Защита трафика беспроводной сети (часть 8)

Опубликовано: 21 Марта, 2023

  • Защита трафика беспроводной сети (часть 1)
  • Защита трафика беспроводной сети (часть 2)
  • Защита трафика беспроводной сети (часть 3)
  • Защита трафика беспроводной сети (часть 4)
  • Защита трафика беспроводной сети (часть 5)

Настройка сервера политики сети

Первым шагом в процессе настройки является информирование сервера политики сети о вашей беспроводной точке доступа. Для этого убедитесь, что контейнер NPS (локальный) по-прежнему выбран, а затем выберите в раскрывающемся меню параметр «Сервер RADIUS для беспроводных или проводных подключений 802.1x», как показано на рисунке A.

Изображение 19057
Рисунок A. В раскрывающемся меню выберите «Сервер RADIUS для беспроводных или проводных подключений 802.1x».

Теперь нажмите кнопку «Настроить 802.1x». На следующем экране вас попросят указать тип подключения 802.1x, который вы хотите использовать. Выберите параметр «Безопасные беспроводные подключения», а затем укажите имя для политик, которые будут созданы, как показано на рисунке B.

Изображение 19058
Рисунок B: Укажите имя для политик, которые вы создаете.

Нажмите «Далее», и мастер попросит вас предоставить список клиентов RADIUS. В этом случае клиент RADIUS будет вашей беспроводной точкой доступа. Поэтому нажмите кнопку «Добавить», а затем укажите понятное имя и IP-адрес вашей точки доступа, как показано на рисунке C.

Изображение 19059
Рисунок C: Укажите понятное имя для вашей беспроводной точки доступа.

Теперь введите IP-адрес (или DNS-имя) вашей беспроводной точки доступа в соответствующее поле и нажмите кнопку «Подтвердить». Если вы введете IP-адрес, вы увидите диалоговое окно с просьбой подтвердить адрес. Чтобы подтвердить адрес, просто дважды проверьте правильность ввода адреса, а затем нажмите кнопку «Разрешить». Когда IP-адрес разрешен, выберите адрес из списка адресов в нижней части диалогового окна и нажмите OK.

Теперь вы должны предоставить Windows общий секрет для вашей точки доступа. Если ваша точка доступа уже настроена с использованием общего секрета, вам следует выбрать параметр «Вручную», как показано на рисунке выше, а затем ввести и подтвердить свой общий секрет. В противном случае вы можете выбрать, чтобы Windows автоматически генерировала для вас общий секрет.

Если Windows генерирует общий секрет, вам нужно будет ввести общий секрет в точку беспроводного доступа. Самый простой способ сделать это — скопировать и вставить общий секрет из Windows прямо в веб-интерфейс точки доступа. Однако, как я упоминал в конце предыдущей статьи, Windows иногда может генерировать общий секрет, длина которого превышает максимальную длину, поддерживаемую точкой доступа. Поэтому крайне важно, чтобы вы проверили максимальную длину общего секрета, поддерживаемую вашей точкой доступа, и внесли все необходимые корректировки. Независимо от того, вводите ли вы общий секрет вручную или Windows создает для вас общий секрет, важно помнить, что общие секреты чувствительны к регистру.

Нажмите OK, и понятное имя вашей точки доступа должно быть добавлено в список клиентов RADIUS. Нажмите «Далее», и Windows предложит вам указать тип EAP для создаваемой политики. Выберите параметр Microsoft Protected EAP (PEAP) из списка, как показано на рисунке D.

Изображение 19060
Рисунок D. Настройте политику для использования Microsoft Protected EAP (PEAP).

Теперь нажмите кнопку «Настроить», показанную на рисунке выше. Если вы получили сообщение об ошибке, убедитесь, что вы правильно выполнили регистрацию сертификата. Регистрация сертификата была рассмотрена в предыдущей статье.

Теперь вы должны увидеть диалоговое окно Edit Protected EAP Properties, показанное на рисунке E. Уделите немного времени, чтобы убедиться, что в раскрывающемся списке Certificate Issued отображается правильный сертификат. Также следует убедиться, что включен параметр «Включить быстрое переподключение» и что список типов EAP содержит только защищенный пароль (EAP-MSCHAP V2).

Изображение 19061
Рисунок E: Убедитесь, что используется правильный сертификат.

Нажмите «ОК», а затем «Далее». Теперь вы увидите экран с просьбой выбрать группы, которые вы хотите связать с этой политикой. Хотя текст диалогового окна немного расплывчатый, он, по сути, спрашивает, кому вы хотите разрешить доступ к сети через беспроводное соединение. Вам нужно будет указать как пользователей, так и компьютеры, которым вы хотите предоставить доступ. Вы можете создать специализированные группы, если хотите, или, если вы предпочитаете открыть соединение для всех членов Active Directory, вы можете использовать группу «Пользователи домена» и группу «Компьютеры домена», как показано на рисунке F.

Изображение 19062
Рисунок F: Укажите группы, которым должно быть разрешено использовать беспроводное соединение.

На следующем экране вас спросят, использует ли ваша беспроводная точка доступа средства управления трафиком. Если вы хотите настроить управление трафиком, вы можете сделать это, нажав кнопку «Настроить». В противном случае просто нажмите Далее.

Теперь вы должны увидеть экран, сообщающий, что вы успешно создали политику беспроводного доступа и настроили клиент RADIUS (который, опять же, является вашей точкой беспроводного доступа). Найдите минутку, чтобы просмотреть информацию, представленную на этом экране, чтобы убедиться, что все правильно, а затем нажмите «Готово».

Настройка беспроводной точки доступа

Теперь, когда вы настроили сервер политики сети, следующим шагом в этом процессе будет настройка точки беспроводного доступа для взаимодействия с вновь созданным сервером политики сети. К сожалению, я не могу дать вам конкретные пошаговые инструкции для этой части процедуры, потому что все марки и модели беспроводных точек доступа отличаются друг от друга. Однако я постараюсь дать вам общее представление о том, что необходимо сделать.

Предполагая, что вы используете совершенно новую точку беспроводного доступа, которая еще не настроена, первое, что вам нужно будет сделать после подключения к веб-интерфейсу точки доступа, — это установить IP-адрес точки доступа в соответствии с адресом, который вы указали. на сервер политики сети (если вы не настроили сервер политики сети на использование адреса точки доступа по умолчанию).

Затем укажите SSID для вашей беспроводной точки доступа (при условии, что вы хотите ее использовать). Когда вы закончите, пришло время включить шифрование. Вы должны настроить точку доступа на использование шифрования AES с общим секретом (иногда это называется AES Enterprise). Наконец, настройте точку доступа на использование того же общего секрета, что и сервер политики сети.

Вывод

Теперь, когда сервер политики сети настроен, нам нужно настроить наши беспроводные клиентские компьютеры для его использования. В Части 9 я завершу серию, обсудив возможность подключения клиентов.

  • Защита трафика беспроводной сети (часть 1)
  • Защита трафика беспроводной сети (часть 2)
  • Защита трафика беспроводной сети (часть 3)
  • Защита трафика беспроводной сети (часть 4)
  • Защита трафика беспроводной сети (часть 5)
  • Защита трафика беспроводной сети (часть 9)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023