Qëllimi im: Krijo konfigurimin e WiFi EAP duke përfshirë certifikatën CA në programin Android.
Problemi: Si të instaloni në mënyrë programore një certifikatë CA (dhe më pas t'i referoheni asaj certifikate në konfigurimin e WiFi EAP)?
Megjithatë, kjo supozon që ju keni instaluar tashmë një certifikatë CA në pajisje. Do të doja të instaloja një certifikatë në aplikacionin tim - qoftë nga burimet në aplikacion ose të dërguara nga serveri.
A është e mundur? (Rrënjë brenda në këtë rast nuk është një opsion). Nëse po, si?
Informacion shtese...
Gjeta gjithashtu një mënyrë për të shtuar certifikatën në KeyStore:
Megjithatë, kjo përdoret posaçërisht për të krijuar një prizë të sigurt dhe për t'u lidhur me HTTPS. Dua të përdor një certifikatë për WiFi.
Fatkeqësisht, nuk kam gjetur ende një mënyrë për të instaluar certifikatën CA në mënyrë programore - nga brenda aplikacionit.
Sidoqoftë, është e mundur të instaloni certifikatën përmes një shfletuesi në internet në Android. Kështu, zgjidhja (në ky moment) është si më poshtë: Ekzekutoni një qëllim për të hapur një URL në një shfletues ueb, i cili dërgohet direkt në certifikatën CA.
Kjo funksionon, por ka disa probleme:
- Përdoruesi duhet të sigurojë një certifikatë. Ky është një problem sepse ne po shtojmë konfigurimin e WiFi në mënyrë programore. Pra, duhet t'i kërkojmë përdoruesit të sigurojë një certifikatë me të njëjtin emër.
- Përdoruesi duhet të fusë një fjalëkalim. Nëse ata nuk kanë një fjalëkalim, përdoruesi do të krijojë një dhe do ta futë atë dy herë. Nëse ata kanë vendosur një fjalëkalim sigurie, përdoruesi do të duhet të mbajë mend të njëjtin fjalëkalim dhe ta vendosë atë.
- Duke supozuar se përdoruesi i ka përfunduar me sukses këto hapa, ai mbetet i mbërthyer në shfletues.
Kjo çon në disa pyetje:
- Nga aplikacioni im, a ka ndonjë mënyrë për të detyruar emrin e certifikatës së instaluar nga përdoruesi përmes shfletuesit?
- Nga aplikacioni im, a ka ndonjë mënyrë për të ditur se kur ka përfunduar instalimi i certifikatës dhe më pas ta kthej fokusin në aplikacionin tim?
Thjesht më njoftoni nëse keni nevojë për sqarime.
3 pergjigje
Nuk mund ta instaloni drejtpërdrejt sepse aplikacionet jo-sistem nuk kanë qasje në dyqanin e çelësave. Ekziston një API për këtë në ICS, KeyChain.createInstallIntent(), i cili do të nisë një dialog sistemi duke pyetur përdoruesin nëse dëshiron të instalojë certifikatën. Në para-ICS, mund të arrini të njëjtën gjë duke aktivizuar qëllimin e instalimit drejtpërdrejt duke përdorur emrin e komponentit (kjo mund ose nuk mund të funksionojë në të gjitha pajisjet). Kalimi nëpër shfletues është në fakt një zgjidhje për të bërë të njëjtën gjë.
Në lidhje me pyetjet tuaja:
- ju nuk mund të specifikoni / detyroni një emër. Pse jeni të interesuar për emrin aktual?
- Jo në fakt përmes shfletuesit. Nëse përdorni qëllimin e sistemit, mund të ktheheni në aktivitetin tuaj dhe të merrni kthimi i thirrjes nëse përdorni startActivityForResult().
Aktualisht jam duke kërkuar zgjidhje për të njëjtat probleme. Më e mira që kam gjetur është KeyChain.choosePrivateKeyAlias() e cila i lejon përdoruesit të zgjedhë se cilën certifikatë të përdorë për SSL. Nga atje mund të merrni emrin e pseudonimit dhe t'ia kaloni atë konfigurimit wifi të korporatës.
Në pjesën e parë, mësuam pse një ndërmarrje duhet të përdorë modalitetin Enterprise Wi-Fi Protected Access (WPA ose WPA2) në vend të modalitetit Personal (PSK). Mësuam se vërtetimi 802.1X në modalitetin Enterprise kërkon përdorimin e një serveri RADIUS, i cili përfshihet në Windows Server.
Ne kemi instaluar dhe konfiguruar tashmë Shërbimin e Certifikatës në Windows Server 2008. Në këtë pjesë, ne do të vazhdojmë instalimin dhe konfigurimin e Politikave të Rrjetit dhe Shërbimeve të Aksesit. Më pas do të konfigurojmë kontrollorët me valë dhe/ose pikat e hyrjes (AP) për të përdorur enkriptimin si dhe cilësimet RADIUS. Më pas do të konfigurojmë kompjuterët e klientit. Dhe së fundi, ne do të jemi në gjendje të lidhemi.
Instalimi i roleve të Politikës së Rrjetit dhe Shërbimeve të Aksesit
NË versionet e mëparshme Funksionaliteti i Windows Server RADIUS u sigurua nga Shërbimi i Autentifikimit të Internetit (IAS). Duke filluar me Windows Server 2008, ai ofrohet nga Network Policy and Access Services. Kjo përfshin shërbimet e mëparshme të SNK-së së bashku me komponentin e ri të PNV-së.
Në dritare konfigurimi fillestar (Detyrat fillestare të konfigurimit) lëvizni poshtë dhe zgjidhni Shto role. Nëse e keni mbyllur dhe minimizuar këtë dritare, klikoni Start > Server Manager, zgjidhni Roles dhe klikoni Add Roles.
Zgjidhni Politika e Rrjetit dhe Shërbimet e Aksesit(Figura 1) dhe shtypni Me tutje.
Figura 1: Zgjedhja për të instaluar rolet e Politikës së Rrjetit dhe Shërbimeve të Aksesit
Zgjidhni sa vijon (Figura 2):
- Serveri i politikave të rrjetit
- Serverët e rrugëtimit dhe aksesit në distancë
- Shërbimet akses në distancë(Shërbimet e qasjes në distancë)
- Drejtimi
.gif)
Figura 2: Zgjedhja e instalimit të katër opsioneve të para
Tani mund të filloni të konfiguroni NPS për funksionin RADIUS: klikoni Filloni, hyni nps.msc dhe shtypni Hyni.
Për opsionin Konfigurimi standard(Konfigurimi standard) zgjidhni opsionin Serveri RADIUS për 802.1X Wireless ose lidhjet me tela(Serveri RADIUS për lidhjet 802.1X me valë ose me tel)(Figura 3) nga menyja rënëse.
Figura 3: Zgjedhja e një serveri RADIUS për 802.1X
Klikoni Konfiguro 802.1X.
Për llojin e lidhjes 802.1X, zgjidhni Lidhje të sigurta me valë(Figura 4) dhe shtypni Me tutje.
Figura 4: Zgjedhja e sigurisë me valë
Për çdo kontrollues me valë dhe/ose pikë aksesi, klikoni Shto, te krijosh hyrje e re klient RADIUS. Siç tregohet në Figurën 5, ju duhet të specifikoni emra miqësorë që do t'ju ndihmojnë t'i identifikoni midis të tjerave, adresat IP ose DNS dhe një sekret të përbashkët (Shared Secret).
Figura 5: Futja e informacionit për kontrolluesin me valë ose pikën e aksesit
Këto sekrete të përbashkëta janë të rëndësishme për vërtetimin dhe enkriptimin. Bëjini ato komplekse dhe të gjata, si fjalëkalimet. Ato duhet të jenë unike për çdo kontrollues/AP. Më vonë do t'ju duhet të vendosni të njëjtat sekrete të përbashkëta për kontrollorët/AP-të përkatëse. Mos harroni t'i mbani të fshehta, mbajini në një vend të sigurt.
Për Metoda e vërtetimit, zgjidhni Microsoft Protected EAP (PEAP) pasi ne do të përdorim PEAP.
Klikoni butonin Melodi", zgjidhni certifikatën e krijuar më parë dhe klikoni Ne rregull.
Në dritaren për specifikimin e grupeve të përdoruesve (Figura 6), klikoni Shto.
Figura 6: Shtimi i grupeve të përdoruesve që mund të lidhen
Në dialogët e përzgjedhjes së grupit, futni grupet ose klikoni Advanced për të kërkuar grupet e disponueshme. Nëse nuk keni krijuar grupe shtesë, mund t'ju duhet të zgjidhni Përdoruesit e Domenit për të lejuar përdoruesit dhe Kompjuterët e Domenit për të vërtetuar makinat nëse kontrolluesit/AP-të tuaja i mbështesin ato. Nëse merrni një mesazh gabimi se domeni nuk ekziston, rinisni serverin Active Directory Shërbimet e Domenit dhe provoni përsëri.
Pas shtimit grupet e duhura klikoni Me tutje për të vazhduar.
Në dritare Cilësimet e VLAN(Figura 7), nëse rrjeti juaj (çelsat dhe kontrolluesit/AP) mbështet VLAN dhe ato janë të konfiguruara, klikoni Melodi" për të vendosur funksionin VLAN.
Figura 7: Klikoni butonin e konfigurimit për të përcaktuar cilësimet VLAN
Rishikoni opsionet dhe klikoni Gati.
Konfigurimi i kontrollorëve me valë dhe/ose pikave të aksesit
Është koha për të konfiguruar kontrollorët me valë ose pikat e hyrjes (AP). Thirrni ndërfaqen e internetit duke futur adresën IP të pikave të hyrjes ose kontrollorëve në shfletues. Pastaj shkoni te cilësimet tuaja pa tel.
Zgjidhni WPA-Ndërmarrja ose WPA2-Ndërmarrja. Për llojin e kriptimit, zgjidhni TKIP nëse përdorni WPA ose AES nëse përdorni WPA2. Më pas vendosni adresën IP të serverit RADIUS që duhet të jetë ajo që sapo keni konfiguruar. Makinë Windows Sever. Fut sekretin e përbashkët që ke krijuar më parë për këtë kontrollues/AP. Ruani cilësimet.
Instalimi i një certifikate CA në makinat e klientit
Në pjesën e parë të serisë, ju krijuat Autoritetin tuaj të Certifikatës (CA) dhe certifikatën e serverit. Prandaj, ju duhet të instaloni CA në të gjithë kompjuterët e klientit. Në këtë rast, klienti mund të kontrollojë serverin përpara vërtetimit.
Nëse jeni duke përdorur një rrjet domeni me Active Directory, mund t'ju duhet ta vendosni këtë certifikatë duke përdorur politikën e grupit. Sidoqoftë, mund ta instaloni edhe manualisht.
Për të parë dhe menaxhuar certifikatat në Windows Server 2008, telefononi Menaxherin e Certifikatave. Nëse e keni ruajtur këtë MMC në kompjuterin tuaj në pjesën e parë, hapeni atë. Përndryshe, ndiqni këto hapa përsëri:
- Klikoni Filloni, hyni MMC dhe shtypni Hyni.
- Në dritaren e konsolës MMC, zgjidhni Skedari>Shtoni ose hiqni një snap-in.
- Zgjidhni Certifikatat dhe shtypni Shto.
- Zgjidhni Llogaria kompjuterike dhe shtypni Me tutje.
- Zgjidhni Kompjuter lokal, shtypni Gati Dhe Ne rregull.
Tani zgjeroni Certifikatat (lokale Llogaria kompjuter (llogari kompjuterike lokale)), zgjerohet Personale dhe shtypni Certifikatat.
Siç tregohet në figurën 8, klikoni çelësi i djathtë në një certifikatë, vlera e së cilës "Issued To" përfundon me C.A., shkoni te pika Të gjitha detyrat dhe zgjidhni Eksporto". Pastaj ndiqni magjistarin e eksportit. Kur magjistari ju pyet, mos e eksportoni çelës privat, por përdorni formatin DER. Mund t'ju duhet ta eksportoni atë në një flash drive, në mënyrë që ta merrni me vete në makinat e klientit.
Tani në kompjuterët e klientit, klikoni dy herë mbi certifikatën dhe klikoni Instaloni Certifikatën(Figura 9). Përdorni magjistarin për të importuar certifikatën në dyqan Autoritetet e besuara të certifikatës rrënjësore.
Figura 9: Instalimi i një certifikate CA në klient.
Konfigurimi i cilësimeve të rrjetit në kompjuterët e klientit
Tani mund të konfiguroni cilësimet e rrjetit tuaj. Ashtu si me instalimin e certifikatave, ju mund të promovoni cilësimet e rrjetit te klientët duke përdorur Politikën e Grupit nëse jeni duke punuar në një rrjet domeni me Active Directory. Megjithatë, ju gjithashtu mund të konfiguroni klientët manualisht, si në rastin tonë për Windows XP, Vista dhe 7.
Së pari, ne krijojmë manualisht një profil rrjeti ose hyrje të preferuar në rrjet. Për Lloji i sigurisë zgjidhni WPA-Ndërmarrja ose WPA2-Ndërmarrja. Për Lloji i enkriptimit zgjidhni TKIP nëse përdoret WPA ose AES nëse përdoret WPA2.
Hapni profilin tuaj të rrjetit dhe zgjidhni faqeshënuesin Siguria(në Vista dhe 7) ose Autentifikimi(në XP). Në XP, kontrolloni opsionin Aktivizo vërtetimin IEEE 802.1x për këtë rrjet.
Për Metoda e vërtetimit të rrjetit(në Vista dhe 7, siç tregohet në Figurën 10) ose Lloji EAP(në XP), zgjidhni EAP i mbrojtur (PEAP). Në XP, zgjidhni gjithashtu opsionet në fund të dritares.
Figura 10: Zgjedhja e PEAP për metodën e vërtetimit
Në Windows 7 (vetëm), klikoni Cilësimet e avancuara në skedën Siguria. Pastaj në dritare parametra shtesë kontrolloni opsionin Specifikoni mënyrën e vërtetimit, zgjidhni Autentifikimi i përdoruesit dhe shtypni Ne rregull për t'u kthyer në skedën Siguria.
Klikoni butonin Opsione(në Vista dhe 7) ose Vetitë(në XP).
Në dialogun Protected EAP Properties, ndiqni këto hapa (Figura 11):
- Kontrolloni opsionin e parë, Verifiko serverin.
- Kontrolloni opsionin e dytë, Lidhu me këta serverë, dhe futeni emrat e plotë kompjuterët e serverëve. Nëse është e nevojshme, klikoni dy herë në Windows Server duke zgjedhur Start > Server Manager.
- Në dritaren e listës Autoritetet e besuara të certifikimit rrënjë zgjidhni certifikatën CA që keni importuar.
- Zgjidhni Fjalëkalim i sigurt (EAP-MSCHAP v2) për metodën e vërtetimit.
Figura 11: Vendosja e vetive PEAP
- Klikoni butonin Melodi. Nëse jeni duke punuar në një rrjet domain me Active Directory, është më mirë të kontrolloni këtë opsion. Përndryshe, zgjidhni këtë opsion në mënyrë që të mund të vendosni emrin e përdoruesit dhe fjalëkalimin kur lidheni me rrjetin.
Më në fund, klikoni OK në dialogun e dritareve për të ruajtur cilësimet.
Dhe së fundi, lidheni dhe regjistrohuni!
Kur serveri, AP-të dhe klientët janë konfiguruar, duhet të përpiqeni të lidheni.
Në kompjuterin e klientit, zgjidhni një rrjet nga lista e atyre të disponueshme lidhjet e rrjetit. Nëse nuk e keni konfiguruar klientin që të përdorë automatikisht hyrjen në Windows, do t'ju duhet të vendosni kredencialet e hyrjes, siç tregohet në figurën 12. Përdorni një llogari në Windows Server që i përket grupit që keni konfiguruar më parë në seksionin e konfigurimit të Politikës së Rrjetit dhe Shërbimeve të Aksesit . Nëse keni zgjedhur grupin e Përdoruesve të Domenit, llogaria e Administratorit duhet të lejohet si parazgjedhje.
Figura 12: Dritarja e hyrjes.
konkluzioni
Tani duhet të keni një rrjet të vërtetuar 802.1X dhe Mbrojtja e ndërmarrjes enkriptimi, falë Windows Server 2008 dhe veçorisë RADIUS që ofron. Ne kemi konfiguruar serverin, AP-të me valë dhe klientët për të përdorur vërtetimin PEAP. Përdoruesit përfundimtarë do të jenë në gjendje të identifikohen duke përdorur llogaritë e tyre.
Për të menaxhuar cilësimet e serverit RADIUS, të tilla si shtimi ose heqja e AP-ve, përdorni shërbimin e serverit të politikave të rrjetit: klikoni Filloni>Të gjitha programet> Mjetet e Administrimit>Serveri i politikave të rrjetit.
Versioni RoS 6.39rc27
Mbrapa Mbrojtje WiFi Rrjetet në Mikrotik janë përgjegjës për tre skeda: Lista e aksesit(/lista e aksesit me valë të ndërfaqes), Lista e lidhjeve(/lista e lidhjes me valë të ndërfaqes), Profilet e sigurisë(/profilet e sigurisë me valë të ndërfaqes).
Lista e aksesit - lista e rregullave që kufizojnë lidhjet pajisje të tjera në pikën tuaj, dhe gjithashtu shërbejnë për të menaxhuar parametrat e lidhjes. (modaliteti ap).
Shembull: dëshironi të kufizoni lidhjet me pikën tuaj të hyrjes bazuar në adresat MAC.
Lista e lidhjeve- një listë rregullash që kufizojnë lidhjen pajisjen tuaj në pika të tjera aksesi(modaliteti i stacionit).
Shembull: dëshironi të lidhni automatikisht stacionin e klientit me pikën e hyrjes me fuqinë maksimale të sinjalit (nëse ka disa stacione bazë).
Profilet e sigurisë - konfigurohen profilet e metodave të sigurisë dhe, drejtpërdrejt, çelësat e sigurisë së rrjetit me valë.
Profilet e sigurisë
Le të fillojmë me më interesantet - Profilet e Sigurisë. Kjo është ajo ku ne kemi vendosur enkriptim për tonë pikat me valë. Konfigurimi do të kryhet për një pikë aksesi në shtëpi ose zyrë. Profili i mbrojtjes vendoset drejtpërdrejt në vetitë e ndërfaqes me valë.
Kur shkoni te skeda / ndërfaqen pa tel të sigurisë-profile ne shohim këtë foto.
Ju mund të shtoni profilin tuaj, unë gjithmonë përdor atë standard - pse ta humbni atë =).
Skeda e përgjithshme.
Emri- Emri i Profilit.
Nëse përdorim profilin standard- lëreni si parazgjedhje.
Modaliteti- mënyra e kriptimit.
- asnje- enkriptimi nuk përdoret. Kornizat e koduara nuk pranohen. Përdoret gjerësisht në sisteme aksesi i mysafirëve, si ofrimi i internetit në një kafene apo hotel. Për t'u lidhur, duhet të dini vetëm emrin e rrjetit me valë.
- static-keys-kërkohen- Modaliteti WEP. Mos merrni ose dërgoni korniza të pakriptuara. Protokolli i komprometuar. Nuk mund të përdoret, ose vetëm në raste ekstreme (për pajisjet më të vjetra). Artikulli kryesor - .
- statike-çelësat-opsionale- Modaliteti WEP. Mbështet enkriptimin dhe deshifrimin, por gjithashtu ju lejon të merrni dhe dërgoni korniza të pakriptuara. Nuk mund të përdoret, ose vetëm në raste ekstreme (për pajisjet më të vjetra). Artikulli kryesor - .
- çelësat dinamikë- Modaliteti WPA.
Për të mbrojtur rrjetin tuaj me valë GJITHMONË përdorni modalitetin çelësat dinamikë.
Dallimi midis WPA2-PSK dhe WPA2-EAR është se nga vijnë çelësat e enkriptimit të përdorur në mekanikën e algoritmit AES. Për aplikacionet private (shtëpiake, të vogla), përdoret një çelës statik (fjalëkalim, fjalë kodi, PSK (Çelësi paraprakisht i përbashkët)) me një gjatësi minimale prej 8 karaktere, i cili vendoset në cilësimet e pikës së hyrjes dhe është i njëjtë për të gjithë klientët e një rrjeti të caktuar pa tel. Kompromisi i një çelësi të tillë (ata ia derdhën fasulet një fqinji, një punonjës u pushua nga puna, u vodh një laptop) kërkon një ndryshim të menjëhershëm të fjalëkalimit për të gjithë përdoruesit e mbetur, gjë që është reale vetëm nëse ka një numër të vogël të tyre. Për aplikacionet e korporatave, siç sugjeron emri, përdoret një çelës dinamik, individual për secilin klient aktualisht në punë. Ky çelës mund të përditësohet periodikisht gjatë funksionimit pa ndërprerë lidhjen, dhe një komponent shtesë është përgjegjës për gjenerimin e tij - serveri i autorizimit, dhe pothuajse gjithmonë ky është një server RADIUS.
Ne nuk përdorim një server RADIUS, punonjësit tanë janë llafazanë, por ne gjithashtu i ndryshojmë shpesh fjalëkalimet, kështu që zgjedhja jonë është WPA2-PSK. Ne lëmë një shenjë vetëm mbi të, çaktivizoni të gjitha protokollet e tjera "të pasigurta".
Shifra Unicast- përzgjedhja e llojit të kriptimit. Klientët do të jenë në gjendje të lidhen me pikën tuaj nëse mbështesin këtë lloj kriptimi. Dy lloje të mbështetura tkip Dhe aes-ccm. AES është një algoritëm modern dhe më i sigurt. Ai është i pajtueshëm me standardin 802.11n dhe siguron shpejtësi të lartë të transferimit të të dhënave. TKIP është i vjetëruar. Ai ka më shumë nivel i ulët sigurinë dhe mbështet shpejtësinë e transferimit të të dhënave deri në 54 Mbit/s. Për më tepër, standardi i algoritmit CCM kërkon përdorimin e çelësave të rinj të përkohshëm për çdo seancë të krijuar rishtazi, dhe kjo është një plus për sigurinë.
Ne përdorim vetëm aes-ccm.
Shifrat e grupit- përzgjedhja e llojit të kriptimit. Stacioni juaj do të përpiqet të lidhet vetëm me pikat e hyrjes që mbështesin këtë lloj kriptimi. Përshkrimi nuk është i ndryshëm nga parametri i mëparshëm.
Ne përdorim vetëm aes-ccm.
Çelësi WPA-Para-Shared, WPA2 Pre-Shared Key - vlera kryesore. Për të vendosur një fjalëkalim, përdorni numra, shkronja të mëdha DHE shkronja të vogla, Simbole të veçanta(%, *, @, #, $, ~). Mos harroni të ndryshoni fjalëkalimin tuaj rregullisht (për shembull, një herë në 15 ditë). Mikrotik ju lejon ta bëni këtë me një skript, unë ndryshoj fjalëkalimin në 10 zyra në të njëjtën kohë, nëse jeni të interesuar, mund ta përshkruaj në një artikull të veçantë.
Ne përdorim një fjalëkalim kompleks.
Identiteti i lutësit- Identifikuesi EAP, i cili dërgohet nga klienti në fillim të vërtetimit të EAP. Kjo vlerë përdoret si vlerë për atributin Emri i përdoruesit në mesazhet RADIUS.Ne nuk përdorim WPA2-EAR - ne e shpërfillim vlerën.
Përditësimi i çelësit të grupit- koha sa shpesh të përditësohet çelësi i enkriptimit. Funksioni nuk funksionon në modalitetin e stacionit. Në fakt, mund ta ndryshoni vlerën kur pajisja dështon në mënyrë të pakuptueshme (për shembull, telefonat inteligjentë Android kur kaloni në modalitetin e gatishmërisë).Lëreni vlerën në parazgjedhje - 5 minuta.
Mbrojtja e Menaxhimit- mbrojtje kundër sulmeve të deautentikimit dhe klonimit të adresave MAC. Algoritmi juaj i mbrojtjes së rrjetit pa tel nga Mikrotik.
- me aftësi të kufizuara- Mbrojtja e kontrollit është e çaktivizuar.
- lejohet- lejoni përdorimin e mbrojtjes nëse mbështetet nga pala e largët.
- kërkohet- kërkohet. Për stacionin bazë, vendosni komunikim vetëm me klientët që mbështesin Mbrojtjen e Menaxhimit. Për klientët - vendosni komunikim vetëm me pikat e hyrjes që mbështesin Mbrojtjen e Menaxhimit.
Çelësi i mbrojtjes së menaxhimit- Çelësi i mbrojtjes së menaxhimit.
Fusha nuk është aktive nëse nuk përdoret "Mbrojtja e menaxhimit".
Skeda RADIUS.
Autentifikimi MAC- autorizim nga adresa mac. Ky cilësim zbatohet për ata klientë që nuk janë në listën e aksesit. Serveri RADIUS do të përdorë adresën MAC të klientit si emër përdoruesi.
Ne nuk shënojmë kutinë.
Kontabiliteti MAC- aktivizoni statistikat MAC.
Ne nuk shënojmë kutinë.
Kontabiliteti EAP- aktivizoni statistikat EAP.
Ne nuk shënojmë kutinë.
Parametri nuk mund të ndryshohet.
Format MAC- formati në të cilin shkruajmë adresat MAC. Formatet e disponueshme:
XX:XX:XX:XX:XX:XX
XXXX:XXXX:XXXX
XXXXXX: XXXXXX
XX-XX-XX-XX-XX-XX
XXXXXX-XXXXXX
XXXXXXXXXXXX
XX XX XX XX XX XX
Përcakton se si adresa MAC e klientit kodohet nga pika e hyrjes në atributin Emri i përdoruesit të serverit RADIUS.
Parametri nuk mund të ndryshohet.
Modaliteti MAC- vlerat:
- si emër përdoruesi- përdorni vetëm emrin kur vërtetoni me serverin RADIUS.
- si-username-and-password- përdorni një emër dhe fjalëkalim kur vërtetoni në një server RADIUS (si atribut Emri i përdoruesit).
Parametri nuk mund të ndryshohet.
Koha e memorizimit në MAC- periudha kohore pas së cilës pika e hyrjes do të ruajë memorien e përgjigjeve të vërtetimit. Vlera e çaktivizuar çaktivizon cache-në dhe të gjitha përgjigjet dërgohen drejtpërdrejt te serveri RADIUS.
Parametri nuk mund të ndryshohet.
Skeda EAP.
- eap-tls- përdorimi i vërtetimit të integruar EAP TLS. Certifikatat e mbështetjes së klientit dhe serverit.
- eap ttls mschapv2- Autentifikimi EAP me emrin e përdoruesit dhe fjalëkalimin.
- kaloj permes- pika e hyrjes do të transmetojë procesin e vërtetimit te serveri RADIUS.
- verifikoni certifikatën- kontrolloni certifikatën.
- mos verifikoni certifikatën- mos kontrolloni certifikatat e klientit.
- nuk ka certifikata- mos përdorni një certifikatë, përdorni metodën e çelësit anonim 2048 bit Diffie-Hellman.
- verifiko certifikatën me crl- kontrolloni certifikatën kundrejt listave CRL (lista e revokimit të certifikatave SSL).
Emri i përdoruesit MSCHAPv2- emri i përdoruesit për vërtetimin eap ttls mschapv2.
Fjalëkalimi MSCHAPv2- fjalëkalimi për vërtetimin eap ttls mschapv2.
Skeda e çelësave statikë.
Ky seksion është aktiv nëse "çelësat statikë janë opsionalë" dhe "çelësat statikë-kërkohen" përdoren në skedën "Përgjithshme". Përdoret për të futur çelësat.
Çelësi i transmetimit- pika e hyrjes do të përdorë çelësin e specifikuar për të enkriptuar kornizat për klientët, dhe gjithashtu do të përdoret për të enkriptuar kornizat e transmetimit dhe multicast.
St. Çelësi Privat- vetëm për përdorim në modalitetin "stacion". Pika e hyrjes do të përdorë çelësin përkatës të algoritmit të zgjedhur (në paraqitjen heksadecimal të çelësit).Lista e aksesit
Për të mundësuar aksesin sipas rregullave të Listës së Aksesit, në skedën Ndërfaqet duhet të hapni vetitë e ndërfaqes me valë, ku në skedën Wireless, zgjidhni parametrin Default Authenticate.
Pasi të zgjidhni kutinë e zgjedhjes, shkoni te Lista e Aksesit dhe krijoni një rregull. Mund të jetë i ndryshëm për çdo klient, ose i përbashkët për të gjithë.
Ndërfaqja- ndërfaqja me të cilën do të bëhet lidhja. Nëse specifikoni "të gjitha", rregulli do të zbatohet për të gjitha ndërfaqet me valë të pajisjes tuaj.
Gama e fuqisë së sinjalit- diapazoni i nivelit të sinjalit në të cilin lidhja është e mundur. Cilësimi zbatohet për rrjetet me roaming pa probleme mes pikave. Shërben për të siguruar që pajisja juaj të mos ngjitet në pikën aktuale të hyrjes derisa niveli i sinjalit të jetë jashtëzakonisht i dobët, por të riregjistrohet në pikë e re(me të njëjtën SSID).
Zakonisht ata vendosin një interval si "-75..120" nëse ka disa pika aksesi në disponueshmëri normale.
AP Tx Limit- kufizoni shpejtësinë e transferimit të të dhënave tek ky klient. Vlera "0" - pa kufizime.
Kufiri Tx i Klientit- Kufiri i shpejtësisë së transmetimit të klientit. Mbështetet vetëm në klientët RouterOS.
Autentifikimi- mundësia e autorizimit. Nëse zgjidhni kutinë, pajisja me këtë adresë MAC nuk do të mund të lidhet me rrjetin tuaj.
Përcjellja- aftësia për të shkëmbyer informacione me pjesëmarrësit e tjerë në rrjetin pa tel. Nëse e zgjidhni këtë artikull, përdoruesi i kësaj pajisjeje nuk do të ketë qasje te klientët e tjerë të rrjetit wifi.
Zakonisht, në një pikë aksesi publik, kutia e zgjedhjes nuk zgjedhet për të kursyer trafikun dhe sigurinë.
VLAN-Mode- Duke përdorur VLAN Tagging, ju mund të ndani trafikun e pikave virtuale të aksesit me valë nga klientët lokalë (për shembull, për të ndarë një rrjet të ftuar nga një rrjet pune). Vlerat:
- pa etiketë- mos përdorni etiketimin VLAN në ndërfaqen me valë;
- përdorim-shërbim-etiketë- përdorni etiketimin e reklamave 802.1;
- etiketë-përdorim- përdorni etiketimin 802.1q.
Ne nuk përdorim VLAN, e lëmë atë në parazgjedhje - "1". Çelësi Privat- aftësia për të vendosur një çelës personal enkriptimi për një pajisje me Të dhënat MAC adresë. Vetëm për mënyrat WEP.
Çelësi Privat i Përbashkët- çelësi personal i enkriptimit. Përdoret në modalitetin WPA PSK.
Çelësi i mbrojtjes së menaxhimit- Çelësi i mbrojtjes së menaxhimit. Mbrojtja e menaxhimit - mbrojtje kundër sulmeve të deautentikimit dhe klonimit të adresave MAC. Vendoseni në skedën "Të Përgjithshme" në Profilet e Sigurisë.
Koha- në këtë seksion mund të specifikoni intervalin kohor brenda të cilit do të jetë e mundur të lidhni këtë pajisje.
Lista e lidhjeve
Adresa mac- tregoni MAC AP me të cilin do të lidhemi.
Lidheni- nëse kutia e kontrollit është e zgjedhur, ata do të lidhen me një pikë aksesi që përputhet me këtë rregull, nëse nuk zgjidhet, ata nuk do të lidhen;
SSID- do të lidhet vetëm me pikat e hyrjes që kanë SSID-në e specifikuar, nëse nuk është aktive - me ndonjë SSID.
Prefiksi i zonës- rregulli është i vlefshëm për ndërfaqen me prefiksin e specifikuar. Zona - ju lejon të krijoni një grup dhe të përfshini pajisje me valë në të, dhe më pas ta përdorni rregulla të caktuara për këtë grup dhe të gjithë anëtarët e tij, në vend që të krijohen rregulla të veçanta për secilën pajisje. Kjo vlerë plotësohet në cilësimet e pikës së hyrjes dhe mund të përputhet me rregullat në listën e lidhjes.Gama e fuqisë së sinjalit- do të lidhet vetëm me pikat e hyrjes brenda intervalit të caktuar të nivelit të sinjalit.
Protokolli me valë- Protokolli i komunikimit me valë. Vlerat:
- ndonjë- çdo mbështetje (zgjedhja automatike);
- 802.11 - vetëm protokollet standarde 802.11abgn. Përdoret në mënyrë tipike për pajtueshmëri me pajisje nga prodhues të tjerë;
- nstreme- Protokolli Mikrotik “pronarë”, karakterizuar nga shpejtësi e lartë rrjedha e të dhënave në një drejtim (RX ose TX); 7) fshihni SSID-në e rrjetit tuaj.
8) ndryshoni MAC-në e ndërfaqes pa tel - për ta bërë të vështirë identifikimin e pajisjes.
Bonus
Një skenar që analizon regjistrat e Mikrotik. Nëse merret një mesazh lidhjeje me një fjalëkalim të pasaktë, në listën e aksesit shtohet një rregull që ndalon ndaj këtij klienti(nëpërmjet MAC) do të lidhet me të gjitha ndërfaqet tona me valë. Autori EdkiyGluk, për të cilin faleminderit.
:pop lokal 4
: mac lokal
:wifi lokal foreach i in=$wifi do=(
:set mac [:pick 0 ([:len ]-50)]
#:log paralajmërim $mac
nëse ([:len ] >= $pop) do=(
nëse ( = "") bëj=(
/interface wireless access-list shto mac-address=$mac authentication=no
ndërfaqe = të gjitha
}
}
}
#:log paralajmërim "FINISH"
Një skript në planifikuesin që funksionon çdo N minuta. Për të siguruar që pajisjet e lejuara të mos ndalohen, ne i shtojmë ato paraprakisht në Listën e Aksesit.
Një tjetër postim në kompjuter.
Kohët e fundit kam ndërtuar një rrjet WiFi me vërtetim 802.1x, duke përdorur certifikata për të identifikuar përdoruesit. Ndër të tjera, ne duhej të konfiguronim pajisjet Android - telefonat inteligjentë dhe tabletët - për të punuar me të. Atëherë doli që ishte e pamundur të gjeja një mënyrë normale se si ta bëni këtë - ato që ekzistonin kishin të bënin me skenarët e fjalëkalimeve dhe doja të shpëtoja prej tyre. Kjo është arsyeja pse vendosa të kombinoj informacionin mbi këtë çështje në një postim.
Është shkruar shumë se çfarë është 802.1x dhe si ta përdorim atë në Windows dhe Linux, kështu që këtu do të flasim vetëm për konfigurimin e klientit në Android.
Pra, cili është qëllimi? Është e nevojshme të krijohet një rrjet me kriptim të mirë dhe vërtetim të besueshëm, ndërkohë që kërkohet që vërtetimi të jetë sa më i përshtatshëm për përdoruesin, por në të njëjtën kohë i mbrojtur nga përdoruesi. Kjo do të thotë, unë, si administrator, nuk dua që përdoruesi të jetë në gjendje t'i japë dikujt tjetër fjalëkalimin ose skedarin e çelësit sekret, ose të lidhet nga një pajisje nga e cila nuk dua ta lejoj të lidhet - për shembull, një laptop personal. Në përgjithësi errësira dhe diktatura.
Për ta bërë këtë, ne bëjmë sa vijon: një certifikatë me një çelës sekret vendoset në pajisje (telefon, tablet) (një çelës i veçantë për secilën pajisje). Menaxhimi i çelësave në Android është shumë primitiv, por jep saktësisht minimumin që na nevojitet - ju lejon të importoni çelësin dhe ta përdorni atë, por jo ta nxirrni përsëri (nga të paktën, pa një fjalëkalim, të cilin nuk do ta japim). Këta çelësa do t'i lëshohen pikës së hyrjes në përgjigje të kërkesës për t'u prezantuar.
E gjithë procedura përfshin 4 hapa:
1. Përgatitja e "ruajtjes së kredencialeve":
Përpara se të shtoni ndonjë çelës sekret në pajisje, duhet të përgatisni një hapësirë ruajtëse për ta, ku çelësat do të ruhen në formë të koduar. Kriptimi do të bazohet në një fjalëkalim, i cili futet vetëm kur krijoni hapësirën ruajtëse. Për të përdorur çelësin sekret, nuk keni nevojë të vendosni një fjalëkalim - vetëm për ta eksportuar atë (gjë që, për më tepër, nuk mund të bëhet përmes ndërfaqes së zakonshme të Android). Prandaj, ne do ta mbajmë këtë fjalëkalim për vete dhe nuk do t'ia japim përdoruesit. Përfshihet e qeshura e keqe.
[Përditëso: mjerisht, nuk do të funksionojë. Kur fikni pajisjen, fjalëkalimi humbet dhe do t'ju duhet ta futni përsëri për të përdorur çelësat. Kjo ka anët e mira dhe të këqija:
* Nuk do të jetë e mundur të mbash sekret fjalëkalimin nga përdoruesi - përndryshe do t'ju duhet ta futni atë sa herë që e aktivizoni.
* Kjo do të thotë që teorikisht përdoruesi mund të kopjojë çelësin sekret nga pajisja - gjë që është e keqe nga pikëpamja e administratorit. Por, me sa kuptoj unë, ai ka nevojë për qasje në rrënjë për këtë. Fitimi i një aksesi të tillë është i mundimshëm, por jo i pamundur.
* anën e mirë Problemi është se vetë fjalëkalimi nuk ruhet në memorien flash - dhe çelësat kripto që ruhen janë të koduar me këtë fjalëkalim duke përdorur AES.
* Epo, përveç kësaj, nëse fjalëkalimi nuk është futur ende kur e ndizni, atëherë kjo siguron mbrojtje nga dikush tjetër që do të përpiqet të përdorë çelësin pa e ditur fjalëkalimin.
]
Fjalëkalimi mund të ndryshohet më vonë - por vetëm nëse e dini atë aktual. Ju gjithashtu mund të rivendosni të gjithë hapësirën ruajtëse - në këtë rast fjalëkalimi do të zhduket dhe përdoruesi do të mund të vendosë të tijin, por me të edhe çelësi sekret do të humbet në mënyrë të pakthyeshme, ashtu si sekreti i mjaltit të shqopës.
Procesi aktual: Cilësimet --> Vendndodhja dhe siguria --> Vendosni fjalëkalimin. Fusni fjalëkalimin dy herë. Pas së cilës kutia e kontrollit "Përdor kredencialet e sigurta" do të aktivizohet automatikisht.
Për të ndryshuar fjalëkalimin: "Vendos fjalëkalimin" përsëri.
Për të rivendosur gjithçka në zero: "Pastro hapësirën" në të njëjtin vend.
2. Importimi i një certifikate rrënjë:
Ju duhet të ngarkoni një skedar në pajisjen tuaj me një shtesë .crt (.cer nuk pranohet) dhe në formatin PEM, i njohur gjithashtu si Base-64. Ju mund ta bëni këtë përmes USB, ose përmes Bluetooth. Skedari duhet të kopjohet në drejtorinë /sdcard - ajo që është e dukshme si rrënjë kur lidhni pajisjen përmes USB ose kur shikoni skedarët përmes "Skedarët e mi".
Pastaj: Cilësimet --> Vendndodhja dhe siguria -->(edhe pse në këtë rast certifikata nuk është e koduar). Certifikata do të shtohet në listën e të besuarve dhe skedari në /sdcard do të fshihet.
Një mënyrë më e përshtatshme: publikoni certifikatën në një faqe interneti dhe thjesht hapni URL-në e saj në shfletuesin tuaj vendas Android (për besueshmëri më të madhe, përdorni një shërbim të njohur në internet nëpërmjet https ose një sajti thjesht të brendshëm). Ai do të pyesë menjëherë nëse do të shtohet certifikata në listën e atyre të besuarve apo jo. Për të mos shtypur manualisht URL-në, mund të gjeneroni një kod QR me të dhe më pas thjesht ta skanoni.
3. Importimi i një certifikate përdoruesi me një çelës privat:
Një skedar me një çelës sekret në formatin PKCS#12 dhe me një shtesë .p12 vendoset në /sdcard (.pfx, përsëri, shpërfillet). Ka shumë mënyra për të krijuar një skedar të tillë - nuk do t'i rendis, por do të vërej se patjetër që ia vlen të vendosni një fjalëkalim një herë për të, një çelës kriptimi.
Pastaj perseri, Cilësimet --> Vendndodhja dhe siguria --> Instaloni certifikatat e koduara. Këtë herë do t'ju kërkohet një fjalëkalim. Ky nuk është ai që u specifikua gjatë krijimit të ruajtjes, por ai që nevojitet për të deshifruar çelësin nga skedari. Pas futjes së fjalëkalimit, çelësi do të deshifrohet dhe ruhet përsëri, i koduar - këtë herë, me fjalëkalimin e kasafortës. Skedari do të fshihet nga /sdcard, gjë që na përshtatet në mënyrë të përkryer.
Ju gjithashtu mund të lëshoni një skedar .p12 nëpërmjet një URL, por unë nuk do ta bëja - ndryshe nga certifikatat, zvarritja e çelësit, edhe nëse është e koduar, duhet të shmanget.
4. Lidhja me vetë rrjetin:
Pasi të jetë vendosur çelësi, mbetet vetëm cilësimet e rrjetit WiFi. Nuk ka asgjë sekrete në këtë fazë, ju mund t'ua lini atë përdoruesve duke dërguar udhëzime.
Kështu që: Cilësimet --> Wireless dhe rrjet --> Cilësimet e Wi-Fi. Gjeni rrjetin në listë ose, nëse SSID është i fshehur, klikoni në "Shto rrjetin Wi-Fi".
Pastaj:
Në pajisjet më të avancuara, mund të specifikoni gjithashtu cilësimet e përfaqësuesit për çdo rrjet, gjë që është shumë e përshtatshme.
Të gjitha. Pas kësaj, përdoruesi do të duhet vetëm të klikojë në emrin e rrjetit dhe të lidhet. Nëse, për shkak të pamendimit, ai klikon disi në "Harroj rrjetin" dhe fshin cilësimet, për ta rivendosur atë, thjesht duhet të kaloni përsëri hapin 4 - procedura nuk është sekrete, përdoruesi mund ta bëjë vetë.
Shënime:
Në thelb, ekziston gjithashtu një opsion PEAP. Protokolli PEAP-EAP-TLS konsiderohet pak më i sigurt - për shembull, certifikata e përdoruesit dërgohet në formë të koduar mbi një tunel të krijuar TLS. Sidoqoftë, përpjekjet e mia për ta bërë Android të funksionojë në këtë modalitet dështuan. Unë dyshoj se çështja është se fusha "Vërtetimi i fazës 2" nuk përmban një opsion për përdorimin e një certifikate përdoruesi - kështu që duhet të pajtoheni me EAP-TLS, i cili nuk ka nevojë për asnjë fazë 2. Por ndryshimi është minimal dhe i parëndësishëm.
Nuk e kam idenë pse është e nevojshme. Në parim, përdoruesi duhet të identifikohet nga fusha CN në certifikatë.
- Tutorial
Nga pikëpamja praktike, do të ishte i përshtatshëm për të menaxhuar rrjetet Wi-Fi duke lëshuar një fjalëkalim për çdo përdorues. Kjo e bën më të lehtë qasjen në rrjetin tuaj pa tel. Duke përdorur të ashtuquajturin autorizim WPA2 PSK, për të parandaluar aksesin tek një përdorues i rastësishëm, duhet të ndryshoni çelësin dhe gjithashtu të kaloni përsëri procesin e autorizimit për secilin individ. Pajisja Wi-Fi. Përveç kësaj, nëse keni disa pika aksesi, çelësi duhet të ndryshohet në të gjitha. Dhe nëse keni nevojë të fshehni fjalëkalimin nga dikush, do t'ju duhet t'u jepni të gjithë punonjësve një të ri.
Le të imagjinojmë një situatë - dikush tjetër (klient, palë?) hyn në zyrën tuaj, dhe ju duhet t'i jepni atij akses në internet. Në vend që t'i jepni një çelës WPA2, mund të krijoni një llogari të veçantë për të, e cila më pas mund të fshihet dhe bllokohet pasi ai të largohet. Kjo do t'ju japë fleksibilitet në menaxhimin e llogarisë dhe përdoruesit tuaj do të jenë shumë të lumtur.
Ne do të bëjmë një diagram të përshtatshëm të përdorur në rrjetet e korporatave, por tërësisht nga mjete të improvizuara me investime minimale financiare dhe harduerike. Ai do të miratohet nga shërbimi i sigurisë dhe menaxhmenti.
Pak teori
Njëherë e një kohë, inxhinierët IEEE dolën me standardin 802.1x. Ky standard është përgjegjës për aftësinë për të autorizuar një përdorues menjëherë kur lidhet me një medium të transmetimit të të dhënave. Me fjalë të tjera, nëse për një lidhje, për shembull, PPPoE, lidheni me një medium (switch) dhe tashmë mund të transferoni të dhëna, nevojitet autorizimi për të hyrë në internet. Me 802.1x, nuk do të mund të bësh asgjë derisa të identifikohesh. Vetë pajisja fundore nuk do t'ju lejojë. Situata është e ngjashme me pikat e hyrjes Wi-Fi. Vendimi për t'ju pranuar merret në një server të jashtëm autorizimi. Kjo mund të jetë RADIUS, TACACS, TACACS+, etj.Terminologjia
Në përgjithësi, autorizimi i përdoruesit në një pikë mund të jetë i llojeve të mëposhtme:- E hapur - e disponueshme për të gjithë
- WEP është enkriptimi i vjetër. Të gjithë tashmë janë të bindur se nuk duhet të përdoret fare.
- WPA - Përdor TKIP si protokoll kriptimi
- WPA2 - Përdoret enkriptimi AES
Tani le të shohim opsionet se si vetë pika e hyrjes zbulon nëse është e mundur t'i sigurojë përdoruesit akses në rrjet apo jo:
- WPA-PSK, WPA2-PSK - çelësi i aksesit ndodhet në vetë pikën.
- WPA-EAP, WPA2-EAP - çelësi i hyrjes kontrollohet në një bazë të dhënash të largët në një server të palës së tretë
Ka edhe mjaft nje numer i madh i metodat e lidhjes së pajisjes fundore me serverin e autorizimit (PEAP, TLS, TTLS...). Nuk do t'i përshkruaj këtu.
Diagrami i përgjithshëm i rrjetit
Për një kuptim më të qartë, ne paraqesim skema e përgjithshme të skemës sonë të ardhshme:Me fjalë, kur lidhet me një pikë Wi-Fi, klientit i kërkohet të fusë një hyrje dhe fjalëkalim. Pasi të keni marrë hyrjen tuaj dhe Fjalëkalimi Wi-Fi pika i transmeton këto të dhëna te serveri RADIUS, të cilit serveri i përgjigjet se çfarë mund të bëhet me këtë klient. Në varësi të përgjigjes, pika vendos nëse do t'i japë akses, do të ulë shpejtësinë ose diçka tjetër.
Serveri ynë me freeradius të instaluar do të jetë përgjegjës për autorizimin e përdoruesit. Freeradius është një implementim i protokollit RADIUS, i cili nga ana tjetër është një zbatim i protokollit gjenerik AAA. AAA është një grup mjetesh për të bërë sa vijon:
Autentifikimi - kontrollon vlefshmërinë e hyrjes dhe fjalëkalimit.
Autorizim - kontrollon për leje për të kryer veprime të caktuara.
Kontabiliteti - merr parasysh veprimet tuaja në sistem.
Protokolli në vetvete transmeton emrin e përdoruesit, një listë të atributeve dhe vlerat e tyre për të. Kjo është, për shembull, atributi Auth-Type:= Refuzo - refuzo këtë klient, dhe Client-Password == "fjalëkalim" - krahaso atributin në kërkesë me vlerën e fjalëkalimit.
Në përgjithësi, baza e të dhënave të llogarive dhe të drejtave për to nuk duhet të ruhet në një server RADIUS, dhe baza e të dhënave mund të jetë çdo gjë - përdoruesit e niks, përdoruesit Domeni i Windows... po, të paktën një skedar teksti. Por në rastin tonë gjithçka do të jetë në një vend.
Konfigurimi bazë
Në këtë artikull, ne do të jemi të interesuar kryesisht për metodën e vërtetimit WPA2-EAP/TLS.Pothuajse të gjitha pikat moderne të aksesit Wi-Fi që kushtojnë më shumë se 3 mijë rubla mbështesin teknologjinë që na nevojitet. Pajisjet e klientit e mbështesin këtë edhe më shumë.
Në këtë artikull do të përdor harduerin dhe softuerin e mëposhtëm:
- Ubiquiti NanoStation M2 Access Point
- Serveri Gentoo dhe Freeradius
- Pajisjet e klientit me softuer të instaluar Windows 7, Android, iOS
Vendosja e një pike aksesi
Gjëja kryesore është që pika mbështet metodën e kërkuar të vërtetimit. Mund të quhet ndryshe në pajisje të ndryshme: WPA-EAP, WPA2 Enterprise, etj. Në çdo rast, zgjidhni vërtetimin, vendosni adresën IP dhe portin e serverit RADIUS dhe çelësin që kemi futur në clients.conf kur konfigurojmë Freeradius.Unë do të jap një fotografi nga pika e konfiguruar Ubiquiti. Artikujt që duhet të ndryshohen shënohen me një shenjë.
Serveri RADIUS
Le të shkojmë te kompjuteri ynë Linux dhe të instalojmë një server RADIUS. Mora freeradius dhe e instalova në gentoo. Për habinë time, nuk ka materiale në RuNet në lidhje me vendosjen e Freeradius 2 për qëllimet tona. Të gjithë artikujt janë mjaft të vjetër dhe i referohen versioneve më të vjetra të këtij softueri.root@localhost ~ # emerge -v freeradius
Kjo është ajo :) Serveri RADIUS mund të funksionojë tashmë :) Mund ta kontrolloni si kjo:
Ky është modaliteti i korrigjimit. I gjithë informacioni hidhet në tastierë. Le të fillojmë ta konfigurojmë.
Si zakonisht në Linux, konfigurimi bëhet përmes skedarëve të konfigurimit. Skedarët e konfigurimit ruhen në /etc/raddb. Le ta bejme veprimet përgatitore- kopjoni konfigurimet origjinale, pastroni konfigurimin nga çdo mbeturinë.
root@localhost ~ # cp -r /etc/raddb /etc/raddb.olg root@localhost ~ # gjeni /etc/raddb -lloj skedarin f -exec () \; | grep "tekst" | prerë -d":" -f1 | xargs sed -i "/^ *\t* *#/d;/^$/d"
Më pas, le të shtojmë një klient - një pikë aksesi. Shtoni në skedarin /etc/raddb/clients rreshtat e mëposhtëm:
root@localhost ~ # cat /etc/raddb/clients.conf | sed "/klient test-wifi/,/)/!d" test-wifi i klientit ( ipaddr = 192.168.0.1 # adresa IP e pikës që do të hyjë në rreze sekrete = çelësi_sekret #Çelësi sekret. E njëjta gjë do të duhet të instalohet në pikën Wi-Fi kërkohet_message_authenticator = jo #Është më mirë në këtë mënyrë, nuk mund ta bëja ndryshe me disa D-Link)
Më pas, shtoni një domen për përdoruesit. Le ta bëjmë atë të paracaktuar.
root@localhost ~ # cat /etc/raddb/proxy.conf | sed "/realm DEFAULT/, /^)/!d" sfera DEFAULT ( lloji = rreze authhost = LOCAL acchost = LOCAL )
Domenet në RADIUS
Duhet të theksohet këtu se ju mund t'i ndani përdoruesit sipas domenit. Gjegjësisht, domeni mund të specifikohet në formatin e emrit të përdoruesit (për shembull, user@radius). DEFAULT nënkupton çdo domen të papërcaktuar. NULL - nuk ka domen. Në varësi të domenit (mund të thoni prefiksin në emrin e përdoruesit), mundeni veprime të ndryshme, si t'i japim të drejtën e vërtetimit një hosti tjetër, nëse do të ndahet emri nga domeni gjatë verifikimit të hyrjes, etj.
Dhe së fundi, shtoni përdoruesit në skedarin /etc/raddb/users:
root@localhost ~ # cat /etc/raddb/users | sed "10,$!d" user1 Cleartext-Password:= "password1" user2 Cleartext-Password:= "password2" user3 Cleartext-Password:= "password3"
Wow, ne mund të fillojmë!
root@localhost ~ # radiusd -fX
Serveri ynë po funksionon dhe pret për lidhje!
Vendosja e klientëve
Le të kalojmë mbi konfigurimin bazë pajisjet e përdoruesit. Punonjësit tanë kanë klientë që përdorin Android, iOS dhe Windows 7. Le të bëjmë një rezervim menjëherë: duke qenë se përdorim certifikata të krijuara vetë, duhet të bëjmë disa herë përjashtime të ndryshme dhe të konfirmojmë veprimet. Nëse do të kishim përdorur certifikatat e blera, ndoshta gjithçka do të ishte më e thjeshtë.Gjërat janë më të lehta për të gjithë në pajisjet iOS. Futni emrin e përdoruesit dhe fjalëkalimin, klikoni "Prano certifikatën" dhe vazhdoni.
Pamja e ekranit nga IOS
Duket pak më e ndërlikuar, por në praktikë gjithçka është gjithashtu e thjeshtë në Android. Ka disa fusha të tjera të hyrjes.
Pamja e ekranit nga Android
Epo, në Windows 7 do të duhet ta konfiguroni pak. Le të ndërmarrim hapat e mëposhtëm:
Le të shkojmë në qendrën e lidhjes me valë.
- Vendosni parametrat e nevojshëm në vetitë e lidhjes tuaj me valë
- Vendosni parametrat e nevojshëm në cilësimet e avancuara të EAP
- Vendosni parametrat e nevojshëm në cilësimet e avancuara Parametrat shtesë
- Lidhuni me rrjetin Wi-Fi në shiritin e detyrave dhe futni fjalëkalimin tuaj të hyrjes, shijoni aksesin në Wi-Fi
Pamjet e ekranit të Windows
Hapi 1 
Hapi 2 
Hapi 3 
Hapi 4 
Hapi 5 
Mini-faturimi vetanak
Tani ka mbetur vetëm një problem - nëse dëshironi të shtoni ose hiqni një përdorues të ri, do t'ju duhet të ndryshoni përdoruesit dhe të rinisni rrezen. Për të shmangur këtë, le të lidhim bazën e të dhënave dhe të bëjmë mini-faturimin tonë për përdoruesit. Duke përdorur një bazë të dhënash, gjithmonë mund të shkruani një skript të thjeshtë për të shtuar, bllokuar ose ndryshuar një fjalëkalim të përdoruesit. Dhe e gjithë kjo do të ndodhë pa ndalur të gjithë sistemin.Për veten time, kam përdorur Postgres, por ju mund të zgjidhni sipas gjykimit tuaj. Unë jam duke ofruar konfigurimin bazë të Postgres pa hyrë në të drejtat e ndryshme të aksesit, fjalëkalimet dhe truket dhe lehtësitë e tjera.
Së pari, le të krijojmë vetë bazën e të dhënave:
Root@localhost ~ # psql -U postgres radius_wifi=> krijoni user radius_wifi me fjalëkalim 1111; radius_wifi=> krijoni bazën e të dhënave radius_wifi me pronar=radius_wifi; radius_wifi=>\q
Më pas ju duhet të krijoni tabelat e nevojshme. Në përgjithësi, Freeradius vjen me dokumentacion mbi skemat e tabelave për baza të ndryshme të dhënat, edhe pse në shpërndarje të ndryshme ato ndodhen në vende të ndryshme. Unë personalisht e kam këtë në /etc/raddb/sql/postgresql/schema.sql. Thjesht ngjitni këto rreshta në psql, ose thjesht ekzekutoni
Root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | psql -U radius_wifi radius_wifi
Për çdo rast, unë do të shtoj një skemë për Postgres këtu:
Skema për Postgres
root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | sed "/^--/d;/\/\*/d;/\*/d;/^$/d;" Krijo tabelën Radacct (Çelësi kryesor Radacctid Bigserial, Varchar Accationid (64) Jo Null, Accentunique Varchar (32) NOT NULL UNIKE, Emri i përdoruesit VARCHAR (253), Emri i grupit (253), REALM VARCHAR (64), NASIPADDRESS Inet NOT NOTULID (15), NASPortType VARCHAR(32), AcctStartTime TIMESTAMP me zonën kohore, AcctStopTime TIMESTAMP, AcctSessionTime BIGINT, AcctAuthentic VARCHAR(32), ConnectInfo_start BARCHAR(50), ConnectInfo_stopInOctets(50,ConnectInfoInfo, VARCHAR) IGINT, CalledStationId VARCHAR(50), CallingStationId VARCHAR(50), AcctTerminateCause VARCHAR(32), Lloji i Shërbimit VARCHAR(32), XAscendSessionSvrKey VARCHAR(10), FramedProtokolli VARCHAR(32), FramedIPAdresa INETtopSlay,Acjanë e adresës së kornizës INETtopSlay,INTEGNT, INETtopSlay, KRIJO INDEKS radacct_active_user_idx ON radacct (Emri i përdoruesit, adresa NASIPA, AcctSessionId) KU AcctStopTime ËSHTË NULL; KRIJO INDEKS radacct_start_user_idx ON radacct(AcctStartTime, Emri i përdoruesit); CREATE TABLE radcheck (id ÇELËSI PRIMAR SERIALE, Emri i përdoruesit VARCHAR(64) NOT NULL DEFAULT "", Atributi VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "==", Vlera NULL DEFAULT NULL DEFAULT ""); krijoni indeksin radcheck_UserName në radcheck(Emri i përdoruesit,Atributi); KRIJO TABELARE radgroupkontroll (id ÇELËSI PRIMAR SERIALE, Emri i Grupit VARCHAR(64) NOT NULL DEFAULT "", atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "=CH=", Vlera V. NULL DEFAULT ""); krijoni indeksin radgroupcheck_GroupName në radgroupcheck(GroupName,Atribute); KRIJO TABELE radgroupreply (id ÇELËSI KRYESOR SERIALE, Emri i grupit VARCHAR(64) NOT NULL DEFAULT "", atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "=", NVLERË VLERA PARALAKTUAR ""); krijoni indeksin radgroupreply_GroupName në radgroupreply(GroupName,Atribute); KRIJO TABELA radreply (id ÇELËSI KRYESOR SERIALE, Emri i përdoruesit VARCHAR(64) NOT NULL DEFAULT "", Atributi VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "=", Vlera NULL DEFAULT "=", Vlera NULL) PARALAKTUAR ""); krijoni indeksin radreply_UserName në radreply(Emri i përdoruesit,Atributi); CREATE TABLE radusergroup (Emri i përdoruesit VARCHAR(64) NOT NULL DEFAULT "", Emri i grupit VARCHAR (64) NOT NULL DEFAULT "", prioritet INTEGER JO NULL DEFAULT 0); krijoni indeksin radusergroup_UserName në radusergroup(UserName); KRIJO TABELE radpostauth (id BIGSERIAL PRIMARY KEY, emri i përdoruesit VARCHAR(253) NOT NULL, kaloje VARCHAR(128), përgjigju VARCHAR(32), CalledStationId VARCHAR(50), CallingStationId VARCHARN(50, zona e parazgjedhur kohoreSTAMP) tani ()");
E shkëlqyeshme, baza është e përgatitur. Tani le të konfigurojmë Freeradius.
Nëse nuk është aty, shtoni rreshtin në /etc/raddb/radiusd.conf
$PERFSHIJ sql.conf
Tani modifikoni /etc/raddb/sql.conf për t'iu përshtatur realitetit tuaj. Për mua duket kështu:
Sql.conf im
root@localhost ~ # cat /etc/raddb/sql.conf sql ( database = "postgresql" driver = "rlm_sql_$(baza e të dhënave)" server = "localhost" login = "radius_wifi" fjalëkalimi = "1111" radius_dbwi = "radius" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_tableupreseserly s = po sqltrace = jo sqltracefile = $( logdir)/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 jetëgjatësi = 0 max_queries = 0 nas_table = "nas" $INCLUDE sql/$(baza e të dhënave)/dialup.conf )
Le të shtojmë disa përdorues të rinj test1, test2, test3 dhe... bllok test3
Root@localhost ~ # psql -U postgres radius_wifi=> fut në vlerat e radcheck (emri i përdoruesit, atributi, op, vlera) ("test1", "Cleartext-Password", ":=", "1111"); radius_wifi=> futni në radcheck (emri i përdoruesit, atributi, op, vlera) vlerat ("test2", "Cleartext-Password", ":=", "1111"); radius_wifi=> futni në radcheck (emri i përdoruesit, atributi, op, vlera) vlerat ("test3", "Cleartext-Password", ":=", "1111"); radius_wifi=> fut në radcheck (emri i përdoruesit, atributi, op, vlera) vlerat ("test3", "Auth-Type", ":=", "Refuzo");
Epo, ne rifillojmë freeradius dhe përpiqemi të lidhemi. Gjithçka duhet të funksionojë!
Natyrisht, faturimi doli të ishte i gabuar - ne nuk i ruajmë askund informacionet e kontabilitetit (kontabiliteti për veprimet e përdoruesit), por as këtu nuk na nevojitet. Për të mbajtur një llogari, ju nevojiten gjithashtu pika Wi-Fi që janë më të shtrenjta se 3 mijë rubla. Por tashmë ne mund të menaxhojmë lehtësisht përdoruesit.
rreze Shto etiketa
