Sichere WLAN-Verbindung mit FreeRADIUS, MySQL, EAP-PEAP, TLS
Ich versuche, ein drahtloses Netzwerk wie in der Abbildung gezeigt einzurichten, und ich habe Schwierigkeiten, es zu sichern.
Bild des WLAN-Netzwerks:
Meine grundlegende Frage ist: Wie kann ich Kennwörter sicher in der MySQL-Datenbank speichern, damit FreeRADIUS sie lesen kann?
Hier ist eine längere Version, die ich erreichen möchte:
- Der Benutzer stellt eine Verbindung zum drahtlosen Netzwerk her
- Der Benutzer wird aufgefordert, einen Benutzernamen und ein Kennwort einzugeben
- Mit den richtigen Anmeldeinformationen sendet der RADIUS-Server ein Zertifikat und eine TLS-Verbindung kann hergestellt werden.
Ich habe das Setup mit Cleartext-Passwörtern arbeiten lassen, aber natürlich möchte ich die Passwörter mit einer Art Hash sichern. Nun werden die Passwörter auch in der Datenbank als Klartext gespeichert. Aus dieser Kompatibilitätstabelle habe ich verstanden, dass ich, wenn ich PEAP mit MSCHAPv2 verwende, NT-Hash-Kennwörter verwenden muss. http://deployingradius.com/documents/protocols/compatibility.html
Wenn ich einen Benutzer mit daloRADIUS hinzufüge, gibt es nur Optionen für Cleartext-, Benutzer-, Crypt-, MD5-, SHA1- und CHAP-Passwort. Es gibt keine Option für das NT-Hash-Passwort. Ich denke, das bedeutet, dass ich DaloRADIUS nicht als Web-GUI verwenden kann. Ich habe gedacht, dass ich einfach ein Shell-Skript erstellen werde, das Benutzer leicht in die Datenbank aufnehmen und entfernen kann.
In FreeRADIUS habe ich konfiguriert /etc/freeradius/mods-available/eap
eap { default_eap_type = peap peap { default_eap_type = mschapv2
Wenn ich es richtig verstanden habe, verwende ich jetzt EAP-PEAP mit MSCHAPv2 und TLS. Ich weiß, ich verwende TLS, weil der Freeradius- -X
Debugging-Modus beim ersten Anmeldeversuch zum drahtlosen Netzwerk den folgenden Fehler angibt . Nach dem Versuch von TLS wird der Benutzer nach Benutzername und Kennwort gefragt.
(28) eap_peap: <<< TLS 1.2 [length 0002] (28) eap_peap: ERROR: TLS Alert read:fatal:unknown CA (28) eap_peap: ERROR: TLS_accept: Failed in SSLv3 read client certificate A (28) eap_peap: ERROR: SSL says: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca (28) eap_peap: ERROR: SSL_read failed inside of TLS (-1), TLS session failed (28) eap_peap: ERROR: TLS receive handshake failed during operation (28) eap_peap: ERROR: [eaptls process] = fail (28) eap: ERROR: Failed continuing EAP PEAP (25) session. EAP sub-module failed (28) eap: Sending EAP Failure (code 4) ID 162 length 4 (28) eap: Failed in EAP select
Mit Cleartext-Password funktioniert die Authentifizierung, aber wenn ich versuche, ein Hash-Passwort einzugeben, schlägt die Authentifizierung fehl (siehe unten).
(36) Found Auth-Type = EAP (36) # Executing group from file /etc/freeradius/sites-enabled/inner-tunnel (36) authenticate { (36) eap: Expiring EAP session with state 0x024362c402167826 (36) eap: Finished EAP session with state 0x024362c402167826 (36) eap: Previous EAP request found for state 0x024362c402167826, released from the list (36) eap: Peer sent packet with method EAP MSCHAPv2 (26) (36) eap: Calling submodule eap_mschapv2 to process data (36) eap_mschapv2: # Executing group from file /etc/freeradius/sites-enabled/inner-tunnel (36) eap_mschapv2: Auth-Type MS-CHAP { (36) mschap: WARNING: No Cleartext-Password configured. Cannot create NT-Password (36) mschap: WARNING: No Cleartext-Password configured. Cannot create LM-Password (36) mschap: Creating challenge hash with username: joujou (36) mschap: Client is using MS-CHAPv2 (36) mschap: ERROR: FAILED: No NT/LM-Password. Cannot perform authentication (36) mschap: ERROR: MS-CHAP2-Response is incorrect (36) [mschap] = reject (36) } # Auth-Type MS-CHAP = reject (36) eap: Sending EAP Failure (code 4) ID 85 length 4
Könnten Sie mir helfen, welche Möglichkeiten ich habe, um die Passwörter zu haschen?
Hier ist die Software und Hardware, die ich verwende:
- Hauptsächlich Windows 10 Laptops
- TP-Link Archer C7 v2 Wireless Access Points mit OpenWRT Chaos Calmer 15.05 / Luci (git-15.248.30277-3836b45)
- 2 virtuelle ESXi-Maschinen: Auf einer wird PfSense 2.2.6 und auf der anderen Ubuntu Server 14.04 ausgeführt.
- Auf Ubuntu Server habe ich FreeRADIUS 3.0.10 mit MySQL und DaloRADIUS 0.9-9 installiert.
0 Antworten auf die Frage
Verwandte Probleme
-
4
Welche Software sollte ich verwenden, um meine Festplatte zu verschlüsseln?
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
3
Kann die vorhandene drahtlose Netzwerkverschlüsselung ein Netzwerk wirklich schützen?
-
5
Gibt es drahtlose Router, die Bandbreitenüberwachung und -drosselung ermöglichen?
-
5
XP-Netzwerkverbindung ohne Neustart freigeben?
-
5
Wie richte ich Windows ein, 802.11 gegenüber 3G zu bevorzugen?
-
12
Welche Router bevorzugen Sie für DD-WRT oder OpenWRT?
-
10
Der USB-Wi-Fi-Adapter wird unter Windows Vista nicht aktiviert
-
2
Welche Sicherheitsprobleme hat ein Computer, der direkt an ein Modem angeschlossen ist?
-
2
Warum findet mein Macbook kein drahtloses Netzwerk?