22T4 Sieć Wi-Fi gościnna z Captive Portalem (WPA3-OWE) [Konfiguracja]
Captive Portal Enhanced Open OWE
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:29 Konfiguracja Sieci Gościnnej – Kontroler
17:22 Podsumowanie
17:39 Bezpłatny kurs z Sieci Bezprzewodowych
Transkrypcja
Cześć! Chcesz skonfigurować sieć gościnną z Captive Portalem w rozwiązaniu kontrolerowym Aruby? Jeśli tak, to dobrze trafiłeś. Za chwilę pokażę, jak to zrobić i oprócz tego, jak włączyć tzw. sieć otwartą rozszerzoną, która dodatkowo zabezpiecza komunikację między Access Pointem a urządzeniem podłączonym do sieci otwartej. Zapraszam. Konfiguracja sieci gościnnej będzie odbywać się na kontrolerze RAP-MC-7030. W tym celu przechodzimy do kontekstu katalogu konfiguracyjnego tego kontrolera. Następnie do menu Configuration WLANs. Naciskamy symbol plusa w celu dodania sieci gościnnej, nadajemy jej dowolną nazwę, na przykład NAP-LAB-Guest. Jako podstawowe użycie wybieramy Guest. Wybieramy AP grupy, na których ma być rozgłaszana sieć gościnna. Następnie Next. Na tym etapie trzeba wybrać VLAN, do którego ma być przypisany podłączony klient. Naciskamy Next.
Teraz wybieramy rodzaj Captive Portalu, w jakim ma odbywać się autoryzacja. Domyślnie jest zaznaczona opcja bez Captive Portalu. Po prawej stronie jest podgląd, jak taki Captive Portal by wyglądał. Parametr No Captive Portal wyłącza Captive Portal. Internal Captive Portal, no auth or registration wyświetla po prostu check box z akceptacją regulaminu korzystania z sieci Wi-Fi. Internal Captive Portal with e-mail registration polega na tym, że podajemy adres e-mail i zaznaczamy check box z akceptacją regulaminu. Internal Captive Portal with authentication, tutaj podajemy nazwę użytkownika i hasła, i akceptujemy regulamin korzystania z sieci bezprzewodowej. Tutaj będzie potrzebna wewnętrzna baza użytkowników sieci, którą będzie można skonfigurować na kontrolerze. ClearPass or other external Captive, tutaj możemy działać podobnie jak w poprzednim odcinku, dotyczącym WPA3 Enterprise, też w tym scenariuszu jest potrzebny ClearPass i baza danych użytkowników znajduje się wtedy na ClearPass lub innym serwerze autoryzacji. Nas najbardziej interesuje w tym momencie przedostatnia opcja, czyli wewnętrzny Captive Portal z autoryzacją. Naciskamy Next. I Finish. Tutaj nie możemy wybrać innej roli. Ponownie przechodzimy do zakładki WLANs. Jest utworzona nasza sieć gościnna. Jest to domyślnie sieć otwarta, a chcemy zrobić sieć otwartą rozszerzoną, czyli z nowym zabezpieczeniem, które zostało udostępnione razem ze standardem WPA3.
Zobaczymy, jakie zmiany to wprowadziło w konfiguracji na kontrolerze. W menu Authentication > L3 Authentication > Wireless LAN Captive Portal Authentication Profile został utworzony profil sieci gościnnej. W menu System > Profiles > Wireless LAN > Captive Portal Authentication Profile został utworzony profil o nazwie NAP-LAB-Guest_cppm_prof. W menu Services > VPN > General VPN zostały ustawione priorytety. W menu Authentication > Advanced Total Limits for This Role została przypisana rola, do której będzie przypisany użytkownik po prawidłowym zalogowaniu się do sieci. W Roles & Policies Roles>More>Authentication tutaj została przypisana nazwa
roli NAP-LAB-Guest-guest-logon, do niej dwa profile Captive Portalu NAP-LAB-Guest_cppm_prof. W menu Roles & Policies > Roles > More > VPN została przypisana reguła o nazwie NAP-LAB-Guest-guest-logon. W menu Roles & Policies > Roles została utworzona reguła NAP-LAB-Guest-guest-logon,
do niej przypisana polityka logon-control, polityka captive portal, polityka captiveportal6, polityka v6-logon-control.
Są to polityki sesyjne, zostały przypisane do kolejnych pozycji 3, 4, 6 i 5. Nazwa polityki apprf-nap-lab-guest-guest-logon-sacl, został utworzony WLAN NAP-LAB-Guest-guest-logon. Nazwa SSID tego WLAN-u NAP-LAB-Guest, został przypisany do tego SSID dla tego WLAN-u. VLAN NAP-CLIENTS-LAB i został utworzony wirtualny AP NAP-LAB-Guest dodany do AP grupy LAB. W menu Roles & Policies > Policies została przypisana nazwa polityki apprf-nap-lab-guest-guest-logon-sacl. W menu System > Profiles > Wireless LAN SSID Profile został utworzony profil NAP-LAB-Guest_ssid_prof i przypisany ESSID NAP-LAB-Guest. W menu Authentication > AAA Profiles > Wireless LAN > AAA Profile został utworzony profil o nazwie NAP-LAB-Guest_aaa_prof i została przypisana rola NAP-LAB-Guest-guest-logon. W menu System > Profiles > Wireless LAN > AAA Profile został utworzony profil NAP-LAB-Guest_aaa_prof z inicjalną rolą NAP-LAB-Guest_guest_logon. W menu System > Profiles Wireless LAN>Virtual AP profile został utworzony profil o nazwie NAP-LAB-Guest, został do niego przypisany SSID profile NAP-LAB-Guest_ssid_prof z profilem AAA: NAP-LAB-Guest_aaa_prof i został w menu General > VLAN przypisany VLAN NAP-CLIENTS-LAB. W AP grupa została utworzona AP grupa LAB. W System > Profiles nazwa profilu LAB i Virtual AP NAP-LAB-Guest. W menu Tasks > Provision new Campus APs został utworzony task o nazwie LAB. Kolejne zmiany są w CLI dostępne. Naciskamy Deploy changes.
Zobaczmy na podglądzie, jak wygląda opis utworzonej sieci Wi-Fi. Może minąć kilka sekund, zanim się pojawi. Jak widać ta sieć jest otwarta. Czyli bez żadnego szyfrowania. Tutaj mamy informację o zabezpieczeniu i odpowiednią ikonę kłódki. Ale nie będziemy teraz się z tą siecią łączyć. Zobaczmy jeszcze, jak to wygląda z poziomu systemu Linux Mint. Jest też sieć otwarta, bez żadnej kłódki informującej o zabezpieczeniu połączenia. Tutaj warto zwrócić uwagę: klucz zarządzający jest open-otwarty-a chcemy mieć otwartą rozszerzoną. W tym celu przechodzimy do menu System, zakładki Profiles, do podkatalogu Wireless LAN, następnie SSID i odnajdujemy profil utworzonej sieci gościnnej: NAP-LAB-Guest_ssid_prof. To jest właśnie ten profil dla sieci utworzonej w kreatorze tworzenia sieci z Captive Portalem. Nie mogliśmy tam niestety wybrać, że to ma być sieć otwarta rozszerzona, tylko domyślnie była otwarta bez możliwości podstawowej zmiany. Lokalizujemy pozycję Encryption, zaznaczamy enhanced-open i odznaczamy opensystem. Opensystem jest siecią otwartą. Enhanced-open jest siecią otwartą rozszerzoną. Obie nie mogą być jednocześnie włączone.
Aby zapewnić zgodność wsteczną z siecią otwartą, zaznaczamy tryb Opmode transition. Jest to właśnie zapewnienie, że sieć będzie działała też w trybie zwykłym otwartym. Mimo tego, że ona jest rozszerzona. Pozwoli to na urządzeniach niewspierających trybu enhanced-open na korzystanie
z sieci otwartej. Dotyczy to na przykład smartfonów z systemem Android w wersji 9 i starszej, bo od wersji 10 i wyżej jest domyślnie obsługiwany tryb enhanced-open. Tutaj widać, że jest to domyślnie zaznaczone. Naciskamy Submit. Tutaj zobaczmy. Nasza sieć NAP-LAB-Guest zamiast zarządzania kluczami open ma zmienioną pozycję na enhanced-open. Dodatkowo w kolumnie Information, podobnie jak przy WPA3, jest informacja, że ten tryb może nie działać przy niezgodnych Access Pointach, niezgodnych urządzeniach. Naciskamy Pending Changes, tutaj zobaczymy, jakie zmiany zostały wprowadzone, został zmieniony tylko parametr enhanced-open na true. Naciskamy Deploy changes i Close. Przechodzimy do zakładki Authentication i Internal. Teraz przejdziemy do menu Guest User Page. Robimy to w celu utworzenia dodatkowego użytkownika gościnnego. W tym miejscu można tworzyć użytkowników gościnnych, nawet z krótkim terminem ważności konta. Tworzymy użytkownika demouser. Z dowolnym hasłem,
na przykład demopass. Powtarzamy hasło. Możemy też wybrać okres ważności konta. Domyślnie jest osiem godzin. Możemy kliknąć, aby Create albo Create & Print w celu wydrukowania informacji o danych logowania do sieci. Możemy podejrzeć, co by zostało wydrukowane i na przykład wydrukować do PDF-a i wysłać gościowi dane do logowania do sieci. Informacje o użytkowniku zostały zapisane.
Tutaj możemy podejrzeć datę ważności, utworzenia konta i na przykład wysłać
te same dane mailem, jeżeliby został podany mail podczas wypełniania formularza. Widać jest tutaj sieć otwarta. Rozłączmy i połączmy się jeszcze raz z Wi-Fi w celu odświeżenia sieci. Jak widać są dwie sieci. Ta sytuacja jest spowodowana tym, że zaznaczając opcję opmode transition powodujemy, że każda sieć gościnna rozgłasza tak naprawdę dwie sieci. Jedna jest z zaznaczeniem, że jeżeli urządzenie wspiera standard WPA3, to będzie wyświetlało tylko jedną sieć, ale tutaj widać, że jeszcze nie zdążyło się
odświeżyć i trafiliśmy w moment, gdzie są widoczne dwie sieci. Jeżeli urządzenie wspiera maksymalnie WPA2, będzie mogło podłączyć się tylko z siecią otwartą, a jeżeli wspiera WPA3, to będzie mogło podłączyć się ze standardem enhanced-open, czyli z tą siecią otwartą rozszerzoną. Zobaczmy.
Ta jest otwarta rozszerzona, ta jest tylko otwarta. Tutaj rozłączymy, żeby była widoczna tylko jedna, niestety tylko sieć otwarta rozszerzona. Warto zwrócić uwagę, że przez to, że jest włączona opcja opmode transition są wykorzystywane dwie licencje na rozgłaszane sieci Wi-Fi. Jeżeli licencji zabraknie, to wtedy jest rozgłaszana tylko sieć rozszerzona. Sprawdźmy,
jak to wygląda na Linuksie. Też odświeżymy połączenia. Jest tylko jedna sieć otwarta. Bo karta sieciowa podłączona do tego systemu nie wspiera standardu WPA3 i enhanced-open. Czyli zabezpieczenie OWA. Tutaj udało się bez problemu podłączyć. Sieć wymaga autoryzacji. Otwieramy stronę logowania. W przypadku tego połączenia certyfikat jest samopodpisany. Z tego powodu należy przejść do zaawansowanych w przypadku Firefoksa i zaakceptować ryzyko, kontynuować. Logujemy się kontem utworzonym w panelu zarządzania. Jest stosowna informacja o pomyślnym zalogowaniu się do sieci, która w przypadku Linuksa jest średnio bezpieczna z tego względu, że jest po prostu otwarta. Bez żadnych zabezpieczeń, nie licząc nazwy użytkownika i hasła. Teraz sprawdzimy ping. Upewniamy się, że jest tylko sieć bezprzewodowa, żeby pakiet nie przeszedł inną drogą. Widać ping idzie i pong wraca. Internet jest. Dla kolejnego potwierdzenia wejdziemy na stronę bloga netadminpro.pl. Strona normalnie się otworzyła. Zobaczmy informację
o podłączonym kliencie. Jest demouser. Podłączył się do WLAN-u NAP-LAB-Guest. Teraz podłączymy się z urządzenia wspierającego standard WPA3 i enhanced-open. W tym momencie odłączę kabel sieciowy w celu podłączenia się przez Wi-Fi, stąd komunikat o połączeniu zakłóconym, i mamy formularz logowania. Logujemy się tymi samymi poświadczeniami, co w przypadku Linuksa. Udało się zalogować.
Tutaj strona bloga też się otworzyła. Zobaczmy jeszcze informację o podłączonych urządzeniach do sieci. Jak widać w kolumnie WLAN są widoczne dwie różne nazwy sieci. Sieć z zabezpieczeniem OWE, czyli tym nowym z sieci otwartej rozszerzonej. Ma odpowiedni prefiks w nazwie sieci i na końcu numer w stylu hasza. Też widać, że połączenie nastąpiło z tego samego Access Pointa.
Ten Access Point fizycznie rozgłasza dwie sieci Wi-Fi, ale odpowiednie urządzenia będą widziały jedną sieć Wi-Fi. Jak widać tego samego użytkownika. Tutaj niski jest Health score z tego względu, że połączenie jest krótko zestawione. Zobaczmy informacje z poziomu systemu Windows 11 o tej sieci. Przy typie zabezpieczeń w sieci otwartej jest po prostu informacja otwarta. A tutaj widać mamy OWE. OWE to inaczej Opportunistic Wireless Encryption. Jest to zabezpieczenie chroniące przed posłuchaniem ruchu między innymi punktami końcowymi. Tak w skrócie. Tak, że mimo tego, że sieć jest otwarta, to jest w pewnym sensie zabezpieczona. Jak mogłeś zauważyć, domyślnie sieć gościnna jest niezabezpieczona. Dzięki temu, że można włączyć zabezpieczenie enhanced-open połączenie urządzeń końcowych z siecią Wi-Fi jest bezpieczniejsze. Do następnego razu.
Jeśli chcesz nauczyć się podstaw konfiguracji sieci bezprzewodowej w środowisku kontrolerowym Aruby, zobacz nasz najnowszy kurs NAP Mobility Introduction. Link do kursu znajdziesz pod filmem (KLIKNIJ).






