Wi-Fi сети: проникновение и защита. 1) Матчасть / Хабр

«быстрая» установка сертификатов.

Сертификаты можно устанавливать как напрямую, щелчком из проводника (windows explorer), так и через отдельную интерфейс-закладку Internet Explorer (еще это можно делать через mmc-консоль).

Рассмотрим первый способ установки, как самый быстрый и простой.

Настройка FreeRADIUS.

Начнем с установки и настройки FreeRADIUS сервера.

В операционной системе Gentoo это делается довольно просто, достаточно ввести команду
=====================================================
root@s2 ~ # emerge -av freeradius

These are the packages that I would merge, in order:

Calculating dependencies …done!

[ebuild N ] net-dialup/freeradius-1.0.5-r1 -edirectory
-frascend -frnothreads -frxp -kerberos -ldap -mysql pam
-postgres -snmp ssl -udpfromto 2,240 kB

Total size of downloads: 2,240 kB

Do you want me to merge these packages? [Yes/No]
=====================================================

Если планируется хранить базу пользователей во внешних базах (например, ldap, mysql или postgre), то перед сборкой RADIUS сервера надо активировать соответствующие флаги, позволяющие собрать FreeRADIUS с поддержкой mysql/postgre и/или ldap:
=====================================================
# USE=”mysql ldap” emerge -av freeradius
=====================================================

После проверки включенности нужных флагов, достаточно нажать клавишу Y и пакет будет собран и установлен в систему:
=====================================================

<….>

— !targe sym /usr/lib/rlm_digest-1.0.5.la
— !targe sym /usr/lib/rlm_detail.so
— !targe sym /usr/lib/rlm_detail-1.0.5.la
— !targe sym /usr/lib/rlm_counter.so
— !targe sym /usr/lib/rlm_counter-1.0.5.la
— !targe sym /usr/lib/rlm_checkval.so
— !targe sym /usr/lib/rlm_checkval-1.0.5.la
— !targe sym /usr/lib/rlm_chap.so
— !targe sym /usr/lib/rlm_chap-1.0.5.la
— !targe sym /usr/lib/rlm_attr_rewrite.so
— !targe sym /usr/lib/rlm_attr_rewrite-1.0.5.la
— !targe sym /usr/lib/rlm_attr_filter.so
— !targe sym /usr/lib/rlm_attr_filter-1.0.5.la
— !targe sym /usr/lib/rlm_always.so
— !targe sym /usr/lib/rlm_always-1.0.5.la
— !targe sym /usr/lib/rlm_acct_unique.so
— !targe sym /usr/lib/rlm_acct_unique-1.0.5.la
— !targe sym /usr/lib/libradius.so
— !targe sym /usr/lib/libradius-1.0.5.la
— !targe sym /usr/lib/libeap.so
— !targe sym /usr/lib/libeap-1.0.5.la
>>> original instance of package unmerged safely.
>>>

Вышеприведенный лог сборки (его конец) показывает, что FreeRADIUS 1.0.5 успешно установлен в систему (о чем сообщает строка ” net-dialup/freeradius-1.0.5-r1 merged”). Можно приступать к его настройке.

1 Создание приватного ключа CA

Для начала создадим корневой (самоподписанный) сертификат нашего личного центра сертификации. Переходим в директорию, где будет храниться база наших сертификатов, и начинаем генерацию.

Создаем приватный ключ CA (my own Certificate Authority). Длина RSA ключа 2048 бит, шифрование по алгоритму 3DES. Имя файла с ключом — tmp_ org- ca. key
=====================================================
# openssl genrsa -des3 -out tmp_org-ca.

На этапе создания надо ввести пасс-фразу, которой будет закрыт ключ (и подтвердить ее).

Содержимое ключа, если это необходимо, можно просмотреть следующей командой:
=====================================================
# openssl rsa -noout -text -in tmp_org-ca.key
=====================================================

При этом опять придется ввести ключ.

1 файл /etc/raddb/clients.conf

Для начала пропишем клиентов (в данном случае — точку доступа) в файле /etc/raddb/clients.conf
#—————————————————-
client 192.168.1.250/32 {
secret = test1234
shortname = test_ap
}
#—————————————————-

Эта запись означает, что клиент с адресом 192.168.1.250 авторизируется на RADIUS-е с паролем test1234. Имя test_ap будет использована при логировании событий, связанных с этой точкой доступа.

Не забываем сменить стандартный пароль для localhost_клиентов:
#—————————————————-
secret = very_strong_secret_password
#—————————————————-

2 файл /etc/raddb/radiusd.conf

Теперь разберемся с основным файлом конфигурации Radius-а /etc/raddb/radiusd.conf

Секция Modules{ }, раздел mschap { }

Включаем

use_mppe = yes # использовать алгоритм mppe

require_encryption = yes # использовать шифрование

require_strong = yes # только сильное шифрование

3 файл /etc/raddb/proxy.conf

Теперь открываем файл /etc/raddb/proxy.conf и добавляем в конец этого файла
#—————————————————-
realm DEFAULT {
type = radius
authhost = LOCAL
accthost = LOCAL
}
#—————————————————-

DEFAULT реалм, добавленный нами, позволяет всем аккаунтам, которые не попали ни в один вышезаданный реалм, проверяться на локальном радиусе. В нашем случае это означает, что все windows-аккаунты с отрезанной доменной частью будут проверяться локально.

4 файл /etc/raddb/eap.conf

Переходим к настройке протокола EAP. Его настройки располагаются в отдельном файле, который, в свою очередь, подключается к основному /etc/raddb/radiusd.conf вот такой конструкцией:
#—————————————————-
$INCLUDE ${confdir}/eap.conf
#—————————————————-

Открываем /etc/raddb/eap.conf

В секции eap{ }
#—————————————————-
default_eap_type = peap # по-умолчанию, используем EAP-PEAP
#—————————————————-

Раскомментируем секцию, относящуюся к peap:
#—————————————————-
peap {
default_eap_type = mschapv2
}
#—————————————————-

Но этого недостаточно для функционирования PEAP, нам также необходимо активировать (раскомментировать) секцию, отвечающую за EAP-TLS:
#—————————————————-
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem

certificate_file = ${raddbdir}/certs/cert-srv.

В данном случае использованы цифровые сертификаты, сгенерированные автоматически, при установке пакета freeradius. Можно, конечно, создать собственные сертификаты, подписанные своим (или сторонним) сертификационным центром, но для простоты объяснения, этот этап опущен (он будет подробно расписан в следующей части статьи). Для работы RADIUS-сервера для обеспечения работы EAP-PEAP протокола, вышеприведенных настроек будет достаточно.

6 права доступа к /etc/raddb/

Пара слов о безопасности. При установке пакета freeradius создается пользователь radiusd и группа radiusd, которая является основной для этого пользователя. Права на директорию конфигурационных файлов RADIUS устанавливаются следующие:
=====================================================
# /bin/ls -l /etc | grep raddb
drwxr-x— 3 root radiusd 4096 Oct 12 15:10 raddb
=====================================================

7 запуск radiusd в режиме отладки

На этом настройка FreeRadius сервера завершена. Можно запустить его в режиме отладки командой

# /usr/sbin/radiusd -fX

Настройка точки доступа.

Здесь описывается лишь настройка точки доступа в качестве Radius-клиента. Разумеется, интерфейсы точек доступа разных производителей будут выглядеть по-разному, но общие принципы настроек изменяться не будут.

Надо сделать следующее:

• включить WPA;
• выбрать тип шифрования (AES или TKIP)
• прописать адрес RADIUS-сервера
• прописать пароль доступа (shared secret) к RADIUS-серверу

Вводим SSID беспроводной сети (WPA-PEAP), активируем “Security” и жмем кнопку “Configure Security”.

В появившемся окне выбрать WPA RADIUS в пункте “Security Mode”. Далее алгоритм шифрования — установить AES (или TKIP, если клиентское оборудование AES не поддерживает). Далее вводим адрес машины, где установлен RADIUS сервер и порт, по которому оный принимает запросы (порт 1812 — является стандартным).

Осталось задать “Shared Secret” (пароль на подключение) и все — настройка точки доступа на этом завершена.

1 Скрипт генерации сертификатов.

Для начала скачиваем скрипт sign_cert.sh. Он позволяет создавать серверные/пользовательские сертификаты с экспортом их в PKCS#12 формат (для импортирования в Windows ОС).

1 Установка пользовательских сертификатов через интерфейс управления сертификатами.

Все вышеописанные действия (а также посмотреть, какие сертификаты у нас установлены и, при необходимости, удалить их) можно и следующим образом:

В Internet Explorer жмем на “Сервис -> Свойства обозревателя”

В появившемся окне идем на закладку “Содержание” и жмем кнопку “Сертификаты”.

В появившемся меню нас интересует закладка “Личные”.

2 Установка корневого сертификата через интерфейс управления сертификатами.

Если перейти на закладку “Доверенные корневые центры сертификации” в интерфейсе “сертификаты” Internet Explorer-а, то

… тут мы увидим большое количество установленных в систему корневых сертификатов различных организаций. Тут же находится и установленный нами корневой сертификат нашего собственного центра. Нажав на кнопку “Импорт” можно установить другие корневые сертификаты.

3 Создание клиентских сертификатов.

Приступаем к генерации персональных клиентских сертификатов, по которым пользователи будут аутентифицироваться при подключении к беспроводной сети.

Настройка FreeRADIUS.

Для начала пакет FreeRadius надо установить в систему. Об этом было рассказано в предыдущей части.

А вот настройка конфигурационных файлов RADIUS-а в некоторых местах отличается от описываемых ранее.

Кроме конфигурационных файлов нужно подготовить еще кое-что.

Создаем директорию, где будут храниться наши сертификаты и другие необходимые файлы:
#—————————————————-
# mkdir /etc/raddb/ssl
#—————————————————-

Настройка беспроводного клиента.

WiFi карта подключена к компьютеру под управлением Windows XP PRO SP2. Настройка производится в родной Windows Zero Config утилите.

Жмем на “изменить порядок предпочтения сетей”.

В закладке “беспроводные сети” щелкаем на кнопку “Добавить”.

Попадаем в окно свойств беспроводной сети.

Закладка “связи”. Указываем нужное имя сети (в нашем случае WPA-PEAP) и выбираем тип шифрования данных (AES или TKIP). Разумеется, он должен совпадать с тем, что был указан в точке доступа.

Переходим на закладку “Проверка подлинности”. В типе EAP ставим “Protected EAP (PEAP)”. После чего жмем на кнопку “Свойства”.

В следующем окошке снимаем галку с “проверять сертификат сервера”. Так как сертификаты у нас самосгенеренные при установке FreeRadius, Windows не сможет проверить их валидность (это будет показано чуть ниже).

Далее, выбираем “Метод проверки подлинности”, ставим там “Secured password (EAP-MSCHAP v2). Если тут же нажать кнопку “настроить”, то

Настройка точки доступа.

Настройка точки доступа аналогична процедуре, описанной в предыдущей статье, поэтому подробно описывать этот процесс не будем.

По сравнению с предыдущим разом, изменилось лишь название (SSID) беспроводной сети, теперь она называется WPA-TLS.

1 Файл /etc/raddb/clients.conf

Настройка полностью аналогична ранее описанной.

2 Файл /etc/raddb/radiusd.conf

Этот файл не требует никаких настроек относительно стандартных.

Единственное, что надо проверить, чтобы в конфигурационном файле подключался файл настроек eap:
#—————————————————-

# Extensible Authentication Protocol
#
# For all EAP related authentications.

3 Файл /etc/raddb/proxy.conf

Этот файл не требует никаких настроек относительно стандартных.

5 Файл /etc/raddb/eap.conf

А вот в этот файл придется хорошенько отредактировать.

Секция eap{ }
#—————————————————-
default_eap_type = tls # по-умолчанию, используем протокол EAP-TLS
#—————————————————-

7 Проверка конфигурации и запуск radiusd в режиме отладки

Эта процедура была описана в предыдущей статье.

Если radiusd стартует, значит, критических ошибок в конфигурации нет, сервер настроен, работает и готов принимать запросы.

Добавление FreeRadius в автостарт

Осталось лишь остановить FreeRADIUS сервер, запущенный в режиме отладки, добавить его в автостарт…
=====================================================
# rc-update add radiusd default
* radiusd added to runlevel default
=====================================================

…для того, чтобы radiusd сервис запускался при старте системы, и запустить его (однократно) в нормальном режиме:
=====================================================
# /etc/init.d/radiusd start
* Starting radiusd … [ ok ]
=====================================================

Все, настройка системы на этом завершена.

Добавление FreeRadius в автостарт.

На этом настройка беспроводных клиентов с аутентификацией по цифровым сертификатам завершена. Осталось добавить запуск RADIUS-сервера в автостарт, если это не было сделано ранее (способ добавления описан во второй части цикла статей) и стартовать его.

Wpa и wpa2

WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).

Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен.

Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать»)

на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.

WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.

Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении.

Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников.

Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.

В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.

Wps/qss

WPS, он же Qikk aSSQSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.

WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.

Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.

Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты.

Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.

Атака на WPS будет рассмотрена во второй части.

Как защищаемся

Рассмотренные атаки можно предотвратить, если использовать следующие меры защиты:

Далее расскажем, как реализован каждый из способов защиты в нашем случае.

Мониторинг эфира и выявление ложных точек доступа. Организовать мониторинг эфира можно с помощью штатных средств точек доступа и контроллера WLAN. Далее речь пойдет об устройствах Cisco.Для этого на точках доступа активируется механизм Off Channel Scanning, в котором он периодически сканирует эфир по всем каналам.

На самом контроллере настраивается правило классификации сторонних точек доступа, согласно которому все посторонние точки доступа с SSID, эквивалентным нашему, считаются нелегитимными (malicious в терминологии Cisco). Подробно о настройке контроллера Cisco можете почитать в этой серии статей.

Так выглядит сообщение о найденной нелегитимной точке доступа в веб-интерфейсе контроллера.

681 Mon Apr 10 12:10:55 2021 Rogue AP: 14:2d:27:ef:f8:2b with Contained mode added to the Classified AP List.682 Mon Apr 10 12:10:55 2021 Rogue AP 14:2d:27:ef:f8:2b is advertising our SSID. Auto containing as per WPS policyСообщения в логах контроллера при обнаружении нелегитимной точки доступа.

В системе мониторинга (в нашем случае это Nagios) настроен SNMP-опрос контроллера. При обнаружении нелегитимной точки доступа на экран мониторинга выводится сообщение, содержащее:

С помощью таблицы соответствия MAC-адреса точки доступа и ее месторасположения можно определить примерное расположение нелегитимной точки доступа.

Сообщение в системе мониторинга о том, что была зафиксирована нелегитимная точка доступа.

Мониторинг эфира на предмет попыток принудительной деаутентификации беспроводных клиентов. В рамках системы обнаружения вторжений (intrusion detection system, IDS) у контроллера Cisco есть штатный набор стандартных сигнатур, с помощью которых он может распознавать потенциально опасное поведение клиентов и соседских точек доступа. Сюда как раз относятся множественные попытки деаутентификации, аутентификации, ассоциации и пр.

Wed Apr 12 10:17:53 2021 IDS Signature attack detected. Signature Type: Standard, Name: Auth flood, Description: Authentication Request flood, Track: per-signature, Detecting AP Name: OST_Reception, Radio Type: 802.11b/g, Preced: 5, Hits: 500, Channel: 11, srcMac: 14:2d:27:ef:f8:2bСообщения о множественной аутентификации в логах контроллера Cisco

Рассматриваемый контроллер также имеет механизмы предотвращения вторжений (IPS). Например, при выявлении нелегитимной точки доступа можно противодействовать вторжению теми же средствами, которые используются и при атаках, – деаутентификацией и деассоциацией.

Контроллер можно настроить так, что при появлении точки доступа с SSID, совпадающим с анонсируемым контроллером, будет запускаться механизм auto contain: точки доступа, фиксирующие сигнал нелегитимной точки доступа, начинают отправлять клиентам кадры деаутентификации от имени этой точки доступа. В результате клиенту становится очень сложно работать и передавать данные нелегитимной точке доступа.

Настройка автоматической деаутентификации клиентов, подключившихся к нелегитимной точке доступа, на контроллере Cisco.

Получать информацию от контроллера о событиях IDS можно двумя способами: отправка SNMP-трапов в систему мониторинга или парсинг журнала контроллера.

В систему мониторинга также приходит сообщение с МАС-адресом нелегитимной точки доступа и МАС-адрес легитимной точки доступа, которая ее обнаружила.

Для защиты от принудительной деаутентификации на контроллере активируется 802.11w (Protected Management Frames, PMF). Этот режим предотвращает атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной.

При использовании 802.11w фреймы Disassociation, Reassociation, Deauthentication подписываются ключом, известным только авторизованным клиентам и легитимным точкам доступа. В результате клиент может определить, получен данный фрейм от легитимной точки или нет.

Активация 802.11w PMF в веб-интерфейсе контроллера Cisco.

Аутентификация по пользовательским сертификатам. Суть метода заключается в том, что клиент аутентифицируется по пользовательскому сертификату, выписанному доверенным удостоверяющим центром. Этот сертификат помещается в пользовательского хранилище сертификатов каждого беспроводного устройства.

Как организовать подключение к wifi сети с помощью сертификата?

Механизмы защиты wi-fi

Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).

Настраиваем подключение radius-клиента.

В Диспетчере серверов открываем /Средства/Сервер политики сети.

Переходим в /NPS/Radius-клиенты и сервер/Radius-клиенты, щелкаем пр. клавишей мыши и выбираем пункт “Новый документ”

Указываем имя (любое понятное для себя), ip-адрес роутера Mikrotik и придумываем общий секрет посложней (можно воспользоваться генератором).

Настройка ias и точек доступа

После настройки беспроводных клиентов можно перейти к настройке сервера IAS и точек доступа. На сервере IAS необходимо задать политику удаленного доступа, которая свяжет аутентификационные запросы WLAN с требованиями аутентификации 802.1x, основанной на сертификатах.

Нажав правую кнопку на панели с детальной информацией, следует выбрать New Remote Access Policy. Нажмите Next на первой странице мастера New Remote Access Policy Wizard. На следующей странице требуется выбрать Use the wizard to set up a typical policy for a common scenario, ввести имя политики удаленного доступа, например WLAN Access for Domain Computers, и нажать Next.

Настройка подключения mikrotik к radius-серверу.

Чтобы добавить в Mikrotik подключение к RADIUS-серверу открываем меню RADIUS и жмем плюсик.

• Отмечаем нужную службу “Services” – в случае WiFi авторизации это “wireless”.
• Указываем “Adsress” Radius-сервера – это ip-адрес настроенного ранее сервера сетевой политики NPS.
• Заполняем Secret, который был указан при добавлении radius-клиента в NPS.

Все остальные настройки оставляем как есть, если только вы не решили изменить на NPS стандартные порты подключения 1812 и 1813.

Добавляем профиль авторизации: /Wireless/Security profiles. Здесь в Authentication types оставляем только WPA2 EAP.

Указываем в нашем действующем WiFi интерфейсе новый Security profile.

На этом настройка Mikrotik в качестве RADIUS-клиента закончена.

Для диагностики неисправности подключений можно включить Logging для RADIUS: /System/Logging/ . В “Topics” выбираем “radius”.

Открываем Log и пробуем подключиться к точке доступа.

Количество успешных и сброшенных подключений можно посмотреть во вкладке Status созданного подключения к radius-серверу.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка сервера политики сети nps в windows 2021.

Открываем “Диспетчер сервера” и приступаем к установке роли “Сервер политики сети” через “Мастер добавления ролей и компонентов”. Подробно рассматривать процедуру установки не буду, здесь нет никаких сложностей. У меня на сервере эта роль уже установлена (см. скриншот).

После установки Роли потребуется перезагрузка. Перезагружаем сервер и приступаем к настройке NPS.

Настройки беспроводных клиентов

Следующий шаг — настройка сети на всех беспроводных клиентских компьютерах. Здесь мы снова воспользуемся групповыми политиками для автоматизации процесса. Используя тот же GPO, что и раньше, нужно перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsWireless Network (IEEE 802.1x) Policies.

Нажмите правую кнопку на панели с детальной информацией и выберите Create Wireless Network Policy. Затем следует нажать Next на первой странице мастера Wireless Network Policy Wizard и ввести имя политики, например 802.1x Computer Certificate WLAN Policy. Щелкните Next, выберите Edit policies и нажмите Finish.

В диалоговом окне свойств политики 802.1x Computer Certificate WLAN требуется перейти на закладку Preferred Networks. Здесь нужно ввести Service Set Identifier (SSID) WLAN и настроить параметры аутентификации. Нажмите Add и введите SSID беспроводной сети, например AcmeSecureWLAN.

Теперь следует перейти на закладку IEEE 802.1x. Выберите Smart Card or other certificate с типом EAP расширенного протокола аутентификации и Computer only как тип аутентификации компьютера. Затем необходимо настроить параметры сертификата, нажав Settings.

В диалоговом окне Smart Card or other Certificate Properties выберите Use a certificate on this computer и Use simple certificate selection (Recommended), как показано на экране 1. Эти две настройки заставляют беспроводного клиента выбирать соответствующие сертификаты (один из которых мы только что распространили) из их персонального хранилища сертификатов и использовать эти сертификаты для аутентификации на сервере IAS.

Следует убедиться, что клиенты регистрируются в нужной WLAN, а не в некой сети, выдающей себя за вашу WLAN и развернутой злоумышленниками. Для этого нужно выбрать в соответствующем диалоговом окне параметр Validate server certificate, иначе беспроводной клиент будет доверять любой WLAN, которая имеет такое же название, как и ваша AcmeSecureWLAN.

Затем нужно выбрать в следующем окне CA, который выпустил сертификат для сервера IAS, в данном случае это STO CA. Нажмите OK три раза, чтобы закрыть все диалоговые окна. Теперь, когда компьютер в следующий раз применит этот GPO, он будет иметь конфигурацию беспроводной сети, только что заданную вами.

От чего защищаемся

Врага надо знать в лицо, поэтому ниже кратко пройдемся по механике возможных атак против сети WPA2-Enterprise с аутентификацией по доменным аккаунтам.

Подключение клиентов к ложной точке доступа. Зная имя сети SSID (ESSID, если сеть построена на нескольких точках доступа) и MAC-адрес точки доступа (BSSID), злоумышленник может развернуть нелегитимную точку доступа.

Чтобы увеличить свои шансы на успех, злоумышленники используют следующие нехитрые приемы:

Передайте мне сахар

Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.

Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.

План атаки

Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек.

И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.

Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.

Но это в идеальном мире…

Получение сертификатов

Теперь необходимо получить сертификат для сервера IAS. Откройте оснастку Certificates на сервере IAS. Когда появится приглашение выбрать учетную запись пользователя, службы или компьютера, следует выбрать компьютер. Когда появится приглашение выбрать между удаленным или локальным, нужно выбрать локальный.

Затем в главном окне оснастки Certificates требуется нажать правую кнопку на папке PersonalCertificates и выбрать All Tasks, Request New Certificate (запрос нового сертификата). Нажмите Next па первой странице мастера Certificate Request Wizard. На следующей странице нужно выбрать Computer как тип шаблона сертификации и нажать Next.

Теперь необходимо получить сертификаты для всех клиентских компьютеров беспроводной сети. Наиболее простой путь — создать сертификационный запрос в Group Policy Object (GPO), который будет применяться ко всем компьютерам, которым требуется доступ к WLAN.

Также можно создать новый объект GPO, связанный с соответствующим контейнером организационного подразделения (OU) или отредактировать существующую политику домена по умолчанию, которая связана с корнем домена. В большинстве компьютерных сред не помешает выдать каждому компьютеру домена сертификат, созданный по шаблону Computer.

В Group Policy Object Editor следует перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesAutomatic Certificate Request Settings для установки автоматического запроса сертификатов. Далее необходимо нажать правую кнопку на панели с подробной информацией, выбрать New, Automatic Certificate Request (автоматический запрос сертификата) и нажать Next на первой странице мастера.

На следующей странице следует выбрать шаблон Computer, нажать Next, затем Finish. На экране появится запрос на сертификат типа Computer в папке Automatic Certificate Request Settings. В следующий раз каждый из компьютеров применит этот GPO и будет запрашивать сертификат типа Computer с CA, чтобы сохранить его в своем персональном контейнере сертификатов.

Про wpa2-enterprise

Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.

Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).

Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (802.1X), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.

Схема работы WPA2-Enterprise.

Проверка

Теперь, когда все установлено, самое время протестировать сеть. Для начала проверим возможность соединения с беспроводной сетью законного клиента. Таким клиентом является компьютер, имеющий соответствующую политику беспроводного доступа к сети и сертифицированный СА.

Компьютер должен подключиться к WLAN автоматически, и в правом нижнем углу экрана появится значок, свидетельствующий о наличии активного беспроводного соединения. Затем нужно попробовать соединиться с сетью с неавторизованного клиента. Важно убедиться, что WLAN блокирует его. Можно воспользоваться анализатором WLAN и удостовериться, что беспроводной трафик действительно зашифрован.

Если возникнут какие-либо проблемы, можно будет диагностировать их при помощи беспроводного клиента, точки доступа либо сервера IAS. На клиенте следует проверить журналы System и Security на предмет наличия в них сообщений об ошибках, относящихся к сертификатам.

Большинство точек доступа имеют функцию ведения журнала, с помощью которой можно отследить неполадки со связью как между клиентом IAS или RADIUS, так и между AP и IAS. На сервере IAS можно просмотреть ошибки в журнале System, который находится в C:windowssystem32logfiles.

Службы сертификатов

Серверу IAS требуется сертификат для представления себя беспроводным клиентам, поэтому необходим сервер сертификатов Certificate Authority (CA) с запущенной либо на Windows 2003, либо на Windows 2000 службой сертификатов. Сервер СА также будет выпускать сертификаты для всех беспроводных клиентов для авторизации их на сервере IAS.

Если домен AD все еще работает на контроллере домена Windows 2000 и в компании пока нет корпоративного сервера СА, то я бы порекомендовал установить службу сертификатов на существующий сервер Windows 2000, как Enterprise Root CA — вместо установки службы сертификатов на сервер IAS Windows 2003.

Устанавливая Certificate Services, мы тем самым создаем инфраструктуру открытых ключей (public key infrastructure, PKI). Для крупной корпоративной инфраструктуры PKI необходимо установить корневой сервер сертификатов, который будет выдавать сертификаты подчиненным СА.

Чтобы избежать компрометации корневого СА, следует держать его отключенным от локальной сети и выдавать сертификаты только с подчиненных СА. Если подчиненный СА будет скомпрометирован, можно будет отозвать его сертификат с корневого СА и опубликовать в сети новый список отозванных сертификатов (certificate revocation list, CRL).

Многоуровневая иерархия СА предохранит инфраструктуру PKI в случае компрометации СА. Однако это может оказаться избыточным для небольших сетей. Для простоты в таких сетях можно ограничиться установкой одного Enterprise Root CA на существующем сервере Windows 2000 и выдавать сертификаты прямо с него.

Откройте приложение Add/Remove Programs, выберите Add/Remove Components. Перед установкой Certificate Services необходимо установить Microsoft IIS, поскольку Certificate Services использует IIS для административных и сертификационных запросов. Установив IIS из Control Panel, следует убедиться, что включена поддержка Active Server Pages (ASP), так как она требуется для работы Certificate Services.

После установки IIS можно установить Certificate Services. Когда появится приглашение выбрать, какой тип СА установить, следует указать Enterprise Root CA. Enterprise в данном случае означает, что Certificate Services будет автоматически интегрирован в AD, что позволит автоматически получать списки пользователей и компьютеров.

Далее от пользователя требуется ввести идентификационную информацию для СА. Я использовал имя STO CA (экран 1). После установки Enterprise Root CA все компьютеры в домене автоматически будут доверять сертификатам, выпущенным СА. Это происходит потому, что, когда компьютеры находят новый корпоративный CA, опубликованный в AD, они автоматически добавляют сертификаты, выпущенные этим СА, в свое хранилище Trusted Root Certification Authorities.

Создаем политики для wifi авторизации.

На этом шаге настройки воспользуемся мастером настройки 802.1x.

Кликаем лев. клавишей мыши по пункту “NPS(Локально)”, затем в правом окне разворачиваем пункт “Стандартная конфигурация”.

В пункте сценария настройки выбираем “RADIUS-сервер для беспроводных или кабельных подключений 802.1x” и переходим по ссылке “Настройка 802.1x”.

Выбираем пункт “Безопасные беспроводные подключения”

На следующем шаге добавляем RADIUS-клиенты, которые были подключены к RADIUS-серверу ранее.

В качестве метода проверки подлинности выбираем “Microsoft: защищенные EAP (PEAP)”.

Выбираем группы пользователей домена, которым будет доступно подключение к WiFi.

В результате получаем следующие результаты политик.

Политика запросов на подключение:

Сетевая политика:

На этом настройка NPS в качестве RADIUS-сервера для WiFi-авторизации завершена. Приступаем к настройке роутера Mikrotik.

Заключение

На этом завершается вторая часть статьи. Мы научились настраивать беспроводную сеть для работы в режиме чистого WPA с аутентификацией клиентов через EAP-PEAP, с хранением базы аккаунтов во внешней базе (в данном случае — в текстовом файле). Если не хочется связываться с собственным центром сертификации, то информации, приведенной выше, более чем достаточно для построения защищенной беспроводной сети.

Заключение.

На этой статье цикл планировалось завершить, но по мере ее написания становилось ясно, что материал выходит слишком большим, поэтому последнюю часть пришлось оформить отдельной статьей.

В последней части речь пойдет о проблеме “первичности курицы и яйца”- использовании беспроводных клиентов в доменах Windows.

Разберем вкратце эту ситуацию. Клиентский сертификат хранится в профиле пользователя. Профиль может лежать как на сервере (перемещаемые профили), так и на самой рабочей станции (локальные профили).

Для процесса аутентификации (подключения к беспроводной сети), нам необходим клиентский сертификат, лежащий в профиле. Для доступа к профилю, нам как минимум надо аутентифицироваться и на домен-контроллере. То есть, с одной стороны, для подключения к беспроводной сети нам нужно аутентифицироваться на домен-контроллере. А с другой — для аутентификации на домен-контроллере мы уже должны быть подключены к беспроводной сети. Замкнутый круг? 🙂

Второй момент. Выдали сотруднику клиентский сертификат на его ноутбук. Работает он в беспроводной сети, горя не знает. Потом сотрудник уволился. Как запретить ему доступ в сеть компании?

Эти два аспекта и будут рассмотрены в заключительной, пятой части статьи.