- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Защищенная конфигурация точки доступа
Опубликовано 16 января 2007 г.
На этой странице
Введение Определение Трудности Решения Аннотация
Введение
Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.
Аннотация
Использование беспроводных локальных сетей (WLAN) в корпоративных средах вызывает в мире бизнеса много споров, однако в большинстве компаний уже развернуты те или иные беспроводные сети или, по крайней мере, рассмотрены их достоинства и недостатки. Как бы то ни было, у специалистов компаний, развернувших беспроводные сети, обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда и сокращения инфраструктурных расходов.
Раньше сомнения в безопасности беспроводных технологий были вполне обоснованными, но даже сегодня беспроводные сети по традиции считаются недостаточно защищенными, потому что в протоколах IEEE 802.11 первого поколения, разработанных для защиты беспроводных сетей, были обнаружены широко обсуждавшиеся изъяны. И хотя за прошедшие годы было разработано много способов компенсации этих изъянов, большинство предлагаемых решений были слишком дорогими или имели собственные недостатки.
Однако с тех пор многое изменилось, и по мере повышения пропускной способности и надежности беспроводных сетей совершенствовались и стандарты обеспечения их безопасности. WPA и WPA2 — новейшие протоколы обеспечения безопасности беспроводных сетей, разработанные на основе стандарта IEEE 802.11i, — помогают надежно защитить трафик в беспроводных сетях даже в ситуациях, предъявляющих повышенные требования к безопасности. При правильной настройке системы с поддержкой этих стандартов защищены гораздо надежнее, чем прежние решения, и их можно смело использовать в корпоративных системах среднего размера.
Обзор
Данный документ содержит четыре основных раздела, в которых подробно рассматривается разработка и реализация эффективного решения для защиты беспроводной сети в компании среднего размера. Ниже приводится краткое описание этих разделов.
Введение. Этот раздел содержит аннотацию документа, обзор его структуры и информацию о том, на кого он ориентирован.
Определения. В этом разделе определяются и поясняются некоторые термины, которые нужно знать для понимания документа.
Проблемы. В этом разделе описываются проблемы, с которыми часто сталкиваются компании среднего размера при подготовке к развертыванию беспроводных сетей, и формируется основа для обсуждения предлагаемого в данном документе решения.
Решения. В этом разделе приводится подробное пошаговое руководство по планированию, разработке, развертыванию и поддержке защищенной беспроводной инфраструктуры. Этот раздел содержит три основных подраздела.
Оценка защищенности беспроводной сети. В данном разделе рассматриваются необходимые условия и описываются возможные варианты, которые можно взять за основу при разработке плана решения.
Разработка защищенного беспроводного сетевого решения. В этом разделе описано, как на основе информации, полученной на этапе оценки, выбрать решение, создать план его внедрения и разработать его базовые компоненты.
Развертывание и управление. Этот раздел содержит подробное пошаговое руководство по созданию описанного в данном документе защищенного беспроводного сетевого решения, а также информацию, помогающую организовать управление этим решением и проверить его соответствие требованиям.
Для кого предназначен этот документ
Этот документ ориентирован на сотрудников компаний среднего размера: технических специалистов и руководителей технических отделений, которые оценивают целесообразность использования протокола Wi-Fi Protected Access (WPA) или Wi-Fi Protected Access 2 (WPA2) для защиты беспроводной инфраструктуры. Предполагается, что читатель имеет общие технические знания о беспроводных устройствах и сетевых технологиях, имеет опыт работы с ОС Microsoft® Windows Server™ 2003, службой проверки подлинности в Интернете (Internet Authentication Service, IAS), службами сертификации и службой каталогов Active Directory® и знает, как настраивать и применять групповую политику.
К началу страницы
Определение
Для понимания изложенных в документе сведений необходимо знать следующие термины.
AES. В стандарте AES (Advanced Encryption Standard), входящем в состав спецификации WPA2, используется симметричное блочное шифрование данных.
EAP. Extensible Authentication Protocol (EAP) — это стандарт 802.1X, позволяющий разработчикам передавать используемые при проверке подлинности данные между серверами RADIUS и точками беспроводного доступа. Протокол EAP имеет ряд вариантов, в число которых входят EAP MD5, EAP-TLS, EAP-TTLS, LEAP и PEAP.
EAP-TLS. Протокол EAP Transport Layer Security (EAP-TLS) был разработан корпорацией Майкрософт на основе стандарта 802.1X для использования цифровых сертификатов при проверке подлинности. В настоящее время он является отраслевым стандартом проверки подлинности для спецификации 802.11i.
IEEE 802.1X. Стандарт IEEE 802.1X определяет процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (RADIUS).
IEEE 802.11. Стандарт IEEE 802.11 регламентирует передачу данных в беспроводных сетях и включает несколько спецификаций: от 802.11g, которая позволяет передавать данные со скоростью более 20 Мбит/с в частотном диапазоне 2,4 ГГц, до 802.11i, которая определяет механизмы шифрования и проверки подлинности по протоколу WPA2.
IEEE 802.11i. Поправка IEEE 802.11i к стандарту 802.11 определяет методы обеспечения безопасности (WPA2), предусматривающие применение блочного шифра AES для защиты процессов проверки подлинности (EAP). Это устраняет некоторые существовавшие ранее недостатки стандартов и спецификаций обеспечения безопасности беспроводных сетей.
MS-CHAP v2. Microsoft Challenge Handshake Authentication Protocol, версия 2 (MS-CHAP v2) — это основанный на использовании паролей протокол взаимной проверки подлинности по схеме «запрос-ответ» с шифрованием данных по алгоритмам MD4 и DES. Он используется вместе с протоколом PEAP (PEAP-MS-CHAP v2) для защиты сеансов беспроводной связи.
PEAP. Защищенный протокол расширенной проверки подлинности (Protected Extensible Authentication Protocol, PEAP) — это вариант протокола расширенной проверки подлинности (EAP), устраняющий проблемы безопасности, связанные с передачей незашифрованного текста по протоколу EAP. Для этого создается безопасный канал связи, который шифруется и защищается с использованием протокола TLS.
SSID. Идентификатор беспроводной сети (SSID) — это имя, назначаемое беспроводной сети и используемое клиентом для определения корректных параметров и учетных данных, необходимых для доступа к ней.
TKIP. Протокол TKIP (Temporal Key Integrity Protocol) входит в стандарт шифрования WPA для беспроводных сетей. Этот протокол представляет собой модернизированную версию стандарта WEP, которая устраняет обнаруженные в WEP недостатки за счет поддержки смешения ключей для каждого пакета.
WEP. Спецификация Wired Equivalent Privacy (WEP) входит в стандарт IEEE 802.11 и предусматривает 64-битное или 128-битное шифрование по алгоритму RC4. В 2001 году в стандарте WEP были обнаружены серьезные недостатки, связанные преимущественно с длиной вектора инициализации поточного шифра RC4 и делающие возможным пассивное декодирование ключа RC4.
WLAN. Беспроводная локальная сеть.
WPA. Для устранения найденных в стандарте WEP изъянов в 2003 году был представлен стандарт Wi-Fi Protected Access (WPA) — совместимая с другими версиями спецификация обеспечения безопасности в беспроводных сетях, являющаяся подмножеством стандарта IEEE 802.11. Данный стандарт включает механизмы проверки подлинности и использует для шифрования данных протокол TKIP.
WPA2. Стандарт WPA2 был принят в сентябре 2004 года организацией Wi-Fi Alliance и представляет собой сертифицированную совместимую версию полной спецификации IEEE 802.11i, принятой в июне 2004 года. Как и предшествующий ему стандарт, WPA2 поддерживает проверку подлинности по протоколу IEEE 802.1X/EAP или технологию предварительных ключей, но, в отличие от своего предшественника, содержит новый усовершенствованный механизм шифрования AES (Advanced Encryption Standard), основанный на использовании протокола Counter-Mode/CBC-MAC Protocol (CCMP).
К началу страницы