- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Использование стандарта wpa с протоколом peap-ms-chap v2
Использование стандарта WPA или WPA2 с протоколами PEAP (защищенный протокол расширенной проверки подлинности) и MS-CHAPv2 (протокол проверки пароля Microsoft, версия 2) и строгими требованиями к паролям — второй по степени защиты метод обеспечения безопасности беспроводной сети из поддерживаемых нынешними версиями клиентских ОС Windows. Если создание инфраструктуры открытых ключей представляется невозможным, использование PEAP-MS-CHAPv2 является реальным и безопасным альтернативным вариантом развертывания надежной беспроводной сети. Протокол PEAP представляет собой схему односторонней проверки подлинности, в которой технология TLS используется для создания зашифрованного канала связи с сервером, по которому клиент подтверждает свою подлинность, используя другой протокол. Разработанный изначально для коммутируемого доступа и доступа через VPN протокол MS-CHAP v2 поддерживает проверку подлинности беспроводных клиентов с применением надежных паролей, но только в том случае, если в сети действуют политики, заставляющие использовать такие пароли.
Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
Службы сертификации можно использовать вместе с решением PEAP-MS-CHAP v2, основанным на применении паролей, если компании нужны элементы обоих подходов. Однако на момент написания этого документа дополнение и без того достаточно хорошо защищенного решения EAP-TLS протоколом PEAP-MS-CHAP v2 не дает с точки зрения безопасности никаких общепризнанных преимуществ. На самом деле совместное использование протоколов PEAP-MS-CHAP v2 и EAP-TLS замедляет процесс проверки подлинности, потому что при этом создаются два канала TLS, один внутри другого. Такое двойное шифрование не обеспечивает никакой выгоды.
Использование технологии vpn
Когда были обнаружены первые бреши в защите протокола WEP, многие эксперты по безопасности и отраслевые лидеры первоначально предложили использовать для защиты беспроводных сетей технологию VPN. Технологии VPN — это надежный и проверенный временем способ защиты каналов связи, проходящих поверх небезопасных сетей (таких как Интернет), и этот метод решения проблем, связанных с протоколом WEP, все еще широко используется.
Несмотря на то, что с точки зрения обеспечения безопасности это решение кажется удачным, оно имеет очевидные недостатки, делающие его непривлекательным в сравнении с гибкими решениями, основанными на протоколе WPA, который был специально разработан для защиты беспроводных сетей. Реализация решений WPA в сочетании с технологией VPN вполне возможна, однако такое решение не имеет никаких преимуществ перед решениями, основанными только на WPA, особенно если учесть усложнение беспроводной среды, связанное с интеграцией в нее VPN-решения.
При анализе целесообразности интеграции технологии VPN в решение для защиты беспроводной сети нужно также учесть удобство использования итогового решения. Если со связанными с использованием VPN дополнительными требованиями к проверке подлинности и ограничениями времени при подключении к корпоративной сети через Интернет еще можно смириться, то при обращении к ресурсам из локальной сети эти сложности могут раздражать не привыкших к ним пользователей.
Некоторые компании выбирают этот вариант, поскольку уже реализовали VPN-решение для удаленных пользователей и стремятся интенсивнее использовать его ресурсы для оправдания расходов. В этом случае перед окончательным выбором данного решения рекомендуется принять во внимание перечисленные ниже факторы.
VPN-соединение должно быть установлено до разрешения передачи данных через туннель, поэтому, если пользователь подключается к виртуальной частной сети после входа в локальную систему, групповая политика компьютера не применяется. (Если при входе в систему пользователь выбирает вариант «Вход в систему с использованием коммутируемого соединения» (Logon with dialup networking), сначала устанавливается соединение VPN, и групповая политика применяется).
Большинство VPN-серверов рассчитаны на защиту низкоскоростных соединений (например коммутируемых и широкополосных), что может привести к появлению «узких мест» при установлении большого числа высокоскоростных соединений.
При некоторых конфигурациях VPN пользователи могут столкнуться с проблемами при перемещении между точками доступа, потому что соединения VPN часто аннулируются даже после малейших перерывов связи. Это вынуждает пользователей вручную инициировать проверку подлинности при каждом переключении на новую точку доступа. То же самое происходит при переключении компьютера в режим ожидания.