Cети и системы радиосвязи и средства их информационной защиты.-1
.pdf
используется в качестве ключа.
Рисунок 4.56.
После того как все точки доступа добавлены, перейдем к настройке журнала удаленного доступа. В журнале по желанию администратора могут фиксируются запросы учеты, запросы проверки подлинности, промежуточные состояния.
Рисунок 4.57. Настройка журнала удаленного доступа
Далее необходимо определить политики удаленного доступа, для создания политики в дереве консоли нужно щелкнуть правой кнопкой мыши «Политика удаленного доступа» и
201
выбрать из контекстного меню команду «Создать политику удаленного доступа».
Рисунок 4.58. Создание политики удаленного доступа
Для создания политики будем использовать мастера создания политики удаленного доступа. После запуска мастера предлагается выбрать способ доступа к сети, из предложенного списка выбираем «Беспроводной доступ»
Рисунок 4.59. Мастер создания политики
Далее следует выбрать пользователей или группы пользователей которым разрешено использовать беспроводной доступ (в моем случае в Active Directory создана группа, куда внесены все пользователи, которые будут пользоваться беспроводной связью, ее мы и добавляем).
202
Рисунок 4.60. Создание политики удаленного доступа
Следующим шагом необходимо определить методы проверки подлинности, как было описано в пункте 6.7, в данной работе будет использоваться защищенный протокол расширенной проверки подлинности (Protected Extensible Authentication Protocol, PEAP).
Выбираем PEAP, жмем кнопку настроить, в появившемся окне «защищенные свойства EAP» необходимо выбрать методы проверки подлинности, выбираем EAP – MSCHAP v2 (Microsoft
Challenge Handshake Authentication Protocol, версия 2).
Рисунок 4.61. Настройка аутентификации
203
Рисунок 4.62. Выбор метода аутентификации
После того как политика создана произведем ее окончательное редактирование. Для этого нужно в области сведений дважды щелкните политику, которую требуется изменить, в открывшемся окне следует выбрать действие которое необходимо выполнить если запрос удовлетворяет заданным в политике условиям. Выбираем предоставить право удаленного доступа, так как в данном проекте реализуется политика «запрещено все, что в явном виде не разрешено», т.е. только пользователи, входящие в группу aut, смогут авторизоваться на сервере.
Рисунок 4.63. Выбор действия при прохождении аутентификации
204
Перейдем к настройке профиля политики удаленного доступа, на вкладке ограничение по входящим звонкам разрешим доступ только в определенное время (ежедневно с 7.00 до 22.00). В пункте тип порта NAS указываем Wireless – IEEE 802.11.
Рисунок 4.64. Изменение профиля коммутируемых подключений
На вкладке IP необходимо указать, что IP адрес клиента должен быть назначен сервером. На вкладке проверка подлинности нужно открыть окно выбор поставщиков EAP и добавить тип EAP Protected EAP, щелкнуть кнопку изменить и указать, что используется шифрованная проверка подлинности MSCHAP v2.
Рисунок 4.65. Проверка подлиности
205
Настройка точек доступа
Для того чтобы перейти к настройке точки доступа необходимо подключить ее к ПК по средствам Ethernet и подключится к ней, используя telnet или WEB – интерфейс. Мы буду использовать WEB – интерфейс, он более прост и нагляден. По умолчанию точки доступа NETGEAR WG102, имеют IP – адрес 192.168.0.229, имя пользователя ―admin‖ и пароль
―password‖.
Рисунок 4.66. Подключение к беспроводной точке доступа Прежде всего, необходимо выбрать канал на котором будет работать точка. В пункте
12.2. для каждой точки были определены соответствующие каналы а также уровень выходной мощности. Для их настройки необходимо перейти на вкладку Wireless Settings, в поле Channel/Frequency устанавливается нужный канала (1, 6, 11); Чтобы сохранить совместимость со стандартном 802.11b в поле Operating Mode следует выбрать «Auto(802.11g/802.11b)».
Рисунок 4.67. Выбор частотного канала
На следующем этапе необходимо присвоить точке идентификатор зоны обслуживания (SSID) и установить параметры зашиты, для этого переходим на вкладку Security Profile Setting рисунок 4.68. Для обеспечения роумнга требуется чтобы все точки имели одинаковый
SSID.
206
Рисунок 4.68. Настройка параметров безопасности
Так как для аутентификации в сети используется RADIUS сервер, в пункте Network Authentication следует указать ―WPA2 with Radius‖. В качестве алгоритма шифрования следует выбрать AES. Параметры RADIUS сервера задаются в пункте Radius Server Settings. Следует указать IP адрес сервера, порт, и общий секрет рис. 4.69.
Рисунок 4.69. Настройки параметров RADIUS сервера
В проектируемой сети точки доступа будут иметь фиксированные IP адреса, по этому
207
их нужно прописать на каждой точке, также стоит указать DNS и Шлюз рисунок 4.70.
Рисунок 4.70. Сетевые настройки точки
В целях безопасности следует сменить стандартный пароль, для этого переходим на вкладку Change Password, вначале указывается старый пароль затем новый и подтверждение (желательно чтобы пароль удовлетворял требованиям сложности).
Рисунок 4.71. Изменение пароля администратора
Для вступления настроек в силу необходимо перезагрузить точку доступа для этого переходим на вкладку Rebut AP.
208
Настройка клиенткой системы
На всех компьютерах пользователей установлена операционная система Windows XP SP2. Для того чтобы клиент смог проверить подлинность сервера и организовать с ним шифрованное соединение – клиенту нужно иметь сертификат сервера. Это можно сделать несколькими способами. Открыть internet explorer и в поле адреса написать http://CA_адрес/certsrv, на открывшейся странице выбрать пункт установка сертификата и следовать указаниям мастера. Более подходящий в моем случае вариант (компьютеры пользователей еще не имеют подключения к сети предприятия), скопировать сертификат выданный серверу RADIUS корневым центром сертификации на съемный носитель и произвести установку на машины клиентов с этого носителя. При двойном щелчке по файлу сертификата на экране появляется окно изображенное на рис. 4.72.
Рисунок 4.72. Установка сертификата
На вкладке состав можно просмотреть характеристики сертификата (алгоритм цифровой подписи, серийный номер сертификата, кем и когда выдан, дата окончания срока действия, алгоритм и длина открытого ключа). Чтобы установить сертификат необходимо кликнуть кнопку установить сертификат и следовать указаниям мастера установки сертификатов.
Далее следует выбрать режим, в котором будет работать сетевая карта (рис. 4.73). В операционной системе Windows предлагается 3 основные настройки. Это подсоединение к любой существующей сети, подключение к точке доступа AP и режим работы Ad-Hoc (соединение между двумя компьютерами). В нашем случае, во избежание конфликтов сети, следует выбрать режим Access Point network only (режим обмена данными только с точками доступа).
209
Рисунок 4.73. Выбор режима работы сетевой карты
Следующий шаг, настройка беспроводных адаптеров пользовательских компьютеров, для этого необходимо открыть папку сетевые подключения и перейти в свойства беспроводного адаптера, на вкладку беспроводные сети. Далее необходимо добавить точку доступа, с которой будет работать пользователь, для этого в поле «предпочитаемые беспроводные сети» нужно нажать кнопку добавить. В появившемся окне свойства беспроводной сети необходимо указать SSID сети в моем случае «test», проверка подлинности WPA, шифрование данных AES. Далее переходим на вкладку проверка подлинности.
Рисунок 4.74. Выбор метода аутентификации
210