- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Выбор оптимального решения для обеспечения безопасности беспроводной сети
Как только были обнаружены технологические недостатки беспроводных сетей первого поколения, началась активная работа по их устранению. Пока одни компании, в том числе корпорация Майкрософт, работали над совершенствованием стандартов беспроводной связи, многие аналитические фирмы, производители средств обеспечения сетевой безопасности и т. д. пытались обойти недостатки, присущие прежним стандартам. В результате было разработано несколько подходов к обеспечению безопасности беспроводных сетей.
Сравнительная информация об основных вариантах (кроме наиболее популярного подхода — отказа от беспроводных сетевых технологий) приведена в следующей таблице.
Таблица 2. Сравнение подходов к обеспечению безопасности беспроводных сетей
Характеристики |
WPA и WPA2 |
Статический алгоритм WEP |
VPN |
IPsec |
Строгая проверка подлинности (см. примечание) |
Да |
Нет |
Да, только если не используется проверка подлинности с помощью общих ключей |
Да, если используется проверка подлинности с помощью сертификатов или по протоколу Kerberos |
Надежное шифрование данных |
Да |
Нет |
Да |
Да |
Прозрачное подключение и восстановление подключения |
Да |
Да |
Нет |
Да |
Проверка подлинности пользователей (см. примечание) |
Да |
Нет |
Да |
Нет |
Проверка подлинности компьютеров (см. примечание) |
Да |
Да |
Нет |
Да |
Защита трафика при широковещательной и многоадресной передаче |
Да |
Да |
Да |
Нет |
Потребность в дополнительных сетевых устройствах |
Да, требуются серверы RADIUS |
Нет |
Да, требуются системы VPN и серверы RADIUS |
Нет |
Защита доступа к беспроводной сети помимо доступа к пакетам |
Да |
Да |
Нет |
Нет |
Примечание. По поводу строгой проверки подлинности следует отметить, что во многих реализациях VPN, в которых используется туннельный режим IPsec, применяется слабая схема проверки подлинности с помощью общих ключей, называемая XAuth. Нынешние версии ОС Windows не поддерживают проверку подлинности пользователей с сопоставлениями IPsec, но эта функциональность будет реализована в ОС Windows Vista и Longhorn. При проверке подлинности компьютера он остается подключенным к беспроводной и кабельной сетям, даже если в систему не вошел ни один пользователь. Это необходимо для нормальной работы некоторых функций, основанных на доменах, например перемещаемых профилей.
Как ясно из приведенной таблицы, есть много факторов, которые нужно проанализировать при оценке возможных способов защиты беспроводной сети. При выполнении этой оценки нужно учесть самые разные показатели: от расходов на реализацию и администрирование решения до его общей защищенности. Все указанные выше подходы имеют свои преимущества и недостатки, поэтому, чтобы можно было принять обоснованное решение, нужно лучше ознакомиться с каждым из них.
Ниже рассматриваются следующие варианты (список упорядочен по убыванию степени обеспечиваемой ими защиты):
Отказ от развертывания беспроводной сети
Использование стандарта WPA с протоколом EAP-TLS
Использование стандарта WPA с протоколом PEAP-MS-CHAP v2
Использование стандарта WPA с протоколом PEAP-MS-CHAP v2 и службами сертификации
Использование технологии VPN
Использование протокола IPsec
Использование протокола WEP
Отказ от защиты беспроводной сети