Wpa2 предварительная аутентификация: Wpa2 предварительная аутентификация что это?

Содержание

Настройка роутеров D-Link DIR-3ХХ/6ХХ с черным интерфейсом

Нажмите Приступить к настройке роутера или наберите в адресной строке браузера (Internet Explorer, Mozilla Firefox, Chrome, Opera или другом) адрес 192.168.0.1
В окне авторизации введите «Имя пользователя» - admin , «Пароль» - admin

Если страница не открывается или пароль отличается от стандартного, а Вы их не знаете, то Вам следует сбросить роутер на заводские настройки. Для этого нажмите с обратной стороны роутера кнопку Reset на 10 секунд и затем отпустите. Роутер перезагрузится и настройки будут выставлены по умолчанию.

Переходим в расширенные настройки и на вкладке Сеть выбираем пункт WAN

В открывшемся окне нажимаем кнопку Добавить

Откроется страница настройки типа соединения Тип соединения. Из выпадающего списка выберите "PPTP+Динамический IP".

Опускаем страницу ниже:
Имя пользователя, Пароль - заполните в соответствии с данными из договора. Внимание! Поля "Пароль" и "Имя пользователя" чувствительны к регистру. Обязательно вводим маленькие буквы, без пробелов, точек и запятых.

Адрес VPN-сервера: vpn.nktv.info
Нажимаем кнопку Применить

Сохраните параметры настройки роутера через Область уведомлений 

В открывшемся окне кликаем по стрелочке и возвращаемся в главное меню. 

Настройка беспроводной сети Wi-Fi
Перейдите в раздел WiFi => Основные настройки

В открывшемся окне в поле SSID укажите имя вашей беспроводной сети. Нажмите кнопку Применить.

Сохраните параметры настройки роутера через Область уведомлений 

Перейдите в раздел WiFi => Настройки безопасности 

В открывшемся окне выбираем
Тип аутентификации - WPA2-PSK
Ключ шифрования PSK – вводим пароль к wi-fi сети
WPA2 Предварительная аутенфикация - ставим галочку
WPA шифрование – AES
Нажимаем кнопку Применить

Сохраните параметры настройки роутера через Область уведомлений

Обязательно сохраните настройки. Система => Сохранить и перезагрузить 

D-Link DWS-4026

Функции управления WLAN    
+ До 64 точек доступа, подключенных к коммутатору

+ До 256 точек доступа в кластере
+ До 2048 беспроводных клиентов (1024 пользователей при использовании туннелирования, 2048 пользователей, если туннелирование не используется)

Роуминг   
+ Быстрый роуминг
+ Роуминг между коммутаторами и точками доступа, подключенными к одному коммутатору
+ Внутри – и Меж- сетевой роуминг
+ Туннелирование между точками доступа

Управление доступом и полосой пропускания   
+ До 32 SSID на точку доступа (16 SSID на радиочастотный диапазон)
+ Балансировка загрузки между точками доступа на основе количества пользователей или использования точки доступа

Управляемые точки доступа   

+ DWL-8600AP

+ DWL-8710AP (при использовании на коммутаторе версии ПО не ниже 4. 3.0.3_B024)

+ DWL-8610AP (при использовании на коммутаторе версии ПО не ниже 4.3.0.3_B024)

+ DWL-6700AP (при использовании на коммутаторе версии ПО не ниже 4.3.0.3_B024)

+ DWL-6610AP (при использовании на коммутаторе версии ПО не ниже 4.3.0.3_B024)

+ DWL-6600AP (при использовании на коммутаторе версии ПО не ниже 4.1.0.8)

+ DWL-3600AP (при использовании на коммутаторе версии ПО не ниже 4.1.0.8)

+ DWL-2600AP (при использовании на коммутаторе версии ПО не ниже 4.1.0.8)

Управление точками доступа    
+ Автоматическое обнаружение точек доступа
+ Удаленная перезагрузка точек доступа
+ Мониторинг точек доступа: список управляемых точек доступа, несанкционированных и не прошедших аутентификацию точек доступа
+ Мониторинг клиентов: список клиентов ассоциированных с каждой управляемой точкой доступа
+ Мониторинг клиентов Ad-hoc
+ Аутентификация точек доступа с помощью локальной базы данных или внешнего сервера RADIUS
+ Централизованное управление каналами/политиками безопасности
+ Визуальные инструменты управления точками доступа (Поддержка до 16 jpg-файлов)
+ Поддержка унифицированной точки доступа (DWL-8600AP): Управляемый/Автономный режим

+ Поддержка унифицированных точек доступа (DWL-х600AP): Управляемый/Автономный режим

Функции безопасности WLAN    
+ Wireless Intrusion Detection & Prevention System (WIDS)
+ Минимизация несанкционированных точек доступа
+ Классификация несанкционированных и действительных точек доступа на основе МАС-адреса
+ WPA Personal/Enterprise
+ WPA2 Personal/Enterprise
+ 64/128/152-битное WEP-шифрование данных
+ Классификация беспроводных станций и точек доступа на основе канала, MAC-адреса, SSID, времени
+ Поддержка типа шифрования: WEP, WPA, Dynamic WEP, TKIP, AES-CCMP, EAP-FAST, EAP-TLS, EAP-TTLS, EAP- MD5, PEAP-GTC, PEAP-MS-CHAPv2, PEAP-TLS
+ Адаптивный портал
+ Аутентификация на основе МАС-адресов
+ Изоляция станции

Функции уровня 2   
+ Размер таблицы MAC-адресов: 8K записей
+ IGMP Snooping: 1K многоадресных групп
+ MLD Snooping
+ 8021. D Spanning Tree

+ 802.1w Rapid Spanning Tree
+ 802.1s Multiple Spanning Tree
+ Link Aggregation 802.3ad: до 32 групп, до 8 портов в группе
+ 802.1ab LLDP
+ LLDP-MED
+ One-to-One Port Mirroring
+ Many-to-One Port Mirroring
+ Размер Jumbo-фреймов: до 9Кб

VLAN   
+ 802.1Q VLAN Tagging
+ 802.1V
+ Группы VLAN: до 3965 записей
+ VLAN на основе подсетей
+ VLAN на основе MAC-адреса
+ GVRP
+ Double VLAN
+ Voice VLAN

Функции уровня 3   
+ Статическая маршрутизатизация IPv4
+ Размер таблицы маршрутизации: до 128 статических маршрутов
+ Плавающие статические маршруты
+ VRRP
+ Proxy ARP
+ RIPv1/v2

Quality of Service (Качество обслуживания)   
+ Очереди приоритетов 802.1p (до 8 очередей на порт)
+ CoS на основе: порта коммутатора, VLAN, DSCP, порта TCP/UDP, TOS, MAC-адреса источника, IP-адреса источника
+ Auto-VoIP
+ Минимальная гарантия по полосе пропускания на очередь

+ Формирование трафика на порт
+ Управление полосой пропускания на основе потока

ACL (Список управления доступом)   
ACL на основе: порта коммутатора, MAC-адреса, очередей приоритетов 802. 1p, VLAN, Ethertype, DSCP, IP-адреса, типа протокола, номера порта TCP/UDP

Функции безопасности LAN   
+ Аутентификация RADIUS при административном доступе
+ Аутентификация TACACS+ при административном доступе
+ SSH v1, v2
+ SSL v3 , TLS v1
+ Функция Port Security: 20 MAC-адресов на порт, уведомление в случае срабатывания функции
+ Фильтрация MAC-адресов
+ Управление доступом 802.1x на основе портов и Guest VLAN
+ Защита от атак DoS
+ Dynamic ARP Inspection (DAI)
+ DHCP Snooping
+ Управление широковещательным штормом: шаг 1 % от скорости канала
+ Защищенный порт
+ DHCP-фильтрация

Методы управления   
+ Web-интерфейс
+ Кластеризация коммутаторов

+ Учетная запись RADIUS
+ CLI
+ Сервер Telnet: до 5 сессий
+ Клиент Telnet
+ Клиент TFTP
+ SNMP v1, v2c, v3    
+ sFlow
+ Несколько файлов конфигурации
+ Поддержка двух копий ПО (Dual Images)
+ RMON v1: 4 группы (Statistics (Статистика), History (История), Alarms (Уведомления), Events(События))
+ Клиент BOOTP/DHCP
+ Сервер DHCP
+ DHCP Relay
+ SYSLOG
+ Описание портов

Интерфейсы устройства   
+ 24 порта 10/100/1000BASE-T с поддержкой PoE 802. 3af
+ 4 комбо-порта SFP
+ Консольный порт RS-232
+ 2 открытых слота для установки дополнительных модулей с портами 10 Gigabit

Резервный источник питания   
Коннектор для подключения источника питания DPS-600

Power over Ethernet   
+ Стандарт: 802.3af
+ Выходная мощность на каждом порту: 15,4Вт
+ Общая выходная мощность: 370 Вт

+ Автоотключение порта при значении тока выше 350мА

Производительность   
+ Коммутационная матрица: 88 Гбит/с
+ Макс. скорость передачи пакетов: 65,47 Mpps
+ Метод коммутации: Store and Forward
+ Размер буфера пакетов: 750 КБ

Управление потоком   
+ Управление потоком 802.3x в режиме полного дуплекса
+ Метод «обратного давления» в полудуплексном режиме
+ Предотвращение блокировок HOL

Дополнительные трансиверы SFP

+ DEM-310GT   Трансивер SFP 1000BASE-LX, SMF, макс. расстояние до 10 км,3.3В

+ DEM-311GT   Трансивер SFP 1000BASE-SX, MMF, макс. расстояние до 550 м, 3.3В

+ DEM-312GT2 Трансивер SFP 1000BASE-SX, MMF, макс. расстояние до 2 км, 3.3В

+ DEM-314GT    Трансивер SFP 1000BASE-LH, SMF, макс. расстояние до 50 км, 3.3В

+ DEM-315GT    Трансивер SFP 1000BASE-ZX, SMF, макс. расстояние до 80 км, 3.3В

+ DEM-330T       Трансивер SFP 1000BASE-LX, SMF, макс. расстояние до 10 км, 3.3В, WDM (Tx: 1550 nm, Rx: 1310 nm)

+ DEM-330R      Трансивер SFP 1000BASE-LX, SMF, макс. расстояние до 10 км, 3.3В, WDM (Tx: 1310 nm, Rx:1550 nm)

+ DEM-331T      Трансивер SFP 1000BASE-LX, SMF, макс. расстояние до 40 км, 3.3В, WDM (Tx: 1550 nm, Rx: 1310 nm)

+ DEM-331R      Трансивер SFP 1000BASE-LX, SMF, макс. расстояние до 40 км, 3.3В, WDM (Tx: 1310 nm, Rx:1550 nm)

Дополнительные uplink-модули с портами 10GE   
+ DEM-410X  Модуль с  1 слотом 10GE XFP (Для подключения к оптоволоконной магистрали сети)
+ DEM-410CX Модуль с 1 портом 10GE CX4 (Для стекирования коммутаторов)

Дополнительные трансиверы XFP 10GE   
+ DEM-421XT Трансивер XFP 10GBASE-SR, MMF, макс. расстояние до 300 м, 3,3/5В
+ DEM-422XT Трансивер XFP 10GBASE-LR, SMF, макс. расстояние до10 км, 3,3/5В
+ DEM-423XT Трансивер XFP 10GBASE-ER, SMF, макс. расстояние до 40 км, 3,3/5В

Индикаторы диагностики    
+ На устройство: Power, Console, RPS

+ Для порта 10/100/1000BASE-T: Link/Activity/Speed, PoE
+ Для слота SFP: Link/Activity
+ Для слота 10 Gigabit: Link/Activity 


Физические параметры

 Питание     
+ Питание: 100-240 В переменного тока, 50/60 Гц, внутренний универсальный источник питания с активной системой PFC
+ Потребляемая мощность: 525 Вт (макс., при функционировании всех портов PoE)

MTBF    
185,540 часов  

Размеры    
+ 440 (Ш) x 389 (Г) x 44 (В) мм
+ Установка в 19” стойку, высота 1U

Вес    
6кг

Температура    
+ Рабочая температура:  от 0° до 40° C
+ Температура хранения:  от -10° до 70° C

Влажность    
+ Рабочая влажность:  от 10% до 90% без образования конденсата
+ Влажность хранения:  от 5% до 90% без образования конденсата

Электромагнитная совместимость    
FCC Class A, ICES-003, VCCI, CE, C-Tick, EN 60601-1-2

Безопасность
UL/cUL, CB

*Для быстрого роуминга на персональном компьютере беспроводный сетевой адаптер NIC (Network Interface Card) должен поддерживать функцию быстрого роуминга.

wpa_supplicant

wpa_supplicant
Клиент с защищенным доступом Wi-Fi с поддержкой IEEE 802.1X Supplicant

Синтаксис:

wpa_supplicant [-BhKLNptuvW] [-b имя_интерфейса_моста]

[-C управляющий_интерфейс] [-c конфигурационный_файл] [-d[d]]

[-f выходной_файл] [-g глобальный_управляющий_интерфейс]

[-i имя_интерфейса] [-P файл] [-q[q]]

Поддерживаемые платформы:

Neutrino


Опции:

Большинство опций командной строки являются глобальными. Но некоторые из них предназначены для определенного интерфейса и доступны только при выборе по крайней мере одной опции -i; в противном случае они игнорируются. Группы опций для различных интерфейсов должны быть разделены опцией -N.

-B

Выполнить утилиту как сервис в фоновом режиме.

-b имя_интерфейса_моста

Необязательное имя интерфейса моста. (Для каждого интерфейса.)

-C управляющий_интерфейс

Путь к сокету управляющего_интерфейса. (Для каждого интерфейса; несовместима с опцией -c).

-c имя_файла

Путь к конфигурационному файлу. (Для каждого интерфейса.)

-d

Увеличить уровень подробности отладочной информации (для вывода более подробной информации используется -dd).

-fвыходной_файл

Отправить вывод в указанный файл вместо стандартного потока вывода.

-g глобальный_управляющий_интерфейс

Путь к сокету глобального_управляющего_интерфейса. Если указана эта опция, определения интерфейсов можно исключить.

-h

Вывести справку; показать сообщение об использовании.

-i имя_интерфейса

Интерфейс для прослушивания. Можно указать несколько экземпляров этой опции (по одному для каждого интерфейса), разделенные опцией -N (см. далее).

-K

Добавить ключи (пароли и т.д.) в выходные данные отладки.

-L

Показать информацию о лицензии (GPL и BSD).

-N

Начать описание нового интерфейса

-P файл

Указать местоположение файла идентификатора процесса.

-p

Параметры драйвера. (Для каждого интерфейса.)

-q

Уменьшить уровень подробности отладочной информации (для вывода менее подробной информации используется -qq).

-t

Включить метку времени в сообщения отладки.

-u

Активировать управляющий интерфейс DBus. Если указана эта опция, определения интерфейсов можно исключить.

-v

Вывести информацию о версии.

-W

Перед запуском ждать появления управляющего интерфейса.

Описание:

В отличие от проводных сетей, беспроводные сети не требуют физического доступа к сетевому оборудованию. Это позволяет неавторизованным пользователям пассивно отслеживать состояние сети и фиксировать все переданные кадры. Кроме того, возрастает риск несанкционированного использования сети. Во многих случаях это происходит даже без ведома пользователя, поскольку беспроводной сетевой адаптер может быть настроен на автоматическое подключение к любой доступной сети.

Для обеспечения безопасности беспроводных сетей выполняется шифрование на канальном уровне. Базовый стандарт беспроводной сети IEEE 802.11 обеспечивает простой механизм шифрования – WEP. Однако, как показывает опыт, в нем присутствует ряд недостатков, поэтому сети, защищенные с помощью WEP, не считаются безопасными.

Для повышения уровня сетевой безопасности используется аутентификация по IEEE 802.1X и часто изменяемые динамические ключи WEP, но даже в этом случае сохраняется ряд проблем, связанных с шифрованием с помощью WEP. Защищенный доступ Wi-Fi и дополнение IEEE 802.11i для беспроводных локальных сетей обеспечивают более высокий уровень безопасности беспроводных сетей. Сети с поддержкой IEEE 802.11i, использующие CCMP (механизм шифрования на основе мощного криптографического алгоритма AES), считаются безопасными и используются для приложений, требующих эффективной защиты от несанкционированного доступа.

Утилита wpa_supplicant является реализацией компонента WPA Supplicant, которая выполняется на клиентских станциях. Она сопоставляет ключ WPA с аутентификатором WPA и выполняет аутентификацию EAP на сервере аутентификации. Кроме того, она управляет роумингом и аутентификацией/ассоциацией IEEE 802.11 для драйвера беспроводной сети.

Утилита wpa_supplicant разработана как сервис, работающий в фоновом режиме и выполняющий функции бэкэнд-компонента для управления беспроводным соединением. Она поддерживает отдельные фронтэнд-программы и текстовый фронтэнд wpa_cli, который входит в состав wpa_supplicant.

Перед выполнением утилиты wpa_supplicant необходимо убедиться в доступности сетевого интерфейса. Это означает необходимость наличия активированного физического устройства и загруженного драйвера устройства. Если устройство еще не доступно, сервис немедленно завершает работу.

После конфигурирования утилитой wpa_supplicant сетевого устройства доступно конфигурирование на более высоком уровне, например DHCP. Существует множество способов интеграции утилиты wpa_supplicant в сценарии организации сетей для машины. Некоторые из них описаны в следующих разделах.

При установлении связи с AP по WPA используются следующие шаги:

  1. wpa_supplicant запрашивает у драйвера сканирование соседних BSS.

  2. wpa_supplicant выбирает BSS на основе конфигурации.

  3. wpa_supplicant запрашивает у драйвера установление связи с выбранным BSS.

  4. В случае WPA-EAP: интегрированный IEEE 802.1X Supplicant или внешний Xsupplicant завершают аутентификацию EAP с сервером аутентификации (в AP используется аутентификатором в качестве посредника).

  5. В случае WPA-EAP: из IEEE 802.1X Supplicant получен основной ключ.

  6. В случае WPA-PSK: wpa_supplicant использует PSK в качестве основного ключа сеанса.

  7. wpa_supplicant выполняет четырехстороннее подтверждение связи WPA и подтверждение связи с использованием группового ключа с помощью аутентификатора (AP).

  8. wpa_supplicant конфигурирует ключи шифрования для одноадресной и многоадресной передачи.

  9. Можно выполнять передачу и получение стандартных пакетов данных.


Поддерживаемые функции

Поддерживаемые функции WPA/IEEE 802.11i:

  • WPA-PSK ("WPA-Personal")

  • WPA с EAP (например, сервер аутентификации RADIUS) ("WPA-Enterprise"). Интегрированный IEEE 802.1X Supplicant поддерживает следующие методы аутентификации:

    • EAP-TLS

    • EAP-PEAP/MSCHAPv2 (PEAPv0 и PEAPv1)

    • EAP-PEAP/TLS (PEAPv0 и PEAPv1)

    • EAP-PEAP/GTC (PEAPv0 и PEAPv1)

    • EAP-PEAP/OTP (PEAPv0 и PEAPv1)

    • EAP-PEAP/MD5-Challenge (PEAPv0 и PEAPv1)

    • EAP-TTLS/EAP-MD5-Challenge

    • EAP-TTLS/EAP-GTC

    • EAP-TTLS/EAP-OTP

    • EAP-TTLS/EAP-MSCHAPv2

    • EAP-TTLS/EAP-TLS

    • EAP-TTLS/MSCHAPv2

    • EAP-TTLS/MSCHAP

    • EAP-TTLS/PAP

    • EAP-TTLS/CHAP

    • EAP-SIM

    • EAP-AKA

    • EAP-PSK

    • EAP-PAX

    • LEAP (примечание: для аутентификации IEEE 802. 11 необходима специальная поддержка драйвера)


    Поддерживаются следующие методы (поскольку эти методы не поддерживают ключи, они не могут использоваться совместно с ключами WPA или IEEE 802.1X WEP):
    • EAP-MD5-Challenge

    • EAP-MSCHAPv2

    • EAP-GTC

    • EAP-OTP

  • Управление ключами для CCMP, TKIP, WEP104, WEP40

  • RSN/WPA2 (IEEE 802.11i)


Файлы:

Для утилиты wpa_supplicant необходимо наличие следующих библиотек и двоичных файлов:

  • libcrypto. so – криптографическая библиотека

  • libssl.so – библиотека защищенных сокетов (создана на основе OpenSSL)

  • random – исполняемый файл, создающий /dev/urandom для генерации случайных чисел

  • libm.so – математическая библиотека, запрашиваемая random

  • libz.so – библиотека сжатия, запрашиваемая random

Для создания каталога ctrl_interface утилите wpa_supplicant также требуется файловая система доступная для чтения/записи (см. пример конфигурационного файла wpa_supplicant.conf).

Примечание. Использование /dev/shmem невозможно, поскольку в нем не может быть создан каталог.


Настройка WPA2 Enterprise c RADIUS / Блог компании ZYXEL в России / Хабр

В статье пойдёт речь о вопросах расширенной аутентификации в беспроводной сети через WPA2 Enterprise. Для данной системы используется RADIUS сервер, поэтому рассмотрим краткий пример упрощённой установки и настройки.


О методах аутентификации

В предыдущих статьях, в частности: Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты, — мы рассказывали о различных методах аутентификации.

Более или менее надёжным можно считать алгоритм защиты начиная с WPA2, а самый современный протокол аутентификации — WPA3, входящий в состав новшеств от WiFi 6. Но так как не все ещё перешли на WiFi 6, то WPA2 пока остаётся актуальным.

В свою очередь технология WPA2 подразделяется на два направления: WPA2 Personal и WPA2 Enterprise.

Вариант WPA2 Personal с PSK (Pre-Shared Key), проще говоря, «один-ключ-на все-устройства» используется в небольших (обычно в домашних сетях). При этом единственный ключ (длинная символьная строка не менее 8 символов) хранится на самой точке доступа и на каждом устройстве, подключаемом к беспроводной сети. Когда просят дать «пароль от WiFi», это тот самый ключ и есть.

При увеличении числа клиентов обслуживание такой беспроводной сети превращается в кошмар для сисадмина.

Если кто-то из пользователей со скандалом уволился, умудрился потерять ноутбук или случайно переслал ключ по почте (выложил общем чате, на форуме и так далее) ...

В общем, при малейшем подозрении на компрометацию ключа выход может быть только один — сгенерировать новый ключ и заменить его везде: на всех точках доступа и у всех пользователей на всех устройствах. При этом нужно обязательно проверить работает ли доступ у всех пользователей на всех корпоративных (а иногда и личных) девайсах, а ещё ответить на 1000 и 1 вопрос из разряда: «А зачем?», «А почему так произошло?», «А что, теперь постоянно менять придётся?» и так далее и тому подобное.

Поэтому для беспроводных сетей корпоративного уровня используется гораздо более совершенный вариант WPA2 Enterprise. Наиболее очевидной альтернативой общему ключу является индивидуальный ключ для каждого. Разумеется, в этом случае при подключении к сети запрашивается не только ключ, но и имя пользователя. Фактически это возврат к аутентификации на основе логин + длинный пароль. (Спасибо Капитану Очевидность за точные формулировки).

Вопрос в том, где хранить базу пользователей и паролей. Размер встроенной аппаратной флеш-памяти не «резиновый», а если точек доступа несколько, то нужно подумать, как выполнять синхронизацию учётных данных между ними.

Гораздо проще использовать внешний сервер для аутентификации. WPA2 Enterprise использует для этих целей RADIUS.

RADIUS (Remote Authentication in Dial-In User Service) — сервис AAA (Authentication, Authorization, Accounting), основанный на использовании отдельного сервера, взаимодействующего с клиентами (оборудованием) по специальным протоколам.

На сегодняшний момент наиболее популярны следующие реализации:


  • Microsoft Network Policy Server (NPS), бывший IAS — для конфигурации используется встроенный инструментарий Microsoft. Соответственно, нужно купить необходимые лицензии.
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — для администрирования использует веб-интерфейс, имеет широкий набор полезных функций. Это также платный продукт.
  • FreeRADIUS — распространяется бесплатно, может использоваться как в «чистом виде», так и вкупе с различными СУБД (MySQL и другие), имеются веб-интерфейсы (DaloRADIUS, Dual-In), в общем, довольно известное решение.

Существуют и другие реализации данного сервиса. Для настройки главное понять принцип взаимодействия с сервером аутентификации, всё остальное можно найти в документации.


Интересный факт. Аппаратные шлюзы и контроллеры точек доступа Zyxel уже имеют встроенный сервис RADIUS «на борту». А облачная среда Zyxel Nebula может похвастаться собственной системой аутентификации, отличной от RADIUS, но выполняющей те же функции. Поэтому самостоятельная установка внешнего сервера аутентификации — процесс интересный, но отнюдь не всегда обязательный. Есть и более простые варианты.

Взаимодействие точки доступа с сервером RADIUS

Для обмена данными с сервером RADIUS используется протокол UDP (User Datagram Protocol) по принципу «клиент-сервер». В роли клиента выступает точка доступа (или другое устройство, нуждающиеся в службе аутентификации), которая обращается к серверу RADIUS с запросами о проверке учётных записей.

В зависимости от настройки и схемы использования сервер RADIUS может сообщать клиенту не только информацию об успешной аутентификации, но и другие параметры: VLAN клиентского устройства, IP адрес, QoS профиль и так далее.

Для создания безопасного соединения клиент и сервер RADIUS обладают общим ключом.

В отказоустойчивой production схеме используется более одного сервера RADIUS. Например, точка доступа NWA210AX может использовать для проверки два сервера: основной и резервный.

Кратко рассмотрим порядок взаимодействия

Пользователь подключает устройство (корпоративный ноутбук или любое другое). Для этого он вызывает соответствующий интерфейс для настройки. Появляется окно подключения, где он вводит логин и пароль.

Точка доступа принимает эти данные и для проверки аутентификации передаёт на сервер RADIUS.

Сервер RADIUS по своим записям проверяет данного пользователя и его пароль, и, в зависимости от результата, возвращает одно из значений: «Accepted» (Принято) или «Rejected» (Отклонено).

При получении «Accepted» (Принято) между клиентом и точкой доступа происходит обмен индивидуальными ключами шифрования, действующими только на время, установленное для данной сессии.


Рисунок 1. Использование сервера RADIUS для аутентификации.

Вообще на тему установки RADIUS написано очень много How-to, в том числе интеграцией с различными СУБД, использованию веб-интерфейса и так далее.

Однако невозможно объять необъятное, поэтому сейчас остановимся на самой простой реализации: сервер FreeRADIUS без сторонних продуктов, который настраивается путём изменения конфигурационных файлов.


ВНИМАНИЕ! Ниже приводится именно простейший пример для иллюстрации, а не готовая шпаргалка для копирования и размножения у себя в рабочей среде.

Описание примера настройки и взаимодействия точки доступа с сервером RADIUS


Конфигурация сервера FreeRADIUS

Это виртуальная машина со следующими характеристиками: RAM 1GB, 1xCPU, виртуальный диск 20GB (можно меньше, лишь бы разместилась операционная система и необходимые пакеты).

В роли гипервизора — Oracle Virtual Box 6.1.18

В качестве гостевой операционной системы для экспериментов использовался дистрибутив Oracle Linux 6.3. В принципе, можно выбрать любой другой дистрибутив, если нет специальных ограничений.

FreeRADIUS — из стандартного репозитория.


Точка доступа

В качестве клиента (точки доступа) — используется модель Zyxel NWA210AX. Это современное устройство, поддерживающее интеграцию в облачной системе Zyxel Nebula и обладающее массой других достоинств.

Несмотря на то, что NWA210AX поддерживает новые протоколы безопасности WiFi 6 и может использовать сервис аутентификации Nebula, в нашем случае она прекрасно выступит в качестве устройства доступа в сети WPA 2 Enterprise.


Рисунок 2. Точка доступа NWA210AX.


Клиент для проверки подключения

В качестве платформы для проверки клиентского подключения — наиболее наглядно данный процесс отображается на последних версиях Mac OS X.


Установка и настройка сервера RADIUS

Перед установкой рекомендуется настроить файервольные правила, в частности, разрешить порты 1812, 1813, а также, если понадобиться, выполнить настройку SELinux. Нашей целью было показать взаимодействие с RADIUS, поэтому такие нюансы, как настройка сети, файервола, других средств безопасности выходят за рамки статьи и остаются за кадром. И мы сразу переходим к установке FreeRADIUS.

sudo install freeradius freeradius-utils -y

Обратите внимание, мы устанавливаем не только пакет freeradius, но и дополнительные инструменты freeradius-utils.

Из этого пакета нам понадобится утилита radclient для проверки пользователей.

После окончания установки настроим запуск сервиса при старте системы:

sudo systemctl enable radiusd

Для проверки запустим FreeRADIUS:

sudo systemctl start radiusd

Проверим его состояние:

sudo systemctl status radiusd

Пример ответа системы:

radiusd.service - FreeRADIUS high performance RADIUS server.
Loaded: loaded (/usr/lib/systemd/system/radiusd.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2021-02-04 13:36:11 EST; 7min ago
Process: 953 ExecStart=/usr/sbin/radiusd -d /etc/raddb (code=exited, status=0/SUCCESS)
Process: 872 ExecStartPre=/usr/sbin/radiusd -C (code=exited, status=0/SUCCESS)
Process: 821 ExecStartPre=/bin/sh /etc/raddb/certs/bootstrap (code=exited, status=0/SUCCESS)
Process: 810 ExecStartPre=/bin/chown -R radiusd.radiusd /var/run/radiusd (code=exited, status=0/SUCCESS)
Main PID: 970 (radiusd)
Tasks: 6 (limit: 12425)
Memory: 82.9M
CGroup: /system.slice/radiusd.service
└─970 /usr/sbin/radiusd -d /etc/raddb
Feb 04 13:36:10 localhost.localdomain systemd[1]: Starting FreeRADIUS high performance RADIUS server....
Feb 04 13:36:10 localhost.localdomain sh[821]: server.pem: OK
Feb 04 13:36:11 localhost.localdomain systemd[1]: Started FreeRADIUS high performance RADIUS server..

Дополнительно проверить можно командой:

sudo ps aux | grep radiusd

Ответ системы должен быть примерно таким:

root 7586 0.0 0.2 112716 2200 pts/1 R+ 01:28 0:00 grep --color=auto radiusd
radiusd 13320 0.0 1.5 513536 15420 ? Ssl Dec23 0:00 /usr/sbin/radiusd -d /etc/raddb

Для настройки нам понадобится только два конфигурационных файла из каталога /etc/raddb:

clients и users.


ВНИМАНИЕ! Ещё раз повторяем — это всего лишь пример, помогающий понять механизм работы. Такой примитивный вариант, например, когда записи пользователей и ключи хранятся открытым текстом — в production лучше не использовать. Но именно для иллюстрации работы самого RADIUS — чем меньше и проще настраивать, тем лучше.

В файле /etc/raddb/clients настраивается доступ из конкретной сети и задаётся общий ключ для сервера RADIUS и клиентов, в нашем случае — точек доступа.

sudo vi /etc/raddb/clients

Находим подходящий пример записи:

#client private-network-2 {
# ipaddr = 198.51.100.0/24
# secret = testing123-2
#}

и на его основе создаём свою запись:

client private-network-rpcm {
ipaddr = 192.168.0.0/24
secret = testing123-3
}

Для примера используется самый простейший вариант «из коробки», и по умолчанию информация о пользователях хранится в файле /etc/raddb/users. Создадим двух пользователей: ivan и rodeon.

sudo vi /etc/raddb/users

Обратите внимание на следующее предупреждение в самом конце файла:

#########################################################
# You should add test accounts to the TOP of this file! #
# See the example user "bob" above. #
#########################################################

Самый простой способ правильной вставки информации о пользователях — найти пользователя bob и добавить прямо под ним следующие строки:

ivan Cleartext-Password := "Pass1van"
Reply-Message := "Hello, %{User-Name}"
rodeon Cleartext-Password := "PassR0deon"
Reply-Message :=  "Hello, %{User-Name}"

Перезапустим сервис radiusd, чтобы тот перечитал конфигурационные файлы:

sudo systemctl restart radiusd

Предварительная проверка заключается в том, чтобы сервис radiusd повторно в штатном режиме стартовал без сообщений об ошибках. Выше мы уже выполняли такую проверку (после установки FreeRADIUS) командой:

sudo systemctl status radiusd

После того, как убедились в стабильной работе сервиса, выполним проверку через команду radclient с передачей имени пользователя.

sudo echo "User-Name=ivan,User-Password=Pass1van" | radclient 192.168.0.104:1812 auth testing123-3

Где:


  • команда echo "User-Name= ivan,User-Password= Pass1van" передаёт имя пользователя и пароль;
  • 192.168.0.104:1812 — адрес сервера с портом UDP;
  • auth testing123-3 — указывается общий ключ testing123-3.

Если всё в порядке, ответ должен быть примерно таким:

Sent Access-Request Id 54 from 0.0.0.0:57939 to 192.168.0.104:1812 length 44
Received Access-Accept Id 54 from 192.168.0.104:1812 to 192.168.0.104:57939 length 33

Последняя и самая главная проверка: настроить на точке доступа NWA210AX подключение к данному серверу RADIUS и подключить выбранное клиентское устройство к WiFi сети.


Настройка подключения к RADIUS на точке доступа

Чтобы выполнить настройку, необходимо узнать адрес устройства. Для сетевого оборудования Zyxel это можно легко сделать при помощи сетевой утилиты ZON (Zyxel One Networking Utility). О ней можно подробнее узнать и бесплатно скачать на сайте Zyxel.


Рисунок 3. Утилита ZON (Zyxel One Networking Utility).

После того, как мы узнали IP, подключаемся через Интернет браузер.

Появляется первое окно с предложением сразу перейти к управлению через облачную среду Zyxel Nebula. Как уже было сказано выше, использовать «облако» проще, в отличие от автономной работы, в Nebula уже реализован аналог сервера аутентификации (и много чего другого, мониторинг, например). Но в данном случае используется автономная схема, поэтому выбираем режим — Standalone Mode.


Рисунок 4. Окно с предложением сразу перейти в облачную среду Nebula.

Далее идёт окно ввода имени пользователя и пароля. Пользователь по умолчанию — admin, пароль по умолчанию — 1234.


Рисунок 5. Окно ввода пользователя и пароля на NWA210AX.

Далее переходим в раздел Configuration —> AP Management. Нам необходимо настроить SSID профили.

В данном случае у нас два профиля: Wiz_SSID_1 и Wiz_SSID_2.

Для их настройки на соединение с RADIUS нужно задействовать элементы вызова окна редактирования (отмечено красным контуром на рисунке 6).


Рисунок 6. Раздел Configuration —> AP Management. Вызов окна редактирования SSID профиля.

Появится окно Edit SSID Profile Wiz_SSID_1.

В нём нас интересует переход к настройкам Security Profile (отмечено красным контуром на рисунке 7).


Рисунок 7. Окно Edit SSID Profile Wiz_SSID_1.

В появившемся окне Edit Security Profile Wiz_SEC_Profile_1 включаем опцию Primary Radius Server Activate и заполняем поля в соответствии с записями в файле /etc/raddb/clients нашего FreeRADIUS (отмечено красным контуром):


  • Radius Server IP Address,
  • Radius Server Port,
  • Radius Server Secret.

Если есть резервный сервер RADIUS, то необходимо включить Secondary Radius Server Activate и заполнить для него значения (отмечено синим подчёркиванием). У нас тестовая среда, но в production наличие резервного сервера аутентификации обязательно.


Рисунок 8. Окно Edit Security Profile Wiz_SEC_Profile_1.

Среди прочего присутствует вкладка Advance, в которой можно задать дополнительные значения. В данном случае у нас довольно простой пример, поэтому лучше оставить всё по умолчанию.


Рисунок 9. Окно Edit Security Profile Wiz_SEC_Profile_11 с раскрытой вкладкой Advance.


Проверка подключения

Как уже было сказано выше, более или менее точно процесс установки беспроводной связи иллюстрирует интерфейс Mac OS Х.

После того, как в списке подключений нашли соответствующий пункт (по умолчанию он называется Zyxel), операционная система показывает окно ввода имени пользователя и пароля/ключа, хранящегося в системе RADIUS.


Рисунок 10. Запрос имени пользователя и пароля для входа в беспроводную сеть.

Далее происходит передача сертификата. В OS X об этом свидетельствует окно для подтверждения использования сертификата.


Рисунок 11. Окно проверки сертификата. Дополнительно нажата кнопка «Показать сертификат».

После этого можно работать, например, зайти по адресам, указанным в разделе Полезные ссылки (в конце статьи).


Заключение

Как видим, даже для такого простого примера нам потребовалось довольно много действий. Теперь представьте, что точек в сети довольно много. Позже мы рассмотрим, как можно обеспечить подобную систему аутентификации с меньшими усилиями благодаря облачной систем управления Zyxel Nebula или встроенным аппаратным решениям Zyxel.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты
  5. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX
  6. Zyxel ONE Network Utility (ZON)
  7. Домашняя страничка проекта FreeRADIUS
  8. Zyxel Nebula

Turbo Roaming

Системы сбора данных на железных дорогах включают в себя решения для подвижного состава и для железнодорожной инфраструктуры, а также решения для осуществления обмена информацией между движущимся поездом и наземной инфраструктурой.

Архитектура систем сбора данных на железной дороге состоит из  интегрированной Ethernet-сети, которая, в свою очередь, включает в себя проводную магистральную линию связи, беспроводную сеть вдоль железнодорожного полотна, сеть на борту поезда и из Communication-Based Train Controller (CBTC) –сигнальной системы поезда, которая использует связь между поездом и железнодорожным полотном для управления движением поезда и ж/д инфраструктурой.

Все системы должны быть надежно защищены от внешних воздействий и обеспечивать непрерывную связь с возможностью роуминга даже на очень высоких скоростях. Поэтому, специалисты по связи на железнодорожном транспорте предъявляют к оборудованию очень высокие требования: почти нулевое время переключения канала связи поезд-земля между каналообразующим оборудованием наземной инфраструктуры.

Использование технологии MOXA Turbo Roaming позволяет обеспечить переключение между точками доступа наземной инфраструктуры менее чем за 50 мсек даже на высокой скорости движения поезда, благодаря чему обеспечивается непрерывность связи для передачи важной информации, или для передачи звуковых и видео-потоков в реальном времени. 

Надежная система связи с подвижным составом

 

Предварительная аутентификация с помощью беспроводного контроллера

Чтобы гарантировать бесперебойный роуминг даже для высокоскоростных поездов, технология MOXA Turbo Roaming реализуется на базе контролера беспроводного доступа WAC (Wireless Access Controller). WAC обеспечивает централизованный контроль безопасности беспроводной сети связи. При переключении к другой точке доступа происходит процесс предварительной аутентификации при помощи контроллера WAC, чем удаётся избежать процесса повторной аутентификации для уменьшения времени переключения до 50 мсек и ниже. Также, для гарантии безопасности доступа к сети, оборудование МОХА прошло сертификацию на соответствие стандартам  WPA, WPA2, и 802.11i .

Роуминг между контроллерами для широкомасштабных сетей WLAN

Каждый контроллер WAC-1001 способен управлять 200-ми точками доступа в одной сети LAN. В сетях большего масштаба можно использовать роуминг между контроллерами для поддержки нескольких сотен точек доступа. Когда клиент переключается из зоны одного контроллера  WAC в другую, 2 контроллера обмениваются ключами безопасности и новый контроллер копирует ключ безопасности в новую точку доступа. Таким образом, клиент может осуществлять переключение между точками доступа быстрее чем за 50 мсек, поддерживая при этом информационную безопасность сети.  

3х канальный роуминг

В сетях WLAN связанные точки доступа должны работать на разных каналах для защиты от радиопомех. Оборудование MOXA обеспечивает поддержку 3х непересекающихся каналов для предотвращения интерференции каналов.

Полностью резервированная связь

Система CBTC в значительной мере опирается на сеть WLAN для поддержки непрерывной коммуникации между подвижным составом и наземными объектами железнодорожной инфраструктуры.  Самый безопасный способ избежать сбоев в сети WLAN – резервирование. МОХА предлагает технологию мульти резервирования:

  • двойная RF конструкция для беспроводного резервирования;

  • резервирование Ethernet по протоколу RSTP;

  • резервирование питания (вход постоянного тока + питание через Ethernet (PoE).

Все это гарантирует безопасность передачи видео, аудио и других компонент для построения информационных систем в реальном времени.

Комплект точек доступа Zyxel NWA5123-AC 8-pack

Zyxel NWA5123-AC 8-pack (NWA5123-AC-EU0201F) - комплект из 8 точек доступа Zyxel NWA5123-AC. В отличие от поштучного варианта поставки, комплект Zyxel NWA5123-AC 8-pack не включает кабели питания.

Zyxel NWA5123-AC - двухдиапазонная точка доступа, поддерживающая стандарты 802.11b/g/n/ac. Оснащена антенным массивом с поддержкой MIMO 2x2, усилением 3 dBi @ 2.4 ГГц и 4 dBi @ 5 ГГц, передатчиком мощностью 26 dBm, гигабитным портом RJ45 с поддержкой PoE. Способна работать в автономном режиме и под централизованным управлением контроллера Wireless LAN Controller. Поддерживает технологии Wireless Mesh, Wireless Layer-2 Isolation, APFlex, DCS, Load Balancing, Smart Client Steering. Обеспечивает комбинированную скорость передачи данных до 1.2 Gbps. Комплектный набор креплений позволяет смонтировать точку доступа на стене или потолке.

Характеристики Zyxel NWA5123-AC

Стандарты беспроводной связи 802.11a/b/g/n/ac, частота 2.4 / 5 ГГц
Поддержка MIMO MIMO 2x2
Макс. скорость беспроводного соединения 300 + 866 Мбит/с
Протоколы безопасности WEP, WPA/WPA2-PSK, WPA2 (Wi-Fi certified), WPA/WPA2-Enterprise
Интерфейсы 1 x 1 Gbps RJ45 с поддержкой PoE
Усиление антенн 2.4 GHz: 3 dBi
5 GHz: 4 dBi
Мощность передатчика 20 dBm @ 2.4 ГГц
26 dBm @ 5 ГГц
Чувствительность приемника -99 dBm
Ширина канала 20/40/80 МГц
Роуминг Предварительная аутентификация и кэширование PMK
Режимы работы Автономная / контроллер
Наработка на отказ 1 241 824 часов
Энергопотребление PoE до 9 Вт
Климатические условия эксплуатации температура от 0 до 50° C при влажности от 10 до 90% без конденсации

Не подключается телефон (планшет) к Wi-Fi, пишет «Сохранено, защита WPAWPA2»

Всем привет!

Я тут проанализировал немного комментарии, которые посетители оставляют на сайте, проверил запросы и понял, что есть очень распространенная проблема с подключением к Wi-Fi, о которой я еще не писал. Но на сайте оставлено много комментариев с просьбой помочь, решить эту проблему. Я что-то там советовал, но не знаю, помогали ли мои советы Вам (редко кто напишет о результатах 🙁 ).

А вчера, Роман (Спасибо тебе добрый человек 🙂 ) к статье Как подключить к Wi-Fi телефон (планшет) на ОС Андроид? оставил комментарий, в котором поделился информацией, как он решил проблему «Сохранено, защита WPA\WPA2». Этот комментарий помог мне немного сориентироваться в проблеме, и я решил собрать все советы по решению этой ошибки, в одной статье.

Суть проблемы

При подключении телефона, или планшета (скорее всего на Android), к домашней сети, или где-то в кафе, появляется надпись возле названия сети «Сохранено, защита WPA\WPA2». И все больше ничего не происходит. Если нажать на эту сеть и выбрать Подключить, то ничего не произойдет. Как выглядит эта ошибка, Вы можете посмотреть на скриншоте выше.

Я специально спровоцировал эту проблему на своем Wi-Fi роутере Asus RT-N13U и попробовал подключить телефон HTC One V (Android 4.0). Вот и получил эту надпись «Сохранено, защита WPA\WPA2». Причем, все получилось с первого раза. Как? Да очень просто. У меня в настройках роутера “Режим беспроводной сети” был в режиме Auto, а я установил n Only. Сохранил настройки, отключил телефон от Wi-Fi, но подключить уже не получилось 🙂 .

Основные причины ошибки «Сохранено, защита WPA\WPA2»

Друзья, я не могу точно все утверждать и давать советы, которые будут на сто процентов рабочие, надеюсь Вы понимаете. Все устройства разные, настройки у всех разные и еще много всяких нюансов.

Но я постараюсь собрать известные мне причины и способы их решения, через которые может появится такая проблема с подключением к беспроводной сети.

Если при подключении к беспроводной сети Вы на своем телефоне увидели надпись «Сохранено, защита WPA\WPA2» (может быть немного другая), то стоит проверить такие настройки (советую проверять в таком же порядке):

Для начала просто перезагрузите роутер.

Несколько раз уже замечал такую проблему: интернет на телефоне просто перестаёт работать, но подключение есть и сеть хорошая. Выключаю и включаю Wi-Fi на телефоне, а к сети уже не подключается, пишет «Сохранено, защита WPA2». Помогает только перезагрузка роутера.

  1. Выставить правильный регион в настройках роутера
  2. Проверить правильность пароля от Wi-Fi сети
  3. Проверить (изменить) режим работы беспроводной сети в настройках роутера
  4. Проверить (изменить) тип шифрования и тип безопасности, изменить пароль в настройках маршрутизатора
  5. Поэкспериментировать со сменой канала на котором работает Ваша беспроводная сеть.
  6. Попробовать изменить ширину канала.

А теперь подробнее по всем пунктам

Выставляем правильный регион в настройках маршрутизатора

Очень часто, эта ошибка возникает именно из-за того, что в настройках Wi-Fi стоит неправильный регион.

Я на примере Tp-Link покажу, как сменить регион. Если у вас роутер другой компании, то эти настройки скорее всего меняются на той же странице, где задается имя и другие настройки беспроводной сети.

В панели управления перейдите на вкладку Wireless (Беспроводной режим) и напротив пункта Region укажите страну, в которой вы находитесь.

Сохраните настройки нажав на кнопку Save (Сохранить).

Проверьте пароль и подключитесь заново

Возможно, вы просто неправильно указали пароль (правда, тогда скорее всего будет идти постоянное подключение, по кругу. Но проверить нужно), и перед тем, как лезть в настройки маршрутизатора, советую это проверить.

Вы спросите, а как мне еще раз вести пароль, ведь запрос пароля не появляется. Нужно удалить подключение. Просто нажмите на Вашу сеть и выберите Удалить.

Теперь, нажмите снова на вашу сеть и введите пароль от Wi-Fi. Только убедитесь, что он правильный. Если забыли, то посмотрите пароль в настройках роутера, или на подключенном компьютере (если такие есть). Подробнее в этой статье.

Проверяем режим работы беспроводной сети

Мне кажется, что это главная причина. Просто Ваше устройство (телефон, планшет) может не поддерживать режим работы, в котором работает роутер.

Режим работы – это те непонятные буквы b/g/n, которые Вы наверное уже замечали в настройках маршрутизатора. Попробуйте поэкспериментировать с сменой режима. Не забывайте после каждого изменения перезагружать рутер и выключать/включать Wi-Fi на телефоне (планшете).

Вот я, установил n Only вместо Auto и выскочила ошибка. А если у Вас например уже в настройках указано n Only? Вот Вам и проблемы.

Подробно о смене режимов я писать не буду, я уже писал статью по этому вопросу Что такое b/g/n в настройках роутера? Изменяем режим работы беспроводной сети (Mode) в настройках Wi-Fi роутера.

Изменяем тип шифрования/безопасности, пароль

Может быть, что вашему устройству просто не нравится тип безопасности, или шифрования, который использует роутер. Или же не нравится пароль.

Попробуйте изменить эти настройки в маршрутизаторе. Вот статья для примера – https://f1comp.ru/bezopasnost/kak-ustanovit-izmenit-parol-dlya-wi-fi-seti-na-routere-tp-link-tl-wr841n/.

Советую установить такие значения:

WPA/WPA2 — Personal (Recommended)

Версия: WPA-PSK

Шифрование: AES

PSK Пароль (ключ) – не менее восьми символов и только цифры.

Сохраняем, перезагружаем роутер, удаляем подключение на телефоне, и подключаемся введя новый пароль.

Внимание! После изменения пароля, или других настроек безопасности, могут появится проблемы с подключением других устройств, которые уже были подключены к этой сети (компьютеры, ноутбуки, телевизоры).

Нужно удалить это подключение на устройствах и установить подключение еще раз. Вот статья Как удалить беспроводное сетевое соединение и подключиться заново к Wi-Fi?

Экспериментируем с каналом, на котором работает Wi-Fi сеть

Маловероятно конечно, но может быть. О том, что такое канал работы беспроводной сети, как его изменить и зачем, я писал в статье – Как изменить канал на Wi-Fi роутере? Зачем менять канал?.

Попробуйте поэкспериментировать, а вдруг поможет.

Ширина канал

Есть такой пункт в настройке Wi-Fi роутера, как Ширина канала. Если у Вас например TP-Link и меню на английском, то называется он Channel Width.

Там можно выбрать несколько вариантов: Auto, 20MHz и 40MHz – зависит от роутера. Попробуйте сначала установить Auto (или в Asus 20MHz/40MHz), если не поможет, то по отдельности.

Где изменить ширину канала?

Заходим в настройки роутера (адрес 192.168.1.1, или 192.168.0.1, вводим логин/пароль – смотрим снизу роутера).

Asus

Переходим на вкладку Беспроводная сеть и изменяем значение напротив Ширина канала.

TP-Link

Вкладка Wireless – Wireless Settings, пункт Channel Width.

Не забываем сохранять настройки и перезагружать маршрутизатор.

Послесловие

Написал вроде бы все, что хотел. Очень надеюсь, что мои советы Вам помогут. Вы избавитесь от этой проблемы и подружите свой телефон, или планшет с Wi-Fi роутером 🙂 .

Возможно Вы знаете другие решения этой проблемы, поделитесь ими в комментариях – буду благодарен!

Всего хорошего!

Расширенные параметры безопасности для политик проводных и беспроводных сетей

  • 4 минуты на чтение

В этой статье

Применимо к: Windows Server 2012

Политики беспроводной сети (IEEE 802.11) Дополнительные параметры и политики проводной сети (IEEE 802.11) определяют параметры, связанные с запросами проверки подлинности 802.1X.Для политик беспроводной сети (IEEE 802.11) расширенные настройки доступны только при включении Wi-Fi Protected Access 2 (WPA2) -Enterprise, WPA-Enterprise или Open with 802.1X в качестве параметра сетевой аутентификации на вкладке Security в Политике беспроводной сети (IEEE 802.11).

Расширенные настройки безопасности для политик беспроводной сети и политик проводной сети

IEEE 802.1X - настройки

Параметры IEEE 802.1X определяют поведение беспроводного клиента 802.1X запросы аутентификации.

Товар

Детали

Применять расширенные настройки 802.1x

Указывает, что перечисленные параметры применяются как настроенные:

  • Макс Eapol-Start Msgs

  • Период удержания (секунды)

  • Начальный период (секунды)

  • Период аутентификации (секунды)

Макс Eapol-Start Msgs

EAPOL - это протокол расширяемой аутентификации (EAP) по локальной сети (LAN).

Если на исходное сообщение EAPOL-Start не получено ответа, этот параметр определяет максимальное количество отправленных последующих сообщений EAPOL-Start.

По умолчанию = 3

Период ожидания (секунды)

После того, как клиент получил уведомление об ошибке аутентификации, этот параметр определяет количество секунд, в течение которых аутентифицирующий клиент ожидает, прежде чем он выполнит другой запрос аутентификации 802.1X.

По умолчанию = 60

Начальный период

Если на исходное сообщение EAPOL-Start не получен ответ, этот параметр определяет количество секунд между повторной передачей последующих сообщений EAPOL-Start.

По умолчанию = 5

Период авторизации

После инициации сквозной аутентификации 802.1X этот параметр определяет количество секунд, в течение которых аутентифицирующие клиенты должны ждать перед повторной передачей любых запросов 802.1X.

По умолчанию = 30

Единый вход - настройки

В Windows Server® 2008 и Windows Vista функция единого входа выполняет проверку подлинности 802.1X на основе конфигурации сетевой безопасности во время процесса входа пользователя в систему.Эта функция позволяет использовать сценарии, такие как обновления групповой политики, сценарии входа в систему и присоединение беспроводных клиентов к доменам, которые требуют подключения к сети до входа пользователя в систему.

Вы можете использовать параметры групповой политики для настройки профилей единого входа для ваших беспроводных клиентских компьютеров. Если настроен профиль единого входа, проверка подлинности 802.1X выполняется до входа компьютера в домен; у пользователей запрашивается учетная информация только в случае необходимости.

Товар

Детали

Включить единый вход для этой сети

Указывает, что для профиля беспроводной сети для этой сети активирован единый вход.

По умолчанию = Не активировано

Выполнять непосредственно перед входом пользователя в систему

Указывает, что система единого входа выполняет проверку подлинности 802.1X до завершения входа пользователя.

По умолчанию = Не активировано

Выполнять сразу после входа в систему

Указывает, что система единого входа выполняет аутентификацию 802.1x сразу после успешного входа пользователя в систему.

По умолчанию = Не активировано

Максимальная задержка подключения (секунды)

Задает максимальное время в секундах, в течение которого проверка подлинности 802.1X должна завершиться и разрешить доступ к сети. Этот параметр позволяет администратору сети определять максимальную продолжительность ожидания пользователя на экране входа в систему.

По умолчанию = 10

В этой сети используется другая VLAN для аутентификации с использованием учетных данных компьютера и пользователя

Указывает, что беспроводные компьютеры помещаются в одну виртуальную локальную сеть (VLAN) при запуске, а затем - в зависимости от разрешений пользователя - переходят в другую сеть VLAN после входа пользователя в систему.

Этот параметр используется в сценариях, где желательно разделять трафик с помощью VLAN. Например, одна VLAN, «VLAN-a», разрешает доступ только к аутентифицированным компьютерам, обычно с ограниченным набором ресурсов. Вторая VLAN, «VLAN-b», предоставляет аутентифицированным и авторизованным пользователям доступ к более широкому набору ресурсов, таким как электронная почта, серверы сборки или интрасеть.

По умолчанию = Не активировано

Настройки быстрого роуминга

Fast Roaming - это функция WPA2, которая использует предварительную аутентификацию и кэширование парного главного ключа (PMK), чтобы позволить беспроводным клиентам быстрее перемещаться между точками беспроводного доступа (AP).

Параметры быстрого роуминга

доступны только при включении WPA2-Enterpries на вкладке «Безопасность» в политике беспроводной сети Windows Vista (IEEE 802.11).

Товар

Детали

Включить кэширование парного главного ключа (PMK)

Указывает, что кэширование парных главных ключей (PMK) используется для быстрого роуминга WPA2.

По умолчанию = Включено

Время жизни PMK (минуты)

Определяет продолжительность в минутах, в течение которой PMK хранится в кэше.

По умолчанию = 720

Количество записей в кэше PMK

Задает максимальное количество записей PMK, которые хранятся в кэше.

По умолчанию = 128

В этой сети используется предварительная аутентификация

Указывает, что предварительная аутентификация используется для быстрого роуминга WPA2.

Предварительная аутентификация позволяет беспроводным клиентам WPA2, подключенным к одной беспроводной точке доступа, выполнять аутентификацию 802.1X с другими беспроводными точками доступа в пределах ее диапазона. Предварительная аутентификация сохраняет PMK и связанную с ним информацию в кэше PMK. Когда беспроводной клиент подключается к беспроводной AP, с которой он прошел предварительную аутентификацию, он использует кэшированную информацию PMK, чтобы сократить время, необходимое для аутентификации и подключения.

Примечание

Предварительная аутентификация клиента WPA2 возможна только с беспроводными точками доступа, которые транслируют возможность предварительной аутентификации в сообщениях Beacon и Probe Response.

По умолчанию = Включено

Максимальное количество попыток предварительной аутентификации

Задает максимально допустимые попытки предварительной аутентификации.

Этот параметр доступен только при выборе Эта сеть использует предварительную аутентификацию .

По умолчанию = 3

Товар

Детали

Выполнять шифрование в режиме сертификации FIPS 140-2

Указывает, что беспроводная передача данных соответствует режиму 140-2 Федерального стандарта обработки информации (FIPS) для криптографии.FIPS 140-2 - это стандарт компьютерной безопасности правительства США, который используется для сертификации криптографических модулей.

По умолчанию = не включено

Дополнительные ресурсы

Дополнительные сведения о параметрах беспроводной связи в групповой политике см. В разделе «Управление новой беспроводной сетью (IEEE 802.11)» Параметры политик

Дополнительные сведения о параметрах беспроводной связи в групповой политике см. В разделе «Управление новой проводной сетью (IEEE 802.3)» Параметры политик

Какой вид защищенного доступа Wi-Fi следует использовать для защиты вашего предприятия?

Aug 8,2019

При исследовании безопасности WiFi первым уровнем защиты является метод, используемый для аутентификации в сети.Наиболее широко используемые методы аутентификации - это открытая аутентификация, WPA2-PSK (Pre-Shared Key) и WPA2-Enterprise (подробнее о протоколах WPA см. Ниже).

Также используются другие методы аутентификации, такие как WEP (Wired Equivalent Privacy) и WPA-PSK (без 2, также называемый WPA-Personal), но их относительно легко взломать, и поэтому о них не стоит упоминать, кроме сделав здесь общее замечание - полностью избегать их.

Открытая аутентификация

Как следует из названия, открытая сеть аутентификации разрешает доступ всем, и пользователям не требуется проходить аутентификацию на уровне ассоциации.Важно знать, что открытые сети не зашифрованы, поэтому все, что передается, может увидеть любой, кто находится поблизости.

Лучшая практика безопасности - полностью избегать подключения к открытым сетям. Если необходимо срочно подключиться, лучше не разрешать устройствам подключаться автоматически, а выбрать сеть вручную в настройках устройства. Открытые сети легко подделать, и инструменты взлома, такие как Pineapple , используют тот факт, что мобильные устройства постоянно ищут возможность автоматического подключения к открытой сети.Эти инструменты выполняют атаки типа «злоумышленник посередине» для кражи таких данных, как пароли, кредитные карты и т. Д.

WPA / WPA2 / WPA3

WPA означает защищенный доступ WiFi . Этот метод аутентификации использует разные алгоритмы шифрования для шифрования транспорта. Следовательно, такой тип сети не может быть легко создан, в отличие от открытых сетей, и пользователи получают конфиденциальность. Сегодня WPA2, вероятно, является наиболее часто используемым методом защиты сетей Wi-Fi.

К сожалению, протоколы WPA и WPA2 были взломаны и считаются менее безопасными.Выполнение взлома WPA2 требует много времени и носит несколько теоретический характер. Постепенно мы замечаем переход к методу WPA3, но для этого необходима другая инфраструктура для поддержки этого протокола.

WPA2-PSK

WPA2-PSK (и WPA3-PSK) - это защищенный доступ Wi-Fi (WPA) с предварительным общим ключом. Проще говоря, это общий пароль для доступа к сети Wi-Fi. Этот метод обычно используется в домашних и небольших офисных сетях Wi-Fi. Даже в небольшом офисе использование этого метода проблематично, потому что каждый раз, когда сотрудник покидает компанию, пароль необходимо менять; в противном случае бывший сотрудник все еще мог подключиться к корпоративной сети Wi-Fi.

Кроме того, сотрудники, как правило, сообщают пароль гостям, посетителям и подрядчикам в здании, и вы не должны подключать все здание к Интернету за ваш счет, рискуя при этом безопасностью ваших данных и активов.

WPA2-предприятие

Этот метод, также называемый режимом WPA-802.1X, аутентифицируется в WiFi с использованием разных идентификаторов вместо одного пароля. Удостоверение может быть учетными данными (пользователь + пароль) или цифровым сертификатом.

Этот метод аутентификации лучше подходит для корпоративных сетей и обеспечивает гораздо лучшую безопасность для беспроводных сетей. Обычно для этого требуется сервер аутентификации RADIUS, а также процесс настройки для различных репозиториев, что позволяет организации аутентифицировать разные типы конечных точек.

Базовые протоколы для защиты аутентификации различаются между различными протоколами расширяемой аутентификации, такими как EAP-TTLS / EAP-TLS, EAP-PEAP, каждый из которых представляет разные типы метода аутентификации и уровень безопасности.

С WPA2-Enterprise можно использовать расширенные функции, такие как назначение каждой конечной точки после аутентификации определенной VLAN или назначение ACL (списков контроля доступа) определенным разделам. Кроме того, предприятия могут проверить соединение с дополнительными деталями. Эти функции важны, поскольку они позволяют предприятиям должным образом защитить свои беспроводные сети и убедиться, что они соответствуют передовым практикам безопасности.

Portnox ПРОЗРАЧНЫЙ

CLEAR - это SaaS, облачное решение для управления доступом Wi-Fi, которое позволяет защитить ваш Wi-Fi на основе WPA2 / 3-Enterprise , используя личные данные или цифровые сертификаты.CLEAR поддерживает широкий спектр поставщиков аутентификации, от локальной AD до облачных поставщиков, таких как GSuite и Azure AD. CLEAR поставляется с облаком RADIUS, поэтому нет накладных расходов, поскольку нет оборудования для установки или обслуживания. Для развертывания и эксплуатации не требуется никакого обучения или квалифицированного персонала. Менее чем за 10 минут крупные и малые компании развертывают систему безопасности Wi-Fi CLEAR корпоративного уровня.

См. Демонстрацию CLEAR - Заполните эту форму:

Офер Амитаи

Генеральный директор и соучредитель

В качестве генерального директора и соучредителя Portnox Офер отвечает за повседневные операции и определяет стратегическое направление Portnox.Офер имеет более чем 20-летний опыт работы в области сетевой безопасности: от управления подразделением безопасности в Xpert Integrated Systems до должности регионального директора по безопасности Microsoft. Офер является проверенным новатором и идейным лидером в области сетевой безопасности. Имеет степень бакалавра наук. в области компьютерных наук.

Знакомство с обновленными стандартами WPA и WPA2

Если проблема обеспечения безопасности беспроводной локальной сети еще не была достаточно запутанной, ситуация только ухудшилась.Путаница началась в прошлом месяце, когда Wi-Fi Alliance изменил стандарты WPA и WPA2 с поддержки единого стандарта EAP (Extensible Authentication Protocol) на пять стандартов EAP. Хотя это расширило стандарты WPA / WPA2, сделав их более инклюзивными, решение Wi-Fi Alliance не переименовывать обновленные стандарты WPA и WPA2 вызывает массовую неразбериху в ИТ-индустрии. Этого можно было бы избежать, если бы Wi-Fi Alliance назвал обновленные стандарты «WPA + Extended EAP» и «WPA2 + Extended EAP», потому что это позволило бы легко отличить старые сертифицированные WPA / WPA2 продукты от более новых WPA / WPA2. сертифицированные продукты, которые будут поддерживать пять типов EAP вместо одного.В моем предыдущем рассказе, когда Gartner выдал ложную тревогу по поводу нового патча Microsoft WPA2, что привело к резким мрачным предупреждениям от прессы, я попытался представить некоторый надлежащий контекст ситуации. Поскольку рассказ затрагивал сложную тему стандартов EAP (Extended Authentication Protocol), он вызвал больше вопросов, чем ответов для среднего читателя, который хотел знать, что, черт возьми, все эти стандарты EAP по отношению к стандарту WPA / WPA2. В этой статье подробно рассматривается стандарт WPA / WPA2 и пять стандартов EAP, которые в настоящее время сертифицированы Wi-Fi Alliance.

Стандарты WPA и WPA2 были созданы отраслевой группой Wi-Fi Alliance, которая способствует взаимодействию и безопасности в индустрии беспроводных локальных сетей. Стандарты Wi-Fi Alliance WPA и WPA2 полностью повторяют официальную группу стандартов безопасности беспроводной локальной сети IEEE 802.11i, но включают дополнительные стандарты IETF EAP, которые Wi-Fi Alliance считает безопасными. Стандарты WPA и WPA2 включают два компонента (шифрование и аутентификацию), которые имеют решающее значение для безопасной беспроводной локальной сети. Часть шифрования WPA и WPA2 требует использования TKIP или, поскольку он считается более безопасным, чем TKIP, предпочтительно шифрования AES.С точки зрения шифрования, WPA оставляет AES необязательным, в то время как WPA2 требует наличия как TKIP, так и AES. Часть аутентификации WPA и WPA2 перед обновлением расширенного EAP требовала использования PSK (Pre-Shared Key) для персонального режима и EAP-TLS для корпоративного режима. После обновления Extended EAP теперь есть пять стандартов EAP на выбор в корпоративном режиме WPA и WPA2.

Примечание: Помимо более строгих требований к шифрованию, WPA2 также добавляет два улучшения для поддержки быстрого роуминга беспроводных клиентов, перемещающихся между точками беспроводного доступа.Поддержка кэширования PMK (парный главный ключ, используемый для каждого сеанса между точкой доступа и беспроводным клиентом) в WPA2 позволяет повторно подключаться к точке доступа, к которой вы недавно подключились, без необходимости повторной аутентификации. Поддержка предварительной аутентификации в WPA2 позволяет клиенту предварительно аутентифицироваться в точке доступа, к которой он движется, при этом сохраняя соединение с точкой доступа, от которой он движется. Эта новая возможность позволяет осуществлять роуминг менее чем за 1/10 секунды, в то время как традиционный роуминг без кэширования PMK и предварительной аутентификации может занять более одной секунды.Приложения, чувствительные к времени, такие как Citrix, видео или VoIP, не работают без быстрого роуминга.

Чтобы дать вам некоторый исторический контекст для некоторых важных типов EAP, EAP-TTLS и PEAP были в первую очередь созданы, потому что исходный стандарт EAP-TLS считался слишком сложным для развертывания из-за необходимости серверного цифрового сертификата x.509 на сервер аутентификации RADIUS и цифровой сертификат x.509 на стороне клиента на каждом клиентском компьютере, который должен подключаться к беспроводной локальной сети.Хотя требование сертификата на стороне сервера было не таким уж плохим, потому что обычно существует только несколько серверов RADIUS, которым требуются сертификаты, требование на стороне клиента было причиной серьезной озабоченности из-за их огромного количества. Поскольку для сертификата на стороне клиента требуется наличие инфраструктуры PKI-сервера (что редко для большинства организаций) или наличие дорогостоящих сторонних сертификатов, он автоматически исключил EAP-TLS как возможный вариант для большинства организаций и заставил их использовать меньше безопасные формы EAP, такие как проприетарный протокол Cisco LEAP.EAP-TTLS и PEAP были созданы, чтобы устранить необходимость в сертификатах на стороне клиента, но по-прежнему использовать сертификат на стороне сервера для создания безопасного туннеля TLS для защиты «внутренних методов аутентификации», таких как EAP-MSCHAPv2 и EAP-GTC, от перехвата и прослушивания. офлайн-словарь и атаки методом перебора. Концептуально это работает так же, как безопасность электронной коммерции с веб-сайтами с поддержкой SSL, где сертификат на стороне сервера веб-сервера используется для создания безопасного туннеля SSL, даже если посетители защищенного веб-сайта не имеют цифровых сертификатов на стороне клиента. .

Текущие стандарты EAP, сертифицированные WPA / WPA2:

  • EAP-TLS (изначально сертифицированный протокол)
  • EAP-TTLS / MSCHAPv2
  • PEAPv0 / EAP-MSCHAPv2
  • PEAPv1 / EAP 9-GTC
  • SIM

EAP-TLS - это исходный протокол аутентификации EAP в беспроводной локальной сети. Хотя это редко реализуется из-за крутой кривой развертывания, он по-прежнему считается одним из самых безопасных доступных стандартов EAP и повсеместно поддерживается всеми производителями оборудования и программного обеспечения для беспроводных локальных сетей, включая Microsoft.Требование сертификата на стороне клиента, каким бы непопулярным оно ни было, обеспечивает надежность аутентификации EAP-TLS. Скомпрометированного пароля недостаточно для взлома систем с поддержкой EAP-TLS, потому что хакеру по-прежнему нужен сертификат на стороне клиента. Когда сертификаты на стороне клиента размещены в смарт-картах, это предлагает наиболее безопасное решение для аутентификации, поскольку невозможно украсть сертификат со смарт-карты, не похитив саму смарт-карту. Любая физическая кража смарт-карты будет немедленно замечена и отменена, и будет выпущена новая смарт-карта.Вплоть до прошлого месяца это был единственный поставщик типа EAP, который должен был сертифицировать логотип WPA или WPA2. Существуют клиентские и серверные реализации этого в Microsoft, Cisco, Apple, Linux и с открытым исходным кодом. EAP-TLS изначально поддерживается в MAC OS 10.3 и выше, Windows 2000 SP4, Windows XP, Windows Mobile 2003 и выше и Windows CE 4.2.

Примечание: Хотя Windows 2000 поддерживает аутентификацию EAP-TLS и PEAPv0 / EAP-MSCHAPv2, она не поддерживает шифрование WPA или WPA2, в то время как все другие упомянутые более новые операционные системы поддерживают WPA.Windows XP с пакетом обновления 2 и новым патчем WPA2 в настоящее время является единственной операционной системой, которая изначально поддерживает WPA2.

EAP-TTLS был создан Funk Software и Certicom и в основном поддерживается программным обеспечением Funk и другим сторонним серверным и клиентским программным обеспечением. Хотя это прекрасный протокол и даже лучше, чем PEAP, он изначально не поддерживается в клиентах Microsoft Windows, таких как Windows 2000, XP, Mobile 2003 или CE. Поддержка на стороне сервера также отсутствует в Microsoft Windows 2003 server и Cisco ACS (Access Control Server).Где EAP-TTLS сияет над аутентификацией PEAP, так это то, что имя пользователя не отображается в виде открытого текста, что может предотвратить некоторые DoS-атаки (отказ в обслуживании), когда кто-то может злонамеренно повторно входить в систему с правильным именем пользователя и неправильным паролем, чтобы заблокировать это аккаунт пользователя. Аутентификация PEAP защищает только часть пароля с помощью надежного туннеля TLS, но транслирует имя пользователя в открытом виде. Я видел инструменты, которые реализовывали эту форму атаки, но никогда не видел, чтобы она использовалась в дикой природе, поскольку в основном это просто раздражало людей и привлекало нежелательное внимание к хакеру.

PEAPv0 / EAP-MSCHAPv2 - это технический термин для , который люди чаще всего называют «PEAP» . Всякий раз, когда используется слово PEAP, оно почти всегда относится к этой форме PEAP, поскольку большинство людей понятия не имеют, что существует так много разновидностей PEAP. После EAP-TLS PEAPv0 / EAP-MSCHAPv2 является вторым наиболее широко поддерживаемым стандартом EAP в мире. Существуют клиентские и серверные реализации этого в Microsoft, Cisco, Apple, Linux и с открытым исходным кодом. PEAPv0 / EAP-MSCHAPv2 изначально поддерживается в MAC OS 10.3 и выше, Windows 2000 SP4, Windows XP, Windows Mobile 2003 и выше и Windows CE 4.2. Реализация PEAPv0 / EAP-MSCHAPv2 на стороне сервера, называемая IAS (Internet Authentication Service), также включена в сервер Windows 2003. PEAPv0 / EAP-MSCHAPv2 пользуется универсальной поддержкой и известен как стандарт PEAP.

PEAPv1 / EAP-GTC был создан Cisco как альтернатива PEAPv0 / EAP-MSCHAPv2. Он позволяет использовать протокол внутренней аутентификации, отличный от MSCHAPv2 от Microsoft.Несмотря на то, что Microsoft (вместе с RSA и Cisco) совместно изобрела стандарт PEAP, Microsoft никогда не добавляла поддержку PEAPv1 в целом, что означает, что PEAPv1 / EAP-GTC не имеет встроенной поддержки ОС Windows. Поскольку Cisco всегда предпочитала использование собственных менее безопасных проприетарных протоколов LEAP и EAP-FAST вместо PEAP и продает их как более простые решения без сертификатов, Cisco редко продвигает стандартизованный протокол PEAP. Cisco получит монополию на рынке точек доступа, если повсеместно будут приняты протоколы LEAP или EAP-FAST.В результате большинство клиентов Cisco используют менее безопасные и проприетарные протоколы аутентификации LEAP или EAP-FAST, потому что они проглотили Cisco Kool-Aid. Из-за отсутствия интереса со стороны Microsoft к поддержке PEAPv1 и небольшого интереса со стороны Cisco к продвижению PEAP в целом аутентификация PEAPv1 используется редко. Для этого протокола EAP нет собственной поддержки ОС.

Примечание: Стандарт PEAP был создан Microsoft, Cisco и RSA после того, как EAP-TTLS уже появился на рынке.Даже с его поздним запуском размеры Microsoft и Cisco позволили им быстро обогнать EAP-TTLS на рынке. Microsoft и Cisco разошлись, когда Microsoft поддержала только стандарт PEAPv0, в то время как Cisco поддержала и PEAPv0, и PEAPv1. PEAPv0 и PEAPv1 относятся к методу внешней аутентификации и являются механизмом, который создает безопасный туннель TLS для защиты последующих транзакций аутентификации, в то время как EAP-MSCHAPv2, EAP-GTC и EAP-SIM относятся к методу внутренней аутентификации, который упрощает аутентификацию пользователя или устройства. .С точки зрения Cisco, PEAPv0 поддерживает внутренние методы EAP EAP-MSCHAPv2 и EAP-SIM, а PEAPv1 поддерживает внутренние методы EAP EAP-GTC и EAP-SIM. Поскольку Microsoft поддерживает только PEAPv0 и не поддерживает PEAPv1, Microsoft просто вызывает PEAPv0 PEAP без указателя v0 или v1. Еще одно различие между Microsoft и Cisco заключается в том, что Microsoft поддерживает только режим PEAPv0 / EAP-MSCHAPv2, но не поддерживает режим PEAPv0 / EAP-SIM. Однако Microsoft поддерживает другую форму PEAPv0 (которую Microsoft называет PEAP-EAP-TLS), которую Cisco и другое стороннее серверное и клиентское программное обеспечение не поддерживает.PEAP-EAP-TLS требует наличия цифрового сертификата на стороне клиента, расположенного на жестком диске клиента, или более безопасной смарт-карты. PEAP-EAP-TLS очень похож по работе с исходным EAP-TLS, но обеспечивает немного большую защиту из-за того, что части клиентского сертификата, не зашифрованные в EAP-TLS , зашифрованы в PEAP-EAP-TLS. Поскольку немногие сторонние клиенты и серверы поддерживают PEAP-EAP-TLS, пользователям, вероятно, следует избегать его, если только они не собираются использовать только настольные клиенты и серверы Microsoft.В конечном счете, PEAPv0 / EAP-MSCHAPv2 - единственная форма PEAP, которую когда-либо узнает большинство людей. PEAP настолько успешен на рынке, что даже у Funk Software, изобретателя и покровителя EAP-TTLS, не было другого выбора, кроме как поддерживать PEAP в своем серверном и клиентском программном обеспечении для беспроводных сетей.

EAP-SIM был создан для индустрии мобильной связи GSM, которая поддерживает использование SIM-карт для аутентификации. Wi-Fi Alliance пытается расширить поддержку за пределы обычной беспроводной локальной сети, но типичный ИТ-директор, вероятно, не слишком заботится об этом, потому что это не то, чем они будут пользоваться.Для этого протокола EAP нет собственной поддержки ОС.

Суть в том, что текущий стандарт WPA2 полностью сформирован и обеспечивает надежную безопасность беспроводной локальной сети. WPA2 обеспечивает надежное шифрование военного уровня и широкий выбор надежных и самых надежных протоколов аутентификации. EAP-TLS и PEAPv0 / EAP-MSCHAPv2 с поддержкой универсальной платформы являются де-факто стандартами EAP в аутентификации беспроводной локальной сети. PEAPv0 / EAP-MSCHAPv2 обеспечивает надежную однофакторную безопасность, в то время как EAP-TLS обеспечивает самую надежную схему двухфакторной аутентификации в безопасности беспроводной локальной сети.

WPA2-Enterprise и 802.1x упрощенный

Протокол

WPA2-Enterprise существует с 2004 года и до сих пор считается золотым стандартом безопасности беспроводных сетей, обеспечивая шифрование по воздуху и высокий уровень безопасности. В сочетании с эффективным методом аутентификации, известным как 802.1x для Cloud RADIUS, пользователи успешно авторизовались для безопасного доступа к сети в течение многих лет. Но за то время WPA2-Enterprise не стало проще настраивать вручную.Независимо от того, развертываете ли вы беспроводную сеть впервые или являетесь опытным экспертом, всегда есть уникальные задачи, готовые вызвать у вас головную боль. К счастью, существуют проверенные и надежные сетевые решения, которые пытаются исправить возникающие у вас проблемы с сетью.

WPA2-PSK и WPA2-Enterprise: в чем разница?

WPA2-PSK

WPA2-PSK (Wi-Fi Protected Access 2 Pre-Shared Key) - это тип сети, защищенной одним паролем, общим для всех пользователей.Принято считать, что один пароль для доступа к Wi-Fi безопасен, но только в той мере, в какой вы доверяете тем, кто его использует. В противном случае проникновение в сеть для кого-то, кто получил пароль зловредным путем, является тривиальным делом. Вот почему WPA2-PSK часто считается небезопасным.

Есть только несколько ситуаций, в которых следует развернуть WPA2-PSK:

  • В сети всего несколько устройств, и все они являются доверенными. Это может быть дом или небольшой офис.
  • Как способ запретить случайным пользователям присоединяться к открытой сети, когда им не удается развернуть перехватывающий портал.Это может быть кофейня или гостевая сеть.
  • В качестве альтернативы сети для устройств, несовместимых со стандартом 802.1x. Пример - игровые приставки в студенческом общежитии.

WPA3-PSK

Для повышения эффективности PSK обновления WPA3-PSK обеспечивают большую защиту за счет улучшения процесса аутентификации. Стратегия для этого использует одновременную аутентификацию равных (SAE), чтобы значительно усложнить хакерские атаки по словарю. Этот протокол требует взаимодействия со стороны пользователя при каждой попытке аутентификации, что приводит к значительному замедлению работы тех, кто пытается перебором пройти процесс аутентификации.

WPA2-предприятие

Для развертывания WPA2-Enterprise требуется сервер RADIUS, который выполняет задачу аутентификации доступа пользователей сети. Фактический процесс аутентификации основан на политике 802.1x и осуществляется в нескольких различных системах, обозначенных EAP. Поскольку каждое устройство аутентифицируется перед подключением, между устройством и сетью фактически создается личный зашифрованный туннель.

WPA3-предприятие

Значительное улучшение, которое предлагает WPA3-Enterprise, - это требование, чтобы проверка сертификата сервера была настроена для подтверждения личности сервера, к которому устройство подключается.

Хотите узнать больше о WPA3? Подробная информация об изменениях, которые WPA3 внесет в эту статью.

Развертывание WPA2-Enterprise и 802.1x


Для работы 802.1x необходимо всего несколько компонентов. На самом деле, если у вас уже есть точки доступа и немного свободного места на сервере, у вас есть все оборудование, необходимое для обеспечения безопасности беспроводной сети. Иногда вам даже не нужен сервер: некоторые точки доступа поставляются со встроенным программным обеспечением, которое может работать со стандартом 802.1x (но только для самых маленьких из небольших развертываний). Независимо от того, покупаете ли вы профессиональные решения или создаете собственное из инструментов с открытым исходным кодом, качество и простота 802.1x полностью зависят от дизайна.

Компоненты 802.1x

Клиент / истец

Чтобы устройство могло участвовать в аутентификации 802.1x, оно должно иметь часть программного обеспечения, называемую соискателем, установленную в сетевом стеке. Соискатель необходим, поскольку он будет участвовать в начальном согласовании транзакции EAP с коммутатором или контроллером и упаковать учетные данные пользователя в соответствии со стандартом 802.1x. Если у клиента нет соискателя, кадры EAP, отправленные с коммутатора или контроллера, будут проигнорированы, и коммутатор не сможет аутентифицироваться.

К счастью, почти все устройства, которые мы могли бы ожидать подключения к беспроводной сети, имеют встроенный соискатель. SecureW2 предоставляет запрашивающее устройство 802.1x для устройств, у которых его изначально нет.

К счастью, подавляющее большинство производителей устройств имеют встроенную поддержку 802.1x. Наиболее частыми исключениями из этого правила могут быть потребительское оборудование, такое как игровые консоли, развлекательные устройства или некоторые принтеры.Вообще говоря, эти устройства должны составлять менее 10% устройств в вашей сети, и их лучше рассматривать как исключение, а не как фокус.

Коммутатор / точка доступа / контроллер

Коммутатор или беспроводной контроллер играет важную роль в транзакции 802.1x, выступая в качестве «брокера» при обмене. До успешной аутентификации у клиента нет подключения к сети, и связь осуществляется только между клиентом и коммутатором в обмене 802.1x.Коммутатор / контроллер инициирует обмен, отправляя клиенту пакет EAPOL-Start, когда клиент подключается к сети. Ответы клиента пересылаются на правильный сервер RADIUS в зависимости от конфигурации в настройках безопасности беспроводной сети. По завершении аутентификации коммутатор / контроллер принимает решение, разрешать ли устройству доступ к сети, на основе статуса пользователя и, возможно, атрибутов, содержащихся в пакете Access_Accept, отправленном с сервера RADIUS.

Если сервер RADIUS отправляет пакет Access_Accept в результате аутентификации, он может содержать определенные атрибуты, которые предоставляют коммутатору информацию о том, как подключить устройство к сети. Общие атрибуты будут указывать, какую VLAN назначить пользователю, или, возможно, набор ACL (список управления доступом), который должен быть предоставлен пользователю после подключения. Это обычно называется «назначением политики на основе пользователя», поскольку сервер RADIUS принимает решение на основе учетных данных пользователя. Обычными вариантами использования было бы подтолкнуть гостевых пользователей к «гостевой VLAN», а сотрудников - к «Employee VLAN».

Сервер RADIUS

Локальный или облачный сервер RADIUS действует как «охранник» сети; когда пользователи подключаются к сети, RADIUS аутентифицирует их личность и авторизует их для использования в сети. Пользователь становится авторизованным для доступа к сети после регистрации сертификата из PKI (инфраструктуры закрытых ключей) или подтверждения своих учетных данных. Каждый раз, когда пользователь подключается, RADIUS подтверждает, что у него есть правильный сертификат или учетные данные, и предотвращает доступ к сети неутвержденных пользователей.Ключевым механизмом безопасности, который следует использовать при использовании RADIUS, является проверка сертификата сервера. Это гарантирует, что пользователь подключается к сети, в которой он намеревается, только настроив свое устройство на подтверждение идентичности RADIUS путем проверки сертификата сервера. Если сертификат не тот, который устройство ищет, оно не будет отправлять сертификат или учетные данные для аутентификации.

Серверы RADIUS

также могут использоваться для аутентификации пользователей из другой организации. В решениях, подобных Eduroam, серверы RADIUS работают как прокси (например, RADSEC), поэтому, если студент посещает соседний университет, сервер RADIUS может подтвердить его статус в домашнем университете и предоставить им безопасный доступ к сети в университете, который они в настоящее время посещают.

Магазин идентификационной информации

Хранилище удостоверений относится к объекту, в котором хранятся имена пользователей и пароли. В большинстве случаев это Active Directory или, возможно, сервер LDAP. Практически любой сервер RADIUS может подключаться к вашему AD или LDAP для проверки пользователей. При использовании LDAP есть несколько предостережений, особенно в отношении того, как пароли хэшируются на сервере LDAP. Если ваши пароли не хранятся в виде открытого текста или хэша NTLM, вам нужно будет тщательно выбирать методы EAP, поскольку некоторые методы, такие как EAP-PEAP, могут быть несовместимы.Это проблема не из-за серверов RADIUS, а из-за хэша пароля.

SecureW2 может помочь вам настроить SAML для аутентификации пользователей любого поставщика удостоверений для доступа к Wi-Fi. Вот руководства по интеграции с некоторыми популярными продуктами.

Чтобы настроить аутентификацию SAML в Google Workspace, нажмите здесь.

Настройка WPA2-Enterprise с Okta, щелкните здесь.

Чтобы получить руководство по аутентификации SAML с помощью Shibboleth, щелкните здесь.

Чтобы настроить WPA2-Enterprise с ADFS, щелкните здесь.

Разработка надежной сети WPA2-Enterprise требует дополнительных задач, таких как настройка PKI или CA (центра сертификации), для беспрепятственного распространения сертификатов среди пользователей. Но вопреки тому, что вы думаете, вы можете выполнить любое из этих обновлений, не покупая новое оборудование или не внося изменений в инфраструктуру. Например, развертывание гостевого доступа или изменение метода аутентификации можно выполнить без дополнительной инфраструктуры. В последнее время многие учреждения переключают методы EAP с PEAP на EAP-TLS после того, как заметили заметное улучшение времени соединения и возможности роуминга или переключения с физического сервера RADIUS на решение Cloud RADIUS.Улучшение функциональности беспроводных сетей можно получить, не меняя ни одного элемента оборудования.

WPA2-Корпоративные протоколы

Ниже приводится краткое описание основных протоколов аутентификации WPA2-Enterprise. Если вам нужно более подробное сравнение и сопоставление, прочитайте полную статью.

EAP-TLS

EAP-TLS - это протокол на основе сертификатов, который широко считается одним из самых безопасных стандартов EAP, поскольку он устраняет риск кражи учетных данных по беспроводной сети.Кроме того, это протокол, который обеспечивает наилучшее взаимодействие с пользователем, поскольку исключает отключение, связанное с паролем, из-за политик смены пароля. Раньше существовало неправильное представление о том, что аутентификацию на основе сертификатов сложно настроить и / или управлять, но теперь многие считают, что EAP-TLS на самом деле проще в настройке и управлении, чем другие протоколы.
Хотите узнать больше о преимуществах EAP-TLS и о том, как SecureW2 может помочь вам внедрить его в вашей собственной сети? Нажмите на ссылку!

EAP-TTLS / PAP

EAP-TTLS / PAP - это протокол на основе учетных данных, который был создан для упрощения настройки, поскольку он требует только аутентификации сервера, а аутентификация пользователя является необязательной.TTLS создает «туннель» между клиентом и сервером и дает вам несколько вариантов аутентификации.

Но TTLS содержит много уязвимостей. Процесс настройки может быть трудным для неопытных пользователей сети, а одно неверно настроенное устройство может привести к значительным потерям для организации. Протокол позволяет пересылать учетные данные по воздуху в открытом виде, который может быть уязвим для кибератак, таких как Man-In-The-Middle, и легко перепрофилирован для достижения целей хакера.

Если вы хотите узнать больше об уязвимостях TTLS-PAP, прочтите полную статью здесь.

PEAP-MSCHAPv2

PEAP-MSCHAPv2 - это протокол на основе учетных данных, разработанный Microsoft для сред Active Directory. Хотя это один из самых популярных методов аутентификации WPA2-Enterprise, PEAP-MSCHAPv2 не требует настройки проверки сертификата сервера, что делает устройства уязвимыми для кражи учетных данных по беспроводной сети. Неправильная конфигурация устройства, оставленная конечным пользователям, является относительно обычным явлением, поэтому большинство организаций полагаются на программное обеспечение для подключения к сети для настройки устройств для PEAP-MSCHAPv2.Прочтите, как College of William & Mary преобразовал аутентификацию PEAP-MSCHAPv2 в EAP-TLS, чтобы обеспечить более стабильную аутентификацию для пользователей сети.
Для получения дополнительной информации о PEAP MSCHAPv2 прочтите эту статью.


Методы аутентификации 802.1x

Прежде чем пользователи смогут проходить аутентификацию для повседневного доступа к сети, они должны быть подключены к защищенной сети. Подключение - это процесс проверки и утверждения пользователей, чтобы они могли подключиться к защищенной сети, используя форму идентификации, такую ​​как имя пользователя / пароль или сертификаты.Этот процесс часто становится значительным бременем, поскольку он требует от пользователей настройки своих устройств для работы в сети. Для обычных пользователей сети этот процесс может оказаться слишком сложным, поскольку для понимания этапов требуется высокий уровень ИТ-знаний. Например, университеты в начале учебного года сталкиваются с этим при подключении сотен или даже тысяч студенческих устройств, что приводит к длинным очередям заявок на поддержку. Адаптация клиентов предлагает простую в использовании альтернативу, которая позволяет конечным пользователям легко самостоятельно настраивать свои устройства за несколько шагов, экономя пользователям и ИТ-администраторам массу времени и денег.

Аутентификация на основе пароля

Подавляющее большинство методов аутентификации полагаются на имя пользователя / пароль. Его проще всего развернуть, поскольку в большинстве организаций уже настроены какие-либо учетные данные, но сеть подвержена всем проблемам с паролями без системы подключения (см. Ниже).

Для аутентификации на основе пароля есть два основных варианта: PEAP-MSCHAPv2 и EAP-TTLS / PAP. Они оба работают одинаково, но TTLS не поддерживается ни одной ОС Microsoft до Windows 8 без использования стороннего стандарта 802.1x соискатель, такой как наш корпоративный клиент. На данный момент большинство организаций развернули или перешли на PEAP. Однако вы не можете развернуть PEAP без использования Active Directory (проприетарной службы Microsoft) или без использования паролей в незашифрованном виде.

Аутентификация на основе токенов

Исторически токены представляли собой физические устройства в виде брелоков или ключей, которые распространялись среди пользователей. Они генерировали числа синхронно с сервером, чтобы добавить дополнительную проверку соединения.Несмотря на то, что вы можете носить их с собой и использовать расширенные функции, такие как сканеры отпечатков пальцев или USB-плагины, у ключей есть недостатки. Они могут быть дорогими и, как известно, иногда теряют связь с серверами.

Физические токены

все еще используются, но их популярность падает, поскольку смартфоны сделали их избыточными. То, что когда-то было загружено на брелок, теперь можно поместить в приложение. Кроме того, существуют другие методы двухфакторной аутентификации помимо самого метода EAP, такие как подтверждение по тексту или электронной почте для проверки устройства.

Аутентификация на основе сертификатов

Сертификаты

долгое время были основой аутентификации в целом, но обычно не развертываются в настройках BYOD, поскольку сертификаты требуют, чтобы пользователи устанавливали их на свои собственные устройства. Однако после установки сертификата они становятся удивительно удобными: на них не влияют политики смены паролей, они намного безопаснее, чем имена пользователей / пароли, и устройства аутентифицируются быстрее.

Сервисы PKI

SecureW2 в сочетании с клиентом подключения JoinNow создают готовое решение для аутентификации Wi-Fi на основе сертификатов.Эффективная PKI обеспечивает всю необходимую инфраструктуру для реализации сети на основе сертификатов и поддерживает безопасность и распространение всех сетевых сертификатов. Теперь организации могут беспрепятственно распространять сертификаты на устройства и легко управлять ими с помощью наших мощных функций управления сертификатами.


WPA2-Enterprise Challenges

По нашему опыту мы обнаружили, что средняя сеть WPA2-Enterprise страдает от сочетания этих четырех проблем:

Недостаток №1: Вариант устройства

Когда IEEE создал 802.1x в 2001 году было несколько устройств, которые могли использовать беспроводной доступ, и управление сетью было намного проще. С тех пор количество производителей устройств резко возросло с развитием мобильных вычислений. Чтобы дать некоторую перспективу, сегодня существует больше разновидностей Android, чем было целых операционных систем в 2001 году.

Поддержка 802.1x несовместима между устройствами, даже между устройствами с одной и той же ОС. Каждое устройство обладает уникальными характеристиками, из-за которых они могут вести себя непредсказуемо.Эта проблема усугубляется уникальными драйверами и программным обеспечением, установленным на устройстве.

Недостаток №2: MITM и выдача сертификатов

Хотя WPA2 предлагает очень безопасное соединение, вы также должны быть уверены, что пользователи будут подключаться только к защищенной сети. Безопасное соединение бессмысленно, если пользователь неосознанно подключился к приманке или к сигналу самозванца. Учреждения часто ищут и обнаруживают мошеннические точки доступа, в том числе атаки типа Man-in-the-Middle, но пользователи по-прежнему могут быть уязвимы за пределами площадки.Человек с ноутбуком может попытаться незаметно собрать учетные данные пользователя на автобусной остановке, в кафе или в любом другом месте, где могут пройти устройства, и попытаться подключиться автоматически.

Даже если на сервере правильно настроен сертификат, нет гарантии, что пользователи не подключатся к ложному SSID и не примут предоставленные им сертификаты. Лучше всего установить открытый ключ на устройство пользователя для автоматической проверки сертификатов, представленных сервером.

Чтобы узнать больше об атаках MITM, прочтите нашу разбивку здесь.

Недостаток № 3: проблема смены пароля

Сети с паролями, срок действия которых истекает регулярно, сталкиваются с дополнительной нагрузкой из-за WPA2-Enterprise. Каждое устройство будет терять связь до тех пор, пока не будет перенастроено. Это было меньшей проблемой, когда у обычного пользователя было только одно устройство, но в сегодняшней среде BYOD у каждого пользователя, скорее всего, будет несколько устройств, для которых требуется безопасное сетевое соединение. В зависимости от того, как меняются пароли, или от возможностей пользователей управлять паролями, это может стать бременем для службы поддержки.

Еще хуже обстоит дело в сетях, в которых есть неожиданные изменения пароля из-за утечки данных или уязвимостей системы безопасности. Помимо необходимости развертывания новых учетных данных для всего сайта, ИТ-отделам приходится иметь дело с наплывом заявок в службу поддержки, связанных с Wi-Fi.

Недостаток 4: изменение ожиданий пользователей

Безусловно, самой сложной частью настройки сети WPA2-Enterprise является обучение пользователей. Сегодня пользователи возлагают невероятно высокие ожидания на простоту использования. У них также есть больше возможностей, чем когда-либо, чтобы обойти официальный доступ.Если сеть слишком сложна в использовании, они будут использовать данные. Если сертификат плохой, они его проигнорируют. Если они не могут получить доступ к тому, что хотят, они будут использовать прокси.

Чтобы WPA2-Enterprise была эффективной, вам необходимо максимально упростить навигацию для пользователей сети без ущерба для безопасности.

Прежде чем приступить к работе в сети WPA2-Enterprise, ознакомьтесь с нашим учебником по наиболее распространенным ошибкам, которые люди допускают при настройке WPA2-Enterprise.


Упрощение WPA2-Enterprise с помощью JoinNow

Правильно настроенная сеть WPA2-Enterprise, использующая 802.1x аутентификация - мощный инструмент для защиты безопасности пользователей сети и защиты ценных данных; но это ни в коем случае не конец сетевых соображений, которые вам нужно сделать. Многие компоненты способствуют безопасности и удобству использования сети как целостной системы. Если безопасен только метод аутентификации, а настройка управляемых устройств остается на усмотрение обычного пользователя сети, существует серьезный риск для целостности сети. SecureW2 признает, что все аспекты беспроводной сети должны работать в унисон для обеспечения надежной безопасности, поэтому мы предоставили несколько готовых концепций, которые каждый сетевой администратор должен учитывать при планировании своей сети.

Эффективность благодаря адаптации

Одна из самых серьезных проблем для сетевых администраторов - это эффективное и точное подключение пользователей к защищенной сети. Если оставить их наедине с собой, многие пользователи неправильно настроят. Настройка сети WPA2-Enterprise с проверкой подлинности 802.1x - непростой процесс, включающий несколько шагов, которые человек, не знакомый с концепциями ИТ, не поймет. Если пользователи не подключаются к защищенному SSID и неправильно настроены для WPA2-Enterprise, преимущества безопасности, ожидаемые администраторами, будут потеряны.Для тех, кому нужны преимущества сетей на основе сертификатов, многие предпочитают развернуть подключаемый клиент, который автоматически настраивает устройства пользователей.

Клиенты

Onboarding, такие как предлагаемые SecureW2, избавляют пользователей от путаницы, предлагая им лишь несколько простых шагов, предназначенных для выполнения учащимися от K-12 и старше. В результате получается правильно настроенная сеть WPA2-Enterprise с аутентификацией 802.1x, которая успешно подключила всех пользователей сети к защищенной сети.

Хотите получить дополнительную информацию о преимуществах оптимизированного и безопасного программного обеспечения для подключения к персональному устройству (BYOD)? Ознакомьтесь с этой информативной статьей об адаптации!

Защищенный сертификатом WPA2-Enterprise

PKI позволяет организациям использовать сертификаты x.509 и распространять их среди пользователей сети. Он состоит из HSM (аппаратного модуля безопасности), центров сертификации, клиента, открытого и закрытого ключей и CRL (списка отзыва сертификатов). Эффективная PKI значительно повышает безопасность сети, позволяя организациям устранить проблемы, связанные с паролями, с помощью проверки подлинности на основе сертификатов.После настройки PKI пользователи сети могут начать регистрацию сертификатов. Это сложная задача для выполнения, но организации, которые использовали адаптируемого клиента, добились наибольшего успеха в распространении сертификатов. SecureW2 может предоставить все инструменты, необходимые для успешного развертывания PKI и эффективного распространения сертификатов. После оснащения своих устройств сертификатом пользователи готовы пройти аутентификацию в беспроводной сети. Помимо безопасной беспроводной аутентификации, сертификаты могут использоваться для VPN, аутентификации веб-приложений, безопасности SSL Inspection и многого другого.

WPA2-Конфигурация корпоративного управляемого устройства

Предприятиям с управляемыми устройствами часто не хватает единого метода настройки устройств для обеспечения безопасности на основе сертификатов. Разрешение пользователям самостоятельно настраивать конфигурацию часто приводит к неправильной настройке многих устройств, и передача этой задачи ИТ-отделу может оказаться сложной задачей. Настройка десятков, а иногда и сотен устройств вручную для защищенной сети WPA2-Enterprise часто считается слишком трудоемкой, чтобы иметь смысл. Усовершенствованные шлюзы SCEP и WSTEP SecureW2 предоставляют средства для автоматической регистрации управляемых устройств без вмешательства конечного пользователя.Одним махом эти шлюзы позволяют ИТ-отделу настраивать управляемые устройства от любого крупного поставщика для обеспечения сетевой безопасности на основе сертификатов.

Серверы RADIUS и управление доступом на основе политик

Сервер RADIUS играет важную роль в сети, аутентифицируя каждое устройство при подключении к сети. Решение JoinNow от SecureW2 встроено в облачный сервер RADIUS мирового класса, обеспечивающий мощную аутентификацию 802.1x на основе политик. При поддержке AWS он обеспечивает высокую доступность, стабильные и качественные соединения и не требует физической установки.Сервер можно легко настроить и настроить в соответствии с требованиями любой организации без необходимости модернизации существующей инфраструктуры с помощью вилочного погрузчика. После полной интеграции сеть на основе сертификатов готова к аутентификации пользователей сети.

SecureW2 также предлагает первую в отрасли технологию, которую мы называем Dynamic Cloud RADIUS , которая позволяет RADIUS напрямую ссылаться на каталог - даже облачные каталоги, такие как Google, Azure и Okta. Вместо принятия решений о политике на основе статических сертификатов RADIUS принимает решения о политике на уровне выполнения на основе атрибутов пользователя, хранящихся в каталоге.

Dynamic RADIUS - это улучшенный RADIUS с улучшенной безопасностью и более простым управлением пользователями. Хотите узнать больше? Поговорите с одним из наших экспертов, чтобы узнать, может ли ваша сеть WPA2-Enterprise использовать Dynamic RADIUS.

Ключом к успешному развертыванию RADIUS являются доступность, согласованность и скорость. Cloud RADIUS от SecureW2 предоставляет организациям инструменты, необходимые для упрощения подключения к защищенной сети и обеспечения ее постоянной доступности, чтобы пользователи были постоянно защищены от внешних угроз.


Обзор беспроводного шифрования и аутентификации

MR поддерживает широкий спектр методов шифрования и аутентификации - от простого открытого доступа до WPA2-Enterprise с аутентификацией 802.1X. Шифрование и аутентификация настраиваются в MCC на вкладке «Настроить» на странице «Контроль доступа». Вообще говоря, метод шифрования настраивается в разделе «Требования к ассоциации», а метод аутентификации - в разделе «Метод входа в сеть».

Чтобы подключиться к беспроводной сети, клиент должен иметь правильные ключи шифрования (требования ассоциации). После связывания беспроводному клиенту может потребоваться ввести информацию (метод входа в сеть) перед доступом к ресурсам в беспроводной сети.

Поддерживаются следующие комбинации методов шифрования и аутентификации:

Аутентификация открытой системы

Открытый режим позволяет любому устройству подключаться к беспроводной сети.Основным преимуществом открытого режима является его простота: любой клиент может подключиться легко и без сложной настройки. Открытый режим рекомендуется, когда есть гости, которым необходимо подключиться к сети, или, в более общем смысле, когда простота подключения имеет первостепенное значение и контроль доступа не требуется.

В большинстве сред администратор должен убедиться, что беспроводные клиенты, связанные с открытой сетью, не могут получить доступ к ресурсам локальной сети, например к общим файловым ресурсам. Администраторы могут контролировать доступ с помощью тегов VLAN или правил брандмауэра.

Контроль доступа на основе MAC

Управление доступом на основе MAC разрешает или запрещает беспроводное соединение на основе MAC-адреса подключаемого устройства. Когда беспроводное устройство пытается установить связь, точка доступа Meraki запрашивает у клиента RADIUS-сервер с сообщением Access-Request. Сервер RADIUS может разрешить или запретить устройство на основе MAC-адреса, отвечая на точку доступа Meraki либо сообщением Access-Accept, либо сообщением Access-Reject, соответственно.

Этот метод аутентификации не требует настройки на стороне клиента.Однако он страдает от плохого пользовательского опыта. Беспроводные клиенты, которым отказано в беспроводном подключении, просто не могут подключиться к SSID, и они не получают никаких явных уведомлений о том, почему они не могут подключиться.

Если выбран этот метод аутентификации, на странице «Управление доступом» в разделе «RADIUS для управления доступом на основе MAC» должен быть настроен как минимум 1 сервер RADIUS. В этот раздел входит тестовый инструмент, который имитирует подключение беспроводного устройства к каждой точке доступа Meraki в сети.

См. Руководство по настройке управления доступом на основе MAC, чтобы узнать, как начать работу с управлением доступом на основе MAC.

Общие ключи

Предварительный общий ключ (PSK) позволяет любому, у кого есть ключ, использовать беспроводную сеть.

Wired Equivalent Privacy (WEP) - это оригинальный механизм предварительного общего ключа 802.11, использующий шифрование RC4. WEP уязвим для взлома; ключ шифрования может быть получен перехватчиком, который видит достаточно трафика.Используйте WEP только в том случае, если невозможно использовать более продвинутую безопасность - например, когда в сети есть устаревшие клиентские устройства, не поддерживающие WPA / WPA2.

См. Руководство по настройке WEP, чтобы узнать, как настроить шифрование WEP для SSID.

WPA- и WPA2-Personal (защищенный доступ Wi-Fi) используют более надежное шифрование, чем WEP. (WPA-Personal использует TKIP с шифрованием RC4, тогда как WPA2-Personal использует шифрование AES.) WPA2-Personal является предпочтительным.

Хотя для этого требуется некоторая конфигурация на стороне клиента, PSK относительно легко настроить.Это может быть хорошим выбором при небольшом количестве пользователей или когда клиенты не поддерживают более сложные механизмы аутентификации, такие как WPA2-Enterprise. Однако развертывание на основе PSK плохо масштабируется. При большом количестве пользователей становится все труднее изменить PSK, операцию, которую следует выполнять периодически, чтобы гарантировать, что PSK не был передан нежелательным пользователям.

См. Руководство по настройке WPA, чтобы узнать, как настроить шифрование WPA для SSID.

WPA2-Enterprise с аутентификацией 802.1X

802.1X - это стандартная структура IEEE для шифрования и аутентификации пользователя, который пытается подключиться к проводной или беспроводной сети. WPA-Enterprise использует TKIP с шифрованием RC4, а WPA2-Enterprise добавляет шифрование AES.

802.1X может быть прозрачным для пользователей беспроводной сети. Например, компьютеры Windows могут быть настроены для единого входа, так что те же учетные данные, которые пользователь вводит для входа в свою машину, автоматически передаются на сервер аутентификации для беспроводной аутентификации.Пользователю никогда не предлагается повторно ввести свои учетные данные.

802.1X использует протокол расширенной аутентификации (EAP) для установления безопасного туннеля между участниками, участвующими в обмене аутентификацией. MR поддерживает несколько типов EAP, в зависимости от того, использует ли сеть сервер аутентификации, размещенный на Meraki, или сервер аутентификации, размещенный у клиента. В следующей таблице показаны типы EAP, поддерживаемые точками доступа MR:

WPA2-Enterprise с 802.Проверка подлинности 1X настроена для использования локального настраиваемого сервера RADIUS, размещенного у клиента. Сервер RADIUS должен быть настроен так, чтобы разрешать запросы аутентификации с IP-адресов точек доступа Meraki.

802.1X обычно выполняется только после ввода учетных данных пользователя в машину.

Источники идентификации

WPA2-Enerprise требует источника идентификации для аутентификации пользователей при их подключении к сети. Каждая точка доступа взаимодействует с источником идентификации во время ассоциации клиента.Ниже приведены источники идентификации, которые можно использовать с WPA2-Enterprise.

  • Meraki RADIUS - облачный хостинг
    • Общесетевые пользователи могут подключаться и входить в систему с помощью PEAP и EAP-TTLS
    • Systems Manager Sentry WiFi Security настраивает конечные устройства для подключения к EAP-TLS
  • Пользовательский RADIUS - размещается у клиента
    • Cisco Identity Services Engine (ISE)
    • FreeRADIUS
    • Juniper Steel-Belted RADIUS или UAC
    • ForeScout CounterACT
    • Aruba Clearpass

Основы беспроводной связи: шифрование и аутентификация

Эта статья дает представление о беспроводном шифровании и аутентификации, чтобы помочь пользователям принять обоснованное решение о том, какой тип безопасности внедрить в их беспроводную сеть.Оборудование Cisco Meraki поддерживает несколько типов шифрования и аутентификации.

  • WEP
  • WPA
  • WPA2 - PSK (общий ключ)
  • WPA2 - предприятие
  • WPA3
  • Начальная страница
  • Скрытый SSID

WEP

Wired Equivalent Privacy, ныне устаревший, был частью исходного стандарта 802.11. WEP использовал 40–128-битный ключ, представляющий собой комбинацию ключа (строка шестнадцатеричных символов) и вектора инициализации.Точки доступа Cisco Meraki поддерживают аутентификацию WEP с предварительным общим ключом. WEP был признан небезопасным из-за простоты его декодирования, но по-прежнему доступен в оборудовании Cisco Meraki для устаревших устройств.

ВПА

Wi-Fi Protected Access, WPA, был создан для «исправления» проблем с WEP, позволяя пользователям обновлять свое оборудование с помощью обновления прошивки, а не покупать новое оборудование. WPA включает новый тип ключевой системы под названием TKIP (Temporal Key Integrity Protocol.) TKIP разрабатывает уникальный ключ шифрования для каждого беспроводного фрейма, обеспечивая более безопасное соединение. Однако TKIP уязвим для беспроводных атак и больше не считается корпоративным стандартом.

WPA2 - персональный

WPA2 в настоящее время является наиболее безопасным стандартом, использующим AES (Advanced Encryption Standard) и предварительный общий ключ для аутентификации. WPA2 обратно совместим с TKIP, что обеспечивает возможность взаимодействия с устаревшими устройствами.AES использует протокол шифрования CCMP, который является более сильным алгоритмом целостности и конфиденциальности сообщений. По умолчанию SSID на точках доступа Cisco Meraki, настроенных как WPA2, используют комбинацию шифрования TKIP и AES.

WPA2 - Предприятие

WPA2 Enterprise использует аутентификацию на уровне пользователя, используя стандарт 802.1x, а также функции WPA2, такие как AES. Cisco Meraki полностью поддерживает ассоциацию WPA2 Enterprise с RADIUS и PEAP / MSCHAPv2 или аутентификацию Meraki, чтобы обеспечить безопасную беспроводную сеть для корпоративного использования.пользователи входят в систему с действующим именем пользователя и паролем для аутентификации вместо предварительно выданного ключа, уязвимого для социальной инженерии.

WPA3

Протокол

WPA3, объявленный Wi-Fi Alliance в 2018 году, представил новые функции для упрощения безопасности Wi-Fi, включая улучшенную аутентификацию, повышенную криптографическую стойкость и требование использования защищенных фреймов управления (PMF) для повышения безопасности сети. Дополнительную информацию о шифровании WPA3 и настройке на точках доступа Meraki см. В Руководстве по шифрованию и настройке WPA3.

Начальная страница

Cisco Meraki предоставляет множество заставок, которые можно использовать для дополнительной безопасности.

  • Вход с аутентификацией - заставляет пользователей проходить аутентификацию через страницу входа с использованием различных типов аутентификации, включая аутентификацию RADIUS, LDAP и Meraki.
  • Войти с помощью SMS-аутентификации - заставляет пользователей аутентифицироваться с помощью SMS-кода, который они получат на свой телефон.
  • Systems Manager Sentry - использует Cisco Meraki Systems Manager, пользователям необходимо установить клиент-менеджер на свой компьютер, после чего их устройство можно будет просматривать в сети Systems Manager.

Splash Pages можно использовать как с решением WPA / WEP, так и без него.

Скрытый SSID

Скрытый SSID может препятствовать общедоступности вашего корпоративного SSID. Для скрытых SSID необходимо вручную создать профиль беспроводной сети, чтобы беспроводной клиент мог инициировать ассоциацию.Хотя анализаторы пакетов могут обнаруживать имена SSID из других пробных запросов и кадров ассоциации, отключение широковещательной рассылки SSID может отговорить многих потенциальных злоумышленников от попыток получить доступ.

Показанный ниже Рисунок 1 представляет собой стандартный кадр маяка SSID без скрытия, точка доступа отправит его для каждого из идентификаторов SSID, которые он транслирует.

Рисунок 1

Скрытый SSID не будет транслировать кадры маяка - клиенты должны будут знать имя SSID для связывания.На рис. 2 показан iPhone, транслирующий запрос, чтобы проверить, доступен ли SSID «Test» в этой области.

Рисунок 2

Для получения дополнительных сведений о безопасности беспроводной сети ознакомьтесь с документом «Обзор безопасности беспроводной сети».

WPA - Windows 7 Tutorial

Windows 7 / Networking

Хотя 802.1X решает проблемы слабой аутентификации и управления ключами оригинальный стандарт 802.11, он не устраняет слабые места шифрования WEP алгоритм.В то время как стандарт безопасности беспроводной локальной сети IEEE 802.11i, который будет обсуждаться в разделе «WPA2» далее в этом руководстве дорабатывалась Wi-Fi Alliance, организация поставщиков беспроводного оборудования, создала временный стандарт, известный как Wi-Fi Защищенный доступ (WPA). WPA заменяет WEP гораздо более надежным методом шифрования известный как протокол целостности временного ключа (TKIP). WPA также позволяет дополнительно использовать Advanced Encryption Standard (AES) для шифрования.

WPA доступен в двух различных режимах:

  • WPA-Enterprise: Использует 802.1X аутентификация и предназначена для средних и крупных сетей с режимом инфраструктуры
  • WPA-Personal: Использует предварительный ключ (PSK) для аутентификации и предназначен для небольшого офиса / дома офисные (SOHO) сети в режиме инфраструктуры

WPA2

Стандарт IEEE 802.11i формально заменяет WEP и другие функции безопасности оригинальный стандарт IEEE 802.11. Wi-Fi Protected Access 2 (WPA2) - это сертификат продукта. доступно через Wi-Fi Alliance, который удостоверяет совместимость беспроводного оборудования с IEEE 802.11i стандарт. Целью сертификации WPA2 является поддержка дополнительных обязательные функции безопасности стандарта IEEE 802.11i, которые еще не включены для продукты, поддерживающие WPA. Например, WPA2 требует поддержки как TKIP, так и AES. шифрование. WPA2 включает в себя методы быстрого роуминга, такие как кэширование парных главных ключей (PMK) и предварительная аутентификация.

Как это работает

Когда беспроводной клиент аутентифицируется с использованием 802.1X, отправляется серия сообщений между беспроводным клиентом и беспроводной точкой доступа для обмена учетными данными (802.1X аутентификации) и для определения парных переходных ключей (4-стороннее рукопожатие). Парные временные ключи используются для шифрования и целостности данных WPA2- защищенные беспроводные фреймы данных. Этот обмен сообщениями вводит задержку в процесс подключения. Когда беспроводной клиент перемещается от одной беспроводной точки доступа к другой, задержка выполнения аутентификации 802.1X может вызвать заметные перебои в работе сети. возможность подключения, особенно для зависящего от времени трафика, такого как голосовые или видеоданные потоки.Чтобы свести к минимуму задержку, связанную с роумингом к другой беспроводной точке доступа, WPA2 беспроводное оборудование может дополнительно поддерживать кэширование PMK и предварительную аутентификацию.

Кэширование PMK

Когда беспроводной клиент перемещается от одной беспроводной точки доступа к другой, он должен выполнить полное Аутентификация 802.1X с каждой беспроводной точкой доступа. WPA2 позволяет беспроводному клиенту и беспроводная точка доступа для кэширования результатов полной аутентификации 802.1X, чтобы при перемещении клиента обратно к беспроводной точке доступа, с которой он ранее прошел аутентификацию, беспроводной клиент необходимо выполнить только четырехстороннее рукопожатие и определить новый попарный переходный процесс. ключи.В кадре запроса ассоциации беспроводной клиент включает идентификатор PMK, который был определен во время первоначальной аутентификации и сохранен в обоих беспроводных записи кэша PMK клиента и беспроводной точки доступа. Записи кэша PMK хранятся в течение конечного количество времени, настроенное на беспроводном клиенте и беспроводной точке доступа.

Чтобы ускорить переход для беспроводных сетевых инфраструктур, использующих коммутатор который действует как аутентификатор 802.1X, Windows Vista и Windows Server 2008 вычислить значение идентификатора PMK таким образом, чтобы PMK, определенный стандартом 802.1X аутентификацию с помощью коммутатора можно повторно использовать при роуминге между беспроводными точками доступа, которые прикреплены к тому же переключателю. Эта практика известна как гибкое кэширование PMK.

Предварительная проверка подлинности

При предварительной проверке подлинности беспроводной клиент WPA2 может дополнительно выполнять 802.1X аутентификации с другими беспроводными точками доступа в пределах его досягаемости при подключении к текущему беспроводная точка доступа. Беспроводной клиент отправляет трафик предварительной аутентификации на дополнительный беспроводной AP через существующее беспроводное соединение.После предварительной аутентификации с помощью беспроводной точки доступа и сохранение PMK и связанной с ним информации в кэше PMK, беспроводном клиенте, который подключается к беспроводной точке доступа, с которой она прошла предварительную аутентификацию, необходимо выполнить только четырехстороннее рукопожатие.

Клиенты WPA2, поддерживающие предварительную аутентификацию, могут выполнять предварительную аутентификацию только с помощью беспроводной сети. Точки доступа, которые объявляют о своей возможности предварительной аутентификации в кадрах маякового сигнала и зондирующего ответа.

WPA2 доступен в двух различных режимах:

  • WPA2-Enterprise: Использует 802.1X и предназначен для средних и крупных сетей в режиме инфраструктуры
  • WPA2-Personal: Использует PSK для аутентификации и предназначен для сетей в режиме инфраструктуры SOHO

В таблице 2 обобщены стандарты безопасности беспроводной локальной сети 802.11.

Таблица-2 Стандарты безопасности беспроводной локальной сети 802.11
Стандарт безопасности Методы аутентификации Методы шифрования Размер ключа шифрования (биты) Комментарии
IEEE 802.11 Открытая система и общий ключ WEP 40 и 104 Слабая аутентификация и шифрование. Использование крайне не рекомендуется.
IEEE 802.1X Методы аутентификации EAP Н / Д Н / Д Сильные методы EAP обеспечивают строгую аутентификацию.
WPA-Enterprise 802.1X TKIP и AES (необязательно) 128 Строгая проверка подлинности (со строгим методом EAP) и надежное (TKIP) или очень надежное (AES) шифрование.
WPA-Personal PSK TKIP и AES (необязательно) 128 Строгая проверка подлинности (с надежным PSK) и надежное (TKIP) или очень надежное (AES) шифрование.
WPA2-Enterprise 802.1X TKIP и AES 128 Строгая проверка подлинности (с использованием надежного метода EAP) и надежное (TKIP) или очень надежное (AES) шифрование.
WPA2-Personal PSK TKIP и AES 128 Строгая проверка подлинности (с надежным PSK) и надежное (TKIP) или очень надежное (AES) шифрование.

Windows Vista и Windows Server 2008 поддерживают следующие стандарты безопасности для Беспроводная сеть 802.11 (адаптер беспроводной сети и драйвер также должны поддерживать стандарт):

  • 802.11 с WEP
  • 802.1X
  • WPA-Enterprise
  • WPA-Personal
  • WPA2-Enterprise
  • WPA2-Personal

Компоненты беспроводных сетей 802.11

Компоненты защищенных беспроводных сетей 802.11 на базе Windows.

Компоненты:

  • Беспроводные клиенты: Инициируйте беспроводные подключения к беспроводным точкам доступа и обменивайтесь данными с ресурсами интрасети или другими беспроводными клиентами после подключения
  • Беспроводные точки доступа: Слушайте попытки беспроводного подключения, применяйте аутентификацию и подключение требований и пересылать кадры между беспроводными клиентами и ресурсами интрасети
  • Серверы RADIUS: Обеспечивают централизованную аутентификацию и обработку авторизации и учет попытки доступа к сети с беспроводных точек доступа и других типов серверов доступа
  • Контроллеры домена Active Directory: Проверять учетные данные пользователя для аутентификации и предоставлять информацию об учетной записи серверам RADIUS для оценки авторизации
  • Центры сертификации: Часть PKI, которая выдает сертификаты компьютеров или пользователей для беспроводных клиентов и сертификаты компьютеров для серверов RADIUS
.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *