802.1x otthonra ( Első rész )

Átírás

1 802.1x otthonra ( Első rész ) Sokan, akik esetleg szeretnének otthonra 8021x-et, de nem akarnak vagy nincs kapacitásuk egy külön zúgó gépet beállítani a célnak és hallgatni állandóan, és pénzük sincs Cisco kategóriájú eszközöket venni ( jo, most eltekintünk attól, hogy a Linksys is Cisco érdekeltség ) nagyjából meg voltak lőve 8021X téren. Más választás nem lévén, maradhattak a mostmár majdnem minden gyártó által támogatott WPA-PSK mellett. A következő rövid howtoval szeretnénk segíteni SOHO eszközökkel, külön gép nélkül történő EAP-TLS megvalósításban. Előjáték A howto <a href= >OpenWRT</a> firmware-re, illetve az ott található dokumentációra fog támaszkodni. Szeretném felhívni a próbálkozók figyelmét, hogy az OpenWRT használata garanciavesztéssel jár. Persze a kapott feature-ok miatt kit érdekel? J A howto egy ASUS WL-500GD ( D = deluxe ) routerre támaszkodva készült el, de kalandosabb kedvűek bármilyen OpenWRT képes AP-val próbálkozhatnak, amelyben legalább 4Mb flash áll rendelkezésére. A mostani howto írása alatt egy ASUS-al játszottam, de előzőleg a rendszer összeállítása ( EAP-TLS ) sikerült WRT54G v2.2-es eszközzel is. A telepítés részletei szintén asus hw verzióhoz igazodnak, tehát más eszköznél érdemes az installálás részt is az OpenWRT honlapjáról összeszedni. Az nvram változók ASUS specifikusak, ha valamelyik másik gyártó termékénel próbálód meg az installálást, érdemes előtte a <a href= >OpenWRT dokumentációval</a> konzultálni. Minden szükséges adat ott van, csak olvasási kézség kell hozzá. J Az openwrt telepítéshez, illetve megfelelő konfigurálásához az alábbi programokra lesz szükségünk: tftp kliens telnet kliens ssh kliens scp kliens Amennyiben első alkalommal próbálkozik valaki nem árt működő internet elérés, vagy ha ez nem járható út, akkor egy ismerőshöz átballagni egy üveg borral, hogy ne haragudjon, hogy sokaig fogunk zavarni. ( Egyébként is ajánlatos pár szem nyugtató, sör/bor/kóla és pizza beszerzése J ) OpenWRT installálást Az első részben telepíteni fogunk egy OpenWRT-t a routerünkre, valamint nagyobb tárhelyet készítünk elő egy USB-s pendrive segítségével. Kössük össze a routert a géppel egy kábellel úgy, hogy a router oldalán a kábel a switch portok egyikébe jusson. Az ASUS hw-ek Broadcom chipsetre épülnek, ezért az openwrt-brcm* firmware valamelyike kell hozzá. A deluxehoz a 4Mb-os JFFS2 image-t fogjuk használni. ( openwrt-brcm-2.4-jffs2-4mb.trx ). Töltsük le a gépünkre a filet, majd indítsuk el a tftp kliensünket: Feltételezem, hogy ha az eszköz már használatban volt előzőleg, egy resetet mindenki megeresztett rajta :-) Amennyiben rosszul feltételezem, a tftp parancsot az eddig használt IP címre kell kiadni. ( Az asus eszközök a linksysekkel ellentétben failsafe boot közben nem állnak vissza az eredeti IP címre! ) # wget Linux: tftp

2 > binary > rexmt 1 > trace on > put openwrt-brcm-2.4-jffs2-4mb.trx Jelmagyarázat: binary - bináris mód rexmt 1 - milyen időközönként próbálkozzon újra, ha nem tud a tftp kiszolgálóra csatlakozni ( erre leginkább Linksysek esetében lesz szükségünk, az asus AP-k esetében ahogy elindítjuk a firmware-t, azonnal el is kezdi tölteni ) trace on - ezzel a kapcsolóval láthatjuk, hogy éppen hol tart a feltöltés Windows: tftp -i PUT openwrt-brcm-2.4-jffs2-4mb.trx majd itt álljunk is meg egy pillanatra. Húzzuk ki az AP-ból a tápot, nyomjuk be a reset gombot, majd a reset gomb nyomva tartása mellett dugjuk vissza a tápot az eszközbe. Ahogy látjuk, hogy elkezd világítani az eszköz ledje, engedjük el a reset gombot. Majdnem abban a pillanatban elkezd a power ( PWR ) led lassan villogni. Csapjunk az enterre, máris láthatjuk, hogy elindul az openwrt image fölfele. Amennyiben később mégis szeretné valaki visszatenni a gyári firmware-t, ugyan ezekkel a lépésekkel próbálkozhat. Miután a feltöltéssel készen van a masina, a PWR led abbahagyja a villogást, illetve rebootol az eszközünk. Ha esetleg az eszköz pár percen belűl mégsem bootolna újra, ami előfordul, akkor sem kell pánikba esni, csak új eszközt kell vennünk. Ja, nem... Csak húzzuk ki az AP-ból a tápot, dugjuk vissza, és szinte biztosan fel fog bootolni az eszközünk. Mostanra, ha minden jól ment, van egy működőképes OpenWRT által hajtott és garanciát vesztett routerünk. Mivel a rendszer az első boot során nem veszi bírtokába a teljes rendelkezésre álló flash területet, húzzuk ki újra a tápot, majd dugjuk vissza, egy újabb rebootra kényszerítve eszközünket. Pár másodperc múlva újra talpon van a masina, nézzünk körül, hogy mit és merre találunk. Az OpenWRT egyik, a felhasználók felé leglátványosabb fejlesztése az whiterussian RC4-ben egy webes konfigurációs felület, amit a kedvenc böngészőnkbe pötyögött URL-el el is érhetünk. Természetesen mivel mi ugyes h4x0r0k vagyunk, ilyen megalázó dolgot, mint kattingatós konfigolás nem teszünk, tehát először nézzünk körül másfelé, aztan ha majd minden készen van, megnézhetjuk a webes felületet is, megmutathatjuk a csajunknak, hogy milyen vérprofik vagyunk, mert nem ám színes felületen adminoljuk a szürke villogó izét az asztal alatt ( szőke! techie csajok esetén ). Fogjuk meg kedvenc telnet kliensünket, és pötyögjük be a konzolba: # telnet ( windows és linux esetén is van a gépen telnet kliens ) egy röpke pillanat múlva már a router konzolján ücsörgünk. Mivel azonban a telnet nem eleg 1337, írjuk be gyorsan, hogy passwd, majd üssünk entert. Írjunk be egy jelszót, amit később sem felejtünk el, majd a felkínált promptnál ismételjük meg az előzőleg beírt jelszavunkat. Ha ezzel végeztünk, inditsuk újra a routert. Amint felbootolt az eszközünk, egy érdekes változást vehetünk észre. Webes felület továbbra is van ( huhh ) viszont nincs telnet. Van viszont helyette ssh, ami egy sokkal jobb dolog, mivel titkosítva

3 tudunk kommunikálni a routerrel később is, akár WLAN oldalról, akár kábelen keresztül. Konfigurálás Kapjuk elő a kedvenc ssh kliensünket ( windowsos felhasználóknak javaslom a putty használatát ) es lépjünk be: # ssh root@ a felkínált jelszó promptnál adjuk meg azt a jelszót, amit előzőleg adtunk meg. Ha ez sikerült, újból a telnet belépést követő képernyő fogad minket. Mielőtt bármilyen érdemi telepítésbe és konfigurálásba kezdünk, néhány alapvető konfigurálást el kell végezni. Rendszeridő Az EAP-TLS/TTLS/PEAP esetén a certekkel történő azonosítás során a radius szerver figyelembe veszi, hogy mettől meddig érvényes az adott certificate, tehát ha a rendszeridőnk rosszul van beállítva, akkor bizony "még nem érvényes", vagy "már nem érvényes" hibaüzenettel fogja eldobni a kapcsolódási kéréseket. Emiatt fontos a rendszeridó beállítása. # echo "CET-1CEST-2,M3.5.0/02:00:00,M10.5.0/03:00:00" > /etc/tz # cd /etc/init.d/ # touch S41rdate # vim S41rdate és írjuk bele: #!/bin/sh /usr/sbin/rdate time.kfki.hu Ezzel biztosítjuk, hogy ha az eszközünk ujraindul, akkor is a hálózat ( ppp, dhcp, static ip ) felhúzása után beállitsa magának a pontos időt. ADSL kapcsolat esetén érdemes egy sleep 5-öt írni az rdate sor elé, hogy a ppp kapcsolat felépítésének lassúsága miatt ne timeoutoljon az rdate. Az OpenWRT képes eszközöknél a hálózati interface-ek nevei eltérőek, az ASUS WL500GD esetében: LAN: vlan0 WAN: vlan1 WIFI: eth1 illetve az eth0 a teljes switch, a LAN és WAN porttal együtt. Ha más eszközzel, vagy éppen ASUS más verziójával próbálkozunk, akkor mindenképpen éremes megnézni az <a href=" oldal referenciáit. A WLAN eszközök az alapvető beállításokat nvramban tárolják. Az OpenWRT alap telepítésben is adja nekünk az /usr/sbin/nvram-ot, amivel ezeket a beállításokat tudjuk macerálni. Érdemes a változókat megnézni ( nvram show, de mivel sok lesz a kimenet, érdemes egy fileba menteni, így később is meg tudjuk nézni ), és esetleg később utána nézni, hogy mi mit jelent. Amig azonban nem tudjuk, hogy melyik változó mit csinál, nem érdemes akármit megváltoztatni, mivel a változtatás a legtöbb esetben csak reboot esetén lép életbe, így aztan elég gyorsan elérhető, hogy villogó tégla legyen a kis kedvencunkből. Nvram változtatás esetén minden alkalommal az "nvram commit"-ot kell futtatni, hogy az új értékek mentésre kerüljenek.

4 A hálózat beállításnál két esetet írok, az egyik, amikor DHCP-n kapjuk az IP címet a szolgáltatótol, a másik, amikor PPPoE-n. Mindkét esetnél az alapértelmezett belső lábakat hagyjuk, azaz a WiFi és a switch portok egy bridgeben vannak összekötve, és egy darab IP címmel rendelkeznek. Ennek egyszerűen kényelmi szempontja van, így ugyanis működik a DHCP a belső hálón, hat szétszedjük, akkor nem. J Intranet oldal: lan_ifname=br0 lan_ifnames="vlan0 eth1" lan_proto=static lan_ipaddr= lan_netmask= Megadtuk, hogy a belső lába a routernek a br0 legyen, illetve, hogy a lan interface-ek a vlan0 és az eth1-ből álljanak. Ezzel a konfiggal a br0 IP címe lesz, és netmaskkal fog dolgozni. wan_ifname=vlan1 wan_proto=dhcp A wan_ifname azt az interface-t jelöli, amelyik a külső linkünk lesz, tehát erre az interface-ra kapjuk meg a szolgáltatótol az IP címet. A wan_proto pedig értelem szerűen azt adja meg, hogy hogyan szeretnénk megkapni azt az IP-t. PPP esetén más a történés: wan_ifname=ppp0 wan_proto=pppoe ppp_idletime=10 ppp_mtu=1492 ppp_passwd=\<jelszó\> ppp_redialperiod=15 ppp_username=<felhasználó> pppoe_ifname=<wan if, jelen esetben vlan1> mindkét esetben a változókat # nvram set <valtozo_neve>=<valtozo_erteke> ( például nvram set ppp_redialperiod=15 ) formában kell megadni, és amikor végeztünk, nvram commit-al mentsük el a változásokat. Bootoljuk újra az eszközünket. Pár másodperc után ismét lehet ssh-val kapcsolódni az eszközre, és ha minden jól van beállítva, akkor kilátunk az internetre is. ( ping huwico.hu, ha van válasz, akkor remek, ha nincs, akkor lehet megint ledöglött ez a nyavajas szerver &@"/%=+"+#+4@&x, pingelj valami mást. ) Ha nem lehet pingelni kifele, akkor valamit sikerült elkonfigolni. A "Konfigurálás" résztől kezdődően végig kell menni újra a procedúrán.

5 Ha minden jó, akkor kezdődhet az pendrive beillesztése a rendszerbe. USB storage Az ASUS WL500GD eszközön két darab, elvileg usb2 képes csatlakozó található. Erre akár külső rackben IDE vinyót is lehet kötni, igényeknek megfelelően. Ha valaki elég perverznek érzi magat ( szia manoo :) ) akkor bindtól elkezdve MTA-n keresztül apache-on és php-n át akármit leforgathat, és működésre bírhat egy ilyen eszközön. Az OpenWRT built-in csomagkezelővel rendelkezik, amit ipkg-nak hívnak. Az ipkg a debianban dpkg néven megtalálható program kicsi testvére, lényegében a funkciók teljes arzenáljával. A lehetséges kapcsolókról az # ipkg help paranccsal kaphatunk információt. Futtassunk le az # ipkg update ezzel mentésre kerülnek az elérhető csomag információk. Első körben el kell hitetnünk a rendszerrel, hogy neki bizony van usb csatlakozója, és abba bele is dugtunk már egy pendriveot. Ehez telepítsük fol az USB cssatoló felismeréséhez szükséges modulokat: # ipkg install kmod-usb-core kmod-usb-uhci kmod-usb2 kmod-usb-storage illetve különböző filerendszerekhez a modulokat: # ipkg install kmod-vfat kmod-ext2 kmod-ext3 valamint a partíció és filerendszer elkészítéséhez szükséges toolokat: # ipkg install 1_mipsel.ipk # ipkg install Ezzel lényegében mindent fel is telepítettünk, ami az alap rendszerre kell. Bootoljuk újra az eszközünket. Belépés után nézzük meg, hogy a rendszer megtalálta-e az USB storageot: # dmesg grep SCSI SCSI subsystem driver Revision: 1.00 scsi0 : SCSI emulation for USB Mass Storage devices Type: Direct-Access ANSI SCSI revision: 02 SCSI device sda: byte hdwr sectors (33 MB) ha valami ilyesmi van a logban, akkor a rendszer megtalálta a pendriveot. Készítsük el a partíciót: # fdisk /dev/scsi/host0/bus0/target0/lun0/disc majd formázzuk: # mkfs.ext2 /dev/scsi/host0/bus0/target0/lun0/part1 Az OpenWRT alapértelmezetten a /tmp/mnt/discx_y alá mountolja az usb-storage eszközöket ( X = lemez, Y = partíció )

6 A csomagok nem az alapértelmezett rootba történő telepítése miatt módosítani kell a /etc/ipkg.conf filet, valahogy így: echo "dest usb /tmp/mnt/disc0_1 " >> /etc/ipkg.conf Természetesen aki mas könyvtáron keresztül szokta elérni a gépein az adattárolásra szolgáló partíciókat, az csinálhat egy symlinket ( ln -s ) vagy megkeresheti, hogy hol definiálja a boot alatt a rendszer a mountpointokat, és módosíthatja azt is. Lépjünk be a /etc könyvtárba, és módosítsuk a preinit és profile fileokat az alábbiak szerint: ( a létező export PATH sort kell kiegészíteni ) export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/tmp/mnt/disc0_1/bin:/tmp/mnt/disc0_1/sbin:/tmp/mnt/disc0_1/usr/ bin:/tmp/mnt/disc0_1/usr/sbin mindkét fileban, és allítsuk is be az új PATH változót. # `grep PATH /etc/preinit` Akik esetleg ssh-n kulccsal autholnak, fel lehet másolni a /etc/dropbear ( a dropbear az openwrt ssh szervere ) könyvtárba az authorized_keys fileunkat, így többet nem kell jelszót gépelnünk a belépéshez x otthonra ( Második rész ) Az előző részben sikeresen flasheltünk OpenWRT-t a routerünkre, valamint bekonfiguráltuk az alaprendszert. A második részben az eszköz WiFi részét konfiguráljuk be, valamint működésre bírjuk a freeradius szervert. A jelenlegi állásból három úton indulhatunk tovább: 1, teljes egészében átpakoljuk a rendszert az USB stickre, és onnan bootolunk 2, teljes egészében átpakoljuk a rendszert az USB stickre, de a flashről bootolunk és chrootolt környezetben futtatjuk a dolaginkat 3, csak a szükséges csomagokat hagyjuk az USB-n, és csinálunk egy halom symlinket, ami egy idő után megfelelően átláthatatlanná teszi a rendszerünket Az első verziót én személy szerint nem preferálom, hiszen ha a pendrive filerendszere elszáll, és esetleg nincs backup, akkor kezdhetünk mindent előlröl, a harmadikat pedig azért nem, mert úgy már csináltam, és meglehetősen kusza rendszert lesz a libek és a konfigok tekintetében :) Nézzük tehát a másodikat. Az adatok szinkronizálásának több módja is van, én az rsync nevű szoftvert preferálom leginkább: # ipkg install rsync majd # cd / # for i in bin etc lib sbin usr var; do rsync -varul $i/ /tmp/mnt/disc0_1/$i; done # mkdir /tmp/mnt/disc0_1/proc # mkdir /tmp/mnt/disc0_1/dev # mount none /tmp/mnt/disc0_1/proc -t proc # mount none /tmp/mnt/disc0_1/dev -t devfs Mivel a proc-ra és dev-re később is szükség lehet, készítsünk nekik egy init scriptet is, hogy bootkor

7 mountolódjanak. # cat /etc/init.d/s51chroot #!/bin/sh mount none /tmp/mnt/disc0_1/proc -t proc mount none /tmp/mnt/disc0_1/dev -t devfs Végre valahára elkezdődhet a lényeg telepítése # ipkg -d usb install freeradius freeradius-mod-eap freeradius-mod-eap-ttls freeradius-utils nas strace tcpdump openssl-util ahol a "-d usb" adja meg azt a helyet, ahova a csomagokat telepíteni akarjuk. A telepítés néhány másodpercig tart, majd minden a helyére kerül. A freeradius* csomagok az alap freeradius binárisokat és konfigokat tartalmazzák, valamint a modulokat az EAP, és ezen belül is az EAP-TLS megvalósításához. A nas fogja ellátni a kapcsolatot a kliens és a freeradius között ( WPA-PSK-hoz is ő kell nekünk ) a strace és tcpdump diagnosztikai célokat szolgál. Az openssl-util a későbbi cert generálás miatt jöhet jól. Akik később tovább akarnának lépni és esetleg EAP-TTLS-t, vagy EAP-PEAP-ot szeretnének összehozni, ajanlatos még a freeradius-mod-chap reeradius-mod-eap-mschapv2 freeradius-mod-eappeap freeradius-mod-eap-ttls freeradius-mod-files freeradius-mod-mschap csomagok feltelepítése is. A router felkészítése Az előző részben már belőttük a WAN oldalát a routernek, illetve beállítottuk a bridgelt belső láb IP címeit is. A bridge két részből áll, a négy darab switchportból ( egy interface ), és a WLAN kártya interface-jéből: # # brctl show bridge name bridge id STP enabled interfaces br f23d701b yes eth1 vlan0 Az összebridgeléssel elértük, hogy a rendszer egy darab eszközt ( br0 ) kezel egy darab IP címmel, tehát akár a WLAN oldalról csatlakozunk, akár a switch portba dugunk gépet, azok egy tartományra kerülnek, és minden további gond nélkül el fogják egymást érni. Az IP cím és netmask értékek változtatására már nincs szükségunk, csak a WiFi részt kell módosítani. Nvram változók Az nvram értékek közül a WLAN hálózatra vonatkozó értékek wl0-val kezdődnek. A teljes listát úgy kapjuk meg, hogy: # nvram show grep wl0 ez a parancs egy halom változót fok kidobni a képernyőre, de ezek közül csak a legfontosabbakat, illetve a mostani konfighoz szükségeseket fogom leírni. Az össze többi megtalálható az <a href=" dokumentációban. Alap értékek: wl0_mode=ap A wl0_mode értéke lehet ap ( AP ) vagy sta ( kliens ). wl0_ssid=eap_test A wl0_ssid határozza meg, hogy milyen SSID-je legyen a routerünknek.

8 wl0_infra=1 A wl0_infra adja meg, hogy az router ad-hoc ( 0 ), vagy normál ( 1 ) módban üzemeljen. wl0_closed=0 A wl0_closed 1 érték hatására lezárja az SSID broadcastot, 0 értéknél pedig... naaaaaa? :) wl0_channel=12 A wl0_channel pedig, értelem szerűen a csatornát adja meg. WPA-hoz szükséges értékek: wl0_akm=wpa A wl0_akm adja meg, hogy milyen jellegű azonosítás legyen az AP-ra asszocolás után. Lehetséges értékek: open, psk, wpa, psk2, wpa2, "psk psk2" vagy "wpa wpa2". wl0_crypto=tkip A wl0_crypto adja meg, hogy milyen jellegű titkosítás legyen. Lehetséges értékek: tkip, aes, aes+tkip wl0_wpa_psk= A WPA/WPA2 PSK értéke. Jelen konfignál nem fogjuk használni. wl0_radius_key=g04ts3_f00b4r A radius key azt a pre-shared jelszót adja meg, amivel a NAS fog a freeradiushoz csatlakozni. wl0_radius_ipaddr= Radius szerver IP címe wl0_radius_port=1812 A radius szerver portszáma Az fentebb leírt értékek úgy vannak megadva, hogy megfelelő legyen a továbbiakban is. Természetesen ha valaki változtatni akar bizonyos értékeken megteheti, csak figyeljetek oda, hogy az egyéb konfigokban is ugyan azokat az értékeket adjátok meg. Lehet, hogy van akinek feltűnt, hogy nem WPA2 és AES lett beállítva. Természetesen az AES ( WPA2 ) nagyobb biztonságot ad, viszont vannak olyan rendszerek, amik szimplan nem támogatják. Ilyen pl az IPAQ h as OS verziója, amely csak TKIP-el hajlando összefütyülni. Igen, van olyan, hogy aes+tkip, amikor _elvileg_ bármelyik módon meg lehet oldalni a titkosítást, azonban ez az IPAQ-kal szintén nem működött... Sajnos kitesztelni nem volt időm még, hogy egyéb windows vagy linux verzióval mi történik, szóval feedback jöhet. Az értékek megadásánál mindíg nvram set változó=érték kombinációban kell megadni amit szeretnénk, és reboot előtt futtatni kell egy nvram commit-ot, hogy mentésre kerüljenek a változók. A NAS feltelepítésével egy remek initscriptet kapunk, így annak a konfigurálásával már nem kell törődni, legközelebbi indításnál autómatikusan a megfelelő értékekkel fog elindulni a szoftver. Hozzunk létre egy indítoscriptet számára a /etc/init.d/ alá ( nem, a chroot könyvtár /etc/init.d alá! ) # cat /etc/init.d/s52nas #!/bin/sh chroot /tmp/mnt/disc0_1/ /etc/init.d/s41wpa $1 Freeradius konfigurálás

9 Mostanra minden szükséges szoftverünk felkerült a routerre, ideje tehát nekiállni a freeradius beállításának. A freeradius konfigurációs filejai a /etc/freeradius alá kerülnek fel. Lépjünk be ebbe a könyvtárba. Három filet fogunk módosítani, radiusd.conf, clients.conf, eap.conf Mivel a freeradius teljes körű konfigurálása nem cél ebben a howtoban, így csak az EAP-TLS megvalósításához szükséges lépéseket írom le. Az alap beállítások jók, persze finomhangolásra általában szükség van. radiusd.conf Keressük meg a module-ok részt a konfigban. Ezen belül található az eap.conf includeja. Alapértelmezetten ki van commentezve az include, vegyük ki előle a # jelet: $INCLUDE ${confdir}/eap.conf Ezután az authorize és az authenticate szekcióban szintén vegyük ki a commentet az eap bejegyzés elől. Végeztünk :) Mentsük el a filet, és lépjünk ki belőle. clients.conf A clients.conf módosítása is nagyjából annyira bonyolult, mint a radiusd.conf-é volt. Módosítsuk a secrets = bejegyzés értékét arra, amit az nvramban eltároltunk. ( Doksi szerint: g04ts3_f00b4r ). Mentsük el a file-t, majd lépjünk ki. Mielőtt nekiállnánk az eap.conf-ot beállítani, le kell generálnunk a certeket a szervernek és a klienseknek, valamint létre kell hoznunk egy random file-t és egy dh file-t a radiusd számára. Hogy ne legyen akkora kupleráj a masinán, a chroot etc/freeradius könyvtárában hozzunk létre egy certs könyvtárat. Lépjunk be a routerre ( ha eddig nem ott dolgoztunk... ) és adjuk ki a parancsot: # mkdir /tmp/mnt/disc0_1/etc/freeradius/certs # cd /tmp/mnt/disc0_1/etc/freeradius/ Majd generáljunk le random filet: # dd if=/dev/random of=certs/random bs=10 count=10000 Ezzel a paranccsal a router el fog szüttyögni jo pár percig, tehát nem kell türelmetlenkedni. Tanusítványok Most következhet a certek legyártása. Természetesen akinek van rá lehetősége, vagy olyan helyre csinál cert alapú azonosítást, ahol a self-signed certek nem elfogadható megoldások, böngésszen utánna, hogy kinél és milyen formában lehet igényelni rendes aláírt tanusítványokat. A tanusítványok legyártásához openssl-t fogunk használni. Akinek esetleg nincsen hozzáférése semmilyen linux/bsd rendszerhez, keressen valakit, akinek van. A kalandosabb kedvűek megpróbálhatnak a routeren is certeket generálni, ehhez szükséges az openssl által adott CA.pl file. Esetleg az usb-re fel lehet telepíteni microperl csomagot, hátha működik vele. Én nem próbáltam... Mondanom sem kell, hogy feedback jöhet? :) Lépjünk be a könyvtárunkba, és hozzunk létre egy akármilyen könyvtárat, ahol dolgozni fogunk: # mkdir certs; cd certs; Másoljuk át ide a CA.pl filet, ami debian-on /usr/lib/ssl/misc/ könyvtárban található. Nézzük meg, hogy az openssl hol van, illetve, hogy a PATH változónkban benne van e az adott útvonal. Ha igen, akkor nekiállhatunk legenerálni a certeket: ( a pass whatever, nyilván ezt meg kell változtatni! )

10 Ha a tanusítványokat windows-on is szeretnénk használni, akkor egy külön file-ra van szükségünk, hogy az OID érték bekerüljön a kliens certbe. # cat xpextensions [ xpclient_ext] extendedkeyusage = [ xpserver_ext ] extendedkeyusage = Először legeneráljuk a dh ( Diffie-Hellman ) file-t, ami a TLS session kulcsok egyeztetéséhez használ a freeradius: # openssl dhparam -check -text out dh Majd generáljuk le a self-signed certet: # openssl req -new -x509 -keyout newreq.pem -out newreq.pem -passin pass:whatever -passout pass:whatever CA struktúrát: # echo "newreq.pem" CA.pl -newca >/dev/null PKCS#12-re konvertáljuk # openssl pkcs12 -export -in democa/cacert.pem -inkey newreq.pem -out root.p12 -cacerts -passin pass:whatever -passout pass:whatever PKCS#12-ből PEM # openssl pkcs12 -in root.p12 -out root.pem -passin pass:whatever -passout pass:whatever PEM-ből DER-be # openssl x509 -inform PEM -outform DER -in root.pem -out root.der Majd törölhetjük a newreq.pem-et, mivel a democa/cacert.pem és a newreq.pem ugyan azt tartalmazza. Ezeket a parancsokat többet nem kell lefuttatni. A következő pár parancs segítségével fogjuk legenerálni a szerver ( radius ) és a kliensek tanusítványait, később, ha új klienseket akarunk felvenni, már csak a kliens certek generálásához szükséges parancsokat kell újra futtatni. Kiszolgáló tanusítványa: certificate request: # openssl req -new -keyout newreq.pem -out newreq.pem -passin pass:whatever -passout pass:whatever Írjuk alá: # openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key whatever -extensions xpserver_ext -extfile xpextensions -infiles newreq.pem PKCS#12: # openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out kiszolgalo_neve.p12 -clcerts -passin pass:whatever -passout pass:whatever PEM-be konvertálás: # openssl pkcs12 -in kiszolgalo_neve.p12 -out kiszolgalo_neve.pem -passin pass:whatever -passout pass:whatever

11 PEM-et pedig DER formátumba: # openssl x509 -inform PEM -outform DER -in kiszolgalo_neve.pem -out kiszolgalo_neve.der A kliens certek legyártásához az alábbi parancsok szükségesek: certificate requestet: # openssl req -new -keyout newreq.pem -out newreq.pem -passin pass:whatever -passout pass:whatever Certificate request aláírása: # openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key whatever -extensions xpclient_ext -extfile xpextensions -infiles newreq.pem ( itt használjuk az xpextension file-t! ) PKCS#12: # openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out kliens_neve.p12 -clcerts -passin pass:whatever -passout pass:whatever Konvertáljuk át PEM formatra: # openssl pkcs12 -in kliens_neve.p12 -out kliens_neve.pem -passin pass:whatever -passout pass:whatever és a PEM-et DER-ré: # openssl x509 -inform PEM -outform DER -in kliens_neve.pem -out kliens_neve.der A kiszolgaló nevét és a kliens nevét érdemes egyedire változtatni, mert később is tudni fogjuk, hogy melyik tanusítvány kihez tartozik. Miután készen vagyunk, fel kell másolni a szükséges file-okat a routerre. A random file már elvileg a helyén van, így csak a dh, cacert.pem és a kiszolgálónak készített PEM file-t kell felmásolni. ( # scp fileneve root@ :/tmp/mnt/disc0_1/etc/freeradius/certs ) Ezután módosíthatjuk az eap.conf file-t ( mindjárt végzünk... ): Az érintetlen konfigban az alapértelmezett eap tipus az md5. Mivel mi TLS-t szeretnénk használni, így írjuk át a default_eap_type változót tls-re. Kommentezzük ki az md5{} részt, majd keressük meg a TLS-re vonatkozó szakaszt, és módosítsuk az alábbiak szerint: A kiszolgáló privát kulcsának a jelszava: private_key_password = whatever Privát kulcs: private_key_file = ${raddbdir}/certs/kiszolgalo_key.pem Kiszolgáló certificate: certificate_file = ${raddbdir}/certs/kiszolgalo_key.pem CA: CA_file = ${raddbdir}/certs/cacert.pem Diffie-Hellman dh file: dh_file = ${raddbdir}/certs/dh és a random file:

12 random_file = ${raddbdir}/certs/random Készítsük el a freeradius init scriptjét a /etc/init.d alá: # cat /etc/init.d/s52radiusd #!/bin/sh chroot /space/ /etc/init.d/radiusd $1 Lépjünk be a routeren a freeradius könyvtárába ( USB-n etc/freeradius ) és nevezzük át a users file-t users.old-ra, majd hozzunk létre egy users file-t az alábbi tartalommal: # cat users DEFAULT Auth-Type := EAP Ezzel készen is vagyunk a freeradius konfigurálással ( 3xos hurrá!!!1111 ) Chrootoljuk be magunkat az USB-re, és indítsuk el a radiusd-t: # radiusd -XA Ha az utolsó sor a kimenetben "Ready to process requests.", akkor tapsi-tapsi, minden jol alakult. Amennyiben nem, érdemes a debug kimenetet file-ba menteni, és nekiállni átnézni mindenféle error és hasonlók miatt, valamint újból átnézni a doksit, hátha valamit nem jól csináltunk... Indítsuk újra a routert, varjunk kicsit, majd sshzzunk be. Nézzük meg, hogy fut-e a nas, illetve a radiusd. Nézzük meg a dátum beállításokat, hogy az is megfelelő e ( ha nem, akkor meg játszani kell az rdate indítással, hogy a ppp kapcsolat felhúzása után induljon csak el... ) Ezzel készen is vagyunk a router konfigurálásával. Kliensek konfigurálása Úgy gondolom, hogy aki linuxot vagy Mac-et használ, nem fog problémába ütközni az EAP-TLS beállítással, úgyhogy most csak a windowsos klienseknél írnám le a konfigurálást. A Windows XP esetében az SP2 megléte szükséges, hogy a WZC tudja kezelni az EAP-TLS-t ( Windows 2000 esetén SP4 kell ), mindenki tegyen róla, hogy felkerüljön. Másoljuk fel magunknak a root.der, és a kliens_neve.p12 file-t. ( Sajnos nem tudom képekkel megtámogatni a konfigot. Jó, lusta vagyok kiszedni a képeket a pdfből, viszont bárki letöltheti angolul <a href=" :) ) Start Menu / Futtatás, írjuk be, hogy mmc. Ezzel elindítjuk a Microsoft Management Console nevű csodát. Kattintsunk a File / Add/Remove Snap-In menüpontra. A megjelenő ablakban a Stendalone fülnél kattintsunk az Add gombra. Válasszuk ki a Certificate-et a listából, majd kattintsunk az Add gombra. A megjelenő újabb ablakban jelöljuk ki a "My User Account" pontot, majd kattintsunk a Finish gombra. Ezután, bár a Finish után azt hittük, hogy vége, még egy ablak jelenik meg. Itt a "Local computer" előtti boxot kattintsuk be. Ezután keressük meg a root.der file-t, és kattintsunk rá. Megjelenik egy ablak, itt az Install Certificatere kell kattintani. A megjelenő Certificate Store ablakban kattintsunk a Place all certificates... kezdetű checkboxra, majd a Browse-ra kattintva a megjelenő listából válasszuk ki a "Trusted Root Certification Authorities"-re. A visszakapott ablakban kattintsunk a nextre, majd a következő ablakban a finish-re. Ezután újabb ablak jelenik meg ( már megint a finish után... ), ahol a root tanusítvány értékeit nézegethetjük. Ha nem akarjuk sokáig nézegetni, kattintsunk a Yes gombra... Ezzel be is importáltuk a root certificate-et. A kliens cert inportálása kicsivel egyszerűbb. Kattintsunk a kliens_neve.p12 file-ra. A felugró ablakban írjuk be a generáláshoz megadott jelszót, majd kattintsunk a Next gombra. Ekkor megjelenik a régről

13 ismert Certificate Store, ahol az alapértelmezett érték meg is felel nekünk. Ezután a next és ok gombok megfelelő sorrendjében történő kattintgatásával végeztünk is. További jó szorakozást :)