CIITIX-WiFi Dokumentasi
Tuesday, 27 July 2010 10:47 Selasa, 27 Julai 2010 10:47
By Lashfay. Dengan Lashfay.
For more documentation downloads and support head to http://ciitix.ciit.net.pk and remember to check out the forums. Untuk download dokumentasi lebih dan kepala sokongan untuk http://ciitix.ciit.net.pk dan ingat untuk memeriksa forum. This document serves as quick guide on how to setup a wireless network using WPA / WPA2 with radius authentication. Dokumen ini berfungsi sebagai panduan singkat tentang cara setup rangkaian wayarles menggunakan WPA / WPA2 dengan pengesahan radius. This document will only cover the basics and is not exhaustive of all possibilities and features but with this information and basic networking skills you should be able to get running very soon. Dokumen ini hanya akan membahas dasar-dasar dan tidak lengkap dari semua kemungkinan dan ciri-ciri tetapi dengan maklumat dan kemahiran asas rangkaian anda harus boleh mendapatkan berjalan sangat cepat. No knowledge if Linux is assumed in this guide and for the most part its spelled out with screen shots. Tidak ada pengetahuan jika Linux diandaikan dalam panduan ini dan untuk sebahagian besar syarikat dibilang dengan screen shot.
I'd like to thank the team who created this easy way of implementing radius authentication for WiFi and believe it's the only package around which is aimed at a turn‐key solution meaning no compiling, setting up databases and the like. Saya ingin mengucapkan terima kasih kepada pasukan yang mencipta cara yang mudah untuk melaksanakan pengesahan radius untuk WiFi dan percaya itu pakej hanya sekitar yang bertujuan penyelesaian turn-key ada artinya kompilasi, menyiapkan database dan sejenisnya. After all everyone has enough to worry about keeping there IT infrastructure working. Setelah semua orang semua telah cukup untuk bimbang tentang menjaga kerja infrastruktur TI yang ada.
I decided to do this guide for the new people wanting to try out and implement radius authentication for WiFi security. Saya memutuskan untuk melakukan hal ini panduan untuk orang-orang baru yang ingin mencuba dan melaksanakan pengesahan radius untuk keselamatan WiFi. This project is still very new, and at time of writing the latest version is v1.1 Projek ini masih sangat baru, dan pada saat penulisan versi terbaru v1.1
I can be reached on the forums at http://ciitix.ciit.net.pk with username lashfay. Saya boleh dihubungi di forum di http://ciitix.ciit.net.pk dengan lashfay username. If there is something that can be added or is not quite clear please drop me a line. Jika ada sesuatu yang boleh ditambah atau tidak cukup jelas sila drop me a line.
This guide will be updated as required and as time permits.Be sure to check out the last section on WiFi Security. Panduan ini akan dikemaskini mengikut keperluan dan sebagai permits.Be masa pastikan anda memeriksa bahagian terakhir di WiFi Keselamatan. A few things will be assumed on your part. Beberapa hal yang akan dianggap di pihak anda.
1) You have downloaded the ISO file and have that ready to install ‐ see http://ciitix.ciit.net.pk for downloads 1) anda telah men-download file ISO dan yang bersedia untuk memasang - lihat http://ciitix.ciit.net.pk untuk download
2) you have an access point / wireless router which is capable of WPA / WPA2 enterprise setup 2) anda mempunyai titik akses / router wayarles yang mampu WPA / WPA2 setup syarikat
3) Basic networking skills and computing skills, and hardware ready to install CIITIX‐WiFi 3) kemahiran networking asas dan kemahiran komputer, dan peranti keras siap untuk memasang CIITIX-WiFi
The PC which you will be installing CIITIX‐WiFi on does not need to be a super spec machine, but if is being deployed as a mission critical a*set you will be better off using new hardware or a virtual machine. PC yang anda akan memasang CIITIX-WiFi pada tidak perlu mesin spec super, tetapi jika sedang digunakan sebagai misi kritis * satu set anda akan lebih baik menggunakan hardware baru atau mesin virtual.
My hardware setup is setup hardware saya
VMWare ESXi server VMWare ESXi pelayan
1 vCPU 1 vCPU
1 vHDD (4gb) 1 vHDD (4gb)
768 Ram Ram 768
and just for trivia while sitting idle it is using 10Mhz and 7mb ram. dan hanya untuk hal-hal remeh sambil duduk menganggur itu adalah menggunakan 10MHz dan 7MB ram. Anything Pentium 3 based and up will suffice. Apapun Pentium 3 based dan up akan cukup.
Let's get started. Mari kita mulai.
Burn your ISO onto CD and place that into your drive, and boot from the CD drive. Burn ISO anda ke CD dan tempat itu ke dalam drive anda, dan boot dari pemacu CD. Make sure you have no important data on the hard disk because the installation will destroy all existing data on the drive you install to. Pastikan anda tidak memiliki data penting di hard disk kerana pemasangan akan menghancurkan semua data yang ada pada drive anda memasang ke.
1) After your system is booted you will see the following screen, at this point you choose 'Start GUI 1) Selepas sistem anda boot anda akan melihat paparan berikut, di titik ini, anda memilih 'Mulai GUI
Install' and hit enter. Install 'dan tekan enter.
2) The next screen you will chose your language. 2) Layar seterusnya anda akan memilih bahasa anda.
3) choose your region 3) memilih kawasan anda
4) Configure the host name for the system, if unsure leave it as debian 4) Konfigurasikan nama host untuk sistem ini, jika tidak yakin meninggalkan sebagai debian
5) Configure the system clock / choose your time zone 5) Tatarajah jam sistem / memilih zon masa anda
6) partition your installation disk, choose 'guided ‐ use entire disk' 6) partisi cakera pemasangan, pilih 'dipandu - menggunakan seluruh cakera'
7) choose your hard disk 7) memilih hard disk
8) select 'all files in one partition' 8) pilih 'semua fail dalam satu partisi'
9) choose 'finish partitioning and write changes to disk' 9) pilih 'selesai mempartisi dan tulis perubahan kepada cakera'
10) choose 'yes' ‐ this will destroy any data on the disk! 10) pilih 'ya' - ini akan menghancurkan data pada cakera!
11) Relax while everything installs... 11) Rehat sementara memasang segalanya ...
12) The installer will now ask for usernames and passwords you will use later on to administer the system. 12) Installer sekarang akan meminta username dan password anda akan gunakan nanti untuk menguruskan sistem. Fill these out, not all screens are here as its very simple. Isi ini, tidak semua paparan di sini sebagai sangat sederhana. Remember the root password! Ingat password root!
13) select 'yes' to install the GRUB boot loader to the drive 13) pilih 'yes' untuk memasang boot loader GRUB untuk drive
14)The installation is now complete. 14) Pemasangan telah selesai.
At this point your new radius authentication server is installed and will now restart and boot. Pada titik ini pelayan pengesahan baru jari-jari anda dipasang dan sekarang akan restart dan boot. After the reboot is complete will find out the machines IP Address so we can administer it. Setelah reboot selesai akan mendapati mesin-mesin IP Address sehingga kami dapat menguruskan itu.
15) After it has rebooted, login to the machine with username 'root' (don't use the quotes) and password you created before. 15) Setelah memiliki reboot, log masuk ke mesin dengan 'root' username (tidak menggunakan tanda kutip) dan password yang anda buat sebelumnya.
16) now click on JWM>Terminal you will get a black box appear, in that type 'ifconfig' (without quotes) then hit enter. 16) sekarang klik pada JWM> Terminal anda akan mendapatkan kotak hitam muncul, di taip 'ifconfig' (tanpa tanda kutip) lalu tekan enter. It will display the status of all network cards on the system. Ini akan memaparkan status semua kad rangkaian dalam sistem. Mine is called eth0 with an IP address of 192.168.0.15 as in the picture. Tambang disebut eth0 dengan alamat IP 192.168.0.15 seperti pada gambar. Yours IP will be different. Hormat IP akan berbeza. Look for inet addr: Carilah inet addr:
Administration of the system is done thru a web page. Pentadbiran sistem dilakukan melalui laman web. Some users will want to enable this page to be viewed over the local network. Beberapa pengguna akan ingin mengaktifkan laman ini untuk dilihat melalui rangkaian tempatan. By default it is not done, meaning you need physical access to the machine it is running on to add users etc. If you Don't want to enable remote viewing of the web interface skip this section. Secara lalai ini tidak dilakukan, bermakna anda memerlukan akses fizikal ke mesin itu berjalan di untuk menambah dll pengguna Jika anda Tidak ingin mengaktifkan remote viewing dari antara muka web ini melewati bahagian ini.
All we need to do is edit one text file and change one parameter. Yang kita perlu lakukan adalah mengedit satu fail teks dan menukar satu parameter. If you know how to edit this file change line 290 to read "Allow from all" The file is located /etc/apache2/apache2.conf We need to obtain a program called WinSCP and install it on a windows based pc. Jika anda tahu cara mengedit gambar ini menukar baris 290 untuk membaca "Izinkan dari semua" File tersebut terletak / etc/apache2/apache2.conf Kita perlu untuk mendapatkan sebuah program yang disebut WinSCP dan memasangnya pada pc yang berpusat windows. This program is like a remote file explorer for a Linux based system.Download and install it from http://winscp.net/eng/download.php After you have this program installed run it and follow these steps: Program ini adalah seperti file explorer remote untuk system.Download berasaskan Linux dan menginstalnya dari http://winscp.net/eng/download.php Selepas anda memasang program ini jalankan dan ikuti langkah-langkah berikut:
A) click NEW A) klik BARU
B) fill out the details: B) mengisi butiran:
host name = ip address of the machine nama host = ip address dari mesin
user name = root user name = root
pa*sword = the password you created before pa * pedang = password yang anda diciptakan sebelum
C) click save C) klik save
D) now click login D) sekarang klik login
E) Double click on the two dots ( ..) up top of the directory listing E) Klik ganda pada dua titik (..) sampai bahagian atas senarai direktori
F) now double click on the following in this order F klik) sekarang dua kali pada berikut dengan urutan
etc dll
apache2 apache2
apache2.conf apache2.conf
G)it will now open up the apache2.conf file for editing. G) sekarang akan membuka fail apache2.conf untuk mengedit. go right to the bottom of the file to line 290 and make it read Allow from all Click the disk icon on the top left to save it and now close that window. pergi terus ke bahagian bawah fail ke saluran 290 dan membuatnya membaca Izinkan dari semua Klik ikon cakera di atas kiri untuk menyimpannya dan sekarang yang dekat jendela.
H) now in WinSCP go to Commands > open terminal (or Crtl+T does the same thing) copy and paste the following command the then hit 'execute' /etc/init.d/apache2 restart this will restart the web server and re read the file we just edited and all access to the web interface from the local network. H) sekarang di WinSCP pergi ke terminal> Perintah terbuka (atau Crtl + T melakukan hal yang sama) copy dan paste arahan berikut dan tekan 'mengeksekusi' / etc/init.d/apache2 restart ini akan restart web server dan re membaca fail kita hanya diedit dan semua akses kepada antara muka web dari rangkaian tempatan.
Using your web browser point it to the IP address if your machine. Menggunakan pelayar web anda arahkan ke alamat IP jika mesin anda. you will be greeted with the login page. Anda akan disambut dengan halaman login. The username is 'administrator' and password is 'radius' If you have enabled the web administration on the local network you will want to change this password. Nama pengguna adalah 'pentadbir' dan password adalah 'radius' Jika anda telah mengaktifkan pentadbiran web pada rangkaian tempatan anda akan ingin menukar password ini. If you enter something incorrect you will get this error. Jika anda memasukkan sesuatu yang salah anda akan mendapatkan kesalahan ini.
The following will setup a single user and NAS device. Ini setup akan satu pengguna dan peranti NAS.
17) Go to management > user > new user 17) Pergi ke user pengurusan>> user baru
enter a username and password of your choice. masukkan username dan password pilihan anda. Make sure to select 'Cleartext‐Pa*sword' as the Pastikan untuk memilih 'cleartext-Pa pedang *' sebagai
type. jenis. After your done, click Apply. Apabila anda telah selesai, klik Apply.
18) Go to Management > NAS > new NAS 18) Pergi ke NAS> Pengurusan> NAS baru
A) Enter the IP address of your access point or router, in this case its 192.168.0.1 A) Masukkan alamat IP titik akses anda atau router, dalam hal ini yang 192.168.0.1
B) create a password in 'NAS Secret' B) membuat sebuah password pada 'NAS Secret'
C) NAS Type = other (unless your using a Cisco AP choose other) C) NAS Type = lain (kecuali jika anda menggunakan AP Cisco memilih yang lain)
D) create a shot NAS name, in this case I chose 'dlinkap' D) membuat nama ditembak NAS, dalam hal ini saya memilih 'dlinkap'
Now were done here, we need to log into the access point / router and make it use the new authentication server. Sekarang dilakukan di sini, kita perlu login ke titik akses / router dan membuatnya menggunakan pelayan pengesahan baru.
The following screenshots used here are from a D‐Link DAP‐1150 access point. Ini screenshot yang digunakan di sini adalah dari D-Link DAP-1150 pusat akses. Practically all access points are the same, you will need to find where yours keeps these settings. Hampir semua pusat akses yang sama, anda akan perlu untuk mencari di mana anda menyimpan tetapan ini. What we need to do is make it use WPA or WPA2 enterprise and specify the radius server, that's it. Apa yang perlu kita lakukan adalah untuk membuat syarikat menggunakan WPA atau WPA2 dan tentukan radius server, itu saja. The radius server IP is the IP address of the CIITIX‐WiFi server and the port is always 1812 and the shared secret is the password you created when we were adding a NAS device. Server radius IP adalah alamat IP dari pelayan CIITIX-WiFi dan port selalu 1812 dan rahsia bersama adalah kata laluan yang anda buat ketika kita menambah peranti NAS.
The only thing left is to get a copy of the certificates that our workstation will use to logon. Satu-satunya yang tersisa adalah untuk mendapatkan salinan dari sijil yang workstation kami akan gunakan untuk logon. Using WinSCP navigate to /etc/freeradius/certs/client‐certificates you will see two file in there. Menggunakan WinSCP arahkan ke / etc / / certs freeradius /-pelanggan sijil anda akan melihat dua fail di sana. Copy these to your desktop, you can drag and drop these from WinSCP. Salin ini ke desktop anda, anda boleh drag dan drop ini dari WinSCP. It makes good sense to copy these to a USB flash drive for ease of installation on other pc's. Masuk akal baik untuk menyalin ke flash drive USB untuk kemudahan pemasangan di pc lain. Check out Part II on where to get and how to use WinSCP. Check out Bahagian II di mana untuk mendapatkan dan bagaimana menggunakan WinSCP.
With windows 7 you can double click on one of these certificates and a installation wizard will appear to guide you. Dengan windows 7 anda boleh klik ganda pada salah satu sijil dan pemasangan wizard akan muncul untuk memandu anda.
Make sure you specify to install them in “trusted root certificates” the same goes for windows XP, Vista. Pastikan anda tetapkan untuk memasang mereka dalam "sijil akar dipercayai" yang sama berlaku untuk windows XP, Vista. Now upon trying to connect to the wireless network you will be prompted for a password. Sekarang setelah cuba untuk disambungkan ke rangkaian wayarles anda akan diminta untuk password. Enter the username and password you created in the 'users' section in the web management and that's it. Masukkan username dan password yang anda buat di bahagian 'user' dalam pengurusan web dan hanya itu. The password for the certificate when installing is 'ciitixwifi' your done! Kata laluan untuk sijil ketika memasang adalah 'ciitixwifi' anda telah selesai!
A quick guide is Sebuah panduan cepat adalah
1) on the workstation double click on the ca certificate > click open > click install certificate >click next>choose place all in following store>click browse> click trusted root certification >click ok>click next>finish 1) pada workstation klik dua kali pada> sijil ca klik klik> open install> sijil klik> seterusnya memilih tempat semua dalam mengikuti klik> Kedai browse> klik dipercayai root> sertifikasi klik ok> selesai klik next>
2) double click on server certificate >click next>click next>enter password ciitixwifi >click next>place all in following store>browse>trusted root ca>ok>next>finish 2) klik dua kali pada> pelayan sijil klik klik next>> seterusnya memasukkan password ciitixwifi> klik next place> semua dalam mengikuti> Kedai browsing ca root> dipercayai> ok> finish seterusnya>
Thats it. Thats it. When you try to connect to the WiFi network it will use the certificate automatically and ask for a user name and password as pictured below. Apabila anda cuba untuk menyambung ke rangkaian WiFi akan menggunakan sijil tersebut secara automatik dan meminta nama pengguna dan password sebagaimana gambar berikut ini.
Windows will complain upon the first time using the certificate. Windows akan mengeluh pada saat pertama kali menggunakan sijil tersebut. This is normal and it won't ask you gain after the first time. Ini adalah perkara biasa dan tidak akan meminta anda mendapatkan selepas pertama kali.
Iphone and Ipad devices will automatically obtain the certificates from the server. Iphone dan Ipad peranti secara automatik akan mendapat sijil dari pelayan. You do not need to install these manually. Anda tidak perlu untuk memasang fail ini secara manual. Linux users will need to Install the certificates, there are many flavours of Linux, but some distros such as Linux Mint which is Ubuntu based can install the certificates by double clicking on them. Linux pengguna perlu untuk Pasang sijil, ada banyak rasa Linux, tetapi beberapa distro seperti Linux Mint yang berpusat Ubuntu boleh memasang sijil dengan mengklik ganda pada mereka. Again a wizard appears to guide you. Sekali lagi muncul wizard untuk membimbing anda.
Other devices which are run an embedded OS such as the Nintendo Wii for example may not be compatible with Enterprise Authentication. Peranti lain yang menjalankan OS tertanam seperti Nintendo Wii contohnya mungkin tidak serasi dengan Enterprise Authentication.
After your setup is complete you have a very robust secure WiFi installation. Setelah setup anda selesai anda mempunyai pemasangan yang selamat sangat kuat WiFi. For many users may not know but WEP encryption can be broken in a matter of minutes. Bagi banyak pengguna mungkin tidak tahu, tapi penyulitan WEP boleh dipecahkan dalam beberapa minit. There are various tools out there to do this, and some Linux experience is required but not much at all. Ada pelbagai perkakas di luar sana untuk melakukan ini, dan beberapa pengalaman Linux diperlukan tetapi tidak sama sekali. To break WEP costs nothing and causes much problems for the owner of the network. Untuk menyelesaikan WEP tidak ada kos dan menyebabkan masalah banyak untuk pemilik rangkaian. Still to this day there are many who still use WEP as there encryption. Masih sampai hari ini ada ramai orang yang masih menggunakan WEP kerana ada enkripsi.
WPA and WPA2 are much stronger but are still able to be cracked and the network key retrieved. WPA dan WPA2 yang lebih kuat tetapi masih boleh retak dan rangkaian kunci diambil. With the advent of Rainbow tables (downloadable 33GB file) for the top 1000 SSID's in use one can gain access to a WPA secured network by capturing the 4 way handshake of a connecting client and Dengan munculnya jadual Pelangi (file 33GB download) untuk 1000 tertinggi SSID dalam menggunakan salah satu boleh mendapatkan akses kepada rangkaian WPA dijanjikan dengan menangkap jabat tangan 4 cara menyambung pelanggan dan
using this data to start number crunching to work out the network key. menggunakan data ini untuk mula nombor-nombor untuk bekerja ke luar rangkaian kunci. Granted this takes time but if you are an organisation who has sensitive data you may be a target. Memang ini memerlukan masa tetapi jika anda adalah organisasi yang mempunyai data sensitif anda mungkin target. A savvy person can crack a WPA network offsite after they have captured a handshake and take that away and try their luck. Orang cerdas bisa retak luar pejabat rangkaian WPA selepas mereka telah menangkap jabat tangan dan mengambil yang pergi dan cuba keberuntungan mereka. Others do this because it's a pastime hobby and a challenge or want free internet access. Lain melakukan ini kerana hobi hobi dan cabaran atau ingin akses internet percuma.
Having a complex WPA key with special characters and upper case / lower case characters is good, but hard to remember if it's a long key. Memiliki kunci WPA kompleks dengan aksara khas dan huruf besar / aksara huruf kecil adalah baik, tapi sukar untuk diingat jika kunci panjang. Make it a bit easier on yourself and save it to a text file and put it on a USB flash drive. Membuatnya sedikit lebih mudah pada diri sendiri dan simpan ke fail teks dan meletakkannya di flash drive USB.
This also makes its own problems, if a user leaves the office for example, you have to generate a new key and update all devices, a laptop might go missing, and then there is the problem of someone viewing the network key by clicking 'show me the key' in Windows. Hal ini juga membuat masalah sendiri, jika pengguna meninggalkan pejabat misalnya, anda perlu membuat kunci baru dan mengemas kini semua peranti, laptop mungkin akan hilang, dan kemudian ada masalah orang melihat rangkaian kunci dengan mengklik 'menunjukkan saya kunci 'di Windows. A safer way is to install CIITIX‐WiFi and authenticate with a radius server. Sebuah cara yang lebih selamat adalah dengan memasang CIITIX-WiFi dan pengesahan dengan pelayan radius. Just delete the user and they no longer have access to the network. Hanya memadam user dan mereka tidak lagi mempunyai akses kepada rangkaian. A RADIUS server is not only useful for WiFi authentication there are many other uses too. Sebuah pelayan RADIUS tidak hanya berguna untuk pengesahan WiFi ada banyak kegunaan lain juga. Another example of use for a RADIUS server is authentication for a VPN client. Contoh lain penggunaan untuk pelayan RADIUS adalah pengesahan untuk pelanggan VPN.
To help prevent a WPA attack by someone using rainbow tables is as simple as changing the standard SSID. Untuk membantu mencegah serangan WPA oleh seseorang menggunakan jadual pelangi adalah yang sederhana seperti mengubah SSID standard. For example a D‐link AP uses dlink as an SSID and a Cisco AP uses tsunami. Contohnya link-D AP menggunakan Dlink sebagai SSID dan AP Cisco menggunakan tsunami.
The reason why changing your SSID makes it harder? Alasan mengapa menukar SSID anda membuat lebih sukar?
The SSID is salted into the WPA encryption key and makes the cracker need to generate a new rainbow table based on your custom SSID. SSID adalah masin ke kunci penyulitan WPA dan membuat keperluan cracker untuk menghasilkan sebuah jadual pelangi baru berdasarkan SSID tersuai anda. This is good but still not good enough for a serious sysadmin or a security focused company. Ini bagus tapi masih tidak cukup baik untuk sebuah sysadmin serius atau keselamatan terfokus syarikat.
To crack a WPA enterprise network is a complex task and a cracker without the certificate will not have much of a chance of penetrating the network. Untuk memecahkan rangkaian syarikat WPA merupakan tugas kompleks dan cracker tanpa sijil tidak akan mempunyai banyak peluang untuk menembusi rangkaian. They will also need to know a valid username and password to authenticate with The RADIUS server also. Mereka juga akan perlu tahu username dan password yang sah untuk pengesahan dengan pelayan RADIUS juga. A good sysadmin won't leave old users active anyhow. Seorang sysadmin yang baik tidak akan meninggalkan pengguna lama bagaimanapun aktif. It should also become practice is to generate new certificates one a year and update the wireless clients. Hal ini juga harus menjadi amalan adalah untuk menghasilkan sijil baru satu tahun dan mengemas kini pelanggan wayarles.
No comments:
Post a Comment