Aplicarea și PEAP wpa, ferestre pro-l
O puternică protecție combinată de rețele fără fir de securitate wireless oferă administratorilor o mulțime de afaceri probleme de toate dimensiunile. Nu este suficient pentru a se asigura că utilizatorii finali au schimbat setările implicite, utilizați o parolă pentru a se conecta la punctele de acces (Access Point, AP) și criptarea traficului.
infrastructura IT pentru întreprinderea dvs.
O puternică protecție combinată de rețele fără fir
Asigurarea securității rețelelor fără fir aduce o mulțime de probleme administratori de întreprinderi de toate dimensiunile. Nu este suficient pentru a se asigura că utilizatorii finali au schimbat setările implicite, utilizați o parolă pentru a se conecta la punctele de acces (Access Point, AP) și criptarea traficului. Tehnologia de protecție Wired Equivalent Privacy (WEP) are o mulțime de puncte slabe, și în anumite circumstanțe, atacatorii le pot folosi pentru a rupe în rețeaua fără fir a întreprinderii. Aceste dezavantaje sunt eliminate în standard de acces Wi-Fi Protected (WPA) și standardul WPA2 mai târziu prin autentificare și criptare algoritmi robuste. Acestea ar trebui să fie utilizate în loc de WEP ori de câte ori este posibil. Dezavantajul utilizării WPA și WPA2 - complicarea setarea infrastructurii wireless, dar chiar și o mică rețea de protecție de încredere răscumpără acest defect. Acest articol stabilește un plan pe etape pentru implementarea soluțiilor bazate pe WPA sau WPA2 și configurarea corespunzătoare client Windows XP.
Infrastructura WPA și WPA2 planificarea
Există două moduri de a securiza rețelele fără fir utilizând WPA sau WPA2. Puteți configura WPA și WPA2 să utilizeze proceduri de autentificare prepartajate Key (PSK, WPA-PSK sau WPA2-PSK), este modul perfect pentru organizațiile mai mici, care nu au un server de autentificare corporativă.
Configurarea RADIUS
Stabilirea politicilor și metoda de autentificare. Metoda implicită de autentificare - PEAP, potrivit căreia utilizatorii sunt autentificate, indicând scrisorile de acreditare. Metoda de autentificare poate fi modificată făcând clic pe butonul Configurare. Certificat eliberat de CA server RADIUS corporate sau dobândite într-un centru independent, care urmează să fie afișat în certificatul eliberat, o parolă securizată (PAM MSCHAPv2) ar trebui să fie prezentată în lista tipurilor de EAP. În cazul în care certificatul de server RADIUS nu este listat, selectați-l din lista verticală. În cazul în care certificatul nu este disponibil, atunci trebuie să se asigure că acesta este instalat corect înainte de a efectua următoarele operații.
autentificarea PEAP, puteți specifica numărul de utilizatori ori pot introduce acreditările lor, la fiecare încercare de autentificare, înainte de întreruperea conexiunii. De asemenea, puteți permite sau utilizatorilor să schimbe parola după data de expirare. Asigurați-vă că caseta de validare Activare reconectare rapidă. Faceți clic pe butonul Next, pentru a vedea un rezumat al parametrilor și de a salva politica, făcând clic pe butonul Finish.
Politica salvată este necesară pentru a face câteva modificări. Este necesar să faceți dublu clic pe politica într-un IAS snap, pentru a deschide caseta de dialog Proprietăți. Faceți clic pe Editare profil, pentru a deschide Edit Profile Dial-in. Făcând clic pe fila Restricțiile dial-in, puteți selecta procesul-verbal clienții pot fi conectate. Datorită client parametru de sesiune Timeout nu poate rămâne conectat pentru o lungă perioadă de timp după blocul de cont. Clienții vor trebui să re-pass de autentificare după conectarea pentru un anumit număr de minute. Potrivit experților Microsoft, valoare acceptabilă este de 600 de minute, un WPA sau WPA2 mediu. Apoi treceți la fila Advanced și faceți clic pe butonul Add. Din lista din caseta de dialog Add atribut, selectați Ignoră-User-dialin-Properties și faceți clic pe butonul Add. Va Boolean caseta de dialog Informații, în care parametrul trebuie să aibă la True atribut. Faceți clic pe butonul OK. Închideți adăugați atributul, faceți clic pe butonul Închidere din caseta de dialog, apoi faceți clic pe OK, pentru a salva modificarea politicii. Aceste setări asigură că proprietățile utilizatorilor conexiunilor dial-up nu va cauza probleme cu noduri de acces, care sunt proiectate numai pentru proprietățile fără fir.
Configurați puncte de acces
În client-furnizor, selectați elementul standard RADIUS. În câmpurile partajate secrete și Confirmare secret comun, introduceți cheia privată securizată. Această cheie secretă - în comun cu punctul de acces, acesta va fi folosit pentru autentificare și criptare a traficului între punctul de acces și serverul RADIUS. Apoi, trebuie să verificați Cererea trebuie să conțină caseta atributul Mesaj Authenticator. Ca rezultat, serverul RADIUS necesită un punct de acces, folosind o cheie secretă comună. Aceste măsuri ar trebui să fie repetate pentru fiecare setare a serverului RADIUS.
În cele din urmă, setați punctul de acces în conformitate cu recomandările producătorului. Cel puțin, trebuie să introduceți un Set Identifier Service ID (SSID), setați-l la WPA cu autentificare 802.1x și WPA2 cu 802.1x (nu PSK), și selectați TKIP algoritm de criptare (pentru WPA) sau AES (pentru WPA2), apoi introduceți informațiile serverului RADIUS și cheia publică.
Testarea și depanarea rețelelor fără fir
După setarea serverelor RADIUS și punctele de acces este finalizat, este necesar pentru a testa și depana de comunicații. Pentru a testa conexiunea, opriți toate, dar unul dintre punctele de acces (puteți testa conexiunea după instalarea serverului RADIUS și primul punct de acces). Faceți clic pe fără fir client fără fir adaptor de rețea, faceți clic dreapta și selectați Properties. Un utilizator care nu are competențele local membru al grupului de administratori, vor primi un avertisment cu privire la controalele blocate. În cazul în care ignora mesajul și faceți clic pe OK, pentru a-l elimina de pe ecran. Rețeaua fără fir de conectare trebuie să Properties mergeți la dialogul fila Rețele fără fir. În secțiunea Rețele preferate este necesar să faceți clic pe butonul Add, pentru a deschide fereastra Wireless Proprietăți rețea. În numele rețelei (SSID), trebuie să introduceți SSID-ul, selectați WPA sau WPA2 din meniul drop-autentificare în rețea, apoi selectați TKIP sau algoritm de criptare AES de criptare din lista drop-date. Faceți clic pe tab-ul de autentificare din lista verticală, selectați EAP tip EAP (PEAP) și faceți clic pe OK. Faceți clic pe ecranul Vizualizare rețele fără fir de rețea fără fir Proprietăți conexiune, selectați SSID-ul rețelei pe care tocmai ați adăugat, apoi faceți clic pe butonul Connect. Ar trebui să fie conectat la rețeaua fără fir. Aceste acțiuni nu trebuie să se repete de fiecare dată când conectați; Configurarea rețelei este finalizată, iar conexiunea trebuie să fie stabilită în mod automat.
Răspândirea setărilor fără fir utilizând Politica de grup
Pentru a utiliza Politica de grup pentru a configura accesul la o rețea fără fir, trebuie să vă înregistrați în DC și rulați Active Directory Users and Computers MMC snap-in consola. Se recomandă să configurați unitatea organizațională (OU) și puneți-l în conturile computerele client fără fir. Puteți utiliza apoi obiectul politică obiect de grup (GPO) pentru setările fără fir la OU, fără a afecta orice alt sistem în pădure. Rularea GPE, ar trebui să meargă la politicile de rețea fără fir (IEEE 802.11) Politici, care sunt stocate în configurația computerului, Windows Settings, Security Settings. Faceți clic dreapta în panoul din dreapta al MMC, apoi pe Creare Politica de rețea fără fir, pentru a porni expertul Wireless Network Policy Wizard. Introduceți un nume și o descriere pentru politică. Când faceți clic pe Finish, expertul întreabă dacă să se întoarcă și să editați politica. Ca răspuns, trebuie să faceți clic pe butonul Da.
Caseta de dialog Politică nouă Proprietăți rețea, trebuie să mergeți la fila General, care arată numele și descrierea politicii. Pe această pagină, puteți specifica timpul în care clienții trebuie să se aștepte înainte de a verifica actualizarea politicii (implicit 180 de minute), și specificați rețelele disponibile. În Rețele pentru a avea acces este lista drop-down cu trei opțiuni: Orice rețea disponibilă (punct de acces preferat), punctul de acces rețele (infrastructură) numai și numai computer-la-calculator rețele (ad-hoc). Se recomandă să selectați punctul de acces (infrastructură) numai rețele. În acest mod, blocat tentativele de a clienților wireless pentru conectarea la alți clienți wireless care pot transmite SSID-ul este același, ca una din rețeaua fără fir (un truc comun folosit de atacatori pentru a intercepta datele). Aici este necesar pentru a configura celelalte două setarea de politică. Prima dintre ele - Utilizarea Windows pentru a configura setările rețelei fără fir pentru clienți - interzice utilizarea furnizorilor de programe terți (producători de utilități) pentru a configura adaptoarele de rețea fără fir. Acest mod ar trebui să fie intensificate. A doua opțiune - conecta automat la rețelele nepreferate - determină dacă clienții pot, la care se aplică politica, conectarea la alte rețele fără fir, altele decât cele enumerate în fila Rețele preferate. Acest mod nu este recomandat să se intensifice, deoarece permite clienților să se conecteze la rețele necunoscute în absența unei rețele preferate.
În fila Rețele preferate trebuie să indice rețeaua la care clienții se pot conecta. Pentru a adăuga o rețea, trebuie să faceți clic pe butonul Add și deschideți caseta de dialog Proprietăți Setting nou preferate. În fila Proprietăți rețea, introduceți SSID-ul și descrierea rețelei. Aici există două liste drop-down. Alegeți WPA din lista de autentificare în rețea și TKIP sau AES din lista de criptare a datelor. Apoi, deschideți fila IEEE 802.1x și selectați EAP protejat (PEAP) din lista derulantă EAP Type. Făcând clic pe Setări, selectați din lista de numai surse de încredere de certificate. Sunt surse de încredere, care emit certificatele de servere RADIUS. Apoi, aveți nevoie pentru a alege o metodă securizată de autentificare Parola (EAPMSCHAPv2) din lista Select Metoda de autentificare. Selectați Activare rapidă Reconnect, și apoi salvați politica, făcând clic pe butonul OK.
Pentru a testa noile politici au nevoie pentru a deschide un prompt de comandă pe un client fără fir și a alerga
gpupdate / țintă: calculator
/ forță
Această comandă devine o politică nouă și se aplică la clientul wireless. Aplicarea unei politici poate fi văzută pe fila Rețele fără fir a conexiunii de rețea caseta de dialog Proprietăți lista de rețele fără fir care sunt configurate în GPO.
Alte caracteristici și resurse
Dzhon Houi - Director Divizia Servicii World Wide și comunitatea tehnică IT pentru securitate de la Microsoft. El are 15 ani de experiență în domeniul securității informațiilor și a certificatelor CISA, CISM și CISSP. [email protected]
Protejarea rețelei cu WPA-PSK și WPA2-PSK
Cea mai simplă metodă de a proteja rețeaua folosind WPA standard sau WPA2 - prin intermediul unei proceduri de autentificare Pre-Shared Key (PSK) autentificare (respectiv denumită WPA-PSK și WPA2-PSK). O astfel de metodă de utilizare este similar cu WPA Wired Equivalent Privacy (WEP), dar oferă beneficii suplimentare realizate în WPA și 802.11i, inclusiv de autentificare mai sigure și algoritmi de criptare avansate.
Pentru a utiliza WPA-PSK sau WPA2-PSK în rețeaua fără fir, aveți nevoie de nod de acces (Access Point, AP), este compatibil cu una sau ambele standarde. Multe AP implementat ambele standarde și sunt ideale pentru a fi utilizate în companii cu diferite clienții wireless. În unele high-end nodurile de acces pot chiar utiliza simultan WPA, WPA2 și WEP. Urmați instrucțiunile din manualul pentru punctul de acces pentru a configura Set Identifier Service (SSID - un certificat pentru o rețea fără fir), selectați WPA, WPA2, sau ambele standarde, în funcție de cerințele rețelei, și introduceți un avans puternic de-a lungul cheilor, care va fi dificil dezlega client wireless fals.
După configurare AP se recomandă să utilizați un client laptop sau desktop pentru testare de comunicații fără fir. În primul rând, asigurați-vă că clientul fără fir este compatibil cu WPA sau WPA2. Acest lucru necesită Panou de control deschis, conexiuni de rețea și faceți clic dreapta pe adaptorul de rețea fără fir. trebuie să selectați Properties din meniu și mergeți la fila Rețele fără fir. Pentru a găsi o rețea trebuie să faceți clic pe butonul View Wireless Networks sau faceți clic pe butonul Add și adăugați manual rețeaua. Ecranul prezintă configurația A WPA-PSK pentru noua rețea.
Politica de grup poate fi utilizat pentru a transfera setările clienților rețelei fără fir la WPA-PSK și WPA-PSK2, dar nu și cheile partajate. Nu este recomandat ca utilizatorii de încărcare de intrare independent în avans cheile. Este mai bine să scrie instalarea rețelei fără fir și să configurați alți clienți de rețea fără fir utilizând expertul Wireless Network Setup Wizard de pe panoul de control. Când executați expertul pentru a specifica cele două opțiuni apar pe ecran: de a organiza o nouă rețea fără fir sau a adăuga o nouă rețea de calculatoare sau dispozitiv. Este necesar să se intensifice modul de intrare al calculatorului și faceți clic pe Următorul. Selectați Utilizați o unitate flash USB (recomandat) și faceți clic pe Următorul. Ai nevoie să introduceți unitatea flash în portul USB al computerului, iar atunci când un dispozitiv este găsit, selectați-l din unitatea drop-Flash, apoi faceți clic pe Următorul. Opțiuni wireless și un mic program auxiliar copiat pe o unitate flash, care este configurat pentru a rula acest program de fiecare dată când se introduce unitatea în computer. Apoi, trebuie să fie eliminate unitatea flash din computer și conectați-l la fiecare client wireless (trebuie să vă înregistrați ca utilizator, care va lucra cu primul sistem). Dacă printre angajații utilizatorilor de întreprinderi au ambele rețele wireless și prin cablu pot fi copiate în folderul partajat, programul (setupSNK.exe), directorul smrtntky și conținutul acestuia. Apoi, trebuie să configurați un script de autentificare, atribui o literă de unitate într-un dosar de pe sistemul utilizatorului și a alerga setupSNK.exe. Atenție: pre-cheie transmisă este stocată în text simplu în două fișiere în smrtntky dosar. Cu atenție stoca unitatea flash pentru a evita pierderea acesteia, și să completeze clienții wireless, este recomandat să distrugă fizic unitatea. Citește șters informații de la o unitate flash este ușor și în condiții de siguranță pentru a elimina - tare. Dacă ați creat un script de autentificare pentru a configura clienții rețelei fără fir după configurația de client pe care doriți să ștergeți fișierele și script-ul de autentificare.
Partajați imagini cu prietenii și colegii