Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008) Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z rozwiązaniami systemu Windows 2008 server do uwierzytelnienia użytkowników w sieci bezprzewodowej. 1. Wstęp W sieciach bezprzewodowych wymagane jest zachowanie dużego bezpieczeństwa przesyłanych danych. W tym celu używa się szyfrowania WPA2 Enterprise AES, które korzystają z certyfikatów wygenerowanych na serwerze Radius. Szyfrowanie to tworzy unikalny szyfrowany klucz dla sesji każdego użytkownika. Tryb Enterprise WPA/WPA2 przewiduje kilka istotnych korzyści: Użytkownicy logują się za pomocą nazwy użytkownika i hasła, które mogą być takie same jak konta w domenie, jeśli korzystają z usługi Active Directory. Można zmienić dane logowania i zablokować dostęp określonemu użytkownikowi. W przypadku korzystania z trybu Personal, każdy będzie mógł zalogować się przy użyciu tego samego statycznego klucza. W trybie Eneterprise każdy użytkownik ma własny unikalny klucz tworzony na daną sesje połączenia. Tryb Enterprise obsługuje sieci VLAN. Można utworzyć jedną sieć bezprzewodowa (SSID) dla wszystkich użytkowników, pomimo że znajdują się w różnych VLAN. 2. Instalacja serwera Radius W ćwiczeniu serwer Radius będzie służył za przydzielanie certyfikatów komputerom, które chcą uzyskać dostęp do sieci bezprzewodowej. Użytkownicy będą korzystali ze swoich poświadczeń zawartych w usłudze Active Directory. Należy pamiętać o skonfigurowaniu na każdym punkcie dostępowym statycznego adresu IP oraz klucza współdzielonego z serwerem Radius. Przeprowadzić wstępną konfigurację Windows 2008 server: połączenie sieciowe, strefa czasowa, aktualizacje automatyczne. Należy zainstalować i skonfigurować usługę Active Directory wykorzystując polecenie dcpromo.exe. Za obsługę certyfikatów odpowiada usługa Active Directory Certificate Services. Aby ją zainstalować należy przejść Start Server Manager Roles Add Roles Network Policy and Access Services. Wybrać role Active Directory Certificate Services (rysunek 1).
Rys. 1. Wybór usługi certyfikatów dla AD Wybrać usługi Certification Authority and Certificate Authority Web Enrollment. W powiadomieniu (rysunek 2) kliknąć Add Required Role Services. Rys. 2. Wybór dodatkowych usług
Wybrać typ Enterprise (rysunek 3) Rys. 3. Wybór trybu przechowywania certyfikatów Wybrac Root CA, w celu tworzenia certyfikatów tylko na serwerze.
Rys. 4. Wybór Root CA Wybrać Create a new private key, aby stworzyć nowy klucz prywatny. Rys. 5. Tworzenie nowego prywatnego klucza.
Zaakceptować domyślne ustawienia dla szyfrowania danych. Rys. 6. Wybór szyfrowania danych. Wybrać odpowiednia nazwę powiązana z domeną. Rys. 7. Wybór nazwy dla CA.
Wybrać czas ważności certyfikatów. Rys. 8. Wybór czasu ważności certyfikatów. Zaakceptować domyślne ustawienia dla lokalizacji certyfikatów. Przejrzeć wybrane role do instalacji i zainstalować je. Po zainstalowaniu wymaganych usług należy przejść do wygenerowania certyfikatu. Uruchomić konsolę MMC (Microsoft Management Console): kliknąć Start i wpisać mmc, potwierdzić klawiszem Enter, w oknie MMC kliknąć File>Add/Remove Snap-in. Wybrać Certificates i kliknąć Add.
Rys. 9. Konfiguracja konsoli MMC. Zaznaczyć Computer account i wybrać Local computer. Rozwinąć Certificates (Local Computer Account), potem rozwinać Personal, kliknąć prawym na Certificates i wybrać All Tasks>Request New Certificate (rysunek 10). Rys. 10. Tworzenie nowego certyfikatu.
W oknie informacyjnym przejść dalej i wybrać Select the Domain Controller, kliknąć Enroll. Za działanie serwera Radius w Windows 2008 odpowiedzialna jest usługa Network Policy and Access Services. Należy ją zainstalować podobnie jak poprzednia rolę. Przejść Start Server Manager Roles Add Roles Network Policy and Access Services (rysunek 11). Rys. 11. Instalacja roli Policy and Access Service. Wybrać i zainstalować następujące usługi: Network Policy Server Routing and Remote Access Servers Remote Access Services, Routing Uruchomić konsolę NPS (kliknąć Start, wpisać i uruchomić nps.msc). Wybrać RADIUS server for 802.1X Wireless or Wired Connections (rysunek 12). Wybrać zabezpieczanie tylko sieci bezprzewodowej (Secure Wireless Connections) (rysunek 13).
Rys. 12. Konfiguracja serwera Radius dla sieci bezprzewodowej. Rys. 13. Wymagana autoryzacja tylko dla połączń bezprzewodowych.
Dla każdego punktu dostępowego należy wpisać nazwę, adres IP lub DNS oraz wspólny klucz. Rys. 14. Dodawanie punktu dostępowego. Należy pamiętać, aby wprowadzony klucz był skomplikowany i różny dla każdego z punktów dostępowych. Jako metoda autentykacji wybrać Microsoft Protected EAP (PEAP), kliknąć Configure i wybrać wcześniej stworzony certyfikat. W oknie wyboru grup dostępu dodać grupę użytkowników, która będzie miała dostęp do sieci bezprzewodowej (rysunek 15). Jeżeli nie ma stworzonej dodatkowej grupy użytkowników należy dodać Domain Users (użytkowników domeny) oraz Domain Computers (komputery zarejestrowane w domenie). W przypadku błędów należy zrestartować usługę domenową. W oknie Configure a VLAN potwierdzamy domyślne ustawienia. Można przejść teraz do konfiguracji punktu dostępowego, wybrać szyfrowanie WPA2- Enterprise AES oraz uruchomić klienta Radius, wpisać adres oraz wspólne hasło.
Rys. 16. Konfiguracja punktu dostępowego (dd-wrt). Rys. 15. Dodawanie uprawnień dostępu do sieci bezprzewodowych. Klient uzyska dostęp do sieci bezprzewodowej tylko po uzyskaniu certyfikatu autoryzacji (CA) który wcześniej został utworzony. W domenie można go udostępnić wraz z polityką grup, albo indywidulanie zainstalować na każdym kliencie. W tym celu należy wyeksportować certyfikat z kontrolera domeny. Uruchomić konsolę zarządzania Start wpisać MMC Enter. W konsoli MMC kliknąć File Add/Remove Snap-in. Wybrać Certificates Add wybrać Computer account kliknąć Next wybrać Select Local computer kliknąć Finish. Rozwinać (Local Computer Account) Personal Certificates. Kliknąc prawym przyciskiem na wygenerowany wcześniej certyfikat, przejść do All Tasks Export i zapisać certyfikat na komputerze klienta (rysunek 17).
Rys. 17. Eksportowanie certyfikatu. Na komputerze klienta zainstalować certyfikat klikając na przycisk Install Certificate (rysunek 18) i postępować zgodnie z komunikatami. Rys. 18. Instalacja certyfikatu na komputerze klienta.
Można przejść do konfiguracji parametrów połączenia sieciowego komputera klienta. Należy wybrać security type: WPA2-Enterprise oraz encryption type: AES. Configure the Network Settings on Client Computers. Wybrać rodzaj autentykacji: Protected EAP (PEAP). Rys. 19. Ustawienia sieci. Przejść do ustawień metody autentyfikacji. W oknie Protected EAP Properties wybierać następujące parametry: Validate server certificate. Connect to these servers, wpisać pełną nazwę komputera np. WinServer.winserver.net Zaznaczyć zaimportowany certyfikat. Wybrać metodę autentykacji: Secured password (EAP-MSCHAP v2)
Rys. 19. Ustawienia szyfrowania. Kliknąć Configure i zaznaczyć opcję automatycznego używania nazwy użytkownika i hasła. W przeciwnym wypadku trzeba podać nazwę użytkownika i hasło przy każdym podłączeniu do sieci bezprzewodowej. Po skonfigurowaniu powyższych parametrów należy wyszukać z listy dostępnych stworzoną sieć bezprzewodową i połączyć się. W przypadku gdy opcja automatycznego logowania jest wyłączona należy podać poświadczenia do logowania użytkownika z grupy dodanej wcześniej (konto Administrator ma domyślnie dostęp).
3. Wykonanie ćwiczenia Rys. 20. Okno poświadczeń dostępu do sieci bezprzewodowej. Rys. 21. Topologia użyta w ćwiczeniu Ćwiczenie polega na skonfigurowaniu uwierzytelniania dostępu użytkowników do sieci bezprzewodowych opartego o serwer Radius (Windows 2008 Server) router Linksys WRT54GL ze standardowym oprogramowaniem. Serwer Windows ma świadczyć także usługi domenowe.