Klasická ethernetová zásuvka narozdíl od WiFi nevyžaduje po připojení kabelu žádné heslo, což může být v případě venku umístěné zásuvky problém. Naštěstí existuje řešení – protokol 802.1X, s kterým už dnes umí pracovat snad všechny zařízení.

Následující návod bude pro zásuvku připojenou přes switch Ubiquiti, ale většina nastavení by měla být velice podobná i u switchů jiných značek podporující protokol 802.1X.

Vytvoření profilu pro switch port

První věcí, která nám zjednoduší nastavování zejména do budoucna je vytvoření profilu portu, na kterém vynutíme autorizaci pomocí 802.1X – nastavení 802.1X control na hodnotu „Force unauthorized“.

Nastavení profilu na portu

Dalším krokem je použití profilu pro port, kde chceme authorizaci vynutit – volba „Switch Port Profile“. Tím se nám nastaví vše potřebné.

Zapnutí 802.1X na switchi

Posledním nastavením na switchi je kontrola zapnutí „Enable 802.1X control“ – musí být zatrženo a je potřeba mít nějaký RADIUS Profile – pro mé účely používám Radius na Synology a tímpádem se lze do zásuvky připojit uživatelkým účtem jako na Synology.

Připojení na klientovi

Pokud vše funguje jak má tak po připojení kabelu by vám měl vyskočit dialog s přihlašováním – na MacOS něco takového:

a v nastavení připojení pak uvidíme informaci, že jsme připojení pomocí 802.1X.

The post Ubiquiti – Zabezpečení ethernetových zásuvek – 802.1X appeared first on blog.vyoralek.cz.

Co budeme potřebovat?

Základním předpokladem je, že musíme mít AP/Router, který vůbec WPA Enterprise ověřování podporuje. Pokud používáte zařízení od Ubiqiti pak se celé řešení zjednodušuje díky Unifi controlleru, který umí nastavit všechny AP z jednoho místa.

Druhým předpokladem je RADIUS server na síti. Možností jak ho zprovoznit je opět více, např. jako servisu na routeru Ubiquiti USG, na NAS serveru od Synology, jako službu na Windows Serveru atd.

Níže uvedený návod je pak pro produkty od Ubiqiti, nicméně princip je poměrně obecný a odlišnosti by neměly být velké.

Vytvoření nové WiFi s WPA Enterprise ověřováním

Spustíme si Unifi controller, v Settings vybereme Wireless Networks a klikneme na Create new wireless network.

Zadáme následující nastavení:

1. New/SSID – název nové WiFi sítě
2. Enabled – nacháme zatrhnuto
3. Security – vybereme WPA Enterprise
4. RADIUS Profile – vybereme profil pro již existující RADIUS server, popř. vytvoříme nový
5. ostatní necháme beze změny a dáme Save

Nějakou dobu potrvá zpropagování změny na všechny AP, ale jakmile to bude hotovo, měli bychom vidět novou WiFi.

Připojení se k WiFi

Postup připojení není nějak extrémně odlišný, jen místo zadání pouze hesla budeme muset zadat dvojici Username/Password – tedy náš uživatelský účet na Radius.

Pokud využíváme např. Radius na Synology pak to bude stejný účet jako se přihlašujeme na NASku.

Po kliknutí na Join nám vyskočí ještě jedna neobvyklá hláška v podobě informace o certifikátu. Tu jen potvrdíme pomocí Continue a měli bychom být připojení.

Proč použít WPA Enteprise

V klasickém domácím použití nejsou přínosy až tak velké, ale benefit ocení zejména ve firmách,

Např. každý nový zaměstnanec má možnost přihlásit se do firemní WiFi stejným účtem jako do domény, bez toho aniž by mu někdo sděloval heslo.

Podobně když naopak odchází není potřeba se strachovat, že by se připojoval do WiFi i nadále jelikož jednoduše zakážeme účet v doméně a automaticky má zrušený i přístup do WiFi.

The post Ubiquiti – AP – Zabezpečená WiFi s RADIUS ověřováním appeared first on blog.vyoralek.cz.