• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Застосування WPA і PEAP

    1. Потужна комбінована захист бездротових мереж Забезпечення безпеки бездротових мереж доставляє масу...
    2. Налаштування RADIUS
    3. Налаштування вузлів доступу
    4. Тестування і усунення несправностей в бездротових мережах
    5. Поширення бездротових налаштувань за допомогою групової політики
    6. Інші можливості і ресурси
    7. Захист мережі з WPA-PSK и WPA2-PSK
    Потужна комбінована захист бездротових мереж

    Забезпечення безпеки бездротових мереж доставляє масу клопоту адміністраторам підприємств усіх розмірів. Недостатньо домагатися, щоб кінцеві користувачі міняли стандартні настройки, застосовувати паролі для підключення до вузлів доступу (Access Points, AP) і шифрувати трафік. Технологія захисту Wired Equivalent Privacy (WEP) має багато слабких місць, і за певних обставин зломщики можуть скористатися ними, щоб проникнути в бездротову мережу підприємства. Ці недоліки усунуті в стандарті Wi-Fi Protected Access (WPA) і більш пізньому стандарті WPA2 завдяки надійним алгоритмам аутентифікації і шифрування. Вони повинні використовуватися замість WEP завжди, коли це можливо. Недолік використання WPA і WPA2 - ускладнення настройки бездротового інфраструктури, але навіть в невеликої мережі надійний захист спокутує цей недолік. У даній статті викладається поетапний план розгортання рішення на основі WPA або WPA2 і відповідної настройки клієнтів Windows XP.

    Планування інфраструктури WPA і WPA2

    Існує два способи захисту бездротових мереж за допомогою WPA або WPA2. Можна налаштувати WPA і WPA2 на використання процедури перевірки справжності PreShared Key (PSK, WPA-PSK або WPA2-PSK), це ідеальний спосіб для невеликих організацій, в яких немає корпоративного сервера аутентифікації.

    У процесі аутентифікації PSK як клієнтові, так і сервера повинен бути відомий загальний секрет або ключ. Додаткові відомості про використання технології WPA-PSK і WPA2-PSK наведені в урізанні «Захист мережі з WPA-PSK і WPA2-PSK». WPA і WPA2 можна налаштувати і на використання технології 802.1x, і саме цей метод розглядається в даній статті. Більш докладно про PSK і 802.1x розказано в статті «Захист бездротової мережі», опублікованій в № 2 Windows IT Pro / RE за 2006 р

    При використанні WPA або WPA2 з 802.1x необхідно вибрати метод аутентифікації користувачів в мережі. У Windows можливі два варіанти: клієнтські сертифікати (з аутентифікацією Extensible Authentication Protocol-Transport Layer Security - EAP-TLS) і протокол Protected Extensible Authentication Protocol (PEAP) в комбінації з протоколом Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAP v2). Вважається, що сертифікати забезпечують більш надійний захист, ніж PEAP, але на відміну від PEAP для них необхідна інфраструктура відкритих ключів Public Key Infrastructure (PKI). Якщо на підприємстві існує продумана політика управління паролями, а користувачі часто змінюють паролі, то PEAP може бути оптимальним рішенням для підприємств малого та середнього бізнесу. У даній статті розглядається саме цей метод захисту бездротової мережі. Тому, хто хоче використовувати сертифікати для аутентифікації користувачів, можна рекомендувати прочитати статтю «Як захистити WLAN за допомогою сертифікатів», яка опублікована в № 3 «Windows IT Pro / RE» за 2005 р

    У процесі аутентифікації PEAP бездротова точка доступу AP перевіряє справжність і виконує авторизацію бездротового клієнта із застосуванням служби Remote Authentication Dial In User Services (RADIUS), передаючи пакети аутентифікації з клієнта на сервер RADIUS. на Мал. 1 показані компоненти інфраструктури аутентифікації RADIUS. Сервери RADIUS повинні мати доступ до каталогу (наприклад, Active Directory, AD), в якому зберігається інформація про користувачів, необхідна для аутентифікації. Щоб авторизувати клієнта, сервер RADIUS аналізує політику, складену адміністратором. Політика може бути призначена для конкретного користувача або бути спільною для всіх користувачів або груп. Деякі реалізації RADIUS, зокрема Microsoft Internet Authentication Service (IAS), дозволяють запросити в каталозі політику для конкретного користувача.

    Налаштування RADIUS

    Щоб підготувати бездротову мережу до використання PEAP, необхідно спочатку встановити в мережі один або кілька серверів RADIUS. Роль сервера RADIUS може грати будь-яка система Windows Server 2003 або Windows Server 2000, але для оптимальної продуктивності Microsoft рекомендує встановити RADIUS на контролері домену (DC). Крім того, для підвищення відмовостійкості корисно встановити в мережі більше одного сервера RADIUS. В даному прикладі використовується варіант IAS. Щоб встановити IAS, слід відкрити утиліту Add / Remove Programs в панелі управління і перейти на вкладку Add / Remove Windows Components. У майстра Windows Components Wizard потрібно вибрати Networking Services і клацнути на кнопці Details. У діалоговому вікні Networking Services виберіть Internet Authentication Service і натисніть OK.

    Активізація RADIUS. Після установки IAS на сервері RADIUS необхідно активізувати сервер RADIUS, зареєструвавши його в AD. Для цього потрібно відкрити оснастку Internet Authentication Service в консолі управління Microsoft Management Console (MMC) з меню Start, Administrative Tools. У меню Action слід вибрати пункт Register Service in Active Directory і підтвердити клацанням на кнопці OK, що службі IAS дозволено читати властивості комутованих з'єднань користувачів. Потім на екрані з'являється запрошення додати сервер в групу RAS and IAS Servers в інших доменах, які будуть задіяти цей сервер RADIUS для аутентифікації користувачів.

    Отримання сертифікатів для серверів RADIUS. Після установки серверів RADIUS необхідно отримати сертифікати для кожного з них. Можна встановити корпоративний засвідчує центр Certification Authority (CA) - наприклад, Microsoft Certificate Services, який поставляється разом з Windows 2003 і Windows 2000, і активізувати режим автоматичної реєстрації, щоб отримати необхідні сертифікати. Інформацію про встановлення корпоративного CA можна знайти в статті «Принципи довіри PKI», опублікованій в цьому номері журналу. Щоб не встановлювати CA, можна придбати сертифікат для серверів RADIUS у незалежного постачальника, такого як Verisign.

    Визначення політики віддаленого доступу. Далі потрібно визначити політику, яка дозволяє сервера RADIUS аутентифицировать і авторизувати бездротові мережеві клієнти. Слід відкрити в MMC оснастку Internet Authentication Service (меню Start, Administrative Tools, Internet Authentication Service). Клацнувши правою кнопкою миші на Remote Access Policies, необхідно вибрати New Remote Access Policy і запустити майстер New Remote Access Policy Wizard. Щоб приступити до введення деталей політики, потрібно клацнути на кнопці Next. На сторінці Policy Configuration Method наведені два режими: Use the wizard to set up a typical policy for a common scenario і Set up a common policy. Потрібно вибрати перший режим для налаштування типової політики, а потім ввести ім'я політики (наприклад, Wireless LAN policy) і клацнути на кнопці Next. На екрані з'являться чотири варіанти доступу. Слід вибрати Wireless і натиснути Next. На цій сторінці можна налаштувати політику для користувача або групи. Вибравши Group, слід клацнути на кнопці Add, щоб вказати групи користувачів, яким буде надано доступ. Можна дати імена груп, що містить тільки тих, хто з бездротовим доступом (рекомендується), або скласти широку групу, таку як Domain Users. Сформувавши групи, натисніть Next.

    Налаштування методу і політики аутентифікації. За замовчуванням метод аутентифікації - PEAP, відповідно до якого користувачі проходять аутентифікацію, вказуючи свої облікові дані. Метод аутентифікації можна змінити, клацнувши на кнопці Configure. Сертифікат, виданий сервера RADIUS корпоративним CA або придбаний в незалежному центрі, повинен відображатися в поле Certificate Issued, а Secured Password (EAP MSCHAPv2) повинен бути показаний в списку типів EAP. Якщо сертифікат сервера RADIUS не вказано, слід вибрати його із списку. Якщо сертифікат недоступний, то перед виконанням наступних операцій необхідно переконатися, що він встановлений коректно.

    При аутентифікації PEAP можна вказати, скільки разів користувачам дозволено вводити облікові дані при кожній спробі аутентифікації, перш ніж з'єднання буде розірвано. Можна також дозволити або заборонити користувачам змінювати пароль після закінчення терміну дії. Переконайтеся, що встановлено прапорець Enable Fast Reconnect. Клацніть на кнопці Next, щоб побачити зведення параметрів, і збережіть політику клацанням на кнопці Finish.

    У збережену політику необхідно внести пару змін. Слід два рази клацнути на політиці в оснащенні IAS, щоб відкрити діалогове вікно Properties. Клацніть на кнопці Edit Profile, щоб відкрити екран Edit Dial-in Profile. Клацнувши на вкладці Dial-in Constraints, можна встановити прапорець Minutes clients can be connected. Завдяки параметру Session-Timeout клієнт не може залишатися підключеним протягом тривалого часу після блокування облікового запису. Клієнтам доведеться знову пройти аутентифікацію після з'єднання протягом зазначеного числа хвилин. На думку фахівців Microsoft, в середовищі WPA або WPA2 прийнятне значення становить 600 хвилин. Потім слід перейти на вкладку Advanced і клацнути на кнопці Add. Зі списку в діалоговому вікні Add Attribute потрібно вибрати Ignore-User-Dialin-Properties і клацнути на кнопці Add. З'явиться діалогове вікно Boolean Attribute Information, в якому цей параметр повинен мати значення True. Клацніть на кнопці OK. Закрийте діалогове вікно Add Attribute, клацнувши на кнопці Close, а потім натисніть OK, щоб зберегти зміни політики. Ці настройки гарантують, що властивості користувачів комутованих з'єднань не викличуть проблем з вузлами доступу, які розраховані тільки на бездротові властивості.

    Налаштування вузлів доступу

    Потім необхідно налаштувати IAS на зв'язок з клієнтами RADIUS (тобто вузлами доступу). В оснащенні IAS потрібно натиснути правою кнопкою миші на RADIUS Clients і вибрати пункт New RADIUS Client із списку. Для клієнта RADIUS необхідно ввести зрозуміле ім'я і ім'я вузла або IP-адреса, а потім клацніть на кнопці Next.

    В поле Client-Vendor слід вибрати елемент RADIUS Standard. У полях Shared secret і Confirm shared secret потрібно ввести надійний секретний ключ. Цей секретний ключ - спільний з вузлом доступу, він буде використовуватися для аутентифікації і шифрування трафіку між вузлом доступу і серверами RADIUS. Потім потрібно встановити прапорець Request must contain the Message Authenticator attribute. В результаті сервер RADIUS вимагає від вузла доступу використання загального секретного ключа. Ці дії слід повторити для настройки кожного сервера RADIUS.

    Нарешті, налаштуйте вузол доступу відповідно до рекомендацій виробника. По крайней мере, потрібно ввести ідентифікатор Service Set Identifier (SSID), налаштувати його на аутентифікацію WPA з 802.1x або WPA2 з 802.1x (але не PSK) і вибрати алгоритм шифрування TKIP (для WPA) або AES (для WPA2), а потім ввести інформацію сервера RADIUS і загальний ключ.

    Тестування і усунення несправностей в бездротових мережах

    Після того як буде завершена настройка серверів RADIUS і вузлів доступу, необхідно протестувати зв'язок і усунути неполадки. Щоб протестувати зв'язок, слід відключити все, крім одного вузла доступу (можна протестувати зв'язок після установки першого сервера RADIUS і вузла доступу). Клацніть правою кнопкою миші на бездротовому мережному адаптері бездротового клієнта і виберіть пункт Properties. Користувач, у якого немає повноважень члена локальної групи Administrators, отримає попередження про блокованих елементах управління. Повідомлення слід проігнорувати і натиснути OK, щоб видалити його з екрану. У діалоговому вікні Wireless Network Connection Properties потрібно перейти на вкладку Wireless Networks. У розділі Preferred Networks потрібно клацнути на кнопці Add, щоб відкрити вікно Wireless Network Properties. В поле Network name (SSID) потрібно ввести SSID, вибрати WPA або WPA2 із списку Network Authentication, потім вибрати алгоритм TKIP або AES із списку Data Encryption. Клацніть на вкладці Authentication, із списку EAP type виберіть пункт EAP (PEAP) і натисніть OK. Клацніть View Wireless Networks на екрані Wireless Network Connection Properties, виберіть SSID для щойно доданої мережі, а потім клацніть на кнопці Connect. Повинно бути встановлено з'єднання з бездротовою мережею. Ці дії не доведеться повторювати при кожному підключенні; настройка мережі завершена, і зв'язок повинна встановлюватися автоматично.

    Якщо не вдається підключитися до бездротової мережі, то існує багато джерел діагностичної інформації. У більшості вузлів доступу є журнали активності, за якими видно, перешкоджають чи аутентифікації клієнтів проблеми зв'язку з серверами RADIUS. З журналів IAS в папці% systemroot% system32logfiles можна дізнатися про збої аутентифікації і авторизації. IAS записує події в журнал System, за допомогою якого можна усувати неполадки з'єднань.

    Поширення бездротових налаштувань за допомогою групової політики

    Якщо використовується WPA, то настройки можна передати бездротовим клієнтам за допомогою групової політики, не витрачаючи зусиль на ручну настройку кожного клієнта. В даний час групова політика несумісна з WPA2. При роботі з AD на основі Windows 2000 необхідно встановити Windows 2003 DC для оновлення схеми AD і запуску редактора Group Policy Editor (GPE) на цьому DC, щоб забезпечити підтримку бездротових мереж.

    Щоб використовувати групову політику для настройки доступу до бездротової мережі, слід зареєструватися в DC і запустити оснащення Active Directory Users and Computers консолі MMC. Рекомендується створити організаційну одиницю (OU) і помістити в неї облікові записи комп'ютерів клієнтів бездротової мережі. Потім можна застосувати об'єкт Group Policy Object (GPO) для бездротових параметрів до OU, не впливаючи на інші системи в лісі. Запустивши GPE, слід перейти до політиків Wireless Network (IEEE 802.11) Policies, які зберігаються в розділі Computer Configuration, Windows Settings, Security Settings. Клацніть правою кнопкою миші в правій панелі MMC і виберіть Create Wireless Network Policy, щоб запустити майстер Wireless Network Policy Wizard. Введіть ім'я та опис політики. Після клацання на кнопці Finish майстер запитає, чи слід повернутися назад і відредагувати політику. У відповідь потрібно клацнути на кнопці Yes.

    У діалоговому вікні New Network Policy Properties потрібно перейти до вкладки General, на якій показані ім'я і опис політики. На цій сторінці можна задати час, протягом якого клієнти повинні очікувати, перш ніж перевірити оновлення політики (за замовчуванням 180 хвилин), і вказати доступні мережі. У розділі Networks to access знаходиться список, що розкривається з трьома варіантами: Any available network (access point preferred), Access point (infrastructure) networks only і Computer-to-computer (ad hoc) networks only. Рекомендується вибрати Access point (infrastructure) networks only. В цьому режимі блокуються спроби бездротових клієнтів підключитися до інших безпроводових клієнтам, які можуть передавати такий же SSID, як одна з ваших бездротових мереж (звичайний прийом, який застосовується хакерами для перехоплення даних). Тут же необхідно налаштувати два інших параметра політики. Перший з них - Use Windows to configure wireless network settings for clients - забороняє використовувати програми третіх сторін (утиліти виробників) для настройки бездротових мережевих адаптерів. Цей режим слід активізувати. Другий параметр - Automatically connect to non-preferred networks - визначає, чи можуть клієнти, до яких застосована політика, підключатися до інших бездротових мереж, крім перерахованих на вкладці Preferred Networks. Цей режим активізувати не рекомендується, так як він дозволяє клієнтам підключатися до невідомим мереж при відсутності кращою мережі.

    На вкладці Preferred Networks слід вказати мережі, до яких можуть підключатися клієнти. Щоб додати мережу, потрібно клацнути на кнопці Add і відкрити діалогове вікно New Preferred Setting Properties. На вкладці Network Properties слід ввести SSID і опис мережі. Тут же знаходяться два списки, що розкриваються. Виберіть WPA зі списку Network Authentication і TKIP або AES зі списку Data Encryption. Потім потрібно відкрити вкладку IEEE 802.1x і вибрати Protected EAP (PEAP) із списку EAP Type. Клацнувши на Settings, потрібно вибрати зі списку джерел сертифікації тільки довірені. Довіреними є джерела, що видають сертифікати серверів RADIUS. Потім необхідно вибрати метод аутентифікації Secured Password (EAPMSCHAPv2) зі списку в розділі Select Authentication Method. Виберіть Enable Fast Reconnect і збережіть політику, клацнувши на кнопці OK.

    Для перевірки нової політики потрібно відкрити командний рядок на бездротовому клієнта і запустити

    gpupdate / target: computer
    / force

    Ця команда витягує нову політику і застосовує її на бездротовому клієнта. Застосувавши політику, можна побачити на вкладці Networks діалогового вікна Wireless Network Connection Properties список бездротових мереж, налаштованих в GPO.

    Інші можливості і ресурси

    Володарям бездротових мереж з WEP пора посилити захист своїх мереж. Використовуючи технологію 802.1x і аутентифікацію PEAP з WPA або WPA2, можна побудувати потужну інфраструктуру безпеки, і я сподіваюся, що завдяки цій статті завдання трохи спроститься. Однак існують інші варіанти побудови надійно захищеної бездротової мережі. З ними можна познайомитися на спеціалізованому сайті Microsoft по Wi-Fi і безпеки ( http://www.microsoft.com/wifi ). Докладні інструкції щодо захисту бездротових мереж можна отримати за адресою http://www.microsoft.com/technet/security/topics/NetworkSecurity.mspx . Ще одна хороша стаття по бездротовій безпеки - «Безпечна бездротова мережа», опублікована в № 4 Windows IT Pro / RE за 2004 р Завдяки всім цим ресурсам і постійного технічного прогресу безпечна бездротова мережа стала цілком досяжною метою.

    Джон Хоуі - директор компанії World Wide Services і підрозділи IT Technical Community for Security в Microsoft. Має 15-річний досвід роботи в області інформаційної безпеки і сертифікати CISA, CISM і CISSP. [email protected]

    Захист мережі з WPA-PSK и WPA2-PSK

    Найпростіший метод захисту мережі з використанням стандарту WPA або WPA2 - за допомогою процедури перевірки справжності Pre-Shared Key (PSK) Authentication (іменуються WPA-PSK і WPA2-PSK відповідно). Такий спосіб використання WPA схожий на Wired Equivalent Privacy (WEP), але він забезпечує додаткові переваги, реалізовані в WPA і 802.11i, в тому числі більш надійну аутентифікацію і досконалі алгоритми шифрування.

    Щоб використовувати WPA-PSK або WPA2-PSK в бездротової мережі, необхідний вузол доступу (Access Point, AP), сумісний з одним або обома стандартами. У багатьох AP реалізовані обидва стандарти, і їх зручно використовувати на підприємствах з різними бездротовими клієнтами. У деяких вузлах доступу високого класу можна навіть одночасно задіяти WPA, WPA2 і WEP. Дотримуйтесь інструкцій, поданих у цьому посібнику для вузла доступу, щоб налаштувати Service Set Identifier (SSID - посвідчення для бездротової мережі), виберіть WPA, WPA2 або обидва стандарти, в залежності від вимог конкретної мережі, і введіть надійний, заздалегідь переданий ключ, який буде важко розгадати фальшивому бездротовому клієнту.

    Після настройки AP рекомендується використовувати один портативний або настільний бездротової клієнт для тестування зв'язку. Перш за все, слід переконатися, що бездротової клієнт сумісний з WPA або WPA2. Для цього потрібно відкрити панель управління, розділ Network Connections і натиснути правою кнопкою миші на бездротовому мережному адаптері. З меню необхідно вибрати пункт Properties і перейти на вкладку Wireless Networks. Для пошуку мережі потрібно клацнути на кнопці View Wireless Networks або клацнути на кнопці Add і вручну додати мережу. На екрані A показана конфігурація WPA-PSK для нової мережі.

    Групову політику можна використовувати для передачі бездротовим мережевим клієнтам налаштувань WPA-PSK і WPA-PSK2, але не загальних ключів. Не рекомендується також доручати користувачам самостійний введення заздалегідь переданих ключів. Краще записати установки бездротової мережі і налаштування інших бездротових мережевих клієнтів за допомогою майстра Wireless Network Setup Wizard з панелі управління. При запуску майстра на екрані з'являється два варіанти завдання: організувати нову бездротову мережу або додати в мережу новий комп'ютер або пристрій. Слід активізувати режим введення нового комп'ютера і клацнути на кнопці Next. Виберіть режим Use a USB flash drive (recommended) і натисніть Next. Необхідно вставити флеш-накопичувач в порт USB комп'ютера, а коли пристрій буде виявлено, вибрати його із списку Flash drive, потім клацнути на кнопці Next. Бездротові параметри і маленька допоміжна програма копіюються на флеш-накопичувач, який налаштовується на запуск цієї програми щоразу, коли накопичувач вставляється в комп'ютер. Потім слід вийняти флеш-накопичувач з комп'ютера і підключити його до кожного бездротового клієнта (потрібно стати зареєстрованим користувачем, який буде працювати з системою першим). Якщо серед співробітників підприємства є користувачі як бездротових, так і провідних мереж, можна скопіювати в розділяється папку програму (setupSNK.exe), папку smrtntky і її вміст. Потім необхідно налаштувати сценарій реєстрації, поставити у відповідність папці букву диска на системі користувача і запустити setupSNK.exe. Попередження: заздалегідь переданий ключ зберігається в простому текстовому форматі в двох файлах в папці smrtntky. Акуратно зберігайте флеш-накопичувач, щоб не втратити його, а завершивши настройку бездротових клієнтів, рекомендується фізично знищити накопичувач. Прочитати вилучену інформацію з флеш-накопичувача дуже просто, а надійно видалити - важко. Якщо створений сценарій реєстрації для настройки бездротових мережевих клієнтів, то після настройки клієнтів необхідно видалити файли і сценарій реєстрації.

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua