Configuração de WiFi MikroTik EAP-TLS usando certificados

Usando certificados EAP-TLS para autenticar clientes WiFi:

Vantagens:

• Controle de acesso granular : o acesso pode ser concedido e restrito com base em certificado , ao contrário da autenticação WPA2, onde todos os usuários compartilham a mesma senha para o SSID
• Validação de identidade : a autenticação de senha WPA2 prova apenas que um usuário de WiFi conectado conhece uma senha. Um certificado valida a identidade dos usuários e do AP ao qual eles estão se conectando
• Tráfego criptografado entre cliente e roteador : A parte " TLS " de "EAP- TLS " garante que o tráfego entre cliente e roteador seja criptografado. O que é bem legal...

Desvantagens:

• Maior carga administrativa : Criar certificados para cada usuário WiFi e configurar seu acesso requer mais esforço do que definir uma senha compartilhada.
• Inadequado para redes públicas : hotéis, aeroportos, cafés, etc., não podem configurar o acesso baseado em certificado para suas grandes populações de usuários WiFi transitórios.

COMO COMPATIBILIDADE:

• Versões do RouterOS : Os procedimentos foram documentados e desenvolvidos usando ***RouterOS v6.45.1 a v 6.46 ***. Testado e conhecido por funcionar corretamente a partir de 20191214.

• Procedimentos de criação de certificados : Testado e conhecido por funcionar com clientes IOS 11-13.3 e OSX Mojave e Catalina. YMMV se conectar Windows ou outros clientes usando EAP-TLS.

AVISO:

Os comandos da CLI do RouterOS oferecidos neste tutorial são excelentes modelos. Mas você DEVE revisar e alterar meus espaços reservados e valores padrão, incluindo a senha de exportação do certificado, antes de executar os comandos neste tutorial.

VISÃO GERAL DO PROCESSO DE CONFIGURAÇÃO: MikroTik ROUTER

A) CRIAR CERTIFICADOS : (3) tipos de certificados devem ser criados:

• Servidor : Crie um certificado para o lado MikroTik da conexão EAP-TLS. Isso será usado pela interface sem fio usando a autenticação EAP-TLS.

• Cliente(s) : Crie um certificado para CADA cliente conectando-se ao SSID usando a interface sem fio que configuramos para EAP-TLS.

• Autoridade de Certificação : Este certificado usado para criar uma Cadeia de Confiança para certificados assinando certificados de Cliente e Servidor.

B) CONFIGURAR Perfis de Segurança Sem Fio : Especifique os certificados em Perfis de Segurança Sem Fio . Criaremos um wireless Security Profilepara a interface wireless usando autenticação EAP-TLS e para cada cliente conectado.

C) CONFIGURAR Interface Sem Fio : Finalmente, vamos criar uma interface sem fio especificando o sem fio Security Profilepara a interface.

SEÇÃO 1: CRIAR CERTIFICADOS

Criar certificado de CA (autoridade de certificação):

/certificate add name=CAF1Linux-template common-name=CAF1Linux country=GB days-valid=3650 key-size=4096 locality="Your Town" organization="Your Orgsanization" state=YourCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,key-cert-sign,crl-sign;

/certificate sign CAF1Linux-template ca-crl-host="1.2.3.4" name=CAF1Linux

Exportar um certificado de formato PEM :

/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE"

O comando /certificate export-certificatecria (2) novos certificados em arquivos:

 cert_export_CAF1Linux.crt
 cert_export_CAF1Linux.key

Exporte um certificado de formato PKCS12 :

/certificate export-certificate CAF1Linux export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE" type=pkcs12

Anexar type=pkcs12ao /certificate export-certificatecomando produzirá o seguinte em Arquivos":

cert_export_CAF1Linux.p12    

Criar certificado do SERVIDOR :

Este é o certificado usado pela interface sem fio do MikroTik que oferece autenticação EAP-TLS.

NOTA : Você observará em key-usageEu também especifico ipsec-tunnel,ipsec-end-system. Eu uso os mesmos certificados para acesso WiFi e VPN, facilitando a revogação centralizada de um certificado para ambos os serviços se um servidor estiver comprometido ou para revogar o acesso de um usuário.

/certificate add name=F1LinuxServer-template common-name="F1LinuxServer" country=GB days-valid=3650 key-size=4096 locality="Your City or Town" organization="Your Company" state=YourStateOrCounty trusted=yes unit="Technical Services" subject-alt-name="IP:1.2.3.4" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-server,tls-client;

/certificate sign F1LinuxServer-template ca=CAF1Linux name=F1LinuxServer

/certificate set F1LinuxServer trusted=yes

Exportar um certificado de formato PEM :

/certificate export-certificate F1LinuxServer export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE"

Exportar um certificado de formato PKCS12 : os clientes da Apple exigem certificados pkcs12, portanto, exportaremos todos os certificados de cliente adicionalmente no formato pkcs12

/certificate export-certificate F1LinuxServer export-passphrase="REPLACE ME WITH YOUR OWN CERTIFICATE PASSPHRASE" type=pkcs12

Repita o processo acima para criar um certificado exclusivo para CADA cliente conectado.

Criar certificados de CLIENTE :

Um exemplo para um MacBook é mostrado abaixo, no entanto, o processo é o mesmo para qualquer dispositivo que suporte autenticação EAP-TLS.

/certificate add name=F1LinuxClientMacBook-template common-name=F1LinuxClientIpadPro country=GB days-valid=3650 key-size=4096 locality="Your City or Town" organization="Your Company" state=YourStateOrCounty trusted=yes unit="Technical Services" subject-alt-name="" key-usage=digital-signature,data-encipherment,key-agreement,ipsec-tunnel,ipsec-end-system,tls-client;

/certificate sign F1LinuxClientMacbook-template ca=CAF1Linux name=F1LinuxClientMacBook

/certificate set F1LinuxClientMacBook trusted=yes

Exportar um certificado de formato PEM :

/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE"

Exporte um certificado de formato PKCS12 :

/certificate export-certificate F1LinuxClientMacBook export-passphrase="REPLACE ME WITH A DIFFERENT PASSPHRASE FOR EACH CLIENT CERTIFICATE" type=pkcs12

SEÇÃO 2: CONFIGURAR PERFIS DE SEGURANÇA SEM FIO

Depois de criar certificados para cada cliente sem fio conectado usando autenticação EAP-TLS, você pode usar esses certificados para criar perfis de segurança sem fio .

Ao contrário da criptografia de senha padrão WPA2 que define uma única senha para todos os clientes conectados, uma vez que cada cliente wireless terá um certificado único, devemos criar um Perfil de Segurança para cada dispositivo e para a própria interface wireless.

SERVIDORSecurity Profile

/interface wireless security-profiles add name="24083_F1_EAP_TLS_Server" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxServer mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key=""

CLIENTESecurity Profile

/interface wireless security-profiles add name="24083_F1_EAP_TLS_MacBook" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key="" supplicant-identity="" eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=F1LinuxClientMacBook mschapv2-username="" mschapv2-password="" disable-pmkid=no static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=yes radius-mac-accounting=yes radius-eap-accounting=yes interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username radius-called-format=mac:ssid radius-mac-caching=disabled group-key-update=5m management-protection=allowed management-protection-key="" 

Repita o comando acima para cada dispositivo autenticado com EAP-TLS, lembrando de alterar o nome do certificado.

SEÇÃO 3: CONFIGURAR AP VIRTUAL COM EAP AUTH

Por fim, configure uma interface sem fio para usar o perfil de segurança EAP-TLS do servidor:

/interface wireless name="wlan1010" mtu=1500 l2mtu=1600 mac-address=74:4D:28:XX:XX:XX arp=proxy-arp interface-type=virtual master-interface=wlan5ghz mode=ap-bridge ssid="240E83_F1_EAP" vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=yes security-profile=24083_F1_EAP_TLS_Server

BACKUP DE CONFIGURAÇÃO E CERTIFICADOS:

Agora que você fez todo esse esforço, certifique-se de fazer backup da configuração. Eu uso a convenção de nomenclatura para meus backups RBmodelNumber-YearMonthDay-Time_ROSversionNumber.rsc :

/export compact file=RB4011-20191214-1644_ROSv6.46.0.rsc

OBSERVE *: Embora você possa restaurar a configuração para um novo MikroTik, esses backups não capturarão seus certificados. Abra um navegador da Web e conecte-se ao MikroTik por meio de um WebGUI. Vá para o menu " Arquivos " e você pode baixar cada um deles para o seu laptop e depois colocá-los em algum lugar seguro e sensato para armazenamento de longo prazo.

CONFIGURAÇÃO DO CLIENTE

Para saber como configurar os clientes IOS e OSX para usar a autenticação EAP-TLS, acesse AQUI