WiFi ענטערפּרייז. FreeRadius + FreeIPA + Ubiquiti

עטלעכע ביישפילן פון אָרגאַנייזינג פֿירמע WiFi האָבן שוין דיסקרייבד. דאָ איך וועט באַשרייַבן ווי איך ימפּלאַמענאַד אַ ענלעך לייזונג און די פּראָבלעמס איך געפּלאָנטערט ווען קאַנעקטינג אויף פאַרשידענע דעוויסעס. מיר וועלן נוצן די יגזיסטינג LDAP מיט געגרינדעט יוזערז, ינסטאַלירן FreeRadius און קאַנפיגיער WPA2-Enterprise אויף די Ubnt קאָנטראָללער. אַלץ מיינט פּשוט. לאמיר זעהן…

א ביסל וועגן EAP מעטהאָדס

איידער מיר אָנהייבן די אַרבעט, מיר דאַרפֿן צו באַשליסן וואָס אָטענטאַקיישאַן אופֿן מיר וועלן נוצן אין אונדזער לייזונג.

פֿון וויקיפּעדיע:

EAP איז אַ אָטענטאַקיישאַן פריימווערק וואָס איז אָפט געניצט אין וויירליס נעטוואָרקס און פונט-צו-פונט קאַנעקשאַנז. דער פֿאָרמאַט איז געווען ערשטער דיסקרייבד אין RFC 3748 און דערהייַנטיקט אין RFC 5247.
EAP איז געניצט צו אויסקלייַבן אַן אָטענטאַקיישאַן אופֿן, אַריבערפירן שליסלען און פּראָצעס די שליסלען דורך פּלוגינס גערופן EAP מעטהאָדס. עס זענען פילע EAP מעטהאָדס, ביידע דיפיינד מיט EAP זיך און די רעלעאַסעד דורך יחיד ווענדאָרס. EAP דעפינירן נישט די לינק שיכטע, עס דיפיינז בלויז די אָנזאָג פֿאָרמאַט. יעדער פּראָטאָקאָל וואָס ניצט EAP האט זיין אייגענע EAP אָנזאָג ענקאַפּסולאַטיאָן פּראָטאָקאָל.

די מעטהאָדס זיך:

• LEAP איז אַ פּראַפּרייאַטערי פּראָטאָקאָל דעוועלאָפּעד דורך CISCO. וואַלנעראַביליטיז געפונען. דערווייַל ניט רעקאַמענדיד פֿאַר נוצן
• EAP-TLS איז געזונט געשטיצט צווישן וויירליס ווענדאָרס. עס איז אַ זיכער פּראָטאָקאָל ווייַל עס איז דער סאַקסעסער צו די SSL סטאַנדאַרדס. באַשטעטיקן דעם קליענט איז גאַנץ קאָמפּליצירט. איר דאַרפֿן אַ קליענט באַווייַזן אין אַדישאַן צו די פּאַראָל. געשטיצט אויף פילע סיסטעמען
• EAP-TTLS - וויידלי געשטיצט אויף פילע סיסטעמען, אָפפערס גוט זיכערהייט ניצן PKI סערטיפיקאַץ בלויז אויף די אָטענטאַקיישאַן סערווער
• EAP-MD5 איז אן אנדער אָפֿן נאָרמאַל. אָפפערס מינימאַל זיכערהייַט. שפּירעוודיק, טוט נישט שטיצן קעגנצייַטיק אָטענטאַקיישאַן און שליסל דור
• EAP-IKEv2 - באזירט אויף אינטערנעט דורכפֿאַל עקסטשאַנגע פּראָטאָקאָל ווערסיע 2. פּראָווידעס קעגנצייַטיק אָטענטאַקיישאַן און סעסיע שליסל פאַרלייגן צווישן קליענט און סערווער
• PEAP איז אַ שלאָס לייזונג צווישן CISCO, Microsoft און RSA Security ווי אַן אָפֿן נאָרמאַל. וויידלי בנימצא אין פּראָדוקטן, גיט זייער גוט זיכערקייַט. ענלעך צו EAP-TTLS, ריקוויירינג בלויז אַ סערווער זייַט באַווייַזן
• PEAPv0/EAP-MSCHAPv2 איז דער צווייטער מערסט גענוצטער סטאַנדאַרט אין דער וועלט נאָך EAP-TLS. עס ווערט גענוצט פֿאַר קליענט-סערווער קאָמוניקאַציע דורך מייקראָסאָפֿט, סיסקאָ און עפּל. Linux
• PEAPv1/EAP-GTC - באשאפן דורך סיסקאָ אלס אן אלטערנאטיוו צו PEAPv0/EAP-MSCHAPv2. באשיצט נישט קיין אויטענטיפיקאציע דאטן אויף קיין אופן. נישט געשטיצט אין Windows OS
• EAP-FAST איז אַ מעטאָד דעוועלאָפּעד דורך Cisco צו פאַרריכטן די שאָרטקאָמינגס פון LEAP. ניצט פּראָטעקטעד אַקסעס קרעדענטיאַל (PAC). גאָר אַנפינישט

מיט דעם גאנצן פארשיידנקייט, איז די ברירה נאך אלץ באגרענעצט. די פארלאנגטע אויטענטיפיקאציע מעטאד: גוטע זיכערהייט, שטיצע אויף אלע דעווייסעס (Windows 10, macOS, Linux, Android, iOS) און, אין פאַקט, וואָס פּשוטער, אַלץ בעסער. דעריבער, איז די ברירה געפֿאַלן אויף EAP-TTLS אין פֿאַרבינדונג מיטן PAP פּראָטאָקאָל.
די קשיא קען אויפשטיין - פארוואס נוצן PAP? נאָך אַלע, עס טראַנזמיץ פּאַסווערדז אין קלאָר טעקסט?

יא דאס איז וואר. קאָמוניקאַציע צווישן FreeRadius און FreeIPA וועט פּאַסירן פּונקט ווי דאָס. אין דיבאַג מאָדע, איר קענען שפּור ווי די נאמען און פּאַראָל זענען געשיקט. יאָ, און לאָזן זיי גיין, נאָר איר האָבן אַקסעס צו די FreeRadius סערווער.

איר קענט לייענען מער וועגן ווי EAP-TTLS אַרבעט דאָ

FreeRADIUS

מיר וועלן הייבן FreeRadius צו CentOS 7.6. דא איז גארנישט קאמפליצירט, מיר אינסטאלירן עס אויפן געווענליכן אופן.

yum install freeradius freeradius-utils freeradius-ldap -y

פון די פּאַקאַדזשאַז, ווערסיע 3.0.13 איז אינסטאַלירן. די לעצטע קענען זיין גענומען בייַ https://freeradius.org/

נאָך דעם, FreeRadius איז שוין ארבעטן. איר קענען ונקאָממענט די שורה אין /etc/raddb/users

steve   Cleartext-Password := "testing"

קאַטער אין די סערווער אין דיבאַג מאָדע

freeradius -X

און מאַכן אַ פּראָבע קשר פֿון לאָקאַלהאָסט

radtest steve testing 127.0.0.1 1812 testing123

מיר האבן באקומען אן ענטפער באקומען אַקסעס - אָננעמען שייַן 115 פֿון 127.0.0.1:1812 צו 127.0.0.1:56081 לענג 20, עס מיטל אַלץ איז גוט. גיי ווייטער.

קאַנעקטינג די מאָדולע ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

און מיר וועלן עס מיד טוישן. מיר דאַרפֿן FreeRadius צו קענען אַקסעס FreeIPA

מאָדס-ענייבאַלד/לדאַפּ

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ריסטאַרט די ראַדיוס סערווער און קאָנטראָלירן די סינגקראַנאַזיישאַן פון LDAP ניצערס:

radtest user_ldap password_ldap localhost 1812 testing123

רעדאַגירן עאַפּ אין מאָדס-ענייבאַלד / עאַפּ
דאָ מיר וועלן לייגן צוויי ינסטאַנסיז פון עאַפּ. זיי זענען אַנדערש בלויז אין סערטיפיקאַץ און שליסלען. איך וועט דערקלערן וואָס דאָס איז אמת אונטן.

מאָדס-ענייבאַלד / עאַפּ

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ווייַטער מיר רעדאַגירן פּלאַץ-ענייבאַלד / פעליקייַט. איך בין אינטערעסירט אין דער אָטערייז און אָטענטאַקייט סעקשאַנז.

פּלאַץ-ענייבאַלד / פעליקייַט

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

אין דער אָטערייז אָפּטיילונג מיר באַזייַטיקן אַלע מאַדזשולז וואָס מיר טאָן ניט דאַרפֿן. מיר לאָזן בלויז לדאַפּ. לייג קליענט וועראַפאַקיישאַן דורך נאמען. דאָס איז וואָס מיר צוגעגעבן צוויי ינסטאַנסיז פון עאַפּ אויבן.

מולטי עאַפּדי זאַך איז, ווען מיר פֿאַרבינדן עטלעכע דעווייסעס, וועלן מיר ניצן סיסטעם סערטיפֿיקאַטן און ספּעציפֿיצירן אַ דאָמעין. מיר האָבן אַ סערטיפֿיקאַט און שליסל פֿון אַ פֿאַרלאָזלעכער סערטיפֿיקאַציע אויטאָריטעט. פּערזענלעך, איך טראַכט אַז די פֿאַרבינדונג פּראָצעדור איז פּשוטער ווי צו אינסטאַלירן אַ זעלבסט-אונטערגעשריבענע סערטיפֿיקאַט אויף יעדן דעווייס. אָבער מיר האָבן נאָך אַלץ נישט געקענט אַרויסקומען מיט זעלבסט-אונטערגעשריבענע סערטיפֿיקאַטן. סאַמסונג דעווייסעס און Android ווערסיע 6 קען נישט נוצן סיסטעם סערטיפיקאטן. דעריבער, שאַפֿן מיר אַ באַזונדער eap-guest אינסטאַנץ מיט זעלבסט-אונטערגעשריבענע סערטיפיקאטן פֿאַר זיי. פֿאַר אַלע אַנדערע דעוויסעס, וועלן מיר נוצן eap-client מיט אַ טראַסטיד סערטיפיקאַט. דער באַניצער-נאָמען ווערט באַשטימט דורך דעם Anonymous פעלד ווען דער דעווייס פֿאַרבינדט זיך. בלויז דריי ווערטן זענען ערלויבט: Guest, Client, און אַ ליידיק פעלד. אַלץ אַנדערש ווערט אַוועקגעוואָרפן. דאָס איז קאָנפיגורירט אין פּאָליטיקס. איך וועל געבן אַ בייַשפּיל שפּעטער.

זאל ס רעדאַגירן די אָטערייז און אָטענטאַקייט סעקשאַנז אין פּלאַץ-ענייבאַלד / ינער-טונעל

פּלאַץ-ענייבאַלד / ינער-טונעל

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

ווייַטער, איר דאַרפֿן צו ספּעציפיצירן אין די פּאַלאַסיז וואָס נעמען קענען זיין געוויינט פֿאַר אַנאָנימע באַנוצערס לאָגין. עדיטינג policy.d/filter.

איר דאַרפֿן צו געפֿינען שורות ענלעך צו דעם:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

און אונטן אין elsif לייג די נייטיק וואַלועס:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

איצט מיר דאַרפֿן צו מאַך צו די וועגווייַזער סערץ. דאָ מיר דאַרפֿן צו שטעלן די שליסל און באַווייַזן פון אַ טראַסטיד סערטאַפאַקיישאַן אויטאָריטעט, וואָס מיר האָבן שוין, און מיר דאַרפֿן צו דזשענערייט זיך-געחתמעט סערטיפיקאַץ פֿאַר עאַפּ-גאַסט.

טשאַנגינג די פּאַראַמעטערס אין דער טעקע ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = admin@admin.ru
commonName = "CA FreeRadius"

מיר שרייַבן די זעלבע וואַלועס אין דער טעקע server.cnf. מיר נאָר טוישן
commonName:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = admin@admin.ru
commonName = "Server Certificate FreeRadius"

מיר שאַפֿן:

make

גרייט. באקומען server.crt и server.key מיר האָבן שוין רעגיסטרירט אויבן אין eap-guest.

און לעסאָף, לאָזן אונדז לייגן אונדזער אַקסעס פונקטן צו דער טעקע client.conf. איך האָבן 7 פון זיי אין סדר נישט צו לייגן יעדער פונט סעפּעראַטלי, מיר וועלן פאַרשרייַבן בלויז די נעץ אין וואָס זיי זענען ליגן (מיין אַקסעס פונקטן זענען אין אַ באַזונדער וולאַן).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti קאָנטראָללער

מיר כאַפּן אַ באַזונדער נעץ אויף די קאָנטראָללער. זאל עס זיין 192.168.2.0/24
גיין צו סעטטינגס -> פּראָפיל. לאָמיר שאַפֿן אַ נייַע:

מיר שרייַבן די אַדרעס און פּאָרט פון די ראַדיוס סערווער און די פּאַראָל וואָס איז געווען געשריבן אין דער טעקע clients.conf:

שאַפֿן אַ נייַ וויירליס נעץ נאָמען. סעלעקטירן WPA-EAP (ענטערפּרייז) ווי די אָטענטאַקיישאַן אופֿן און ספּעציפיצירן די באשאפן ראַדיוס פּראָפיל:

מיר ראַטעווען אַלץ, צולייגן עס און גיין אויף.

באַשטעטיקן קלייאַנץ

זאל ס אָנהייבן מיט די כאַרדאַסט טייל!

Windows 10

די שוועריקייט קומט אַראָפּ צו דעם פאַקט אַז Windows עס קען נאך אלץ נישט קאנעקטן צו קארפאראט וויי-פיי איבער א דאמעין. ממילא דארפן מיר אליין צולייגן אונזער סערטיפיקאט צום פארטרויענסווערטן סערטיפיקאט סטאר. איר קענט ניצן אדער א זעלבסט-אונטערגעשריבענעם סערטיפיקאט אדער איינעם פון א סי-אר-די. איך וועל ניצן די לעצטע.

ווייַטער איר דאַרפֿן צו שאַפֿן אַ נייַע קשר. צו טאָן דאָס, גיין צו נעץ און אינטערנעט סעטטינגס -> נעץ און ייַנטיילונג צענטער -> שאַפֿן און קאַנפיגיער אַ נייַע קשר אָדער נעץ:

מיר מאַניואַלי אַרייַן די נעץ נאָמען און טוישן די זיכערהייט טיפּ. דערנאָך דריקט אויף טוישן קשר סעטטינגס און אין די זיכערהייט קוויטל, סעלעקטירן נעץ אָטענטאַקיישאַן - EAP-TTLS.

גיין צו די סעטטינגס, שטעלן די קאַנפאַדענשיאַלאַטי פון אָטענטאַקיישאַן - קליענט. ווי אַ טראַסטיד סערטאַפאַקיישאַן אויטאָריטעט, סעלעקטירן דעם באַווייַזן מיר צוגעגעבן, טשעק די קעסטל "דו זאלסט נישט אַרויסגעבן אַ פאַרבעטונג צו דער באַניצער אויב דער סערווער קען נישט זיין אָטערייזד" און סעלעקטירן דעם אָטענטאַקיישאַן אופֿן - קלאָר טעקסט פּאַראָל (PAP).

ווייַטער, גיין צו נאָך פּאַראַמעטערס, טשעק די קעסטל "ספּעציפיצירן אָטענטאַקיישאַן מאָדע." סעלעקטירן "User Authentication" און גיט אויף ראַטעווען קראַדענטשאַלז. דאָ איר וועט דאַרפֿן צו אַרייַן username_ldap און password_ldap

מיר ראַטעווען, צולייגן, נאָענט אַלץ. איר קענען פאַרבינדן צו אַ נייַע נעץ.

Linux

איך האָב זיך אָפּגעקוקט Ubuntu 18.04, 18.10, פעדאָראַ 29, 30.

ערשטנס, דאַונלאָוד דעם סערטיפיקאַט. איך האָב עס נישט געפֿונען אין Linux, איז עס מעגלעך צו ניצן סיסטעם סערטיפיקאטן און איז דא בכלל אזא סטאָרידזש דאָרט?

מיר וועלן פאַרבינדן דורך פעלד. דעריבער, מיר דאַרפֿן אַ באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט פון וואָס אונדזער באַווייַזן איז געקויפט.

אַלע קאַנעקשאַנז זענען געמאכט אין איין פֿענצטער. אויסקלייַבן אונדזער נעץ:

אַנאָנימע באַנוצערס - קליענט
domain - די פעלד פֿאַר וואָס די באַווייַזן איז ארויס

Android

ניט-סאַמסונג

פֿון ווערסיע 7, ווען קאַנעקטינג WiFi, איר קענען נוצן סיסטעם סערטיפיקאַץ דורך ספּעציפיצירן בלויז די פעלד:

domain - די פעלד פֿאַר וואָס די באַווייַזן איז ארויס
אַנאָנימע באַנוצערס - קליענט

סאַמסונג

ווי איך געשריבן אויבן, סאַמסונג דעוויסעס טאָן ניט וויסן ווי צו נוצן סיסטעם סערטיפיקאַץ ווען קאַנעקטינג WiFi, און זיי טאָן ניט האָבן די פיייקייט צו פאַרבינדן דורך פעלד. דעריבער, איר דאַרפֿן צו מאַניואַלי לייגן די וואָרצל באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט (ca.pem, נעמען עס פון די ראַדיוס סערווער). דאָס איז ווו זיך-געחתמעט וועט זיין געוויינט.

אראפקאפיע די באַווייַזן צו דיין מיטל און ינסטאַלירן עס.

ינסטאָלינג אַ באַווייַזן







אין דעם פאַל, איר דאַרפֿן צו שטעלן אַ פאַרשטעלן ופשליסן מוסטער, PIN קאָד אָדער פּאַראָל, אויב עס איז נישט שוין באַשטימט:

איך געוויזן אַ קאָמפּלעקס אָפּציע פֿאַר ינסטאָלינג אַ באַווייַזן. אויף רובֿ דעוויסעס, פשוט גיט אויף די דאַונלאָודיד באַווייַזן.

ווען די באַווייַזן איז אינסטאַלירן, איר קענען גיינ ווייַטער צו די קשר:

באַווייַזן - אָנווייַזן די וואָס איר האָט אינסטאַלירן
אַנאָנימע באַנוצערס - גאַסט

macOS

עפּל דעוויסעס קענען בלויז פאַרבינדן צו EAP-TLS אויס פון די קעסטל, אָבער איר נאָך דאַרפֿן צו צושטעלן זיי מיט אַ באַווייַזן. צו ספּעציפיצירן אַ אַנדערש קשר אופֿן, איר דאַרפֿן צו נוצן עפּל קאָנפיגוראַטאָר 2. אַקקאָרדינגלי, איר דאַרפֿן צו ערשטער אראפקאפיע עס צו דיין מעק, שאַפֿן אַ נייַע פּראָפיל און לייגן אַלע די נייטיק WiFi סעטטינגס.

עפּל קאָנפיגוראַטאָר



דאָ מיר אָנווייַזן דעם נאָמען פון אונדזער נעץ
זיכערהייט טיפּ - WPA2 ענטערפּרייז
אנגענומען EAP טייפּס - TTLS
באַניצער נאָמען און פּאַראָל - לאָזן ליידיק
ינער אָטענטאַקיישאַן - PAP
ויסווייניקסט אידענטיטעט - קליענט

Trust tab. דאָ מיר אָנווייַזן אונדזער פעלד

אַלע. דער פּראָפיל קענען זיין געראטעוועט, געחתמעט און פונאנדערגעטיילט צו דעוויסעס

נאָך די פּראָפיל איז גרייט, איר דאַרפֿן צו אָפּלאָדירן עס צו דיין מעק און ינסטאַלירן עס. בעשאַס די ייַנמאָנטירונג פּראָצעס, איר דאַרפֿן צו ספּעציפיצירן די usernmae_ldap און password_ldap פון די באַניצער:

יאָס

דער פּראָצעס איז ענלעך macOSאיר דאַרפֿט ניצן אַ פּראָפֿיל (איר קענט ניצן דעם זעלבן ווי פֿאַר macOS(זעט אויבן ווי אזוי צו שאַפֿן אַ פּראָפֿיל אין עפּל קאָנפֿיגוראַטאָר.)

אראפקאפיע די פּראָפיל, ינסטאַלירן, אַרייַן קראַדענטשאַלז, פאַרבינדן:

אַז ס אַלע. מיר שטעלן אַרויף די ראַדיוס סערווער, סינסעד עס מיט FreeIPA און דערציילט די Ubiquiti אַקסעס פונקטן צו נוצן WPA2-EAP.

מעגלעך פראגעס

אין: ווי צו אַריבערפירן אַ פּראָפיל / באַווייַזן צו אַן אָנגעשטעלטער?

וועגן: איך קראָם אַלע סערטיפיקאַץ / פּראָופיילז אויף פטפּ מיט אַקסעס דורך די וועב. איך שטעלן אַרויף אַ גאַסט נעץ מיט אַ גיכקייַט שיעור און אַקסעס בלויז צו די אינטערנעט, מיט די ויסנעם פון פטפּ.
אָטענטאַקיישאַן לאַסץ 2 טעג, נאָך וואָס עס איז באַשטעטיק און דער קליענט איז לינקס אָן די אינטערנעט. אַז. ווען אַן אָנגעשטעלטער וויל צו פאַרבינדן צו WiFi, ער ערשטער קאַנעקץ צו די גאַסט נעץ, לאָגס אין פטפּ, דאַונלאָודז די באַווייַזן אָדער פּראָפיל ער דאַרף, ינסטאָלז זיי, און דעמאָלט קענען פאַרבינדן צו די פֿירמע נעץ.

אין: פארוואס נישט נוצן אַ סכעמע מיט MSCHAPv2? עס איז זיכערער!

וועגן: ערשטנס, די סכעמע ארבעט גוט פאר NPS (Windows אונדזער אימפלעמענטאציע פארלאנגט נאָך קאָנפיגוראַציע פון ​​LDAP (FreeIpa) און סטאָרינג פּאַראָל העשיז אויף דעם סערווער. נאָך קאָנפיגוראַציע איז נישט רעקאָמענדירט, ווייל עס קען פירן צו פארשידענע חשבון סינקראָניזאַציע פּראָבלעמען. צווייטנס, דער העש איז MD4, אַזוי עס פֿאַרבעסערט נישט באַדייטנד זיכערהייט.

אין: איז עס מעגלעך צו דערלויבן דיווייסאַז מיט מעק אַדרעסעס?

וועגן: ניין, דאָס איז נישט זיכער, אַן אַטאַקער קענען פאַרפירן MAC אַדרעסעס, און אפילו מער, דערלויבעניש דורך MAC אַדרעסעס איז נישט געשטיצט אויף פילע דעוויסעס

אין: פארוואס נוצן אַלע די סערטיפיקאַץ? איר קענען פאַרבינדן אָן זיי

וועגן: סערטיפיקאַץ זענען געניצט צו דערלויבן די סערווער. יענע. ווען קאַנעקטינג, די מיטל טשעקס צי עס איז אַ סערווער וואָס קענען זיין טראַסטיד אָדער נישט. אויב אַזוי, אָטענטאַקיישאַן לייזונג אויב ניט, די קשר איז פארמאכט. איר קענען פאַרבינדן אָן סערטיפיקאַץ, אָבער אויב אַ אַטאַקער אָדער חבר שטעלן אַרויף אַ ראַדיוס סערווער און אַ אַקסעס פונט מיט די זעלבע נאָמען ווי אונדזער אין שטוב, ער קענען לייכט ינטערסעפּט די באַניצער ס קראַדענטשאַלז (טאָן ניט פאַרגעסן אַז זיי זענען טראַנסמיטטעד אין קלאָר טעקסט) . און ווען אַ סערטיפיקאַט איז געניצט, דער פייַנט וועט זען אין זיין לאָגס בלויז אונדזער פיקטיווע באַניצער-נאָמען - גאַסט אָדער קליענט און אַ טיפּ טעות - Unknown CA Certificate

אַ ביסל מער וועגן macOSגעוויינטלעך אויף macOS איבער-אינסטאלירן דאס סיסטעם ווערט געטאן איבערן אינטערנעט. אין רעקאָווערי מאָדע, דאַרף דער מעק זיין פארבונדן צו WiFi, און ניט אונדזער קאָרפּאָראַטיוו WiFi און ניט די גאַסט נעטוואָרק וועט אַרבעטן. איך פּערזענלעך האָב אויפגעשטעלט אַן אַנדער נעטוואָרק, אַ רעגולער WPA2-PSK נעטוואָרק, באַהאַלטן, נאָר פֿאַר טעכנישע אָפּעראַציעס. אַלטערנאַטיוו, קענט איר שאַפֿן אַ בוטאַבל USB דרייוו מיטן סיסטעם אינסטאַלירט אין פֿאָרויס. אָבער, אויב אייער מעק איז פֿון נאָך 2015, וועט איר דאַרפֿן צו געפֿינען אַן אַדאַפּטער פֿאַר דעם USB דרייוו.

מקור: www.habr.com