Мощная комбинированная защита беспроводных сетей

Обеспечение безопасности беспроводных сетей доставляет массу хлопот администраторам предприятий всех размеров. Недостаточно добиваться, чтобы конечные пользователи меняли стандартные настройки, применять пароли для подключения к узлам доступа (Access Points, AP) и шифровать трафик. Технология защиты Wired Equivalent Privacy (WEP) имеет много слабых мест, и при определенных обстоятельствах взломщики могут воспользоваться ими, чтобы проникнуть в беспроводную сеть предприятия. Эти недостатки устранены в стандарте Wi-Fi Protected Access (WPA) и более позднем стандарте WPA2 благодаря надежным алгоритмам аутентификации и шифрования. Они должны использоваться вместо WEP всегда, когда это возможно. Недостаток использования WPA и WPA2 — усложнение настройки беспроводной инфраструктуры, но даже в небольшой сети надежная защита искупает этот изъян. В данной статье излагается поэтапный план развертывания решения на основе WPA или WPA2 и соответствующей настройки клиентов Windows XP.

Планирование инфраструктуры WPA и WPA2

Существует два способа защиты беспроводных сетей с помощью WPA или WPA2. Можно настроить WPA и WPA2 на использование процедуры проверки подлинности PreShared Key (PSK, WPA-PSK или WPA2-PSK), это идеальный способ для небольших организаций, в которых нет корпоративного сервера аутентификации.

В процессе аутентификации PSK как клиенту, так и серверу должен быть известен общий секрет или ключ. Дополнительные сведения об использовании технологии WPA-PSK и WPA2-PSK приведены во врезке «Защита сети с WPA-PSK и WPA2-PSK». WPA и WPA2 можно настроить и на использование технологии 802.1x, и именно этот метод рассматривается в данной статье. Более подробно о PSK и 802.1x рассказано в статье «Защита беспроводной сети», опубликованной в № 2 Windows IT Pro/RE за 2006 г.

При использовании WPA или WPA2 с 802.1x необходимо выбрать метод аутентификации пользователей в сети. В Windows возможны два варианта: клиентские сертификаты (с аутентификацией Extensible Authentication Protocol-Transport Layer Security — EAP-TLS) и протокол Protected Extensible Authentication Protocol (PEAP) в комбинации с протоколом Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAP v2). Считается, что сертификаты обеспечивают более надежную защиту, чем PEAP, но в отличие от PEAP для них необходима инфраструктура открытых ключей Public Key Infrastructure (PKI). Если на предприятии существует продуманная политика управления паролями, а пользователи часто меняют пароли, то PEAP может быть оптимальным решением для предприятий малого и среднего бизнеса. В данной статье рассматривается именно этот метод защиты беспроводной сети. Тому, кто хочет использовать сертификаты для аутентификации пользователей, можно рекомендовать прочитать статью «Как защитить WLAN с помощью сертификатов», опубликованную в № 3 «Windows IT Pro/RE» за 2005 г.

В процессе аутентификации PEAP беспроводная точка доступа AP проверяет подлинность и выполняет авторизацию беспроводного клиента с применением службы Remote Authentication Dial In User Services (RADIUS), передавая пакеты аутентификации с клиента на сервер RADIUS. На рис. 1 показаны компоненты инфраструктуры аутентификации RADIUS. Серверы RADIUS должны иметь доступ к каталогу (например, Active Directory, AD), в котором хранится информация о пользователях, необходимая для аутентификации. Чтобы авторизовать клиента, сервер RADIUS анализирует политику, составленную администратором. Политика может быть предназначена для конкретного пользователя или быть общей для всех пользователей или групп. Некоторые реализации RADIUS, в частности Microsoft Internet Authentication Service (IAS), позволяют запросить в каталоге политику для конкретного пользователя.

Настройка RADIUS

Чтобы подготовить беспроводную сеть к использованию PEAP, необходимо сначала установить в сети один или несколько серверов RADIUS. Роль сервера RADIUS может играть любая система Windows Server 2003 или Windows 2000 Server, но для оптимальной производительности Microsoft рекомендует установить RADIUS на контроллере домена (DC). Кроме того, для повышения отказоустойчивости полезно установить в сети более одного сервера RADIUS. В данном примере используется вариант IAS. Чтобы установить IAS, следует открыть утилиту Add/Remove Programs в панели управления и перейти на вкладку Add/Remove Windows Components. В мастере Windows Components Wizard нужно выбрать Networking Services и щелкнуть на кнопке Details. В диалоговом окне Networking Services выберите Internet Authentication Service и нажмите OK.

Активизация RADIUS. После установки IAS на сервере RADIUS необходимо активизировать сервер RADIUS, зарегистрировав его в AD. Для этого нужно открыть оснастку Internet Authentication Service в консоли управления Microsoft Management Console (MMC) из меню Start, Administrative Tools. В меню Action следует выбрать пункт Register Service in Active Directory и подтвердить щелчком на кнопке OK, что службе IAS разрешено читать свойства коммутируемых соединений пользователей. Затем на экране появляется приглашение добавить сервер в группу RAS and IAS Servers в других доменах, которые будут задействовать этот сервер RADIUS для аутентификации пользователей.

Получение сертификатов для серверов RADIUS. После установки серверов RADIUS необходимо получить сертификаты для каждого из них. Можно установить корпоративный удостоверяющий центр Certification Authority (CA) — например, Microsoft Certificate Services, который поставляется вместе с Windows 2003 и Windows 2000, и активизировать режим автоматической регистрации, чтобы получить необходимые сертификаты. Информацию об установке корпоративного CA можно найти в статье «Принципы доверия PKI», опубликованной в этом номере журнала. Чтобы не устанавливать CA, можно приобрести сертификат для серверов RADIUS у независимого поставщика, такого как Verisign.

Определение политики удаленного доступа. Далее требуется определить политику, которая разрешает серверу RADIUS аутентифицировать и авторизовать беспроводные сетевые клиенты. Следует открыть в MMC оснастку Internet Authentication Service (меню Start, Administrative Tools, Internet Authentication Service). Щелкнув правой кнопкой мыши на Remote Access Policies, необходимо выбрать New Remote Access Policy и запустить мастер New Remote Access Policy Wizard. Чтобы приступить к вводу деталей политики, требуется щелкнуть на кнопке Next. На странице Policy Configuration Method приведены два режима: Use the wizard to set up a typical policy for a common scenario и Set up a common policy. Нужно выбрать первый режим для настройки типичной политики, а затем ввести имя политики (например, Wireless LAN policy) и щелкнуть на кнопке Next. На экране появятся четыре варианта доступа. Следует выбрать Wireless и нажать Next. На этой странице можно настроить политику для пользователя или группы. Выбрав Group, следует щелкнуть на кнопке Add, чтобы указать группы пользователей, которым будет предоставлен доступ. Можно дать имена группам, содержащим только пользователей с беспроводным доступом (рекомендуется), или составить широкую группу, такую как Domain Users. Сформировав группы, нажмите Next.

Настройка метода и политики аутентификации. По умолчанию метод аутентификации — PEAP, в соответствии с которым пользователи проходят аутентификацию, указывая свои учетные данные. Метод аутентификации можно изменить, щелкнув на кнопке Configure. Сертификат, выданный серверу RADIUS корпоративным CA или приобретенный в независимом центре, должен отображаться в поле Certificate Issued, а Secured Password (EAP MSCHAPv2) должен быть показан в списке типов EAP. Если сертификат сервера RADIUS не указан, следует выбрать его из раскрывающегося списка. Если сертификат недоступен, то перед выполнением следующих операций необходимо убедиться, что он установлен корректно.

При аутентификации PEAP можно указать, сколько раз пользователям разрешено вводить учетные данные при каждой попытке аутентификации, прежде чем соединение будет разорвано. Можно также разрешить или запретить пользователям изменять пароль после истечения срока действия. Убедитесь, что установлен флажок Enable Fast Reconnect. Щелкните на кнопке Next, чтобы увидеть сводку параметров, и сохраните политику щелчком на кнопке Finish.

В сохраненную политику необходимо внести пару изменений. Следует два раза щелкнуть на политике в оснастке IAS, чтобы открыть диалоговое окно Properties. Щелкните на кнопке Edit Profile, чтобы открыть экран Edit Dial-in Profile. Щелкнув на вкладке Dial-in Constraints, можно установить флажок Minutes clients can be connected. Благодаря параметру Session-Timeout клиент не может оставаться подключенным в течение длительного времени после блокирования учетной записи. Клиентам придется вновь пройти аутентификацию после соединения в течение указанного числа минут. По мнению специалистов Microsoft, в среде WPA или WPA2 приемлемое значение составляет 600 минут. Затем следует перейти на вкладку Advanced и щелкнуть на кнопке Add. Из списка в диалоговом окне Add Attribute нужно выбрать Ignore-User-Dialin-Properties и щелкнуть на кнопке Add. Появится диалоговое окно Boolean Attribute Information, в котором этот параметр должен иметь значение True. Щелкните на кнопке OK. Закройте диалоговое окно Add Attribute, щелкнув на кнопке Close, а затем нажмите OK, чтобы сохранить изменения политики. Эти настройки гарантируют, что свойства пользователей коммутируемых соединений не вызовут проблем с узлами доступа, которые рассчитаны только на беспроводные свойства.

Настройка узлов доступа

Затем необходимо настроить IAS на связь с клиентами RADIUS (то есть узлами доступа). В оснастке IAS требуется щелкнуть правой кнопкой мыши на RADIUS Clients и выбрать пункт New RADIUS Client из раскрывающегося списка. Для клиента RADIUS необходимо ввести понятное имя и имя узла или IP-адрес, а затем щелкнуть на кнопке Next.

В поле Client-Vendor следует выбрать элемент RADIUS Standard. В полях Shared secret и Confirm shared secret нужно ввести надежный секретный ключ. Этот секретный ключ — общий с узлом доступа, он будет использоваться для аутентификации и шифрования трафика между узлом доступа и серверами RADIUS. Затем нужно установить флажок Request must contain the Message Authenticator attribute. В результате сервер RADIUS требует от узла доступа использования общего секретного ключа. Эти действия следует повторить для настройки каждого сервера RADIUS.

Наконец, настройте узел доступа в соответствии с рекомендациями изготовителя. По крайней мере, нужно ввести идентификатор Service Set Identifier (SSID), настроить его на аутентификацию WPA с 802.1x или WPA2 с 802.1x (но не PSK) и выбрать алгоритм шифрования TKIP (для WPA) или AES (для WPA2), а затем ввести информацию сервера RADIUS и общий ключ.

Тестирование и устранение неисправностей в беспроводных сетях

После того как будет завершена настройка серверов RADIUS и узлов доступа, необходимо протестировать связь и устранить неполадки. Чтобы протестировать связь, следует отключить все, кроме одного узла доступа (можно протестировать связь после установки первого сервера RADIUS и узла доступа). Щелкните правой кнопкой мыши на беспроводном сетевом адаптере беспроводного клиента и выберите пункт Properties. Пользователь, у которого нет полномочий члена локальной группы Administrators, получит предупреждение о блокированных элементах управления. Сообщение следует проигнорировать и нажать OK, чтобы удалить его с экрана. В диалоговом окне Wireless Network Connection Properties нужно перейти на вкладку Wireless Networks. В разделе Preferred Networks требуется щелкнуть на кнопке Add, чтобы открыть окно Wireless Network Properties. В поле Network name (SSID) нужно ввести SSID, выбрать WPA или WPA2 из раскрывающегося списка Network Authentication, затем выбрать алгоритм TKIP или AES из раскрывающегося списка Data Encryption. Щелкните на вкладке Authentication, из раскрывающегося списка EAP type выберите пункт EAP (PEAP) и нажмите OK. Щелкните View Wireless Networks на экране Wireless Network Connection Properties, выберите SSID для только что добавленной сети, а затем щелкните на кнопке Connect. Должно быть установлено соединение с беспроводной сетью. Эти действия не придется повторять при каждом подключении; настройка сети завершена, и связь должна устанавливаться автоматически.

Если не удается подключиться к беспроводной сети, то существует много источников диагностической информации. В большинстве узлов доступа есть журналы активности, по которым видно, препятствуют ли аутентификации клиентов проблемы связи с серверами RADIUS. Из журналов IAS в папке %systemroot%system32logfiles можно узнать о сбоях аутентификации и авторизации. IAS записывает события в журнал System, с помощью которого можно устранять неполадки соединений.

Распространение беспроводных настроек с помощью групповой политики

Если используется WPA, то настройки можно передать беспроводным клиентам с помощью групповой политики, не тратя усилий на ручную настройку каждого клиента. В настоящее время групповая политика несовместима с WPA2. При работе с AD на основе Windows 2000 необходимо установить Windows 2003 DC для обновления схемы AD и запуска редактора Group Policy Editor (GPE) на этом DC, чтобы обеспечить поддержку беспроводных сетей.

Чтобы использовать групповую политику для настройки доступа к беспроводной сети, следует зарегистрироваться в DC и запустить оснастку Active Directory Users and Computers консоли MMC. Рекомендуется создать организационную единицу (OU) и поместить в нее учетные записи компьютеров клиентов беспроводной сети. Затем можно применить объект Group Policy Object (GPO) для беспроводных параметров к OU, не влияя на другие системы в лесу. Запустив GPE, следует перейти к политикам Wireless Network (IEEE 802.11) Policies, которые хранятся в разделе Computer Configuration, Windows Settings, Security Settings. Щелкните правой кнопкой мыши в правой панели MMC и выберите Create Wireless Network Policy, чтобы запустить мастер Wireless Network Policy Wizard. Введите имя и описание политики. После щелчка на кнопке Finish мастер спросит, следует ли вернуться назад и отредактировать политику. В ответ нужно щелкнуть на кнопке Yes.

В диалоговом окне New Network Policy Properties нужно перейти к вкладке General, на которой показаны имя и описание политики. На этой странице можно задать время, в течение которого клиенты должны ожидать, прежде чем проверить обновление политики (по умолчанию 180 минут), и указать доступные сети. В разделе Networks to access находится раскрывающийся список с тремя вариантами: Any available network (access point preferred), Access point (infrastructure) networks only и Computer-to-computer (ad hoc) networks only. Рекомендуется выбрать Access point (infrastructure) networks only. В этом режиме блокируются попытки беспроводных клиентов подключиться к другим беспроводным клиентам, которые могут передавать такой же SSID, как одна из ваших беспроводных сетей (обычный прием, применяемый взломщиками для перехвата данных). Здесь же необходимо настроить два других параметра политики. Первый из них — Use Windows to configure wireless network settings for clients — запрещает использовать программы независимых поставщиков (утилиты изготовителей) для настройки беспроводных сетевых адаптеров. Этот режим следует активизировать. Второй параметр — Automatically connect to non-preferred networks — определяет, могут ли клиенты, к которым применена политика, подключаться к другим беспроводным сетям, кроме перечисленных на вкладке Preferred Networks. Этот режим активизировать не рекомендуется, так как он позволяет клиентам подключаться к неизвестным сетям при отсутствии предпочтительной сети.

На вкладке Preferred Networks следует указать сети, к которым могут подключаться клиенты. Чтобы добавить сеть, нужно щелкнуть на кнопке Add и открыть диалоговое окно New Preferred Setting Properties. На вкладке Network Properties следует ввести SSID и описание сети. Здесь же находятся два раскрывающихся списка. Выберите WPA из списка Network Authentication и TKIP или AES из списка Data Encryption. Затем требуется открыть вкладку IEEE 802.1x и выбрать Protected EAP (PEAP) из раскрывающегося списка EAP Type. Щелкнув на Settings, нужно выбрать из списка источников сертификации только доверенные. Доверенными являются источники, выдающие сертификаты серверам RADIUS. Затем необходимо выбрать метод аутентификации Secured Password (EAPMSCHAPv2) из списка в разделе Select Authentication Method. Выберите Enable Fast Reconnect и сохраните политику, щелкнув на кнопке OK.

Для проверки новой политики нужно открыть командную строку на беспроводном клиенте и запустить

gpupdate /target:computer

/force

Эта команда извлекает новую политику и применяет ее на беспроводном клиенте. Применив политику, можно увидеть на вкладке Networks диалогового окна Wireless Network Connection Properties список беспроводных сетей, настроенных в GPO.

Другие возможности и ресурсы

Обладателям беспроводных сетей с WEP пора усилить защиту своих сетей. Используя технологию 802.1x и аутентификацию PEAP с WPA или WPA2, можно построить мощную инфраструктуру безопасности, и я надеюсь, что благодаря этой статье задача немного упростится. Однако существуют другие варианты построения надежно защищенной беспроводной сети. С ними можно познакомиться на специализированном сайте Microsoft по Wi-Fi и безопасности (http://www.microsoft.com/wifi). Подробные инструкции по защите беспроводных сетей можно получить по адресу http://www.microsoft.com/technet/security/topics/NetworkSecurity.mspx. Еще одна хорошая статья по беспроводной безопасности — «Безопасная беспроводная сеть», опубликованная в № 4 Windows IT Pro/RE за 2004 г. Благодаря всем этим ресурсам и постоянному техническому прогрессу безопасная беспроводная сеть стала вполне достижимой целью.

Джон Хоуи - директор компании World Wide Services и подразделения IT Technical Community for Security в Microsoft. Имеет 15-летний опыт работы в области информационной безопасности и сертификаты CISA, CISM и CISSP. jhowie@microsoft.com


Защита сети с WPA-PSK и WPA2-PSK

Самый простой метод защиты сети с использованием стандарта WPA или WPA2 — с помощью процедуры проверки подлинности Pre-Shared Key (PSK) Authentication (именуются WPA-PSK и WPA2-PSK соответственно). Такой способ использования WPA похож на Wired Equivalent Privacy (WEP), но он обеспечивает дополнительные преимущества, реализованные в WPA и 802.11i, в том числе более надежную аутентификацию и совершенные алгоритмы шифрования.

Чтобы использовать WPA-PSK или WPA2-PSK в беспроводной сети, необходим узел доступа (Access Point, AP), совместимый с одним или обоими стандартами. Во многих AP реализованы оба стандарта, и их удобно использовать на предприятиях с разными беспроводными клиентами. В некоторых узлах доступа высокого класса можно даже одновременно задействовать WPA, WPA2 и WEP. Следуйте инструкциям, приведенным в руководстве для узла доступа, чтобы настроить Service Set Identifier (SSID — удостоверение для беспроводной сети), выберите WPA, WPA2 или оба стандарта, в зависимости от требований конкретной сети, и введите надежный, заранее переданный ключ, который будет трудно разгадать фальшивому беспроводному клиенту.

После настройки AP рекомендуется использовать один портативный или настольный беспроводной клиент для тестирования связи. Прежде всего, следует убедиться, что беспроводной клиент совместим с WPA или WPA2. Для этого требуется открыть панель управления, раздел Network Connections и щелкнуть правой кнопкой мыши на беспроводном сетевом адаптере. Из меню необходимо выбрать пункт Properties и перейти на вкладку Wireless Networks. Для поиска сети нужно щелкнуть на кнопке View Wireless Networks или щелкнуть на кнопке Add и вручную добавить сеть. На экране A показана конфигурация WPA-PSK для новой сети.

Экран A.

Групповую политику можно использовать для передачи беспроводным сетевым клиентам настроек WPA-PSK и WPA-PSK2, но не общих ключей. Не рекомендуется также поручать пользователям самостоятельный ввод заранее переданных ключей. Лучше записать установки беспроводной сети и настройки других беспроводных сетевых клиентов с помощью мастера Wireless Network Setup Wizard из панели управления. При запуске мастера на экране появляется два варианта задания: организовать новую беспроводную сеть либо добавить в сеть новый компьютер или устройство. Следует активизировать режим ввода нового компьютера и щелкнуть на кнопке Next. Выберите режим Use a USB flash drive (recommended) и нажмите Next. Необходимо вставить флэш-накопитель в порт USB компьютера, а когда устройство будет обнаружено, выбрать его из раскрывающегося списка Flash drive, затем щелкнуть на кнопке Next. Беспроводные параметры и маленькая вспомогательная программа копируются на флэш-накопитель, который настраивается на запуск этой программы всякий раз, когда накопитель вставляется в компьютер. Затем следует вынуть флэш-накопитель из компьютера и подключить его к каждому беспроводному клиенту (нужно зарегистрироваться в качестве пользователя, который будет работать с системой первым). Если среди сотрудников предприятия есть пользователи как беспроводных, так и проводных сетей, можно скопировать в разделяемую папку программу (setupSNK.exe), папку smrtntky и ее содержимое. Затем необходимо настроить сценарий регистрации, поставить в соответствие папке букву диска на системе пользователя и запустить setupSNK.exe. Предупреждение: заранее переданный ключ хранится в простом текстовом формате в двух файлах в папке smrtntky. Аккуратно храните флэш-накопитель, чтобы не потерять его, а завершив настройку беспроводных клиентов, рекомендуется физически уничтожить накопитель. Прочитать удаленную информацию с флэш-накопителя очень просто, а надежно удалить — трудно. Если создан сценарий регистрации для настройки беспроводных сетевых клиентов, то после настройки клиентов необходимо удалить файлы и сценарий регистрации.

Поделитесь материалом с коллегами и друзьями