РЕДАКТИРОВАТЬ 1:
Наша среда смешанная, в основном OSX с небольшим количеством Windows и Linux. Что еще более важно, сотовые телефоны Android и Apple также будут постоянно нуждаться в беспроводном доступе.
У нас есть Redhat Box для запуска Freeradius. Все сетевое оборудование построено на базе Cisco (ASA + коммутаторы Catalyst + точки доступа Aironet 1140)
Благодаря обратной связи от HopelessN00b, в настоящее время я рассматриваю Freeradius + PEAP в качестве своего решения. Я готовлю испытательный стенд для серверной части авторизации, чтобы почувствовать это.
Прямо сейчас мы используем ключ wpa2 + фильтрацию MAC-адресов на установке, состоящей из 2 Cisco Aironet 1140, подключенных через WDS.
Он работает нормально, но все используют один и тот же ключ WPA2, и обе конфигурации точки доступа нужно редактировать каждый раз, когда кто-то добавляется, что немного отнимает много времени. У нас всего 2 точки доступа и около 12-15 человек в офисе, и нет необходимости синхронизировать с другими местами. Мы смешанный офис Mac / Windows / Linux. Какую установку вы бы порекомендовали?
Когда я приехал туда, все было уже настроено, и я увидел 2 ссылки на сервер RADIUS в текущих конфигурациях точек доступа, но машина, на которую указывает ссылка, похоже, не имеет этих портов, поэтому я подозреваю, что эти строки неактивны. Я прав?
Вот копии текущих конфигураций:
Точка доступа 1:
service password-encryption
!
hostname wap
!
logging rate-limit console 9
enable secret 5 [redacted]
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.90.245 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authentication login wds-server group rad_eap
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
clock timezone -0500 -5
clock summer-time -0400 recurring
ip domain name nyc.acme.local
!
!
dot11 association mac-list 700
dot11 syslog
!
dot11 ssid ACME-NYC
vlan 1
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 [redacted]
!
dot11 aaa csid ietf
!
!
username ckent privilege 15 secret 5 [redacted]
username e0f847203232 password 7 [redacted]
username e0f847203232 autocommand exit
username 58946b90ca20 password 7 [redacted]
username 58946b90ca20 autocommand exit
username bwayne privilege 15 secret 5 [redacted]
username e0f847320cca password 7 [redacted]
username e0f847320cca autocommand exit
username 58946bbf4868 password 7 [redacted]
username 58946bbf4868 autocommand exit
username pparker privilege 15 secret 5 [redacted]
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
speed basic-11.0 18.0 24.0 36.0 48.0 54.0
channel 2412
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid ACME-NYC
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.90.245 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.254
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
access-list 111 permit tcp any any neq telnet
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
snmp-server community acme RO
radius-server local
no authentication eapfast
no authentication mac
nas 192.168.90.245 key 7 [redacted]
user ap2 nthash 7 [redacted]
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
radius-server host 192.168.90.245 auth-port 1812 acct-port 1813 key 7 [redacted]
radius-server vsa send accounting
bridge 1 route ip
!
!
wlccp authentication-server infrastructure wds-server
wlccp wds aaa csid ietf
wlccp wds priority 200 interface BVI1
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
!
end
Точка доступа 2:
service password-encryption
!
hostname wap2
!
logging rate-limit console 9
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.90.245 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default local
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
clock timezone -0500 -5
clock summer-time -0400 recurring
ip domain name nyc.acme.local
!
!
dot11 association mac-list 700
dot11 syslog
!
dot11 ssid Acme-NYC
vlan 1
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 [redacted]
!
dot11 aaa csid ietf
!
!
username ckent privilege 15 secret 5 [redacted]
username e0f847203232 password 7 [redacted]
username e0f847203232 autocommand exit
username 58946b90ca20 password 7 [redacted]
username 58946b90ca20 autocommand exit
username bwayne privilege 15 secret 5 [redacted]
username e0f847320cca password 7 [redacted]
username e0f847320cca autocommand exit
username 58946bbf4868 password 7 [redacted]
username 58946bbf4868 autocommand exit
username pparker privilege 15 secret 5 [redacted]
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
speed basic-11.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid Acme-NYC
!
antenna gain 0
dfs band 3 block
channel dfs
station-role root
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.90.246 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.90.254
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
access-list 111 permit tcp any any neq telnet
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 permit [redacted] 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
snmp-server community Acme RO
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
radius-server vsa send accounting
bridge 1 route ip
!
!
wlccp ap username ap2 password 7 [redacted]
wlccp wds aaa csid ietf
!
line con 0
access-class 111 in
line vty 0 4
access-class 111 in
!
sntp server 192.168.90.254
sntp broadcast client
end
Довольно широко и сложно ответить, не зная больше о своем уровне навыков и среде, но да, я определенно рекомендую аутентификацию 802.1x на основе сертификатов вместо использования общего ключа WPA2.
Это более безопасно (клиенты не могут отслеживать трафик друг друга, так как каждый клиент использует разные ключи), им легче управлять, и вам больше не нужно, чтобы какой-то плохой парень из службы поддержки вводил ключ для новых машин или новых пользователей . Общий ключ - это просто быстрый взлом ленивого или неквалифицированного администратора, чтобы «заставить работать беспроводную сеть», и мне трудно думать о том, что я бы посчитал законным вариантом использования его в профессиональной среде.
Если вы не можете настроить его, возможно, стоит нанять консультанта на несколько часов, чтобы он настроил его для вас, но мы не сможем сказать, хорошо ли это расходуется на ваши деньги или размер вашего магазина и ценность данных, передаваемых по беспроводной сети, достаточно низки, чтобы общий ключ WPA2 был «достаточно хорош».
Это не так уж и сложно (хотя ваша среда Windows / Mac / OSX может затруднить настройку), даже если вы этого не делали раньше, но вам определенно захочется сесть и почитать, как лучше всего внедрить и настроить новый центр сертификации, а также сервер RADIUS. Честно говоря, в среде с таким небольшим количеством людей и таким большим количеством различных клиентских ОС я не совсем уверен, какую реализацию я бы предпочел.
И, к вашему сведению, всегда редактируйте пароли в конфигах AP. Преобразовать хеш в пароль - тривиальная задача. (Я исправлю это сейчас, но запомните это в следующий раз ...)