Настройка zeroshell. Часть 3 — Безопасность WiFi

Приветствую всех любителей zeroshell!

Пора продолжить изучение этого замечательного программного маршрутизатора, а для тех кто уже немного подзабыл, чем мы занимались в предыдущих частях — вот краткая напоминалка:

Введение
Часть 1 — Установка и настройка zeroshell
Часть 2 — Расширенная настройка zeroshell

Сегодня я хочу затронуть тему безопасности WiFi. Точнее, как наш роутер может радикально улучшить безопасность беспроводной сети, которая организована с помощью обычной точки доступа? Для решения этой задачи мы воспользуемся встроенным в zeroshell RADIUS-сервером.

Для интересующихся вот кратенькая справка по RADIUS из Wiki (ахтунг, многабукаф!). Пусть вас не пугает эта статья из Wiki, потому что в zeroshell настройка и управление RADIUS-сервером реализована очень просто и удобно. Всю настройку можно разделить на 3 части. Первая часть — мы настраиваем сам роутер, вторая часть — мы настраиваем WiFi точку доступа, третья часть — мы настраиваем ноутбук.

Итак, приступим:
Шаг 1. Заходим на наш zeroshell-роутер в раздел RADIUS-сервера и включаем его. Для этого нужно выставить флажок Enable, как показано на рисунке ниже:

Шаг 2. Нажимаем кнопку Authorized Clients (в прошлых версиях эта кнопка называлась Access Points).

Шаг 3. В появившемся окне нам нужно добавить нашу точку доступа. Для этого в поле «Access Point Name» указываем какое-нибудь произвольное имя для точки доступа. В поле «IP or Subnet» вписываем IP-адрес точки доступа, в поле Shared Secret вводим какое-нибудь секретное слово. Это слово надо ненадолго запомнить или записать куда-нибудь, т.к. оно нам понадобится на этапе настройки WiFi точки доступа. Shared Secret используется точкой доступа при обращении к zeroshell. Пример заполненных полей на скриншоте ниже:

Затем нажимаем кнопку + (Add) и после этого наша точка доступа добавится в zeroshell. Если точек доступа несколько, то всех их нужно по очереди добавить. После этих манипуляций окно можно закрыть.
К беспроводной сети можно будет подключаться двумя способами. Первый способ — основной, с помощью сертификатов безопасности. Второй способ — для клиентов, которые не поддерживают сертификаты, они смогут подключаться по логину и паролю.
Шаг 4. Создадим на роутере нового пользователя. Для этого заходим в раздел Users, нажимаем кнопку Add. Затем вводим логин в поле Username, вводим имя в поля Firsname и Lastname, вводим пароль для пользователя. Если вам действительно нужна хорошая безопасность, то пароль должен быть в длину не менее 9и символов и состоять из букв разного регистра, цифр и спецсимволов. Как показывают тесты, взлом пароля такой сложности, зашифрованного по алгоритму AES даже с помощью применения дополнительных аппаратных вычислений весьма затратен в плане времени. Должно получиться примерно вот так:

Теперь нажимаем кнопку Submit и наш пользователь будет создан.
Шаг 5. Настройка точки доступа. Для тестов я возьму беспроводную точку доступа D-link DWL-2100AP. Нам нужно как-то назвать свою беспроводную сеть (SSID). Минимальная защита от начинающих хакеров обеспечивается опцией SSID Broadcast Disabled. В этом режиме точка доступа не ведет рассылку в эфир о своем существовании. Далее указываем тип аутентификации. Называться в разных точках доступа они могут по разному. Нам нужно выбрать WPA/WPA2 Enterprise (EAP). Затем указываем способ шифрования трафика — AES. IP-адрес нашего RADIUS-сервера (роутера) и пароль, который мы сдеали для точки доступа на шаге №3. Вот примерный результат:


Шаг 6. Настройка клиентов с проверкой по логину и паролю. Этот вариант проверки подлинности достаточно простой и при этом обеспечивает очень хороший уровень защиты. Давайте его рассмотрим. Возьмем для примера ноутбук с Windows XP.
Добавляем беспроводную сеть:

Указываем имя беспроводной сети, которое мы обозначили в настройках точки доступа на шаге № 5, тип аутентификации, в нашем случае WPA2-Enterprise, тип шифрования AES.

Теперь переходим в закладку «Проверка подлинности», здесь выбираем Тип EAP — Protected EAP (PEAP), затем ждем свойства:

В свойствах убираем галку «Проверять сертификат сервера», в качестве метода проверки подлинности выбираем Secured password (EAP-MSCHAP-v2) и жмем кнопку Настройка:

Теперь в появившемся окне убираем галку и везде нажимаем кнопку ОК:

При подключении к WiFi сети у нас должно появляться вот такое уведомление:

При нажатии на него появляется окно для ввода логина и пароля:

Затем происходит подключение к сети.
Шаг 7. Настройка клиентов с проверкой подлинности по сертификатам. Этот вариант самый безопасный, но и чуть более сложный в конфигурировании. Сертификат, в отличие от пароля, шифруется 2048-битным ключом, поэтому подделать его практически невозможно. Нам нужно на ноутбук подключаемый к беспроводной сети перенести два сертификата. Один т.н. корневой и один — сертификат пользователя. Сделаем экспорт этих сертификатов из zeroshell. Зайдем опять в раздел RADIUS-сервера на нажмем на кнопку Trusted CA:

В появившемся окне нужно выбрать наш центр сертификации (он единственный в списке), затем выбрать формат сертификата DER и нажать на Export:

Обратите внимание на то, как называется центр сертификации (homeCA в нашем случае). Это имя нам потом понадобится на этапе настройки клиента. Далее нужно сделать экспорт пользовательского сертификата. Идем в раздел Users, выбираем нужного пользователя и жмем кнопку X509:

Указываем стойкость ключа шифрования 2048-бит, нажимаем кнопку Generate и затем делаем экспорт PKCS12-сертификата:

На ноутбуке нужно установить оба полученных сертификата. Сначала устанавливаем корневой сертификат, дважды счелкнув по нему мышью. Затем устанавливаем клиентский сертификат аналогичным образом. Он должен установиться в хранилище личных сертификатов.
Теперь приступим к настройке клиента. Добавляем беспроводную сеть:

Указываем имя беспроводной сети, которое мы обозначили в настройках точки доступа на шаге № 5, тип аутентификации, в нашем случае WPA2-Enterprise, тип шифрования AES.

Затем в закладке «Проверка подлинности» выбираем Тип EAP — «Смарт-карта или иной сертификат» и нажимаем кнопку Свойства:

В свойствах указываем что проверка будет вестись по сертификату, а в списке находим наш роутер (называться он будет так, как назывался цент сертификации в zeroshell).

Нажимаем везде ОК и после этого, если все сделано верно наш ноутбук будет сам подключаться к WiFi без каких-либо паролей.

Небольшое замечание: опять-же в целях улучшения безопасности для каждого устройства (будь то ноутбук, смартфон и пр), в zeroshell лучше создавать отдельного пользователя с отдельными логинами, паролями и сертификатами.
Вот таким образом можно существенно повысить безопасность беспроводной сети с помощью zeroshell и обычной точки доступа. Надеюсь, что эта статья поможет вам при стыковке маршрутизатора и WiFi. Спасибо за внимание!
В следующих частях мы обязательно рассмотрим другие интересные возможности zeroshell.

Смотрите далее:
Настройка zeroshell: ограничение скорости и QoS

admin

Один комментарий к “Настройка zeroshell. Часть 3 — Безопасность WiFi”

Вы можетеоставить отзыв или Обратную ссылку эта запись.
  1. Neo - 14 октября, 2014

    Ув. Админ. Можно Вас попросить оформить статью, где понятно описывается как поднять iptv на этом zeroshell.
    Очень нужно и очень важно. Сколько мы все не пробовали, ни у кого не заводится.

Нужно войти чтобы оставить комментарий.