan ng pagpapatunay at tukuyin ang ginawang profile sa radius:
I-save namin ang lahat, ilapat ito at magpatuloy.
Pag-set up ng mga kliyente
Magsimula tayo sa pinakamahirap na bahagi!
Windows 10
Ang kahirapan ay dumating sa katotohanan na ang Windows ay hindi pa alam kung paano kumonekta sa corporate WiFi sa isang domain. Samakatuwid, kailangan naming manu-manong i-upload ang aming sertipiko sa pinagkakatiwalaang tindahan ng sertipiko. Dito maaari mong gamitin ang alinman sa isang self-signed o isa mula sa isang awtoridad sa sertipikasyon. Gagamitin ko ang pangalawa.
Susunod na kailangan mong lumikha ng isang bagong koneksyon. Upang gawin ito, pumunta sa Mga Setting ng Network at Internet -> Network at Sharing Center -> Lumikha at mag-configure ng bagong koneksyon o network:
Manu-manong ipinasok namin ang pangalan ng network at binabago ang uri ng seguridad. Pagkatapos ay mag-click sa baguhin ang mga setting ng koneksyon at sa tab na Seguridad, piliin ang pagpapatunay ng network - EAP-TTLS.
Pumunta sa mga setting, itakda ang pagiging kumpidensyal ng pagpapatunay - kliente. Bilang isang pinagkakatiwalaang awtoridad sa sertipikasyon, piliin ang certificate na idinagdag namin, lagyan ng check ang kahon na "Huwag mag-isyu ng imbitasyon sa user kung hindi mapahintulutan ang server" at piliin ang paraan ng pagpapatunay - plaintext password (PAP).
Susunod, pumunta sa mga karagdagang parameter at lagyan ng check ang kahon na "Tukuyin ang mode ng pagpapatunay." Piliin ang "User Authentication" at mag-click sa i-save ang mga kredensyal. Dito kakailanganin mong ipasok ang username_ldap at password_ldap
Nagtitipid kami, nag-aaplay, nagsasara ng lahat. Maaari kang kumonekta sa isang bagong network.
Linux
Sinubukan ko sa Ubuntu 18.04, 18.10, Fedora 29, 30.
Una, i-download ang sertipiko para sa iyong sarili. Hindi ko nahanap sa Linux kung posible bang gumamit ng mga sertipiko ng system o kung mayroong ganoong tindahan.
Kami ay kumonekta sa pamamagitan ng domain. Samakatuwid, kailangan namin ng sertipiko mula sa awtoridad ng sertipikasyon kung saan binili ang aming sertipiko.
Ang lahat ng mga koneksyon ay ginawa sa isang window. Piliin ang aming network:
anonymous - kliyente
domain β ang domain kung saan ibinigay ang certificate
Android
hindi samsung
Mula sa bersyon 7, kapag kumokonekta sa WiFi, maaari mong gamitin ang mga certificate ng system sa pamamagitan ng pagtukoy lamang sa domain:
domain β ang domain kung saan ibinigay ang certificate
anonymous - kliyente
Samsung
Tulad ng isinulat ko sa itaas, hindi alam ng mga Samsung device kung paano gumamit ng mga certificate ng system kapag kumokonekta sa WiFi, at wala silang kakayahang kumonekta sa pamamagitan ng domain. Samakatuwid, kailangan mong manu-manong idagdag ang root certificate ng awtoridad sa sertipikasyon (ca.pem, kunin ito mula sa server ng Radius). Dito gagamitin ang self-signed.
I-download ang certificate sa iyong device at i-install ito.
Pag-install ng sertipiko
Sa kasong ito, kakailanganin mong magtakda ng pattern sa pag-unlock ng screen, PIN code o password, kung hindi pa ito nakatakda:
Nagpakita ako ng isang kumplikadong opsyon para sa pag-install ng isang sertipiko. Sa karamihan ng mga device, i-click lang ang na-download na certificate.
Kapag na-install ang sertipiko, maaari kang magpatuloy sa koneksyon:
sertipiko - ipahiwatig ang na-install mo
anonymous user - panauhin
MacOS
Makakakonekta lang ang mga Apple device sa EAP-TLS nang wala sa kahon, ngunit kailangan mo pa ring bigyan sila ng certificate. Upang tukuyin ang ibang paraan ng koneksyon, kailangan mong gumamit ng Apple Configurator 2. Alinsunod dito, kailangan mo munang i-download ito sa iyong Mac, lumikha ng bagong profile at idagdag ang lahat ng kinakailangang setting ng WiFi.
Apple Configurator
Dito namin ipinapahiwatig ang pangalan ng aming network
Uri ng Seguridad - WPA2 Enterprise
Mga Tinanggap na Uri ng EAP - TTLS
User Name at Password - iwanang walang laman
Inner Authentication - PAP
Outer Identity - kliyente
Tab ng Trust. Dito namin ipinapahiwatig ang aming domain
Lahat. Maaaring i-save, lagdaan at ipamahagi ang profile sa mga device
Kapag handa na ang profile, kailangan mong i-download ito sa iyong Mac at i-install ito. Sa panahon ng proseso ng pag-install, kakailanganin mong tukuyin ang usernmae_ldap at password_ldap ng user:
iOS
Ang proseso ay katulad ng macOS. Kailangan mong gumamit ng profile (maaari mong gamitin ang parehong para sa macOS. Tingnan sa itaas kung paano gumawa ng profile sa Apple Configurator).
I-download ang profile, i-install, ipasok ang mga kredensyal, kumonekta:
Iyon lang. Na-set up namin ang server ng Radius, na-sync ito sa FreeIPA, at sinabi sa Ubiquiti na mga access point na gumamit ng WPA2-EAP.
Mga posibleng tanong
SA: paano maglipat ng profile/certificate sa isang empleyado?
TUNGKOL: Iniimbak ko ang lahat ng certificate/profile sa FTP na may access sa pamamagitan ng web. Nag-set up ako ng guest network na may speed limit at access lang sa Internet, maliban sa FTP.
Ang pagpapatotoo ay tumatagal ng 2 araw, pagkatapos nito ay na-reset at ang kliyente ay naiwan nang walang Internet. yun. Kapag gusto ng isang empleyado na kumonekta sa WiFi, kumokonekta muna siya sa guest network, mag-log in sa FTP, magda-download ng certificate o profile na kailangan niya, mag-install ng mga ito, at pagkatapos ay makakonekta sa corporate network.
SA: bakit hindi gumamit ng scheme sa MSCHAPv2? ito ay mas ligtas!
TUNGKOL: una, ang scheme na ito ay mahusay na gumagana sa NPS (Windows Network Policy System), sa aming pagpapatupad ay kinakailangan upang i-configure din ang LDAP (FreeIpa) at mag-imbak ng mga hash ng password sa server. Idagdag. Hindi ipinapayong gumawa ng mga setting, dahil ito ay maaaring humantong sa iba't ibang mga problema sa pag-synchronize ng ultrasound system. Pangalawa, ang hash ay MD4, kaya hindi ito nagdaragdag ng maraming seguridad
SA: Posible bang pahintulutan ang mga device gamit ang mga mac address?
TUNGKOL: HINDI, hindi ito ligtas, maaaring manloko ng isang umaatake ang mga MAC address, at higit pa rito, hindi sinusuportahan ang awtorisasyon ng mga MAC address sa maraming device
SA: Bakit gamitin ang lahat ng mga sertipikong ito? maaari kang kumonekta nang wala sila
TUNGKOL: ang mga sertipiko ay ginagamit upang pahintulutan ang server. Yung. Kapag kumokonekta, tinitingnan ng device kung ito ay isang server na mapagkakatiwalaan o hindi. Kung gayon, pagkatapos ay magpapatuloy ang pagpapatunay; kung hindi, ang koneksyon ay sarado. Maaari kang kumonekta nang walang mga sertipiko, ngunit kung ang isang umaatake o kapitbahay ay nag-set up ng isang radius server at isang access point na may parehong pangalan tulad ng sa amin sa bahay, madali niyang maharang ang mga kredensyal ng gumagamit (huwag kalimutan na ang mga ito ay ipinadala sa malinaw na teksto) . At kapag ginamit ang isang sertipiko, makikita lamang ng kaaway sa kanyang mga log ang aming kathang-isip na User-Name - bisita o kliyente at isang error sa uri - Hindi kilalang CA Certificate
kaunti pa tungkol sa macOSKaraniwan, sa macOS, ang muling pag-install ng system ay ginagawa sa pamamagitan ng Internet. Sa recovery mode, dapat na nakakonekta ang Mac sa WiFi, at hindi gagana rito ang aming corporate WiFi o ang guest network. Sa personal, nag-install ako ng isa pang network, ang karaniwang WPA2-PSK, nakatago, para lamang sa mga teknikal na operasyon. O maaari ka ring gumawa ng bootable USB flash drive kasama ang system nang maaga. Ngunit kung ang iyong Mac ay pagkatapos ng 2015, kakailanganin mo ring maghanap ng adaptor para sa flash drive na ito)
Pinagmulan: www.habr.com