Forum MediaSwiat Strona Główna
FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Poprzedni temat «» Następny temat
Bezpieczeństwo UPC Wi-Free - certyfikat
Autor Wiadomość
Zuzia
[Usunięty]

Wysłany: 03-09-2019, 13:16   Bezpieczeństwo UPC Wi-Free - certyfikat

Nowe wytyczne dla usługi Wi-Free: https://support-en.upc.ch/app/faq/a_id/9949/certificate-for-wi-free
Cytat:
Certificates are required for secure access to our Wi-Free service. The security of our Wi-Free service is very important to us, which is why we decided on the certificate-based security concept. The certificate solution minimises vulnerabilities which can be exploited by known attack methods and provides a maximum level of security.
Chodzi przede wszystkim o to, żeby nikt nie wykradł nam danych do logowania i nie zrobił złych rzeczy za ich pomocą. Użytkownik nigdy nie ma pewności, czy, łączy się z prawdziwym modemem z Wi-Free (i dalej z serwerem Radius UPC), czy z takim, który go udaje. Ochrona polega na połączeniu przy użyciu tunelowania TTLS wraz z certyfikatem. Taki typ połączenia przebiega w najważniejszym fragmencie komunikacji/autoryzacji mniej więcej tak: naprawdę jestem serwerem, z którym zamierzasz się połączyć, a oto certyfikat, który to potwierdza.


Na początek przepis dotyczący urządzeń z systemem Android (1.6 +). Przed instalacją certyfikatu może być wymagane ustawienie blokady ekranu (symbol, pin, lub hasło). W zależności od wersji systemu może być niezbędna zmiana rozszerzenia (z pem na crt, cer, cert) lub przekonwertowany na format der, tu do pobrania cała paczka: http://www.mediafire.com/...global.zip/file

Zainstalować można bezpośrednio z przeglądarki z tego linku: https://www.unitymedia.de...LGI_Root_CA.cer [Unitymedia to niemieckie UPC]
Lub zapisać na kartę SD i z niej dodać do systemu. Dalej prosto, wystarczy patrzeć na zrzuty i ich opisy.

PS. W następnych częściach będzie o Windows, LEDE/OpenWrt oraz o Linux.

Instalacja certyfikatu Wi-Free z karty SD.jpg
Android (1.6 +)
Przekopiować certyfikat na kartę SD do katalogu głównego i zainstalować przez opcję Instaluj z karty pamięci.
Jeśli zostało ustalone hasło Credential storage, należy je podać. W przeciwnym wypadku zostaniemy poproszeni o jego ustawienie.
Plik ściągnięto 11 raz(y) 71,23 KB

Konfiguracja połączenia Wi-Free.jpg
Android (1.6 +)
Konfiguracja połączenia Wi-Free z certyfikatem.
Plik ściągnięto 8 raz(y) 73,87 KB

instalacja certyfikatu z poziomu przegladarki.jpg
Android Oreo
Plik ściągnięto 13 raz(y) 80,38 KB

konfiguracja polaczenia.jpg
Android Oreo

Konfiguracja połączenia Wi-Free z certyfikatem.
Plik ściągnięto 7 raz(y) 130,81 KB

 
 
ogromny 
chello master

Pomógł: 7 razy
Dołączył: 25 Wrz 2016
Posty: 1650
Wysłany: 04-09-2019, 11:13   

Super poradnik.
_________________
  ogromny
 
Zuzia
[Usunięty]

Wysłany: 04-09-2019, 22:41   

Pod Linuksem sprawa jest łatwiejsza niż pod Windows i pozostałymi systemami, wystarczy ustawić połączenie w Network-Manager jak na obrazku.

Podaję również konfigurację dla tych, którzy nie korzystają z trybu graficznego.


LINUX
/etc/wpa_supplicant/wpa_supplicant.conf
Kod:
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
update_config=1
country=EU
fast_reauth=0
eapol_version=2
dot11RSNAConfigSATimeout=120
#filter_ssids=1

network={
scan_ssid=0
# ssid="UPC Wi-Free #sprawdzUPCMobile!"
bssid=11:22:33:44:55:66 #Adres MAC routera nadajacego Wi-Free
key_mgmt=WPA-EAP
pairwise=CCMP
proto=WPA2
eap=TTLS
phase1="peaplabel=1"
phase2="auth=MSCHAPV2"
ca_cert="/etc/ssl/certs/LGI_Root_CA.cer"
domain_suffix_match="wifi-auth.upc.biz"
identity="login"
password="hasło"
disabled=0
}

Nawiązanie połączenia:
Kod:
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf

dhclient wlan0

Wi-Free uruchamiane ze startem systemu:
/etc/network/interfaces
Kod:
allow-hotplug wlan0
iface wlan0 inet manual
wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf
###zamiast sterownika wext można użyć wired lub nl80211
post-up iwlist wlan0 scan
post-up dhclient wlan0
post-down killall -q wpa_supplicant



LEDE, OpenWrt oraz Gargoyle
Wymaga pakietu wpad lub wpa-supplicant.
/etc/config/wireless
Kod:
config wifi-iface
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2+ccmp'
option eap_type 'ttls'
option phase1 'peaplabel=1'
option phase2 'auth=MSCHAPV2'
option identity 'Twój login'
option password 'Twoje hasło'
option device 'radio0'
option mode 'sta'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer' #ścieżka do pliku z certyfikatem
option domain_suffix_match 'wifi-auth.upc.biz'
option wps_pushbutton '0'

/etc/config/network
Kod:
config interface 'upcwifree'
    option proto 'dhcp'

/etc/config/firewall - przypisać do sekcji WAN:
Kod:
config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan wan6 upcwifree'


Network-Manager.jpg
Plik ściągnięto 14 raz(y) 74,55 KB

 
 
Nieznajomy 
classic master

Pomógł: 6 razy
Dołączył: 09 Maj 2019
Posty: 270
Wysłany: 05-09-2019, 22:37   

Świetny poradnik!!

UPC go powinno udostępnić oficjalnie na swojej stronie
 
 
Zuzia
[Usunięty]

Wysłany: 11-09-2019, 09:53   Instalacja certyfikatu w Windows + SecureW2

Instalacja certyfikatu w Windows 10, nie wymaga komentarza, wszystko widać na obrazkach. Natomiast konfiguracja połączenia jest drogą przez mękę i pod różnymi wersjami Windows wygląda nieco inaczej. Jest pewne rozwiązanie, program SecureW2, który wspiera Windows począwszy od wersji 2000. Jest to darmowy trial do użytku niekomercyjnego (przed zainstalowaniem na strategicznym sprzęcie radzę przeczytać licencję):
https://www.securew2.com/...lient/download/

Instalacja certyfikatu 1.jpg
Plik ściągnięto 67 raz(y) 78,49 KB

Instalacja certyfikatu 2.jpg
Plik ściągnięto 51 raz(y) 97,06 KB

Instalacja certyfikatu 3.jpg
Plik ściągnięto 14 raz(y) 35,37 KB

SecureW2 konfiguracja.jpg
Plik ściągnięto 59 raz(y) 231,03 KB

 
 
-Zuzia 
plus master


Pomogła: 9 razy
Dołączyła: 27 Paź 2020
Posty: 600
Wysłany: 03-11-2020, 16:37   OpenWrt 19.07 oraz nowe Gargoyle - aktualizacja

Obecnie nie jest wymagana biblioteka libopenssl oraz pełna wersja wpad, wystarczy lżejsza wersja oparta na libwolfssl, instalacja wygląda następująco:
Kod:
opkg update
opkg remove wpad*
opkg install wpad-basic-wolfssl libwolfssl ca-bundle

/etc/config/wireless
Kod:
config wifi-iface 'wifinet0'
    option device 'radio0'
    option mode 'sta'
    option network 'upcwifree'
    option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
    option encryption 'wpa2'
    option eap_type 'ttls'
    option auth 'MSCHAPV2'
    option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer'
    option identity 'twoj login'
    option password 'twoje haslo'
    option disabled '0'

/etc/config/network
Kod:
config interface 'upcwifree'
    option proto 'dhcp'
    option ipv6 '0'
    option auto '1'

Przypisać sieć upcwifree do sekcji WAN:
Kod:
uci set firewall.@zone[1].network='wan wan6 upcwifree'
uci commit firewall
/etc/init.d/firewall restart

Pobrać certyfikat (plik LGI_Root_CA.cer) i skopiować programem winscp albo z Linuksa poleceniem:
scp LGI_Root_CA.cer root@192.168.1.1:/etc/ssl/certs/

Po restarcie routera nastąpi automatyczne połączenie z siecią UPC Wi-Free.
_________________
  -Zuzia
 
max-bit 
Klikacz

Dołączył: 21 Paź 2015
Posty: 10
Wysłany: 07-11-2020, 19:25   

cos to nie działa

Uzyłem routera tplink WR1043ND v 1.5 ....
Wywala wireless is not associated
 
 
max-bit 
Klikacz

Dołączył: 21 Paź 2015
Posty: 10
Wysłany: 07-11-2020, 19:45   

to jeszcze błędy ...
Sat Nov 7 18:31:05 2020 daemon.notice wpa_supplicant[1435]: Successfully initialized wpa_supplicant
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 7: unknown network field 'ca_cert'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 8: unknown network field 'identity'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 9: unknown network field 'password'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 10: unknown network field 'phase2'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 11: unknown network field 'eap'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 14: failed to parse network block.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Failed to read or parse configuration '/var/run/wpa_supplicant-wlan0.conf'.
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): cat: can't open '/var/run/wpa_supplicant-wlan0.pid': No such file or directory
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): WARNING (wireless_add_process): executable path /usr/sbin/wpad does not match process path (/proc/exe)
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Command failed: Invalid argument
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Interface 0 setup failed: WPA_SUPPLICANT_FAILED

Tak na mój gust nie łapie eap ?
 
 
-Zuzia 
plus master


Pomogła: 9 razy
Dołączyła: 27 Paź 2020
Posty: 600
Wysłany: 07-11-2020, 20:01   

max-bit, to jest poradnik, dyskusja tutaj: https://forum.mediaswiat.pl/viewtopic.php?t=8625
Odnośnie OpenWrt: https://eko.one.pl/forum/viewtopic.php?id=17720

PS. Konfiguracja podana przeze mnie jest prawidłowa.
_________________
  -Zuzia
 
max-bit 
Klikacz

Dołączył: 21 Paź 2015
Posty: 10
Wysłany: 07-11-2020, 20:11   

na czym to działa i dlaczego skad te błedy ?
 
 
-Zuzia 
plus master


Pomogła: 9 razy
Dołączyła: 27 Paź 2020
Posty: 600
Wysłany: 07-11-2020, 20:23   

Pisz proszę w wątku dedykowanym do dyskusji: https://forum.mediaswiat.pl/viewtopic.php?p=221940&highlight=#221940
_________________
  -Zuzia
 
-Zuzia 
plus master


Pomogła: 9 razy
Dołączyła: 27 Paź 2020
Posty: 600
Wysłany: 07-11-2020, 21:42   OpenWrt 19.07 - konfiguracja w Luci

Przedstawioną powyżej konfigurację można wyklinać za pomocą interfejsu graficznego Luci.

Skanowanie i dołaczenie sieci.jpg
Przeskanować sieci i wybrać z najsilniejszym sygnałem i tę dołączyć.
Plik ściągnięto 103 raz(y) 58,99 KB

1 - Ustawienia ogólne.jpg
Plik ściągnięto 109 raz(y) 103,95 KB

2 - Ustawienia zaawansowane.jpg
Plik ściągnięto 89 raz(y) 81,24 KB

3 - Zabezpieczenia sieci bezprzewodowych.jpg
Plik ściągnięto 127 raz(y) 122,05 KB

_________________
  -Zuzia
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Komentarze napisane przez użytkowników tego forum są ich prywatnymi opiniami.
Wortal chelloPL oraz MediaŚwiat jak również żaden z administratorów/moderatorów nie ponosi odpowiedzialności za treść komentarzy.

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,37 sekundy. Zapytań do SQL: 15
Polecane serwisy

Grupa


Aktualności: