Разница между режимами WPA-Personal и WPA-Enterprise

В чем разница между режимами WPA-Personal и WPA-Enterprise?

  • WPA-Personal (WPA-PSK): Данный режим подходит для большинства домашних сетей. Когда на беспроводной маршрутизатор или на точку доступа устанавливается пароль, он должен вводиться пользователями при подключении к сети Wi-Fi. В режиме PSK беспроводной доступ не может управляться индивидуально или централизованно. Один пароль распространяется на всех пользователей, и он должен быть вручную изменен на каждом беспроводном устройстве после того, как он вручную изменяется на беспроводном маршрутизаторе или на точке доступа. Данный пароль хранится на беспроводных устройствах. Таким образом, каждый пользователь компьютера может подключиться к сети, а также увидеть пароль.
  • WPA-Enterprise (WPA-802.1x, RADIUS): Данный режим предоставляет необходимую в рабочей среде защиту беспроводной сети. Данный режим сложнее в настройке и предлагает индивидуальное и централизованное управление доступом к вашей сети Wi-Fi. Когда пользователи попытаются подключиться к сети, им понадобится предоставить свои учетные данные для аутентификации. Данный режим поддерживает аутентификацию по протоколу 802.1x через RADIUS-сервер и подходит в том случае, если установлен сервер radius. Режим WPA-Enterprise должен использоваться исключительно в том случае, если для аутентификации устройств подключен сервер RADIUS. Пользователи фактически не имеют дела с ключами шифрования. Они создаются защищенно и назначаются во время каждой пользовательской рабочей сессии в фовом режиме после того, как пользователь предоставляет свои аутентификационные данные. Это не допускает извлечения пользователеми сетевого ключа из компьютера.

FreeRADIUS (Ubuntu) + D-Link DAP-1360

Задача. Инсталлировать связку radius сервера FreeRADIUS на Хостинг VPS/VDS на Ubuntu 14.04.3 LTS, клиентом будет выступать D-Link DAP-1360.

  • Инсталлируем
    aptitude install freeradius
  • Работу сервера можно проверить сразу, для этого нам нужно добавить пользователя и в файле users раскомментировать пользователя
    "John Doe"      Cleartext-Password := "hello"
                    Reply-Message = "Hello, %{User-Name}"

    Проверим утилитой radtest

    radtest "John Doe" hello 127.0.0.1:1812 0 testing123
     
    Sending Access-Request of id 45 to 127.0.0.1 port 1812
    	User-Name = "John Doe"
    	User-Password = "hello"
    	NAS-IP-Address = 127.0.1.1
    	NAS-Port = 0
    	Message-Authenticator = 0x00000000000000000000000000000000
    rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=45, length=37
    	Reply-Message = "Hello, John Doe"

    Если в ответ получаем заголовок Access-Accept, значит сервер работает. С удаленного сервера тоже должно работать:

    radtest "John Doe" hello 10.26.95.251:1812 0 testing123
  • Запуск в отладочном режиме
    service freeradius stop
    freeradius -X
  • Сделаем подготовительные действия — скопируем исходные конфиги, почистим конфигурация от комментариев.
    cp -r /etc/freeradius /etc/freeradius.backup
    find /etc/freeradius -type f -exec file {} \;  | grep 'text' | cut -d':' -f1 | xargs sed -i '/^ *\t* *#/d;/^$/d'
  • Добавим в файл clients.conf описание двух устройств. Первое, просто чтобы делать тесты не только на localhost
    client localgrey {
            ipaddr = 10.26.95.251
            secret          = 123966
            require_message_authenticator = no
            nastype     = other     
    }

    второе опишем непосредственно D-Link DAP-1360

    client wifi_dap1360 {
            ipaddr = 10.26.95.80
            secret          = 123966
            require_message_authenticator = no
            nastype     = other     
    }
  • Добавим нового пользователя в файл users
    usertest Cleartext-Password := "usertest"

    и проверим его из консоли

    radtest usertest usertest 10.26.95.251:1812 0 123966
    Sending Access-Request of id 253 to 10.26.95.251 port 1812
    	User-Name = "usertest"
    	User-Password = "usertest"
    	NAS-IP-Address = 127.0.1.1
    	NAS-Port = 0
    rad_recv: Access-Accept packet from host 10.26.95.251 port 1812, id=253, length=20
  • Настройка D-Link DAP-1360. Важно!!! Нужно указать статический IP в настройке LAN, если DHCP выдает ошибку при настройке WPA Enterprise.

Не забывайте, что RADIUS сервер не контролирует количество подключений по одному логину и паролю.

FreeRADIUS (Windows 10) + D-Link DAP-1360

В целом вышеизложенное Howto верно и для Windows 10 64bit.

  • Оригинальный сайт (http://freeradius.org) не поддерживает Windows, но на нем есть ссылка на Cygwin. Качаем сборку под Windows: FreeRADIUS.net.
  • Установленный сервер готов к работе из коробки.
  • Я изменил только файл clients.conf, закоментировав в нем все директивы client и дописав описание D-Link DAP-1360, несколько в другом формате, чем под Ubuntu
    client 10.26.95.80/32 {
    	secret		= 123966
    	shortname	= wifi80
    	require_message_authentication = no
    	nastype = other
    }
  • И файл users.conf, удалив в нем все строки и добавил в них моих пользователей в формате (формат описания пользователей тоже отличается от Ubuntu)
    testuser	User-Password == "testpw"
    seconduser	User-Password == "slava"
    duser	User-Password == "duser"
PQ VPS сервера в 28+ странах.