使用 Cisco Identity PSK 安全限制 IoT 设备,保护网络

麻烦的一点需要先把设备 MAC 地址先整理出来。。花了大把时间整理后打开 WLC 页面,在 MAC Filtering 里勾上对应的验证模式和 MAC 地址格式。接着到 SSID 配置里勾上 MAC Filtering,勾上 RADIUS 服务器,勾上 AAA Override,就配置好了。。

RADIUS 配置,非常简单,单个设备验证,强制使用 VLAN 50(无需多开 SSID),使用指定 PSK,安全系数上升 N 级。

de-ad-be-ef-ba-be Cleartext-Password := "pass"	
	Tunnel-Type = VLAN,
	Tunnel-Medium-Type = IEEE-802,
	Tunnel-Private-Group-ID = "50",
	cisco-avpair = "psk-mode=ascii",
	cisco-avpair = "psk=williamtrufuck"

对于一群辣鸡小米设备来说,可以这样

DEFAULT User-Name =~ '^f0-b4-29', Cleartext-Password := 'pass'
	Tunnel-Type = VLAN,
	Tunnel-Medium-Type = IEEE-802,
	Tunnel-Private-Group-ID = "60",
	cisco-avpair = "psk-mode=ascii",
	cisco-avpair = "psk=weimintrufuck"

不嫌麻烦可以全把小米的全写进去。。。Freeradius 应该可以配合 oui.txt 来指定厂商,但没去研究。(这样牺牲安全,不推荐。。)

00-9E-C8
00-EC-0A
0C-1D-AF
10-2A-B3
14-F6-5A
18-59-36
20-82-C0
28-6C-07
28-E3-1F
34-80-B3
34-CE-00
38-A4-ED
3C-BD-3E
4C-49-E3
50-64-2B
50-8F-4C
58-44-98
64-09-80
64-B4-73
64-CC-2E
68-DF-DD
74-23-44
74-51-BA
78-02-F8
78-11-DC
7C-1D-D9
8C-BE-BE
98-FA-E3
9C-99-A0
A0-86-C6
AC-C1-EE
AC-F7-F3
B0-E2-35
C4-0B-CB
C4-6A-B7
D4-97-0B
E4-46-DA
EC-D0-9F
F0-B4-29
F4-8B-32
F4-F5-DB
F8-A4-5F
FC-64-BA