🥇WiFi ענטערפּרייז. FreeRadius + FreeIPA + Ubiquiti

עטלעכע ביישפילן פון אָרגאַנייזינג פֿירמע WiFi האָבן שוין דיסקרייבד. דאָ איך וועט באַשרייַבן ווי איך ימפּלאַמענאַד אַ ענלעך לייזונג און די פּראָבלעמס איך געפּלאָנטערט ווען קאַנעקטינג אויף פאַרשידענע דעוויסעס. מיר וועלן נוצן די יגזיסטינג LDAP מיט געגרינדעט יוזערז, ינסטאַלירן FreeRadius און קאַנפיגיער WPA2-Enterprise אויף די Ubnt קאָנטראָללער. אַלץ מיינט פּשוט. לאמיר זעהן…

א ביסל וועגן EAP מעטהאָדס

איידער מיר אָנהייבן די אַרבעט, מיר דאַרפֿן צו באַשליסן וואָס אָטענטאַקיישאַן אופֿן מיר וועלן נוצן אין אונדזער לייזונג.

פֿון וויקיפּעדיע:

EAP איז אַ אָטענטאַקיישאַן פריימווערק וואָס איז אָפט געניצט אין וויירליס נעטוואָרקס און פונט-צו-פונט קאַנעקשאַנז. דער פֿאָרמאַט איז געווען ערשטער דיסקרייבד אין RFC 3748 און דערהייַנטיקט אין RFC 5247.
EAP איז געניצט צו אויסקלייַבן אַן אָטענטאַקיישאַן אופֿן, אַריבערפירן שליסלען און פּראָצעס די שליסלען דורך פּלוגינס גערופן EAP מעטהאָדס. עס זענען פילע EAP מעטהאָדס, ביידע דיפיינד מיט EAP זיך און די רעלעאַסעד דורך יחיד ווענדאָרס. EAP דעפינירן נישט די לינק שיכטע, עס דיפיינז בלויז די אָנזאָג פֿאָרמאַט. יעדער פּראָטאָקאָל וואָס ניצט EAP האט זיין אייגענע EAP אָנזאָג ענקאַפּסולאַטיאָן פּראָטאָקאָל.

די מעטהאָדס זיך:

LEAP איז אַ פּראַפּרייאַטערי פּראָטאָקאָל דעוועלאָפּעד דורך CISCO. וואַלנעראַביליטיז געפונען. דערווייַל ניט רעקאַמענדיד פֿאַר נוצן
EAP-TLS איז געזונט געשטיצט צווישן וויירליס ווענדאָרס. עס איז אַ זיכער פּראָטאָקאָל ווייַל עס איז דער סאַקסעסער צו די SSL סטאַנדאַרדס. באַשטעטיקן דעם קליענט איז גאַנץ קאָמפּליצירט. איר דאַרפֿן אַ קליענט באַווייַזן אין אַדישאַן צו די פּאַראָל. געשטיצט אויף פילע סיסטעמען
EAP-TTLS - וויידלי געשטיצט אויף פילע סיסטעמען, אָפפערס גוט זיכערהייט ניצן PKI סערטיפיקאַץ בלויז אויף די אָטענטאַקיישאַן סערווער
EAP-MD5 איז אן אנדער אָפֿן נאָרמאַל. אָפפערס מינימאַל זיכערהייַט. שפּירעוודיק, טוט נישט שטיצן קעגנצייַטיק אָטענטאַקיישאַן און שליסל דור
EAP-IKEv2 - באזירט אויף אינטערנעט דורכפֿאַל עקסטשאַנגע פּראָטאָקאָל ווערסיע 2. פּראָווידעס קעגנצייַטיק אָטענטאַקיישאַן און סעסיע שליסל פאַרלייגן צווישן קליענט און סערווער
PEAP איז אַ שלאָס לייזונג צווישן CISCO, Microsoft און RSA Security ווי אַן אָפֿן נאָרמאַל. וויידלי בנימצא אין פּראָדוקטן, גיט זייער גוט זיכערקייַט. ענלעך צו EAP-TTLS, ריקוויירינג בלויז אַ סערווער זייַט באַווייַזן
PEAPv0/EAP-MSCHAPv2 - נאָך EAP-TLS, דאָס איז דער צווייט וויידלי געוויינט נאָרמאַל אין דער וועלט. געוויינט קליענט-סערווער שייכות אין מייקראָסאָפֿט, סיסקאָ, עפּל, לינוקס
PEAPv1/EAP-GTC - באשאפן דורך Cisco ווי אַן אָלטערנאַטיוו צו PEAPv0/EAP-MSCHAPv2. טוט נישט באַשיצן אָטענטאַקיישאַן דאַטן אין קיין וועג. ניט געשטיצט אויף Windows OS
EAP-FAST איז אַ מעטאָד דעוועלאָפּעד דורך Cisco צו פאַרריכטן די שאָרטקאָמינגס פון LEAP. ניצט פּראָטעקטעד אַקסעס קרעדענטיאַל (PAC). גאָר אַנפינישט

פון אַלע דעם פאַרשיידנקייַט, די ברירה איז נאָך נישט גרויס. די אָטענטאַקיישאַן אופֿן פארלאנגט: גוט זיכערהייט, שטיצן אויף אַלע דעוויסעס (ווינדאָוז 10, מאַקאָס, לינוקס, אַנדרויד, יאָס) און, אין פאַקט, די סימפּלער די בעסער. דעריבער, די ברירה איז געפאלן אויף EAP-TTLS אין קאַנדזשאַנגקשאַן מיט די PAP פּראָטאָקאָל.
די קשיא קען אויפשטיין - פארוואס נוצן PAP? נאָך אַלע, עס טראַנזמיץ פּאַסווערדז אין קלאָר טעקסט?

יא דאס איז וואר. קאָמוניקאַציע צווישן FreeRadius און FreeIPA וועט פּאַסירן פּונקט ווי דאָס. אין דיבאַג מאָדע, איר קענען שפּור ווי די נאמען און פּאַראָל זענען געשיקט. יאָ, און לאָזן זיי גיין, נאָר איר האָבן אַקסעס צו די FreeRadius סערווער.

איר קענט לייענען מער וועגן ווי EAP-TTLS אַרבעט דאָ

FreeRADIUS

מיר וועלן אַפּגרייד FreeRadius צו CentOS 7.6. עס איז גאָרנישט קאָמפּליצירט דאָ, מיר ינסטאַלירן עס אין די געוויינטלעך וועג.

yum install freeradius freeradius-utils freeradius-ldap -y

פון די פּאַקאַדזשאַז, ווערסיע 3.0.13 איז אינסטאַלירן. די לעצטע קענען זיין גענומען בייַ https://freeradius.org/

נאָך דעם, FreeRadius איז שוין ארבעטן. איר קענען ונקאָממענט די שורה אין /etc/raddb/users

steve   Cleartext-Password := "testing"

קאַטער אין די סערווער אין דיבאַג מאָדע

freeradius -X

און מאַכן אַ פּראָבע קשר פֿון לאָקאַלהאָסט

radtest steve testing 127.0.0.1 1812 testing123

מיר האבן באקומען אן ענטפער באקומען אַקסעס - אָננעמען שייַן 115 פֿון 127.0.0.1:1812 צו 127.0.0.1:56081 לענג 20, עס מיטל אַלץ איז גוט. גיי ווייטער.

קאַנעקטינג די מאָדולע ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

און מיר וועלן עס מיד טוישן. מיר דאַרפֿן FreeRadius צו קענען אַקסעס FreeIPA

מאָדס-ענייבאַלד/לדאַפּ

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ריסטאַרט די ראַדיוס סערווער און קאָנטראָלירן די סינגקראַנאַזיישאַן פון LDAP ניצערס:

radtest user_ldap password_ldap localhost 1812 testing123

רעדאַגירן עאַפּ אין מאָדס-ענייבאַלד / עאַפּ
דאָ מיר וועלן לייגן צוויי ינסטאַנסיז פון עאַפּ. זיי זענען אַנדערש בלויז אין סערטיפיקאַץ און שליסלען. איך וועט דערקלערן וואָס דאָס איז אמת אונטן.

מאָדס-ענייבאַלד / עאַפּ

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ווייַטער מיר רעדאַגירן פּלאַץ-ענייבאַלד / פעליקייַט. איך בין אינטערעסירט אין דער אָטערייז און אָטענטאַקייט סעקשאַנז.

פּלאַץ-ענייבאַלד / פעליקייַט

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

אין דער אָטערייז אָפּטיילונג מיר באַזייַטיקן אַלע מאַדזשולז וואָס מיר טאָן ניט דאַרפֿן. מיר לאָזן בלויז לדאַפּ. לייג קליענט וועראַפאַקיישאַן דורך נאמען. דאָס איז וואָס מיר צוגעגעבן צוויי ינסטאַנסיז פון עאַפּ אויבן.

מולטי עאַפּדער פאַקט איז אַז ווען קאַנעקטינג עטלעכע דעוויסעס מיר וועלן נוצן סיסטעם סערטיפיקאַץ און ספּעציפיצירן די פעלד. מיר האָבן אַ באַווייַזן און שליסל פון אַ טראַסטיד באַווייַזן אויטאָריטעט. פּערסנאַלי, אין מיין מיינונג, דעם קשר פּראָצעדור איז סימפּלער ווי פארווארפן אַ זיך-געחתמעט באַווייַזן אויף יעדער מיטל. אבע ר אפיל ו א ן זעלבסט־געחתימטע ר סערטיפיקאט ן אי ז נא ך ניש ט מעגלע ך געװע ן צ ו אװעקגײן . סאַמסונג דעוויסעס און אַנדרויד =<6 ווערסיעס קענען נישט נוצן סיסטעם סערטיפיקאַץ. דעריבער, מיר מאַכן אַ באַזונדער בייַשפּיל פון עאַפּ-גאַסט פֿאַר זיי מיט זיך-געחתמעט סערטיפיקאַץ. פֿאַר אַלע אנדערע דעוויסעס מיר וועלן נוצן eap-client מיט אַ טראַסטיד באַווייַזן. באַניצער נאָמען איז באשלאסן דורך די אַנאָנימע באַנוצערס פעלד ווען קאַנעקטינג די מיטל. בלויז 3 וואַלועס זענען ערלויבט: גאַסט, קליענט און אַ ליידיק פעלד. די מנוחה איז אַלע אַוועקגענומען. דעם קענען זיין קאַנפיגיערד אין פּאַלאַסיז. איך וועל געבן אַ בייַשפּיל אַ ביסל שפּעטער.

זאל ס רעדאַגירן די אָטערייז און אָטענטאַקייט סעקשאַנז אין פּלאַץ-ענייבאַלד / ינער-טונעל

פּלאַץ-ענייבאַלד / ינער-טונעל

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

ווייַטער, איר דאַרפֿן צו ספּעציפיצירן אין די פּאַלאַסיז וואָס נעמען קענען זיין געוויינט פֿאַר אַנאָנימע באַנוצערס לאָגין. עדיטינג policy.d/filter.

איר דאַרפֿן צו געפֿינען שורות ענלעך צו דעם:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

און אונטן אין elsif לייג די נייטיק וואַלועס:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

איצט מיר דאַרפֿן צו מאַך צו די וועגווייַזער סערץ. דאָ מיר דאַרפֿן צו שטעלן די שליסל און באַווייַזן פון אַ טראַסטיד סערטאַפאַקיישאַן אויטאָריטעט, וואָס מיר האָבן שוין, און מיר דאַרפֿן צו דזשענערייט זיך-געחתמעט סערטיפיקאַץ פֿאַר עאַפּ-גאַסט.

טשאַנגינג די פּאַראַמעטערס אין דער טעקע ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

מיר שרייַבן די זעלבע וואַלועס אין דער טעקע server.cnf. מיר נאָר טוישן
commonName:

server.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

מיר שאַפֿן:

make

גרייט. באקומען server.crt и server.key מיר האָבן שוין רעגיסטרירט אויבן אין eap-guest.

און לעסאָף, לאָזן אונדז לייגן אונדזער אַקסעס פונקטן צו דער טעקע client.conf. איך האָבן 7 פון זיי אין סדר נישט צו לייגן יעדער פונט סעפּעראַטלי, מיר וועלן פאַרשרייַבן בלויז די נעץ אין וואָס זיי זענען ליגן (מיין אַקסעס פונקטן זענען אין אַ באַזונדער וולאַן).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti קאָנטראָללער

מיר כאַפּן אַ באַזונדער נעץ אויף די קאָנטראָללער. זאל עס זיין 192.168.2.0/24
גיין צו סעטטינגס -> פּראָפיל. לאָמיר שאַפֿן אַ נייַע:

מיר שרייַבן די אַדרעס און פּאָרט פון די ראַדיוס סערווער און די פּאַראָל וואָס איז געווען געשריבן אין דער טעקע clients.conf:

שאַפֿן אַ נייַ וויירליס נעץ נאָמען. סעלעקטירן WPA-EAP (ענטערפּרייז) ווי די אָטענטאַקיישאַן אופֿן און ספּעציפיצירן די באשאפן ראַדיוס פּראָפיל:

מיר ראַטעווען אַלץ, צולייגן עס און גיין אויף.

באַשטעטיקן קלייאַנץ

זאל ס אָנהייבן מיט די כאַרדאַסט טייל!

פֿענצטער קסנומקס

די שוועריקייט קומט אַראָפּ צו די פאַקט אַז Windows קען נישט נאָך וויסן ווי צו פאַרבינדן צו פֿירמע WiFi איבער אַ פעלד. דעריבער, מיר האָבן צו מאַניואַלי ופּלאָאַד אונדזער באַווייַזן צו די טראַסטיד באַווייַזן קראָם. דאָ איר קענען נוצן אַ זיך-געחתמעט איינער אָדער איינער פון אַ סערטאַפאַקיישאַן אויטאָריטעט. איך וועל נוצן דעם צווייטן.

ווייַטער איר דאַרפֿן צו שאַפֿן אַ נייַע קשר. צו טאָן דאָס, גיין צו נעץ און אינטערנעט סעטטינגס -> נעץ און ייַנטיילונג צענטער -> שאַפֿן און קאַנפיגיער אַ נייַע קשר אָדער נעץ:

מיר מאַניואַלי אַרייַן די נעץ נאָמען און טוישן די זיכערהייט טיפּ. דערנאָך דריקט אויף טוישן קשר סעטטינגס און אין די זיכערהייט קוויטל, סעלעקטירן נעץ אָטענטאַקיישאַן - EAP-TTLS.

גיין צו די סעטטינגס, שטעלן די קאַנפאַדענשיאַלאַטי פון אָטענטאַקיישאַן - קליענט. ווי אַ טראַסטיד סערטאַפאַקיישאַן אויטאָריטעט, סעלעקטירן דעם באַווייַזן מיר צוגעגעבן, טשעק די קעסטל "דו זאלסט נישט אַרויסגעבן אַ פאַרבעטונג צו דער באַניצער אויב דער סערווער קען נישט זיין אָטערייזד" און סעלעקטירן דעם אָטענטאַקיישאַן אופֿן - קלאָר טעקסט פּאַראָל (PAP).

ווייַטער, גיין צו נאָך פּאַראַמעטערס, טשעק די קעסטל "ספּעציפיצירן אָטענטאַקיישאַן מאָדע." סעלעקטירן "User Authentication" און גיט אויף ראַטעווען קראַדענטשאַלז. דאָ איר וועט דאַרפֿן צו אַרייַן username_ldap און password_ldap

מיר ראַטעווען, צולייגן, נאָענט אַלץ. איר קענען פאַרבינדן צו אַ נייַע נעץ.

לינוקס

איך טעסטעד אויף Ubuntu 18.04, 18.10, Fedora 29, 30.

ערשטער, אראפקאפיע די באַווייַזן פֿאַר זיך. איך האב נישט געפונען אין לינוקס צי עס איז מעגלעך צו נוצן סיסטעם סערטיפיקאַץ אָדער צי עס איז אַזאַ אַ קראָם אין אַלע.

מיר וועלן פאַרבינדן דורך פעלד. דעריבער, מיר דאַרפֿן אַ באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט פון וואָס אונדזער באַווייַזן איז געקויפט.

אַלע קאַנעקשאַנז זענען געמאכט אין איין פֿענצטער. אויסקלייַבן אונדזער נעץ:

אַנאָנימע באַנוצערס - קליענט
domain - די פעלד פֿאַר וואָס די באַווייַזן איז ארויס

אַנדרויד

ניט-סאַמסונג

פֿון ווערסיע 7, ווען קאַנעקטינג WiFi, איר קענען נוצן סיסטעם סערטיפיקאַץ דורך ספּעציפיצירן בלויז די פעלד:

domain - די פעלד פֿאַר וואָס די באַווייַזן איז ארויס
אַנאָנימע באַנוצערס - קליענט

סאַמסונג

ווי איך געשריבן אויבן, סאַמסונג דעוויסעס טאָן ניט וויסן ווי צו נוצן סיסטעם סערטיפיקאַץ ווען קאַנעקטינג WiFi, און זיי טאָן ניט האָבן די פיייקייט צו פאַרבינדן דורך פעלד. דעריבער, איר דאַרפֿן צו מאַניואַלי לייגן די וואָרצל באַווייַזן פון די סערטאַפאַקיישאַן אויטאָריטעט (ca.pem, נעמען עס פון די ראַדיוס סערווער). דאָס איז ווו זיך-געחתמעט וועט זיין געוויינט.

אראפקאפיע די באַווייַזן צו דיין מיטל און ינסטאַלירן עס.

ינסטאָלינג אַ באַווייַזן

אין דעם פאַל, איר דאַרפֿן צו שטעלן אַ פאַרשטעלן ופשליסן מוסטער, PIN קאָד אָדער פּאַראָל, אויב עס איז נישט שוין באַשטימט:

איך געוויזן אַ קאָמפּלעקס אָפּציע פֿאַר ינסטאָלינג אַ באַווייַזן. אויף רובֿ דעוויסעס, פשוט גיט אויף די דאַונלאָודיד באַווייַזן.

ווען די באַווייַזן איז אינסטאַלירן, איר קענען גיינ ווייַטער צו די קשר:

באַווייַזן - אָנווייַזן די וואָס איר האָט אינסטאַלירן
אַנאָנימע באַנוצערס - גאַסט

מאַקאָס

עפּל דעוויסעס קענען בלויז פאַרבינדן צו EAP-TLS אויס פון די קעסטל, אָבער איר נאָך דאַרפֿן צו צושטעלן זיי מיט אַ באַווייַזן. צו ספּעציפיצירן אַ אַנדערש קשר אופֿן, איר דאַרפֿן צו נוצן עפּל קאָנפיגוראַטאָר 2. אַקקאָרדינגלי, איר דאַרפֿן צו ערשטער אראפקאפיע עס צו דיין מעק, שאַפֿן אַ נייַע פּראָפיל און לייגן אַלע די נייטיק WiFi סעטטינגס.

עפּל קאָנפיגוראַטאָר

דאָ מיר אָנווייַזן דעם נאָמען פון אונדזער נעץ
זיכערהייט טיפּ - WPA2 ענטערפּרייז
אנגענומען EAP טייפּס - TTLS
באַניצער נאָמען און פּאַראָל - לאָזן ליידיק
ינער אָטענטאַקיישאַן - PAP
ויסווייניקסט אידענטיטעט - קליענט

Trust tab. דאָ מיר אָנווייַזן אונדזער פעלד

אַלע. דער פּראָפיל קענען זיין געראטעוועט, געחתמעט און פונאנדערגעטיילט צו דעוויסעס

נאָך די פּראָפיל איז גרייט, איר דאַרפֿן צו אָפּלאָדירן עס צו דיין מעק און ינסטאַלירן עס. בעשאַס די ייַנמאָנטירונג פּראָצעס, איר דאַרפֿן צו ספּעציפיצירן די usernmae_ldap און password_ldap פון די באַניצער:

יאָס

דער פּראָצעס איז ענלעך צו macOS. איר דאַרפֿן צו נוצן אַ פּראָפיל (איר קענט נוצן די זעלבע פּראָפיל ווי פֿאַר מאַקאָס. זען אויבן פֿאַר ווי צו שאַפֿן אַ פּראָפיל אין עפּל קאָנפיגוראַטאָר).

אראפקאפיע די פּראָפיל, ינסטאַלירן, אַרייַן קראַדענטשאַלז, פאַרבינדן:

אַז ס אַלע. מיר שטעלן אַרויף די ראַדיוס סערווער, סינסעד עס מיט FreeIPA און דערציילט די Ubiquiti אַקסעס פונקטן צו נוצן WPA2-EAP.

מעגלעך פראגעס

אין: ווי צו אַריבערפירן אַ פּראָפיל / באַווייַזן צו אַן אָנגעשטעלטער?

וועגן: איך קראָם אַלע סערטיפיקאַץ / פּראָופיילז אויף פטפּ מיט אַקסעס דורך די וועב. איך שטעלן אַרויף אַ גאַסט נעץ מיט אַ גיכקייַט שיעור און אַקסעס בלויז צו די אינטערנעט, מיט די ויסנעם פון פטפּ.
אָטענטאַקיישאַן לאַסץ 2 טעג, נאָך וואָס עס איז באַשטעטיק און דער קליענט איז לינקס אָן די אינטערנעט. אַז. ווען אַן אָנגעשטעלטער וויל צו פאַרבינדן צו WiFi, ער ערשטער קאַנעקץ צו די גאַסט נעץ, לאָגס אין פטפּ, דאַונלאָודז די באַווייַזן אָדער פּראָפיל ער דאַרף, ינסטאָלז זיי, און דעמאָלט קענען פאַרבינדן צו די פֿירמע נעץ.

אין: פארוואס נישט נוצן אַ סכעמע מיט MSCHAPv2? עס איז זיכערער!

וועגן: פירסטלי, דעם סכעמע אַרבעט געזונט אויף NPS (Windows Network Policy System), אין אונדזער ימפּלאַמענטיישאַן, עס איז אויך נייטיק צו קאַנפיגיער LDAP (FreeIpa) און קראָם פּאַראָל האַשעס אויף די סערווער. לייג צו. עס איז נישט קעדייַיק צו מאַכן סעטטינגס, ווייַל דאָס קען פירן צו פאַרשידן פּראָבלעמס מיט סינגקראַנאַזיישאַן פון די אַלטראַסאַונד סיסטעם. צווייטנס, די האַש איז MD4, אַזוי עס טוט נישט לייגן פיל זיכערהייט

אין: איז עס מעגלעך צו דערלויבן דיווייסאַז מיט מעק אַדרעסעס?

וועגן: ניין, דאָס איז נישט זיכער, אַן אַטאַקער קענען פאַרפירן MAC אַדרעסעס, און אפילו מער, דערלויבעניש דורך MAC אַדרעסעס איז נישט געשטיצט אויף פילע דעוויסעס

אין: פארוואס נוצן אַלע די סערטיפיקאַץ? איר קענען פאַרבינדן אָן זיי

וועגן: סערטיפיקאַץ זענען געניצט צו דערלויבן די סערווער. יענע. ווען קאַנעקטינג, די מיטל טשעקס צי עס איז אַ סערווער וואָס קענען זיין טראַסטיד אָדער נישט. אויב אַזוי, אָטענטאַקיישאַן לייזונג אויב ניט, די קשר איז פארמאכט. איר קענען פאַרבינדן אָן סערטיפיקאַץ, אָבער אויב אַ אַטאַקער אָדער חבר שטעלן אַרויף אַ ראַדיוס סערווער און אַ אַקסעס פונט מיט די זעלבע נאָמען ווי אונדזער אין שטוב, ער קענען לייכט ינטערסעפּט די באַניצער ס קראַדענטשאַלז (טאָן ניט פאַרגעסן אַז זיי זענען טראַנסמיטטעד אין קלאָר טעקסט) . און ווען אַ סערטיפיקאַט איז געניצט, דער פייַנט וועט זען אין זיין לאָגס בלויז אונדזער פיקטיווע באַניצער-נאָמען - גאַסט אָדער קליענט און אַ טיפּ טעות - Unknown CA Certificate

אַ ביסל מער וועגן macOSטיפּיקאַללי, אויף macOS, ריינסטאַל די סיסטעם איז דורכגעקאָכט דורך די אינטערנעט. אין אָפּזוך מאָדע, די מעק מוזן זיין קאָננעקטעד צו WiFi, און ניט אונדזער פֿירמע WiFi און ניט די גאַסט נעץ וועט אַרבעטן דאָ. פּערסנאַלי, איך אינסטאַלירן אן אנדער נעץ, די געוויינטלעך WPA2-PSK, פאַרבאָרגן, בלויז פֿאַר טעכניש אַפּעריישאַנז. אָדער איר קענען אויך מאַכן אַ באָאָטאַבלע וסב בליץ פאָר מיט די סיסטעם אין שטייַגן. אָבער אויב דיין מעק איז נאָך 2015, איר וועט אויך דאַרפֿן צו געפֿינען אַ אַדאַפּטער פֿאַר דעם בליץ פאָר)

מקור: www.habr.com

WiFi ענטערפּרייז. FreeRadius + FreeIPA + Ubiquiti