WPA2-EAP traadita võrgu seadistamine võrgupoliitika serveri (NPS), AD ja grupipoliitika abil - Kuidas

WPA2-EAP traadita võrgu seadistamine võrgupoliitika serveri (NPS), AD ja grupipoliitika abil

Olen hiljuti oma traadita võrgu RADIUS / IAS-ist üle kandnud Windows 2003-s PKI-ga Windows 2008 R2-le. Mulle kulus mõnda aega, et selle põhja juurde pääseda, nii et ma arvasin, et kirjutan How-To, et teisi aidata.

Nõuded:

# Üks või mitu 802.1X-i 802.11 traadita pöörduspunkti (AP).

# Active Directory grupipoliitikaga

# Üks või mitu võrgupoliitika serverit (NPS).

# Active Directory sertifitseerimisteenused põhinevad PKI serveritunnistustel NPS-arvutitele ja teie traadita arvutile

Eeldused:

See eeldab, et teil on teadmisi traadita pöörduspunktide seadistamise ja serveri rollide installimise kohta. Samuti eeldatakse, et olete juba seadistanud oma Active Directory domeenis ettevõtte PKI (MÄRKUS. Windowsi jaoks on vajalik Windows XP operatsioonisüsteemi Enterprise Editioni koopia).

Kokku 10 sammu

1. samm: konfigureerige oma traadita pöörduspunktid


Mul on Cisco 1200 seeria pöörduspunktid, millel on IOS 12.3 JED (või midagi sellist). Olen need juurdepääsupunktid seadistanud:

1) SSID edastamine
2) Kasutage krüpteerimiseks AES-CCM Cipheri
3) WPA2 kasutamine (kohustuslik)
4) kasutage kohalikku vlanit.
5) Seadistage jagatud saladus, mida te kasutate NPS Radius serveriga.

Kui TKIP on säritatud:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-has-been-cracked-use-wpa2-aes-encryption-instead/

Soovitan kasutada krüpteerimistunnistajana WPA2-EAP-i koos AES-iga. Lisas saab näha Cisco seadete kokkuvõttega pilti:

2. samm: installige NPS oma serverisse

Windows 2008 või 2008 R2 puhul avage serverihaldur ja:

1) Lisage roll „Võrgupoliitika ja juurdepääsuteenused”

Lisa rollis olevate teenuste all:

* Võrgupoliitika server
* Marsruutimine ja kaugjuurdepääsu teenused

Kui te ei soovi kasutada karantiini tegemiseks võrgule juurdepääsu kaitset ja võrgu tervisekontrolli ei häirita teised.

3. etapp: raadiuse kliendi seadistamine NPS-ile


Avage NPS-konsool. Paremklõps "Radius Clients", seejärel klõpsake "New".

Täitke sõbraliku nime, aadressi väljad ja seejärel lisage oma juurdepääsupunktis konfigureeritud jagatud saladus.

Lisas saab näha pildi failidest, mida peate täitma.

4. samm: 802.1x seadistamine NPS-serveris (part1)


Avage serverihalduris "Rollid", seejärel "Võrgupoliitika ja juurdepääsuteenused", seejärel klõpsake NPS (Local).

Valige standardkonfiguratsiooni parempoolses paanis "Radius Server 802.1x traadita või traadiga ühendamiseks", seejärel klõpsa "802.1X seadistamine", et käivitada viisardipõhine konfiguratsioon.

Vt lisa

5. samm: 802.1x seadistamine NPS-serveris (part2) THE WIZARD :)

1. Valige ülemine raadionupp „Secure Wireless Connections“ (Turvalised traadita ühendused)

2. Kontrollige lehel Kontrollige 802.1X Swtiches lehekülge, mille olete seadistanud raadiuses klientides, ja seejärel klõpsake nuppu Edasi.

3. Nüüd autentimise meetod. Valige loendist Rippmenüüst meetod, mida soovite kasutada. Siin kasutan Microsoft: Protected EAP (PEAP).

MÄRKUS. See meetod nõuab arvutisertifikaati ja raadiuserverit ning kas arvuti või kasutaja sertifikaati kliendiseadmes. Sellepärast peate kasutama domeeni PKI :)

4. Valige grupid, millele soovite traadita juurdepääsu. Seda saab teha kasutaja või arvuti või mõlemad. (kui sa ei ole neid AD-s üles seadnud, siis tehke seda ja tule tagasi selle sammu juurde!))

5. Kui peate VLani seadistama järgmises etapis. Kuna ma kasutan vaikimisi vlanit, ei pea ma siin midagi tegema.

6. Seejärel peate serverit Active Directoryga registreerima. Nii paremklõps NPS (kohalik) ja valige Register Server Active Directory.

Nüüd peaksite kasutama ühenduse päringupoliitikat ja võrgupoliitikat. Valikulise sammuna, kui teil on XP kliente või hiljem, võite soovida MS-CHAP v1) autentimismeetodi eemaldada võrgupoliitikast (vahekaardil contraints)

6. samm: Sertifikaadi automaatse kontrollimise seadistamine

Avage rühmapoliitika haldamine.

1) Looge uus GPO poliitika ja nimetage see sobivalt.
2) Turvalisuse filtreerimise ulatuse alusel, mida poliitika rakendab "Autentitud kasutajate" eemaldamiseks ja lisab oma AD loodud kasutaja- ja / või arvutirühmad. See tagab, et konfigureeritud poliitika rakendatakse ainult nende gruppide liikmetele.

3) Muutke grupipoliitika seadeid ja minge:

A) Arvuti konfiguratsioon Poliitikad Windowsi seaded Turvaseaded Avaliku võtme põhimõtted

Üksikasjapaanil tuleb paremklõpsata sertifikaaditeenuste kliendil - automaatne kontroll ja seejärel valida atribuudid.

Dialoogiboksis Properties (Atribuudid) valige rippmenüüst lubatud ja seejärel asetage ruut teistesse lahtritesse. See tagab, et arvuti kontrollib automaatselt ADCS-i sertifikaati.

B) Nüüd navigeerige arvutisse Konfiguratsioon Reeglid Windowsi seaded Turvaseaded Avaliku võtme eeskirjad Automaatsed sertifikaatide taotlemise seaded.

Paremklõpsake detailide paanil ja valige New> Automatic Certificate Request.

See avab viisardi ja saate valida arvuti sertifikaadi.

7. samm: Vista (või XP) traadita 802.1x GPO poliitika loomine (1. osa)


A) Minge nüüd arvuti konfiguratsiooni reeglitesse Windows seaded Turvaseaded Traadita võrk (IEEE 802.11) reeglid

Paremklõps ja Loo uus režiim Windows Vista ja hilisemate versioonide jaoks (kui teil on ainult XP-masinaid, tehke ainult üks XP). Kui teil on Vista, peate tegema Vista poliitikat või Vista püüab kasutada XP poliitikat (pole soovitatav).

B) Sisestage poliitika nimi ja kirjeldus.

C) Klõpsake nupul „Lisa“ ja sisestage seejärel profiili nimi ning seejärel lisage traadita pöörduspunktist SSID-nimi. Veenduge, et märkeruut "Ühenda automaatselt, kui see võrk on vahemikus" on märgitud.

8. samm: Vista (või XP) traadita 802.1x GPO poliitika loomine (2. osa)


F) Klõpsake vahekaarti Turvalisus

Veenduge, et autentimine on "WPA2-Enterprise" ja krüpteerimine on "AES".

Jaotises "Valige võrgu autentimise meetod, valige" Microsoft: Protected EAP (PEAP) ".

Autentimise režiimis peate valima, kas soovite autentida arvuteid ja / või kasutajaid oma digitaalsete arvutitega. Ma tahtsin ainult autentida arvutit, mis on varustatud sertiga (mis on automaatselt kontrollitud vastavalt AD grupi liikmele), nii et valisite "Arvuti autentimine".

G) Klõpsake nupul "omadused".

Märkige "Valideeri serveri sertifikaat" ja seejärel märkige "Ühenda nende serveritega". Sisestage siin NPS-serveri FQDN.

Seejärel märkige jaotises Usaldusväärne juur sertifitseerimisasutus oma juur-CA sertifikaat. Seejärel klõpsake nuppu OK.

H) Klõpsake kaks korda OK.

Valikuline:
I) Vahekaardi Võrgu luba alt saab kasutada märkeruute, et piirata kliente infrastruktuurivõrkude või ainult GPO profiiliga lubatud võrkudega, kui soovite.

J) klõpsake nuppu OK ja olete loonud oma Vista juhtmevaba poliitika!

9. samm: luuakse XP traadita 802.1x GPO poliitika


XP-poliisi loomiseks järgige samu seadeid nagu eespool 7. ja 8. peatükis kirjeldatud Vista. Üldised valikud, mida vajate, on samad, kuigi see ei võimalda teil mõningaid täiustatud võimalusi, mida Vista poliitika lubab.

10. etapp: määrake traadita võrguoperaator teie masinavaldkonna organisatsioonidele

Siis olete nüüd seadistanud NPS-i, sertifikaadid ja traadita GPO-d. Kõik, mis on jäänud, on anda teie GPO-d oma kliendi arvutisse.

Rühmapoliitika haldamise paremklõps OU-l, millele soovite määrata juhtmevaba reegli, ja klõpsa "Link olemasolev GPO ..."

Valige just loodud traadita GPO ja värskendage seejärel grupipoliitikat.

Varsti käivitavad AD-s loodud traadita grupi liikmed poliisi, võtavad seaded vastu, registreerivad automaatselt arvuti sertifikaadi, seovad teie AP-ga, autentivad NPS-serveri ja AD-ga ning võtavad lõpuks DHCP-lt IP-aadressi server.

Voila

(ja phew!)

Ma olen kirjutanud selle juhendi, et aidata teistel alustada ettevõtte klassi turvalise traadita võrgu konfigureerimist, mis kasutab teie võrgu kaitsmiseks digitaalseid sertifikaate ja tugevat autentimist ja krüpteerimist.

See on käimasolev töö, kuna enamik sellest kirjutati pärast seda, kui ma tegelikult selle konfigureerisin, nii et see on teostatav. Võib-olla peate selle kasutajate tagasiside põhjal selle läbi vaatama.

Siin soovitakse edukat rakendamist

Tino