Klasická ethernetová zásuvka narozdíl od WiFi nevyžaduje po připojení kabelu žádné heslo, což může být v případě venku umístěné zásuvky problém. Naštěstí existuje řešení – protokol 802.1X, s kterým už dnes umí pracovat snad všechny zařízení.

Následující návod bude pro zásuvku připojenou přes switch Ubiquiti, ale většina nastavení by měla být velice podobná i u switchů jiných značek podporující protokol 802.1X.

Vytvoření profilu pro switch port

První věcí, která nám zjednoduší nastavování zejména do budoucna je vytvoření profilu portu, na kterém vynutíme autorizaci pomocí 802.1X – nastavení 802.1X control na hodnotu „Force unauthorized“.

Nastavení profilu na portu

Dalším krokem je použití profilu pro port, kde chceme authorizaci vynutit – volba „Switch Port Profile“. Tím se nám nastaví vše potřebné.

Zapnutí 802.1X na switchi

Posledním nastavením na switchi je kontrola zapnutí „Enable 802.1X control“ – musí být zatrženo a je potřeba mít nějaký RADIUS Profile – pro mé účely používám Radius na Synology a tímpádem se lze do zásuvky připojit uživatelkým účtem jako na Synology.

Připojení na klientovi

Pokud vše funguje jak má tak po připojení kabelu by vám měl vyskočit dialog s přihlašováním – na MacOS něco takového:

a v nastavení připojení pak uvidíme informaci, že jsme připojení pomocí 802.1X.

The post Ubiquiti – Zabezpečení ethernetových zásuvek – 802.1X appeared first on blog.vyoralek.cz.

Co budeme potřebovat?

Základním předpokladem je, že musíme mít AP/Router, který vůbec WPA Enterprise ověřování podporuje. Pokud používáte zařízení od Ubiqiti pak se celé řešení zjednodušuje díky Unifi controlleru, který umí nastavit všechny AP z jednoho místa.

Druhým předpokladem je RADIUS server na síti. Možností jak ho zprovoznit je opět více, např. jako servisu na routeru Ubiquiti USG, na NAS serveru od Synology, jako službu na Windows Serveru atd.

Níže uvedený návod je pak pro produkty od Ubiqiti, nicméně princip je poměrně obecný a odlišnosti by neměly být velké.

Vytvoření nové WiFi s WPA Enterprise ověřováním

Spustíme si Unifi controller, v Settings vybereme Wireless Networks a klikneme na Create new wireless network.

Zadáme následující nastavení:

1. New/SSID – název nové WiFi sítě
2. Enabled – nacháme zatrhnuto
3. Security – vybereme WPA Enterprise
4. RADIUS Profile – vybereme profil pro již existující RADIUS server, popř. vytvoříme nový
5. ostatní necháme beze změny a dáme Save

Nějakou dobu potrvá zpropagování změny na všechny AP, ale jakmile to bude hotovo, měli bychom vidět novou WiFi.

Připojení se k WiFi

Postup připojení není nějak extrémně odlišný, jen místo zadání pouze hesla budeme muset zadat dvojici Username/Password – tedy náš uživatelský účet na Radius.

Pokud využíváme např. Radius na Synology pak to bude stejný účet jako se přihlašujeme na NASku.

Po kliknutí na Join nám vyskočí ještě jedna neobvyklá hláška v podobě informace o certifikátu. Tu jen potvrdíme pomocí Continue a měli bychom být připojení.

Proč použít WPA Enteprise

V klasickém domácím použití nejsou přínosy až tak velké, ale benefit ocení zejména ve firmách,

Např. každý nový zaměstnanec má možnost přihlásit se do firemní WiFi stejným účtem jako do domény, bez toho aniž by mu někdo sděloval heslo.

Podobně když naopak odchází není potřeba se strachovat, že by se připojoval do WiFi i nadále jelikož jednoduše zakážeme účet v doméně a automaticky má zrušený i přístup do WiFi.

The post Ubiquiti – AP – Zabezpečená WiFi s RADIUS ověřováním appeared first on blog.vyoralek.cz.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

• Název – pojmenování klientského zařízení, např. „Router“
• IP adresa – IP adresa USG Routeru
• Maska podsítě – Maska podsítě USG Routeru
• Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
• Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

• Profile Name – název profilu, např. „NAS“
• VLAN Support – necháme nezatržené
• RADIUS Auth Server
  • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
  • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
  • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
• Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

• Name – název uživatele
• Password – heslo
• VLAN – necháme prázdné
• Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
• Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

• Enable Radius Server – přepneme na ON
• Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
• Clients – necháme zatržené
• Authentication Port – nechápe výchozí port
• Accouting Port – necháme výchozí port
• Accounting Interim Interval – necháme výchozí hodnotu
• Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

• Name – název sítě, např. VPN
• Purpose – vybereme „Remote User VPN“
• VPN Type – vybereme „L2TP Server“
• Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
• Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
• Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
• RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

The post Ubiquiti – USG – Nastavení L2TP VPN serveru appeared first on blog.vyoralek.cz.