||

Sieć Wi-Fi z loginem i hasłem (WPA3-Enterprise)

PrzezRadosław Kierznowski

Ten artykuł jest kontynuacją serii o tworzeniu sieci Wi-Fi w oparciu o rozwiązania Aruby. Pokażę, jak skonfigurować sieć Wi-Fi zabezpieczoną WPA3-Enterprise z uwierzytelnianiem nazwą użytkownika i hasłem. Tego typu sieć nazywa się również pracowniczą albo firmową/korporacyjną, jeśli trafisz na takie nazwy, to z pewnością chodzi o uwierzytelnianie nazwą użytkownika i hasłem, albo automatycznie certyfikatem z karty inteligentnej, bo taki scenariusz w sieciach korporacyjnych też jest możliwy. Tutaj skupimy się w najprostszym podstawowym scenariuszu, czyli loginie i haśle.

Jeśli chcesz obejrzeć instrukcję video – kliknij 🙂

Co już musisz mieć

  • Środowisko kontrolerowe Aruby, czyli Mobility Conductor z Mobility Controllerem
  • Serwer RADIUS, np. Aruba ClearPass
  • Access Point działający w trybie CAP lub RAP

Ze względu na wymagania stawiane przez WPA3-Enterprise nie można autoryzować się wykorzystując lokalną bazę użytkowników na kontrolerze, tak jak to było w WPA2-Enterprise. Wymagany jest w tym przypadku zewnętrzny RADIUS.

Konfiguracja ClearPass Policy Managera

  1. Przejdź do pozycji Configuration > Service Templates & Wizards.
  2. W oknie po prawej stronie wybierz Aruba 802.1X Wireless
  3. Otworzy się kreator dodawania usługi na podstawie szablonu. Podaj dowolną, ale łatwą do późniejszego znalezienia nazwę prefiksu usługi i naciśnij Next.
  4. W kolejnym kroku, z listy rozwijanej wybierz [Local User Repository] i naciśnij Next. Ta pozycja oznacza, że autoryzacja będzie się odbywać z wykorzystaniem poświadczeń w bazie użytkowników zlokalizowanej na ClearPassie.
  5. Kolejnym etapem będzie ograniczenie urządzeń sieci jakie mają mieć możliwość korzystania z tworzonej usługi. Wystarczy zaznaczyć Enable RADIUS Dynamic Authorization i nacisnąć Next.
  6. Pomiń zakładkę Posture Settings naciskając ponownie Next.
  7. W zakładce Enforcement Details wypełnij dowolnie pierwszy wiersz i jako domyślną politykę wpisz deny. Po wypełnieniu formularza naciśnij Add Service.
  8. Wyświetli się lista usług. Dodana przed chwilą usługa będzie ostatnia na liście i na początku nazwy będzie miała zdefiniowany prefiks. Kliknij na tę nazwę.
  9. Przejdź do zakładki Enforcement. Na liście rozwijanej Enforcement Policy wybierz politykę [Sample Allow Access Policy] i naciśnij Save.
  10. Dodaj użytkowników sieci w ustawieniach Configuration > Identity > Local Users.
  11. Przejdź do ustawień Configuration > Network > Devices w celu dodania Mobility Controllera do listy urządzeń sieciowych mogących kontaktować się z ClearPassem.
  12. Naciśnij Add i wypełnij formularz według wzoru

    W formularzu podaj dowolną nazwę urządzenia, wskaż komunikacyjny adres IP urządzenia (interfejs management), podaj klucz współdzielony do komunikacji RADIUS i włącz dynamiczną autoryzację RADIUS.

Konfiguracja kontrolera

  1. Przejdź do katalogu konfiguracyjnego kontrolera, następnie do ustawień Configuration > Authentication.
  2. Pozostając w karcie Auth Servers kliknij symbol Aruba_Plus_Icon znajdujący się w tabeli Server Groups.
  3. W wyświetlonym oknie wpisz dowolną nazwę grupy serwerów i naciśnij Przycisk Submit.
  4. Zaznacz utworzoną przed chwilą grupę serwerów i naciśnij Aruba_Plus_Icon w tabeli poniżej w celu dodania nowego serwera do grupy.
  5. Wyświetli się formularz dodawania serwera do grupy. Wybierz Add new server, podaj nazwę widoczną na kontrolerze, podaj jego adres IP i naciśnij Przycisk Submit.
  6. W tabeli poniżej wybierz dodany przed chwilą serwer w celu zdefiniowania klucza współdzielonego RADIUS.
  7. W polach Shared key i Retype key wprowadź klucz, który został dodany na ClearPassie w puncie 12 konfiguracji ClearPassa i naciśnij Przycisk Submit.
  8. Naciśnij Pending Changes a następnie Deploy changes.
  9. Będąc nadal w kontekście katalogu konfiguracyjnego kontrolera przejdź do ustawień Configuration > WLANs i naciśnij Aruba_Plus_Icon w celu dodania nowej sieci WLAN.
  10. W wyświetlonym kreatorze podaj nazwę sieci Wi-Fi pod jaką się będzie rozgłaszała, wybierz AP grupy w jakich ma być rozgłaszana i naciśnij Przycisk Next.
  11. W kolejnym kroku wskaż VLAN do jakiego ma zostać przypisany klient po poprawnym zalogowaniu się do sieci. Instrukcję dodawania VLANu znajdziesz w artykule Sieć Wi-Fi z hasłem współdzielonym (WPA3-SAE). Po wybraniu VLANu naciśnij Przycisk Next.
  12. Kolejnym etapem będzie ustawienie zabezpieczeń. Domyślnie jest już wybrany poziom Enterprise z zabezpieczeniem WPA3-Enterprise. Pozostaje nacisnąć tylko ikonę Aruba_Plus_Icon i wybrać dodany w kroku 5 serwer autoryzacji RADIUS. Po dokonaniu wyboru naciśnij Przycisk Next.
  13. W ostatnim kroku kreatora wybierz rolę domyślną authenticated i naciśnij Przycisk Finish.
  14. Wyświetli się ostrzeżenie dotyczące kompatybilności z WPA3. Naciśnij OK.
  15. Pozostaje tylko zastosować zmiany klikając na Pending Changes i Deploy changes.

Test połączenia

Przy próbie połączenia z siecią Wi-Fi powinien wyświetlić się formularz z prośbą o uwierzytelnienie loginem i hasłem.

Przed ostatecznym zalogowaniem się do sieci i przekazaniem poświadczeń może zostać wyświetlona dodatkowa prośba o potwierdzenie połączenia. Dzieje się tak, gdy ClearPass lub inny serwer autoryzacji (RADIUS) ma samopodpisany certyfikat lub certyfikat z niezaufanego CA.

Podobne wpisy

||

Uwierzytelnianie RADIUS Ubuntu [Konfiguracja Fortigate]

PrzezJakub Szczypiór

Wstęp Serwer RADIUS (Remote Authentication Dial-In User Service) jest stosowany do autoryzacji, uwierzytelniania i rozliczania użytkowników zdalnego dostępu jak i z sieci LAN. Pozwala na zapobieganiu nieautoryzowanemu dostępowi do sieci przez osoby niepożądane. Takie rozwiązanie posiada też linux ubuntu o nazwie FREERADIUS. Posiada podstawowe…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *