Беспроводная сеть в Windows 2003

Опубликовано: 25 Марта, 2023


Пакет обновления 1


Улучшения для беспроводной сети


Усовершенствования, которые SP1 предоставляет для беспроводных локальных сетей, очень полезны для корпоративных сетей. Без пакета обновления 1 (SP1) в Windows Server 2003 метод защиты WPA не поддерживается и, следовательно, не может быть реализован, что больше не является проблемой с пакетом обновления 1. Помимо устранения слабых мест исходной версии Windows Server 2003, пакет обновления 1 (SP1) упрощает развертывание безопасных крупномасштабных беспроводных локальных сетей. Кроме того, администраторы теперь могут предоставить пользователям беспроводных клиентов — с помощью Windows XP SP2 — выбор предварительно утвержденных цифровых сертификатов и полномочий для подписи. Это означает, что им будет разрешено устанавливать только те сертификаты для сети, которые ранее были подтверждены администратором, что делает их менее уязвимыми для атак «человек посередине».


Централизованное управление


Консоль групповой политики Active Directory позволяет централизованно управлять клиентом Wireless Zero Configuration, что упрощает и ускоряет подключение беспроводного клиента к защищенной сети. Теперь можно настроить параметры шифрования WPA TKIP и AES, и любой беспроводной клиент с Windows XP с пакетом обновления 2 или пакетом обновления 1 и исправлением WPA можно централизованно настроить для использования более безопасных методов WPA TKIP или AES для подключения к беспроводной локальной сети..


Мастер настройки беспроводной сети


Как и Windows XP SP2, Windows 2003 SP1 поставляется с мастером беспроводной сети, который поможет настроить безопасные беспроводные сети. Настройки конфигурации можно сохранить на съемном носителе (например, на USB-накопителе), а затем скопировать на другие машины.


Схема аутентификации PEAP


LEAP (Lightweight Extensible Authentication Protocol) — это популярная схема аутентификации, отличная от TLS (Transport Layer Security), представленная Cisco в более поздних версиях их микропрограммы, относящейся к ассортименту продуктов для точек доступа Aironet. В этом протоколе отсутствует двухточечная защита, что делает его уязвимым для атак по словарю на этапе аутентификации учетных данных. С вводом аутентификации PEAP (Protected Extensible Authentication Protocol) в компоненте IAS (Internet Authentication Service) Windows Server 2003 эти недостатки устранены. Кроме того, цифровой сертификат на стороне сервера может поддерживать множество клиентов в одиночку — без использования установленного сертификата на стороне клиента.


Услуги беспроводной связи


Эта новая технология упрощает подключение мобильных сотрудников к точкам доступа или корпоративным LANS, устраняя необходимость ручной настройки сетевого подключения. Предприятия могут лучше управлять гостевым доступом в своей сети и предоставлять клиентам такие планы оплаты, как плата за использование или ежемесячный доступ в Интернет.


Защита беспроводной сети в Windows 2003


При неправильной настройке беспроводные соединения, вероятно, являются одним из самых уязвимых мест сети. Простого метода аутентификации на основе пароля недостаточно, особенно при беспроводном соединении. С помощью службы проверки подлинности в Интернете в Windows 2003 администраторы могут настроить безопасную сеть на основе 802.1X.


Чтобы воспользоваться преимуществами 802.1X в Windows 2003, вам потребуется использовать следующие службы:



  • DHCP и DNS
  • Служба Active Directory
  • RADIUS-сервер (служба интернет-аутентификации)
  • Инфраструктура на основе сертификатов (именуемая PKI — инфраструктура открытых ключей)

Я расскажу о следующих шагах и покажу вам, как настроить структуру безопасности на основе 802.1X с помощью службы проверки подлинности в Интернете в Windows 2003.



  • Настройка точки доступа
  • Центр сертификации Windows 2003
  • Конфигурация службы Active Directory в Windows 2003
  • Конфигурация IAS в Windows 2003


Настройка точки доступа


Ваши точки доступа должны поддерживать аутентификацию 802.1X и WEP. Если это не так, проверьте наличие обновления прошивки, прежде чем продолжить. 802.1X и RADIUS обеспечивают автоматическую генерацию сеансовых ключей, поэтому их не нужно вводить вручную в точку доступа. Однако некоторые точки доступа поддерживают ручной ввод ключей для моделирования (тестирования).


Во-первых, в веб-интерфейсе настройки точки доступа вы должны указать, какие машины будут работать в качестве серверов RADIUS в вашей сети. Могут быть небольшие различия, но идея одна и та же — перейдите к списку серверов RADIUS на панели «Безопасность беспроводной сети» или «Настройки беспроводной сети» и добавьте IP-адрес, номер порта и общий секрет для подключения к серверу RADIUS.



Во-вторых, из панели «Безопасность беспроводной сети» перейдите в раздел «Безопасность 802.1X» и включите его, выберите необходимый размер ключа и параметры повторного ключа группового ключа.




— клиентам не нужно будет повторно вводить пароль для повторной аутентификации на сервере RADIUS.


Замена ключа каждые X минут — это относится к количеству минут, прежде чем клиенту придется повторно вводить пароль.


Изменение ключа через каждые X пакетов — это относится к количеству переданных пакетов, прежде чем клиенту придется повторно вводить пароль.


Сделав все это, вы можете перейти к следующему этапу настройки центра сертификации на вашем сервере Windows 2003.


Центр сертификации Windows 2003


Протокол PEAP требует, чтобы IAS-сервер идентифицировал себя для беспроводного клиента, прежде чем клиент передаст ему какие-либо зашифрованные учетные данные. После установки сертификата на сервере IAS он получает закрытые ключи, которые затем использует для расшифровки зашифрованных учетных данных, отправленных беспроводным клиентом. Беспроводной клиент использует открытый ключ сертификата для шифрования имени пользователя и пароля.


Чтобы установить консоль центра сертификации, вам необходимо запустить мастер добавления и удаления компонентов и выбрать из списка Службы сертификации. Имейте в виду, что для использования мастера веб-регистрации (веб-интерфейс, используемый для запроса и создания сертификатов) у вас должен быть установлен IIS.



ПРИМЕЧАНИЕ:
Перед началом установки вы будете предупреждены о том, что изменение имени компьютера или членства в домене сделает недействительными любые сертификаты, исходящие от ЦС, поскольку информация ЦС хранится и связывается в Active Directory. Прежде чем продолжить, убедитесь, что у вас правильно настроены все свойства вашего компьютера .


В ходе установки вам будет предложено выбрать тип ЦС, который вы хотите настроить. У вас есть выбор ЦС предприятия, подчиненного предприятия, автономного ЦС и автономного подчиненного ЦС, при этом ЦС предприятия является наиболее надежным центром сертификации на предприятии. Сделайте свой выбор и следуйте указаниям мастера для завершения установки.


После установки консоли CA вам нужно будет выпустить сертификат для компьютера, на котором работает IAS. Сделайте это с помощью мастера веб-регистрации (который создается автоматически при установке Certification Services, если вы вручную не указали, что он не должен быть установлен). По умолчанию вы можете войти в систему и запросить сертификат, открыв Internet Explorer и перейдя к

Установите сертификаты пользователей и компьютеров на беспроводных клиентах так же, как указано выше. Конфигурация службы Active Directory в Windows 2003 Следующим шагом будет создание группы для учетных записей беспроводных пользователей и компьютеров в AD. В качестве альтернативы вы можете просто создавать отдельных пользователей, но само собой разумеется, что группами легче управлять. В свойствах учетной записи пользователя перейдите в учетную запись свойств удаленного доступа и выберите параметр «Управление доступом через политику удаленного доступа» в разделе «Разрешение на удаленный доступ». ПРИМЕЧАНИЕ. Если «Управление доступом через политику удаленного доступа» отключено, то ваш текущий функциональный уровень домена, вероятно, установлен на Windows 2000. Чтобы изменить это, щелкните правой кнопкой мыши доменное имя в Active Directory и выберите «Повысить функциональный уровень домена». Выберите Windows 2003 из выпадающего списка и нажмите Применить. После завершения репликации AD «Управление доступом через политику удаленного доступа» больше не будет отображаться серым цветом. Также необходимо убедиться, что ваш IAS-сервер является членом группы безопасности RAD и IAS-сервера. Конфигурация IAS в Windows 2003 Если вы еще этого не сделали, вам придется установить компонент Internet Authentication Service из меню «Установка и удаление программ» на панели управления. Вы найдете его в разделе «Сетевые службы». Откройте консоль IAS из папки «Администрирование» в программе «Панель управления» или «Пуск». Выполните следующие действия: Щелкните правой кнопкой мыши основной узел IAS и выберите «Зарегистрировать сервер в Active Directory» — это позволит IAS считывать свойства набора пользователей из домена. В окне с правой стороны консоли щелкните правой кнопкой мыши. в любом месте и выберите «Новый клиент RADIUS». На первом экране введите понятное имя для клиента RADIUS, а также IP-адрес точки доступа. Нажмите "Далее. Теперь выберите атрибут client-vendor клиента RADIUS. Если вы не используете политику удаленного доступа на основе атрибута поставщика клиента, выберите RADIUS Standard из списка. Введите общий секрет, как вы это делали при настройке сервера 802.1X на вашей точке доступа. Сервер IAS разрешает пересылку информации о пользователе точкой доступа только после предоставления правильного общего ключа, поэтому убедитесь, что они совпадают. После нажатия кнопки «Далее» новый клиент появится на правой панели консоли IAS. Создание политики удаленного доступа к беспроводной сети Следующим шагом будет создание политики удаленного доступа для беспроводного доступа. Щелкните правой кнопкой мыши узел «Политики удаленного доступа» на левой панели и выберите «Новая политика удаленного доступа», чтобы открыть мастер. Введите имя политики в данное текстовое поле и выберите, хотите ли вы настроить политику вручную или с помощью мастера. ПРИМЕЧАНИЕ. Мастер будет делать то же, что и большинство мастеров Microsoft; поможет вам настроить типичный сценарий, но позволит вам добавить к нему условия позже. Вы можете установить пользовательский или групповой доступ и метод аутентификации с помощью защищенного EAP. Ручная конфигурация даст вам возможность сразу установить все ваши условия и настроить настройку в соответствии с вашими конкретными потребностями. Если вы решите использовать мастер, вам будет предоставлена возможность выбрать метод доступа к политике. VPN, удаленный доступ, беспроводная связь и Ethernet — типичные варианты сервера RADIUS. Выберите «Беспроводная связь» и нажмите «Далее». Выберите, хотите ли вы предоставить доступ пользователю или группе, за которыми следует тип EAP. На экране «Метод аутентификации» выберите PEAP в качестве метода аутентификации EAP и нажмите кнопку «Настроить», если вы хотите изменить сертификат, который будет выдаваться для идентификации сервера. Нажмите «Далее» и «Готово». Резюме В этой статье я показал вам, как пакет обновления 1 для Windows Server 2003 может помочь улучшить централизованное управление клиентами и повысить безопасность вашей беспроводной сети. Мы также рассмотрели различные шаги, которые необходимо предпринять для развертывания системы безопасности 802.1X на RADIUS-сервере Windows 2003.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023