Bezpieczeństwo UPC Wi-Free - certyfikat |
Autor |
Wiadomość |
Zuzia [Usunięty]
|
Wysłany: 03-09-2019, 14:16 Bezpieczeństwo UPC Wi-Free - certyfikat
|
|
|
Nowe wytyczne dla usługi Wi-Free: https://support-en.upc.ch/app/faq/a_id/9949/certificate-for-wi-free
Cytat: | Certificates are required for secure access to our Wi-Free service. The security of our Wi-Free service is very important to us, which is why we decided on the certificate-based security concept. The certificate solution minimises vulnerabilities which can be exploited by known attack methods and provides a maximum level of security. | Chodzi przede wszystkim o to, żeby nikt nie wykradł nam danych do logowania i nie zrobił złych rzeczy za ich pomocą. Użytkownik nigdy nie ma pewności, czy, łączy się z prawdziwym modemem z Wi-Free (i dalej z serwerem Radius UPC), czy z takim, który go udaje. Ochrona polega na połączeniu przy użyciu tunelowania TTLS wraz z certyfikatem. Taki typ połączenia przebiega w najważniejszym fragmencie komunikacji/autoryzacji mniej więcej tak: naprawdę jestem serwerem, z którym zamierzasz się połączyć, a oto certyfikat, który to potwierdza.
Na początek przepis dotyczący urządzeń z systemem Android (1.6 +). Przed instalacją certyfikatu może być wymagane ustawienie blokady ekranu (symbol, pin, lub hasło). W zależności od wersji systemu może być niezbędna zmiana rozszerzenia (z pem na crt, cer, cert) lub przekonwertowany na format der, tu do pobrania cała paczka: http://www.mediafire.com/...global.zip/file
Zainstalować można bezpośrednio z przeglądarki z tego linku: https://www.unitymedia.de...LGI_Root_CA.cer [Unitymedia to niemieckie UPC]
Lub zapisać na kartę SD i z niej dodać do systemu. Dalej prosto, wystarczy patrzeć na zrzuty i ich opisy.
PS. W następnych częściach będzie o Windows, LEDE/OpenWrt oraz o Linux.
Instalacja certyfikatu Wi-Free z karty SD.jpg Android (1.6 +) Przekopiować certyfikat na kartę SD do katalogu głównego i zainstalować przez opcję Instaluj z karty pamięci. Jeśli zostało ustalone hasło Credential storage, należy je podać. W przeciwnym wypadku zostaniemy poproszeni o jego ustawienie. |
|
Plik ściągnięto 11 raz(y) 71,23 KB |
Konfiguracja połączenia Wi-Free.jpg Android (1.6 +) Konfiguracja połączenia Wi-Free z certyfikatem. |
|
Plik ściągnięto 10 raz(y) 73,87 KB |
instalacja certyfikatu z poziomu przegladarki.jpg Android Oreo |
|
Plik ściągnięto 13 raz(y) 80,38 KB |
konfiguracja polaczenia.jpg Android Oreo
Konfiguracja połączenia Wi-Free z certyfikatem. |
|
Plik ściągnięto 7 raz(y) 130,81 KB |
|
|
|
|
|
ogromny
chello master
Pomógł: 7 razy Dołączył: 25 Wrz 2016 Posty: 1656
|
Wysłany: 04-09-2019, 12:13
|
|
|
Super poradnik. |
_________________
|
|
|
|
|
Zuzia [Usunięty]
|
Wysłany: 04-09-2019, 23:41
|
|
|
Pod Linuksem sprawa jest łatwiejsza niż pod Windows i pozostałymi systemami, wystarczy ustawić połączenie w Network-Manager jak na obrazku.
Podaję również konfigurację dla tych, którzy nie korzystają z trybu graficznego.
LINUX
/etc/wpa_supplicant/wpa_supplicant.conf
Kod: | ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
update_config=1
country=EU
fast_reauth=0
eapol_version=2
dot11RSNAConfigSATimeout=120
#filter_ssids=1
network={
scan_ssid=0
# ssid="UPC Wi-Free #sprawdzUPCMobile!"
bssid=11:22:33:44:55:66 #Adres MAC routera nadajacego Wi-Free
key_mgmt=WPA-EAP
pairwise=CCMP
proto=WPA2
eap=TTLS
phase1="peaplabel=1"
phase2="auth=MSCHAPV2"
ca_cert="/etc/ssl/certs/LGI_Root_CA.cer"
domain_suffix_match="wifi-auth.upc.biz"
identity="login"
password="hasło"
disabled=0
} |
Nawiązanie połączenia: Kod: | wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf
dhclient wlan0 |
Wi-Free uruchamiane ze startem systemu:
/etc/network/interfaces Kod: | allow-hotplug wlan0
iface wlan0 inet manual
wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
wpa_supplicant -B -Dwext -iwlan0 -c/etc/wpa_supplicant/wpa_supplicant.conf
###zamiast sterownika wext można użyć wired lub nl80211
post-up iwlist wlan0 scan
post-up dhclient wlan0
post-down killall -q wpa_supplicant |
LEDE, OpenWrt oraz Gargoyle
Wymaga pakietu wpad lub wpa-supplicant.
/etc/config/wireless Kod: | config wifi-iface
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2+ccmp'
option eap_type 'ttls'
option phase1 'peaplabel=1'
option phase2 'auth=MSCHAPV2'
option identity 'Twój login'
option password 'Twoje hasło'
option device 'radio0'
option mode 'sta'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer' #ścieżka do pliku z certyfikatem
option domain_suffix_match 'wifi-auth.upc.biz'
option wps_pushbutton '0' |
/etc/config/network
Kod: | config interface 'upcwifree'
option proto 'dhcp' |
/etc/config/firewall - przypisać do sekcji WAN:
Kod: | config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 upcwifree' |
Network-Manager.jpg
|
|
Plik ściągnięto 16 raz(y) 74,55 KB |
|
|
|
|
|
Nieznajomy
classic master
Pomógł: 6 razy Dołączył: 09 Maj 2019 Posty: 270
|
Wysłany: 05-09-2019, 23:37
|
|
|
Świetny poradnik!!
UPC go powinno udostępnić oficjalnie na swojej stronie |
|
|
|
|
Zuzia [Usunięty]
|
Wysłany: 11-09-2019, 10:53 Instalacja certyfikatu w Windows + SecureW2
|
|
|
Instalacja certyfikatu w Windows 10, nie wymaga komentarza, wszystko widać na obrazkach. Natomiast konfiguracja połączenia jest drogą przez mękę i pod różnymi wersjami Windows wygląda nieco inaczej. Jest pewne rozwiązanie, program SecureW2, który wspiera Windows począwszy od wersji 2000. Jest to darmowy trial do użytku niekomercyjnego (przed zainstalowaniem na strategicznym sprzęcie radzę przeczytać licencję):
https://www.securew2.com/...lient/download/
Instalacja certyfikatu 1.jpg
|
|
Plik ściągnięto 67 raz(y) 78,49 KB |
Instalacja certyfikatu 2.jpg
|
|
Plik ściągnięto 51 raz(y) 97,06 KB |
Instalacja certyfikatu 3.jpg
|
|
Plik ściągnięto 14 raz(y) 35,37 KB |
SecureW2 konfiguracja.jpg
|
|
Plik ściągnięto 59 raz(y) 231,03 KB |
|
|
|
|
|
-Zuzia
plus master
Pomogła: 9 razy Dołączyła: 27 Paź 2020 Posty: 600
|
Wysłany: 03-11-2020, 16:37 OpenWrt 19.07 oraz nowe Gargoyle - aktualizacja
|
|
|
Obecnie nie jest wymagana biblioteka libopenssl oraz pełna wersja wpad, wystarczy lżejsza wersja oparta na libwolfssl, instalacja wygląda następująco:
Kod: | opkg update
opkg remove wpad*
opkg install wpad-basic-wolfssl libwolfssl ca-bundle |
/etc/config/wireless
Kod: | config wifi-iface 'wifinet0'
option device 'radio0'
option mode 'sta'
option network 'upcwifree'
option ssid 'UPC Wi-Free #SprawdzUPCMobile!'
option encryption 'wpa2'
option eap_type 'ttls'
option auth 'MSCHAPV2'
option ca_cert '/etc/ssl/certs/LGI_Root_CA.cer'
option identity 'twoj login'
option password 'twoje haslo'
option disabled '0' |
/etc/config/network
Kod: | config interface 'upcwifree'
option proto 'dhcp'
option ipv6 '0'
option auto '1' |
Przypisać sieć upcwifree do sekcji WAN:
Kod: | uci set firewall.@zone[1].network='wan wan6 upcwifree'
uci commit firewall
/etc/init.d/firewall restart |
Pobrać certyfikat (plik LGI_Root_CA.cer) i skopiować programem winscp albo z Linuksa poleceniem:
scp LGI_Root_CA.cer root@192.168.1.1:/etc/ssl/certs/
Po restarcie routera nastąpi automatyczne połączenie z siecią UPC Wi-Free. |
_________________
|
|
|
|
|
max-bit
Klikacz
Dołączył: 21 Paź 2015 Posty: 10
|
Wysłany: 07-11-2020, 19:25
|
|
|
cos to nie działa
Uzyłem routera tplink WR1043ND v 1.5 ....
Wywala wireless is not associated |
|
|
|
|
max-bit
Klikacz
Dołączył: 21 Paź 2015 Posty: 10
|
Wysłany: 07-11-2020, 19:45
|
|
|
to jeszcze błędy ...
Sat Nov 7 18:31:05 2020 daemon.notice wpa_supplicant[1435]: Successfully initialized wpa_supplicant
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 7: unknown network field 'ca_cert'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 8: unknown network field 'identity'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 9: unknown network field 'password'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 10: unknown network field 'phase2'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 11: unknown network field 'eap'.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Line 14: failed to parse network block.
Sat Nov 7 18:31:05 2020 daemon.err wpa_supplicant[1435]: Failed to read or parse configuration '/var/run/wpa_supplicant-wlan0.conf'.
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): cat: can't open '/var/run/wpa_supplicant-wlan0.pid': No such file or directory
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): WARNING (wireless_add_process): executable path /usr/sbin/wpad does not match process path (/proc/exe)
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Command failed: Invalid argument
Sat Nov 7 18:31:05 2020 daemon.notice netifd: radio0 (1181): Interface 0 setup failed: WPA_SUPPLICANT_FAILED
Tak na mój gust nie łapie eap ? |
|
|
|
|
-Zuzia
plus master
Pomogła: 9 razy Dołączyła: 27 Paź 2020 Posty: 600
|
|
|
|
|
max-bit
Klikacz
Dołączył: 21 Paź 2015 Posty: 10
|
Wysłany: 07-11-2020, 20:11
|
|
|
na czym to działa i dlaczego skad te błedy ? |
|
|
|
|
-Zuzia
plus master
Pomogła: 9 razy Dołączyła: 27 Paź 2020 Posty: 600
|
|
|
|
|
-Zuzia
plus master
Pomogła: 9 razy Dołączyła: 27 Paź 2020 Posty: 600
|
Wysłany: 07-11-2020, 21:42 OpenWrt 19.07 - konfiguracja w Luci
|
|
|
Przedstawioną powyżej konfigurację można wyklinać za pomocą interfejsu graficznego Luci.
Skanowanie i dołaczenie sieci.jpg Przeskanować sieci i wybrać z najsilniejszym sygnałem i tę dołączyć. |
|
Plik ściągnięto 104 raz(y) 58,99 KB |
1 - Ustawienia ogólne.jpg
|
|
Plik ściągnięto 109 raz(y) 103,95 KB |
2 - Ustawienia zaawansowane.jpg
|
|
Plik ściągnięto 89 raz(y) 81,24 KB |
3 - Zabezpieczenia sieci bezprzewodowych.jpg
|
|
Plik ściągnięto 127 raz(y) 122,05 KB |
|
_________________
|
|
|
|
|
|