搭建一個(gè) 802.1x 的 web 測(cè)試服務(wù)

前言

802.1x 是一種二層認(rèn)證協(xié)議,結(jié)合 EAP,它能夠?yàn)闊o(wú)線網(wǎng)絡(luò)提供安全的,無(wú)感知的認(rèn)證服務(wù)。因此許多大型的園區(qū)網(wǎng)都選擇使用 802.1x 作為無(wú)線網(wǎng)絡(luò)的認(rèn)證模式。
大名鼎鼎的 eduroam 也是完全基于 802.1x 認(rèn)證的全球無(wú)線漫游網(wǎng)絡(luò)。
由于 802.1x 的特性,在進(jìn)行基于 802.1x 的無(wú)線認(rèn)證時(shí),對(duì)終端本身有一定的要求。因此 802.1x 的無(wú)線網(wǎng)絡(luò)排障就比較討厭,因?yàn)槠渲杏邢喈?dāng)一部分屬于終端側(cè)的配置或兼容問(wèn)題。
對(duì)于 eduroam 漫游時(shí)就更加麻煩了,管理員很難確認(rèn)到底是漫游所在地的 eduroam-sp 存在問(wèn)題,還是賬號(hào)所在地的 eduroam-idp 認(rèn)證存在異常。
因此,最好能有一個(gè)基于 web 的 802.1x 認(rèn)證測(cè)試服務(wù),管理員測(cè)試一下就知道是哪邊出的問(wèn)題。
這樣的服務(wù)國(guó)外有學(xué)校提供,例如這個(gè) Masarykova univerzita
現(xiàn)在我們來(lái)自己實(shí)現(xiàn)一個(gè)

輪子

要做這件事,核心的功能就是要構(gòu)造模擬的認(rèn)證報(bào)文,并且需要結(jié)合
EAP??紤]到普遍性,最先應(yīng)該支持的應(yīng)該是 mschapv2 這個(gè)。所以當(dāng)然是先找輪子。。。
https://github.com/Bonn93/radius-python-sanity-check
找到了輪子,測(cè)試可以進(jìn)行 mschapv2 的驗(yàn)證,剩下的事情就好辦了,在輪子的基礎(chǔ)上封裝就好了

需求

先整理一下需求:

  • 我們需要一個(gè) web 表單,讓用戶輸入他的用戶名和密碼進(jìn)行測(cè)試,并返
    回結(jié)果
  • 不同的 SSID 應(yīng)該能生成對(duì)應(yīng)不同的表單頁(yè)面
  • 得加一個(gè)驗(yàn)證碼來(lái)防止壞人猜密碼
  • 最好再有個(gè) API 可供程序調(diào)用,這樣可以構(gòu)建自動(dòng)化的監(jiān)控
  • API 得有訪問(wèn)控制

實(shí)現(xiàn)

因?yàn)檩喿邮?Python 的,所以整個(gè)服務(wù)肯定也就用 Python 來(lái)實(shí)現(xiàn)了,用 flask 來(lái)做。下面做一些簡(jiǎn)單的介紹,完整代碼見(jiàn) GITHUB
目錄結(jié)構(gòu)如下:

├── app
│   ├── framd.ttf  #字體文件,用來(lái)生成驗(yàn)證碼的
│   ├── __init__.py
│   ├── static # 靜態(tài)文件,css,js 之類的
│   ├── templates # web 模板 
│   ├── utils.py 
│   └── views.py 
├── config.py # 配置文件
├── control # 啟動(dòng)腳本
├── gunicorn.conf # gunicorn 的配置文件
├── lib # radius 報(bào)文的封裝 lib(就是我們找的那個(gè)輪子)
│   ├── bidict.py
│   ├── client.py
│   ├── dictfile.py
│   ├── dictionary.py
│   ├── dicts
│   ├── host.py
│   ├── __init__.py
│   ├── mschap2.py
│   ├── packet.py
│   └── tools.py
├── LICENSE
├── README-CN.md
├── README.md
├── requirement.txt
├── run.py
└── var
    └── app.log

先從 config.py 說(shuō)起,我們的配置都放在這兒


# BASIC APP CONFIG
BIND_ADDRESS = '0.0.0.0'
PORT = 81
SECRET_KEY = "session_secret_key"  # 建立 session 所使用的 key,session 用來(lái)存驗(yàn)證碼

# SSID CONFIG
SSID_CONFIG = {
        "test1x":
            {"RADIUS_HOST":"192.168.0.210","RADIUS_SECRET":"802.1x","RADIUS_PORT":1812,"NAS_IP":"192.168.80.5"},
        "eduroam":
            {"RADIUS_HOST":"192.168.0.220","RADIUS_SECRET":"eduroam","RADIUS_PORT":1812,"NAS_IP":"192.168.80.5"},
        }
# 字典的 key 將作為 url 的路徑,例如 https://test.edu.cn/test/eduroam

# API_KEY
API_KEY = "0c8d964e8fbd4cfcd040b5691d119968"

因?yàn)槲覀兊臒o(wú)線網(wǎng)絡(luò)可能有多個(gè) SSID,并且不同的 SSID 對(duì)應(yīng)的后端是不同的 Radius。因此需要根據(jù)每個(gè) SSID 配置不同的 Radius 配置。這里的 SSID ,同時(shí)也會(huì)成為最后生成的測(cè)試 URL,例如 https://test.example.cn/test/eduroam

挑戰(zhàn)報(bào)文

def radius_challenge(username, password, host, secret, port, nasip, debug):
        hostname = gethostname()
        dict_path = sys.path[0] + "/lib/dicts/dictionary"
        radius = Client(server = host, secret = secret, authport = port, dict = Dictionary(dict_path))
        request = radius.CreateAuthPacket(code = packet.AccessRequest)
        if debug:
                print "[DEBUG] assembling packet attributes"
        request["User-Name"] = username
        request["NAS-IP-Address"] = nasip
        request["NAS-Identifier"] = hostname
        ……
        ……

我們把輪子里的代碼重新封裝一下,構(gòu)造一個(gè)函數(shù)出來(lái)負(fù)責(zé)發(fā)送 Radius 挑戰(zhàn)報(bào)文。后面就用調(diào)用它來(lái)做 Radius 的測(cè)試

驗(yàn)證碼

由于我們提供的是一個(gè)開(kāi)放的測(cè)試表單,因此必須要有驗(yàn)證碼,否則壞人就要暴力猜密碼叻。我們使用 PIL 庫(kù)進(jìn)行驗(yàn)證碼圖像的生成,并把驗(yàn)證碼圖像對(duì)應(yīng)的數(shù)字存在 session 里面。

@app.route('/code', methods=['GET'])
def code():
    """生成驗(yàn)證碼
    """
    from io import BytesIO

    output = BytesIO()
    code_img, code_str = create_validate_code() # 生成驗(yàn)證碼的函數(shù),在 utils.py 里
    code_img.save(output, 'jpeg')
    img_data=output.getvalue()
    output.close()
    response = make_response(img_data)
    response.headers['Content-Type'] = 'image/jpg'
    session['code_text'] = code_str # 把正確的驗(yàn)證碼數(shù)字放進(jìn) session 里待校驗(yàn)
    return response

表單

@app.route('/test/<string:ssid>', methods=['GET','POST'])
def radius_test(ssid):
        ssid_config = app.config['SSID_CONFIG']
        if ssid not in ssid_config:
                return "404 page not found",404
        if request.method == 'GET':
                return render_template('radius1x.html',ssid=ssid)
        ……
        ……

根據(jù)配置不同的 SSID 生成不同的表單 URL,通過(guò)校驗(yàn) session 中的驗(yàn)證碼來(lái)判斷驗(yàn)證碼是否正確。然后將收到的用戶名和密碼發(fā)送給 Radius 做測(cè)試

API

@app.route('/api/v1/<string:ssid>', methods=['POST'])
def radius1x_api(ssid):
    ssid_config = app.config['SSID_CONFIG']
    if ssid not in ssid_config:
        return "404 page not found",404
        ……
        ……

提供 API 的接口,供程序來(lái)調(diào)用,通過(guò)配置文件中的 API_KEY 進(jìn)行鑒權(quán)

部署

flask 內(nèi)置了一個(gè) WSGI 服務(wù)器,我們測(cè)試的時(shí)候可以 python run.py 直接跑起來(lái)。然而一來(lái)這樣沒(méi)法后臺(tái)運(yùn)行,二來(lái) flask 內(nèi)置的 WSGI 性能有點(diǎn)寒磣的,我們得通過(guò)其他方法來(lái)做生產(chǎn)環(huán)境的部署
我們使用 gunicorn 來(lái)進(jìn)行作為生產(chǎn)環(huán)境的 WSGI 服務(wù),然后參考 Open-Falcon 里 Dashboard 的控制方式,我們來(lái)抄一下它的 Control 腳本~

#!/bin/bash

WORKSPACE=$(cd $(dirname $0)/; pwd)
cd $WORKSPACE

mkdir -p var

module=1xtest
app=radius-$module
pidfile=var/app.pid
logfile=var/app.log

function check_pid() {
    if [ -f $pidfile ];then
        pid=`cat $pidfile`
        if [ -n $pid ]; then
            running=`ps -p $pid|grep -v "PID TTY" |wc -l`
            return $running
        fi
    fi
    return 0
}

function start() {
    source env/bin/activate
    hash gunicorn 2>&- || { echo >&2 "I require gunicorn but it's not installed.  Aborting."; exit 1; }

    check_pid
    running=$?
    if [ $running -gt 0 ];then
        echo -n "$app now is running already, pid="
        cat $pidfile
        return 1
    fi

    gunicorn -c gunicorn.conf run:app -D -t 6000 --pid $pidfile --error-logfile $logfile --log-level info
    sleep 1
    echo -n "$app started..., pid="
    cat $pidfile
}
……
……

這樣就可以使用 ./control start,./control stop 來(lái)進(jìn)行服務(wù)啟停了。

最后再給他套一層 nginx 作為反向代理,把 ssl 證書(shū)部上,提供 https 服務(wù)。同時(shí)再做一個(gè) http 到 https 的重寫(xiě),這樣就差不多了。

運(yùn)行截圖

image.png
[root@host ~]# curl -H "Content-Type: application/json" -d '{"username":"test01@test.edu.cn","password":"test123","token":"0c8d964e8fbd4cfcd040b5691d119968"}' "https://test.edu.cn/api/v1/eduroam"
{
  "result": {
    "method": "mschapv2", 
    "success": true, 
    "time": 0.36426687240600586, 
    "username": "test01@test.edu.cn"
  }
}

聯(lián)盟監(jiān)控

eduroam 是一個(gè)全球的無(wú)線漫游聯(lián)盟,利用 Radius Proxy 來(lái)實(shí)現(xiàn)的。進(jìn)行 eduroam 認(rèn)證的時(shí)候需要講自己的用戶名加上@域名,例如 username@ecnu.edu.cn,eduroam-sp 則將 radius 認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給上一級(jí)節(jié)點(diǎn),上級(jí)節(jié)點(diǎn)再根據(jù)域名轉(zhuǎn)發(fā)給對(duì)應(yīng)的節(jié)點(diǎn)/或者再向上級(jí)轉(zhuǎn)發(fā),和 dns 有點(diǎn)像的。
中國(guó)教科網(wǎng)在 2015 年也加入了 eduroam,目前國(guó)內(nèi)有 50 余所高校都提供 eduroam 的全球漫游服務(wù)。想想自己的賬號(hào)跑到其他學(xué)校也能直接上網(wǎng),這確實(shí)是件蠻爽的事情。
然而對(duì)于 eduroam 的聯(lián)盟運(yùn)維而言,聯(lián)盟規(guī)模越大,運(yùn)維越是麻煩。每個(gè)節(jié)點(diǎn)出故障的概率如果是0.1%,50 個(gè)節(jié)點(diǎn)至少有一個(gè)出故障的概率就是4.9%,聯(lián)盟規(guī)模越大,出故障的概率越高。對(duì)于聯(lián)盟的運(yùn)維而言,我們需要能夠快速發(fā)現(xiàn)故障,快速定位,快速修復(fù)。
因此我們可以考慮從每個(gè) eduroam-idp 討一個(gè)測(cè)試賬號(hào)。做一個(gè)探針腳本調(diào)用 API 進(jìn)行逐個(gè)測(cè)試,把測(cè)試結(jié)果推到監(jiān)控平臺(tái)里面。
于是我們就可以完整的監(jiān)控到每一個(gè) eduroam-idp 的服務(wù)是否可用,響應(yīng)時(shí)間,并在宕機(jī)的時(shí)候及時(shí)的發(fā)出告警。從而提升整個(gè)聯(lián)盟的運(yùn)維水平

以上

轉(zhuǎn)載授權(quán)

CC BY-SA

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容