WPA2-EAP-langattoman verkon määrittäminen verkkopolitiikkapalvelimen (NPS), AD- ja Group-käytäntöjen avulla - Miten

WPA2-EAP-langattoman verkon määrittäminen verkkopolitiikkapalvelimen (NPS), AD- ja Group-käytäntöjen avulla

Olen äskettäin siirtänyt langattoman verkon RADIUS / IAS: stä Windows 2003: ssa PKI: n kanssa Windows 2008 R2: een. Se vei jonkin aikaa päästäksesi sen pohjalle, joten ajattelin kirjoittaa How-To -palvelun auttamaan muita.

vaatimukset:

# Yksi tai useampi 802.1X-yhteensopiva 802.11-tukiasema (AP).

# Active Directory ryhmäkäytännöllä

# Yksi tai useampi verkkopolitiikan palvelin (NPS).

# Active Directory -sertifikaattipalveluihin perustuva PKI palvelinvarmenteille NPS-tietokoneille ja langattomalle tietokoneellesi

oletukset:

Näin oletetaan, että sinulla on tietoa langattomien tukiasemien määrittämisestä ja palvelinroolien asentamisesta. Siinä oletetaan myös, että olet jo määrittänyt Enterprise PKI: n Active Directory -toimialueellesi (HUOMAUTUS Entinen PKI Windows -käyttöjärjestelmässä edellyttää Windows Server OS: n Enterprise-version kopiota)

10 vaihetta yhteensä

Vaihe 1: Määritä langattomat tukiasemat


Minulla on Cisco 1200 -sarjan käyttöpisteet, joissa on IOS 12.3 JED (tai jotain muuta). Olen asettanut nämä yhteysosoitteet:

1) Lähetä SSID
2) Käytä AES-CCM-salausta salausta varten
3) Käytä WPA2: ta (pakollinen)
4) käytä natiivia vlania.
5) Määritä jaettu salaisuus, jota käytät NPS Radius -palvelimen kanssa.

Kun TKIP paljastuu säröileväksi:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-has-been-cracked-use-wpa2-aes-encryption-instead/

Suosittelen käyttämään WPA2-EAP: a ja AES: ää salauksen salauksena. Voit nähdä kuvan, jossa on yhteenveto Cisco-asetuksista liitetiedostossa:

Vaihe 2: Asenna NPS palvelimeen

Avaa Windows 2008 tai 2008 R2 palvelimen hallinta ja

1) lisää "Verkkopolitiikka ja käyttöpalvelut" -rooli

Lisää roolipalveluja:

* Verkkopolitiikan palvelin
* Reititys ja etäkäyttöpalvelut

Ellet halua käyttää verkkokäyttöoikeutta karanteenin tekemiseen ja verkon terveystarkastukset eivät häiritse muita.

Vaihe 3: Aseta Radius-asiakkaat NPS: lle


Avaa NPS-konsoli. Napsauta hiiren kakkospainikkeella Radius-asiakkaita ja napsauta sitten "Uusi".

Täytä ystävällisen nimen, osoitteen kentät ja lisää sitten määritetty yhteinen salaisuus tukiasemaan.

Liitteessä voi nähdä kuvan täytetyistä arkistoista.

Vaihe 4: Määritä 802.1x NPS-palvelimella (osa 1)


Avaa palvelinhallinnassa "Roolit" ja sitten "Verkkopolitiikka ja käyttöpalvelut" ja napsauta sitten NPS (paikallinen).

Valitse normaalin kokoonpanon oikeassa ruudussa "Radiuspalvelin 802.1x-langattomille tai langallisille yhteyksille" ja napsauta sitten "Määritä 802.1X" aloittaaksesi ohjatun perustan.

Katso liite

Vaihe 5: 802.1x: n määrittäminen NPS-palvelimella (part2) THE WIZARD :)

1. Valitse yläpainike ”Secure Wireless Connections” napsauttamalla seuraavaa

2. Määritä 802.1X Swtiches -sivun tarkistus -kohdassa Radius-asiakkaat -kohdassa määritetyt AP: t kyseisessä luettelossa ja napsauta sitten Seuraava.

3. Nyt todennusmenetelmä. Valitse pudotusvalikosta haluamasi menetelmä. Tässä käytän Microsoftia: Suojattu EAP (PEAP).

HUOMAUTUS: Tämä menetelmä vaatii tietokoneen varmenteen ja Radius-palvelimen sekä asiakaskoneen tietokoneen tai käyttäjän varmenteen. Siksi sinun täytyy käyttää verkkotunnuksen PKI :)

4. Valitse ryhmät, joille haluat antaa langattoman yhteyden. Voit tehdä tämän käyttäjän tai tietokoneen tai molempien avulla. (jos et ole asettanut niitä AD: lle, niin mene tekemään niin ja palaa tähän vaiheeseen!))

5. Jos haluat määrittää VLan: n seuraavaan vaiheeseen. Koska käytän oletusarvoista vlania, minun ei tarvinnut tehdä mitään täällä.

6. Sinun täytyy sitten rekisteröidä palvelin Active Directoryn avulla. Niinpä napsauta NPS: ää hiiren oikealla painikkeella ja valitse Register Server Active Directorysta.

Sinulla pitäisi nyt olla yhteyspyyntö ja verkkopolitiikka. Vaihtoehtoisena vaiheena, jos sinulla on XP-asiakkaita tai uudempia, haluat ehkä poistaa MS-CHAP v1) -todennusmenetelmän verkkopolitiikasta (contraints-välilehden alla)

Vaihe 6: Sertifikaatin automaattisen tarkistuksen määrittäminen

Avaa ryhmäkäytännön hallinta.

1) Luo uusi GPO-käytäntö ja nimeä se asianmukaisesti.
2) Suojaussuodatusalueella, mitä käytäntöä sovelletaan sovellettavien käyttäjien poistamiseen ja lisäämällä AD-luodut käyttäjä- ja / tai tietokoneryhmät. Näin varmistetaan, että käytäntö, joka on määritetty, koskee vain näiden ryhmien jäseniä.

3) Muokkaa ryhmäkäytännön asetuksia ja siirry osoitteeseen:

A) Tietokoneen asetukset Politiikat Windows-asetukset Turvallisuusasetukset Julkiset avainkäytännöt

Tiedot-ruudussa sinun on napsautettava oikealla painikkeella Sertifikaattipalvelut-asiakasta - automaattinen rekisteröinti ja valitse sitten ominaisuudet.

Valitse Ominaisuudet-valintaikkunassa avattavasta valikosta otettu valinta ja aseta sitten rasti muissa ruutuissa. Tämä varmistaa, että tietokone tarkastaa automaattisesti ADCS-sertifikaatin.

B) Siirry nyt tietokoneen kokoonpanoon Politiikat Windows-asetukset Suojausasetukset Julkisen avaimen käytännöt Automaattiset varmentuspyynnön asetukset.

Napsauta hiiren kakkospainikkeella tietoruudussa ja valitse Uusi> Automaattinen varmentuspyyntö.

Tämä avaa ohjatun toiminnon ja voit valita tietokoneen sertifikaatin.

Vaihe 7: Vistan (tai XP) langattoman 802.1x GPO -käytännön luominen (osa 1)


A) Siirry nyt Tietokoneen asetukset -käyttöjärjestelmään Windows-asetukset Suojausasetukset Langaton verkko (IEEE 802.11) -käytännöt

Napsauta hiiren kakkospainikkeella ja luo uusi käytäntö Windows Vistalle ja uudemmalle (jos sinulla on vain XP-koneita, tee vain XP). Jos sinulla on Vista, sinun on tehtävä Vista-käytäntö tai muuten Vista yrittää käyttää XP-käytäntöä (ei suositella).

B) Kirjoita käytäntö Nimi ja kuvaus.

C) Napsauta "Lisää" ja kirjoita sitten Profiilin nimi ja lisää sitten SSID-nimi langattomasta tukiasemasta. Varmista, että valintaruutu "Yhdistä automaattisesti, kun tämä verkko on alueella" on merkitty.

Vaihe 8: Vistan (tai XP) langattoman 802.1x GPO -käytännön luominen (osa 2)


F) Napsauta Suojaus-välilehteä

Varmista, että todennus on "WPA2-Enterprise" ja salaus on "AES".

Valitse "Valitse verkon todennusmenetelmä" -kohdassa Microsoft: Suojattu EAP (PEAP).

Authentication Mode -tilassa sinun on valittava, haluatko todentaa tietokoneet ja / tai käyttäjät digitaalisten sertifikaattien avulla. Halusin vain todentaa tietokoneen, jossa on sertti (joka tarkistetaan automaattisesti AD-ryhmän jäsenyyden mukaan), joten valitsin "Tietokoneen todennus".

G) Napsauta "ominaisuudet" -painiketta.

Valitse "Vahvista palvelimen varmenne" ja valitse "Yhdistä näihin palvelimiin". Syötä NPS-palvelimen FQDN.

Valitse sitten Root CA -sertifikaatti kohdasta Trusted Root Certification Authority. Valitse sitten OK.

H) Napsauta OK kahdesti.

Valinnainen:
I) Verkon käyttöoikeus -välilehdessä voit rajoittaa valintaruutuja rajoittaa asiakkaita infrastruktuuriverkkoihin tai vain GPO-profiloituihin sallittuihin verkkoihin, jos haluat.

J) Napsauta OK ja olet luonut Vista Wireless Policy!

Vaihe 9: Luo XP Wireless 802.1x GPO -käytäntö


Jos haluat luoda XP-käytännön, noudata samoja asetuksia kuin edellä 7 ja 8 kohdassa kuvatut Vista-asetukset. Yleiset vaihtoehdot, joita tarvitset, ovat samat, vaikka se ei salli joidenkin kehittyneempien vaihtoehtojen, joita Vista-käytäntö sallii.

Vaihe 10: Määritä Wireless GPO koneesi OU: ille

Silloin olet nyt määrittänyt NPS: n, sertifikaatit ja langattomat GPO: t. Ainoastaan ​​jäljellä on antaa asiakkaan PC: ille GPO: t.

Napsauta ryhmäkäytännön hallinnan oikealla painikkeella OU: ta, johon haluat määrittää langattoman käytännön, ja napsauta "Linkitä olemassa oleva GPO ..."

Valitse juuri luomasi langaton GPO ja päivitä sitten ryhmäkäytäntö.

Pian AD: ssä luodut langattoman ryhmän jäsenet suorittavat käytännön, poimivat asetukset, rekisteröivät automaattisesti tietokoneen varmenteen, liittyvät AP: hen, todentavat NPS-palvelinta ja AD: tä ja lopulta ottavat IP-osoitteen DHCP: stä palvelimelle.

voila

(ja phew!)

Olen kirjoittanut tämän How-To -palvelun auttamaan muita pääsemään alkuun, kun määrität yrityksen luokan suojatun langattoman verkon, joka hyödyntää digitaalisia varmenteita ja vahvaa todennusta ja salausta verkon suojaamiseksi.

Se on meneillään oleva työ, koska suurin osa tästä on kirjoitettu sen jälkeen, kun olen itse määrittänyt sen, joten se on mahdollista.

Toivotan teille onnistuneen toteutuksen

Tino