WPA2-Enterprise

[VovanVE]

Добрый день.

Такой вопрос: планируется ли добавление в прошивки Keenetic (конкретно интересует Ultra) поддержки EAP (для аутентификации на точке доступа через Radius)?

Возможно ли это в принципе?

Спасибо.

 

[ndm]

Считается, что в домашнем роутере Enterprise не нужен. opkg тут не поможет. Есть реализация в драйвере Wi-Fi, но параметры в CLI не вынесены. Перенесём тему в Развитие. Интересно плюсанёт кто-нибудь или нет.

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

[Андрей Щербаков]

Есть ли на Giga III в каком то хоть состоянии WPA2 Enterprise, ибо взламывать WPA2 уже заколебали, на линухе radius сервак запилил, а использовать никак. Будет ли добавлена поддержка?

Edited March 25, 2017 by Андрей Щербаков

[KorDen]

3 минуты назад, ndm сказал:

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

Если кто-то напишет инструкцию по настройке RADIUS-сервера для Entware-*, заинтересованные наверняка подымут. Большинство даже дешевых роутеров WPA2-Enterprise поддерживает (насколько адекватно работает - это уже другой вопрос)

[IgaX]

https://forum.keenetic.net/topic/768-eap/ @ndmEDIT: объединили тему

- не ново под луной, но попробуем

1 час назад, KorDen сказал:

RADIUS-сервера для Entware

говорят, этот неплохой, есть порт под windows .. а так windows server нативно и другие за деньги.

[Андрей Щербаков]

10 часов назад, ndm сказал:

Считается, что в домашнем роутере Enterprise не нужен. opkg тут не поможет. Есть реализация в драйвере Wi-Fi, но параметры в CLI не вынесены. Перенесём тему в Развитие. Интересно плюсанёт кто-нибудь или нет.

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

Один "умный" человек закупил в организацию, пользователей на сервере я завел, да и сам сервер поднял, осталось настроить роутер. ии.. по моему только прошивка от padavana поддерживает WPA2 Enterprise. А так разворачивать RADIUS-сервер на роутере не думаю что хорошая идея. Я уже и скрывал точку доступа, и пароль сложный делал, и названия меняю, в любом случае угоняют и в dhcp-leases появляются посторонние.

[IgaX]

6 часов назад, Андрей Щербаков сказал:

Я уже и скрывал точку доступа, и пароль сложный делал, и названия меняю, в любом случае угоняют и в dhcp-leases появляются посторонние

Таких наглых медвежатников, чтобы щелкали ptk как семечки, а потом еще вставали под фонарь dhcp еще поискать надо .. это юзеры кладут болт на политику безопасности или какой-нибудь клиент скомпрометирован по полной бортовым кейлоггером местного кулхацкера ради какой-то идеи или от нечего делать.

[dexter]

Если выведут в Cli могу помочь с тестированием. FreeRadius уже развернут.

Сам радиус сервер достаточно запилить в старших моделях(Ultra 2, Giga 3) остальные от них как ТД.

[Андрей Щербаков]

2 часа назад, IgaX сказал:

Таких наглых медвежатников, чтобы щелкали ptk как семечки, а потом еще вставали под фонарь dhcp еще поискать надо .. это юзеры кладут болт на политику безопасности или какой-нибудь клиент скомпрометирован по полной бортовым кейлоггером местного кулхацкера ради какой-то идеи или от нечего делать.

Дело в том, что есть ноутбук с подключенным Wi-Fi, и они с него угоняют данные, к сожалению от этого никак не избавится, если не ввести в строй Radius-сервер с EAP аутентификацией, тогда будет видно, сколько клиентов на одной учетке.

[McMCC]

А с чего такие утверждения, что сломали WPA2? Может просто делятся ключем?

[pachalia]

С каких пор wpa2 взломан? Взлом сети wifi зависит от вашего пароля. Чем сложнее и длинее пароль тем сложнее взламывать. Считается что пароль длиной в 20 символов уже невозможно взломать. У меня к примеру пароль на 50 символов. Хрен кто взломает его.  Для ввода пароля я использую либо qr code, либо временно включаю wps.  Так что с вводом такого длиного пароля проблем нету.

[IgaX]

1 час назад, pachalia сказал:

Считается что пароль длиной в 20 символов уже невозможно взломать

Но без поддержки 802.11w можно сделать жизнь невыносимой и на wpa2 .. тут как бы есть еще куда двигаться.

[KorDen]

@McMCC , @pachalia, так речь ведь о том и идет, что делятся ключом. Когда много ПК, ключ быстро перетекает с ноутбуков на смартфоны, а оттуда и куда угодно еще.

В небольших организациях (10-30 человек), далеких от IT чаще всего стоят SOHO-роутеры (большего и не надо), и очень хорошо если это будет Zyxel/Mikrotik или Asus/TP-Link на альтернативных прошивках, у нас чаще длинки в нагрузку от провайдера или еще чего веселее встречаю.

Если это бизнес-центр или другое здание с кучей организаций, то при увеличении числа сотрудников пароль может "по знакомству" утечь соседям, а менять периодически на всех девайсах задолбаешься - проще запустить радиус.

[r13]

В нормальных организациях где за безопастностью следят все на сертификатах с единым управлением, а не на soho роутерах.  

[KorDen]

13 минуты назад, r13 сказал:

В нормальных организациях где за безопастностью следят все на сертификатах с единым управлением, а не на soho роутерах.  

Вы где-нибудь видели, чтобы в мелких (10-40 человек) не-IT/не-банковских организациях, зачастую без штатного эникея, была хоть какая-то безопасность? Да даже в больших в российских реалиях все чаще всего через одно место, что уж говорить о мелких...

А так - SOHO подразумевает в том числе небольшие офисы...

[Александр Рыжов]

В 24.03.2017 в 22:17, KorDen сказал:

Если кто-то напишет инструкцию по настройке RADIUS-сервера для Entware-*, заинтересованные наверняка подымут.

https://github.com/Entware-ng/Entware-ng/wiki/Using-Freeradius

 

[pachalia]

3 часа назад, KorDen сказал:

@McMCC , @pachalia, так речь ведь о том и идет, что делятся ключом. Когда много ПК, ключ быстро перетекает с ноутбуков на смартфоны, а оттуда и куда угодно еще.

Есть один малеький нюанс. Во первых, доступ к wps есть только у администратора. Во вторых чем сложнее пароль тем сложнее его будет передавать. Я знаю что к примеру на windows можно посмотреть пароль и то помойму не во всех версиях это можно сделать. А вот в андроиде чтобы получить доступ к паролю аппарат должен быть рутован.

[KorDen]

8 минут назад, pachalia сказал:

Во первых, доступ к wps есть только у администратора. Во вторых чем сложнее пароль тем сложнее его будет передавать. Я знаю что к примеру на windows можно посмотреть пароль и то помойму не во всех версиях это можно сделать. А вот в андроиде чтобы получить доступ к паролю аппарат должен быть рутован.

WPS тут ни при чем. Длина пароля на сложность его передачи не влияет, можно отправить хоть мессенджером. В Windows как минимум начиная с Win7 можно просмотреть пароль,

По андроиду - скажем, оболочка MIUI (Xiaomi) позволяет штатно "поделиться сетью" в виде QR-кода, еще в какой-то оболочке видел нечто подобное.

Edited March 26, 2017 by KorDen

[IgaX]

40 минут назад, pachalia сказал:

wps

WPS с пином в любом случае риск.

1 час назад, Александр Рыжов сказал:

https://github.com/Entware-ng/Entware-ng/wiki/Using-Freeradius

А с перламутровыми пуговицами в виде Easy-2-Use App и PEAPv0/EAP-MSCHAPv2 можно?

Домохозяйки и их коты оценят раздельные учетки и вроде как универсальную нативную поддержку со времен XP

Edited March 26, 2017 by IgaX

[Александр Рыжов]

11 час назад, IgaX сказал:

А с перламутровыми пуговицами в виде Easy-2-Use App и PEAPv0/EAP-MSCHAPv2 можно?

Не пробовал. Как часто (и справедливо) говорит тов. @zyxmon, спасение утопающих — дело рук самих утопающих. Дерзайте!

[pachalia]

А доступ по  mac адресам чем не устраивает?

[IgaX]

49 минут назад, pachalia сказал:

А доступ по  mac адресам чем не устраивает?

1) Максимум 64 записи на каждый ACL, а если надо больше?

2) Говорят, не смотря на запреты, все примерно настолько просто:
https://4pda.ru/forum/index.php?showtopic=650682
https://4pda.ru/forum/index.php?showtopic=543627
итп.

+ для Вашего удобства данные по клиентам:

Скрытый текст

[Razoon]

Что то тема заглохла, будет ли реализация WPA-Enterprise?

Edited November 1, 2017 by Razoon

[r13]

В честь добавленя в entware freeradius3 апну тему

 

[V-V-E]

На данный момент вопрос становится очень интересным. С одной стороны, поддержка RADIUS уже есть для "captive portal". То есть, расширить использование уже готового модуля реально и без использования ENTWARE. Просто нужно определиться с целью. Я предполагаю, что все посетители форума скажут "хотим все и еще немного"... А программистам придется, как всегда, исходить из возможного. Если... А вот теперь на счет "если".

Есть моменты позиционирования Кинетиков на рынке с точки зрения маркетинга и допустима ли для них конкуренция даже в нижнем сегменте с продукцией Zyxel... Это уже интересный момент взаимодействия материнской и дочерней компании. Полную информацию на эту тему нам все равно не скажут (я бы не рассказал), поскольку наверняка многое попадает под понятие "коммерческая тайна" со всеми вытекающими...

[Andrei_Ch]

Здравствуйте всем. Знаю, что уже на форуме задавался такой вопрос, но так как решения так и нет, то хочу поднять данную "проблему" снова.

Очень  не хватает настройки WPA2-Enterprise в разделе Wi-Fi. Хоть и модели Keenetic считаются домашними, но некоторые модели в этой серии достаточно мощны для небольших офисов. И как раз такой опции ну совсем не хватает. Конечно можно прикупить точки доступа и в них это есть, но тогда получается, что покупая старшую модель роутера я "кастрирую" её отключением встроенного Wi-Fi. При этом в роутерах есть Captive Portal который как по мне (если считать данную серию домашней) совсем не нужен (понимаю, что он не из коробки есть, а устанавливается отдельно).

Одним словом. После переписывания с техподдержкой, техподдержка рекомендовала мне создать тему на данном форуме. И если (по утверждению техподдержки) будет достаточно (интересно правда сколько это) голосов, то возможно что-то изменится.

[r13]

@Andrei_Ch

Лучше в ту тему и  писать.

 

[Andrei_Ch]

Здравствуйте всем.

Очень  не хватает настройки WPA2-Enterprise в разделе Wi-Fi. Хоть и модели Keenetic считаются домашними, но некоторые модели в этой серии достаточно мощны для небольших офисов. И как раз такой опции ну совсем не хватает. Конечно можно прикупить точки доступа и в них это есть, но тогда получается, что покупая старшую модель роутера я "кастрирую" её отключением встроенного Wi-Fi. При этом в роутерах есть Captive Portal который как по мне (если считать данную серию домашней) совсем не нужен (понимаю, что он не из коробки есть, а устанавливается отдельно).

Одним словом. После переписывания с техподдержкой, техподдержка рекомендовала мне создать тему на данном форуме. И если (по утверждению техподдержки) будет достаточно (интересно правда сколько это) голосов, то возможно что-то изменится.

[Andrei_Ch]

Написал и туда тоже.

[Padavan]

Поддержка WPA2 Enterprise возможна только на уровне точки доступа (AP). Для клиента (AP-Client) поддержки нет от вендора и не планируется. Мы обсудим с руководством поддержку WPA2 Enterprise для точек доступа в 2.13 прошивке, в 2.12 ее точно не будет.

[Andrei_Ch]

Ну да, для точки доступа это как раз и нужно. Чтоб я мог выбрать в этом разделе не только WPA2, а WPA2 Enterprise.