Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Метод eap wifi подключить

Обновлено: 24.01.2025

Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные (на сегодняшний момент, конечно же) методы защиты этих сетей. Разумеется, речь идет о технологии WPA (Wi-Fi Protected Access).

Большинство существующего на данный момент Wi-Fi оборудования имеет поддержку данной технологии, но, к сожалению, до сих пор в нашей лаборатории попадаются экземпляры, не знающие о WPA. Это более чем странно — заканчивается 2005 год, а некоторые производители до сих пор считают, что технология WEP спасет пользователей беспроводной сети от утечки информации. WEP уже давно устарела. На смену этой технологии пришел WPA, а также на горизонте виднеется новый стандарт 802.11i (некоторые производители преподносят его, как WPA2).

  • протокол 802.1x — универсальный протокол для аутентификации, авторизации и учета (AAA)
  • протокол EAP — расширяемый протокол аутентификации (Extensible Authentication Protocol)
  • протокол TKIP — протокол временнОй целостности ключей, другой вариант перевода — протокол целостности ключей во времени (Temporal Key Integrity Protocol)
  • MIC — криптографическая проверка целостности пакетов (Message Integrity Code)
  • протокол RADIUS

За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования — RC4 — что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.

Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа — так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.

В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. А перед этим рассмотрим технологию WPA2.

Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.

Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» — то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

  • EAP-SIM, EAP-AKA — используются в сетях GSM мобильной связи
  • LEAP — пропреоретарный метод от Cisco systems
  • EAP-MD5 — простейший метод, аналогичный CHAP (не стойкий)
  • EAP-MSCHAP V2 — метод аутентификации на основе логина/пароля пользователя в MS-сетях
  • EAP-TLS — аутентификация на основе цифровых сертификатов
  • EAP-SecureID — метод на основе однократных паролей



рис.1, структура EAP-кадра

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

  • Supplicant — софт, запущенный на клиентской машине, пытающейся подключиться к сети
  • Authenticator — узел доступа, аутентификатор (беспроводная точка доступа или проводной коммутатор с поддержкой протокола 802.1x)
  • Authentication Server — сервер аутентификации (обычно это RADIUS-сервер)

Описанный процесс проиллюстрирован на рис.3 (там показан один из простейших методов EAP):



рис.3, процесс аутентификации

Как видно из рисунка, для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.

Детальное рассмотрение алгоритмов шифрования, а также методы генерации сессионных ключей шифрования, пожалуй, выходят за рамки данного материала, поэтому рассмотрю их лишь вкратце.

Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) — на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.

Теперь перейдем от сухой теории к реальности, а именно реализации WPA в Windows XP. Нормальная поддержка WPA (с поддержкой AES) появилась, только начиная с windows service pack 2.

  • MD5-Challenge — самый примитивный и слабый, рассматривать не будем;
  • PEAP (Protected EAP) позволяет производить аутентификацию на основе сертификатов или логина/пароля. Он нам интересен в первую очередь возможностью аутентификации пользователя, используя логин/пароль. При этом нам не требуется настраивать инфраструктуру открытых ключей (PKI). Достаточно подключить RADIUS-сервер к какой-либо базе (обычный файл, mysql, ldap) с хранящимися пользователями и производить аутентификацию пользователей по ней.
  • Smart Card or Other Certificate — обычный EAP-TLS. Требует настроенной PKI, использует сертификаты для аутентификации клиентов. Более гибок (разумеется, после настройки PKI), чем аутентификация по логину/паролю. А также является единственным способом получить работающую связку беспроводных пользователей, работающих в Windows-домене.

Во второй части статьи будет рассмотрена настройка Windows-клиентов (Windows XP SP2), RADIUS-сервера (FreeRadius), и PKI на основе OpenSSL. Последние два компонента работают в операционной системе Gentoo Linux.

С практической точки зрения было бы удобно управлять Wi-Fi сетями, выдавая пароль каждому пользователю. Это облегчает задачу с доступом к вашей беспроводной сети. Используя так называемую WPA2 PSK авторизацию, чтобы предотвратить доступ случайному пользователю, нужно менять ключ, а также заново проходить процесс авторизации на каждом отдельном Wi-Fi устройстве. Кроме того, если вы имеете несколько точек доступа, ключ нужно менять на всех из них. А если Вам надо скрыть пароль от кого-нибудь, придется раздать всем сотрудникам новый.

Представим ситуацию — к вам в офис зашел кто-то посторонний (клиент, контрагент?), и нужно дать ему доступ в интернет. Вместо того, чтобы давать ему WPA2 — ключ, можно сделать для него отдельный аккаунт, который потом, после его ухода, можно удалить заблокировать. Это даст вам гибкость в управлении учетками, а пользователи будут очень довольны.

Мы сделаем удобную схему, применяемую в корпоративных сетях, но полностью из подручных средств с минимальными финансовыми и аппаратными вложениями. Ее одобрит служба безопасности и руководство.

Когда-то давно инженерами IEEE был придуман стандарт 802.1x. Этот стандарт отвечает за возможность авторизации пользователя сразу при подключении к среде передачи данных. Иными словами, если для соединения, например, PPPoE, вы подключаетесь к среде(коммутатору), и уже можете осуществлять передачу данных, авторизация нужна для выхода в интернет. В случае же 802.1x вы не сможете делать ничего, пока не авторизуетесь. Само конечное устройство вас не допустит. Аналогичная ситуация с Wi-Fi точками доступа. Решение же о допуске вас принимается на внешнем сервере авторизации. Это может быть RADIUS, TACACS, TACACS+ и т.д.

Терминология

  • Open — доступна всем
  • WEP — старое шифрование. Уже у всех плешь проедена о том, что его ненадо использовать вообще
  • WPA — Используется TKIP в качестве протокола шифрования
  • WPA2 — Используется шифрование AES
  • WPA-PSK, WPA2-PSK — ключ к доступу находится в самой точке.
  • WPA-EAP, WPA2-EAP — ключ к доступу сверяется с некоторой удаленной базой данных на стороннем сервере

Также существует довольно большое количество способов соедининея конечного устройства к серверу авторизации (PEAP, TLS, TTLS. ). Я не буду их здесь описывать.

Общая схема сети


Для наглядного понимания приведем общую схему работы нашей будущей схемы:

Если словами, то клиенту, при подключении к Wi-Fi — точке предлагается ввести логин и пароль. Получив логин и пароль Wi-Fi точка передает эти данные RADIUS-серверу, на что сервер отвечает, что можно делать с этим клиентом. В зависимости от ответа, точка решает, дать ему доступ, урезать скорость или что-то еще.
За авторизацию пользователей будет отвечать наш сервер с установленным freeradius. Freeradius является реализацией протокола RADIUS, который в свою очередь является реализацией общего протокола AAA. AAA — это набор средств для осуществления следующих действий:
Authentication — проверяет допустимость логина и пароля.
Authorization — проверяет наличие прав на выполнение некоторых действий.
Accounting — учитывает ваши дейсвия в системе.
Сам протокол передает имя пользователя, список атрибутов и их значений для него. То есть, например, атрибут Auth-Type := Reject — отклонить этого клиента, а Client-Password == «password» — сравнить атрибут в запросе со значением password.
Вообще говоря, база аккаунтов и прав для них не обязательно должна храниться на RADIUS-сервере, да и базой может быть что угодно — никсовые пользователи, пользователи домена Windows… да хоть текстовый файлик. Но в нашем случае все будет в одном месте.

  • Точка доступа Ubiquiti NanoStation M2
  • Сервер Gentoo и Freeradius
  • Клиентское оборудование с установленным програмным обеспечением Windows 7, Android, iOS

Настройка точки доступа

image

Главное, чтоб точка поддерживала нужный способ аутентификации. Оно может называться по разному в разных устройствах: WPA-EAP, WPA2 Enterprise и т.д. Во всяком случае выбираем аутентификацию, устанавливаем IP-адрес и порт RADIUS-сервера и ключ, который мы вводили в clients.conf при настройке Freeradius.
Приведу картинку с настроенной точки Ubiquiti. Помечено галкой то, что нужно менять.

RADIUS-сервер

Зайдем на наш компьютер с Linux и установим RADIUS-сервер. Я брал freeradius, и ставил я его на gentoo. К моему удивлению, в рунете нет материалов, относящихся к настройке Freeradius 2 для наших целей. Все статьи довольно стары, относятся к старым версиям этого програмного обеспечения.

Все:) RADIUS-сервер уже может работать:) Вы можете проверить это так:

Это debug-mode. Вся информация вываливается на консоль. Приступем к его настройке.
Как это водится в Linux, настройка выполняется через конфигурационные файлы. Конфигурационные файлы хранятся в /etc/raddb. Сделаем подготовительные действия — скопируем исходные конфиги, почистим конфигурация от всякого мусора.

Далее добавим клиента — точку доступа. Добавляем в файлик /etc/raddb/clients следующие строки:

Далее добавляем домен для пользователей. Сделаем дефолтовый.

Здесь надо заметить, что можно делить пользователей по доменам. А именно, в формате имени пользователя может указываться домен(например user@radius). DEFAULT означает любой неопределенный домен. NULL — без домена. В зависимости от домена(можно сказать префикса в имени пользователя) можно осуществлять различные действия, как то отдать право аутентифицировать другому хосту, отделять ли имя от домена во время проверки логина и т.д.

И, наконец, добавляем пользователей в файл /etc/raddb/users:

Ух, можно стартовать!

Наш сервер запущен и ждет подключений!

Настройка клиентов

Пробежимся по настройке основных пользовательских устройств. У наших сотрудников есть клиенты, работающие на Android, iOS и Windows 7. Оговоримся сразу: так как мы используем самосозданные сертификаты, то нам нужно несколько раз вносить всевозможные исключения и подтверждать действия. Если бы мы пользовали купленные сертификаты, возможно, все было бы проще.

Всех проще дело обстоит на iOS-устройствах. Вводим логин и пароль, нажимаем «Принять сертификат», и вперед.

image

Чуть сложнее выглядит, но на практике все тоже просто на Android. Там немного больше полей для ввода.

image

  1. Устанавливаем необходимые параметры в свойствах Вашего беспроводного подключения
  2. Устанавливаем необходимые параметры в расширенных настройках EAP
  3. Устанавливаем необходимые параметры в расширенных настройках Дополнительных параметрах
  4. Подключаемся в панели задач к Wi-Fi сети и вводим логин-пароль, наслаждаемся доступом к Wi-Fi

Далее представлю скриншоты диалоговых окон специально для похожих на меня людей, у которых глаза разбегаются от диалоговых окон Windows.

Шаг 1

Шаг 2

Шаг 3

Шаг 4

Шаг 5

Теперь осталась одна проблема — если вы захотите добавить-удалить нового пользователя, то вам придется изменить users и перезапустить radius. Чтобы этого избежать подключим базу данных и сделать свой собственный мини-биллинг для пользователей. Используя БД, вы всегда сможете набросать простенький скрипт для добавления, блокировки, изменения пароля пользователя. И все это произойдет без останова всей системы.

Для себя я использовал Postgres, вы же можете выбрать по своему усмотрению. Я привожу базовую настройку Postgres, не углубляясь в различные права доступа, пароли и прочие хитрости и удобства.

Для начала создаем саму базу данных:

Далее надо создать нужные таблицы. Вообще с Freeradius идет документация по схемам таблиц для различных баз данных, правда в различных дистрибутивах находятся они в разных местах. У меня лично это лежит в /etc/raddb/sql/postgresql/schema.sql. Просто вставьте эти строки в psql, либо просто запустите

На всякий случай добавлю сюда схему для Postgres:

Отлично, база подготовлена. Теперь законфигурим Freeradius.
Добавьте, если ее там нет, в /etc/raddb/radiusd.conf строку

Теперь отредактируйте /etc/raddb/sql.conf под вашу реальность. У меня он выглядит так:

Добавим несколько новых пользователей test1, test2, test3, и… заблокируем test3

Ну, перезапускаем freeradius и пробуем подключиться. Должно все работать!

Конечно биллинг получился ущербный — у нас нигде не хранится информации по аккаунтингу(учету действий пользователя), но и нам здесь этого не надо. Чтобы вести аккаунтинг, необходимы еще и Wi-Fi точки подорооже, чем 3 тыс. рублей. Но уже и так мы с легкостью управлять пользователями.

В последнем разделе мы собрали собственный небольшой биллинг! Остается для полноты картины привернуть какой-нибудь WEB-интерфейс управления Базой Данных, добавить обязательное изменение пароля раз в месяц по крону. А если еще разориться сертификат и контроллер Wi-Fi точек доступа, то у вас в руках есть полноценная корпоративная беспроводная сеть. Но даже без этих затрат и при малых усилиях с Вашей стороны сделав своим пользователям такой доступ, они вам скажут огромное спасибо.

Решение на базе точек доступа серии EAP и EAP Software Controller, для средних и больших объектов.

Цель: Описать процедуру инсталляции EAP Software Controller, добавления в него Точек Доступа (ТД) и настройки наиболее распространённого функционала.

Весь функционал настраивался и проверялся с использованием оборудования: ТД EAP225, коммутатор TL-SG1008P, маршрутизатор TL-ER6020 и ПК под управлением Windows 7.1 32 bit с установленным EAP Software Controller.

1) Установка и первоначальная настройка EAP Software Controller.

1.1) Собираем сеть, схематически она должна выглядеть так:






1.3) Запускаем EAP Software Controller





После запуска контроллера, откроется WEB страница в браузере который у вас выбран «по умолчанию»


Внизу страницы нажимаем «Подробнее»


И жмем «Перейти на сайт 127.0.0.1 (не безопасно)», откроется первоначальная настройка контроллера.



Вписываем будущее имя беспроводной сети и пароль к ней.


И нажимаем «Next». Так же заполняем последующие поля и жмем «Next».





И попадаем на первую страницу контроллера



2) Добавление точки доступа в контроллер.
На странице контроллера переходим в меню Access Points подменю Pending, нажимаем кнопку Batch adopt.



В всплывающем окне авторизации вводим учетные данные ТД (по умолчанию логин: admin, пароль admin) и нажимаем apply.


Через несколько минут ТД появится в подменю Connected.


И изменит свой статус с Provisioning на Connected



3) Создание SSID.
3.1) Для создания SSID диапазона 2.4 Ггц заходим в меню Wireless settings




Жмем Add и прописываем необходимые параметры. После этого нажимаем Apply.


3.2) Для создания SSID диапазона 5 Ггц заходим в меню Wireless settings, выбираем кнопку 5 GHz жмем Add и прописываем необходимые параметры. После этого нажимаем Apply.



4) Настройка отдельного SSID со своим VLAN для группы служебных IP-адресов.
При создании SSID как указано в пункте 3, прописываем необходимый VLAN в поле Wireless VLAN ID.


5) Гостевой портал на EAP Software Controller.
5.1) Настройка ваучеров / разовых паролей / паролей непродолжительного действия.



Для настройки ваучера заходим в меню Wireless Control подпункт Portal. В поле autentification type выбираем hotspot.

Переходим по появившейся ниже ссылке hotspot manager.




На странице EAP Controller hotspot переходим в меню Voucher и нажимаем кнопку Create Voucher. Заполняем поля (время действия ваучера можно задать от минут до дней).


После нажатия кнопки Apply, сгенерируется ваучеры. Их так же можно распечатать нажав Print All Unused.


Переходим обратно в окно EAP Controller и внизу окна нажимаем кнопку Apply.

Для создания разового пароля в поле autentification type выбираем simple password, в поле autentification timeout выбираем значение необходимого времени действия пароля и внизу окна нажимаем кнопку Apply.


5.2)Настройка переадресации без аутентификации и автоматический disconnect через каждые 30 мин (в цикле).

Для настройки портала и переадресации заходим в меню Wireless Control подпункт Portal. В пункте autentification type выбираем No Autentification, в пункте autentification timeout устанавливаем время отключения клиента. В пункте redirect ставим галочку enable и в поле redirect url прописываем адрес необходимой веб-страницы. При необходимости можно изменить текст приветствия встроенного портала в соответствующих полях, а также загрузить картинку и фон. После настройки этих параметров нажимаем Apply.


6) Функция adopt для точек в других подсетях: настройка и добавление в Controller.
Чтоб добавить ТД из другой подсети в контроллер, первоначально необходимо задать ТД IP-адрес нахождения контроллера.

Заходим в программы, вкладка TP-Link и находим там ярлык EAP Discover, запускаем.



Подключаем ТД в одну локальную сеть с ПК на котором запущен EAP Discover.


Выбираем нужные нам ТД и нажимаем Batch Setting, в появившемся окне вводим IP-адрес контроллера а так же имя и пароль доступа к ТД.


Жмем Apply и ждем применения настроек.




Далее жмем Cancel. В окне EAP Discover можем увидеть что статус ТД изменился с Pending на Setting Succeed.



После данных действий эту ТД можно подключать к удаленной сети. После подключения, она появится в меню Pending контроллера. Далее добавляем ее как обычную ТД, описано в пункте 2 .





Примечание: Если в какой-то из удаленных сетей уже есть ТД добавленная в контроллер той же модели и у нее в настройках IP адреса установлено значение Динамический IP, можно сохранить ее конфигурацию в файл. Далее данный конфиг файл можно залить на новую добавляемую ТД той же модели, как локально, так и удаленно. Данным действием можно заменить процедуру добавления ТД через EAP Discover.

8) Создание расписания перезагрузки: все точки в 04:00 по воскресеньям.
Для автоматической перезагрузки ТД можно настроить расписание. Заходим в меню System, подпункт Reboot Schedule. Ставим галочку Enable и настраиваем расписание, после чего нажимаем Apply.


8) Настройка EAP110 Outdoor в качестве решения для открытых террас. Добавление EAP110 Outdoor в Controller.
Подключаем ТД в нашу локальную сеть через идущий в комплекте с ней блок питания совмещенный с PassivePoE. После загрузки ТД она появится в EAP Software Controller (меню Access Points, подменю Pending)


Дальнейшие действия описаны в пункте 2.1


10) Включение ограничения числа пользователей на одной точке. Включение автоматической балансировки.

Для включения ограничения числа пользователей на одну ТД в меню Access Points нажимаем Name/MAC Address интересующей нас ТД. В появившемся окне переходим в пункт Configuration и переходим в раздел Load Balance.





В пункте Max Associated Client устанавливаем флажок Enable и в поле чуть ниже вписываем количество клиентов (от 1 до 99) которое будет максимальным количеством клиентов для этой ТД.


Так же можно включить автоматическое отключение клиентов по уровню сигнала, который так же можно задать.


После настройки нажимаем Apply.

11) Удаленное (или локальное) обновление firmware на точках.
Скачиваем новую прошивку, разархивируем и «заливаем» на ПК с контроллером.
Заходим в меню System, подпункт Butch Upgrade. Выбираем в пункте EAP Model модель точек доступа, которую будем обновлять.


В пункте Upgrade File нажимаем Browse и ранее скаченный файл прошивки. После чего нажимаем кнопку Update.

В этой статье содержится пример конфигурации аутентификации EAP (протокол расширенной аутентификации) беспроводных пользователей в локальной базе данных сервера RADIUS на точке доступа, работающей под управлением Cisco IOS®.

Благодаря пассивной роли, которую играет точка доступа в EAP (она преобразует беспроводные пакеты клиентов в пакеты, передающиеся по проводам, и направляет их на сервер аутентификации, и наоборот), данная конфигурация используется практически со всеми методами EAP. Эти методы включают (но не ограничиваются) LEAP, защищенный EAP (PEAP)-MS-протокол взаимной аутентификации (CHAP) версии 2, PEAP-плата Generic Token (GTC), гибкая аутентификация EAP через безопасный туннель (FAST), EAP-протокол безопасности транспортного уровня (TLS) и EAP-Tunneled TLS (TTLS). Необходимо соответствующим образом настроить сервер аутентификации для каждого из методов EAP. Данная статья содержит только сведения по настройке точки доступа.

Требования

При проведении настройки могут понадобиться следующие знания:

  • Общее представление о Cisco IOS GUI или CLI.
  • Общее представление о концепции аутентификации EAP.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующего программного и аппаратного обеспечения:

  • Точка доступа Cisco Aironet, работающая под управлением Cisco IOS.
  • Виртуальная LAN (VLAN), предположим, что в сети она только одна.
  • RADIUS сервер аутентификации, успешно выполняющий интеграцию в базу данных пользователя.
    • Cisco LEAP и EAP-FAST поддерживают следующие серверы аутентификации:
      • Сервер контроля доступа (ACS) Cisco Secure
      • Регистратор доступа Cisco (CAR)
      • Funk Steel Belted RADIUS
      • Interlink Merit
      • Microsoft Internet Authentication Service (IAS)
      • Cisco Secure ACS
      • Funk Steel Belted RADIUS
      • Interlink Merit
      • Авторизацию могут выполнять любые другие серверы аутентификации Microsoft.
      • Необходимо проконсультироваться с производителем оборудования, установленного у клиента, чтобы уточнить при каких условиях сервера аутентификации, работающие по методам EAP-TLS, EAP-TTLS и другим EAP-методам, поддерживаются их продуктами.

      Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

      Настройка

      Данная конфигурация предполагает настройку EAP-аутентификации на точке доступа, работающей под управлением IOS.

      Как большинство алгоритмов аутентификации, основанных на применении пароля, Cisco LEAP чувствителен к словарным атакам. Речь не идет о новом виде атаки или новом уязвимом месте Cisco LEAP. Для того, чтобы смягчить словарные атаки, необходимо разработать политику стойкого пароля. Это включает в себя использование устойчивых паролей и периодическую их смену.

      Сетевой EAP или открытая аутентификация с EAP

      При любом методе аутентификации, основанном на EAP/802.1x, может возникнуть вопрос о том каковы различия между сетевым EAP и открытой аутентификацией с EAP. Это относится к значениям в поле Authentication Algorithm в заголовках пакетов управления и связывания. Большинство производителей беспроводных клиентских устройств устанавливают значение этого поля равным 0 (открытая аутентификация), а затем сообщают о желании проводить аутентификацию EAP позднее, во время процесса ассоциации. В продуктах Cisco это значение задается по-другому, а именно с начала ассоциации с флагом сетевого протокола EAP.

      Если в сети есть клиенты, которые являются:

      • Клиентами Cisco – необходимо использовать сетевой EAP.
      • Клиентами стороннего производителя (в том числе продукты, совместимые с CCX) – необходимо использовать открытую аутентификацию с EAP.
      • Сочетанием клиентских устройств Cisco и сторонних производителей – необходимо выбрать и сетевой EAP и открытую аутентификацию с EAP.

      Определение сервера аутентификации

      Первым шагом в настройке EAP является определение сервера аутентификации и установление связи с ним.

      1. Ввести IP адрес сервера аутентификации в поле Server.
      2. Указать общий секретный ключ и порты.
      3. Нажать Apply для того, чтобы создать определение и заполнить выпадающие списки.
      4. Задать IP адрес сервера в поле Default Server Priorities > EAP Authentication type > Priority 1.
      5. Нажать Apply.

      Enter configuration commands, one per line. End with CNTL/Z.

      2. Точка доступа должна быть настроена на сервере аутентификации как ААА клиент.

      Например, на сервере контроля доступа Cisco Secure это настраивается на странице Network Configuration, на которой определены имя точки доступа, IP адрес, общий секретный пароль и метод аутентификации (RADIUS Cisco Aironet или RADIUS Cisco IOS/PIX). Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, обратитесь к документации их производителя.

      Необходимо убедиться в том, что сервер аутентификации настроен на применение желаемого метода аутентификации EAP. Например, для сервера контроля доступа Cisco Secure, применяющего LEAP, необходимо настроить аутентификацию LEAP на странице System Configuration - Global Authentication Setup. Нажать System Configuration, затем нажать Global Authentication Setup. Для получения информации по серверам аутентификации, не принадлежащим к разряду серверов контроля доступа, или другим методам EAP обратитесь к документации их производителя.

      На следующем рисунке показана настройка ACS Cisco Secure на применение PEAP, EAP-FAST, EAP-TLS, LEAP и EAP-MD5.

      Определение методов аутентификации клиента

      Примечание: Эти инструкции предназначены для установки, основанной на WEP.

      Также можно выполнить из CLI следующие команды:

      Enter configuration commands, one per line. End with CNTL/Z.

      1. Выбрать желаемый SSID.
      2. В пункте "Authentication Methods Accepted," установить флажок Open и использовав выпадающий список выбрать With EAP.
      3. Установить флажок Network-EAP при наличии клиентской карты Cisco.
      4. Нажать Apply.

      Также можно выполнить из CLI следующие команды:

      Enter configuration commands, one per line. End with CNTL/Z.

      Как только правильная работа основной функциональной возможности с основной настройкой EAP будет подтверждена, можно будет добавить дополнительные функциональные возможности и управление ключами. Расположите более сложные функции на вершине функциональной базы для того, чтобы сделать поиск и устранение неисправностей легче.

      Проверка

      В данном разделе содержатся сведения, которые могут быть использованы при проверке работы конфигурации.

      Поиск и устранение неисправностей

      Процедура поиска и устранения неисправностей

      Для того, чтобы осуществить поиск и устранение неисправностей в своей конфигурации, необходимо выполнить следующие действия.

        В утилите на стороне клиента или в программном обеспечении необходимо создать новый профиль или соединение с теми же или похожими параметрами для того, чтобы убедиться в том, что в настройках клиента ничего не было повреждено.

      Команды поиска и устранения неисправностей

      Раздел Отладка аутентификации содержит значительное количество подробностей того, как можно собрать и интерпретировать выходные данные команд отладки, связанных с EAP.

      Примечание: Перед тем, как выполнять команды debug, необходимо ознакомиться с разделом Важная информация о командах отладки.

      • debug dot11 aaa authenticator state-machine – Выводит основные разделы (или состояния) согласования между клиентом и сервером аутентификации.
        Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды debug является следующим debug dot11 aaa dot1x state-machine.
      • debug dot11 aaa authenticator process – Выводит единичные записи диалогов согласования между клиентом и сервером аутентификации.
        Примечание: В программном обеспечении Cisco IOS релизов, предшествующих 12.2(15)JA, синтаксис команды отладки следующий debug dot11 aaa dot1x process.
      • debug radius authentication – Выводит согласования RADIUS между сервером и клиентом, связанными мостом с точкой доступа.
      • debug aaa authentication – Выводит согласования ААА для аутентификации между клиентским устройством и сервером аутентификации.

      Есть вопросы?
      Обращайтесь в "Аквилон-А", чтобы узнать подробности и получить именно то, что вам требуется.

      Читайте также:

          
      • Как найти точку wifi в здании
        •   
      • Беспроводной роутер 835ft 4g lte wi fi роутер мтс не ловит сеть
        •   
      • Dir 300 d link не видно wifi
        •   
      • Умный дом zigbee или wifi
        •   
      • Горит fault на коммутаторе
  • Контакты
  • Политика конфиденциальности