Защита трафика беспроводной сети (часть 9)

• Защита трафика беспроводной сети (часть 1)
• Защита трафика беспроводной сети (часть 2)
• Защита трафика беспроводной сети (часть 3)
• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)

Введение

До сих пор в этой серии статей я уделял много времени рассказу о параметрах безопасности, которые вы можете настроить в точках беспроводного доступа, а также о способе настройки Windows Server для проверки подлинности беспроводного трафика, прежде чем разрешить ему доступ к вашей проводной сети. В этой статье я хочу завершить серию рассказом о безопасности беспроводной сети на стороне клиента.

Безопасность беспроводной сети на стороне клиента включает настройку настольных компьютеров и ноутбуков (и любых других беспроводных клиентов в вашей сети) для использования определенной политики беспроводной связи. В Windows Server 2008 и Windows Server 2008 R2 политиками беспроводной сети можно управлять с помощью редактора управления групповыми политиками. В среде Windows Server 2003 также можно управлять параметрами групповой политики, относящейся к беспроводной сети, но для этого вам потребуется загрузить инструмент от Microsoft, который расширяет схему Active Directory для поддержки политик беспроводной связи. Настройка среды Windows Server 2003 выходит за рамки этой статьи, но я хотел хотя бы упомянуть, что можно использовать параметры групповой политики для управления беспроводным доступом в среде Windows Server 2003.

Прежде чем я начну

Windows Server 2008 и Windows Server 2008 R2 позволяют относительно безболезненно создавать политики беспроводных сетей. Однако есть две вещи, которые вам нужно знать, прежде чем я покажу вам, как это делается. Во-первых, как вы, наверное, уже поняли, политики, которые я собираюсь показать вам, как создавать, действуют только для членов домена. Это связано с тем, что мы реализуем политику беспроводной сети через Active Directory, а не с помощью локальных политик безопасности.

Еще одна вещь, которую вам нужно знать, это то, что не существует универсальной политики беспроводной связи. Windows требует, чтобы вы создали политику беспроводной сети для машин под управлением Windows Vista или Windows 7. Вы должны создать отдельную политику беспроводной сети для всех машин под управлением Windows XP.

Создание политики беспроводной сети

Для целей этой статьи я хочу показать вам, как создать политику Windows Vista/Windows 7, которая действует как часть политики домена по умолчанию. Для этого войдите в контроллер домена в качестве администратора и введите команду MMC в строке «Выполнить». Выберите команду «Добавить/удалить оснастку» в меню «Файл» сервера. Когда вы это сделаете, вы увидите список доступных оснасток. Выберите параметр «Управление групповой политикой» из списка доступных оснасток и нажмите «Добавить», а затем «ОК».

Когда консоль откроется, перейдите по дереву консоли к пункту «Управление групповыми политиками» | Лес | Домены | <ваш домен> | Политика домена по умолчанию. Когда вы это сделаете, вы увидите предупреждающее сообщение о том, что изменения, которые вы собираетесь внести, являются глобальными. Нажмите OK, чтобы убрать предупреждение. Теперь щелкните правой кнопкой мыши контейнер Default Domain Policy и выберите команду Edit из контекстного меню, как показано на рисунке A. Это заставит Windows открыть политику домена по умолчанию в редакторе управления групповыми политиками.

Рисунок A: Откройте политику домена по умолчанию.

Когда откроется редактор управления групповыми политиками, перейдите по дереву консоли к Computer Configuration | Параметры Windows | Настройки безопасности | Политики беспроводной сети (IEEE 802.11), как показано на рисунке B.

Рисунок B: Перейдите к контейнеру политик беспроводной сети (IEEE 802.11).

Теперь щелкните правой кнопкой мыши контейнер «Политики беспроводной сети (IEEE 802.11)» и выберите команду «Создать новую политику беспроводной сети для Windows Vista и более поздних версий» в контекстном меню. Когда вы это сделаете, Windows откроет страницу свойств новой политики беспроводной сети, как показано на рисунке C.

Рисунок C: Для создания политики беспроводной сети необходимо использовать страницу свойств новой политики беспроводной сети.

Как видно на рисунке выше, вы должны присвоить имя создаваемой политике. По умолчанию Windows использует имя Новая политика беспроводной сети. Лично я рекомендую использовать что-то менее универсальное. Также есть область под полем «Имя политики», где вы можете ввести описание создаваемой политики.

После того как вы создали имя и описание для новой политики беспроводной сети, следующим шагом будет указание беспроводных сетей, к которым разрешено подключаться членам домена. Хотите верьте, хотите нет, но Windows позволяет указать как инфраструктуру, так и специальные беспроводные сети. Для этого просто нажмите кнопку «Добавить», а затем сообщите Windows, хотите ли вы добавить инфраструктуру или специальную сеть. После того, как вы сделаете свой выбор, Windows отобразит лист свойств нового профиля, показанный на рисунке D.

Рисунок D: Вы можете создать профиль для беспроводной сети.

Как вы можете видеть на рисунке, этот экран позволяет вам предоставить список SSID, связанных с конкретной беспроводной сетью. Вы заметите, что в нижней части вкладки «Подключение» есть возможность подключиться, даже если сеть не транслируется.

Эта страница свойств также содержит вкладку «Безопасность», которую вы можете видеть на рисунке E. Эта вкладка позволяет вам управлять методами аутентификации и шифрования, которые должны использовать клиенты при подключении к беспроводной сети. После того, как вы указали параметры, подходящие для вашей сети, нажмите OK, чтобы вернуться на лист свойств новой политики беспроводной сети.

Рисунок E: Вкладка «Безопасность» позволяет вам управлять настройками аутентификации и шифрования для беспроводной сети.

В дополнение к возможности добавления политик беспроводной сети лист свойств новой политики беспроводной сети содержит вкладку «Разрешения сети», которая позволяет управлять некоторыми общими параметрами безопасности, связанными с беспроводной сетью.

Как вы можете видеть на рисунке F, эта вкладка дает вам возможность заблокировать доступ либо к ad-hoc, либо к инфраструктурным сетям. Однако, что еще более важно, у вас есть возможность заблокировать подключение пользователей к определенным беспроводным сетям. Для этого нажмите кнопку «Добавить», укажите SSID сети, а затем установите разрешение «Запретить», как показано на рисунке G.

Рисунок F. Вы можете заблокировать доступ к одноранговым или инфраструктурным сетям.

Рисунок G: Вы можете заблокировать доступ к определенным беспроводным сетям.

В такой ситуации, когда политика беспроводного доступа применяется ко всему домену, блокировка доступа к конкретной беспроводной сети действительно будет эффективна только для предотвращения случайного подключения пользователей к другим беспроводным сетям, находящимся в непосредственной близости. Однако важно помнить, что групповые политики очень гибкие. Поэтому вы можете создавать политики беспроводной сети на уровне подразделения, чтобы разные политики применялись к разным компьютерам. Таким образом, можно было бы ограничить подключение к беспроводной сети на основе членства в OU. Поступая таким образом, вы можете ограничить доступ к беспроводной сети, например, по отделам.

Вывод

Я рекомендую потратить некоторое время на изучение всех различных параметров безопасности, которые можно реализовать с помощью политики беспроводной сети. Политики беспроводных сетей очень гибкие, и вы можете использовать их, чтобы получить большой контроль над тем, как пользователи подключаются к беспроводным сетям.

• Защита трафика беспроводной сети (часть 1)
• Защита трафика беспроводной сети (часть 2)
• Защита трафика беспроводной сети (часть 3)
• Защита трафика беспроводной сети (часть 4)
• Защита трафика беспроводной сети (часть 5)