Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Guida: CAPsMAN

#1
Information 
Il sistema CAPsMAN permette la centralizzazione della gestione della rete wireless e, se necessario, l'elaborazione dei dati che attraversano la rete. Quando si utilizza la funzione di Capsman, la rete sarà costituita da una serie di "Controlled Access Point" (PAC) che forniscono connettività wireless e un 'System Manager' (Capsman, che gestisce la configurazione dei punti di accesso), che si occupa anche di autenticazione client e, facoltativamente, l'inoltro di dati.
[hide]
Quando una CAP è controllata da Capsman necessita solo della configurazione minima richiesta per consentirle di stabilire una connessione con Capsman. çe funzioni che sono state normalmente vengono eseguite da un AP (come il controllo degli accessi, autenticazione del client) sono ora eseguiti da Capsman. Il dispositivo PAC ha ora solo a fornire il livello di collegamento di crittografia / decrittografia wireless.

A seconda della configurazione, i dati vengono trasmessi al Capsman per l'elaborazione centralizzata ( impostazione predefinita ) o trasmessa a livello locale presso il PAC stesso.

Caratteristiche:
Autenticazione RADIUS MAC
Sicurezza WPA/WPA2
TBA

Non presenti:
Supporto Nstreme AP
Supporto NV2 AP

Capsman funziona su qualsiasi dispositivo RouterOS da V6.11, le interfacce wireless non sono necessarie (in quanto sarà il CAP a gestire il wireless).

Per far funzionare il sistema Capsman e fornire connettività wireless, una PAC deve stabilire una connessione detta "di gestione" con Capsman. Una connessione di gestione può essere stabilita utilizzando protocolli di livello MAC o IP ed è fissata tramite 'DTLS'.

Una PAC può anche passare la connessione dati client al Gestore, ma la connessione dati non è garantita. Se questa caratteristica viene ritenuta necessaria, altri mezzi di sicurezza dei dati devono essere utilizzati, ad esempio IPSec o tunnel cifrati.

è possibile aggiungere un PAC alla connessione Capsman con 2 protocolli di trasporto (via Layer 2 e Layer3).

funzionalità di connessione tramite MAC:
- nessuna configurazione necessaria IP sulla PAC
- PAC e Capsman devono essere sullo stesso segmento Layer 2 - sia fisico o virtuale (tramite tunnel L2)
funzionalità di connessione tramite IP (UDP):
- può attraversare NAT se necessario
- il PAC deve essere in grado di raggiungere Capsman utilizzando il protocollo IP,
se la PAC non è sullo stesso segmento L2 di Capsman, deve essere fornito l'indirizzo IP Capsman.

Al fine di stabilire la connessione con Capsman, CAP esegue un processo di scoperta. Durante la scoperta, CAP tenta di contattare Capsman e costruisce un elenco di CAPsMANs disponibili. CAP tenta di contattare un Capsman disponibili utilizzando:

- un elenco di IP impostati a mano
- elenco di indirizzi Capsman IP ottenuti dal server DHCP
- diffusione su interfacce configurate utilizzando sia IP che protocolli di livello MAC.

Quando l'elenco dei CAPsMANs disponibili viene costruito, CAP seleziona un Capsman sulla base delle seguenti regole:

se l'elenco "caps-man-names" contiene i nomi gestore ammessi (/system identity di CAPsMAN), CAP preferirà il Capsman che è anteriore nell'elenco, se la lista è vuota si connetterà a qualsiasi gestore disponibile. viene preferita la connessione IP.
Dopo aver selezionato un Manager, CAP tenta di stabilire la connessione DTLS.

sono possibili le seguenti modalità di autenticazione:

- senza certificati su PAC e Capsman - Nessuna autenticazione
- Solo il Manager possiede un certificato
- Capsman senza un certificato, Capsman deve essere configurato con request-peer-certificate = no , al fine di stabilire una connessione con CAP che non possiedono certificati
- PAC e Capsman sono configurati con certificati - autenticazione reciproca

Una volta stabilita la connessione DTLS, CAP può controllare opzionalmente campo CommonName del certificato fornito dal Capsman. Il parametro caps-man-certificate-common-name contiene l'elenco dei valori CommonName consentiti. Se questa lista non è vuota, Capsman deve essere configurato con certificato. Se questo elenco è vuoto, CAP non controlla campo CommonName.

PAC può essere configurato per bloccare automaticamente particolari Capsman. Il blocco è attuato mediante la registrazione di certificato CommonName di Capsman contenenti il PAC bloccato e controllando questo nome comune per tutte le connessioni successive. Poiché questa funzionalità è implementata utilizzando il certificato CommonName, utilizzo dei certificati è obbligatorio affinchè funzioni.

Il comando per attivarlo sarà:

Codice:
[admin@CAP] > /interface wireless cap set lock-to-caps-man=yes

Da ora in poi PAC si collegherà solo ad un Capsman con questo nome.

Si noti che la PAC può essere manualmente "bloccata" ad un Capsman impostando caps-man-certificate-common-name.

Per semplificare la configurazione Capsman e CAP se sono necessari certificati (ad esempio, per la funzione di chiusura automatica), Capsman può essere configurato per generare automaticamente i certificati necessari e PAC può essere configurato per richiedere il certificato da Capsman.

Certificati automatici non forniscono completa infrastruttura a chiave pubblica e sono forniti per configurazioni semplici. Se è necessario un PKI più complicato - a sostegno adeguati periodi di validità del certificato, i certificati CA multilivello, rinnovo del certificato - devono essere utilizzati altri mezzi, come la distribuzione certificato manuale o SCEP.

Capsman ha le seguenti impostazioni del certificato:

certificato - questo è certificato Capsman, la chiave privata deve essere disponibile per questo certificato. Se impostato su "nessuno", Capsman funzionerà in modalità senza certificato e nessuna delle caratteristiche che richiedono certificati funzionerà. Se impostato su automatico, Capsman tenterà di rilasciare il certificato di se stesso utilizzando il certificato CA (vedi descrizione ca-certificato).
ca-certificate - questo è certificato CA che Capsman userà per il rilascio del certificato per sé, se necessario (vedi descrizione certificato), e al momento della firma richieste di certificati da CAP. Se impostato su nessuno, Capsman non sarà in grado di rilasciare il certificato a se stessa o firmare le richieste di certificati da CAP. Se impostato su automatico, Capsman genererà certificato CA autofirmato da utilizzare come certificato CA. CommonName per questo certificato prenderà forma "Capsman-CA-MAC>" e periodo di validità sarà da jan/01/1970 fino jan/18/2038.

ad esempio:

Codice:
[admin@CM] /caps-man manager> pr
                    enabled: yes
                certificate: auto
             ca-certificate: auto
   require-peer-certificate: no
      generated-certificate: CAPsMAN-000C424C30F3
   generated-ca-certificate: CAPsMAN-CA-000C424C30F3

Codice:
[admin@CM] /certificate> print detail
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key,
A - authority, I - issued, R - revoked, E - expired, T - trusted
  0 KAT name="CAPsMAN-CA-000C424C30F3" common-name="CAPsMAN-CA-000C424C30F3" key-size=2048
            days-valid=24854 trusted=yes
            key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign
            serial-number="1" fingerprint="69d77bbb45c50afd2d6c1785c2a3d72596b8a5f6"
            invalid-before=jan/01/1970 00:00:01 invalid-after=jan/18/2038 03:14:07

  1 KI name="CAPsMAN-000C424C30F3" common-name="CAPsMAN-000C424C30F3" key-size=2048
            days-valid=24854 trusted=no key-usage=digital-signature,key-encipherment
            ca=CAPsMAN-CA-000C424C30F3 serial-number="1"
            fingerprint="e853ddb9d41fc139083a176ab164331bc24bc5ed"
            invalid-before=jan/01/1970 00:00:01 invalid-after=jan/18/2038 03:14:07

CAP può essere configurato per richiedere il certificato dal gestore, impostando certificate=request

Codice:
[admin@CAP] > /interface wireless cap print
...
               requested-certificate: cert_2
         locked-caps-man-common-name: CAPsMAN-000C424C30F3
[admin@CAP] > /certificate print detail
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key,
A - authority, I - issued, R - revoked, E - expired, T - trusted
  0 T name="cert_1" issuer=CN=CAPsMAN-CA-000C424C30F3 common-name="CAPsMAN-CA-000C424C30F3"
            key-size=2048 days-valid=24837 trusted=yes
            key-usage=digital-signature,key-encipherment,data-encipherment,key-cert-sign,crl-sign
            serial-number="1" fingerprint="69d77bbb45c50afd2d6c1785c2a3d72596b8a5f6"
            invalid-before=jan/01/1970 00:00:01 invalid-after=jan/01/2038 03:14:07

  1 KT name="cert_2" issuer=CN=CAPsMAN-CA-000C424C30F3 common-name="CAP-000C4200C032"
            key-size=2048 days-valid=24837 trusted=yes
            key-usage=digital-signature,key-encipherment serial-number="2"
            fingerprint="2c85bf2fbc9fc0832e47cd2773a6f4b6af35ef65"
            invalid-before=jan/01/1970 00:00:01 invalid-after=jan/01/2038 03:14:07

per informazioni più dettagliate far riferimento alla wiki originale (in inglese purtroppo): http://wiki.mikrotik.com/wiki/Manual:CAPsMAN
[/hide]
Cita messaggio


Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  Guida creazione VPN PPTP con RouterOS mannana93 61 27'320 10-05-2018, 16:19
Ultimo messaggio: FabioPisa
  Guida al logging delle connessioni con RouterOS mannana93 5 4'115 26-07-2016, 06:50
Ultimo messaggio: kikko
  Guida: Internet Key su RouterOS hamtarociaoo 16 11'251 05-12-2015, 18:20
Ultimo messaggio: nirinny
  Guida: QoS hamtarociaoo 52 24'005 14-11-2015, 08:13
Ultimo messaggio: kikko
  Guida - Condivisione con protoc. SAMBA di un archivio di massa USB collegato alla RouterBoard mannana93 161 37'008 23-07-2015, 14:58
Ultimo messaggio: giallopaperino
  Guida: Creare una rete per gli ospiti hamtarociaoo 22 10'134 14-06-2015, 22:45
Ultimo messaggio: kikko
  Guida: Link a lunga distanza con PPPoE e nstreme hamtarociaoo 10 5'728 22-05-2015, 05:58
Ultimo messaggio: kikko
  Guida VPN L2TP/IPsec mannana93 59 24'482 02-02-2015, 15:38
Ultimo messaggio: hamtarociaoo
  Guida: Blocco pubblicità con Web Proxy hamtarociaoo 2 2'015 10-12-2014, 16:11
Ultimo messaggio: hamtarociaoo
  Guida: Sincronizzare l'orologio (tramite NTP) hamtarociaoo 19 6'908 23-10-2014, 21:25
Ultimo messaggio: giallopaperino

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2019 MyBB Group.