オフィスでワイヤレスセキュリティを改善するにはどうすればよいですか(Radius?Certs?)
編集1:
私たちの環境は混合されており、大部分のOSXにはいくつかのWindowsボックスとLinuxボックスがあります。さらに重要なことに、AndroidおよびApple携帯電話も定期的にワイヤレスアクセスが必要になります。
Freeradiusを実行するために利用できるredhatボックスがあります。すべてのネットワーク機器はCiscoベースです(ASA + Catalystスイッチ+ Aironet 1140 AP)
HopelessN00bからのフィードバックのおかげで、私は現在、Freeradius + PEAPをソリューションとして検討しています。承認サーバー側のテストベッドを準備して、その感触をつかんでいます。
現在、WDS経由で接続された2つのCisco Aironet1140で構成されるセットアップでwpa2キー+ MACアドレスフィルタリングを使用しています。
正常に動作していますが、全員が同じWPA2キーを共有しており、誰かが追加されるたびに両方のAP構成を編集する必要があり、少し時間がかかります。 APは2つしかなく、オフィスには約12〜15人がいて、他の場所と同期する必要はありません。私たちはmac/windows/linuxが混在するオフィスです。どのような設定をお勧めしますか?
そこに着いたときにすべてがすでに構成されていて、APの実行構成でRADIUSサーバーへの2つの参照が表示されましたが、参照されたマシンではそれらのポートが開いていないようであるため、これらの回線は非アクティブであると思われます。私は正しいですか?
実行中の構成のコピーは次のとおりです。
アクセスポイント1:
service password-encryption
!
hostname wap
!
logging rate-limit console 9
enable secret 5 [redacted]
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.90.245 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authentication login wds-server group rad_eap
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
clock timezone -0500 -5
clock summer-time -0400 recurring
ip domain name nyc.acme.local
!
!
dot11 association mac-list 700
dot11 syslog
!
dot11 ssid ACME-NYC
vlan 1
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 [redacted]
!
dot11 aaa csid ietf
!
!
username ckent privilege 15 secret 5 [redacted]
username e0f847203232 password 7 [redacted]
username e0f847203232 autocommand exit
username 58946b90ca20 password 7 [redacted]
username 58946b90ca20 autocommand exit
username bwayne privilege 15 secret 5 [redacted]
username e0f847320cca password 7 [redacted]
username e0f847320cca autocommand exit
username 58946bbf4868 password 7 [redacted]
username 58946bbf4868 autocommand exit
username pparker privilege 15 secret 5 [redacted]
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
speed basic-11.0 18.0 24.0 36.0 48.0 54.0
channel 2412
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid ACME-NYC
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.90.245 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.254
ip http server
no ip http secure-server
ip http help-path http://www.Cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
access-list 111 permit tcp any any neq telnet
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
snmp-server community acme RO
radius-server local
no authentication eapfast
no authentication mac
nas 192.168.90.245 key 7 [redacted]
user ap2 nthash 7 [redacted]
!
radius-server attribute 32 include-in-access-req format %h
radius-server Host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
radius-server Host 192.168.90.245 auth-port 1812 acct-port 1813 key 7 [redacted]
radius-server vsa send accounting
bridge 1 route ip
!
!
wlccp authentication-server infrastructure wds-server
wlccp wds aaa csid ietf
wlccp wds priority 200 interface BVI1
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
!
end
アクセスポイント2:
service password-encryption
!
hostname wap2
!
logging rate-limit console 9
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.90.245 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
clock timezone -0500 -5
clock summer-time -0400 recurring
ip domain name nyc.acme.local
!
!
dot11 association mac-list 700
dot11 syslog
!
dot11 ssid Acme-NYC
vlan 1
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 [redacted]
!
dot11 aaa csid ietf
!
!
username ckent privilege 15 secret 5 [redacted]
username e0f847203232 password 7 [redacted]
username e0f847203232 autocommand exit
username 58946b90ca20 password 7 [redacted]
username 58946b90ca20 autocommand exit
username bwayne privilege 15 secret 5 [redacted]
username e0f847320cca password 7 [redacted]
username e0f847320cca autocommand exit
username 58946bbf4868 password 7 [redacted]
username 58946bbf4868 autocommand exit
username pparker privilege 15 secret 5 [redacted]
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
speed basic-11.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.90.246 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.254
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.Cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
access-list 111 permit tcp any any neq telnet
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
snmp-server community Acme RO
radius-server attribute 32 include-in-access-req format %h
radius-server Host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
radius-server vsa send accounting
bridge 1 route ip
!
!
wlccp ap username ap2 password 7 [redacted]
wlccp wds aaa csid ietf
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
!
sntp server 192.168.90.254
sntp broadcast client
end
スキルレベルと環境について詳しく知らなければ、広範で答えるのは難しいですが、確かに、共有WPA2キーを使用するよりも証明書ベースの802.1x認証をお勧めします。
より安全で(各クライアントは異なるキーを使用するため、クライアントはお互いのトラフィックをスヌープできません)、管理が簡単で、新しいマシンや新しいユーザーのために、貧弱なヘルプデスクの人がキーを打ち込む必要はありません。 。共有キーは、実際には、「ワイヤレスを機能させる」ための怠惰な、または熟練していない管理者の簡単なハックであり、プロの環境での正当なユースケースと考えるものを考えるのは難しいです。
設定できない場合は、コンサルタントに数時間かけて設定してもらう価値があるかもしれませんが、それがあなたのお金の良い使い方かどうかはわかりません。ショップのサイズとワイヤレス経由で送信されるデータの価値は十分に小さいため、共有WPA2キーは「十分」です。
これまでに行ったことがなくても、それほど難しいことではありません(ただし、Windows/Mac/OSX環境ではセットアップが面倒になる可能性があります)が、座って、その方法を読んでみることをお勧めします。新しい認証局とRADIUSサーバーを実装してセットアップするのが最適です。正直なところ、人が少なく、クライアントOSが非常に多い環境では、どの実装を使用するのかよくわかりません。 d賛成。
また、参考までに、AP構成のパスワードは常に編集してください。ハッシュをパスワードに変換するのは簡単です。 (今すぐ修正しますが、次回のために覚えておいてください...)