- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Сертификаты
Какой бы основанный на WPA подход ни использовался для защиты беспроводной сети, в решении обязательно будут использоваться сертификаты в той или иной форме. При использовании протокола PEAP сертификаты нужны только на сервере проверки подлинности, поэтому в данном случае для выдачи необходимых сертификатов можно использовать службу сторонней компании, а это означает, что развертывать инфраструктуру открытого ключа не требуется. Это главная причина того, что в небольших организациях, не всегда располагающих специалистами или ресурсами, нужными для реализации и поддержки инфраструктуры сертификатов, рекомендуется использовать подход, основанный на протоколе PEAP.
Поддерживаемая в ОС Windows реализация протокола EAP-TLS с использованием служб сертификации позволяет выдавать сертификаты и без инфраструктуры открытого ключа, но поскольку для проверки подлинности с помощью RADIUS-сервера каждый клиент должен иметь сертификат, применение сертификатов сторонних фирм может оказаться приемлемым по цене только для самых небольших компаний. Это справедливо и для подхода, основанного на использовании протокола PEAP со службами сертификации.
Если в организации уже развернута инфраструктура открытого ключа, принять решение проще, потому что для защиты беспроводной сети можно будет воспользоваться имеющимися компонентами. Но даже если инфраструктура открытого ключа в компании среднего размера отсутствует, не стоит сразу отказываться от вложения средств в инфраструктуру сертификатов, потому что ее можно использовать для решения многих других задач, ряд из которых перечислен ниже.
Подписание кода
Защищенная доставка электронной почты
Защищенная доставка веб-содержимого
Обеспечение безопасности VPN
Шифрование файлов
В целом оказывается, что подход, основанный на использовании служб сертификации с протоколом EAP-TLS или PEAP, лучше всего соответствует требованиям компаний среднего размера, и именно ему уделяется основное внимание в этом документе.
Создание заявления об использовании сертификатов
При первоначальном планировании развертывания инфраструктуры открытого ключа (PKI) следует подготовить документацию с описанием того, как сертификаты будут использоваться в бизнес-среде. Хотя эти решения можно корректировать по мере изменения требований, важно сформулировать их предварительный вариант в формальном заявлении о политике сертификатов.
Выражаясь строгим языком, политика сертификатов — это совокупность правил, определяющих работу инфраструктуры открытого ключа. Она содержит информацию о применимости сертификатов к имеющимся в организации конкретным группам или приложениям с общими требованиями к безопасности. В заявлении об использовании сертификатов в общих чертах излагаются методики, которые применяются в компании для управления выдаваемыми ею сертификатами. В нем описывается, как политика сертификатов интерпретируется в контексте политик инфраструктуры бизнес-систем и операционных процедур. Несмотря на то, что политика сертификатов действует во всей организации, заявление об использовании сертификатов специфично для центра сертификации, хотя, если центры сертификации выполняют одни и те же функции, они могут иметь общее заявление об использовании сертификатов.
В некоторых компаниях эти заявления представляют собой юридические документы, составлять которые необходимо из-за действующих в конкретной отрасли законодательных норм. При создании таких документов может потребоваться помощь юристов. Вообще говоря, составлять эти документы рекомендуется, даже если работа компании не регламентируется такими законодательными нормами.