ПОЛНОЕ руководство по безопасности корпоративного Wi-Fi (HashiCorp Vault + EAP-TLS)

Перестаньте использовать слабые пароли для общего доступа к Wi-Fi! Это видео — первая часть серии подробных видео, в которой мы создадим с нуля полноценный *Центр сертификации (ЦС) корпоративного уровня с помощью HashiCorp Vault.

Мы интегрируем его с FreeRADIUS для реализации EAP-TLS (взаимной аутентификации на основе сертификатов) — золотого стандарта защиты вашей беспроводной сети и устранения самого слабого звена в системе безопасности — пароля.

К концу у вас будет полностью работающая Proof-of-Concept, где устройства аутентифицируются с помощью уникальных цифровых сертификатов вместо паролей.

Что вы узнаете:

Безопасность EAP-TLS: Поймете, почему аутентификация на основе сертификатов является золотым стандартом, и как она устраняет возможность атаки с помощью пароля.
Иерархия PKI: Превратите HashiCorp Vault в полноценную двухуровневую инфраструктуру открытых ключей (PKI) с защищенным Корневым ЦС и промежуточным ЦС. * Настройка Vault: Узнайте, как установить, настроить и безопасно распечатать сервер Vault.
Выдача сертификатов: Определите роли Vault для ограничения домена, использования ключей и срока действия, а затем выдайте сертификаты X.509 для вашего сервера RADIUS и клиентских устройств.
Управление сетевым доступом: Настройте FreeRADIUS в качестве шлюза EAP-TLS для применения политик на основе содержимого клиентского сертификата.
Тест в реальных условиях: Настройте UniFi Controller и успешно подключите клиентское устройство с помощью защищенного пакета сертификатов *PKCS#12*.

Главы видео:

00:00 Введение и обзор проекта (Почему EAP-TLS?)
01:44 Понимание аутентификации сертификатов (EAP-TLS)
04:45 Введение в HashiCorp Vault (Управление секретами)
07:56 Установка и настройка Vault
13:09 Создание собственного центра сертификации (корневой и промежуточный центры сертификации)
17:11 Создание ролей и сертификатов сервера (RADIUS)
20:08 Выпуск клиентских сертификатов
23:25 Настройка FreeRADIUS
28:10 Настройка контроллера UniFi
29:29 Тестирование клиентского подключения (PKCS#12 и macOS)
31:40 Заключение и дальнейшие действия (автоматизация)

Что дальше? Автоматизируйте всё!

Процесс, показанный в этом видео, выполняется вручную, что обеспечивает надёжную основу.
Во второй части мы автоматизируем весь жизненный цикл сертификата — выпуск и продление — с помощью Vault Agent и *AppRole*, чтобы система масштабировалась до уровня рабочей среды без ручного вмешательства.

Ресурсы:

Все примеры файлов для FreeRADIUS и Vault находятся в репозитории GitHub. Вы можете быстро собрать и настроить Vault из командной строки.

Код и конфигурации: [https://github.com/filip-lebiecki/eap...]
Документация по HashiCorp Vault: [https://developer.hashicorp.com/vault...]
Документация по FreeRADIUS: [https://www.freeradius.org/documentat...]

#eaptls #wpa3 #devops #pki #vault #freeradius #certificate #hashicorp #vault #vaultserver