Zobacz temat - Bezpieczeństwo UPC Wi-Free

Forum MediaSwiat
Niezależny wortal informacyjny MediaŚwiat - wszystko o usługach dostępu do Internetu, telewizji, telefonie.

Internet UPC - Bezpieczeństwo UPC Wi-Free - certyfikat

Zuzia - 03-09-2019, 14:16
Temat postu: Bezpieczeństwo UPC Wi-Free - certyfikat

Nowe wytyczne dla usługi Wi-Free: https://support-en.upc.ch/app/faq/a_id/9949/certificate-for-wi-free

Cytat:

Certificates are required for secure access to our Wi-Free service. The security of our Wi-Free service is very important to us, which is why we decided on the certificate-based security concept. The certificate solution minimises vulnerabilities which can be exploited by known attack methods and provides a maximum level of security.

Chodzi przede wszystkim o to, żeby nikt nie wykradł nam danych do logowania i nie zrobił złych rzeczy za ich pomocą. Użytkownik nigdy nie ma pewności, czy, łączy się z prawdziwym modemem z Wi-Free (i dalej z serwerem Radius UPC), czy z takim, który go udaje. Ochrona polega na połączeniu przy użyciu tunelowania TTLS wraz z certyfikatem. Taki typ połączenia przebiega w najważniejszym fragmencie komunikacji/autoryzacji mniej więcej tak: naprawdę jestem serwerem, z którym zamierzasz się połączyć, a oto certyfikat, który to potwierdza.

Na początek przepis dotyczący urządzeń z systemem Android (1.6 +). Przed instalacją certyfikatu może być wymagane ustawienie blokady ekranu (symbol, pin, lub hasło). W zależności od wersji systemu może być niezbędna zmiana rozszerzenia (z pem na crt, cer, cert) lub przekonwertowany na format der, tu do pobrania cała paczka: http://www.mediafire.com/...global.zip/file

Zainstalować można bezpośrednio z przeglądarki z tego linku: https://www.unitymedia.de...LGI_Root_CA.cer [Unitymedia to niemieckie UPC]
Lub zapisać na kartę SD i z niej dodać do systemu. Dalej prosto, wystarczy patrzeć na zrzuty i ich opisy.

PS. W następnych częściach będzie o Windows, LEDE/OpenWrt oraz o Linux.

ogromny - 04-09-2019, 12:13

Super poradnik.

Zuzia - 04-09-2019, 23:41

Pod Linuksem sprawa jest łatwiejsza niż pod Windows i pozostałymi systemami, wystarczy ustawić połączenie w Network-Manager jak na obrazku.

Podaję również konfigurację dla tych, którzy nie korzystają z trybu graficznego.

LINUX
/etc/wpa_supplicant/wpa_supplicant.conf

Kod:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
update_config=1
country=EU
fast_reauth=0
eapol_version=2
dot11RSNAConfigSATimeout=120
#filter_ssids=1

network={
scan_ssid=0
# ssid="UPC Wi-Free #sprawdzUPCMobile!"
bssid=11:22:33:44:55:66 #Adres MAC routera nadajacego Wi-Free
key_mgmt=WPA-EAP
pairwise=CCMP
proto=WPA2
eap=TTLS
phase1="peaplabel=1"
phase2="auth=MSCHAPV2"
ca_cert="/etc/ssl/certs/LGI_Root_CA.cer"
domain_suffix_match="wifi-auth.upc.biz"
identity="login"
password="hasło"
disabled=0
}

Nawiązanie połączenia:

Kod:

wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf

dhclient wlan0

Wi-Free uruchamiane ze startem systemu:
/etc/network/interfaces

Kod:

allow-hotplug wlan0
iface wlan0 inet manual
wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf
###zamiast sterownika wext można użyć wired lub nl80211
post-up iwlist wlan0 scan
post-up dhclient wlan0
post-down killall -q wpa_supplicant

LEDE, OpenWrt oraz Gargoyle
Wymaga pakietu wpad lub wpa-supplicant.
/etc/config/wireless

Kod:

config wifi-iface
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2+ccmp'
option eap_type 'ttls'
option phase1 'peaplabel=1'
option phase2 'auth=MSCHAPV2'
option identity 'Twój login'
option password 'Twoje hasło'
option device 'radio0'
option mode 'sta'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer' #ścieżka do pliku z certyfikatem
option domain_suffix_match 'wifi-auth.upc.biz'
option wps_pushbutton '0'

/etc/config/network

Kod:

config interface 'upcwifree'
option proto 'dhcp'

/etc/config/firewall - przypisać do sekcji WAN:

Kod:

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 upcwifree'

Nieznajomy - 05-09-2019, 23:37

Świetny poradnik!!

UPC go powinno udostępnić oficjalnie na swojej stronie

Zuzia - 11-09-2019, 10:53
Temat postu: Instalacja certyfikatu w Windows + SecureW2

Instalacja certyfikatu w Windows 10, nie wymaga komentarza, wszystko widać na obrazkach. Natomiast konfiguracja połączenia jest drogą przez mękę i pod różnymi wersjami Windows wygląda nieco inaczej. Jest pewne rozwiązanie, program SecureW2, który wspiera Windows począwszy od wersji 2000. Jest to darmowy trial do użytku niekomercyjnego (przed zainstalowaniem na strategicznym sprzęcie radzę przeczytać licencję):
https://www.securew2.com/...lient/download/

-Zuzia - 03-11-2020, 16:37
Temat postu: OpenWrt 19.07 oraz nowe Gargoyle - aktualizacja

Obecnie nie jest wymagana biblioteka libopenssl oraz pełna wersja wpad, wystarczy lżejsza wersja oparta na libwolfssl, instalacja wygląda następująco:

Kod:

opkg update
opkg remove wpad*
opkg install wpad-basic-wolfssl libwolfssl ca-bundle

/etc/config/wireless

Kod:

config wifi-iface 'wifinet0'
option device 'radio0'
option mode 'sta'
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2'
option eap_type 'ttls'
option auth 'MSCHAPV2'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer'
option identity 'twoj login'
option password 'twoje haslo'
option disabled '0'

/etc/config/network

Kod:

config interface 'upcwifree'
option proto 'dhcp'
option ipv6 '0'
option auto '1'

Przypisać sieć upcwifree do sekcji WAN:

Kod:

uci set firewall.@zone[1].network='wan wan6 upcwifree'
uci commit firewall
/etc/init.d/firewall restart

Pobrać certyfikat (plik LGI_Root_CA.cer) i skopiować programem winscp albo z Linuksa poleceniem:
scp LGI_Root_CA.cer root@192.168.1.1:/etc/ssl/certs/

Po restarcie routera nastąpi automatyczne połączenie z siecią UPC Wi-Free.

max-bit - 07-11-2020, 19:25

cos to nie działa

Uzyłem routera tplink WR1043ND v 1.5 ....
Wywala wireless is not associated

max-bit - 07-11-2020, 19:45

to jeszcze błędy ...
Sat Nov 7 18:31:05 2020 daemon.notice wpa_supplicant[1435]: Successfully initialized wpa_supplicant
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 7: unknown network field 'ca_cert'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 8: unknown network field 'identity'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 9: unknown network field 'password'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 10: unknown network field 'phase2'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 11: unknown network field 'eap'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 14: failed to parse network block.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Failed to read or parse configuration '/var/run/wpa_supplicant-wlan0.conf'.
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): cat: can't open '/var/run/wpa_supplicant-wlan0.pid': No such file or directory
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): WARNING (wireless_add_process): executable path /usr/sbin/wpad does not match process path (/proc/exe)
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Command failed: Invalid argument
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Interface 0 setup failed: WPA_SUPPLICANT_FAILED

Tak na mój gust nie łapie eap ?

-Zuzia - 07-11-2020, 20:01

max-bit, to jest poradnik, dyskusja tutaj: https://forum.mediaswiat.pl/viewtopic.php?t=8625
Odnośnie OpenWrt: https://eko.one.pl/forum/viewtopic.php?id=17720

PS. Konfiguracja podana przeze mnie jest prawidłowa.

max-bit - 07-11-2020, 20:11

na czym to działa i dlaczego skad te błedy ?

-Zuzia - 07-11-2020, 20:23

Pisz proszę w wątku dedykowanym do dyskusji: https://forum.mediaswiat.pl/viewtopic.php?p=221940&highlight=#221940

-Zuzia - 07-11-2020, 21:42
Temat postu: OpenWrt 19.07 - konfiguracja w Luci

Przedstawioną powyżej konfigurację można wyklinać za pomocą interfejsu graficznego Luci.