FreeRADIUS 3.0 quickstart - help

Linux-security

Szerver: Ubuntu 18.04, 17.10-ről upgrade-elve, rajta FreeRADIUS 3.0

Szeretném a wifimet végre átállítani RADIUS-ra, első körben csak usernév-jelszó authentikációval.
Évekkel ezelőtt csináltam már ilyet, szerintem még 1.x verzióval (Tomato-ra telepíthető entware csomagból), akkor és ott, a default konfig... hát elég "érdekes" volt, az egyes protokollokat nekem kellett engedélyezni, elég könnyű volt elcseszni, ha valaki nem értett hozzá. Ráadásul valahogy sikerült úgy elkavarni, hogy végül üres usernév, üres jelszó párossal is beengedett volna az akkori router.
Jó lenne az ilyeneket elkerülni.

Ahogy elnézem, a 3.0-s FreeRADIUS konfigjában az egyetlen, számomra is feltűnő probléma, a kliens számára beírt testing123 jelszó, amit célszerű lesz megváltoztatni, pontosabban azt a klienst kidobni.

Ezen kívül tud valaki, valami ismertebb buktatóról?
Vagy elég a /etc/freeradius/3.0/users-be beleszerkeszteni a használni kívánt usereket, Cleartext-password-del és kész?

https://www.packet6.com/install-freeradius-ubuntu-server/ - ez volt, amit elsőre találtam, ez kb. semmi újat nem mondott, a komplett doksit meg most nem biztos, hogy időszerű előszednem, ahhoz már "idegállapotba kerültem" :)

  • 2009 megtekintés

( uid_7086 | 2018. 04. 28., szo – 17:10 )

Hát jó, úgy tűnik, nem nagy divat a RADIUS, ezt már régebben is tapasztaltam. Azt hittem, azóta változott a helyzet. :(

( vl v | 2018. 04. 28., szo – 17:27 )

Nem tudok buktatóról, azon felül, hogy a dokumentáció konvergál a zéróhoz, és mivel a funkcionalitás egy jelentős része konfig fájlokban lakik, így elég magas a belépési küszöb.

Próbálkoztam azzal a taktikával, hogy az általam értelmezhető konfigurációs részeket összerakom egy konfig fájlba, viszont ezt a 2.x -> 3.x upgrade-nél elbuktam (egy-az-egyben nem mertem elindítani a régi konfigokkal, az új konfigstruktúra meg más, ergó sok más opció nem maradt, mint az ő konfigjaikba beleszerkeszteni azt, amiről tudom, hogy nekem kell).

Próbáltam nézelődni a neten, de nem volt túl egyértelmű, mert elég sokféle variációval találkoztam.
Volta ahol azt írták, hagyjam a default beállításokat, csak azt piszkáljam, amit feltétlenül muszáj.
Máshol kiraktak egy kb. húsz soros konfig fájlt, hogy az bőven elég, csak a tanúsítványokat kell gyártani hozzá.
Megint máshol írtak olyat, hogy a proxy-t kapásból tiltsuk le.
Szóval nem egyszerű.

Beleolvastam ebbe: http://networkradius.com/doc/FreeRADIUS%20Technical%20Guide.pdf - elsőre jónak tűnik, de ahogy nézegetem, jönnek elő a régi emlékek és... egyre ijesztőbb. Pl. logot szeretnék, de mi legyen a logokban? (akarom-e látni plaintextben a jelszavakat)

Volta ahol azt írták, hagyjam a default beállításokat,

Ez a hivatalos javaslat a fejlesztőktől :) Fogd a default-ot (a fejlesztők már mindent láttak, kezdve az egy useres Wifi auth-tól a centralizált céges authon át a világméretű Eduroam hálózatig és nem ok nélkül tesznek dolgokat úgy és abban a sorrendben a default konfigba), ha valami nem működik, változtass egy dolgot, indítsd debug módban, nézd a logokat egy pozitív/negatív requestnél és kövesd a javaslatokat. Amíg nem működik, addig repeat.

(akarom-e látni plaintextben a jelszavakat)

Használj olyan auth metódust, amihez nem kell a jelszó és nem kell döntened :) pl. PEAP + MSChap (így a szerveren is elég csak az NTLM hash-eket tárolnod, nem kell a plaintext).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Igaz, a "gyári" doksiban írták, hogy hagyjam békén, amennyire lehet.
Csak az volt a gáz, hogy ... hát már nem emlékszem, hogy tomato-n vagy openwrt-n volt évekkel ezelőtt egy olyan default config, amiben az összes opció ki volt kommentezve és gyakorlatilag en bloc működésképtelen volt az egész. :)

Plaintext: csak egy példa volt, hogy mi mindent el lehet rajta kefélni, ha éppen... csakhát anno volt talán egy konfig állomány, most meg van n+1 és fogalmam sincs, hol kezdjek neki.

Azt meg nem győzöm ismételni, hogy egy nagyon elcseszett beállítással sikerült anno elérnem, hogy rossz usernév-jelszó párossal nem engedett be, de ha mindkettő null string volt, akkor elfogadta annak ellenére, hogy nem volt ilyen "user" beállítva és a ... valami default kezdetű beállítás eleve kivágta volna a próbálkozásokat.

( uid_7086 | 2018. 04. 28., szo – 21:44 )

Gyors keresés: a "secret = testing123" kb. tíz helyen fordul elő a konfigurációs állományokban... elgondolkodtató, mennyire szabad megfogadni a tanácsot, hogy ne piszkáljuk az alapértelmezett konfigokat. :(

Általában igaz. Ettől még engem zavar. :)
Igaz, kevésbé, mint az a látvány, hogy a tcpdump szerint bejön az authentikációs kérés a routertől, megy vissza a válasz, hogy engedélyezve, a logokban sehol semmi, mégsem jut be a kliens a routerre. :(
Egyelőre ment vissza wpa2-psk-ra :(
(radtest szerint rendben)

Nem, ez android 7. Linuxról még nem próbáltam. Windowsom nincs.
Win7 alól saját tanúsítványokat használva, 1.x verzióval még ment.

Közben oda jutottam, hogy ha a droidon a kapcsolatnál olyan kapcsolódási módot választok, ami nem EAP-PWD vagy EAP-LEAP, akkor beenged, de... miután per pill. nincs tanúsítványom, nem tudok mit megadni neki, erre hivatkozva azt állítja, hogy nincs titkosítva a kommunikáció.
Ilyet meg ugye nem játszunk.