Корпоративный Wi-Fi через RADIUS: уволился - и доступа нет
Клиент держал десяток точек на одном пароле: уволившийся сотрудник подключался как ни в чём не бывало. Перевели Wi-Fi на доменную аутентификацию через RADIUS - выход из домена закрывает и сеть.
корпоративный Wi-Fi переходит на аутентификацию через RADIUS и домен вместо общего пароля
Проблему нам описали коротко: уволили менеджера три месяца назад, а он до сих пор подключается к рабочему Wi-Fi из кафе напротив офиса. Технически - никаких препятствий. Пароль от точки не менялся, потому что его знают все двадцать человек в офисе, и менять придётся на всех устройствах разом. Каждые полгода-год это делали, но к очередному увольнению смена пароля, конечно, не приурочивалась.
Типичная история. Один PSK (pre-shared key) на всю компанию - это удобно ровно до тех пор, пока кто-нибудь не уходит. Потом удобство превращается в дыру.
Что не так с одним паролем на всех
Общий пароль не привязан к человеку. Это фундаментальная проблема, не техническая деталь. Сменить его - значит перенастроить все ноутбуки, телефоны, планшеты, принтеры с Wi-Fi и бог знает что ещё. В большом офисе это полдня работы и несколько звонков в поддержку от тех, кто что-то не так нажал.
Поэтому меняют редко. Поэтому бывшие сотрудники ходят в сеть месяцами.
Решение - дать каждому пользователю собственные учётные данные для Wi-Fi. А учётные данные уже есть: доменный логин и пароль. Связать Wi-Fi с Active Directory через RADIUS - и задача решается сама собой. Уволили человека, отключили учётку в домене - он потерял и почту, и VPN, и Wi-Fi одновременно.
Как это работает технически
Схема называется WPA2-Enterprise (или WPA-Enterprise, если точки постарше). В отличие от WPA2-Personal с одним PSK, здесь каждый пользователь аутентифицируется индивидуально. Точка доступа сама ничего не проверяет - она передаёт запрос на RADIUS-сервер, тот смотрит в Active Directory и отвечает: пустить или нет.
Роли в схеме:
- Точка доступа - выступает как authenticator: принимает учётные данные от клиента, пересылает на RADIUS. Пароль от точки при этом не нужен вообще - клиент его не знает и знать не должен.
- RADIUS-сервер - проверяет учётные данные. На Windows Server 2003 это Internet Authentication Service (IAS), тот же компонент, что мы уже использовали для 802.1X на коммутаторах.
- Active Directory - источник правды о том, кто существует и кто активен.
Метод аутентификации выбрали PEAP-MSCHAPv2: пользователь вводит доменный логин и пароль, туннель шифруется TLS-сертификатом сервера. Клиенту не нужен личный сертификат - только корневой CA для проверки сервера. На Windows XP это работает через встроенный клиент 802.1X без дополнительного софта.
Что настраивали на точках
У клиента стояли точки D-Link DWL-2100AP и пара Cisco Aironet - управляемые, с нормальной прошивкой, WPA2-Enterprise поддерживают. Это принципиально: дешёвые домашние точки с единственным режимом PSK здесь не годятся.
На каждой точке:
- SSID корпоративной сети переключили с WPA2-Personal на WPA2-Enterprise.
- Адрес RADIUS-сервера и порт (1812 для аутентификации) прописали в настройках.
- Shared secret - общий секрет между точкой и RADIUS. Это не пароль пользователя, а секрет для доверия между точкой и сервером. Генерируется один раз, хранится на точке и в IAS, снаружи не виден.
На Cisco Aironet конфигурация немного объёмнее - там явно описываются группы RADIUS-серверов и метод EAP. На D-Link всё через веб-интерфейс, три поля.
Что настраивали на сервере
IAS поставили на существующий контроллер домена - отдельный сервер под RADIUS для офиса на двадцать человек избыточен. Установка через «Добавить компоненты Windows», служба запускается сразу.
Дальше три шага:
Зарегистрировать IAS в Active Directory. Без этого служба не сможет проверять учётные данные пользователей. Делается правой кнопкой на IAS в оснастке или командой netsh ias add registeredserver.
Добавить точки доступа как RADIUS-клиенты. Каждая точка регистрируется по IP с тем самым shared secret. Если точка не в списке клиентов - её запросы IAS игнорирует.
Создать политику удалённого доступа. Условие: тип подключения - Wireless IEEE 802.11, метод аутентификации - PEAP. Политика смотрит в AD: если учётка активна и входит в нужную группу - доступ разрешён. Если учётка заблокирована или удалена - отказ.
Группу создали отдельную - grp-wifi-users. Не «все сотрудники», как при делегировании прав - явное членство удобнее неявного. Подрядчику можно дать Wi-Fi без остальных прав домена - и наоборот.
Что с сертификатом сервера
PEAP требует, чтобы клиент доверял сертификату RADIUS-сервера - иначе злоумышленник поднимает фальшивую точку и перехватывает логины. Корневой CA у клиента уже был. Выдали сертификат для IAS, CA через GPO разложили на рабочие станции в хранилище доверенных корневых центров.
В настройках профиля Wi-Fi на клиентах включили проверку сертификата сервера и прописали его имя явно. Без этого пользователь может согласиться на чужой сертификат - диалог с предупреждением читают не все.
Что получилось
Уволенный сотрудник теряет доступ к Wi-Fi в момент блокировки учётки в AD - без каких-либо отдельных действий с точками. Пароль точки не нужно менять вообще, потому что его больше нет - в смысле, пользователи его не знают и не используют.
Подключение для действующих сотрудников - те же доменные логин и пароль, что для входа в Windows. Никаких дополнительных паролей, которые надо помнить или где-то записывать.
Единственный момент, который потребовал возни: Windows XP иногда кеширует сбойные профили Wi-Fi и после первой неудачной попытки не хочет переподключаться нормально. Лечится удалением профиля и созданием заново. Несколько звонков в первые два дня было.
Принтеры и другие устройства без поддержки EAP оставили на отдельном SSID с PSK - в VLAN печати, без маршрута во внутреннюю сеть. Этот пароль знает только поддержка, при увольнениях его не меняют.
Сопровождение инфраструктуры в таких случаях помогает не столько конфигурацией, сколько тем, что подобные дыры замечаются до инцидента, а не после.
- 802.1X на коммутаторах: чужой ноутбук в сеть не пустим · 13 сентября 2005
- Права по минимуму: делегирование в домене без раздачи администраторов · 14 ноября 2005