Diẹ ninu awọn apẹẹrẹ ti siseto WiFi ajọ-ajo ti ti ṣapejuwe tẹlẹ. Nibi Emi yoo ṣe apejuwe bi MO ṣe ṣe imuse iru ojutu kan ati awọn iṣoro ti Mo ni lati dojuko nigbati o ba sopọ lori awọn ẹrọ oriṣiriṣi. A yoo lo LDAP ti o wa pẹlu awọn olumulo ti o forukọsilẹ, gbe FreeRadius dide ati tunto WPA2-Enterprise lori oluṣakoso Ubnt. Ohun gbogbo dabi pe o rọrun. Jẹ ki a ri…
Diẹ diẹ nipa awọn ọna EAP
Ṣaaju ki o to tẹsiwaju pẹlu iṣẹ-ṣiṣe, a nilo lati pinnu iru ọna ijẹrisi ti a yoo lo ninu ojutu wa.
Lati Wikipedia:
EAP jẹ ilana ijẹrisi ti a lo nigbagbogbo ni awọn nẹtiwọọki alailowaya ati awọn asopọ aaye-si-ojuami. Ọna kika ni akọkọ ṣe apejuwe ni RFC 3748 ati imudojuiwọn ni RFC 5247.
EAP ni a lo lati yan ọna ìfàṣẹsí, awọn bọtini kọja, ati ilana awọn bọtini wọnyẹn pẹlu plug-ins ti a pe ni awọn ọna EAP. Ọpọlọpọ awọn ọna EAP lo wa, mejeeji ti ṣalaye pẹlu EAP funrararẹ ati tu silẹ nipasẹ awọn olutaja kọọkan. EAP ko ṣe asọye Layer ọna asopọ, o n ṣalaye ọna kika ifiranṣẹ nikan. Ilana kọọkan ti o nlo EAP ni ilana ifiranšẹ ifiranšẹ EAP tirẹ.
Awọn ọna ti ara wọn:
- LEAP jẹ ilana ti ohun-ini ni idagbasoke nipasẹ CISCO. Awọn ailagbara ti a rii. Lọwọlọwọ ko ṣe iṣeduro lati lo
- EAP-TLS ni atilẹyin daradara laarin awọn olutaja alailowaya. O jẹ ilana to ni aabo nitori pe o jẹ arọpo si awọn ajohunše SSL. Eto soke ni ose jẹ ohun idiju. O nilo ijẹrisi alabara ni afikun si ọrọ igbaniwọle. Atilẹyin lori ọpọlọpọ awọn ọna šiše
- EAP-TTLS - atilẹyin jakejado lori ọpọlọpọ awọn ọna ṣiṣe, nfunni ni aabo to dara nipa lilo awọn iwe-ẹri PKI nikan lori olupin ijẹrisi
- EAP-MD5 jẹ boṣewa ṣiṣi miiran. Nfun ni iwonba aabo. Ailewu, ko ṣe atilẹyin ifitonileti ara ẹni ati iran bọtini
- EAP-IKEv2 - da lori Internet Key Exchange Protocol version 2. Pese ijẹrisi ara ẹni ati idasile bọtini igba laarin alabara ati olupin
- PEAP jẹ ojutu apapọ ti CISCO, Microsoft ati Aabo RSA gẹgẹbi idiwọn ṣiṣi. Fifẹ wa ni awọn ọja, pese aabo to dara pupọ. Iru si EAP-TTLS, to nilo ijẹrisi nikan ni ẹgbẹ olupin
- PEAPv0/EAP-MSCHAPv2 - lẹhin EAP-TLS, eyi ni ipele keji ti a lo jakejado agbaye. Ibasepo alabara-olupin ti a lo ni Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Ṣẹda nipasẹ Sisiko bi yiyan si PEAPv0/EAP-MSCHAPv2. Ko ṣe aabo data ìfàṣẹsí ni eyikeyi ọna. Ko ṣe atilẹyin lori Windows OS
- EAP-FAST jẹ ilana ti o dagbasoke nipasẹ Sisiko lati ṣatunṣe awọn ailagbara ti LEAP. Nlo Ijẹrisi Wiwọle Idaabobo (PAC). Ti ko pari patapata
Ninu gbogbo oniruuru yii, yiyan ko tun jẹ nla. Ọna ijẹrisi naa nilo: aabo to dara, atilẹyin lori gbogbo awọn ẹrọ (Windows 10, macOS, Linux, Android, iOS) ati, ni otitọ, rọrun julọ dara julọ. Nitorinaa, yiyan ṣubu lori EAP-TTLS ni apapo pẹlu ilana PAP.
Ibeere naa le dide - Kilode ti o lo PAP? nitori ti o ndari awọn ọrọigbaniwọle ni kedere?
Beeni ooto ni. Ibaraẹnisọrọ laarin FreeRadius ati FreeIPA yoo waye ni ọna yii. Ni ipo yokokoro, o le tọpinpin bi a ṣe fi orukọ olumulo ati ọrọ igbaniwọle ranṣẹ. Bẹẹni, jẹ ki wọn lọ, iwọ nikan ni iwọle si olupin FreeRadius.
O le ka diẹ sii nipa iṣẹ EAP-TTLS
FreeRADIUS
FreeRadius yoo dide lori CentOS 7.6. Ko si ohun idiju nibi, a ṣeto ni deede ọna.
yum install freeradius freeradius-utils freeradius-ldap -yẸya 3.0.13 ti fi sori ẹrọ lati awọn idii. Awọn igbehin le wa ni ya
Lẹhin iyẹn, FreeRadius ti n ṣiṣẹ tẹlẹ. O le ṣe alaye laini ni /etc/raddb/users
steve Cleartext-Password := "testing"Lọlẹ sinu olupin ni ipo yokokoro
freeradius -XKi o si ṣe kan igbeyewo asopọ lati localhost
radtest steve testing 127.0.0.1 1812 testing123Ni idahun Ti gba Wiwọle-Gba Id 115 lati 127.0.0.1:1812 si 127.0.0.1:56081 ipari 20, o tumọ si pe ohun gbogbo dara. Tẹ siwaju.
A so module lìp.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapAti pe a yoo yipada lẹsẹkẹsẹ. A nilo FreeRadius lati ni anfani lati wọle si FreeIPA
mods-sise / ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Tun olupin redio bẹrẹ ki o ṣayẹwo amuṣiṣẹpọ ti awọn olumulo LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Ṣiṣatunṣe eap ni mods-sise / eap
Nibi a ṣafikun awọn apẹẹrẹ meji ti eap. Wọn yoo yatọ nikan ni awọn iwe-ẹri ati awọn bọtini. Ni isalẹ Emi yoo ṣe alaye idi ti eyi jẹ bẹ.
mods-sise / eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Siwaju ṣiṣatunkọ ojula-sise / aiyipada. Awọn apakan ti o fun laṣẹ ati ijẹrisi jẹ iwulo.
ojula-sise / aiyipada
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Ni apakan aṣẹ, a yọ gbogbo awọn modulu ti a ko nilo. A fi ldap nikan silẹ. Ṣafikun ijẹrisi alabara nipasẹ orukọ olumulo. Ti o ni idi ti a fi kun meji instances ti eap loke.
EAP pupọOtitọ ni pe nigba sisopọ diẹ ninu awọn ẹrọ, a yoo lo awọn iwe-ẹri eto ati pato agbegbe naa. A ni ijẹrisi ati bọtini kan lati ọdọ alaṣẹ ijẹrisi ti o gbẹkẹle. Tikalararẹ, ninu ero mi, iru ilana ọna asopọ jẹ rọrun ju jiju iwe-ẹri ti ara ẹni lori ẹrọ kọọkan. Ṣugbọn paapaa laisi awọn iwe-ẹri ti ara ẹni, ko tun ṣiṣẹ. Awọn ẹrọ Samusongi ati Android =< Awọn ẹya 6 ko le lo awọn iwe-ẹri eto. Nitorinaa, a ṣẹda apẹẹrẹ lọtọ ti eap-alejo fun wọn pẹlu awọn iwe-ẹri ti ara ẹni. Fun gbogbo awọn ẹrọ miiran, a yoo lo eap-client pẹlu ijẹrisi igbẹkẹle kan. Orukọ olumulo jẹ ipinnu nipasẹ aaye Ailorukọ nigbati ẹrọ naa ba ti sopọ. Awọn iye 3 nikan ni o gba laaye: Alejo, Onibara ati aaye ṣofo. Ohun gbogbo ti wa ni asonu. O yoo wa ni tunto ni oselu. Emi yoo fun apẹẹrẹ diẹ lẹhinna.
Jẹ ki a ṣatunkọ aṣẹ ki o jẹri awọn apakan ninu ojula-sise / inu-eefin
ojula-sise / inu-eefin
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Nigbamii, o nilo lati pato ninu awọn eto imulo eyiti awọn orukọ le ṣee lo fun iwọle ailorukọ. Ṣatunkọ policy.d/filter.
O nilo lati wa awọn ila ti o jọra si eyi:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ati ni isalẹ ni elsif ṣafikun awọn iye ti o fẹ:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Bayi a nilo lati gbe si awọn liana awọn iwe-ẹri. Nibi o nilo lati fi bọtini ati ijẹrisi lati ọdọ alaṣẹ ijẹrisi ti o ni igbẹkẹle, eyiti a ti ni tẹlẹ ati nilo lati ṣe agbekalẹ awọn iwe-ẹri ti ara ẹni fun eap-alejo.
Yi awọn paramita ninu faili naa pada ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"A kọ awọn iye kanna ni faili naa olupin.cnf. A yipada nikan
wọpọ orukọ:
olupin.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Ṣẹda:
makeṢetan. Ti gba olupin.crt и bọtini olupin a ti forukọsilẹ tẹlẹ loke ni eap-alejo.
Ati nikẹhin, jẹ ki a ṣafikun awọn aaye iwọle wa si faili naa ibara.conf. Mo ni 7 ninu wọn. Ni ibere ki o má ṣe fi aaye kọọkan kun lọtọ, a yoo kọ nẹtiwọki nikan ninu eyiti wọn wa (awọn aaye wiwọle mi wa ni VLAN ọtọtọ).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti adarí
A gbe kan lọtọ nẹtiwọki lori oludari. Jẹ ki o jẹ 192.168.2.0/24
Lọ si awọn eto -> profaili. A ṣẹda tuntun kan:
A kọ adirẹsi ati ibudo ti olupin rediosi ati ọrọ igbaniwọle ti a kọ sinu faili naa clients.conf:
Ṣẹda orukọ nẹtiwọọki alailowaya tuntun kan. Yan WPA-EAP (Idawọlẹ) gẹgẹbi ọna ijẹrisi ati pato profaili redio ti o ṣẹda:
A fi ohun gbogbo pamọ, lo ati tẹsiwaju.
Eto soke ibara
Jẹ ká bẹrẹ pẹlu awọn julọ nira!
Windows 10
Iṣoro naa wa si otitọ pe Windows ko tii mọ bi o ṣe le sopọ si WiFi ajọ lori agbegbe kan. Nitorinaa, a ni lati fi ọwọ gbe iwe-ẹri wa si ile itaja ijẹrisi ti o ni igbẹkẹle. Nibi o le lo boya ọkan ti o fowo si tabi ọkan lati ọdọ alaṣẹ iwe-ẹri. Emi yoo lo keji.
Nigbamii, o nilo lati ṣẹda asopọ tuntun kan. Lati ṣe eyi, lọ si nẹtiwọki ati awọn eto Intanẹẹti -> Nẹtiwọọki ati Ile-iṣẹ Pipin -> Ṣẹda ati tunto asopọ tuntun tabi nẹtiwọọki:
Tẹ orukọ netiwọki sii pẹlu ọwọ ki o yi iru aabo pada. Lẹhin ti a tẹ lori yi awọn eto asopọ pada ati ninu awọn Aabo taabu, yan nẹtiwọki ìfàṣẹsí - EAP-TTLS.
Lọ si awọn eto, ṣeto asiri ti ijẹrisi - ni ose. Gẹgẹbi aṣẹ ijẹrisi ti a gbẹkẹle, yan ijẹrisi ti a ṣafikun, ṣayẹwo apoti “Maṣe fun olumulo ni pipe ti olupin ko ba le fun ni aṣẹ” ki o yan ọna ijẹrisi - ọrọ igbaniwọle ti a ko fiweranṣẹ (PAP).
Nigbamii, lọ si awọn eto ilọsiwaju, fi ami si "Pato ipo ijẹrisi naa." Yan "Ijeri olumulo" ki o si tẹ lori fi awọn iwe eri. Nibi iwọ yoo nilo lati tẹ username_ldap ati password_ldap
A fipamọ, lo, pa ohun gbogbo. O le sopọ si nẹtiwọki titun kan.
Linux
Mo ṣe idanwo lori Ubuntu 18.04, 18.10, Fedora 29, 30.
Ni akọkọ, jẹ ki a ṣe igbasilẹ ijẹrisi wa. Emi ko rii ni Linux boya o ṣee ṣe lati lo awọn iwe-ẹri eto tabi boya iru ile itaja kan wa rara.
Jẹ ki ká sopọ si awọn ìkápá. Nitorinaa, a nilo ijẹrisi lati ọdọ alaṣẹ iwe-ẹri eyiti o ti ra ijẹrisi wa.
Gbogbo awọn asopọ ti wa ni ṣe ni ọkan window. Yiyan nẹtiwọki wa:
oníṣe aláìlórúkọ
ašẹ - aaye fun eyiti a ti fi iwe-ẹri naa jade
Android
ti kii-Samsung
Lati ẹya 7, nigbati o ba n so WiFi pọ, o le lo awọn iwe-ẹri eto nipa sisọ agbegbe nikan:
ašẹ - aaye fun eyiti a ti fi iwe-ẹri naa jade
oníṣe aláìlórúkọ
Samsung
Gẹgẹbi Mo ti kowe loke, awọn ẹrọ Samusongi ko mọ bi o ṣe le lo awọn iwe-ẹri eto nigbati wọn ba sopọ mọ WiFi, ati pe wọn ko ni agbara lati sopọ nipasẹ agbegbe. Nitorinaa, o nilo lati ṣafikun iwe-ẹri root ti aṣẹ iwe-ẹri (ca.pem, mu lati olupin Radius). Eyi ni ibi ti o ti fowo si ara ẹni yoo ṣee lo.
Ṣe igbasilẹ iwe-ẹri si ẹrọ rẹ ki o fi sii.
Fifi sori iwe-ẹri
Ni ọran yii, iwọ yoo nilo lati ṣeto ilana ṣiṣi iboju kan, koodu PIN tabi ọrọ igbaniwọle, ti ko ba ti ṣeto tẹlẹ:
Mo ṣe afihan ẹya idiju ti fifi ijẹrisi kan sori ẹrọ. Lori ọpọlọpọ awọn ẹrọ, tẹ iwe-ẹri ti o gbasile nirọrun.
Nigbati ijẹrisi ba ti fi sii, o le tẹsiwaju si asopọ:
ijẹrisi - tọkasi eyi ti a fi sii
oníṣe aláìlórúkọ - alejo
MacOS
Awọn ẹrọ Apple lati inu apoti le sopọ si EAP-TLS nikan, ṣugbọn o tun nilo lati jabọ ijẹrisi kan si wọn. Lati pato kan ti o yatọ ọna asopọ, o nilo lati lo Apple Configurator 2. Accordingly, o gbọdọ akọkọ gba lati ayelujara o si rẹ Mac, ṣẹda titun kan profaili ati ki o fi gbogbo awọn pataki WiFi eto.
Alakoso Apple
Tẹ orukọ nẹtiwọki rẹ sii nibi
Aabo Iru - WPA2 Enterprise
Ti gba EAP Orisi - TTLS
Orukọ olumulo ati Ọrọigbaniwọle - fi silẹ ni ofo
Ijeri inu - PAP
Lode Identity-onibara
Trust taabu. Nibi ti a pato wa ašẹ
Gbogbo. Profaili le wa ni fipamọ, fowo si ati pinpin si awọn ẹrọ
Lẹhin ti profaili ti šetan, o nilo lati ṣe igbasilẹ si poppy ki o fi sii. Lakoko ilana fifi sori ẹrọ, iwọ yoo nilo lati pato usernmae_ldap ati password_ldap ti olumulo:
iOS
Ilana naa jẹ iru si macOS. O nilo lati lo profaili kan (o le lo ọkan kanna bi fun macOS. Wo loke fun bi o ṣe le ṣẹda profaili kan ni Apple Configurator).
Ṣe igbasilẹ profaili, fi sori ẹrọ, tẹ awọn iwe-ẹri sii, sopọ:
Gbogbo ẹ niyẹn. A ṣeto olupin Radius kan, muṣiṣẹpọ pẹlu FreeIPA, a si sọ fun Ubiquiti APs lati lo WPA2-EAP.
Awọn ibeere to ṣee ṣe
NI: bawo ni a ṣe le gbe profaili kan / iwe-ẹri si oṣiṣẹ kan?
O: Mo tọju gbogbo awọn iwe-ẹri/awọn profaili lori FTP pẹlu iraye si nipasẹ wẹẹbu. Mo ṣeto nẹtiwọki alejo kan pẹlu opin iyara ati iwọle si Intanẹẹti nikan, laisi FTP.
Ijeri wa fun awọn ọjọ 2, lẹhin eyi o ti tunto ati pe o ti fi alabara silẹ laisi Intanẹẹti. Iyẹn. nigbati oṣiṣẹ ba fẹ sopọ si WiFi, o kọkọ sopọ si nẹtiwọọki alejo, wọle si FTP, ṣe igbasilẹ ijẹrisi tabi profaili ti o nilo, fi sii, ati lẹhinna le sopọ si nẹtiwọọki ajọ.
NI: kilode ti o ko lo ero pẹlu MSCHAPv2? O ni ailewu!
O: Ni akọkọ, ero yii ṣiṣẹ daradara lori NPS (Eto Ilana Nẹtiwọọki Windows), ninu imuse wa o jẹ dandan lati tunto LDAP (FreeIpa) ni afikun ati tọju awọn hashes ọrọ igbaniwọle lori olupin naa. Fi kun. kii ṣe imọran lati ṣe awọn eto, nitori. eyi le ja si awọn iṣoro pupọ pẹlu mimuuṣiṣẹpọ ti eto olutirasandi. Ni ẹẹkeji, hash jẹ MD4, nitorinaa ko ṣafikun aabo pupọ
NI: Ṣe o ṣee ṣe lati fun laṣẹ awọn ẹrọ nipa lilo awọn adirẹsi mac?
O: RARA, eyi kii ṣe ailewu, ikọlu le yi awọn adirẹsi MAC pada, ati paapaa diẹ sii nitorinaa aṣẹ nipasẹ awọn adirẹsi MAC ko ni atilẹyin lori ọpọlọpọ awọn ẹrọ.
NI: Kini fun gbogbogbo gbogbo awọn iwe-ẹri wọnyi lati lo? Ṣe o le darapọ mọ laisi wọn?
O: awọn iwe-ẹri ni a lo lati fun laṣẹ olupin naa. Awon. nigbati o ba sopọ, ẹrọ naa ṣayẹwo boya o jẹ olupin ti o le gbẹkẹle tabi rara. Ti o ba jẹ bẹ, lẹhinna ijẹrisi naa tẹsiwaju, ti kii ba ṣe bẹ, asopọ ti wa ni pipade. O le sopọ laisi awọn iwe-ẹri, ṣugbọn ti ikọlu tabi aladugbo ba ṣeto olupin rediosi ati aaye iwọle pẹlu orukọ kanna bi tiwa ni ile, o le ni rọọrun da awọn iwe-ẹri olumulo wọle (maṣe gbagbe pe wọn ti gbejade ni ọrọ mimọ). Ati pe nigba ti a ba lo ijẹrisi kan, ọta yoo rii ninu awọn akọọlẹ rẹ nikan Orukọ olumulo airotẹlẹ - alejo tabi alabara ati iru aṣiṣe kan - Iwe-ẹri CA Aimọ
diẹ diẹ sii nipa macOSNi deede, lori MacOS, fifi sori ẹrọ ni a ṣe nipasẹ Intanẹẹti. Ni ipo imularada, Mac gbọdọ wa ni asopọ si WiFi, ati pe boya WiFi ajọṣepọ wa tabi nẹtiwọki alejo yoo ṣiṣẹ nibi. Tikalararẹ, Mo ti fi sori ẹrọ miiran nẹtiwọki, awọn ibùgbé WPA2-PSK, farasin, nikan fun imọ mosi. Tabi o tun le ṣe kọnputa filasi USB bootable pẹlu eto ni ilosiwaju. Ṣugbọn ti Mac rẹ ba wa lẹhin ọdun 2015, iwọ yoo tun nilo lati wa ohun ti nmu badọgba fun kọnputa filasi yii)
orisun: www.habr.com