3 votos

¿Cómo puedo mejorar seguridad inalámbrica en la oficina (radio? Certs?)

EDIT 1:

Nuestro medio ambiente es mixto, la mayoría de OSX con un par de Windows y Linux. Lo que es más importante, Android y Apple, los teléfonos celulares también tendrá acceso inalámbrico sobre una base regular.

Tenemos un redhat cuadro disponible para ejecutar Freeradius. Todos los equipos de red está basada en Cisco (ASA + Catalizador interruptores + Aironet 1140 APs)

Gracias a los comentarios de HopelessN00b, actualmente estoy considerando la posibilidad de Freeradius + PEAP como mi solución. Estoy preparando un banco de pruebas para la autorización de lado de servidor de cosas para tener una idea de ella.


Ahora mismo estamos usando wpa2 + filtrado de Direcciones MAC en una instalación que consta de 2 Cisco Aironet 1140 conectado a través de WDS.

Funciona bien, pero todo el mundo comparte la misma clave WPA2 y ambos AP configs tiene que ser editado cada vez que alguien se agrega que es un poco lento. Sólo tenemos 2 APs y alrededor de 12-15 personas en la oficina y no hay necesidad de sincronizar con otros lugares. Somos una mezcla de mac/windows/linux de la oficina. Lo que la configuración recomendaría usted?

Ya estaba todo configurado cuando llegué allí y vi a 2 las referencias a un servidor radius en la ejecución de las configuraciones de la APs, pero la máquina que se hace referencia no parecen tener los puertos abiertos así que me la sospecha de que esas líneas están inactivos. Estoy en lo cierto?

Aquí están las copias de las configuraciones en ejecución:

Accesspoint 1:

    service password-encryption
    !
    hostname wap
    !
    logging rate-limit console 9
    enable secret 5 [redacted]
    !
    aaa new-model
    !
    !
    aaa group server radius rad_eap
     server 192.168.90.245 auth-port 1812 acct-port 1813
    !
    aaa group server radius rad_mac
    !
    aaa group server radius rad_acct
    !
    aaa group server radius rad_admin
    !
    aaa group server tacacs+ tac_admin
    !
    aaa group server radius rad_pmip
    !
    aaa group server radius dummy
    !
    aaa authentication login default local
    aaa authentication login eap_methods group rad_eap
    aaa authentication login mac_methods group rad_mac
    aaa authentication login wds-server group rad_eap
    aaa authorization exec default local 
    aaa accounting network acct_methods start-stop group rad_acct
    !
    aaa session-id common
    clock timezone -0500 -5
    clock summer-time -0400 recurring
    ip domain name nyc.acme.local
    !
    !
    dot11 association mac-list 700
    dot11 syslog
    !         
    dot11 ssid ACME-NYC
       vlan 1
       authentication open 
       authentication key-management wpa version 2
       guest-mode
       wpa-psk ascii 7 [redacted]
    !
    dot11 aaa csid ietf
    !
    !
    username ckent privilege 15 secret 5 [redacted]
    username e0f847203232 password 7 [redacted]
    username e0f847203232 autocommand exit
    username 58946b90ca20 password 7 [redacted]
    username 58946b90ca20 autocommand exit
    username bwayne privilege 15 secret 5 [redacted]
    username e0f847320cca password 7 [redacted]
    username e0f847320cca autocommand exit
    username 58946bbf4868 password 7 [redacted]
    username 58946bbf4868 autocommand exit
    username pparker privilege 15 secret 5 [redacted]
    !
    !
    bridge irb
    !         
    !
    interface Dot11Radio0
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     speed  basic-11.0 18.0 24.0 36.0 48.0 54.0
     channel 2412
     station-role root
    !
    interface Dot11Radio0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !
    interface Dot11Radio1
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid ACME-NYC
     !
     antenna gain 0
     dfs band 3 block
     channel dfs
     station-role root
    !
    interface Dot11Radio1.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !         
    interface GigabitEthernet0
     no ip address
     no ip route-cache
     duplex auto
     speed auto
     no keepalive
    !
    interface GigabitEthernet0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     no bridge-group 1 source-learning
     bridge-group 1 spanning-disabled
    !
    interface BVI1
     ip address 192.168.90.245 255.255.255.0
     no ip route-cache
    !
    ip default-gateway 192.168.90.254
    ip http server
    no ip http secure-server
    ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
    ip radius source-interface BVI1 
    access-list 111 permit tcp any any neq telnet
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 deny   0000.0000.0000   ffff.ffff.ffff

    snmp-server community acme   RO
    radius-server local
      no authentication eapfast
      no authentication mac
      nas 192.168.90.245 key 7 [redacted]
      user ap2 nthash 7 [redacted]
    !
    radius-server attribute 32 include-in-access-req format %h
    radius-server host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
    radius-server host 192.168.90.245 auth-port 1812 acct-port 1813 key 7 [redacted]
    radius-server vsa send accounting
    bridge 1 route ip
    !
    !
    wlccp authentication-server infrastructure wds-server
    wlccp wds aaa csid ietf
    wlccp wds priority 200 interface BVI1
    !
    line con 0
     access-class 111 in
    line vty 0 4
     access-class 111 in
    !
    end

Punto De Acceso 2:

    service password-encryption
    !
    hostname wap2
    !
    logging rate-limit console 9
    !
    aaa new-model
    !
    !
    aaa group server radius rad_eap
     server 192.168.90.245 auth-port 1812 acct-port 1813
    !
    aaa group server radius rad_mac
    !
    aaa group server radius rad_acct
    !
    aaa group server radius rad_admin
    !
    aaa group server tacacs+ tac_admin
    !
    aaa group server radius rad_pmip
    !
    aaa group server radius dummy
    !
    aaa authentication login default local
    aaa authentication login eap_methods group rad_eap
    aaa authentication login mac_methods group rad_mac
    aaa authorization exec default local 
    aaa accounting network acct_methods start-stop group rad_acct
    !
    aaa session-id common
    clock timezone -0500 -5
    clock summer-time -0400 recurring
    ip domain name nyc.acme.local
    !
    !
    dot11 association mac-list 700
    dot11 syslog
    !
    dot11 ssid Acme-NYC
       vlan 1
       authentication open 
       authentication key-management wpa version 2
       guest-mode
       wpa-psk ascii 7 [redacted]
    !
    dot11 aaa csid ietf
    !
    !
    username ckent privilege 15 secret 5 [redacted]
    username e0f847203232 password 7 [redacted]
    username e0f847203232 autocommand exit
    username 58946b90ca20 password 7 [redacted]
    username 58946b90ca20 autocommand exit
    username bwayne privilege 15 secret 5 [redacted]
    username e0f847320cca password 7 [redacted]
    username e0f847320cca autocommand exit
    username 58946bbf4868 password 7 [redacted]
    username 58946bbf4868 autocommand exit
    username pparker privilege 15 secret 5 [redacted]
    !
    bridge irb
    !
    !
    interface Dot11Radio0
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     speed  basic-11.0 18.0 24.0 36.0 48.0 54.0
     station-role root
    !
    interface Dot11Radio0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !
    interface Dot11Radio1
     no ip address
     no ip route-cache
     !
     encryption vlan 1 mode ciphers aes-ccm tkip 
     !
     ssid Acme-NYC
     !
     antenna gain 0
     dfs band 3 block
     channel dfs
     station-role root
    !
    interface Dot11Radio1.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !         
    interface GigabitEthernet0
     no ip address
     no ip route-cache
     duplex auto
     speed auto
     no keepalive
    !
    interface GigabitEthernet0.1
     encapsulation dot1Q 1 native
     no ip route-cache
     bridge-group 1
     no bridge-group 1 source-learning
     bridge-group 1 spanning-disabled
    !
    interface BVI1
     ip address 192.168.90.246 255.255.255.0
     no ip route-cache
    !
    ip default-gateway 192.168.90.254
    ip http server
    ip http authentication aaa
    no ip http secure-server
    ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
    ip radius source-interface BVI1 
    access-list 111 permit tcp any any neq telnet
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 permit [redacted]   0000.0000.0000
    access-list 700 deny   0000.0000.0000   ffff.ffff.ffff

    snmp-server community Acme RO
    radius-server attribute 32 include-in-access-req format %h
    radius-server host 192.168.90.201 auth-port 1645 acct-port 1646 key 7 [redacted]
    radius-server vsa send accounting
    bridge 1 route ip
    !
    !
    wlccp ap username ap2 password 7 [redacted]
    wlccp wds aaa csid ietf
    !
    line con 0
     access-class 111 in
    line vty 0 4
     access-class 111 in
    !
    sntp server 192.168.90.254
    sntp broadcast client
    end

4voto

HopelessN00b Puntos 38607

Un poco amplio y difícil de responder sin saber más acerca de su nivel de habilidad y el medio ambiente, pero sí, sin duda, recomendaría certificado basado en 802.1 x autenticación a través de el uso de WPA2 clave.

Es más seguro (clientes no pueden snoop cada uno de los demás de tráfico, ya que cada cliente utiliza una clave diferente), es más fácil de administrar, y usted no tiene que tener algunos buenos helpdesk chico puñetazo en la clave para máquinas nuevas o nuevos usuarios más. Una clave compartida es realmente sólo los perezosos o no calificados de administración del truco rápido para "obtener inalámbrica de trabajo," y estoy en apuros a pensar en lo que me gustaría considerar legítimo el caso de uso en un entorno profesional.

Si usted no puede configurar, valdría la pena tener un consultor en un par de horas a establecer para usted, pero no vamos a ser capaces de decir si es un buen uso de su dinero, o si el tamaño de la tienda y el valor de los datos que pasan a través de la conexión inalámbrica está lo suficientemente bajo que comparte una clave WPA2 es "suficientemente bueno".

No es del todo difícil (Windows/Mac/OSX entorno puede hacer que un dolor de configurar, aunque), incluso si usted no lo ha hecho antes, pero definitivamente va a querer sentarse y leer un poco sobre cómo aplicar y la configuración de un nuevo Certificado de Autoridad, así como un servidor RADIUS. Honestamente, en un entorno con pocas personas y que muchos clientes diferentes sistemas operativos, no estoy muy seguro de qué aplicación me gustaría favor.

Y para tu INFORMACIÓN, siempre censurar las contraseñas en su AP configs. Es trivial para traducir un hash de la contraseña. (Voy a arreglar esto ahora, pero recuerda que para la próxima vez...)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: