Artykuł w wersji pdf - Support Online Sp. z o. o.
Transkrypt
Artykuł w wersji pdf - Support Online Sp. z o. o.
„Wsparcie w Twoim biznesie” Korporacyjna sieć bezprzewodowa w oparciu o standard IEEE 802.1X. W ostatnim czasie, sieć bezprzewodowa w firmie, stała się powszechnym sposobem na dostęp do Internetu oraz zasobów firmowych. Powstaje jednak problem bezpieczeństwa sieci WiFi oraz zabezpieczenia jej przed niepowołanym dostępem. Istnieje kilka standardów bezpieczeństwa sieci bezprzewodowej. Po krótce omówię najczęściej stosowane: WEP (Wired Equivalent Privacy) – najstarszy i najmniej bezpieczny. Algorytm RC4, nawet ze 128 bitowym kluczem poufnym, jest bardzo podatny na włamania. Rozszyfrowywanie kluczy WEP umożliwia gotowe oprogramowanie dostępne w Internecie. WPA (Wi-Fi Protected Access) - standard wykorzystujący klucze 256-bitowe. Miał poprawić wady WEP, zapewniając jednocześnie kompatybilność z poprzednim standardem. Z tego względu główny protokół, na którym opiera się standard WPA, czyli TKIP okazał się również łatwy do złamania. WPA2 (Wi-Fi Protected Access II) – został zaprezentowany w 2006 roku. Jedną z głównych zmian jest zaprzestanie użycia TKIP i włączenie protokołu CCMP opartego na szyfrowaniu AES (Advanced Encryption Standard). Zostały tu poprawione wszystkie luki z poprzednich zabezpieczeń. WPA2 wykorzystuje dynamiczne, 128-bitowe klucze kryptograficzne, które są automatycznie dystrybuowane. Standard ten posiada podniesiony poziom bezpieczeństwa autoryzacji użytkownika przy użyciu 802.1x oraz EAP. Poniżej zaprezentuję metodę uwierzytelniania komputerów do sieci bezprzewodowej w oparciu o WPA2 z użyciem IEEE 802.1X, protokołu Microsoft EAP oraz roli Windows 2008 R2 - Network Policy Server). Zastosowanie uwierzytelniania 802.1X eliminuje niebezpieczeństwo nieautoryzowanego wejścia do sieci już na poziomie warstwy dostępu do sieci oraz nie zezwala na zalogowanie jeśli autoryzacja się nie powiedzie. W pierwszym kroku konfiguruję zainstalowaną rolę NPC na serwerze Windows 2008R2. Strona 1 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości. „Wsparcie w Twoim biznesie” 1. Dodaję klienta RADIUS. Jest to nasz punkt dostępowy sieci bezprzewodowej, który będzie łączył się z serwerem w celu uwierzytelnienia. Ja użyłem Cisco WLC 2504 wraz z access pointami Aironet 1600 ale możemy użyć dowolnego urządzenia, który wspiera standard 802.1X. Podaję przyjazną nazwę, adres IP oraz klucz Shared Secret, za pomocą, którego punkt dostępowy będzie się autoryzował z usługą NPC. 2. Konfiguruję politykę: Strona 2 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości. „Wsparcie w Twoim biznesie” Chciałbym mieć kontrolę nad tym, kto łączy się z siecią bezprzewodową. W związku z tym stworzyłem grupę w Active Directory o nazwie WiFi_Access. Tylko członkowie tej grupy będą mogli łączyć się z naszą siecią WiFi. Dodatkowo dokładam parametr Client Friendly Name i wskazuję na nazwę naszego klienta, stworzonego w punkcie 1. Chodzi o to, aby przypisać daną politykę tylko do połączeń przychodzących z naszego urządzenia WiFi. Dzięki temu mogę sterować politykami połączeń dla wielu usług, np. VPN. Następnie konfiguruję mechanizm uwierzytelniania. Użyjemy Microsoft PEAP. Strona 3 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości. „Wsparcie w Twoim biznesie” Edytując ustawienia metody autoryzacji ustawiam certyfikat naszego serwera, wygenerowany automatycznie przez domenowe centrum certyfikacji. Na sam koniec włączam szyfrowanie ruchu pomiędzy komputerem a punktem dostępowym: Przechodzę do konfiguracji punktu dostępowego dla sieci bezprzewodowej. Jak już wspomniałem wyżej, użyłem Cisco WLC 2504. W pierwszym kroku wskazuję adres IP naszego serwera, który skonfigurowałem na samym początku. Ustawiam też klucz Shared Secret, który wprowadziłem w punkcie 1. Strona 4 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości. „Wsparcie w Twoim biznesie” Następnie włączam mechanizm autoryzacji 802.1X oraz ustawiam parametry naszej sieci bezprzewodowej. Na koniec ustawiam serwer, na którym nasze urządzenie będzie uwierzytelniało komputery łączące się z siecią. Strona 5 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości. „Wsparcie w Twoim biznesie” Uzyskałem w ten sposób sieć bezprzewodową z szyfrowaną transmisją, z którą połączenie nawiążą wyłącznie komputery dodane do domeny a użytkownik, który się na nich loguje, został dodany do grupy Active Directory o nazwie WiFi_Access. Artykuł opracował: Marcin Pietrzak, Support Online Sp. z o.o. Support Online Sp. z o.o. świadczy szeroki zakres usług informatycznych dla firm oraz instytucji: kompleksowa i częściowa obsługa informatyczna, projekty informatyczne, helpdesk IT 24h, audyty informatyczne, telefonia VoIP, wdrożenia Office 365 i wiele innych. Jeśli jesteście Państwo zainteresowani współpracą w tym zakresie lub innymi usługami informatycznymi – zapraszamy do kontaktu. Support Online Sp. z o.o. www.support-online.pl tel. + 22 335 28 00 e-mail: [email protected] Źródło: 1. http://technet.microsoft.com/en-US/ 2. http://www.cisco.com 3. http://pl.wikipedia.org/ 4. Opracowanie własne Strona 6 z 6 Support OnLine Sp. z o.o., ul. Poleczki 21, 02-822 Warszawa, NIP: 951-20-32-692, Regon: 017431975, KRS: 0000078497, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego w Warszawie, Kapitał zakładowy: 50 000 PLN - opłacony w pełnej wysokości.