Настройка проверки подлинности Wi-Fi в Windows Server 2008 (часть 2)

Посетителей: 12466 | Просмотров: 23306 (сегодня 0) Шрифт:

В первой части мы узнали, зачем предприятием использовать Enterprise режим Wi-Fi Protected Access (WPA or WPA2), а не Personal (PSK) режим. Мы узнали, что 802.1X проверка подлинности в режиме Enterprise требует использование RADIUS сервера, который включен в Windows Server.

Мы уже установили и настроили службу сертификатов в Windows Server 2008. В этой части мы продолжим установку и настройку сетевой политики и служб доступа. Затем мы настроим беспроводные контроллеры и/или точки доступа (APs) на использование шифрования, а также параметры RADIUS. Затем мы настроим клиентские компьютеры. И наконец, мы сможем подключиться.

Установка ролей сетевой политики и служб доступа

В предыдущих версиях Windows Server функция RADIUS обеспечивалась службой Internet Authenticate Service (IAS). Начиная с Windows Server 2008, она обеспечивается сетевой политикой (Network Policy) и службами доступа (Access Services). Сюда входят предыдущие службы IAS наряду с новым компонентом NAP.

В окне начальной настройки (Initial Configuration Tasks) пролистайте вниз и выберите Добавить роли (Add roles). Если вы закрыли и свернули это окно, нажмите Пуск> Диспетчер сервера, выберите Роли и нажмите Добавить роли.

Выберите Сетевая политика и службы доступа (Network Policy and Access Services) (рисунок 1), и нажмите Далее.

Рисунок 1: Выбор установки ролей сетевой политики и служб доступа

Просмотрите введение и нажмите Далее.

Выберите следующее (рисунок 2):

• Сервер сетевой политики (Network Policy Server)
• Серверы маршрутизации и удаленного доступа (Routing and Remote Access Servers)
• Службы удалённого доступа (Remote Access Services)
• Маршрутизация (Routing)

Рисунок 2: Выбор установки первых четырех опций

Нажмите Далее. Затем нажмите Установить, подождите завершения установки и нажмите Закрыть.

Теперь можно начать настройку NPS для функции RADIUS: нажмите Пуск, введите nps.msc и нажмите Enter.

Для опции Стандартная конфигурация (Standard Configuration) выберите опцию RADIUS сервер для 802.1X Wireless или проводных подключений (RADIUS server for 802.1X Wireless or Wired Connections) (рисунок 3) из раскрывающегося меню.

Рисунок 3: Выбор RADIUS сервера для 802.1X

Нажмите Настроить 802.1X.

Для типа 802.1X подключений выберите Защищать беспроводные подключения (Secure Wireless Connections) (рисунок 4), и нажмите Далее.

Рисунок 4: Выбор защиты беспроводных подключений

Для каждого беспроводного контроллера и/или точки доступа нажмите Добавить, чтобы создать новую запись клиента RADIUS. Как показано на рисунке 5, нужно указывать дружественные имена, которые помогут вам определить их среди прочих, IP или DNS адреса и общий секрет (Shared Secret).

Рисунок 5: Ввод информации для беспроводного контроллера или точки доступа

Эти общие секреты важны для проверки подлинности и шифрования. Делайте их сложными и длинными, как пароли. Они должны быть уникальными для каждого контроллера/AP. Позже вам нужно будет ввести такие же общие секреты для соответствующих контроллеров/AP. Не забывайте держать их в секрете, храните их в безопасном месте.

Для способа проверки подлинности (Authentication Method) выберите Microsoft Protected EAP (PEAP), поскольку мы будем использовать PEAP.

Нажмите кнопку Настроить’, выберите ранее созданный сертификат и нажмите OK.

В окне указания групп пользователей (рисунок 6) нажмите Добавить.

Рисунок 6: Добавление групп пользователей, которые смогут подключаться

В диалогах выбора группы введите группы или нажмите дополнительно (Advanced) для поиска доступных групп. Если вы не создали дополнительные группы, вам, возможно, придется выбрать Пользователей домена (Domain Users) для разрешения пользователей и Компьютеры домена (Domain Computers) для проверки подлинности машин, если ваши контроллеры/APs поддерживают их. Если вы получите сообщение об ошибке, говорящее о том, что домен не существует, перезапустите сервер Active Directory Domain Services и попробуйте еще раз.

После добавления нужных групп нажмите Далее для продолжения.

В окне настройки VLAN (рисунок 7), если ваша сеть (коммутаторы и контроллеры/APs) поддерживает VLAN и они настроены, нажмите Настроить’, чтобы установить функцию VLAN.

Рисунок 7: Нажмите кнопку настройки для определения параметров VLAN

По окончании настройки VLANs нажмите Далее.

Просмотрите параметры и нажмите Готово.

Настройка беспроводных контроллеров и/или точек доступа

Пришло время настроить беспроводные контроллеры или точки доступа (APs). Вызовите веб-интерфейс путем ввода IP адреса точек доступа или контроллеров в браузер. Затем перейдите в параметры беспроводной сети.

Выберите WPA-Enterprise или WPA2-Enteprise. Для типа шифрования выберите TKIP, если используется WPA (TKIP if using WPA) или AES, если используется WPA2 (AES if using WPA2). Затем введите IP адрес RADIUS сервера, которым должна быть только что настроенная машина Windows Sever. Введите общий секрет, созданный ранее для этого контроллера/AP. Сохраните параметры.

Установка ЦС сертификата на клиентских машинах

В первой части цикла вы создавали собственный Центр сертификации (ЦС) и сертификат сервера. Таким образом, нужно установить ЦС на все клиентские компьютеры. В этом случае клиент может выполнить проверку сервера перед прохождением проверки подлинности.

Если вы используете сеть доменов с Active Directory, вам, возможно, понадобится развернуть этот сертификат с помощью групповой политики. Однако вы также можете установить его вручную.

Для просмотра и управления сертификатами в Windows Server 2008, вызовите диспетчер сертификатов (Certificate Manager). Если вы сохранили эту MMC на свой компьютер в первой части, откройте ее. В противном случае выполните эти шаги еще раз:

1. Нажмите Пуск, введите MMC и нажмите Enter.
2. В окне консоли MMC выберите Файл>Добавить или удалить оснастку.
3. Выберите Сертификаты и нажмите Добавить.
4. Выберите Учетная запись компьютера и нажмите Далее.
5. Выберите Локальный компьютер, нажмите Готово и OK.

Совет: и опять же, вы можете сохранить эту консоль MMC на компьютер для более удобного доступа в будущем: нажмите Файл>Сохранить.

Теперь разверните Сертификаты (Локальная учетная запись компьютера (Local Computer Account)), разверните Личные (Personal) и нажмите Сертификаты (Certificates).

Как показано на рисунке 8, нажмите правой клавишей на сертификате, у которого значение «Выдан для» (Issued To) заканчивается на CA, перейдите к пункту Все задачи и выберите Экспорт’. Затем следуйте указаниям мастера экспорта. Когда мастер вас спросит, не экспортируйте закрытый ключ, а используйте DER формат. Вам, возможно, придется экспортировать его на флешку, чтобы можно было брать его с собой к клиентским машинам.

Рисунок 8: Экспортирование ЦС сертификата для установки на клиенты

Теперь на клиентских компьютерах дважды нажмите на сертификате и нажмите кнопку Установить сертификат (Install Certificate) (рисунок 9). Используйте мастер для импорта сертификата в хранилище Доверенные корневые центры сертификации (Trusted Root Certificate Authorities).

Рисунок 9: Установка ЦС сертификата на клиенте.

Настройка сетевых параметров на клиентских компьютерах

Теперь можно настроить сетевые параметры. Как и с установкой сертификатов, можно продвигать сетевые настройки на клиенты с помощью групповой политики, если вы работаете в сети доменов с Active Directory. Однако можно также настроить клиентов вручную, как в нашем случае для Windows XP, Vista и 7.

Сначала, вручную создаем сетевой профиль или предпочитаемую запись сети. Для Типа безопасности (Security Type) выберите WPA-Enterprise или WPA2-Enteprise. Для Типа шифрования (Encryption Type) выберите TKIP, если используется WPA или AES, если используется WPA2.

Откройте сетевой профиль и выберите закладку Безопасность (в Vista и 7) или Проверка подлинности (в XP). В XP отметьте опцию Включить IEEE 802.1x проверку подлинности для этой сети.

Для Способ проверки подлинности сети (Network Authentication method) (в Vista и 7, как показано на рисунке 10) или EAP Type (в XP), выберите Protected EAP (PEAP). В XP также уберите флажки с опций внизу окна.

Рисунок 10: Выбор PEAP для способа проверки подлинности

В Windows 7 (только) нажмите кнопку Дополнительные параметры (Advanced Settings) в закладке Безопасность. Затем в окне дополнительных параметров отметьте опцию Указать способ проверки подлинности (Specify authentication mode), выберите Проверка подлинности пользователя (User Authentication) и нажмите OK, чтобы вернуться в закладку безопасности.

Нажмите кнопку Параметры (в Vista и 7) или Свойства (в XP).

В диалоге свойств Protected EAP Properties выполните эти шаги (рисунок 11):

• Отметьте первую опцию, Проверять сертификат сервера (Validate server).
• Отметьте вторую опцию, Подключаться к этим серверам (Connect to these servers), и введите полные имена компьютеров серверов. При необходимости дважды нажмите на нем в Windows Server, выбрав Пуск > Диспетчер сервера.
• В окне списка Доверенных корневых центров сертификации выберите сертификат ЦС, который вы импортировали.
• Выберите Защищённый пароль (Secured password (EAP-MSCHAP v2)) для способа проверки подлинности.

Рисунок 11: Настройка свойств PEAP

• Нажмите кнопку Настроить. Если вы работаете в сети доменов с Active Directory, лучше отметить эту опцию. В противном случае снимите флажок с этой опции, чтобы можно было вводить имя пользователя и пароль при подключении к сети.

Наконец, нажмите OK в диалоге windows для сохранения параметров.

И, наконец, подключаемся и входим!

Когда сервер, APs и клиенты настроены, нужно попробовать подключиться.

На клиентском компьютере выбираем сеть из списка доступных сетевых подключений. Если вы не настроили клиента на автоматическое использование входа в Windows, вам нужно будет ввести учетные данные для входа, как показано на рисунке 12. Используйте учетную запись на Windows Server, принадлежащую к группе, настроенной ранее в разделе установки сетевой политики и служб доступа. Если вы выбрали группу пользователей домена, учетная запись администратора должна быть разрешена по умолчанию.

Рисунок 12: Окно входа.

Заключение

Теперь у вас должна быть сеть с 802.1X проверкой подлинности и защитой Enterprise шифрованием, благодаря Windows Server 2008 и предоставляемой им функции RADIUS. Мы настроили сервер, беспроводные APs, и клиентов на использование PEAP проверки подлинности. Конечные пользователи смогут входить с помощью своих учетных записей.

Для управления параметрами сервера RADIUS, такими как добавление или удаление APs, используйте утилиту Network Policy Server: нажмите Пуск>Все программы> Инструменты администрирования>Сервер сетевой политики.

unboxIT

Если информация была полезной для вас, вы можете поблагодарить за труды Яндекс деньгами: 41001164449086 или пластиковой картой:

WPA-Enterprise или WiFi по логину и паролю

Проблема безопасности для беспроводных сетей является первоочередной по той причине, что фактически любой желающий имеет доступ к среде распространения сигнала — радиоканалу. Сегодня встретить беспроводную сеть WiFi в которой не применяется шифрование или применяется но уже довольно давно взломанный WEP довольно сложно. Чаще всего используется WPA(2)-PSK или так называемый WPA(2)-Personal, который строиться на всё том-же одном ключе шифрования зная который пользователи и подключаются к сети. Это решение является оптимальным лишь только когда количество беспроводных клиентов достаточно мало. Ведь в случае необходимости смены ключа по какой-то причине (например его кража) его придётся менять и на всех клиентских устройствах, а для большой сети это просто не приемлемо. Ответ вполне очевиден – необходимо использовать аутентификацию оттренированную на каждого пользователя в отдельности, а если говорить по простому то у каждого пользователя должен быть свой логин и пароль. Ведь в случае необходимости его смены (или отключения), это достаточно будет сделать только на единожды (на сервере и клиенте). Вот тут и приходит на помощь WPA-Enterprise ориентированный на беспроводные сети с большим числом беспроводных устройств. Статья в большей степенью является практическим руководством, которое получилось в результате моего желания разобраться с этой темой.

Итак, что нам для этого понадобиться.
Беспроводной клиент (ака ноутбук с WiFi), точка доступа и сервер под управлением Linux c FreeRADIUS.

Протестировано на:
FreeRADIUS 2.1.9
Mandriva free 2010
Dlink DWL-2100AP, DWL-3200AP
WindowsXP professional.

1. Установка и первичная настройка FreeRADIUS

Для того чтобы работала WPA-Enterprise (не вдаваясь в подробности далее я буду называть её PEAP) авторизация в системе должны также присутствовать пакеты openssl и openssl-devel. Установим их (или убедимся что они присутствуют):

Ставить FreeRADIUS будем из сырцов, чтоб разобраться в деталях с его установкой. Качаем от сюда: freeradius.org

После того как скачали и распаковали надо поправить один файл:
/src/main/modules.c
вытащив из ifdef endif

#define lt__PROGRAM__LTX_preloaded_symbols lt_libltdl_LTX_preloaded_symbols

чтобы было определенно наверняка, потому как условие ifdef походу не выполняется.

Если этого не сделать то в процессе компиляции вылезет ошибка. С чем она связана я толком так и не понял, но появляется она в основном в дистрибутивах Ubuntu, хотя на моём дистрибутиве она тоже присутствовала.

По умолчанию всё ставиться в /usr/local. Если необходимо то можно добавить опцию —prefix к ./configure.
Далее всё стандартно:

После того как пакет установлен в систему первым делом необходимо прописать клиентов (здесь под клиентами я подразумеваю устройства на которых производиться авторизация, в нашем случае это тока доступа). Отредактируем файл:

Формат довольно простой. shortname – имя которое будет соответствовать клиенту при ведении логов, secret — пароль который указывается в настройках клиента (устройства), client — соответственно ip адрес клиента.
Теперь пропишем пользователей, именно эту связку логин — пароль и будут вводить пользователи для того чтобы присоединиться к беспроводной сети.
Для этого отредактируем файл:
/usr/local/etc/raddb/users

Формат записи по сравнению с первой версией FreeRADIUS несколько изменён, но думаю тут всё вполне очевидно. Единственное о чём тут следует упомянуть, так это то что если в имени пользователя присутствуют символы пробела то его имя при записи в файл надо взять в двойные кавычки, например: «test 123».

Теперь необходимо задать тип eap’а по умолчанию, который будет использоваться для авторизации.
Отредактируем файл:
/usr/local/etc/raddb/eap

После того как предварительная настройка сделана можно запустить сам сервер, дав команду:

Ключ -X говорит о том что сервер мы будем запускать в режиме отладки и вся информация будет поступать напрямую на экран. Позже я покажу как запустить сервер в фоновом режиме. Но на первом этапе лучше всего запускать в режиме отладки.
Если всё сделано верно то на экране пробегут настройки сервера и он будет ждать поступления на него запросов от точки доступа.
Теперь настроим клиентов (точку доступа) и компьютер конечного пользователя.

2. Настройка точки доступа

В моём распоряжении оказалось 2 точки доступа от Dlink это довольно популярная модель DWL-2100AP и её промышленный собрат DWL-3200AP. Забегая вперёд скажу, что обе они прекрасно заработали с FreeRADIUS. С точки зрения настройки RADIUS’а они практически идентичны, да и точки доступа от других производителей не сильно будут отличаться по настройкам. В качестве примера я всё же будут рассматривать DWL-3200AP, поскольку она изначально позиционируется как промышленное решение направленное в первую очередь на корпоративную среду.

В настройках точки доступа необходимо указать ряд параметров относящихся к безопасности:

• -тип аутентификации: WPA(2*)-Enterprise, WPA(2*)-EAP, WPA(2*)-PEAP
• — выбор WAP или WPA2 за вами. С одной стороны WPA2 более надёжен с точки зрения безопасности, с другой стороны не все устройства могут его поддерживать и тогда придётся ограничиться обычным WPA. На мой взгляд даже первая версия WPA достаточно безопасна. Но тут выбор за вами.
• — RADIUS Server: IP адрес компьютера с запущенным RADIUS сервером.
• — RADIUS Port: Порт по которому работает сервер
• — RADIUS Secret: Пароль который мы указали в настройках RADIUS’а в /usr/local/etc/raddb/clients.conf

Вот скриншот с примером настройки DWL-3200AP

Этих параметров должно быть достаточно для работы аутентификации по PEAP. Конкретные названия пунктов настройки могут несколько отличаться в зависимости от производителя и конкретной модели устройства, но основная суть я думаю всем понята. Остальные настройки беспроводной точки доступа вы можете настроить по собственному усмотрению.

3. Настройка компьютера пользователя.

Под рукой у меня оказался только нетбук под управлением WindowsXP по этому далее опишу процесс настройки именно под этой ОС.
После того как система найдёт нашу беспроводную сеть, необходимо настроить дополнительные параметры, для чего щёлкним на соответствующий пункт.
Далее в списки сетей выберем необходимую сеть и нажмём на «Свойства»

Убедившись ещё раз что используется требуемая проверка подлинности и шифрования данных перейдём на вкладку «Проверка подлинности».
Тип EAP укажем PEAP, и нажмём на «Свойства». В открывшемся окне выберем в качестве метода проверки EAP-MSCHAP v2, нажмём «Настроить». После чего в вновь открывшемся окне уберём галочку «Автоматически использовать имя входа и пароль Windows. ».

Дале Ok Ok Ok ну и т.д.
После того как настроены дополнительные параметры, при попытки подключиться к нашей беспроводной сети Windows предложит щёлкнуть по значку Беспроводного соединения для того чтобы указать учётные данные.

В соответствующих полях введём логин и пароль которые мы указали при настройке FreeRADIUS ранее.
Если всё сделано верно, то в консоле сервера пойдёт информация об авторизации пользователя, и мы подключимся к беспроводной сети.

4. Расширенная настройка FreeRADIUS

Если помните при настройках в свойствах соединения мы убирали галочку «Автоматически использовать имя входа и пароль Windows. », давая тем самым возможность пользователю в ручном режиме ввести имя пользователя и пароль. Но что если упростить задачу для пользователя, и использовать автоматический ввод его учётных данных (т..е. тех которые он использует в Windows локально). При этом в качестве логина и пароля будут использоваться его имя в системе и соответственно его пароль. Но тут возникает небольшая сложность.
Дело всё в том, что в случае использования автоматического имя входа и пароля Windows, серверу RADIUS будет послана связка ИМЯКОМПЬЮТЕРА\\ИМЯПОЛЬЗОВАТЕЛЯ или ИМЯДОМЕНА\\ИМЯПОЛЬЗОВАТЕЛЯ (если компьютер состоит в домене, но этот случай я рассматривать не буду) в качестве его логина ну и конечно его пароль. Можно конечно прописать логины пользователей в FreeRADIUS с учётом имени компьютеров, но это не всегда удобно и как-то не слишком красиво, или если ещё по какой-то причине вам необходимо отбрасывать имя компьютера (название домена) при авторизации то далее я покажу как это сделать.

Для начала поправим главный конфиг /usr/local/etc/raddb/radiusd.conf

Именно $INCLUDE proxy_realm.conf заменив этой строчкой $INCLUDE proxy.conf

Создадим файл:
/usr/local/etc/raddb/proxy_realm.conf

realm DEFAULT <
type = radius
authhost = LOCAL
accthost = LOCAL
>
realm LOCAL <
>

Теперь в двух словах о том зачем это сделано. реалм DEFAULT говорит о том что все логины, которые не попали ни в один другой реалм который обрабатывался ранее, будет проверен в RADIUS локально, но уже с отрезанной доменной частью. Для чего также необходимо раскаментировать в файле /usr/local/etc/raddb/sites-available/inner-tunnel в секции authorize <>

Реалм (realm) — это перенаправление, ну или если хотите ссылка. Наверное не совсем понятно, но для настройки вполне достаточно. Более подробно узнать об этом можно пожалуй пожалуй прочитав весь мануал по FreeRADIUS.

Теперь поправим файл
/usr/local/etc/raddb/modules/mschap

mschap <
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes
>

Особое внимание следует уделить строчке with_ntdomain_hack = yes Дело в том что как уже было отмечено ранее MS Windows посылает связку ИМЯДОМЕНА\\ИМЯПОЛЬЗОВАТЕЛЯ а в ответ (challange responce) получает только ИМЯПОЛЬЗОВАТЕЛЯ. Но это уже тонкости. Кто хочет разобраться — гугл в помощь 🙂
Теперь опять запустим наш сервер в режиме отладки:

Теперь, если всё было сделано верно, то какие бы данные мы не вводили в поле домен (для проверки) они автоматически должны отбрасываться и процесс авторизации должен проходить успешно, разумеется при правильном логине и пароле.

Теперь в /usr/local/etc/raddb/users можно прописать имена пользователей и их пароли которыми они пользуются в Windows. Также как я думаю уже всем понятно требуется вернуть назад галочку «Автоматически использовать имя входа и пароль Windows. » в настройках беспроводного соединения.
Честно говоря в моём случае было необходимо только отбрасывать имя домена при авторизации, и по этому как себя поведёт система в случае если скажем в качестве имени пользователя на компьютере используется кириллица я не знаю. Однако даже если нет необходимости отбрасывать доменную составляющую, то всё равно рекомендую настроить файлы конфигураций то как это показано выше.

5. Запуск FreeRADIUS в фоновом режиме и автозапуск

Mandriva как например Fedora (до недавнего времени) да и многие другие дистрибутивы используют System-V систему загрузки. После установки в системе уже присутствует вполне рабочий скрипт запуска по адресу: /usr/local/sbin/rc.radiusd. И в принципе чтоб запустить сервис в нормальном режиме достаточно дать команду:
/usr/local/sbin/rc.radiusd start

Однако по скольку в моём случае дистрибутив Mandriva, с его System-V системой загрузки, то скрипт необходимо несколько модифицировать чтоб он в полной мере соответствовал формату chkconfig. Для этого в самое начало скрипта добавляем строки:

#!/bin/sh
# My script to add FreeRadius to services
# chkconfig: — 98 02
# description: FreeRADIUS
# processname: radiusd

# Source function library.
if [ -f /etc/init.d/functions ] ; then
. /etc/init.d/functions
elif [ -f /etc/rc.d/init.d/functions ] ; then
. /etc/rc.d/init.d/functions
else
exit 0
fi

После того как наш скрипт стал полностью соответствовать необходимому формату скопируем его в папку с исполняемыми скриптами попутно переименовав его:

cat /usr/local/sbin/rc.radiusd >> /etc/rc.d/init.d/radius_server

Переименовать файл пришлось из-за того что по непонятным мне причинам chkconfig не воспринимает точек в именах файлов. Да и не забываем поставить права доступа в 755 для вновь скопированного скрипта.
Теперь дадим команды для того чтоб добавить его в список сервисов и добавим его в автозапуск на 3-тем и 5-том уровнях запуска:

chkconfig —add radius_server
chkconfig —level 35 radius_server on

Для того чтоб лишний раз убедиться что всё работает так как надо можно перезагрузить сервер и проверить в процессах radiusd, командой:

Для того кого интересуют более подробная информация могу посоветовать прочитать соответсвующие мануалы и статью:
www.ixbt.com/comm/prac-wpa-eap.shtml

В конце хочу ещё раз напомнить о том что не взламываемых систем не бывает, и даже WPA2 в этом смысле не исключение, однако его взлом на момент написания этих строк действительно сложная задача (смайл).

Добавить комментарий

Если информация была полезной для вас, вы можете поблагодарить за труды Яндекс деньгами: 41001164449086 или пластиковой картой: