Một số ví dụ về tổ chức WiFi công ty đã được mô tả. Ở đây tôi sẽ mô tả cách tôi triển khai giải pháp như vậy và những vấn đề tôi gặp phải khi kết nối trên các thiết bị khác nhau. Chúng tôi sẽ sử dụng LDAP hiện có với những người dùng đã thiết lập, cài đặt FreeRadius và định cấu hình WPA2-Enterprise trên bộ điều khiển Ubnt. Mọi thứ có vẻ đơn giản. Hãy xem nào…
Một chút về phương pháp EAP
Trước khi bắt đầu nhiệm vụ, chúng ta cần quyết định phương pháp xác thực nào chúng ta sẽ sử dụng trong giải pháp của mình.
Từ Wikipedia:
EAP là một khung xác thực thường được sử dụng trong các mạng không dây và kết nối điểm-điểm. Định dạng này được mô tả lần đầu tiên trong RFC 3748 và được cập nhật trong RFC 5247.
EAP được sử dụng để chọn phương thức xác thực, truyền khóa và xử lý các khóa đó bằng plugin gọi là phương thức EAP. Có nhiều phương thức EAP, cả hai đều được xác định bằng chính EAP và các phương thức do các nhà cung cấp riêng lẻ phát hành. EAP không xác định lớp liên kết, nó chỉ xác định định dạng thông báo. Mỗi giao thức sử dụng EAP đều có giao thức đóng gói thông điệp EAP riêng.
Bản thân các phương pháp:
- LEAP là một giao thức độc quyền được phát triển bởi CISCO. Lỗ hổng được tìm thấy. Hiện tại không được khuyến khích sử dụng
- EAP-TLS được các nhà cung cấp dịch vụ không dây hỗ trợ tốt. Đây là một giao thức an toàn vì nó là sự kế thừa của các tiêu chuẩn SSL. Việc thiết lập máy khách khá phức tạp. Bạn cần có chứng chỉ ứng dụng khách ngoài mật khẩu. Hỗ trợ trên nhiều hệ thống
- EAP-TTLS - được hỗ trợ rộng rãi trên nhiều hệ thống, cung cấp bảo mật tốt chỉ sử dụng chứng chỉ PKI trên máy chủ xác thực
- EAP-MD5 là một tiêu chuẩn mở khác. Cung cấp bảo mật tối thiểu. Dễ bị tổn thương, không hỗ trợ xác thực lẫn nhau và tạo khóa
- EAP-IKEv2 - dựa trên Giao thức trao đổi khóa Internet phiên bản 2. Cung cấp xác thực lẫn nhau và thiết lập khóa phiên giữa máy khách và máy chủ
- PEAP là giải pháp chung giữa CISCO, Microsoft và RSA Security dưới dạng tiêu chuẩn mở. Sản phẩm có sẵn rộng rãi, mang lại độ an toàn rất tốt. Tương tự như EAP-TTLS, chỉ yêu cầu chứng chỉ phía máy chủ
- PEAPv0/EAP-MSCHAPv2 - Sau EAP-TLS, đây là tiêu chuẩn được sử dụng rộng rãi thứ hai trên thế giới. Mối quan hệ client-server được sử dụng trong Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Được Cisco tạo ra để thay thế cho PEAPv0/EAP-MSCHAPv2. Không bảo vệ dữ liệu xác thực dưới bất kỳ hình thức nào. Không được hỗ trợ trên hệ điều hành Windows
- EAP-FAST là phương pháp được Cisco phát triển nhằm khắc phục những khuyết điểm của LEAP. Sử dụng Thông tin xác thực truy cập được bảo vệ (PAC). Hoàn toàn chưa hoàn thành
Trong số tất cả sự đa dạng này, sự lựa chọn vẫn chưa nhiều. Phương thức xác thực yêu cầu: bảo mật tốt, hỗ trợ trên mọi thiết bị (Windows 10, macOS, Linux, Android, iOS) và trên thực tế, càng đơn giản càng tốt. Do đó, sự lựa chọn rơi vào EAP-TTLS kết hợp với giao thức PAP.
Câu hỏi có thể nảy sinh - Tại sao nên sử dụng PAP? Rốt cuộc, nó truyền mật khẩu ở dạng văn bản rõ ràng?
Vâng đúng vậy. Việc giao tiếp giữa FreeRadius và FreeIPA sẽ diễn ra chính xác như thế này. Trong chế độ gỡ lỗi, bạn có thể theo dõi cách gửi tên người dùng và mật khẩu. Có, và hãy để họ đi, chỉ bạn mới có quyền truy cập vào máy chủ FreeRadius.
Bạn có thể đọc thêm về cách hoạt động của EAP-TTLS
RADIUS miễn phí
Chúng tôi sẽ nâng cấp FreeRadius lên CentOS 7.6. Không có gì phức tạp ở đây, chúng ta cài đặt theo cách thông thường.
yum install freeradius freeradius-utils freeradius-ldap -yTrong số các gói, phiên bản 3.0.13 đã được cài đặt. Cái sau có thể được thực hiện tại
Sau đó, FreeRadius đã hoạt động. Bạn có thể bỏ ghi chú dòng trong /etc/raddb/users
steve Cleartext-Password := "testing"Khởi chạy vào máy chủ ở chế độ gỡ lỗi
freeradius -XVà tạo kết nối thử nghiệm từ localhost
radtest steve testing 127.0.0.1 1812 testing123Chúng tôi đã nhận được câu trả lời Đã nhận Id chấp nhận truy cập 115 từ 127.0.0.1:1812 đến 127.0.0.1:56081 dài 20, có nghĩa là mọi thứ đều ổn. Hãy tiếp tục.
Kết nối mô-đun ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapVà chúng tôi sẽ thay đổi nó ngay lập tức. Chúng tôi cần FreeRadius để có thể truy cập FreeIPA
kích hoạt mod/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Khởi động lại máy chủ bán kính và kiểm tra tính đồng bộ hóa của người dùng LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Chỉnh sửa eap trong kích hoạt mod/eap
Ở đây chúng ta sẽ thêm hai phiên bản của eap. Chúng sẽ chỉ khác nhau về chứng chỉ và khóa. Tôi sẽ giải thích lý do tại sao điều này đúng dưới đây.
kích hoạt mod/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Tiếp theo chúng tôi chỉnh sửa trang web được kích hoạt/mặc định. Tôi quan tâm đến phần ủy quyền và xác thực.
trang web được kích hoạt/mặc định
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Trong phần ủy quyền, chúng tôi loại bỏ tất cả các mô-đun mà chúng tôi không cần. Chúng tôi chỉ để lại ldap. Thêm xác minh khách hàng bằng tên người dùng. Đây là lý do tại sao chúng tôi đã thêm hai phiên bản eap ở trên.
Đa EAPThực tế là khi kết nối một số thiết bị, chúng tôi sẽ sử dụng chứng chỉ hệ thống và chỉ định miền. Chúng tôi có chứng chỉ và khóa từ cơ quan cấp chứng chỉ đáng tin cậy. Cá nhân tôi, theo tôi, quy trình kết nối này đơn giản hơn việc ném chứng chỉ tự ký trên mỗi thiết bị. Nhưng ngay cả khi không có chứng chỉ tự ký thì vẫn không thể rời đi. Thiết bị Samsung và Android =< 6 phiên bản không biết sử dụng chứng chỉ hệ thống. Do đó, chúng tôi tạo một phiên bản eap-guest riêng cho họ bằng các chứng chỉ tự ký. Đối với tất cả các thiết bị khác, chúng tôi sẽ sử dụng eap-client với chứng chỉ đáng tin cậy. Tên người dùng được xác định bởi trường Ẩn danh khi kết nối thiết bị. Chỉ cho phép 3 giá trị: Khách, Khách hàng và trường trống. Phần còn lại đều bị loại bỏ. Điều này có thể được cấu hình trong các chính sách. Tôi sẽ đưa ra một ví dụ sau.
Hãy chỉnh sửa phần ủy quyền và xác thực trong kích hoạt trang web/đường hầm bên trong
kích hoạt trang web/đường hầm bên trong
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Tiếp theo, bạn cần chỉ định trong chính sách những tên nào có thể được sử dụng để đăng nhập ẩn danh. Chỉnh sửa chính sách.d/filter.
Bạn cần tìm những dòng tương tự như thế này:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Và bên dưới trong elsif thêm các giá trị cần thiết:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Bây giờ chúng ta cần chuyển đến thư mục ngũ cốc. Ở đây, chúng tôi cần đặt khóa và chứng chỉ từ cơ quan chứng nhận đáng tin cậy mà chúng tôi đã có và chúng tôi cần tạo chứng chỉ tự ký cho eap-guest.
Thay đổi các tham số trong tập tin ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Chúng tôi viết các giá trị giống nhau trong tập tin máy chủ.cnf. Chúng tôi chỉ thay đổi
tên gọi chung:
máy chủ.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Chúng tôi tạo ra:
makeSẵn sàng. Đã nhận máy chủ.crt и máy chủ.key Chúng tôi đã đăng ký ở trên trong eap-guest.
Và cuối cùng, hãy thêm các điểm truy cập của chúng tôi vào tệp khách hàng.conf. Tôi có 7 cái, để không thêm từng điểm riêng biệt, chúng tôi sẽ chỉ đăng ký mạng nơi chúng được đặt (các điểm truy cập của tôi nằm trong một VLAN riêng).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Bộ điều khiển Ubiquiti
Chúng tôi nâng cao một mạng riêng trên bộ điều khiển. Hãy để nó là 192.168.2.0/24
Đi tới cài đặt -> hồ sơ. Hãy tạo một cái mới:
Chúng tôi ghi lại địa chỉ và cổng của máy chủ bán kính và mật khẩu được ghi trong tệp khách hàng.conf:
Tạo tên mạng không dây mới. Chọn WPA-EAP (Doanh nghiệp) làm phương thức xác thực và chỉ định cấu hình bán kính đã tạo:
Chúng tôi lưu mọi thứ, áp dụng nó và tiếp tục.
Thiết lập khách hàng
Hãy bắt đầu với phần khó nhất!
cửa sổ 10
Khó khăn đến từ việc Windows chưa biết cách kết nối với WiFi công ty qua một miền. Do đó, chúng tôi phải tải chứng chỉ của mình lên kho chứng chỉ đáng tin cậy theo cách thủ công. Tại đây, bạn có thể sử dụng một bản tự ký hoặc một bản từ cơ quan chứng nhận. Tôi sẽ sử dụng cái thứ hai.
Tiếp theo bạn cần tạo một kết nối mới. Để thực hiện việc này, hãy đi tới Cài đặt Mạng và Internet -> Trung tâm Mạng và Chia sẻ -> Tạo và định cấu hình kết nối hoặc mạng mới:
Chúng tôi nhập thủ công tên mạng và thay đổi loại bảo mật. Sau đó bấm vào thay đổi cài đặt kết nối và trong tab Bảo mật, chọn xác thực mạng - EAP-TTLS.
Đi tới cài đặt, đặt tính bảo mật của xác thực - khách hàng. Với tư cách là cơ quan chứng nhận đáng tin cậy, hãy chọn chứng chỉ mà chúng tôi đã thêm, chọn hộp “Không đưa ra lời mời cho người dùng nếu máy chủ không thể được cấp phép” và chọn phương thức xác thực - mật khẩu văn bản gốc (PAP).
Tiếp theo, đi đến các tham số bổ sung và đánh dấu vào ô “Chỉ định chế độ xác thực”. Chọn “Xác thực người dùng” và nhấp vào lưu thông tin xác thực. Tại đây bạn sẽ cần nhập username_ldap và pass_ldap
Chúng tôi lưu, áp dụng, đóng mọi thứ. Bạn có thể kết nối với một mạng mới.
Linux
Tôi đã thử nghiệm trên Ubuntu 18.04, 18.10, Fedora 29, 30.
Đầu tiên, hãy tải xuống chứng chỉ cho chính bạn. Tôi chưa tìm thấy trong Linux liệu có thể sử dụng chứng chỉ hệ thống hay không hoặc liệu có một cửa hàng như vậy hay không.
Chúng ta sẽ kết nối qua miền. Do đó, chúng tôi cần chứng chỉ từ cơ quan chứng nhận mà chứng chỉ của chúng tôi đã được mua.
Tất cả các kết nối được thực hiện trong một cửa sổ. Chọn mạng của chúng tôi:
ẩn danh - khách hàng
tên miền - tên miền mà chứng chỉ được cấp
Android
không phải của Samsung
Từ phiên bản 7, khi kết nối WiFi, bạn có thể sử dụng chứng chỉ hệ thống bằng cách chỉ định tên miền:
tên miền - tên miền mà chứng chỉ được cấp
ẩn danh - khách hàng
Samsung
Như tôi đã viết ở trên, các thiết bị Samsung không biết cách sử dụng chứng chỉ hệ thống khi kết nối WiFi và chúng không có khả năng kết nối qua miền. Do đó, bạn cần thêm thủ công chứng chỉ gốc của cơ quan cấp chứng chỉ (ca.pem, lấy từ máy chủ Radius). Đây là nơi tự ký sẽ được sử dụng.
Tải chứng chỉ về thiết bị của bạn và cài đặt nó.
Cài đặt chứng chỉ
Trong trường hợp này, bạn sẽ cần đặt kiểu mở khóa màn hình, mã PIN hoặc mật khẩu nếu chưa đặt:
Tôi đã chỉ ra một tùy chọn phức tạp để cài đặt chứng chỉ. Trên hầu hết các thiết bị, chỉ cần nhấp vào chứng chỉ đã tải xuống.
Khi chứng chỉ được cài đặt, bạn có thể tiến hành kết nối:
chứng chỉ - cho biết cái bạn đã cài đặt
người dùng ẩn danh - khách
macOS
Các thiết bị Apple chỉ có thể kết nối với EAP-TLS ngay từ đầu nhưng bạn vẫn cần cung cấp chứng chỉ cho chúng. Để chỉ định một phương thức kết nối khác, bạn cần sử dụng Apple Configurator 2. Theo đó, trước tiên bạn cần tải nó xuống máy Mac, tạo hồ sơ mới và thêm tất cả các cài đặt WiFi cần thiết.
Cấu hình của Apple
Ở đây chúng tôi chỉ ra tên mạng của chúng tôi
Loại bảo mật - WPA2 Enterprise
Các loại EAP được chấp nhận - TTLS
Tên người dùng và mật khẩu - để trống
Xác thực bên trong - PAP
Bản sắc bên ngoài - khách hàng
Tab tin cậy. Ở đây chúng tôi chỉ ra tên miền của chúng tôi
Tất cả. Hồ sơ có thể được lưu, ký và phân phối đến các thiết bị
Sau khi hồ sơ đã sẵn sàng, bạn cần tải nó xuống máy Mac và cài đặt nó. Trong quá trình cài đặt, bạn sẽ cần chỉ định usernmae_ldap và pass_ldap của người dùng:
iOS
Quá trình này tương tự như macOS. Bạn cần sử dụng một hồ sơ (bạn có thể sử dụng hồ sơ tương tự như đối với macOS. Xem bên trên để biết cách tạo hồ sơ trong Apple Configurator).
Tải hồ sơ, cài đặt, nhập thông tin đăng nhập, kết nối:
Đó là tất cả. Chúng tôi đã thiết lập máy chủ Radius, đồng bộ hóa nó với FreeIPA và yêu cầu các điểm truy cập Ubiquiti sử dụng WPA2-EAP.
Các câu hỏi có thể
В: làm thế nào để chuyển hồ sơ/chứng chỉ cho nhân viên?
О: Tôi lưu trữ tất cả chứng chỉ/hồ sơ trên FTP với quyền truy cập qua web. Tôi thiết lập mạng khách với giới hạn tốc độ và chỉ truy cập Internet, ngoại trừ FTP.
Quá trình xác thực kéo dài 2 ngày, sau đó nó được đặt lại và máy khách không có Internet. Cái đó. Khi một nhân viên muốn kết nối với WiFi, trước tiên anh ta kết nối với mạng khách, đăng nhập vào FTP, tải xuống chứng chỉ hoặc hồ sơ mình cần, cài đặt chúng và sau đó có thể kết nối với mạng công ty.
В: tại sao không sử dụng sơ đồ với MSCHAPv2? nó an toàn hơn!
О: Thứ nhất, lược đồ này hoạt động tốt trên NPS (Hệ thống chính sách mạng Windows), trong quá trình triển khai của chúng tôi, cần phải định cấu hình bổ sung LDAP (FreeIpa) và lưu trữ băm mật khẩu trên máy chủ. Thêm vào. Không nên thực hiện cài đặt vì điều này có thể dẫn đến nhiều vấn đề khác nhau về việc đồng bộ hóa hệ thống siêu âm. Thứ hai, hàm băm là MD4 nên không tăng cường bảo mật nhiều
В: Có thể ủy quyền cho các thiết bị sử dụng địa chỉ mac không?
О: KHÔNG, điều này không an toàn, kẻ tấn công có thể giả mạo địa chỉ MAC và hơn thế nữa, việc ủy quyền theo địa chỉ MAC không được hỗ trợ trên nhiều thiết bị
В: Tại sao lại sử dụng tất cả các chứng chỉ này? bạn có thể kết nối mà không cần họ
О: chứng chỉ được sử dụng để ủy quyền cho máy chủ. Những thứ kia. Khi kết nối, thiết bị sẽ kiểm tra xem đó có phải là máy chủ có thể tin cậy được hay không. Nếu đúng thì quá trình xác thực sẽ được tiến hành; nếu không, kết nối sẽ bị đóng. Bạn có thể kết nối mà không cần chứng chỉ, nhưng nếu kẻ tấn công hoặc hàng xóm thiết lập máy chủ bán kính và điểm truy cập có cùng tên với tên của chúng tôi ở nhà, hắn có thể dễ dàng chặn thông tin xác thực của người dùng (đừng quên rằng chúng được truyền dưới dạng văn bản rõ ràng) . Và khi chứng chỉ được sử dụng, kẻ thù sẽ chỉ nhìn thấy trong nhật ký của hắn Tên người dùng hư cấu của chúng tôi - khách hoặc khách hàng và lỗi loại - Chứng chỉ CA không xác định
thêm một chút về macOSThông thường, trên macOS, việc cài đặt lại hệ thống được thực hiện thông qua Internet. Ở chế độ khôi phục, máy Mac phải được kết nối với WiFi và cả WiFi công ty cũng như mạng khách của chúng tôi đều không hoạt động ở đây. Cá nhân tôi đã cài đặt một mạng khác, WPA2-PSK thông thường, ẩn, chỉ dành cho các hoạt động kỹ thuật. Hoặc bạn cũng có thể tạo trước một ổ flash USB có khả năng khởi động với hệ thống. Nhưng nếu máy Mac của bạn sau năm 2015, bạn cũng sẽ cần tìm bộ chuyển đổi cho ổ flash này)
Nguồn: www.habr.com