WPA2-Enterprise с RADIUS: переводим клиента после ухода сотрудника
WPA-Personal с общим ключом ломается при увольнении: ключ меняй или нет, бывший сотрудник знает пароль. Переводим сеть на WPA2-Enterprise - каждому пользователю свой логин, отзыв мгновенный.
С марта 2006 WPA2 (IEEE 802.11i) стал обязательным требованием Wi-Fi Alliance для сертифицированных устройств
Ситуация, которую мы разбирали с одним из клиентов в начале августа, - классика жанра. Небольшой офис, точка доступа Cisco Aironet, Wi-Fi защищён WPA-Personal с общим ключом. Ключ все знают: администратор, менеджеры, пара разработчиков. В июле один из разработчиков уволился - расстались нормально, но и без особой теплоты. Сисадмин спросил нас: надо ли менять ключ?
Теоретически - да, надо. Практически - это означает обойти все устройства (ноутбуки, телефоны, пару сетевых принтеров с Wi-Fi) и перебить пароль вручную. Плюс раздать новый ключ всем оставшимся сотрудникам, у нескольких из которых личные телефоны тоже подключены. Геморрой на полдня, и через следующее увольнение история повторится.
Вот тут мы и предложили решение другого класса.
Почему WPA-Personal ломается организационно
Технически WPA с TKIP обеспечивает приличную защиту - куда лучше WEP, который ломается за минуты при наличии трафика. Проблема не в криптографии, а в управлении ключами.
При WPA-Personal один ключ - один секрет на всех. Из этого вытекает несколько неприятностей:
- Уволенный сотрудник знает ключ - и будет знать, пока вы его не смените. Если сменить забыли или отложили, бывший коллега с парковки у офиса технически может подключиться к сети.
- Смена ключа - операционная нагрузка - каждое увольнение требует обхода всех устройств. В офисе на двадцать человек с ноутбуками, телефонами и планшетами это реальная работа.
- Никаких логов по пользователям - вы видите MAC-адрес устройства, но не кто именно сидит в сети прямо сейчас. Это неудобно при расследовании инцидентов.
WPA2-Enterprise решает всё это структурно, а не организационной дисциплиной.
Что такое WPA2-Enterprise на практике
IEEE 802.11i - это стандарт, в котором аутентификация вынесена на отдельный сервер по протоколу 802.1X. Точка доступа сама не проверяет логин и пароль - она перенаправляет запрос на RADIUS-сервер, и тот решает, пускать или нет.
Схема выглядит так:
Каждый пользователь знает только свой логин и пароль. Уволили человека - заблокировали учётную запись в Active Directory. Точка доступа больше его не пустит. Никаких обходов, никакого перебивания ключей на устройствах.
Как разворачивали
У клиента уже была небольшая инфраструктура AD - Windows Server 2003. Туда же встал IAS (Internet Authentication Service) - встроенный RADIUS-сервер Microsoft, входит в состав Windows Server без дополнительных лицензий. Для небольшого офиса он вполне справляется.
Что потребовалось:
- Установка и настройка IAS на контроллере домена. Регистрация в AD, добавление точки доступа как RADIUS-клиента со shared secret.
- Настройка Remote Access Policy. Условие - принадлежность к группе «WiFi-Users» в AD. Метод аутентификации - PEAP-MS-CHAPv2. Это означает, что пароль не летит в открытом виде: клиент и сервер устанавливают TLS-туннель, внутри которого идёт проверка учётных данных.
- Сертификат для IAS. PEAP требует, чтобы RADIUS-сервер предъявил сертификат клиенту - иначе клиент не может убедиться, что разговаривает с настоящим сервером, а не с поддельной точкой доступа. Развернули внутренний CA на базе Certificate Services, выпустили сертификат для IAS, скинули корневой CA-сертификат на клиентские машины через GPO.
- Перенастройка точки доступа. На Cisco Aironet переключили SSID с WPA-Personal на WPA2-Enterprise (802.1X), прописали адрес RADIUS-сервера и shared secret.
- Настройка клиентов. Windows XP SP2 умеет PEAP нативно - в свойствах беспроводного соединения выбрали «Protected EAP (PEAP)», указали проверять сертификат сервера. Через GPO раскатали настройки на все корпоративные ноутбуки автоматически.
Ноутбуки домена всё подхватили через групповую политику. Личные телефоны сотрудников - там пришлось пройтись руками, Symbian и Windows Mobile поддерживают PEAP, хотя интерфейс у всех свой.
Принтеры с Wi-Fi оказались проблемой: старые модели не умеют 802.1X вообще. Решили просто - принтеры перевели на кабель. Для принтера Wi-Fi без нужды - лишняя сущность.
Что изменилось на практике
После перехода увольнение стало выглядеть так: HR сообщает, сисадмин блокирует учётную запись в AD - всё. Бывший сотрудник при следующей попытке подключиться к Wi-Fi получит отказ без каких-либо дополнительных действий с нашей стороны.
В логах IAS теперь видно, кто и когда подключился. MAC-адреса по-прежнему там есть, но рядом - доменный логин пользователя. Это другой уровень разбора инцидентов.
Разработчик, из-за которого всё и началось, попытался подключиться на следующий день после блокировки - точка доступа его не пустила. Мы это видели в логах IAS. Может, просто проверял почту из машины у офиса, может - тестировал. Разницы нет: система сработала как должна.
Клиентам, которых мы ведём в рамках управляемого обслуживания, переход на WPA2-Enterprise с RADIUS теперь идёт в стандартный чеклист при наличии Wi-Fi в офисе. Цена вопроса - несколько часов настройки, если AD уже есть. Без AD сложнее, но FreeRADIUS на Linux закрывает ту же задачу.
Общий ключ на Wi-Fi - это удобство, которое создаёт организационную дыру. Дыра проявляется не сразу, а в момент первого конфликтного увольнения.
- Сегментация сети для PCI DSS: три VLAN на одном Cisco-стеке · 29 марта 2006
- Закрываем FTP-серверы и переводим клиентов на SFTP с chroot-jail · 20 апреля 2006