Wi-Fi netwerken worden steeds veiliger, maar de “open” en onversleutelde Wi-Fi netwerken van tegenwoordig passen niet meer in dit beeld. Jarenlang is er geen oplossing geweest om een “open” verbinding te hebben met versleuteling van de data zonder tussenkomst van wachtwoorden. Met de komst van WPA3 is daar verandering in gekomen, daar is OWE-versleuteling als mogelijkheid bij gekomen. OWE is een manier om verkeer tussen client en Access Point te versleutelen zonder dat een wachtwoord ingevoerd hoeft te worden!
OWE staat voor “Opportunistic Wireless Encryption” en zorgt ervoor dat de Wi-Fi client en Wi-Fi Access Point versleuteling toepassen op het onderlinge verkeer zonder gebruik van WPA of WEP Wachtwoorden. Daarnaast zorgt dit er ook voor dat wireless aanvallen zoals man-in-the-middle middels Deauthentication niet meer mogelijk is door het verplicht stellen van PMF (Protected Management Frames) zoals gedefinieerd in de 802.11w standaard. Dit resulteert er uiteindelijk in dat iemand met een Wireless sniffer uw wireless verkeer vrij kan afluisteren, terwijl u wél van alle voordelen van een “open” Wi-Fi netwerk geniet!
Niet alle systemen ondersteunen OWE, en normaliter kan een client welke geen OWE ondersteunt geen verbinding maken met een OWE-netwerk. Als U de versleuteling van uw huidig open Wi-Fi netwerk aanpast naar OWE is de kans groot dat er gebruikers met oudere of niet bijgewerkte apparatuur geen verbinding meer kunnen maken met het door U beschikbaar gestelde Wi-Fi netwerk. OWE-versleuteling is gedefinieerd in RFC8110 gedateerd Maart 2017, apparatuur welke stuurprogramma’s gebruiken welke gemaakt zijn voor deze datum zullen geen OWE ondersteunen.
Gelukkig is OWE Transitional in het leven geroepen. OWE transitional maakt het mogelijk om 1 SSID uit te zenden welke geschikt is voor clients welke wel of geen OWE ondersteunen. Clients welke OWE ondersteunen zullen automatisch gebruik maken van versleuteling, terwijl clients welke geen OWE ondersteunen nog onversleuteld verbinding kunnen maken. Zo blijft u voor bijvoorbeeld gasten Wi-Fi clients flexibel zonder onnodig meerdere SSID’s te adverteren, welke uiteindelijk ten koste gaan van de Wi-Fi performance.
In dit artikel beschrijven we hoe je OWE Transitional configureert op een FortiAP welke beheerd wordt door een FortiGate.
Configuratie
Wat in dit tech artikel behandeld wordt:
- Tunneled SSID aanmaken zonder encryptie met owe-transitional
- (Hidden) Tunneled SSID aanmaken met owe encryptie met owe-transitional
- Configureren Interfaces
- Configureren DHCP Scopes
- Configureren Zone
- Configureren Policy
- Eventueel configureren Disclaimer
Wat u nodig hebt:
- FortiAP welke aangemeld is op uw Fortigate
- 2 vrije subnetten in uw netwerk t.b.v. Clients
- Een naam voor uw SSID
- Toegang tot de commandline van uw Fortigate of kennis/ervaring van FortiManager
Let op: Ten tijde van schrijven van dit tech artikel is het niet mogelijk om een authenticatie Captive Portal en OWE transitional tegelijk te gebruiken! Disclaimer toevoegen is daarentegen wel mogelijk via de Security Policy (welke in dit artikel beschreven wordt)
OWE Transitional configuratie wordt in dit voorbeeld (gemaakt op FortiOS 7.0.x) geconfigureerd via de Command Line Interface van uw FortiGate. Ten tijde van schrijven van dit tech artikel is het niet mogelijk om OWE Transitional configuratie te maken vanuit de Web Interface.
Vanuit FortiManager zijn onderstaande opties op SSID’s te configureren onder “advanced options”, maar deze configuratie zal niet in dit artikel beschreven worden.
Eerst gaan we de SSID’s configureren. Er worden twee SSID’s aangemaakt: 1 SSID met Open Security (Guest) en 1 hidden SSID met OWE-security (Guest-owe). Het belangrijke is dat beide netwerken een verschillend SSID hebben waarbij het “Open” Wi-Fi netwerknaam leidend zal zijn. Het OWE SSID kan van alles zijn, we raden aan om deze naam herleidbaar te maken ten behoeve van eenvoud en eenduidige administratie.
Allebei de SSID’s worden voorzien van owe-transition configuratie waarbij onder “owe-transition-ssid” naar elkaar verwezen wordt (Open naar OWE, en OWE naar Open).
We configureren vervolgens “intra-vap-privacy” om te voorkomen dat client met elkaar kunnen communiceren (Block Intra-SSID traffic in de UI). Het is afgeraden om intra-vap-privacy op “disabled” te laten.
GUEST-OWE wordt voorzien van meer configuratie als GUEST-OPEN. Wanneer owe-transitional gebruikt wordt in combinatie met OWE encryptie moet het OWE SSID verborgen zijn (broadcast disabled) en moet deze van PMF beveiliging (802.11w) voorzien zijn. Alleen het “Open” SSID zal zichtbaar zijn voor de gebruikers, het SSID naam welke geconfigureerd is onder OWE is Onzichtbaar voor gebruikers.
Vervolgens configureren wij IP subnets voor deze SSID’s en zetten we (optioneel) Device detection aan en Ping toegang aan:
config wireless-controller vap
edit “GUEST-OPEN”
set ssid “Guest”
set security open
set owe-transition enable
set owe-transition-ssid “Guest-owe”
set intra-vap-privacy enable
set schedule “always”
next
edit “GUEST-OWE”
set ssid “Guest-owe”
set broadcast-ssid disable
set security owe
set pmf enable
set owe-transition enable
set owe-transition-ssid “Guest”
set intra-vap-privacy enable
set schedule “always”
next
end
In dit design hebben voor de eenvoud gekozen om OWE Wi-Fi clients in een ander Subnet te zetten als Open Wi-Fi clients. Deze clients in eenzelfde subnet laten vallen op FortiGate is mogelijk, maar maakt de configuratie onnodig complex zonder noemenswaardige voordelen.
Uit security oogpunt raden we altijd aan om voor Guest clients de DHCP server functionaliteit van de FortiGate te gebruiken. Gasten op een Open Wi-Fi netwerk de Interne DHCP laten gebruiken neemt veiligheidsrisico’s met zich mee. In dit tech artikel maken we dus gebruik van de FortiGate DHCP server.
We gebruiken voor de DHCP pools op de Fortigate de volgende configuratie:
- 1 uur lease tijd
- Hele subnet gebruiken voor DHCP clients
- DNS servers geconfigureerd op Google DNS ( 8.8.8.8 en 8.8.4.4 ).
Middels Commandline ziet dit als volgt uit:
config system dhcp server
edit 0
set lease-time 3600
set default-gateway 10.0.222.1
set netmask 255.255.255.0
set interface “GUEST-OPEN”
config ip-range
edit 1
set start-ip 10.0.222.2
set end-ip 10.0.222.254
next
end
set dns-server1 8.8.8.8
set dns-server2 8.8.4.4
next
edit 0
set lease-time 3600
set default-gateway 10.0.223.1
set netmask 255.255.255.0
set interface “GUEST-OWE”
config ip-range
edit 1
set start-ip 10.0.223.2
set end-ip 10.0.223.254
next
end
set dns-server1 8.8.8.8
set dns-server2 8.8.4.4
next
end
Om Policy configuratie eenvoudiger te maken zetten we deze twee SSID’s in 1 zone. Zo hoeft u firewall regels voor uw OWE en Open netwerken niet tweemaal aan te maken, of meerdere source Interfaces in uw policy te gebruiken.
config system zone
edit “Guest-Zone”
set interface “GUEST-OPEN” “GUEST-OWE”
next
end
Vervolgens maken we een Policy aan voor dit deze Zone waarbij DNS en HTTP/HTTPS naar internet toegelaten wordt. Dit kan op de standaard manier via de Web Interface gemaakt worden, maar kan ook via de Commandline gemaakt worden. (Let op, in dit voorbeeld is “wan1” de Internet interface, pas dit aan naar configuratie van uw FortiGate):
config firewall policy
edit 0
set srcintf “Guest-Zone”
set dstintf “wan1”
set action accept
set srcaddr “all”
set dstaddr “all”
set schedule “always”
set service “HTTP” “HTTPS” “DNS”
set nat enable
set logtraffic all
next
end
Wilt u gebruik maken van een Disclaimer pagina op zowel het Open netwerk als het OWE netwerk? Maak dan in plaats van de bovenstaande policy de onderstaande Policy regels aan met “disclaimer” aan op een regel onder de regel welke DNS toelaat.
config firewall policy
edit 0
set srcintf “Guest-Zone”
set dstintf “wan1”
set action accept
set srcaddr “all”
set dstaddr “all”
set schedule “always”
set service “DNS”
set nat enable
set logtraffic all
next
edit 0
set srcintf “Guest-Zone”
set dstintf “wan1”
set action accept
set srcaddr “all”
set dstaddr “all”
set schedule “always”
set service “HTTP” “HTTPS”
set nat enable
set disclaimer enable
set logtraffic all
next
end
DNS wordt in een aparte policy regel boven HTTP/HTTPS gezet, als deze in dezelfde policy valt als de policy waar disclaimer op aanstaat, kan een client geen DNS resolving doen en wordt de client niet doorverwezen naar de Disclaimer pagina.
De inhoud van de Disclaimer pagina kan aangepast worden via de Web Interface van de Fortigate via “System -> Replacement Messages -> Extended View -> Disclaimer Page” en “Declined Disclaimer Page”.
U kunt nu de SSID’s toepassen op uw FortiAP profielen. Standaard zendt een FortiAP alle tunneled SSID’s uit, dan hoort u nu het Nieuwe Wi-Fi netwerk te zien en kunt u er verbinding mee maken.
Mocht het FortiAP profiel SSID op “Manual” staan kunt u de nieuwe SSID via de Web Interface toevoegen via “Wi-Fi & Switch Controller -> FortiAP Profiles“.
Deze wijziging kan eventueel ook via de commandline gedaan worden:
config wireless-controller wtp-profile
edit (AP-Profielnaam)
config radio-2
append vaps “GUEST-OPEN”
append vaps “GUEST-OWE”
end
config radio-2
append vaps “GUEST-OPEN”
append vaps “GUEST-OWE”
end
next
end
Wanneer u nu met bijvoorbeeld een Android telefoon verbindt met het Guest Wi-Fi netwerk hoort u zien dat u gebruik maakt van “Enhanced Open” beveiliging:
Als u Disclaimer heeft geconfigureerd in de policy, zult u ook voorzien worden van de Disclaimer pagina:
