Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Przykład autoryzacji 802.1x dokonano w oparciu serwer Microsoft Windows 2003 i urządzenie Prestige G-570S. W celu skonfigurowania uwierzytelniania w oparciu o serwer Radius potrzebujemy następujących komponentów: 1. AS (Serwer uwierzytelniający): Windows 2003 Server 2. AP (Urządzenie graniczne): np. ZyAir G-570S. 3. Klient (klient 802.1x, WPA): Windows XP Pro Do stworzonej infrastruktury istnieje możliwość dodania większej ilości punktów dostępowych. Wymagane zmiany w ustawieniach serwera opisano w części 4 punkty od 1 do 5. Informacja dodania nowego użytkownika zamieszczona jest w cześci 4 niniejszej instrukcji. Klient, komputer próbujący uzyskać dostęp do sieci przyłączonej do urządzenia granicznego może korzystać z innego oprogramowania jak wbudowany klient Radius systemu Windows XP Pro. Zaprezentowana konfiguracja obejmuję informację dotyczące podstawowej konfiguracji bezpiecznego dostępu do sieci w oparciu o serwer RADIUS. Nie uwzględniono tutaj dodatkowych urządzeń zwiększających bezpieczeństwa sieci. Część 1: Konfiguracja punktu dostępowego G-570S Punkt dostępowy został wstępnie skonfigurowany oraz pracuje poprawnie w sieci bezprzewodowej. Poniższe kroki prezentują konfigurację bezpiecznego dostępu do sieci z wykorzystaniem protokołu WPA/WPA2 i serwera RADIUS. 1. Zaloguj się na stronę konfiguracyjną punktu dostępowego. Jeżeli nie zmieniałeś ustawień fabrycznych w polu adres wpisz http:// 192.168.1.1. 2. Przejdź do zakładki Wireless Security.
3. W rozwijanym polu Encryption Method wybierz WPA&WPA2. 4. Pojawi się sekcja Authentication Server. Wpisz adres IP serwera RADIUS. W polu Port Number pozostaw wartość domyślną. W polu Shared Secred wpisz hasło jakim będzie się autoryzował klient (będzie ono wykorzystane podczas konfiguracji klienta Windows XP). 5. Sekcja Rekey Option odpowiada za wymianę kluczy WPA,WPA2. Ustawiamy pół godziny, czyli 1800 sekund. 6. Potwierdź zmiany przyciskiem Apply. Część 3: Konfiguracja WPA klienta Windows X 1. Przejdź do Start Control Panel. Kliknij dwukrotnie na ikonie Network Connections.
2. Kliknij dwukrotnie na ikonie Wireless Network Connection. 3. Wybierz sieć ZyAIR. (zabezpieczona siecią WiFi). Wybierz Change advanced settings. Uwaga 1: Wyświetlana nazwa może się różnić. Uwaga 2: Jeżeli nie widzisz sieci, odśwież widok przyciskiem Refresh network list.
4. Wybierz zakładkę Wireless Network.. 5. Wybierz sieć ZyAir (Automatic). Kliknij przycisk Properties.
6. Wybierz zakładkę Authentication. 7. W polu EAP type zaznacz Protected EAP (PEAP). Kliknij przycisk Properties.
8. Kliknij i odznacz pozycję Validate server certificate. Kliknij i zaznacz Enable Fast Reconnect. Kliknij przycisk Configure. 9. Odznacz opcję Automatically use. Potwierdź zmiany przyciskiem OK. Zamknij pozostałe okna przyciskiem OK. 10. Po dokonaniu zmian system wygeneruje poniższe okno informacyjne. Kliknij na wyświetlonej informacji. 11. Wprowadź nazwę użytkownika i hasło. Naciśnij przycisk OK. Uwaga: Nazwę domeny pozostaw pustą.
Jeżeli system nie wygeneruje okna z błędem logowania, jesteś poprawnie uwierzytelniony przez serwer RADIUS i możesz korzystać z zasobów sieci bezprzewodowej. Część 4: Konfiguracja serwera RADIUS 1. Wybierz Start Administrative Tools Internet Authentication Services. 2. W panelu po lewej stronie wybierz pozycję RADIUS clients. Uwaga: Punkt dostępowy jest również klientem serwera RADIUS.
3. Kliknij prawym klawiszem myszy na tło prawego panelu. Z menu wybierz pozycję New RADIUS client. 4. Wpisz nazwę zarezerwowaną dla punktu dostępowego w polu Friendly name: oraz nazwę IP bądź DNS w polu Client address (IP or DNS):.
5. Wpisz hasło w polu Shared secret, potwierdź hasło w polu Confirm shared secret. Kliknij i zaznacz Request must contain the Message Authenticator attribute. Kliknij przycisk Finish. 6. W lewym panelu kliknij, Remote Access Logging. W prawym panelu zaznacz plik w którym zapisywane będą logi serwera kliknij dwukrotnie Local File. 7. Zaznacz wszystkie opcje. Potwierdź zmiany przyciskiem Apply, następnie OK.
8. W lewym panelu wybierz Remote Access Policies. 9. Kliknij prawym klawiszem myszy na tło prawego panelu, z menu podręcznego wybierz New Remote Access Policy.
10. Kliknij przycisk Next. 11. Wybierz Use the wizard to set up. Wprowadź nazwę nowej polisy. Kliknij przycisk Next>.
12. Wybierz Wireless. Kliknij przycisk Next>.
13. Wybierz User. Kliknij przycisk Next>.. 14. Wybierz Protected EAP (PEAP). Kliknij przycisk Configure. 15. Kliknij i zaznacz Enable Fast Reconnection. Wybierz typ EAP: Secured Password (EAP-MS CHAPv2). Kliknij przycisk Edit.
16. Wprowadź maksymalną liczbę prób logowania. Naciśnij przycisk OK w celu zamknięcia okna EAP- MS CHAPv2. Zamknij okno Protected EAP Properties, przyciskiem OK. Kliknij przycisk Next>. Kliknij przycisk Finish. Część 4: Dodanie nowego użytkownika 1. Wybierz Start All Programs Administrative Tools. Uruchom aplikację Active Directory Users and Computers.
2. Kliknij dwukrotnie security.sec (nazwa może się różnić). W lewym panelu kliknij prawym klawiszem myszy Users, z menu podręcznego wybierz New->User. 3. Wpisz dane użytkownika. Kliknij przycisk Next>. Uwaga: Do autoryzacji użytkownika wystarczy tylko nazwa logowania User logon name.
4. Wpisz i potwierdź hasło użytkownika. Zaznacz wymagane przez Ciebie opcje. Kliknij przycisk Next>. Uwaga: w zależności od polityki bezpieczeństwa w Twojej sieci system Windows 2003 może wymagać hasła zawierającego określoną liczbę i typ znaków. 5. Kliknij przycisk Finish. Nowy użytkownik powinien być widoczny w prawym panelu.
6. Kliknij prawym klawiszem myszy na utworzone konto użytkownika (w naszym przykładzie test), z menu podręcznego wybierz Prosperties. 7. Wybierz zakładkę Dial-in.
8. Zaznacz opcję Allow access. Kliknij zakładkę Account.
9. Kliknij i zaznacz Store password using reversible encryption. Potwierdź zmiany przyciskiem Apply, zamknij okno przyciskiem OK. Konfiguracja zakończona.