Så er mit første opensource projekt skudt igang.
Jeg manglede et udruldningsværktøj til at installere ca 1000 trådløse Cisco telefoner.
Konsulent huset, der havde lavet telefon installationen, havde ingen kompetencer til at hjælpe, udover "brug WPA shared secret, og konfigurer det manuelt".
Derfor kikkede jeg på de forskellige standarder for Wireless sikkerhed og valget faldt på EAP-TLS, der har to svagheder:
- Bruger Id'et sendes i klar tekst.
- Certifikater skal udrulles.
Bruger ID’et er basalt telefonens MAC adresse, denne sendes i forvejen i klar tekst, og udgører ikke noget problem. Certifikater kan udrulles automatisk med dette projekt.</p>
Fordelene er derimod mange:
- EAP-TLS kan også bruges til kablet netværk.
- Klienten validere AP'ets server certifikat via rod certifikatet.
- AP'et validere Klientens klient certifikat via rod certifikatet.
- En klient kan hurtigt black listes, ved at føje den til den sorte liste.
- Standarden er beskrevet i RFC 5216 og er derfor nem tilgændelig, hvis man skulle fejlmelde en producents udstyr (hvilket allerede er tilfældet).
- Standarden er understøttet af mange producenter.
- Standarden er gammel.
Da hverken Cisco eller konsulent huset havde et udrulnings værktøj, kikkede jeg i stedet på telefonens HTML formularer og byggede noget tilsvarende i Perl.</p>
Derefter bliv der også lavet et lille script til at kikke efter nye telefoner i DHCP serverens logfil.
Udruldningen er meget simpel:
- Tænd så mange telefoner som muligt.
- Sluk dem når de virker.
Dog har Cisco flere irriterende “egenskaber”:</p>
- Løber battteriet fladt, er telefonen tilbage til 2000-01-01 og certifikater bygget i 2010 er udgyldige.
- Datoer efter 2030 starter forfra fra 1970.
Derfor sættes datoen som det første til 1999-12-31 og certifikater bygges fra denne dato og 29 år frem.</p>