Вопросы Теги

MikroTik EAP-TLS Конфигурация WiFi с использованием сертификатов

Каковы преимущества и недостатки использования аутентификации EAP-TLS с сертификатами для подключений клиентов WiFi? Чем это превосходит стандартную аутентификацию по паролю WPA2?

Как мне настроить аутентификацию EAP-TLS для маршрутизатора MikroTik ?

0
задан 1 October 2019 в 16:08
1 ответ

Использование сертификатов EAP-TLS для аутентификации клиентов WiFi:

Достоинства:

  • Детальный контроль доступа : Доступ может быть как разрешен, так и ограничен сертификатом ], в отличие от аутентификации WPA2, где все пользователи используют один и тот же пароль для SSID
  • Проверка подлинности : аутентификация пароля WPA2 только подтверждает, что подключающийся пользователь WiFi знает пароль. Сертификат подтверждает идентичность как пользователей, так и точки доступа, к которой они подключаются.

Недостатки:

  • Более высокая административная нагрузка : Создание сертификатов для каждого пользователя WiFi и настройка их доступа требует больше усилий, чем установка общего пароля.
  • Непригоден для публичных сетей : отели, аэропорты, кафе и т. Д. Не могут настроить доступ на основе сертификатов для своих больших временных групп пользователей WiFi.

ОБЗОР ПРОЦЕССА КОНФИГУРАЦИИ: MikroTik ROUTER

ПРИМЕЧАНИЕ : Процедуры задокументировано, где разработано с использованием RouterOS v6.45.1 и протестировано и известно, что оно работает правильно с 20190706. Однако, делая их общими, возможно, я мог внести ошибку; пожалуйста, сообщите, если какие-либо найдены, и я обновлю их соответствующим образом.

A) СОЗДАТЬ СЕРТИФИКАТЫ : (3) должны быть созданы типы сертификатов:

  • Сервер : Создать сертификат для стороны MikroTik соединения EAP-TLS

  • Клиент (ы) : Создайте сертификат для каждого Клиента, подключающегося к точке доступа MikroTik WiFi через EAP-TLS

  • Центр сертификации : Этот сертификат используется для создания Цепочка доверия для сертификатов путем подписания сертификатов клиента и сервера

B) НАСТРОЙКА EAP-TLS : после создания клиентских сертификатов их теперь можно использовать для настройки профилей безопасности беспроводной сети включение EAP TLS в качестве метода аутентификации

C) НАСТРОЙКА ВИРТУАЛЬНОЙ ТД С EAP AUTH : Создайте виртуальную ТД, которая применяет EAP TLS, используя только что созданный профиль безопасности.

РАЗДЕЛ 1: СОЗДАТЬ СЕРТИФИКАТЫ

Создать CA (Центр сертификации) Сертификат:

Заменить «1.2.3.4» на ОБЩЕСТВЕННЫЙ IP-адрес Mi kroTik и замените другие значения-заполнители своими собственными перед выполнением следующих команд: 

/certificate add name=CAF1Linux-template common-name=CAF1Linux country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Orgsanization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,key-cert-sign,crl-sign;

/certificate sign CAF1Linux-template ca-crl-host="1.2.3.4" name=CAF1Linux

Экспорт сертификата формата PEM: 

/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CA PASSPHRASE"

Экспорт сертификата формата PKCS12: 

/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CA PASSPHRASE" type=pkcs12

Создать СЕРВЕР Сертификат:

] Это сертификат для MikroTik.

Снова замените «1.2.3.4» на PUBLIC IP-адрес маршрутизатора MikroTik и, конечно же, замените все остальные значения-заполнители своими собственными перед выполнением команд ниже : 

/certificate add name=F1LinuxVPNserver-template common-name="1.2.3.4" country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Organization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-server,tls-client;

/certificate sign F1LinuxVPNserver-template ca=CAF1Linux name=F1LinuxVPNserver

/certificate set F1LinuxVPNserver trusted=yes

Экспорт сертификата формата PEM: 

/certificate export-certificate F1LinuxVPNserver export-passphrase="REPLACE ME WITH YOUR OWN ROUTER PASSPHRASE"

Экспорт сертификата формата PKCS12: 

/certificate export-certificate F1LinuxVPNserver export-passphrase="REPLACE ME WITH YOUR OWN ROUTER PASSPHRASE" type=pkcs12

Создать КЛИЕНТ Сертификаты:

Пример для MacBook показан ниже. Однако процесс одинаков для любого устройства -iPhone, iPad, все, что поддерживает аутентификацию EAP-TLS - просто не забудьте изменить значения по умолчанию, включая кодовую фразу, когда команды для создания сертификатов для других клиентских устройств. 

/certificate add name=F1LinuxClientMacbook-template common-name=F1LinuxClientMacbook country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Organization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-client;

/certificate sign F1LinuxClientMacbook-template ca=CAF1Linux name=F1LinuxClientMacBook

/certificate set F1LinuxClientMacBook trusted=yes

Экспорт сертификата формата PEM: 

/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE"

Экспорт сертификата формата PKCS12 : 

/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE" type=pkcs12

РАЗДЕЛ 2: НАСТРОЙКА ПРОФИЛЕЙ БЕСПРОВОДНОЙ БЕЗОПАСНОСТИ

После создания клиентских сертификатов для каждого устройства, требующего доступа к Wi-Fi, вы можете создать для них профиль безопасности беспроводной сети . В отличие от стандартного шифрования паролей WPA2, аутентификация прибивается к сертификату на устройстве, поэтому каждому подключающемуся клиенту потребуется свой собственный профиль безопасности беспроводной сети . 

/interface wireless security-profiles name="EAP_TLS_Macbook2018" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxClientMacBook.p12_0 mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key=""

РАЗДЕЛ 3: НАСТРОЙКА ВИРТУАЛЬНОЙ ТД С EAP AUTH

Наконец, мы настроим виртуальную точку доступа, которая использует профиль безопасности EAP TLS: снова просмотрите приведенный ниже код и замените мои заполнители, включая MAC со всеми буквами «X», на свои собственные данные: 

interface wireless name="wlan_EAP" mtu=1500 l2mtu=1600 mac-address=XX:XX:XX:XX:XX:XX arp=proxy-arp interface-type=virtual master-interface=wlan5ghz mode=ap-bridge ssid="wlan_EAP" vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=yes security-profile=EAP_TLS_Macbook2018

Чтобы узнать, как настроить клиентов IOS для MikroTik с использованием сертификатов EAP-TLS, перейдите ЗДЕСЬ

1
ответ дан 4 December 2019 в 15:36

Теги

Похожие вопросы