Category Archives: FreeRadius

OpenWrtでWPA2-Enterprise(EAP-PEAP/MSCHAPv2)の構築(NEW)

Posted on January 20, 2019 by ganesha

OpenWRT 18.06.1になって設定が大幅に変わり修正が必要になりますが、性能が大幅に強化されて結果的に良くなりました。以前トラベルルータにWPA2-Enterprise(EAP-PEAP/MSCHAPv2)を構築したのですが、セキュリティの問題が若干残されていました。今回セットアップしたところ不具合は解消されていて、セットアップも滞りなく済みました。 このコンパクトなルータにFreeRadiusを入れてWPA2-Enterpriseを使えるようにしてセキュリティを強化します。コンパクトさゆえにいろいろと制約がありファームウェアをカスタマイズすることから始めます。OpenWrtの標準仕様はwpad-miniでWPA2が使えません。そこでフルバージョンのwpadパッケージをインストールするのですが、squashfsに組み込まれているためwpad-miniを消すことが出来ません。となると限りあるストレージを余計に使ってしまいます。そこでパッケージを最適化してファームウェアを作り直します。 Buffalo WMR-300 トラベルルーターにOpenWrtをインストール FreeRADIUSのセットアップに必要なパッケージ まず、FreeRADIUSのパッケージをインストールします。 opkg update opkg install freeradius3 freeradius3-common freeradius3-democerts freeradius3-mod-always freeradius3-mod-attr-filter freeradius3-mod-chap freeradius3-mod-detail freeradius3-mod-eap freeradius3-mod-eap-mschapv2 freeradius3-mod-pap freeradius3-mod-eap-peap freeradius3-mod-eap-tls freeradius3-mod-exec freeradius3-mod-expiration freeradius3-mod-expr freeradius3-mod-files freeradius3-mod-digest freeradius3-mod-logintime freeradius3-mod-unix opkg install freeradius3-mod-mschap freeradius3-mod-passwd freeradius3-mod-preprocess freeradius3-mod-radutmp freeradius3-mod-realm freeradius3-utils (※注:13 … Continue reading

Posted in FreeRadius | Comments Off on OpenWrtでWPA2-Enterprise(EAP-PEAP/MSCHAPv2)の構築(NEW)

daloRADIUSを使ったWPA2-Enterprise(EAP-PEAP/MSCHAPv2)の構築

Posted on September 22, 2017 by ganesha

以前にEAP-TLSを使ったWPA2-Enterprise環境を構築したのですが、セキュリティは高いもののデジタル証明書をインストールする煩雑さがあります。 今回はユーザー/パスワード認証によるWPA2-Enterprise接続を構築してみます。EAP-PEAP/MSCHAPv2は多くのプラットフォームで広く使われている方式でセキュリティも比較的高く安心です。ユーザー管理にはブラウザから設定できるdaloRADIUSを使います。daloRADIUSはRADIUSサーバの管理用アプリケーションです。 新しいサーバを用意しても良いのですが、今回は普段ファイルサーバーとして使っているNAS(ReadyNAS 102)にインストールしてみます。このNASにはApache2サーバがすでにインストールしてあるので既存のWebサーバを使ってdaloRADIUSが使えるように設定します。 システム図 Users –(WI-FI)– AP(Chaos Calmer 15.05.1) –(LAN)– NAS(daloRADIUS, FreeRADIUS, MySQL) 手順 1.NASにMySQLサーバーとFreeRADIUSをインストール 2.Webサーバーの設定 3.NASにdaloRADIUSをインストール 4.ルーターのAPの設定 5.DaloRADIUSに接続 6.ユーザからのWI-FI接続環境 1.NASにMySQLサーバーとFreeRADIUSをインストール MySQLサーバーはReadNASのコントロールパネルのAppsからインストールできますが、FreeRADIUSはないのでターミナルからsshログインしてaptを使ってインストールします。また各サーバーのモジュールもaptを使ってインストールします。(インストール詳細はdaloRADIUSパッケージのINSTALLファイルに書かれています) apt-get install php5-common php5-gd php-pear php-db libapache2-mod-php5 php-mail php-mail-mime apt-get install php5-mysql apt-get install freeradius freeradius-mysql freeradius-utils … Continue reading

Posted in FreeRadius, Linux | Comments Off on daloRADIUSを使ったWPA2-Enterprise(EAP-PEAP/MSCHAPv2)の構築

FreeRadiusとOpenWrtを使ったWPA Enterprise (EAP-TLS)の設定 (1)

Posted on January 21, 2017 by ganesha

(旧)WPA PersonalとWPA Enterpriseの違い → 移動しました WPA PersonalはルーターなどのAPとClientのデバイスとのWi-Fi通信で事前共有鍵(PSK)を使った最も普及している暗号化方式です。WPAにはWPAとWPA2の2種類があり、PSK方式の暗号化アルゴリズムにはTKIPとAESの2種類があり、そのいずれの組み合わせでも使用が可能です。またWPA-PSKとWPA2-PSKの混在モードでも設定可能です。 WPA EnterpriseはRadius(IEEE 802.1X)を使ったユーザー認証です。暗号化アルゴリズムは、WPA Personalと同じくTKIPとAESの2種類あり混在モードも可能ですが、セキュリティ的にはAESのほうが優れているためAESのみの設定がおすすめです。認証方法にはEPA-TLS、EPA-LEAP、EPA-TTLSなどいくつか方式がありますが、EPA-TLSがもっとも安全なので、ここではEPA-TLSの設定で進めていきます。 WPA Enterpriseのメリット WPA Enterpriseを採用するメリットは、事前共有鍵を使ったWPA Personalの認証に比べセキュリティが高いことです。もしWPA Personalだと事前共有鍵が盗まれたら、すべての接続しているデバイスの共有鍵も作りなおさなければなりません。WPA Enterpriseでは各ユーザーごとに認証を行うため、仮にそのユーザの鍵が盗まれたとしても、そのユーザーに対して証明書破棄をすればほかのユーザーは影響を受けません。 もうひとつのメリットは、複数のAPを運用してい場合、APからAPに移動した時にWPA Personalは認証、ローカルネットワークでのIP割当て順で再接続します。WPA Enterpriseの再接続はRadius側で認証しているので、ローカルネットワークでのIP割当てのみになります。その違いからAP間の移動でのWi-Fi通信の切り替えがスムーズに行なえます。 WPA Enterpriseのセットアップは次の3つのステップです。 Radiusサーバーのセットアップ WPA Enterprise用のAPのセットアップ クライアントのセットアップ RadiusサーバーはFreeRadiusを使うことにしました。APのセットアップではOpenWrtの入ったルーターを使用し、各クライアントごとの設定方法を解説します。 1. FreeRadiusのセットアップ Note:FreeRadius 3では設定ファイルのディレクトリが異なります。設定内容は同じですが、このセットアップではFreeRadius 2を使っています。 /etc/freeradius/eap.conf: eap {                default_eap_type = tls                timer_expire … Continue reading

Posted in FreeRadius, Linux | Comments Off on FreeRadiusとOpenWrtを使ったWPA Enterprise (EAP-TLS)の設定 (1)