web-dev-qa-db-ja.com

オフィスでワイヤレスセキュリティを改善するにはどうすればよいですか(Radius?Certs?)

編集1:

私たちの環境は混合されており、大部分のOSXにはいくつかのWindowsボックスとLinuxボックスがあります。さらに重要なことに、AndroidおよびApple携帯電話も定期的にワイヤレスアクセスが必要になります。

Freeradiusを実行するために利用できるredhatボックスがあります。すべてのネットワーク機器はCiscoベースです(ASA + Catalystスイッチ+ Aironet 1140 AP)

HopelessN00bからのフィードバックのおかげで、私は現在、Freeradius + PEAPをソリューションとして検討しています。承認サーバー側のテストベッドを準備して、その感触をつかんでいます。


現在、WDS経由で接続された2つのCisco Aironet1140で構成されるセットアップでwpa2キー+ MACアドレスフィルタリングを使用しています。

正常に動作していますが、全員が同じWPA2キーを共有しており、誰かが追加されるたびに両方のAP構成を編集する必要があり、少し時間がかかります。 APは2つしかなく、オフィスには約12〜15人がいて、他の場所と同期する必要はありません。私たちはmac/windows/linuxが混在するオフィスです。どのような設定をお勧めしますか?

そこに着いたときにすべてがすでに構成されていて、APの実行構成でRADIUSサーバーへの2つの参照が表示されましたが、参照されたマシンではそれらのポートが開いていないようであるため、これらの回線は非アクティブであると思われます。私は正しいですか?

実行中の構成のコピーは次のとおりです。

アクセスポイント1:

    service password-encryption
    !
    hostname wap
    !
    logging rate-limit console 9
    enable secret 5 [redacted]
    !
    aaa new-model
    !
    !
    aaa group server radius rad_eap
     server 192.168.90.245 auth-port 1812 acct-port 1813
    !
    aaa group server radius rad_mac
    !
    aaa group server radius rad_acct
    !
    aaa group server radius rad_admin
    !
    aaa group server tacacs+ tac_admin
    !
    aaa group server radius rad_pmip
    !
    aaa group server radius dummy
    !
    aaa authentication login default local
    aaa authentication login eap_methods group rad_eap
    aaa authentication login mac_methods group rad_mac
    aaa authentication login wds-server group rad_eap
    aaa authorization exec default local 
    aaa accounting network acct_methods start-stop group rad_acct
    !
    aaa session-id common
    clock timezone -0500 -5
    clock summer-time -0400 recurring
    ip domain name nyc.acme.local
    !
    !
    dot11 association mac-list 700
    dot11 syslog
    !         
    dot11 ssid ACME-NYC
       vlan 1
       authentication open 
       authentication key-management wpa version 2
       guest-mode
       wpa-psk ascii 7 [redacted]
    !
    dot11 aaa csid ietf
    !
    !
    username ckent privilege 15 secret 5 [redacted]
    username e0f847203232 password 7 [redacted]
    username e0f847203232 autocommand exit
    username 58946b90ca20 password 7 [redacted]
    username 58946b90ca20 autocommand exit
    username bwayne privilege 15 secret 5 [redacted]
    username e0f847320cca password 7 [redacted]
    username e0f847320cca autocommand exit
    username 58946bbf4868 password 7 [redacted]
    username 58946bbf4868 autocommand exit
    username pparker privilege 15 secret 5 [redacted]
    !
    !
    bridge irb
    !         
    !
    interface Dot11Radio0
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     speed  basic-11.0 18.0 24.0 36.0 48.0 54.0
     channel 2412
     station-role root
    !
    interface Dot11Radio0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !
    interface Dot11Radio1
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid ACME-NYC
     !
     antenna gain 0
     dfs band 3 block
     channel dfs
     station-role root
    !
    interface Dot11Radio1.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !         
    interface GigabitEthernet0
     no ip address
     no ip route-cache
     duplex auto
     speed auto
     no keepalive
    !
    interface GigabitEthernet0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     no bridge-group 1 source-learning
     bridge-group 1 spanning-disabled
    !
    interface BVI1
     ip address 192.168.90.245 255.255.255.0
     no ip route-cache
    !
    ip default-gateway 192.168.90.254
    ip http server
    no ip http secure-server
    ip http help-path http://www.Cisco.com/warp/public/779/smbiz/prodconfig/help/eag
    ip radius source-interface BVI1 
    access-list 111 permit tcp any any neq telnet
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 deny   0000.0000.0000   ffff.ffff.ffff

    snmp-server community acme   RO
    radius-server local
      no authentication eapfast
      no authentication mac
      nas 192.168.90.245 key 7 [redacted]
      user ap2 nthash 7 [redacted]
    !
    radius-server attribute 32 include-in-access-req format %h
    radius-server Host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
    radius-server Host 192.168.90.245 auth-port 1812 acct-port 1813 key 7 [redacted]
    radius-server vsa send accounting
    bridge 1 route ip
    !
    !
    wlccp authentication-server infrastructure wds-server
    wlccp wds aaa csid ietf
    wlccp wds priority 200 interface BVI1
    !
    line con 0
     access-class 111 in
    line vty 0 4
     access-class 111 in
    !
    end

アクセスポイント2:

    service password-encryption
    !
    hostname wap2
    !
    logging rate-limit console 9
    !
    aaa new-model
    !
    !
    aaa group server radius rad_eap
     server 192.168.90.245 auth-port 1812 acct-port 1813
    !
    aaa group server radius rad_mac
    !
    aaa group server radius rad_acct
    !
    aaa group server radius rad_admin
    !
    aaa group server tacacs+ tac_admin
    !
    aaa group server radius rad_pmip
    !
    aaa group server radius dummy
    !
    aaa authentication login default local
    aaa authentication login eap_methods group rad_eap
    aaa authentication login mac_methods group rad_mac
    aaa authorization exec default local 
    aaa accounting network acct_methods start-stop group rad_acct
    !
    aaa session-id common
    clock timezone -0500 -5
    clock summer-time -0400 recurring
    ip domain name nyc.acme.local
    !
    !
    dot11 association mac-list 700
    dot11 syslog
    !
    dot11 ssid Acme-NYC
       vlan 1
       authentication open 
       authentication key-management wpa version 2
       guest-mode
       wpa-psk ascii 7 [redacted]
    !
    dot11 aaa csid ietf
    !
    !
    username ckent privilege 15 secret 5 [redacted]
    username e0f847203232 password 7 [redacted]
    username e0f847203232 autocommand exit
    username 58946b90ca20 password 7 [redacted]
    username 58946b90ca20 autocommand exit
    username bwayne privilege 15 secret 5 [redacted]
    username e0f847320cca password 7 [redacted]
    username e0f847320cca autocommand exit
    username 58946bbf4868 password 7 [redacted]
    username 58946bbf4868 autocommand exit
    username pparker privilege 15 secret 5 [redacted]
    !
    bridge irb
    !
    !
    interface Dot11Radio0
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     speed  basic-11.0 18.0 24.0 36.0 48.0 54.0
     station-role root
    !
    interface Dot11Radio0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !
    interface Dot11Radio1
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     dfs band 3 block
     channel dfs
     station-role root
    !
    interface Dot11Radio1.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !         
    interface GigabitEthernet0
     no ip address
     no ip route-cache
     duplex auto
     speed auto
     no keepalive
    !
    interface GigabitEthernet0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     no bridge-group 1 source-learning
     bridge-group 1 spanning-disabled
    !
    interface BVI1
     ip address 192.168.90.246 255.255.255.0
     no ip route-cache
    !
    ip default-gateway 192.168.90.254
    ip http server
    ip http authentication aaa
    no ip http secure-server
    ip http help-path http://www.Cisco.com/warp/public/779/smbiz/prodconfig/help/eag
    ip radius source-interface BVI1 
    access-list 111 permit tcp any any neq telnet
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 deny   0000.0000.0000   ffff.ffff.ffff

    snmp-server community Acme RO
    radius-server attribute 32 include-in-access-req format %h
    radius-server Host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
    radius-server vsa send accounting
    bridge 1 route ip
    !
    !
    wlccp ap username ap2 password 7 [redacted]
    wlccp wds aaa csid ietf
    !
    line con 0
     access-class 111 in
    line vty 0 4
     access-class 111 in
    !
    sntp server 192.168.90.254
    sntp broadcast client
    end
3
gozu

スキルレベルと環境について詳しく知らなければ、広範で答えるのは難しいですが、確かに、共有WPA2キーを使用するよりも証明書ベースの802.1x認証をお勧めします。

より安全で(各クライアントは異なるキーを使用するため、クライアントはお互いのトラフィックをスヌープできません)、管理が簡単で、新しいマシンや新しいユーザーのために、貧弱なヘルプデスクの人がキーを打ち込む必要はありません。 。共有キーは、実際には、「ワイヤレスを機能させる」ための怠惰な、または熟練していない管理者の簡単なハックであり、プロの環境での正当なユースケースと考えるものを考えるのは難しいです。

設定できない場合は、コンサルタントに数時間かけて設定してもらう価値があるかもしれませんが、それがあなたのお金の良い使い方かどうかはわかりません。ショップのサイズとワイヤレス経由で送信されるデータの価値は十分に小さいため、共有WPA2キーは「十分」です。

これまでに行ったことがなくても、それほど難しいことではありません(ただし、Windows/Mac/OSX環境ではセットアップが面倒になる可能性があります)が、座って、その方法を読んでみることをお勧めします。新しい認証局とRADIUSサーバーを実装してセットアップするのが最適です。正直なところ、人が少なく、クライアントOSが非常に多い環境では、どの実装を使用するのかよくわかりません。 d賛成。

また、参考までに、AP構成のパスワードは常に編集してください。ハッシュをパスワードに変換するのは簡単です。 (今すぐ修正しますが、次回のために覚えておいてください...)

4
HopelessN00b