کارپوریٹ وائی فائی کو منظم کرنے کی کچھ مثالیں پہلے ہی بیان کی جا چکی ہیں۔ یہاں میں بیان کروں گا کہ میں نے اس طرح کے حل کو کیسے نافذ کیا اور مختلف ڈیوائسز پر کنیکٹ کرتے وقت مجھے جن مسائل کا سامنا کرنا پڑا۔ ہم موجودہ LDAP کو قائم صارفین کے ساتھ استعمال کریں گے، FreeRadius انسٹال کریں گے اور Ubnt کنٹرولر پر WPA2-Enterprise کو ترتیب دیں گے۔ سب کچھ سادہ لگتا ہے۔ چلو دیکھتے ہیں…
EAP طریقوں کے بارے میں تھوڑا سا
کام کو آگے بڑھانے سے پہلے، ہمیں یہ فیصلہ کرنے کی ضرورت ہے کہ ہم اپنے حل میں توثیق کا کون سا طریقہ استعمال کریں گے۔
ویکیپیڈیا سے:
EAP ایک تصدیقی فریم ورک ہے جو اکثر وائرلیس نیٹ ورکس اور پوائنٹ ٹو پوائنٹ کنکشن میں استعمال ہوتا ہے۔ فارمیٹ کو پہلے RFC 3748 میں بیان کیا گیا تھا اور RFC 5247 میں اپ ڈیٹ کیا گیا تھا۔
EAP کا استعمال تصدیق کا طریقہ منتخب کرنے، کیز پاس کرنے، اور ان کیز کو پلگ ان کے ساتھ پروسیس کرنے کے لیے کیا جاتا ہے جسے EAP طریقے کہتے ہیں۔ EAP کے بہت سے طریقے ہیں، دونوں ہی EAP کے ساتھ بیان کیے گئے ہیں اور انفرادی وینڈرز کے ذریعے جاری کیے گئے ہیں۔ EAP لنک پرت کی وضاحت نہیں کرتا ہے، یہ صرف پیغام کی شکل کی وضاحت کرتا ہے۔ EAP استعمال کرنے والے ہر پروٹوکول کا اپنا EAP پیغام انکیپسولیشن پروٹوکول ہوتا ہے۔
خود طریقے:
- LEAP ایک ملکیتی پروٹوکول ہے جسے CISCO نے تیار کیا ہے۔ کمزوریاں پائی گئیں۔ فی الحال اسے استعمال کرنے کی سفارش نہیں کی جاتی ہے۔
- EAP-TLS وائرلیس فروشوں کے درمیان اچھی طرح سے تعاون یافتہ ہے۔ یہ ایک محفوظ پروٹوکول ہے کیونکہ یہ SSL معیارات کا جانشین ہے۔ کلائنٹ کو ترتیب دینا کافی پیچیدہ ہے۔ آپ کو پاس ورڈ کے علاوہ کلائنٹ سرٹیفکیٹ کی ضرورت ہے۔ بہت سے سسٹمز پر سپورٹ
- EAP-TTLS - بہت سارے سسٹمز پر وسیع پیمانے پر تعاون یافتہ، صرف تصدیقی سرور پر PKI سرٹیفکیٹس استعمال کرکے اچھی سیکیورٹی پیش کرتا ہے۔
- EAP-MD5 ایک اور کھلا معیار ہے۔ کم سے کم سیکیورٹی پیش کرتا ہے۔ کمزور، باہمی تصدیق اور کلیدی نسل کی حمایت نہیں کرتا ہے۔
- EAP-IKEv2 - انٹرنیٹ کی ایکسچینج پروٹوکول ورژن 2 پر مبنی۔ کلائنٹ اور سرور کے درمیان باہمی تصدیق اور سیشن کلید کا قیام فراہم کرتا ہے۔
- PEAP کھلے معیار کے طور پر CISCO، Microsoft اور RSA Security کے درمیان ایک مشترکہ حل ہے۔ مصنوعات میں وسیع پیمانے پر دستیاب ہے، بہت اچھی حفاظت فراہم کرتا ہے. EAP-TTLS کی طرح، صرف سرور سائیڈ سرٹیفکیٹ کی ضرورت ہوتی ہے۔
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS کے بعد، یہ دنیا میں وسیع پیمانے پر استعمال ہونے والا دوسرا معیار ہے۔ مائیکروسافٹ، سسکو، ایپل، لینکس میں استعمال شدہ کلائنٹ-سرور رشتہ
- PEAPv1/EAP-GTC - سسکو کے ذریعہ PEAPv0/EAP-MSCHAPv2 کے متبادل کے طور پر تخلیق کیا گیا۔ کسی بھی طرح سے تصدیقی ڈیٹا کی حفاظت نہیں کرتا ہے۔ ونڈوز OS پر تعاون یافتہ نہیں ہے۔
- EAP-FAST ایک تکنیک ہے جسے سسکو نے LEAP کی خامیوں کو دور کرنے کے لیے تیار کیا ہے۔ پروٹیکٹڈ ایکسیس کریڈینشل (PAC) کا استعمال کرتا ہے۔ مکمل طور پر نامکمل
اس تمام تنوع میں سے، انتخاب اب بھی بہت اچھا نہیں ہے۔ توثیق کا طریقہ درکار تھا: اچھی سیکیورٹی، تمام ڈیوائسز پر سپورٹ (ونڈوز 10، میک او ایس، لینکس، اینڈرائیڈ، آئی او ایس) اور درحقیقت، جتنا آسان اتنا ہی بہتر۔ لہذا، انتخاب PAP پروٹوکول کے ساتھ مل کر EAP-TTLS پر پڑا۔
سوال پیدا ہوسکتا ہے - PAP کیوں استعمال کریں؟ کیونکہ وہ واضح طور پر پاس ورڈ منتقل کرتا ہے؟
ہاں یہ صحیح ہے. FreeRadius اور FreeIPA کے درمیان مواصلت اس طرح سے ہوگی۔ ڈیبگ موڈ میں، آپ ٹریک کر سکتے ہیں کہ صارف کا نام اور پاس ورڈ کیسے بھیجا جاتا ہے۔ ہاں، اور انہیں جانے دو، صرف آپ کو FreeRadius سرور تک رسائی حاصل ہے۔
آپ EAP-TTLS کے کام کے بارے میں مزید پڑھ سکتے ہیں۔
فری ریڈیئس
FreeRadius CentOS 7.6 پر اٹھایا جائے گا۔ یہاں کچھ بھی پیچیدہ نہیں ہے، ہم اسے معمول کے مطابق ترتیب دیتے ہیں۔
yum install freeradius freeradius-utils freeradius-ldap -yورژن 3.0.13 پیکیجز سے انسٹال ہے۔ مؤخر الذکر لیا جا سکتا ہے۔
اس کے بعد، FreeRadius پہلے ہی کام کر رہا ہے۔ آپ لائن کو /etc/raddb/users میں غیر تبصرہ کر سکتے ہیں۔
steve Cleartext-Password := "testing"ڈیبگ موڈ میں سرور میں لانچ کریں۔
freeradius -Xاور لوکل ہوسٹ سے ٹیسٹ کنکشن بنائیں
radtest steve testing 127.0.0.1 1812 testing123جواب ملا 115:127.0.0.1 سے 1812:127.0.0.1 لمبائی 56081 تک رسائی-قبول کی شناخت 20 موصول ہوئیاس کا مطلب ہے کہ سب کچھ ٹھیک ہے۔ آگے بڑھو.
ماڈیول کو جوڑ رہا ہے۔ ایل ڈی اے پی.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapاور ہم اسے فوری طور پر تبدیل کر دیں گے۔ ہمیں FreeIPA تک رسائی حاصل کرنے کے لیے FreeRadius کی ضرورت ہے۔
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...رداس سرور کو دوبارہ شروع کریں اور LDAP صارفین کی مطابقت پذیری کو چیک کریں:
radtest user_ldap password_ldap localhost 1812 testing123
Eap میں ترمیم کرنا mods-enabled/eap
یہاں ہم eap کی دو مثالیں شامل کرتے ہیں۔ وہ صرف سرٹیفکیٹس اور کلیدوں میں مختلف ہوں گے۔ ذیل میں میں وضاحت کروں گا کہ ایسا کیوں ہے۔
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}مزید ترمیم سائٹ فعال/ڈیفالٹ. مجاز اور تصدیق والے حصے دلچسپی کے حامل ہیں۔
سائٹ فعال/ڈیفالٹ
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}مجاز سیکشن میں، ہم ان تمام ماڈیولز کو ہٹا دیتے ہیں جن کی ہمیں ضرورت نہیں ہے۔ ہم صرف ldap چھوڑتے ہیں۔ صارف نام کے ذریعہ کلائنٹ کی تصدیق شامل کریں۔ اسی لیے ہم نے اوپر eap کی دو مثالیں شامل کیں۔
ملٹی ای اے پیحقیقت یہ ہے کہ کچھ ڈیوائسز کو جوڑنے پر ہم سسٹم سرٹیفکیٹ استعمال کریں گے اور ڈومین کی وضاحت کریں گے۔ ہمارے پاس ایک قابل اعتماد سرٹیفکیٹ اتھارٹی کی طرف سے ایک سرٹیفکیٹ اور کلید ہے۔ ذاتی طور پر، میری رائے میں، کنکشن کا یہ طریقہ کار ہر ڈیوائس پر خود دستخط شدہ سرٹیفکیٹ پھینکنے سے زیادہ آسان ہے۔ لیکن خود دستخط شدہ سرٹیفکیٹ کے بغیر بھی، یہ کام نہیں کر سکا۔ Samsung آلات اور Android =< 6 ورژن سسٹم سرٹیفکیٹ استعمال نہیں کر سکتے۔ لہذا، ہم خود دستخط شدہ سرٹیفکیٹس کے ساتھ ان کے لیے eap-گیسٹ کی ایک الگ مثال بناتے ہیں۔ دیگر تمام آلات کے لیے، ہم قابل اعتماد سرٹیفکیٹ کے ساتھ eap-client استعمال کریں گے۔ صارف کے نام کا تعین گمنام فیلڈ سے ہوتا ہے جب آلہ منسلک ہوتا ہے۔ صرف 3 اقدار کی اجازت ہے: مہمان، کلائنٹ اور ایک خالی فیلڈ۔ باقی سب کچھ ضائع کر دیا جاتا ہے۔ یہ سیاست دانوں میں ترتیب دیا جائے گا۔ میں تھوڑی دیر بعد ایک مثال دوں گا۔
آئیے میں مجاز اور تصدیق شدہ سیکشنز میں ترمیم کریں۔ سائٹ فعال/اندرونی سرنگ
سائٹ فعال/اندرونی سرنگ
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}اگلا، آپ کو پالیسیوں میں یہ بتانے کی ضرورت ہے کہ گمنام لاگ ان کے لیے کون سے نام استعمال کیے جا سکتے ہیں۔ ترمیم کرنا policy.d/filter.
آپ کو اس سے ملتی جلتی لائنیں تلاش کرنے کی ضرورت ہے:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}اور ذیل میں elsif میں ضروری اقدار شامل کریں:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}اب ہمیں ڈائریکٹری میں جانے کی ضرورت ہے۔ سرٹیفکیٹ. یہاں ہمیں ایک قابل اعتماد سرٹیفیکیشن اتھارٹی سے کلید اور سرٹیفکیٹ ڈالنے کی ضرورت ہے، جو ہمارے پاس پہلے سے موجود ہے، اور ہمیں eap-گیسٹ کے لیے خود دستخط شدہ سرٹیفکیٹ بنانے کی ضرورت ہے۔
فائل میں پیرامیٹرز کو تبدیل کریں۔ ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"ہم فائل میں وہی قدریں لکھتے ہیں۔ server.cnf. ہم صرف بدلتے ہیں۔
عام نام:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"ہم تخلیق کرتے ہیں:
makeتیار. موصول ہوا۔ server.crt и server.key ہم نے پہلے ہی اوپر eap-گیسٹ میں رجسٹر کر رکھا ہے۔
اور آخر میں، آئیے فائل میں اپنے رسائی پوائنٹس کو شامل کریں۔ مؤکل. میرے پاس ان میں سے 7 ہیں۔ ہر ایک پوائنٹ کو الگ سے شامل نہ کرنے کے لیے، ہم صرف اس نیٹ ورک کو رجسٹر کریں گے جس میں وہ واقع ہیں (میرے رسائی پوائنٹس ایک علیحدہ VLAN میں ہیں)۔
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti کنٹرولر
ہم کنٹرولر پر ایک الگ نیٹ ورک بناتے ہیں۔ اسے 192.168.2.0/24 ہونے دیں۔
ترتیبات -> پروفائل پر جائیں۔ آئیے ایک نیا بنائیں:
ہم ریڈیئس سرور کا ایڈریس اور پورٹ اور پاس ورڈ لکھتے ہیں جو فائل میں لکھا گیا تھا۔ clients.conf:
ایک نیا وائرلیس نیٹ ورک کا نام بنائیں۔ WPA-EAP (انٹرپرائز) کو توثیق کے طریقہ کے طور پر منتخب کریں اور تخلیق شدہ رداس پروفائل کی وضاحت کریں:
ہم سب کچھ بچاتے ہیں، اسے لاگو کرتے ہیں اور آگے بڑھتے ہیں.
گاہکوں کو ترتیب دینا
آئیے سب سے مشکل حصے کے ساتھ شروع کریں!
ونڈوز 10
مشکل اس حقیقت پر آتی ہے کہ ونڈوز ابھی تک نہیں جانتا ہے کہ ڈومین پر کارپوریٹ وائی فائی سے کیسے جڑنا ہے۔ لہذا، ہمیں اپنے سرٹیفکیٹ کو دستی طور پر قابل اعتماد سرٹیفکیٹ اسٹور پر اپ لوڈ کرنا ہوگا۔ یہاں آپ یا تو خود دستخط شدہ یا سرٹیفیکیشن اتھارٹی سے ایک استعمال کر سکتے ہیں۔ میں دوسرا استعمال کروں گا۔
اگلا، آپ کو ایک نیا کنکشن بنانے کی ضرورت ہے۔ ایسا کرنے کے لیے، نیٹ ورک اور انٹرنیٹ کی ترتیبات پر جائیں -> نیٹ ورک اور شیئرنگ سینٹر -> نیا کنکشن یا نیٹ ورک بنائیں اور کنفیگر کریں:
ہم دستی طور پر نیٹ ورک کا نام درج کرتے ہیں اور سیکیورٹی کی قسم کو تبدیل کرتے ہیں۔ پھر کلک کریں۔ کنکشن کی ترتیبات کو تبدیل کریں۔ اور سیکورٹی ٹیب میں، نیٹ ورک کی تصدیق - EAP-TTLS کو منتخب کریں۔
سیٹنگز پر جائیں، تصدیق کی رازداری سیٹ کریں۔ کلائنٹ. ایک قابل اعتماد سرٹیفیکیشن اتھارٹی کے طور پر، ہم نے جو سرٹیفکیٹ شامل کیا ہے اسے منتخب کریں، "اگر سرور کو اجازت نہیں دی جا سکتی ہے تو صارف کو دعوت نامہ جاری نہ کریں" کو نشان زد کریں اور تصدیق کا طریقہ منتخب کریں - غیر خفیہ کردہ پاس ورڈ (PAP)۔
اگلا، اعلی درجے کی ترتیبات پر جائیں، "تصدیق کی تصدیق موڈ" پر ٹک لگائیں. "صارف کی توثیق" کو منتخب کریں اور پر کلک کریں۔ اسناد کو محفوظ کریں. یہاں آپ کو username_ldap اور password_ldap درج کرنے کی ضرورت ہوگی۔
ہم سب کچھ بچاتے ہیں، لاگو کرتے ہیں، بند کرتے ہیں. آپ ایک نئے نیٹ ورک سے جڑ سکتے ہیں۔
لینکس
میں نے اوبنٹو 18.04، 18.10، فیڈورا 29، 30 پر تجربہ کیا۔
پہلے، آئیے اپنا سرٹیفکیٹ ڈاؤن لوڈ کریں۔ مجھے لینکس میں نہیں ملا کہ آیا سسٹم سرٹیفکیٹ استعمال کرنا ممکن ہے اور کیا ایسا کوئی اسٹور بالکل بھی ہے۔
آئیے ڈومین سے جڑتے ہیں۔ لہذا، ہمیں سرٹیفیکیشن اتھارٹی سے ایک سرٹیفکیٹ کی ضرورت ہے جس سے ہمارا سرٹیفکیٹ خریدا گیا تھا۔
تمام کنکشن ایک ونڈو میں بنائے گئے ہیں۔ ہمارا نیٹ ورک منتخب کریں:
گمنام - کلائنٹ
ڈومین - وہ ڈومین جس کے لیے سرٹیفکیٹ جاری کیا جاتا ہے۔
اینڈرائڈ
غیر سام سنگ
ورژن 7 سے، وائی فائی کو کنیکٹ کرتے وقت، آپ صرف ڈومین بتا کر سسٹم سرٹیفکیٹ استعمال کر سکتے ہیں:
ڈومین - وہ ڈومین جس کے لیے سرٹیفکیٹ جاری کیا جاتا ہے۔
گمنام - کلائنٹ
سیمسنگ
جیسا کہ میں نے اوپر لکھا ہے، سام سنگ ڈیوائسز وائی فائی سے منسلک ہونے پر سسٹم سرٹیفکیٹ استعمال کرنے کا طریقہ نہیں جانتے ہیں، اور ان میں ڈومین کے ذریعے جڑنے کی صلاحیت نہیں ہے۔ لہذا، آپ کو سرٹیفیکیشن اتھارٹی کے روٹ سرٹیفکیٹ کو دستی طور پر شامل کرنا ہوگا (ca.pem، ہم اسے Radius سرور پر لیتے ہیں)۔ یہاں وہ جگہ ہے جہاں خود دستخط شدہ استعمال کیا جائے گا۔
اپنے آلے پر سرٹیفکیٹ ڈاؤن لوڈ کریں اور اسے انسٹال کریں۔
سرٹیفکیٹ کی تنصیب
ایک ہی وقت میں، آپ کو اسکرین ان لاک پیٹرن، پن کوڈ یا پاس ورڈ سیٹ کرنے کی ضرورت ہوگی، اگر یہ پہلے سے سیٹ نہیں ہے:
میں نے سرٹیفکیٹ انسٹال کرنے کے لیے ایک پیچیدہ آپشن دکھایا۔ زیادہ تر آلات پر، صرف ڈاؤن لوڈ کردہ سرٹیفکیٹ پر کلک کریں۔
سرٹیفکیٹ انسٹال ہونے پر، آپ کنکشن پر آگے بڑھ سکتے ہیں:
سرٹیفکیٹ - اس کی نشاندہی کریں جسے آپ نے انسٹال کیا ہے۔
گمنام صارف - مہمان
MacOS کے لئے اولمپ ٹریڈ ایپ
ایپل کے آلات صرف باکس سے باہر EAP-TLS سے جڑ سکتے ہیں، لیکن پھر بھی آپ کو انہیں سرٹیفکیٹ فراہم کرنے کی ضرورت ہے۔ کنکشن کا ایک مختلف طریقہ بتانے کے لیے، آپ کو Apple Configurator 2 استعمال کرنے کی ضرورت ہے۔ اس کے مطابق، آپ کو پہلے اسے اپنے میک پر ڈاؤن لوڈ کرنا ہوگا، ایک نیا پروفائل بنانا ہوگا اور تمام ضروری وائی فائی سیٹنگز کو شامل کرنا ہوگا۔
ایپل ترتیب کنورٹر
اپنے نیٹ ورک کا نام یہاں درج کریں۔
سیکیورٹی کی قسم - WPA2 انٹرپرائز
قبول شدہ EAP کی اقسام - TTLS
صارف کا نام اور پاس ورڈ - خالی چھوڑ دیں۔
اندرونی توثیق - PAP
بیرونی شناخت کلائنٹ
ٹرسٹ ٹیب۔ یہاں ہم اپنے ڈومین کی وضاحت کرتے ہیں۔
تمام پروفائل کو محفوظ، دستخط اور آلات پر تقسیم کیا جا سکتا ہے۔
پروفائل تیار ہونے کے بعد، آپ کو اسے اپنے میک پر ڈاؤن لوڈ کرنے اور انسٹال کرنے کی ضرورت ہے۔ تنصیب کے عمل کے دوران، آپ کو صارف کے usernmae_ldap اور password_ldap کی وضاحت کرنے کی ضرورت ہوگی:
iOS
یہ عمل macOS کی طرح ہے۔ آپ کو ایک پروفائل استعمال کرنے کی ضرورت ہے (آپ وہی استعمال کر سکتے ہیں جیسا کہ macOS کے لیے۔ Apple Configurator میں پروفائل کیسے بنائیں، اوپر دیکھیں)۔
پروفائل ڈاؤن لوڈ کریں، انسٹال کریں، اسناد درج کریں، جڑیں:
بس۔ ہم نے ایک Radius سرور ترتیب دیا، اسے FreeIPA کے ساتھ ہم آہنگ کیا، اور Ubiquiti APs کو WPA2-EAP استعمال کرنے کو کہا۔
ممکنہ سوالات
پر: کسی ملازم کو پروفائل/سرٹیفکیٹ کیسے منتقل کیا جائے؟
کے بارے میں: میں تمام سرٹیفکیٹس/پروفائلز کو ویب رسائی کے ساتھ ایف ٹی پی پر اسٹور کرتا ہوں۔ ftp کے استثناء کے ساتھ، رفتار کی حد اور صرف انٹرنیٹ تک رسائی کے ساتھ ایک مہمان نیٹ ورک تیار کیا۔
تصدیق 2 دن تک جاری رہتی ہے، جس کے بعد اسے دوبارہ ترتیب دیا جاتا ہے اور کلائنٹ کو انٹرنیٹ کے بغیر چھوڑ دیا جاتا ہے۔ وہ. جب کوئی ملازم وائی فائی سے جڑنا چاہتا ہے، تو وہ پہلے گیسٹ نیٹ ورک سے جڑتا ہے، ایف ٹی پی میں لاگ ان ہوتا ہے، اپنی ضرورت کا سرٹیفکیٹ یا پروفائل ڈاؤن لوڈ کرتا ہے، انہیں انسٹال کرتا ہے، اور پھر کارپوریٹ نیٹ ورک سے جڑ سکتا ہے۔
پر: MSCHAPv2 کے ساتھ اسکیما کیوں نہیں استعمال کرتے؟ وہ زیادہ محفوظ ہے!
کے بارے میں: سب سے پہلے، اس طرح کی اسکیم NPS (ونڈوز نیٹ ورک پالیسی سسٹم) پر اچھی طرح کام کرتی ہے، ہمارے نفاذ میں اضافی طور پر LDAP (FreeIpa) کو کنفیگر کرنا اور پاس ورڈ ہیش کو سرور پر اسٹور کرنا ضروری ہے۔ شامل کریں۔ ترتیبات بنانا مناسب نہیں ہے، کیونکہ. یہ الٹراساؤنڈ کی مطابقت پذیری کے مختلف مسائل کا باعث بن سکتا ہے۔ دوسرا، ہیش MD4 ہے، لہذا اس میں زیادہ سیکیورٹی شامل نہیں ہوتی ہے۔
پر: کیا میک ایڈریسز کا استعمال کرتے ہوئے آلات کو اختیار کرنا ممکن ہے؟
کے بارے میں: نہیں، یہ محفوظ نہیں ہے، حملہ آور MAC ایڈریسز کو تبدیل کر سکتا ہے، اور اس سے بھی بڑھ کر MAC ایڈریسز کی اجازت بہت سے آلات پر تعاون یافتہ نہیں ہے۔
پر: ان تمام سرٹیفکیٹس کو کیوں استعمال کریں؟ آپ ان کے بغیر جڑ سکتے ہیں۔
کے بارے میں: سرٹیفکیٹ سرور کو اجازت دینے کے لیے استعمال کیے جاتے ہیں۔ وہ. کنیکٹ کرتے وقت، ڈیوائس چیک کرتا ہے کہ آیا یہ ایک ایسا سرور ہے جس پر بھروسہ کیا جا سکتا ہے یا نہیں۔ اگر یہ ہے، تو تصدیق جاری ہے، اگر نہیں، تو کنکشن بند ہے. آپ بغیر سرٹیفکیٹ کے رابطہ کر سکتے ہیں، لیکن اگر کوئی حملہ آور یا پڑوسی گھر پر ہمارے نام کے ساتھ ایک ریڈیئس سرور اور ایک رسائی پوائنٹ قائم کرتا ہے، تو وہ صارف کی اسناد کو آسانی سے روک سکتا ہے (یہ نہ بھولیں کہ وہ واضح متن میں منتقل ہوتے ہیں)۔ اور جب کوئی سرٹیفکیٹ استعمال کیا جائے گا تو دشمن اپنے لاگ میں صرف ہمارا فرضی صارف نام دیکھے گا - مہمان یا کلائنٹ اور ایک قسم کی غلطی - نامعلوم CA سرٹیفکیٹ
macOS کے بارے میں تھوڑا سا مزیدعام طور پر macOS پر، سسٹم کو دوبارہ انسٹال کرنا انٹرنیٹ کے ذریعے کیا جاتا ہے۔ ریکوری موڈ میں، Mac کا WiFi سے منسلک ہونا ضروری ہے، اور نہ تو ہمارا کارپوریٹ WiFi اور نہ ہی مہمان نیٹ ورک یہاں کام کرے گا۔ ذاتی طور پر، میں نے ایک اور نیٹ ورک انسٹال کیا، معمول کا WPA2-PSK، چھپا ہوا، صرف تکنیکی کاموں کے لیے۔ یا پھر بھی آپ سسٹم کے ساتھ پہلے سے بوٹ ایبل USB فلیش ڈرائیو بنا سکتے ہیں۔ لیکن اگر پوست 2015 کے بعد ہے، تو آپ کو ابھی بھی اس فلیش ڈرائیو کے لیے اڈاپٹر تلاش کرنے کی ضرورت ہوگی)
ماخذ: www.habr.com