WPA и PEAP кандидатстване, прозорци го про

Мощна комбинирана защита на безжичните мрежи безжична сигурност дава на администраторите много проблеми на бизнеса от всякакъв мащаб. Това не е достатъчно, за да се гарантира, че крайните потребители са се променили настройките по подразбиране, използвайте парола, за да се свържете с точки за достъп (Access Points, AP) и криптиране на трафика.

ИТ инфраструктурата за вашето предприятие

Мощна комбинирана защита на безжичните мрежи

Гарантирането на сигурността на безжичните мрежи носи много неприятности администратори на предприятия от всякакъв мащаб. Това не е достатъчно, за да се гарантира, че крайните потребители са се променили настройките по подразбиране, използвайте парола, за да се свържете с точки за достъп (Access Points, AP) и криптиране на трафика. технология за защита на Wired Equivalent Privacy (WEP) има много слабости, и при определени обстоятелства, атакуващите могат да ги използват, за да пробие в безжичната мрежа на предприятието. Тези недостатъци са отстранени в стандартния Wi-Fi Protected Access (WPA) и WPA2 стандарта по-късно чрез стабилни удостоверяване и алгоритми за криптиране. Те трябва да се използва вместо WEP, когато е възможно. Недостатъкът на използването на WPA и WPA2 - усложняване на настройката на безжичната инфраструктура, но дори и една малка мрежа от надеждна защита изкупва този недостатък. Тази статия представя поетапен план за внедряване на решения, базирани на WPA или WPA2 и съответната конфигурация на Windows XP клиент.

Инфраструктура WPA и WPA2 планиране

Има два начина за осигуряване на безжични мрежи, използващи WPA или WPA2. Можете да конфигурирате WPA и WPA2 да използват процедури за проверка на автентичността на предварително споделен ключ (PSK, WPA-PSK или WPA2-PSK), е идеалният начин за по-малки организации, които не разполагат с корпоративен сървър за удостоверяване.

Конфигуриране на RADIUS

Политиката на определяне на метода и за удостоверяване. Методът за удостоверяване по подразбиране - PEAP, според които потребителите са скрепени, което показва, техните пълномощия. Методът за идентификация може да се промени, като кликнете върху бутона Configure. Сертификат, издаден от RADIUS сървъра CA корпоративния или придобити по независим център, за да бъдат показани в издаденото удостоверение, защитена парола (EAP MSCHAPv2) следва да бъде включен в списъка на видовете EAP. Ако сертификатът за RADIUS сървъра не е в списъка, изберете го от падащия списък. Ако сертификатът не е на разположение, тогава трябва да гарантира, че тя е поставена правилно, преди да извършвате следните операции.

PEAP удостоверяване, можете да определите колко пъти потребителите могат да въведете данните си за вход на всеки опит за удостоверяване, преди връзката се прекратява. Можете също така да разрешите или забраните на потребителите да промените паролата, след изтичане срока на годност. Уверете се, че квадратчето Enable Бързо Свържете отново. Щракнете върху бутона Напред, за да видите обобщена информация за параметрите и спасяване на политиката, като кликнете върху бутона Finish.

Запазената политика е необходимо да се направи няколко промени. Необходимо е да кликнете два пъти върху политиката на мига МСС, за да отворите диалоговия прозорец Свойства. Кликнете върху Редактиране на профил, за да отворите профил Dial-в Edit. Кликвайки върху Dial-в ограниченията в раздела, можете да изберете Минути клиенти могат да се свържат. Поради сесия Timeout параметър клиент не могат да останат свързани за дълго време след блок на сметката. Клиентите ще трябва да ре-пас удостоверяване след свързване на определен брой минути. Според експерти на Microsoft приемлива стойност е 600 минути на WPA или WPA2 среда. Тогава прескочите до раздела Разширени и щракнете върху бутона Add. От списъка в диалоговия прозорец Add Умение, изберете за игнориране от потребителя Dialin имоти и щракнете върху бутона Add. Ще Булева Умение диалоговия прозорец Информация, в който параметърът трябва да има, за да True. Щракнете върху бутона OK. Затворете добавите атрибута, натиснете бутона Close диалоговия прозорец и след това върху ОК, за да спаси с промяната на правилата. Тези настройки се гарантира, че свойствата на телефонна линия за потребителите, няма да доведат до проблеми с точките за достъп, които са предназначени само за безжични свойства.

Конфигуриране на точки за достъп

В клиент-доставчик, изберете RADIUS Standard елемент. В полетата Споделено тайна и Confirm споделена тайна, въведете защитен частен ключ. Този таен ключ - сподели с точката за достъп, тя ще бъде използвана за разпознаване и криптиране на трафика между точката за достъп и сървър RADIUS. След това е необходимо да се провери кутия Заявката трябва да съдържа Съобщението Authenticator атрибут. В резултат на това сървър RADIUS изисква точка за достъп с използване на общ таен ключ. Тези стъпки трябва да се повтарят за всяка настройка на сървъра на RADIUS.

Накрая, задайте точката за достъп в съответствие с препоръките на производителя. Най-малкото, ще трябва да въведете ID Service Set Identifier на (SSID), да го настроите да WPA с 802.1x автентификация и WPA2 с 802.1x (не PSK) и изберете алгоритъм за криптиране TKIP на (за WPA) или AES (за WPA2), а след това въведете информацията на сървъра на RADIUS и публичния ключ.

Тестване и отстраняване на неизправности безжични мрежи

След установяване на RADIUS сървъри и точки за достъп е завършено, е необходимо да се тества и отстраняване на комуникации. За да тествате връзката, изключете всички освен един от точката за достъп (можете да тествате свързването след инсталирането на RADIUS сървъра и първата точка за достъп). Кликнете на безжичен мрежов адаптер безжичен клиент, щракнете с десния бутон и изберете Properties. Потребител, който не разполага с правомощията на местната член на групата на администраторите, ще получите предупреждение за блокирани контроли. Ако игнорирате съобщението и натиснете ОК, за да я премахнете от екрана. Свойства Безжична мрежова връзка е необходимо да отидете в диалоговия прозорец раздела безжични мрежи. В секцията предпочитани мрежи е необходимо да кликнете върху бутона за да добавите, за да отворите прозореца Wireless Network Свойства. В името на мрежата (SSID), което трябва да влезе в SSID, изберете WPA или WPA2 от падащото Network Authentication, след това изберете TKIP или AES алгоритъм за криптиране от списъка Encryption падащото данни. Кликнете върху раздела Удостоверяване от падащия списък изберете EAP вид EAP (PEAP) и кликнете върху OK. Кликнете върху Преглед на безжични мрежи екран безжична мрежова връзка Properties, изберете SSID на мрежата, която добавихте, а след това щракнете върху бутона Connect. Той трябва да бъде свързан към безжичната мрежа. Тези действия не трябва да се повтаря всеки път, когато се свържете; Мрежова настройка е завършена, и връзката трябва да бъде създадена автоматично.

Разпространението на настройките за безжична мрежа с помощта на груповите правила

За да използвате Group Policy, за да изберете достъп до безжична мрежа, трябва да се регистрирате в DC и стартирате потребители и компютри на Active Directory ММС модул конзола. Препоръчително е да се създаде организационна единица (ОУ) и го поставете в сметките на клиентските компютри безжични. След това можете да използвате обекта на политиката на обект Group (GPO) за безжично свързване към ОУ, без да се засегне всяка друга система в гората. Работещи GPE, трябва да отидете на политиките за безжична мрежа (IEEE 802.11) политики, които се съхраняват в конфигурацията на компютъра Windows Настройки, Настройки за сигурност. Щракнете с десния бутон в десния панел на MMC, и след това кликнете върху Създаване на политика на безжична мрежа, за да стартирате съветника Wizard Wireless Network политика. Въведете име и описание за тази политика. Когато кликнете върху Finish, съветникът пита дали да се върнете и да промените политиката. В отговор на това, което трябва да кликнете върху бутона Да.

диалоговия прозорец Нова мрежова политика Свойства, вие трябва да отидете на раздела Общи, който показва името и описанието на тази политика. На тази страница можете да определите времето, през което клиентите трябва да очакват, преди да се покажат на актуализацията на политиката (по подразбиране 180 минути), и посочете наличните мрежи. В секцията Мрежи за достъп е падащ списък с три опции: Всеки налична мрежа (точка за достъп за предпочитане), точка за достъп (инфраструктура) мрежи само само и от компютър до компютър (Временни) мрежи. Препоръчително е да изберете точка за достъп (инфраструктура) само мрежи. В този режим, блокира опитите на безжичните клиенти да се свързват с други безжични клиенти, които могат да предават на SSID е същото, като един от вашата безжична мрежа (обща трик, използван от атакуващите да се намеси на данни). Тук е необходимо да се създаде друга настройка за два политика. Първият от тях - Използвайте Windows, за да изберете настройките на безжичната мрежа за клиенти - забранява използването на доставчици на програмата на трети страни (производители на полезност), за да изберете мрежови адаптери за безжична връзка. Този режим трябва да бъде засилен. Вторият вариант - Автоматично свързване с непредпочитани мрежи - определя дали клиентите могат, към които се прилага тази политика, се свържете с други безжични мрежи, различни от тези, изброени в раздела предпочитани мрежи. Този режим не се препоръчва да се засили, тъй като дава възможност на клиентите да се свързват с неизвестни мрежи при липса на предпочитана мрежа.

В раздела предпочитани мрежи следва да посочи в мрежата, на които клиентите могат да се свържат. За да добавите мрежа, трябва да щракнете върху бутона Add и отворите диалоговия прозорец New Предпочитан Създаване имоти. В раздела Свойства на мрежата, въведете SSID и описание на мрежата. Тук има два падащия списък. Изберете WPA от списъка на Network Authentication и TKIP или AES от списъка с криптиране на данните. След това отворете раздела IEEE 802.1x и изберете Защитено EAP (PEAP) от списъка с EAP Вид падащия. Кликвайки върху Настройки, изберете от списъка на единствените сигурни източници сертификати. Има сигурни източници, издаване на сертификати за RADIUS сървъри. След това е необходимо да се избере метод Охраняема Password Authentication (EAPMSCHAPv2) от списъка в Изберете метод за удостоверяване. Изберете опцията Разреши Бързо Свържете отново, а след това спаси политиката, като щракнете върху бутона OK.

За да изпробвате новите политики трябва да се отвори команден прозорец на безжичен клиент и бягай

gpupdate / целева: компютър
/ сила

Тази команда получава нова политика и да го приложите към безжичната клиента. Прилагане на политика може да се види в раздела безжични мрежи на диалоговия прозорец Network Connection Properties списъка на безжичните мрежи, които са конфигурирани в GPO.

Други характеристики и ресурси

Джон Houi - директор на Световната Services Division Wide и IT Технически Общността за сигурност на Microsoft. Той има 15-годишен опит в областта на информационната сигурност и сертификати CISA, CISM и CISSP. [email protected]

Защита на мрежата с WPA-PSK и WPA2-PSK

Най-лесният начин да се защитят мрежата чрез стандартно WPA или WPA2 - чрез процедури за удостоверяване предварително споделен ключ (PSK) Authentication (по-нататък WPA-PSK и WPA2-PSK, съответно). Такъв начин на употреба е подобна на WPA Wired Equivalent Privacy (WEP), но тя осигурява допълнителни ползи, реализирани в WPA и 802.11i, включително по-сигурна автентикация и усъвършенствани алгоритми за криптиране.

За да използвате WPA-PSK или WPA2-PSK във вашата безжична мрежа, трябва точката за достъп (Access Point, AP), е съвместим с едната или двете стандарти. Много AP реализира двата стандарта и са идеални за използване в компании с различни безжични клиенти. В някои от висок клас точки за достъп може дори едновременно да използват WPA, WPA2 и WEP. Следвайте инструкциите в ръководството за точката за достъп, за да конфигурирате Service Set Identifier (SSID - удостоверение за безжична мрежа), изберете WPA, WPA2, или двата стандарта, в зависимост от изискванията на мрежата, и въведете силен ръст на ключовете, която ще бъде трудно разкрият фалшив безжичен клиент.

След AP конфигурация се препоръчва използването на лаптоп или настолен клиент за тестване на безжична комуникация. На първо място, уверете се, че безжичната клиентът е съвместим с WPA или WPA2. Това изисква отворен Контролен панел, Мрежови връзки и десния бутон на мишката върху безжичния мрежов адаптер. трябва да изберете Properties от менюто и отворете раздела безжични мрежи. За да намерите мрежа трябва да кликнете върху бутона View Wireless Networks или щракнете върху бутона Add и ръчно добавяне на мрежата. На екрана се показва конфигурацията А WPA-PSK за новата мрежа.

Група политика може да се използва за прехвърляне на настройки клиенти безжични мрежи, за да WPA-PSK и WPA-PSK2, но не сподели ключове. Не се препоръчва като таксуват потребителите независим вход в аванс над клавишите. По-добре е да се напише инсталирането на безжичната мрежа и конфигуриране на други клиенти безжична мрежа с помощта на съветника за безжична мрежа на съветника за настройка от контролния панел. Когато стартирате инструкциите, за да посочите двете възможности се появяват на екрана: да се организира нова безжична мрежа или да добавите нов компютър или мрежово устройство. Необходимо е да се засили входния режим на новия компютър и кликнете Next. Изберете използването на USB флаш устройство (препоръчително) и кликнете Next. Вие трябва да поставите флаш устройството в USB порта на компютъра си, а когато се намери устройство, изберете го от падащия Flash устройството, а след това щракнете върху Напред. Безжичните възможности и малък помощен програма копира на флаш-памет, която е конфигурирана да се изпълнява тази програма, когато е поставена в компютъра устройството. След това трябва да се премахне флаш устройството от компютъра и го свържете към всеки клиент за безжична (трябва да се регистрирате като потребител, който ще работи с първата система). Ако сред служителите на потребителите на предприятието имат двете жични и безжични мрежи могат да бъдат копирани в споделената папка, програмата (setupSNK.exe), smrtntky папката и нейното съдържание. След това е необходимо да конфигурирате влизане скрипт, да определяте буквата в папка на системата на потребителя и да стартирате setupSNK.exe. Внимание: предварително пропусната ключ се съхранява в обикновен текст в два файла в smrtntky с папки. Внимателно се съхранява във флаш-паметта, за да не го изгубите, и завърши безжичните клиенти, се препоръчва да унищожите физически диск. Прочетете изтрита информация от флаш устройство е лесно и безопасно да се премахне - трудно. Ако сте създали за влизане скрипт, за да настроите клиентите безжичната мрежа, след като конфигурацията на клиент, който искате да изтриете файлове и влизане скрипт.

Сподели снимки с приятели и колеги