Настроить сервер FreeRADIUS
FreeRADIUS — это программное обеспечение по преимуществу для настройки сервера RADIUS с очень продвинутыми опциями, это программное обеспечение поддерживает различные типы аутентификации и работает очень хорошо
Очень важной особенностью является то, что он совместим с любой операционной системой, что необходимо для максимальной совместимости
Настройка этого сервера очень сложна, вам нужно настроить файлы конфигурации расширенным способом, создать центр сертификации и многое другое. Если мы будем использовать NAS-сервер, такой как QNAP, это значительно упростит задачу избавления от необходимости настраивать сервер на компьютере, на Linux-на сервере или на Raspberry Pi. Все NAS-серверы QNAP поддерживают возможность простой и быстрой настройки сервера.
Все, что нам нужно сделать, это перейти в раздел » Панель управления / Приложения / Сервер RADIUS «. Оказавшись внутри, нам нужно включить сервер и разрешить доступ к учетным записям пользователей системы, хотя последнее является необязательным и необязательным.
После активации сервера в разделе «RADIUS Clients» мы должны напрямую зарегистрировать маршрутизатор, который будет перенаправлять всю аутентификацию на сервер. Данные, которые нам нужно будет ввести, следующие:
- Имя и фамилия : мы даем имя клиенту
- IP-адрес : мы помещаем частный IP-адрес роутера, в нашем случае 192.168.50.1
- Длина префикса : мы ставим 32, указывая, что только этот IP-адрес будет клиентом.
- Секретный ключ : мы определяем надежный пароль, это ключ аутентификации между маршрутизатором и сервером FreeRADIUS. Этот пароль не принадлежит клиенту.
Конфигурация будет следующей:
После того, как мы настроили клиента, теперь нам нужно будет создать пользователей. В этом случае нам нужно будет создать пользователя для каждого Wi-Fi клиент, который мы собираемся подключиться к беспроводной сети, нам нужно будет указать имя пользователя, а также его пароль. Все клиенты, которые находятся в этом списке «Пользователи», будут иметь разрешение на аутентификацию на сервере и, следовательно, смогут подключаться к Wi-Fi без каких-либо ограничений.
После того, как мы настроили сервер, мы должны перейти к маршрутизатору, чтобы настроить его правильно, поскольку мы должны установить аутентификацию WPA2-Enterprise или WPA3-Enterprise и указать разные данные.
Вступление
Скоростной проводной интернет становится всё более доступным. И вместе с развитием мобильной техники становится актуальным вопрос использование домашнего интернета на каждом из устройств. Этой цели служит Wi-Fi-роутер, его цель — распределить при беспроводном подключении интернет между разными пользователями.
Отдельное внимание следует уделить вопросу безопасности своей сети
При покупке достаточно настроить его при первом включении. Вместе с роутером поставляется диск с утилитой настройки. С его помощью настроить домашнюю сеть проще простого. Но, тем не менее у неопытных пользователей часто возникают проблемы на этапе настроек безопасности сети. Система предлагает выбрать метод проверки подлинности, и на выбор предоставляется как минимум четыре варианта. Каждый из них обладает определёнными преимуществами и недостатками, и, если вы хотите обезопасить себя от действий злоумышленников, следует выбрать самый надёжный вариант. Об этом наша статья.
Почему после настройки роутер Asus не раздает Wi-Fi?
Точнее, Wi-Fi то он раздает, а интернет не работает
Здесь очень важно понять, что само наличие беспроводной сети, и подключение к ней не означает подключение к интернету. Дело в том, что маршрутизатор в любом случае раздает Wi-Fi, как только мы его включаем в розетку. Но, что бы был доступ в интернет, этот интернет нужно к роутеру подключить, и настроить
Но, что бы был доступ в интернет, этот интернет нужно к роутеру подключить, и настроить.
Кабель от вашего интернет-провайдера, или ADSL модема должен быть подключен в WAN разъем роутера. Если у вас интернет через USB модем, то смотрите эту инструкцию по настройке.
Думаю, подключили вы все правильно. А теперь, самый главный момент – настройка роутера под вашего интерне-провайдера. Если настройки заданы неправильно, то роутер Asus не может подключится к интернету, ну и не может его раздавать.
Подключитесь к роутеру (по Wi-Fi, или по кабелю), и перейдите в браузере по адресу 192.168.1.1. Откроются настройки. Если не получается зайти в панель управления, то смотрите подробную инструкцию: https://help-wifi.com/asus/vxod-v-nastrojki-na-routerax-asus-192-168-1-1/.
В настройках нужно перейти на вкладку Интернет. Выбрать правильный тип WAN-подключения, который использует ваш интернет-провайдер, и задать необходимые параметры (которые зависят от выбранного типа соединения). Вам нужно уточнить у провайдера, какой тип соединения он использует: Динамический IP, Статический IP, PPPoE, L2TP, PPTP.
Так же нужно уточнить, не делает ли провайдер привязку по MAC адресу. Если делает, то читайте эту статью.
Главная задача, выбрать правильный тип подключения (WAN), и задать нужные параметры (если необходимо): пароль, имя пользователя, IP адрес. После этих действий, роутер подключится к интернету, и сможет раздавать его по Wi-Fi сети.
Можете посмотреть настройку роутера Asus на примере модели Asus RT-N12.
Что делать, если все работало и вдруг пропал интернет по Wi-Fi
Многие спрашивают, почему роутер перестал раздавать интернет по Wi-Fi, если все отлично работало. В таких случаях, делаем так:
- Первым делом, просто перезагружаем роутер и компьютер, телефон, планшет и т. д.
- Нужно убедится, что нет проблем на стороне провайдера. Ну мало ли, может что-то у них с оборудованием и т. д. Можно просто отключить кабель от роутера, и подключить к компьютеру. Так мы поймем, на чей стороне проблемы. Так же, убедитесь в том, что интернет у вас оплачен. Можно позвонить в поддержку провайдера, и все выяснить.
- Проверьте, подключен ли интернет к роутеру (сам сетевой кабель). Может он просто «выскочил» из WAN разъема.
- Хорошо бы убедится в том, что наш Asus не раздает интернет на все устройства (если есть возможность подключить несколько устройств).
- Проверьте настройки подключения в панели управления роутером на вкладке Интернет. Как это сделать, я показывал выше. Возможно, настройки просто слетели.
369
Сергей
Asus
История протоколов безопасности
Безопасность беспроводной сети менялась с течением времени, чтобы стать более надежной, но при этом и более простой с точки зрения ее настройки. С момента появления Wi-Fi мы прошли путь от протокола WEP к протоколу WPA3. Давайте вспомним историю развития этих протоколов безопасности.
Wired Equivalent Privacy (WEP)
Первый протокол безопасности был назван Wired Equivalent Privacy или WEP. Этот протокол оставался стандартом безопасности с 1999 по 2004 год. Хотя эта версия протокола была создана для защиты, тем не менее, она имела достаточно посредственный уровень безопасности и была сложна в настройке.
В то время импорт криптографических технологий был ограничен, а это означало, что многие производители могли использовать только 64-битное шифрование. Это очень низкое битовое шифрование по сравнению с 128-битными или 256-битными опциями, доступными сегодня. В конечном счете, протокол WEP не стали развивать дальше.
Системы, которые все еще используют WEP, не являются безопасными. Если у вас есть система с WEP, ее следует обновить или заменить. При подключении к Wi-Fi, если в заведении используется протокол WEP, то ваша Интернет-активность не будет безопасной.
WiFi Protected Access (WPA)
Для улучшения функций WEP в 2003 году был создан протокол Wi-Fi Protected Access или WPA. Этот улучшенный протокол по-прежнему имел относительно низкую безопасность, но его легче было настроить. WPA, в отличие от WEP, использует протокол Temporary Key Integrity Protocol (TKIP) для более безопасного шифрования.
Поскольку Wi-Fi Alliance сделал переход с WEP на более продвинутый протокол WPA, они должны были сохранить некоторые элементы WEP, чтобы старые устройства все еще были совместимы. К сожалению, это означает, что такие уязвимости как функция настройки WiFi Protected, которую можно взломать относительно легко, все еще присутствуют в обновленной версии WPA.
WiFi Protected Access 2 (WPA2)
Годом позже, в 2004 году, стала доступна новая версия протокола Wi-Fi Protected Access 2. WPA2 обладает более высоким уровнем безопасности, а также он проще настраивается по сравнению с предыдущими версиями. Основное отличие в WPA2 заключается в том, что он использует улучшенный стандарт шифрования Advanced Encryption Standard (AES) вместо TKIP. AES способен защищать сверхсекретную правительственную информацию, поэтому это хороший вариант для обеспечения безопасности WiFi дома или в компании.
Единственная заметная уязвимость WPA2 заключается в том, что как только кто-то получает доступ к сети, он может атаковать другие устройства, подключенные к этой сети. Это может стать проблемой в том случае, если у компании есть внутренняя угроза, например, несчастный сотрудник, который способен взломать другие устройства в сети компании (или предоставить для этих целей свое устройства хакерам-профессионалам).
WiFi Protected Access 3 (WPA3)
По мере выявления уязвимостей вносятся соответствующие изменения и улучшения. В 2018 году Wi-Fi Alliance представил новый протокол WPA3. Как ожидается, эта новая версия будет иметь «новые функции для упрощения безопасности Wi-Fi, обеспечения более надежной аутентификации и повышения криптографической устойчивости для высокочувствительных данных». Новая версия WPA3 все еще внедряется, поэтому оборудование, сертифицированное для поддержки WPA3, пока не является доступным для большинства людей.
Шифрование WiFi данных и типы аутентификации
Итак, в необходимости шифрования сети wifi мы убедились, теперь посмотрим, какие бывают типы:
- WEP
- WPA
- WPA2
Что такое WEP защита wifi?
WEP (Wired Equivalent Privacy) — это самый первый появившийся стандарт, который по надежности уже не отвечает современным требованиям. Все программы, настроенные на взлом сети wifi методом перебора символов, направлены в большей степени именно на подбор WEP-ключа шифрования.
Что такое ключ WPA или пароль?
WPA (Wi-Fi Protected Access) — более современный стандарт аутентификации, который позволяет достаточно надежно оградить локальную сеть и интернет от нелегального проникновения.
Что такое WPA2-PSK — Personal или Enterprise?
WPA2 — усовершенствованный вариант предыдущего типа. Взлом WPA2 практически невозможен, он обеспечивает максимальную степень безопасности, поэтому в своих статьях я всегда без объяснений говорю о том, что нужно устанавливать именно его — теперь вы знаете, почему.
У стандартов защиты WiFi WPA2 и WPA есть еще две разновидности:
- Personal, обозначается как WPA/PSK или WPA2/PSK. Этот вид самый широко используемый и оптимальный для применения в большинстве случаев — и дома, и в офисе. В WPA2/PSK мы задаем пароль из не менее, чем 8 символов, который хранится в памяти того устройства, которые мы подключаем к роутеру.
- Enterprise — более сложная конфигурация, которая требует включенной функции RADIUS на роутере. Работает она по принципу DHCP сервера, то есть для каждого отдельного подключаемого гаджета назначается отдельный пароль.
Типы шифрования WPA — TKIP или AES?
Итак, мы определились, что оптимальным выбором для обеспечения безопасности сети будет WPA2/PSK (Personal), однако у него есть еще два типа шифрования данных для аутентификации.
- TKIP — сегодня это уже устаревший тип, однако он все еще широко употребляется, поскольку многие девайсы энное количество лет выпуска поддерживают только его. Не работает с технологией WPA2/PSK и не поддерживает WiFi стандарта 802.11n.
- AES — последний на данный момент и самый надежный тип шифрования WiFi.
«Произошла ошибка проверки подлинности»
Причина №1: слабый сигнал.
Решения:
- по возможности уменьшите расстояние до точки доступа;
-
п
опробуйте выбрать свободный канал.
Причина №2:
неверный ключ безопасности сети.
Решение:
Введите правильный ключ безопасности (читай выше в п.2.)
Ниже мы приводим чек-лист по устранению большинства проблем с беспроводной сетью. Если вы не хотите вникать в каждый отдельно описанный выше случай, выполните последовательно перечисленные действия. Если после выполнения действия проблема не устранилась, переходите к следующему.
- Отключитесь от беспроводной сети на Android-устройстве. Для этого нажмите на имя сети в списке и удерживайте нажатие более секунды. Когда появится меню, выберите Забыть сеть.
После этого подключитесь к сети заново, введя ключ безопасности. - Перезагрузите роутер и Android-устройство для того, чтобы исключить вероятность необъяснимых сбоев и подвисаний. После перезагрузки роутера и гаджета подождите пару минут и попытайтесь подключиться к Wi-Fi заново.
- Проверьте правильность ключа безопасности беспроводной сети (в народе «пароль на вай фай»). Установите ключ из 10 случайных цифр, чтобы не запутаться в раскладках и регистрах.
- Проверьте настройки фильтра MAC-адресов. Попробуйте временно отключить фильтр и подсоединиться к сети.
- Проверьте настройки региона в роутере. Укажите правильный регион. Попробуйте выбрать Россию, затем США, затем Чили. Это может влиять на чувствительность приёмника и мощность передатчика. Имейте в виду, что на многих моделях роутеров может не быть настройки региона.
- Установите на роутере режим безопасности WPA2-PSK
и тип шифрования AES
. Сохраните настройки и подождите пару минут. Удалите сеть на Android-устройстве и попробуйте подключиться к ней заново. - Установите режим Mixed 11b/g/n
для максимальной совместимости с различными устройствами и стандартами. Сохраните настройки и попытайтесь подключиться к сети через 2 минуты. Для справки: если установить 802.11n only
, к роутеру смогут подключаться лишь те устройства, которые поддерживают стандарт n
. - Переведите настройку ширины канала в режим Auto
. Сохраните настройки и через пару минут снова попробуйте подключиться к сети. - Сделайте аппаратный сброс роутера и проведите его настройку с нуля. Бывают случаи, когда этим действием исправляется сбой роутера.
Иллюстрации к пунктам 5
,7
и 8
:
Современные механизмы защиты сетей WLAN и WiFi
Поскольку WEP не обеспечивает адекватного уровня безопасности, для защиты беспроводных сетей довольно широко используются средства построения виртуальных частных сетей. В этом случае канальный уровень OSI признается небезопасным, а вся беспроводная сеть приравнивается к сети Интернет, доступ из которой в корпоративную сеть возможен только по каналу, защищенному средствами VPN на основе PPTP, IPSec в туннельном режиме или L2TP+IPSec. Однако использование VPN накладывает ряд ограничений на использование беспроводных сетей. Исчезает прозрачность, для работы с сетью требуется активизировать беспроводное подключение. И так достаточно небольшая пропускная способность беспроводного канала дополнительно утилизируется за счет служебного трафика протокола организации виртуальной частной сети. Могут возникать разрывы VPN соединения при интенсивном переключении между точками доступа.
Современная подсистема безопасности семейства стандартов 802.11 представлена двумя спецификациями: WPA и 802.11i. Первая из них, как и WEP, задействует для защиты трафика алгоритм RC4, но с динамической генерацией ключей шифрования. Устройства, поддерживающие 802.11i, в качестве алгоритма шифрования используют AES. Оба протокола, и 802.11i, и WPA для аутентификации устройств могут применять как статически распределяемый ключ, так и технологию 802.1X.
Технология 802.1X служит для аутентификации клиента перед получением доступа к канальному уровню технологии Ethernet даже при наличии физического подключения. Для аутентификации используется протокол EAP и его варианты (PEAP, EAP-TTLS, LEAP). В качестве сервера аутентификации может выступать сервер, реализующий необходимые расширения протокола RADIUS. Серьезным достоинством 802.1X является тот факт, что она может использоваться как в проводной, так и беспроводной сети. Т.е. компания может внедрить 802.1X для WiFi, а затем, по мере обновления активного сетевого оборудования задействовать ту же инфраструктуру для аутентификации проводных клиентов. Очень часто в рекомендациях по обеспечению безопасности беспроводных сетей фигурирует требование к отключению широковещательной рассылки идентификатора сети (SSID broadcast, guest mode и т.д.). В этом случае точка доступа прекращает рассылать широковещательные пакеты beacon с идентификатором сети и другой служебной информацией, облегчающей клиенту настройку.
Это может затруднить обнаружение беспроводной сети злоумышленником, обладающим невысокой квалифицикацией, но так же и усложнить настройку клиентских устройств (особенно, если точка доступа работает на граничных каналах).
Еще один часто используемый механизм доступа — авторизация по MAC-адресам имеет смысл использовать только как дополнительный механизм защиты, но не как основной, поскольку он довольно легко обходится злоумышленниками.
Разновидности технологий беспроводных сетей
Сейчас существуют четыре альтернативы: 802.11b, 802.11a, 802.11g и 802.11n. Эти технологии сравниваются в таблицах ниже.
Примечание: Представленный время передачи данных вычислено в идеальных условиях. Они необязательно достижимы в нормальных условиях из-за различий в оборудовании, интернета, условиях сетевого трафика и т.д..
802.11b
| Скорость | До 11 Мегабит в секунду |
|---|---|
| Преимущества | |
| Недостатки |
|
802.11a
| Скорость | до 54 Мбит/с |
|---|---|
| Преимущества |
|
| Недостатки |
|
802.11g
| Скорость | До 54 Мбит/с |
|---|---|
| Преимущества |
|
| Недостатки |
802.11n
| Скорость | В зависимости от количества потоков данных, которое поддерживает оборудование, стандарт 802.11n может передавать данные на скорости до 150 Мбит/с, 300 Мбит/с, 450 Мбит/с или 600 Мбит/с. |
|---|---|
| Преимущества |
|
| Недостатки |
|
Если в вашем компьютере более одного сетевого адаптера или ваш адаптер использует более одного стандарта, можно указать стандарт для каждого адаптера для каждого из сетевых подключений.
Например, если компьютер передает другим компьютерам в сети потоковые медиаданные, следует настроить его для использования подключения 802.11a или 802.11n, если это возможно, так как скорость передачи данных во время просмотра видео или прослушивания музыки увеличится.
Тип безопасности и шифрования беспроводной сети. Какой выбрать?
Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.
Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же. Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети
Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров
Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.
Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.
Выводы
Беспроводные сети предоставляют огромный объём статистической информации о работе их самих и их клиентов. Но чтобы такая информация имела смысл, необходимы аналитические средства, которые дают возможность понять, как работают приложения, кто, как и откуда подключается к сети, какое качество соединения обеспечивает сеть. Комплексный подход позволяет IT-специалистам видеть каждую точку доступа в отдельности и общую картину целиком, а также в дистанционном режиме определять и устранять неисправности в сети.
Сегодня всё больше компаний разворачивают свои корпоративные сети Wi-Fi именно в комплексном исполнении, и такое решение себя всегда оправдывает. Получить от беспроводной корпоративной сети преимущества и удобства можно только в том случае, если строить её по правилам. При грамотном построении беспроводная сеть будет:
- присутствовать на всей территории предприятия (там, где предполагается её наличие);
- составлять конкуренцию проводной передаче информации благодаря современным технологиям, повышающим скорость трафика в беспроводной сети;
- обеспечивать надёжную защиту корпоративных данных от злоумышленников.
Сеть Wi-Fi даёт компании преимущества и удобства в части увеличения общей производительности труда и мобильности сотрудников вкупе с бесперебойным доступом к информации в любой точке офиса или даже за его пределами. Она позволяет уменьшить расходы за счёт удобства, лёгкости в обслуживании и более эффективного использования пространства помещений и отсутствия проводов, предоставляет возможность легко и быстро подключиться к интернету гостям и клиентам, обеспечивает расширяемость сервисов и услуг: сегодня — для сотрудников, завтра — для промышленного оборудования, IoT и так далее.
Беспроводные сети востребованны везде: на производственных и промышленных предприятиях, в офисных центрах, в компаниях по оптовой и розничной торговле, гостиничных комплексах, транспортных предприятиях и т. п. Технология Wi-Fi хорошо зарекомендовала себя при работе как с мобильными устройствами, так и с различными средствами автоматизации бизнес-процессов. Современные технологии требуют интеграции различных систем друг с другом для решения поставленных задач, и Wi-Fi не является исключением. Как уже было сказано, для обеспечения удобств и преимуществ обязательно требуется комплексный подход к построению по-настоящему корпоративной беспроводной сети.
Также следует учитывать современные реалии и имеющиеся технологии при построении беспроводной сети. Обязательно надлежит включать Wi-Fi 6 в проект, так как сеть строится не на 1–2 года, а минимум лет на 5–7, а в ближайшие 2–3 года почти 100 % устройств будут совместимы с этим стандартом. Новый стандарт действительно включает в себя много хороших улучшений и разработок, и не учитывать его возможности было бы неправильно с точки зрения защиты инвестиций.
