WPA в среде Active Directory

WPA (WiFi Protected Access) - это система аутентификации и шифрования трафика, использующаяся для реальной защиты беспроводных сетей типа WiFi. Помимо WPA, существует уже устаревшая система WEP (Wired Equivalent Privacy), которая использовалась до появления WPA и обеспечивала гораздо меньшую степень защиты в виду использования статичных ключей шифрования трафика.

В отличие от WEP, WPA не использует единый статичный ключ для шифрования трафика для всей сети, что позволяет серьезно упростить администрирование такой сети (при смене ключа не нужно перенастраивать все оборудование и рабочие станции) и повысить безопасность, поскольку ключ шифрования периодически меняется самим оборудованием.

Итак, перечислим недостатки WEP:

  1. Сложность администрирования - единый ключ, который нужно прописывать на всем оборудовании и периодически менять в целях безопасности.
  2. Невозможность оперативного отключения абонента - нужно изменять ключ для всей сети, что вызовет необходимость его смены на всем оборудовании.
  3. Низкая стойкость к дешифрации - ключ не меняется долгое время, соответственно, его можно подобрать и получить возможность перехватывать пакеты.

Эти недостатки устраняет протокол WPA, который вводит в работу беспроводной сети процедуры аутентификации пользователя и автоматической периодической смены ключа шифрования трафика.

 

Аутентификация реализуется через использование протокола IEEE 802.1x, а периодическая смена ключа шифрования - через протокол TKIP (Temporal Key Integrity Protocol).

При использовании WPA в среде Active Directory процедура подключения нового абонента беспроводной сети выглядит следующим образом:

  1. Получение и установка на компьютере пользователя сертификата пользователя и компьютера.
  2. Настройка политики удаленного доступа таким образом, чтобы разрешить этому пользователю доступ через беспроводную сеть.

После этого начало работы пользователя в беспроводной сети будет следующим:

  1. Ассоциация с точкой доступа - точка доступа создает ассоциацию с фильтрацией пакетов на втором уровне с тем, чтобы пользователь мог обратиться к RADIUS-серверу и аутентифицироваться.
  2. Аутентификация через RADUIS-сервер по протоколу EAP (Extensible Authentication Protocol) с использованием сертификата компьютера и пользователя.
  3. Допуск пользователя к работе в беспроводной сети в соответствии с политикой удаленного доступа.
  4. Периодическая смена ключа шифрования трафика.

Для использования WPA в среде Active Directory требуется Certificate Authority (CA) и RADUIS-сервер, роль которого выполняет Internet Authentication Service (IAS), и то и другое является стандартными компонентами Windows Server 2000 и выше (за исключением Windows Server 2003 Web Edition). Процедура установки обоих довольно проста, IAS устанавливается по умолчанию, а CA устанавливается в режиме Enterprise Root CA.

В случае использования Windows 2000 для сервера ISA и клиентских компьютеров требуется минимум SP3 и установленный клиент для сетей 802.1x (Microsoft 802.1x Authentication Client).

После установки CA следует получить сертификат пользователя и компьютера. Для этого, используя учетную запись с правами локального администратора, запускаем на рабочей станции mmc.exe и добавляем туда оснастки "Сертификаты->Учетной записи пользователя" и "Сертификаты->Учетной записи компьютера". Затем в подпапке "Личные" нажимаем правую кнопку и выбираем "Все задачи->Запросить новый сертификат", сертификат будет получен на CA и установлен в хранилище сертификатов на локальном компьютере.

Аналогичную процедуру нужно повторить для подпапки "Личные" в разделе сертификатов беспроводной рабочей станции, а также IAS-сервера, поскольку в ходе двухсторонней аутентификации не только сервер проверяет подлинность клиента, но и клиент проверяет подлинность сервера. Для автоматической выдачи сертификатов можно настроить групповую политику для использования процедуры "Automatic Certificate Enrollment".

Данные сертификаты будут использованы для работы протокола EAP, т.е. для аутентификации компьютера и пользователя через протокол 802.1x.

Теперь перейдем к настройке службы IAS (которая играет у нас роль RADIUS-сервера). На службе IAS нужно создать специальную политику для пользователей, использующих беспроводную сеть. В требованиях политики нужно добавить два пункта: "NAS-Port-Type", который должен соответствовать "Wireless - IEEE 802.11", и "Windows-Groups", куда следует внести группу, содержащую только пользователей беспроводного доступа, ну и, конечно же, указать, что данная политика разрешает доступ.

Затем следует связать RADIUS-сервер с точкой доступа. По отношению к RADIUS точка доступа является клиентом, поэтому в папке "Клиенты" RADIUS-сервера нужно создать запись для точки доступа, где указать ее IP-адрес и общий пароль. На точке доступа следует указать IP-адрес RADIUS-сервера и общий пароль, который будет использоваться для шифрования всего "общения" точки доступа с RADIUS-сервером.

Вот, в общем-то, и все, что нужно настроить для использования WPA в среде Active Directory. Теперь достаточно на рабочей станции выбрать беспроводную сеть, указать, что будет использоваться WPA (не путать с WPA-PSK - это совсем другое), и выбрать сертификат, который будет использоваться для аутентификации. Для настройки клиентов на беспроводную сеть можно использовать и групповую политику.

Нетрудно заметить, что при использовании WPA вообще отсутствует общий ключ шифрования, и перед тем, как пользователь получит доступ в беспроводную сеть, будет проверена его аутентичность и действительность как пользователя Active Directory. Это значительно упрощает администрирование корпоративных беспроводных сетей, поскольку в ходе плановой замены не нужно изменять ключ на каждой рабочей станции, а доступ определенных рабочих станций можно оперативно блокировать просто отключением учетной записи в Active Directory, отменой сертификата на CA (revoke) и перезагрузкой точки доступа.

Детальные инструкции по настройке WPA в среде Active Directory на английском языке можно получить через поиск по ключевым словам "Enterprise Deployment of Secure 802.11 Networks" на сайте www.microsoft.com.

Алексей ГРЕЧАНИНОВ,
портал IT'шников Беларуси
www.administrators.ws

Версия для печатиВерсия для печати

Номер: 

25 за 2005 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!