Защита трафика беспроводной сети (часть 7)

• Защита трафика беспроводной сети (часть 1)
• Защита трафика беспроводной сети (часть 2)
• Защита трафика беспроводной сети (часть 3)
• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)

Введение

В моей предыдущей статье я объяснил, что один из лучших способов защитить трафик беспроводной сети — рассматривать беспроводную сеть как незащищенную среду. Идея состоит в том, чтобы аутентифицировать любого, кто использует беспроводную сеть, аналогично тому, как вы бы аутентифицировали пользователей, которые подключаются к вашей VPN. Windows Server 2008 можно настроить для обеспечения такой проверки подлинности. Для этого вам нужно будет настроить Windows для работы в качестве сервера политики сети.

Прежде чем я начну

Прежде чем я покажу вам, как настроить сервер сетевой политики, я хочу рассказать вам о необходимых предварительных условиях. Как я объяснил в предыдущей статье, процесс аутентификации основан на сертификате. Таким образом, вам потребуется либо развернуть корпоративный центр сертификации в своей сети способом, описанным в предыдущей статье, либо приобрести сертификат в коммерческом центре сертификации.

Кроме того, у вас должна быть настроена среда Active Directory, а сервер, который вы будете настраивать в качестве сервера политики сети, должен быть членом домена. Кроме того, вашей сети потребуется DNS-сервер (как и во всех средах Active Directory), а также DHCP-сервер.

Наконец, это не является абсолютным требованием, но широко распространено мнение, что рекомендуется устанавливать сервер политики сети на выделенном компьютере (физическом или виртуальном). Идея состоит в том, что если сервер политики сети каким-либо образом будет скомпрометирован, вы не захотите, чтобы хакер получил доступ к каким-либо другим сетевым службам. С другой стороны, если вы просто настраиваете лабораторную среду для опробования методов, которые я обсуждаю, вы можете установить все необходимые компоненты на один сервер.

Развертывание сервера политики сети

Чтобы приступить к развертыванию сервера политики сети, откройте диспетчер серверов и щелкните контейнер «Роли». Теперь щелкните ссылку «Добавить роли», и Windows откроет мастер добавления ролей. Когда мастер запустится, нажмите «Далее», чтобы пропустить экран приветствия мастера. На этом этапе вы увидите экран с вопросом, какие роли сервера вы хотите установить. Выберите роль «Сетевая политика и службы доступа» и нажмите «Далее».

Теперь вы должны увидеть экран, представляющий роль сетевых политик и служб доступа. Нажмите «Далее» еще раз, и вам будет предложено выбрать службы ролей, которые вы хотите развернуть. Выберите службу роли Network Policy Server, как показано на рисунке A, и нажмите Next.

Рисунок A. Выберите службу роли Network Policy Server и нажмите «Далее».

На следующем экране представлены краткие сведения о выбранных вами параметрах установки. Найдите минутку, чтобы убедиться, что все выглядит правильно, а затем нажмите кнопку «Установить». Когда процесс развертывания завершится, нажмите Закрыть.

Запрос сертификата

Теперь, когда мы установили службы сетевой политики, следующим шагом будет предоставление сертификата, который можно использовать в процессе аутентификации. Поскольку в предыдущей статье мы рассмотрели процесс настройки корпоративного центра сертификации, я покажу вам, как отправить запрос из этого центра сертификации. Процедура, которую я буду здесь использовать, основана на Windows Server 2008 R2. Фактические шаги немного отличаются, если вы используете Windows Server 2008, но относительно похожи.

Начните процесс, введя команду MMC в командной строке «Выполнить» сервера политики сети. Когда вы это сделаете, сервер загрузит пустую консоль управления. Выберите команду «Добавить/удалить оснастку» в меню «Файл» консоли, затем выберите параметр «Сертификаты» в списке доступных оснасток и нажмите кнопку «Добавить». При появлении запроса сообщите Windows, что вы хотите использовать оснастку для управления сертифицированной учетной записью компьютера. Нажмите «Далее», затем выберите «Локальный компьютер» и нажмите «Готово».

Когда вы нажмете OK, вы должны увидеть консоль сертификатов. Перейдите через дерево консоли к Сертификаты (локальный компьютер) | Личный, как показано на рисунке B.

Рисунок B: Перейдите к сертификатам (локальный компьютер) | Личный контейнер.

Теперь щелкните правой кнопкой мыши контейнер Personal и выберите All Tasks | Параметры запроса нового сертификата из контекстного меню. Это заставит Windows запустить мастер регистрации сертификатов. Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы попадете на экран, где вас попросят выбрать политику регистрации сертификатов. Примите значение по умолчанию (Политика регистрации Active Directory) и нажмите кнопку Далее.

На следующем экране вас спросят, какой тип сертификата вы хотите запросить. Выберите параметр «Компьютер», как показано на рисунке C, а затем нажмите кнопку «Зарегистрировать».

Рисунок C. Выберите вариант «Компьютер» и нажмите кнопку «Зарегистрировать».

Регистрация сервера политики сети

Теперь, когда сервер политики сети снабжен необходимым сертификатом, пришло время зарегистрировать сервер в базе данных Active Directory. Для этого перейдите в «Инструменты администрирования» и откройте консоль сервера политики сети. Теперь щелкните правой кнопкой мыши родительский узел консоли (NPS (локальный)) и выберите в контекстном меню команду «Зарегистрировать сервер в Active Directory», как показано на рисунке D.

Рисунок D: Вы должны зарегистрировать сервер политики сети в Active Directory.

Когда вы попытаетесь зарегистрировать сервер в Active Directory, вы увидите сообщение, показанное на рис. E, поясняющее, что для того, чтобы сервер политики сети мог использоваться для аутентификации, он должен быть авторизован для считывания свойств набора номера пользователя из домен. Затем диалоговое окно спросит вас, хотите ли вы предоставить серверу политики сети необходимые разрешения. Идем дальше и нажмите ОК. Когда вы это сделаете, вы увидите сообщение, похожее на то, что показано на рисунке F, информирующее вас о том, что сервер политики сети теперь авторизован для чтения свойств набора номера пользователя из текущего домена. Однако если вам необходимо аутентифицировать пользователей из других доменов, сервер политики сети должен быть членом группы серверов RAS/NPS для этих доменов.

Рисунок E: Сервер политики сети должен иметь возможность считывать свойства удаленного доступа пользователя из Active Directory.

Рисунок F: Сервер политики сети имеет право только считывать свойства удаленного доступа пользователя из текущего домена.

Вывод

Теперь, когда мы зарегистрировали нашу сетевую политику в Active Directory, мы можем приступить к ее настройке для аутентификации беспроводного доступа. Я покажу вам, как это сделать, в следующей статье серии. В этой статье мы будем настраивать сервер политики сети для обработки вашей беспроводной точки доступа как клиента RADIUS. Часть процесса, который будет задействован в этом, включает создание общего секрета, который может использоваться как сервером политик сети, так и точкой беспроводного доступа.

Когда сервер политики сети используется для создания общего секрета, он иногда создает строки, которые длиннее, чем может обработать точка беспроводного доступа. Это относительно простая проблема, но она требует, чтобы вы знали максимальную длину общего секрета, которую может обрабатывать ваша точка доступа. Поэтому рекомендую прямо сейчас проверить ограничения вашей точки доступа.

• Защита трафика беспроводной сети (часть 1)
• Защита трафика беспроводной сети (часть 2)
• Защита трафика беспроводной сети (часть 3)
• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)
• Защита трафика беспроводной сети (часть 8)
• Защита трафика беспроводной сети (часть 9)