Jump to content
  • 52

WPA2-Enterprise


VovanVE

Question

Добрый день.

Такой вопрос: планируется ли добавление в прошивки Keenetic (конкретно интересует Ultra) поддержки EAP (для аутентификации на точке доступа через Radius)?

Возможно ли это в принципе?

Спасибо.

 

  • Thanks 3
  • Upvote 4
Link to comment
Share on other sites

Recommended Posts

  • 1

Считается, что в домашнем роутере Enterprise не нужен. opkg тут не поможет. Есть реализация в драйвере Wi-Fi, но параметры в CLI не вынесены. Перенесём тему в Развитие. Интересно плюсанёт кто-нибудь или нет.

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

Link to comment
Share on other sites

  • 0

Есть ли на Giga III в каком то хоть состоянии WPA2 Enterprise, ибо взламывать WPA2 уже заколебали, на линухе radius сервак запилил, а использовать никак. Будет ли добавлена поддержка?

Edited by Андрей Щербаков
Link to comment
Share on other sites

  • 0
3 минуты назад, ndm сказал:

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

Если кто-то напишет инструкцию по настройке RADIUS-сервера для Entware-*, заинтересованные наверняка подымут. Большинство даже дешевых роутеров WPA2-Enterprise поддерживает (насколько адекватно работает - это уже другой вопрос)

Link to comment
Share on other sites

  • 0

https://forum.keenetic.net/topic/768-eap/ @ndmEDIT: объединили тему

- не ново под луной, но попробуем :)

1 час назад, KorDen сказал:

RADIUS-сервера для Entware

говорят, этот неплохой, есть порт под windows .. а так windows server нативно и другие за деньги.

Link to comment
Share on other sites

  • 0
10 часов назад, ndm сказал:

Считается, что в домашнем роутере Enterprise не нужен. opkg тут не поможет. Есть реализация в драйвере Wi-Fi, но параметры в CLI не вынесены. Перенесём тему в Развитие. Интересно плюсанёт кто-нибудь или нет.

Основная проблема, что по-нормальному нужно делать и сам RADIUS-сервер. Отдельно поднимать мало кто захочет.

Один "умный" человек закупил в организацию, пользователей на сервере я завел, да и сам сервер поднял, осталось настроить роутер. ии.. по моему только прошивка от padavana поддерживает WPA2 Enterprise. А так разворачивать RADIUS-сервер на роутере не думаю что хорошая идея. Я уже и скрывал точку доступа, и пароль сложный делал, и названия меняю, в любом случае угоняют и в dhcp-leases появляются посторонние.

Link to comment
Share on other sites

  • 0
6 часов назад, Андрей Щербаков сказал:

Я уже и скрывал точку доступа, и пароль сложный делал, и названия меняю, в любом случае угоняют и в dhcp-leases появляются посторонние

Таких наглых медвежатников, чтобы щелкали ptk как семечки, а потом еще вставали под фонарь dhcp еще поискать надо .. это юзеры кладут болт на политику безопасности или какой-нибудь клиент скомпрометирован по полной бортовым кейлоггером местного кулхацкера ради какой-то идеи или от нечего делать.

Link to comment
Share on other sites

  • 0

Если выведут в Cli могу помочь с тестированием. FreeRadius уже развернут.

Сам радиус сервер достаточно запилить в старших моделях(Ultra 2, Giga 3) остальные от них как ТД.

Link to comment
Share on other sites

  • 0
2 часа назад, IgaX сказал:

Таких наглых медвежатников, чтобы щелкали ptk как семечки, а потом еще вставали под фонарь dhcp еще поискать надо .. это юзеры кладут болт на политику безопасности или какой-нибудь клиент скомпрометирован по полной бортовым кейлоггером местного кулхацкера ради какой-то идеи или от нечего делать.

Дело в том, что есть ноутбук с подключенным Wi-Fi, и они с него угоняют данные, к сожалению от этого никак не избавится, если не ввести в строй Radius-сервер с EAP аутентификацией, тогда будет видно, сколько клиентов на одной учетке.

Link to comment
Share on other sites

  • 0

С каких пор wpa2 взломан? Взлом сети wifi зависит от вашего пароля. Чем сложнее и длинее пароль тем сложнее взламывать. Считается что пароль длиной в 20 символов уже невозможно взломать. У меня к примеру пароль на 50 символов. Хрен кто взломает его.  Для ввода пароля я использую либо qr code, либо временно включаю wps.  Так что с вводом такого длиного пароля проблем нету.

Link to comment
Share on other sites

  • 0
1 час назад, pachalia сказал:

Считается что пароль длиной в 20 символов уже невозможно взломать

Но без поддержки 802.11w можно сделать жизнь невыносимой и на wpa2 .. тут как бы есть еще куда двигаться.

Link to comment
Share on other sites

  • 0

@McMCC , @pachalia, так речь ведь о том и идет, что делятся ключом. Когда много ПК, ключ быстро перетекает с ноутбуков на смартфоны, а оттуда и куда угодно еще.

В небольших организациях (10-30 человек), далеких от IT чаще всего стоят SOHO-роутеры (большего и не надо), и очень хорошо если это будет Zyxel/Mikrotik или Asus/TP-Link на альтернативных прошивках, у нас чаще длинки в нагрузку от провайдера или еще чего веселее встречаю.

Если это бизнес-центр или другое здание с кучей организаций, то при увеличении числа сотрудников пароль может "по знакомству" утечь соседям, а менять периодически на всех девайсах задолбаешься - проще запустить радиус.

Link to comment
Share on other sites

  • 0

В нормальных организациях где за безопастностью следят все на сертификатах с единым управлением, а не на soho роутерах.  :grin:

Link to comment
Share on other sites

  • 0
13 минуты назад, r13 сказал:

В нормальных организациях где за безопастностью следят все на сертификатах с единым управлением, а не на soho роутерах.  :grin:

Вы где-нибудь видели, чтобы в мелких (10-40 человек) не-IT/не-банковских организациях, зачастую без штатного эникея, была хоть какая-то безопасность? Да даже в больших в российских реалиях все чаще всего через одно место, что уж говорить о мелких...

А так - SOHO подразумевает в том числе небольшие офисы...

Link to comment
Share on other sites

  • 0
В 24.03.2017 в 22:17, KorDen сказал:

Если кто-то напишет инструкцию по настройке RADIUS-сервера для Entware-*, заинтересованные наверняка подымут.

https://github.com/Entware-ng/Entware-ng/wiki/Using-Freeradius

 

Link to comment
Share on other sites

  • 0
3 часа назад, KorDen сказал:

@McMCC , @pachalia, так речь ведь о том и идет, что делятся ключом. Когда много ПК, ключ быстро перетекает с ноутбуков на смартфоны, а оттуда и куда угодно еще.

Есть один малеький нюанс. Во первых, доступ к wps есть только у администратора. Во вторых чем сложнее пароль тем сложнее его будет передавать. Я знаю что к примеру на windows можно посмотреть пароль и то помойму не во всех версиях это можно сделать. А вот в андроиде чтобы получить доступ к паролю аппарат должен быть рутован.

Link to comment
Share on other sites

  • 0
8 минут назад, pachalia сказал:

Во первых, доступ к wps есть только у администратора. Во вторых чем сложнее пароль тем сложнее его будет передавать. Я знаю что к примеру на windows можно посмотреть пароль и то помойму не во всех версиях это можно сделать. А вот в андроиде чтобы получить доступ к паролю аппарат должен быть рутован.

WPS тут ни при чем. Длина пароля на сложность его передачи не влияет, можно отправить хоть мессенджером. В Windows как минимум начиная с Win7 можно просмотреть пароль,

По андроиду - скажем, оболочка MIUI (Xiaomi) позволяет штатно "поделиться сетью" в виде QR-кода, еще в какой-то оболочке видел нечто подобное.

Edited by KorDen
Link to comment
Share on other sites

  • 0
40 минут назад, pachalia сказал:

wps

WPS с пином в любом случае риск.

1 час назад, Александр Рыжов сказал:

А с перламутровыми пуговицами в виде Easy-2-Use App и PEAPv0/EAP-MSCHAPv2 можно? ;)

Домохозяйки и их коты оценят раздельные учетки и вроде как универсальную нативную поддержку со времен XP :)

Edited by IgaX
Link to comment
Share on other sites

  • 0
11 час назад, IgaX сказал:

А с перламутровыми пуговицами в виде Easy-2-Use App и PEAPv0/EAP-MSCHAPv2 можно?

Не пробовал. Как часто (и справедливо) говорит тов. @zyxmon, спасение утопающих — дело рук самих утопающих. Дерзайте!

  • Thanks 1
Link to comment
Share on other sites

  • 0
49 минут назад, pachalia сказал:

А доступ по  mac адресам чем не устраивает?

1) Максимум 64 записи на каждый ACL, а если надо больше?

2) Говорят, не смотря на запреты, все примерно настолько просто:
https://4pda.ru/forum/index.php?showtopic=650682
https://4pda.ru/forum/index.php?showtopic=543627
итп.

+ для Вашего удобства данные по клиентам:

Скрытый текст

datos-modo-monitor-2-1200x254.png

shuffle.gif

Link to comment
Share on other sites

  • 0

На данный момент вопрос становится очень интересным. С одной стороны, поддержка RADIUS уже есть для "captive portal". То есть, расширить использование уже готового модуля реально и без использования ENTWARE. Просто нужно определиться с целью. Я предполагаю, что все посетители форума скажут "хотим все и еще немного"... А программистам придется, как всегда, исходить из возможного. Если... А вот теперь на счет "если".

Есть моменты позиционирования Кинетиков на рынке с точки зрения маркетинга и допустима ли для них конкуренция даже в нижнем сегменте с продукцией Zyxel... Это уже интересный момент взаимодействия материнской и дочерней компании. Полную информацию на эту тему нам все равно не скажут (я бы не рассказал), поскольку наверняка многое попадает под понятие "коммерческая тайна" со всеми вытекающими...

Link to comment
Share on other sites

  • 0

Здравствуйте всем. Знаю, что уже на форуме задавался такой вопрос, но так как решения так и нет, то хочу поднять данную "проблему" снова.

Очень  не хватает настройки WPA2-Enterprise в разделе Wi-Fi. Хоть и модели Keenetic считаются домашними, но некоторые модели в этой серии достаточно мощны для небольших офисов. И как раз такой опции ну совсем не хватает. Конечно можно прикупить точки доступа и в них это есть, но тогда получается, что покупая старшую модель роутера я "кастрирую" её отключением встроенного Wi-Fi. При этом в роутерах есть Captive Portal который как по мне (если считать данную серию домашней) совсем не нужен (понимаю, что он не из коробки есть, а устанавливается отдельно).

Одним словом. После переписывания с техподдержкой, техподдержка рекомендовала мне создать тему на данном форуме. И если (по утверждению техподдержки) будет достаточно (интересно правда сколько это) голосов, то возможно что-то изменится.

Link to comment
Share on other sites

  • 0

Здравствуйте всем.

Очень  не хватает настройки WPA2-Enterprise в разделе Wi-Fi. Хоть и модели Keenetic считаются домашними, но некоторые модели в этой серии достаточно мощны для небольших офисов. И как раз такой опции ну совсем не хватает. Конечно можно прикупить точки доступа и в них это есть, но тогда получается, что покупая старшую модель роутера я "кастрирую" её отключением встроенного Wi-Fi. При этом в роутерах есть Captive Portal который как по мне (если считать данную серию домашней) совсем не нужен (понимаю, что он не из коробки есть, а устанавливается отдельно).

Одним словом. После переписывания с техподдержкой, техподдержка рекомендовала мне создать тему на данном форуме. И если (по утверждению техподдержки) будет достаточно (интересно правда сколько это) голосов, то возможно что-то изменится.

Link to comment
Share on other sites

  • 0

Поддержка WPA2 Enterprise возможна только на уровне точки доступа (AP). Для клиента (AP-Client) поддержки нет от вендора и не планируется. Мы обсудим с руководством поддержку WPA2 Enterprise для точек доступа в 2.13 прошивке, в 2.12 ее точно не будет.

  • Thanks 1
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...