22T3 Sieć Wi-Fi z loginem i hasłem (WPA3-Enterprise) [Konfiguracja]

Mobility Conductor ClearPass

Link do artykułu.

0:00 Wprowadzenie

0:27 Konfiguracja Radiusa

7:06 Mobility Conductor

14:50 Podłączenie do sieci

16:07 Podsumowanie

Transkrypcja

Cześć! Chcesz skonfigurować sieć Wi-Fi z zabezpieczeniem WPA3-Enterprise i uwierzytelnianiem, nazwą użytkownika i hasłem? Jeśli tak, za chwilę pokażę, jak to zrobić, wykorzystując Mobility Conductora z Mobility Controllerem, rozwiązaniem RADIUS-owym, na przykład ClearPass, i AccessPointem. Zapraszam do oglądania.

Najpierw zaczniemy od konfiguracji RADIUS-a, który będzie obsługiwany przez ClearPass Policy Managera. Przejdź do zakładki Configuration. Następnie Service Templates & Wizards. W tym kreatorze utworzymy profil w ClearPassie, pozwalający na uwierzytelnienie użytkowników sieci bezprzewodowych Aruby. Z listy dostępnych usług w kreatorze, wybieramy Aruba 802.1X Wireless.

Kolejnym etapem będzie nadanie nazwy dla tej usługi. Ta nazwa nie będzie nigdzie sprawdzana. Chodzi tylko o to, żebyśmy potem w przyszłości mogli rozpoznać, czego ona dotyczyła. Dlatego taką łatwą do odnalezienia można wybrać, na przykład nap-lab-wpa3-ent jako sieć firmową. Klikamy Next. Kolejnym etapem będzie wybranie źródła autentykacji. Z listy rozwijanej wybieramy Local User Repository. Formularz jest teraz pusty z tego względu, że jest to baza użytkowników znajdująca się w sekcji Identity > Local Users. Nie będę pokazywał teraz, jak wygląda baza. Po prostu wystarczy prostym kreatorem dodać użytkownika. Jest już utworzony użytkownik, którym będziemy się autoryzowali. Następnie naciskamy Next. Z tej listy można ograniczyć urządzenie sieciowe, które będzie mogło odpytywać RADIUS-a o uwierzytelnianie. Z tej listy nic wybieramy. Jedyne, co zaznaczamy, to włączamy RADIUS Dynamic Authorization. Zostawiamy domyślny port. Następnie Next. Tutaj nic nie zmieniamy.

Kolejnym etapem będzie zdefiniowanie polityki egzekwowania, przydzielania roli. Tutaj w teorii jedynym parametrem wymaganym w konfiguracji jest rola domyślna. Ale niestety trzeba też wpisać co najmniej jedną politykę, która ma zostać zastosowana. Na liście rozwijanej znajdują się parametry, na podstawie których można przypisać rolę użytkownikowi. Żadna z tych niestety nas w tym
momencie nie będzie interesowała. Najpierw dodajmy rolę domyślną. Przyjęło się, że jeżeli nie ma reguły, która powinna zostać zastosowana, to odrzucamy połączenie. Dlatego rolą domyślną jest w tym przypadku deny. Jeżeli tylko to wypełnimy i naciśniemy Add Service, wyświetli się błąd, informujący o przypisaniu co najmniej jednej polityki. Dlatego wpiszę tutaj regułę, która nie ma sensu. Przeważnie chcemy przypisywać do roli authenticated i załóżmy, że konto ma wygasać później niż dzisiaj. Możliwe, że taki parametr nie istnieje, ale nie jest to sprawdzane dokładnie przez Clearpass. Naciskamy Add Service, zostały utworzone trzy profile Enforcementu, jedna polityka Enforcementu i została dodana jedna usługa. Usługi są tutaj na liście, jest to ta ostatnia. Klikamy na tę usługę. Przechodzimy do zakładki Enforcement i z listy rozwijanej wybieramy domyślną politykę Sample Allow Access Policy. Jest to prosta polityka, która zezwala na wszystko. Tutaj od razu widać, jakie ona ma zastosowanie w parametrach, które sam wpisałem, wyglądało w taki sposób: Authorization: [Local User Repository]: Account Expires CONTAINS > today. Żadne połączenie raczej by nie wpadło w tę politykę i by to nie miało zastosowania, dlatego jak wybraliśmy z listy Sample, tutaj polityka bazuje na dniu tygodnia. Naciskamy Save. Zobaczmy, czy zostało zastosowane.

Jeszcze raz do zakładki Enforcement. Wszystko jest. Przechodzimy do zakładki Configuration > Network > Devices. W tym miejscu należy zdefiniować urządzenia-a dokładnie kontrolery, które mogą zostać podłączone do Clearpassa. Jeżeli tutaj nie znajdzie się kontroler, który konfigurowaliśmy. W tym przypadku RAP-MC-7030 w odpowiednim VLAN-ie, to połączenia zostaną odrzucone. Tutaj działająca reguła jest szósta: RAP-MC-7030 253. Jest to VLAN przypisany na interfejsie managementowym, dlatego domyślnie on łączy się z Clearpassem. Tak właśnie wygląda formularz po dodaniu i podczas dodawania
urządzenia do listy. Podajemy jedynie adres IP i Shared Secret RADIUS-owy. Można też zaznaczyć, jeżeli będzie odznaczone Enable RADIUS Dynamic Authorization. Co istotne, Shared Secret RADIUS-owy powinien być taki sam jak ten wpisany w kontrolerze. Dlatego lepiej wpisać go tutaj ręcznie. I w kolejnym etapie na kontrolerze wpisać go ponownie. Też domyślny może być inny niż ten z Clearpassa. Przechodzimy do Mobility Conductora. W trybie katalogu wybieramy katalog z kontrolerem. W tym przypadku RAP-MC-7030. Następnie z menu Authentication dodajemy grupę serwerów. Jest to już jedna grupa i jeden serwer pasujący do Clearpassa, ale pokażę, jak ten proces wygląda od początku. Tutaj nadajemy dowolną nazwę. W tym przypadku NAP-LAB-Employ i naciskamy Submit. Teraz zaznaczamy na liście utworzoną grupę.

W tabelce poniżej naciskamy symbol dodawania serwera. Tutaj jak widać możemy wybrać już istniejący serwer. Pasowałby już ten NAP-RADIUS-wzór, ale pokażę, jak dodać kolejny. Dlatego wybieramy Add new server. Wpisujemy dowolną nazwę, na przykład NAP-LAB-RADIUS. Wpisujemy adres IP albo nazwę serwera Clearpassa, który działa jako RADIUS. Tutaj z listy możemy wybrać, jaki to jest serwer. W naszym scenariuszu jest to RADIUS, czyli pozostawiamy domyślną pozycję. Naciskamy Submit. Jeszcze trzeba będzie zmienić jeden z parametrów RADIUS-a. Dlatego wybieramy utworzony przed chwilą serwer i w pozycji Shared key dwa razy wpisujemy hasło, które wpisaliśmy podczas dodawania kontrolera do Clearpassa. Żadne dodatkowe
ustawienia nie ulegają zmianie. Naciskamy Submit. Można zastosować zmiany.

Przechodzimy do zakładki WLANs i tworzymy nowy VLAN. Wpisujemy dowolną nazwę VLAN-u, na przykład NAP-LAB Employee. Wybieramy AP grupy Access Pointów, których ma być rozgłaszana ta sieć. Wybieramy VLAN, do którego
ma zostać przypisany klient, który podłączy się do tej sieci. Naciskamy Next. Dodajemy serwer autoryzacji NAP-LAB-RADIUS. Następnie Next. Wybieramy rolę domyślną authenticated. Powód, dlaczego wybieramy tę rolę, opisałem w poprzednim odcinku. I finish. Tutaj potwierdzamy, że zgadzamy się na potencjalne ograniczenia, które w tym przypadku nas nie dotyczą. Następnie wybieram Pending Changes i sprawdźmy, jakie ustawienia zostaną zastosowane. Konfiguracja, którą dokonaliśmy, spowoduje przypisanie na kontrolerze serwera autoryzacji NAP-LAB-RADIUS. W menu Authentication >Auth Servers > Options zostanie przypisana sieć NAP-LAB-Employee do tego serwera autoryzacji w zakładce System > Admin > Admin Authentication Servers zostanie przypisana sieć NAP-LAB-Employee i serwer RADIUS NAP-LAB-RADIUS Clearpassowy. Do profilu sieci bezprzewodowej zostanie przypisany profil NAP-LAB-Employee_ssid_prof, do niego nazwa sieci
NAP-LAB-Employee szyfrowanie wpa3-aes-ccm-128 zostanie utworzony
WLAN NAP-LAB-Employee. Do tego VLAN-u zostanie przypisana rola domyślna authenticated. Zostanie do niego również przypisany VLAN NAP-Clients-LAB, czyli klienci, którzy autoryzują się poprawnie na tym SSID zostaną przypisani do tego VLAN-u co użytkownicy sieci Personal, którzy w poprzedniej konfiguracji też mieli ten VLAN. Zostanie przypisany też wirtualny AP NAP-LAB-Employee, i on zostanie dodany do AP grupy LAB, czyli urządzenia, które są w AP grupie LAB będą rozgłaszały tę sieć. Następnie Authentication > L2 Authentication > Wireless LAN 802.1X Authenticaion Profile, tutaj jest utworzony profil o nazwie NAP-LAB-Employee_dot1_aut, czyli chodzi o logowanie nazwą użytkownika i hasłem. W zakładce System > Profiles > Wireless LAN > 802.1X Authentication Profile też został utworzony profil o nazwie NAP-LAB-Employee_dot1_aut. W menu Authentication > AAA Profiles > Wireless LAN > AAA Profile został utworzony profil NAP-LAB Employee_aaa_prof. Został też utworzony profil 802.1X Authenticated NAP-LAB-Employee_dot1_aut. W zasadzie te profile w zakładce Authentication >
AAA Profiles > Wireless LAN AAA Profile zostały przypisane do tego profilu AAA Profile. Następnie System > Profiles > Wireless LAN > AAA Profile, tutaj już też jest zdefiniowany Profil AAA, do którego jest przypisana rola authenticated, profil NAP-LAB-Employee_dot1_aut i grupa serwerów RADIUS-a NAP-LAB-Employee_dot1_svg. System > Profiles > Wireless LAN Virtual AP profile został utworzony profil o nazwie NAP-LAB-Employee i jest do niego przypisany profil sieci SSID NAP-LAB-Employee_ssid_prof. Profil AAA o nazwie NAP-LAB-Employee_aaa_prof. W zakładce General > VLAN został przypisany do tych sieci VLAN NAP-CLIENTS-LAB. AP grupa LAB. Został utworzony na kontrolerze profil o nazwie LAB i do niego przypisany wirtualne AP o nazwie NAP-LAB-Employee. W zadaniach zostało utworzone zadanie provisioningu o nazwie LAB. Naciskamy Deploy changes. I Close. Teraz będziemy mogli połączyć się w -11 do tej sieci, uwierzytelniając się nazwą użytkownika i hasłem. Dla bezpieczeństwa,
jeżeli wiemy, jaki powinien być certyfikat, możemy sprawdzić, czy łączymy się z tym serwerem autoryzacji, z którym powinniśmy, czyli w tym przypadku Clearpass powinien nas autoryzować w tej sieci. Tutaj w zakładce Clients możemy sprawdzić połączone urządzenia. Domyślnie jest mniej informacji udostępnianych niż w przypadku połączenia WPA3 sae. Tam była jeszcze domyślnie widoczna nazwa urządzenia, które się podłączyło. W tym przypadku jest tylko nazwa użytkownika, który się łączy.

Jak mogłeś zauważyć podczas łączenia się z siecią Wi-Fi, nie został przedstawiony sposób łączenia na Linuksie. Jak w poprzednim odcinku wspominałem, mój adapter Wi-Fi nie wspierał standardu WPA3. W przypadku sieci opartych o WPA3 Enterprise, tak jak i o WPA2 Enterprise, jest wymagany konkretny rodzaj sieci. Nie ma tam zgodności wstecznej. Dlatego demo zostało przedstawione na Windows 11, na urządzeniu wspierającym standard WPA3. Jeśli posiadasz urządzenia w swojej firmie, które obsługują maksymalnie standard WPA2, zalecam utworzenie dodatkowej sieci dla tych właśnie urządzeń i użytkownicy posiadający takie urządzenia będą logowali się bezpośrednio standardem WPA2. Oczywiście mowa o WPA2 Enterprise. Do następnego razu.