На помощь придут AD и групповые политики
Без использования средств 802.1x попытки установить и поддерживать безопасность беспроводных сетей (WLAN) едва ли могут быть удачными, поскольку стандарт Wired Equivalent Privacy (WEP) очень уязвим. Особенно несовершенна технология управления ключами, например ручная установка ключей. Хотя главной причиной уязвимости WEP является адресация 802.1x, приходится настраивать каждый из компонентов для использования 802.1х, включая рабочие станции, беспроводные точки доступа Access Points (APs) и сервер службы удаленной авторизации пользователей (Remote Authentication Dial-In User Service (RADIUS)). В дополнение к этому серверу RADIUS необходима база данных учетных записей, которая используется для авторизации беспроводных клиентов. Кроме того, требуется надежный источник сертификатов Certificate Authority (CA) для обеспечения сертификатами самого сервера RADIUS во время его авторизации на беспроводных клиентах.
Microsoft в Active Directory (AD) и групповых политиках Group Policy направила свои усилия на то, чтобы полностью изолировать пользователя от процесса разработки и применения требований 802.1х. Когда WLAN и клиенты установлены, авторизованная рабочая станция, попавшая в зону действия WLAN, автоматически подтверждает свою подлинность и присоединяется к WLAN без вмешательства пользователя. Неавторизованные рабочие станции блокируются от присоединения к WLAN или идущего на них трафика.
В 802.1х отсутствуют ключи WEP, устанавливаемые вручную для точек доступа и рабочих станций. Также отсутствуют списки МАС-адресов авторизуемых рабочих станций на каждой точке доступа. В WLAN 802.1х требуется, чтобы беспроводные клиенты сначала регистрировались через точку доступа на сервере RADIUS. Затем точка доступа и беспроводной клиент получают динамический ключ шифрования взамен более слабых статических ключей, которые использует большинство беспроводных сетей с WEP.
Приятно, что Microsoft закончила интеграцию поддержки 802.1х в среду Windows и что установить такую поддержку довольно легко. Также мне понравилось, как работает поддержка 802.1х. Далее я покажу наиболее простой путь использования 802.1х и авторизации, основанной на сертификатах в типичной сети компьютеров с Windows XP и Windows 2000 в AD-домене Windows 2000. В качестве альтернативы можно задействовать пароли для регистрации в WLAN. В этом случае можно настроить рабочие станции так, что, когда они попадают в зону действия беспроводной сети, они либо используют имя пользователя и пароль, которые тот ввел во время регистрации на рабочей станции, либо выводят приглашение ввести имя и пароль заново.
Авторизация, основанная на паролях, проще для внедрения, чем основанная на сертификатах, потому что сертификаты создавать не нужно. Но авторизация с паролями требует от пользователя сети более активного участия в процессе и к тому же она менее безопасна. Основанная на паролях авторизация делает сеть мишенью для любого, кто сможет узнать пароль регистрации пользователя, а мы все знаем, как уязвимы пользовательские пароли.
Авторизация, основанная на сертификатах, позволяет регистрироваться в сети пользователям, которые имеют компьютер с авторизационным сертификатом и частным ключом. Более подробную информацию об установке беспроводных сетей 802.1х, основанных на паролях, можно найти в статье «Безопасная беспроводная сеть», опубликованной в Windows IT Pro/RE № 4 за 2004 год (или по адресу http://www.osp.ru/win2000/2004/04/018.htm).
Хотя Windows поддерживает наиболее распространенный стандарт безопасности беспроводных сетей, называемый Wi-Fi Protected Access (WPA), который использует 802.1х и помогает исправлению ошибок WEP, я не рассматриваю WPA в этой статье по нескольким причинам. Во-первых, на момент написания статьи было невозможно задействовать групповые политики для автоматической установки обновлений WPA на все рабочие станции. Это главная проблема применения WPA при наличии большого количества клиентов.
Во-вторых, WPA на данный момент является промежуточным стандартом, принятым в индустрии беспроводных сетей, пока не утвержден стандарт 802.11i.Это означает, что если вы используете WPA сейчас, то вам понадобится вскоре установить обновление. В третьих, WPA требует обновления драйверов устройств или встроенного программного обеспечения для многих беспроводных сетевых карт и обновления встроенного программного обеспечения для точек доступа.
Когда вы поймете, какой объем работ требуется выполнить для внедрения ненамного более защищенного по сравнению с 802.1х WPA, и сравните его с тем, как легко можно осуществить переход на использование 802.1х, и с высоким уровнем защиты, обеспечиваемым 802.1х, WPA не будет казаться таким безупречным решением. Если Microsoft обеспечит автоматическое обновление систем и сетевых карт до стандарта 802.11i, когда он выйдет, тогда, я считаю, этот стандарт станет достойным внедрения.
Добавление Х
Для установки 802.1х WLAN прежде всего ваша сеть должна поддерживать 802.1х. Windows Server 2003 поставляется со встроенной поддержкой 802.1х, а в ХР поддержка 802.1х появилась с разработкой Service Pack 1 (SP1). Также существует Аuthentication Client для Windows 2000, включающий поддержку 802.1х и для этой системы. Клиент доступен по адресу http://www.microsoft.com/windows2000/ server/evaluation/news/bulletins/ 8021xclient.asp
Можно даже получить 802.1x Аuthentication Client для Windows NT и Windows 9x, если у вас имеется партнерский или корпоративный контракт Microsoft на поддержку. Однако использовать групповые политики для распространения централизованных политик для беспроводных сетей на такие компьютеры не удастся.
Затем следует убедиться, что все имеющиеся точки доступа АР, а также точки доступа, которые планируется приобрести, поддерживают 802.1х. Обычно 802.1х-совместимые точки доступа имеют страницу настройки 802.1х, которую можно найти при регистрации на точке доступа через Web-браузер. Наконец, необходимо установить один Windows 2003 Server и развернуть на нем Internet Authentication Service (IAS). IAS включает в себя сервер RADIUS, необходимый для 802.1х WLAN. Когда беспроводной клиент пытается соединиться с точкой доступа, точка доступа соединяется с сервером RADIUS, пытаясь определить и авторизовать клиента.
Сервер RADIUS проверяет имя и пароль клиента в ActiveDirectory и дает знать точке доступа, разрешено ли беспроводному клиенту подсоединение к сети. Необходимо использовать службу IAS из Windows 2003 вместо IAS из состава Windows 2000, потому что аутентификационные службы 802.1х поддерживает только версия IAS из Windows 2003. Следует убедиться в том, что компьютер с Windows 2003, который будет сервером IAS, является членом домена, но не контроллером домена. Затем нужно открыть модуль панели управления Add/Remove Programs, выбрать Add/Remove Components и установить Internet Authentication Service.
Службы сертификатов
Серверу IAS требуется сертификат для представления себя беспроводным клиентам, поэтому необходим сервер сертификатов Certificate Authority (CA) с запущенной либо на Windows 2003, либо на Windows 2000 службой сертификатов. Сервер СА также будет выпускать сертификаты для всех беспроводных клиентов для авторизации их на сервере IAS. Если домен AD все еще работает на контроллере домена Windows 2000 и в компании пока нет корпоративного сервера СА, то я бы порекомендовал установить службу сертификатов на существующий сервер Windows 2000, как Enterprise Root CA — вместо установки службы сертификатов на сервер IAS Windows 2003. Более подробная информация об отличиях служб сертификатов Windows 2003 и Windows 2000 содержится во врезке «Служба сертификатов Windows Server 2003».
Устанавливая Certificate Services, мы тем самым создаем инфраструктуру открытых ключей (public key infrastructure, PKI). Для крупной корпоративной инфраструктуры PKI необходимо установить корневой сервер сертификатов, который будет выдавать сертификаты подчиненным СА. Чтобы избежать компрометации корневого СА, следует держать его отключенным от локальной сети и выдавать сертификаты только с подчиненных СА. Если подчиненный СА будет скомпрометирован, можно будет отозвать его сертификат с корневого СА и опубликовать в сети новый список отозванных сертификатов (certificate revocation list, CRL). Многоуровневая иерархия СА предохранит инфраструктуру PKI в случае компрометации СА. Однако это может оказаться избыточным для небольших сетей. Для простоты в таких сетях можно ограничиться установкой одного Enterprise Root CA на существующем сервере Windows 2000 и выдавать сертификаты прямо с него.
Откройте приложение Add/Remove Programs, выберите Add/Remove Components. Перед установкой Certificate Services необходимо установить Microsoft IIS, поскольку Certificate Services использует IIS для административных и сертификационных запросов. Установив IIS из Control Panel, следует убедиться, что включена поддержка Active Server Pages (ASP), так как она требуется для работы Certificate Services. После установки IIS можно установить Certificate Services. Когда появится приглашение выбрать, какой тип СА установить, следует указать Enterprise Root CA. Enterprise в данном случае означает, что Certificate Services будет автоматически интегрирован в AD, что позволит автоматически получать списки пользователей и компьютеров.
Далее от пользователя требуется ввести идентификационную информацию для СА. Я использовал имя STO CA (экран 1). После установки Enterprise Root CA все компьютеры в домене автоматически будут доверять сертификатам, выпущенным СА. Это происходит потому, что, когда компьютеры находят новый корпоративный CA, опубликованный в AD, они автоматически добавляют сертификаты, выпущенные этим СА, в свое хранилище Trusted Root Certification Authorities. Хранилище сертификатов Trusted Root Certification Authorities можно просмотреть, используя оснастку Certificates из Microsoft Management Console (MMC).
Экран 1. Настройка политики с использованием сертификата |
Получение сертификатов
Теперь необходимо получить сертификат для сервера IAS. Откройте оснастку Certificates на сервере IAS. Когда появится приглашение выбрать учетную запись пользователя, службы или компьютера, следует выбрать компьютер. Когда появится приглашение выбрать между удаленным или локальным, нужно выбрать локальный. Затем в главном окне оснастки Certificates требуется нажать правую кнопку на папке PersonalCertificates и выбрать All Tasks, Request New Certificate (запрос нового сертификата). Нажмите Next па первой странице мастера Certificate Request Wizard. На следующей странице нужно выбрать Computer как тип шаблона сертификации и нажать Next. Для идентификации своей WLAN следует ввести дружественное имя, нажать Next и затем Finish. Появившееся диалоговое окно покажет, что запрос сертификата был успешным. После этого новый сертификат появится в папке PersonalCertificates.
Теперь необходимо получить сертификаты для всех клиентских компьютеров беспроводной сети. Наиболее простой путь — создать сертификационный запрос в Group Policy Object (GPO), который будет применяться ко всем компьютерам, которым требуется доступ к WLAN. Также можно создать новый объект GPO, связанный с соответствующим контейнером организационного подразделения (OU) или отредактировать существующую политику домена по умолчанию, которая связана с корнем домена. В большинстве компьютерных сред не помешает выдать каждому компьютеру домена сертификат, созданный по шаблону Computer. В Group Policy Object Editor следует перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesAutomatic Certificate Request Settings для установки автоматического запроса сертификатов. Далее необходимо нажать правую кнопку на панели с подробной информацией, выбрать New, Automatic Certificate Request (автоматический запрос сертификата) и нажать Next на первой странице мастера.
На следующей странице следует выбрать шаблон Computer, нажать Next, затем Finish. На экране появится запрос на сертификат типа Computer в папке Automatic Certificate Request Settings. В следующий раз каждый из компьютеров применит этот GPO и будет запрашивать сертификат типа Computer с CA, чтобы сохранить его в своем персональном контейнере сертификатов.
Настройки беспроводных клиентов
Следующий шаг — настройка сети на всех беспроводных клиентских компьютерах. Здесь мы снова воспользуемся групповыми политиками для автоматизации процесса. Используя тот же GPO, что и раньше, нужно перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsWireless Network (IEEE 802.1x) Policies. Нажмите правую кнопку на панели с детальной информацией и выберите Create Wireless Network Policy. Затем следует нажать Next на первой странице мастера Wireless Network Policy Wizard и ввести имя политики, например 802.1x Computer Certificate WLAN Policy. Щелкните Next, выберите Edit policies и нажмите Finish.
В диалоговом окне свойств политики 802.1x Computer Certificate WLAN требуется перейти на закладку Preferred Networks. Здесь нужно ввести Service Set Identifier (SSID) WLAN и настроить параметры аутентификации. Нажмите Add и введите SSID беспроводной сети, например AcmeSecureWLAN. Теперь следует перейти на закладку IEEE 802.1x. Выберите Smart Card or other certificate с типом EAP расширенного протокола аутентификации и Computer only как тип аутентификации компьютера. Затем необходимо настроить параметры сертификата, нажав Settings.
В диалоговом окне Smart Card or other Certificate Properties выберите Use a certificate on this computer и Use simple certificate selection (Recommended), как показано на экране 1. Эти две настройки заставляют беспроводного клиента выбирать соответствующие сертификаты (один из которых мы только что распространили) из их персонального хранилища сертификатов и использовать эти сертификаты для аутентификации на сервере IAS.
Следует убедиться, что клиенты регистрируются в нужной WLAN, а не в некой сети, выдающей себя за вашу WLAN и развернутой злоумышленниками. Для этого нужно выбрать в соответствующем диалоговом окне параметр Validate server certificate, иначе беспроводной клиент будет доверять любой WLAN, которая имеет такое же название, как и ваша AcmeSecureWLAN. Затем нужно выбрать в следующем окне CA, который выпустил сертификат для сервера IAS, в данном случае это STO CA. Нажмите OK три раза, чтобы закрыть все диалоговые окна. Теперь, когда компьютер в следующий раз применит этот GPO, он будет иметь конфигурацию беспроводной сети, только что заданную вами.
Настройка IAS и точек доступа
После настройки беспроводных клиентов можно перейти к настройке сервера IAS и точек доступа. На сервере IAS необходимо задать политику удаленного доступа, которая свяжет аутентификационные запросы WLAN с требованиями аутентификации 802.1x, основанной на сертификатах. Кроме того, потребуется создать записи клиентов службы RADIUS на каждой точке доступа WLAN. Для создания политики удаленного доступа нужно открыть оснастку MMC Internet Authentication Service и выбрать папку Remote Access Policies.
Нажав правую кнопку на панели с детальной информацией, следует выбрать New Remote Access Policy. Нажмите Next на первой странице мастера New Remote Access Policy Wizard. На следующей странице требуется выбрать Use the wizard to set up a typical policy for a common scenario, ввести имя политики удаленного доступа, например WLAN Access for Domain Computers, и нажать Next. На странице Access Method следует выбрать Wireless для установки политики удаленного доступа с необходимыми RADIUS критериями для распознавания аутентификационных запросов WLAN и применения этой политики к таким запросам. Нажмите Next.
На странице User or Group Access можно задать, какие компьютеры смогут соединяться с беспроводной сетью. Выберите Group и добавьте группу STODomain Computers. Группа STODomain Computers включает все компьютеры домена. Можно использовать и менее масштабные группы, но не забывайте, что следует добавить требование проверки сертификатов. Тогда по окончании работы с сетью смогут соединяться только те компьютеры, которые являются членами группы STODomain Computers и имеют сертификат, полученный от сервера IAS.
Нажмите Next на странице Authentication Methods. Система предложит выбрать между Protected EAP (PEAP) или Smart Card or other certificate; следует указать последний вариант и нажать Configure. В появившемся диалоговом окне Smart Card or other Certificate Properties можно выбрать, какой сертификат будет использоваться сервером IAS для представления клиенту. Выберите сертификат, который выпустил ваш СА для сервера IAS, и нажмите OK. Щелкните Next. Появится страница настроек (экран 2), которая отображает в деталях суммарную информацию по политике удаленного доступа. Нажмите Finish.
Экран 2. Детали политики удаленного доступа |
Далее требуется настроить записи клиентов RADIUS на точках доступа так, чтобы IAS распознал их. По-прежнему находясь в оснастке Internet Authentication Service, следует щелкнуть правой кнопкой на RADIUS Clients и выбрать New, RADIUS Client. В мастере New RADIUS Client нужно ввести дружественные имена для каждой из точек доступа, их адреса IP и DNS. В своем примере я назвал точку доступа AP First Floor East и дал ей IP-адрес 192.168.100.3. Нажмите Next. На странице Additional Information нужно указать Client-Vendor RADIUS Standard.
Другая информация, которая понадобится для ввода на этой странице, — так называемый секретный ключ, который должен быть одинаковым для сервера IAS и точки доступа. Используя этот секретный ключ, две системы смогут распознать друг друга и обмениваться зашифрованными данными. Следует ввести одинаковую для обоих устройств строку символов в каждом из полей Shared secret и Confirm shared secret. Необходимо запомнить или записать секретный ключ для настроенных точек доступа. Выберите параметр Request must contain the Message Authenticator attribute. В этом случае сервер IAS предписывает точкам доступа использовать при соединении общий секретный ключ. Нажмите Finish. Затем требуется повторить этот процесс (с различными дружественными именами и адресами ) для каждой из точек доступа.
Последним шагом установки является настройка точек доступа на связь с сервером IAS через RADIUS и требование аутентификации 802.1x от беспроводных клиентов. Большинство точек доступа различных производителей имеют встроенный мини-Web-сервер. Благодаря этому их можно настраивать при помощи Web-браузера с рабочей станции. У разных моделей точек доступа страница настроек может немного отличаться, но все они требуют одинакового количества базовых настроек для использования аутентификации в 802.1x. При настройке точки доступа нужно найти страницу, позволяющую включить аутентификацию в 802.1x. Затем следует ввести IP-адрес сервера IAS и секретный ключ. Если AP попросит указать номер порта, введите 1812. Возможно, ваша АР поддерживает второй сервер RADIUS для обеспечения отказоустойчивости, если он доступен. Наконец, необходимо настроить АР на использование соответствующего SSID.
Проверка
Теперь, когда все установлено, самое время протестировать сеть. Для начала проверим возможность соединения с беспроводной сетью законного клиента. Таким клиентом является компьютер, имеющий соответствующую политику беспроводного доступа к сети и сертифицированный СА. Компьютер должен подключиться к WLAN автоматически, и в правом нижнем углу экрана появится значок, свидетельствующий о наличии активного беспроводного соединения. Затем нужно попробовать соединиться с сетью с неавторизованного клиента. Важно убедиться, что WLAN блокирует его. Можно воспользоваться анализатором WLAN и удостовериться, что беспроводной трафик действительно зашифрован.
Если возникнут какие-либо проблемы, можно будет диагностировать их при помощи беспроводного клиента, точки доступа либо сервера IAS. На клиенте следует проверить журналы System и Security на предмет наличия в них сообщений об ошибках, относящихся к сертификатам. Большинство точек доступа имеют функцию ведения журнала, с помощью которой можно отследить неполадки со связью как между клиентом IAS или RADIUS, так и между AP и IAS. На сервере IAS можно просмотреть ошибки в журнале System, который находится в C:windowssystem32logfiles. Системный журнал IAS неудобен для чтения, однако существует утилита lasparse, которая позволяет создавать понятные отчеты по информации из журнала IAS .
Служба сертификатов Windows 2003 Server
Я рекомендую использовать для доменов Windows 2000 авторизацию посредством службы сертификатов на базе Windows 2000 Server (Windows 2000 Server Certificate Authority), поскольку перед тем, как установить Windows 2003 Server Certificate Authority, придется обновить схему Windows 2000 Active Directory (AD), а этот процесс требует планирования и согласованности. Дополнительную информацию об этом можно найти по адресу www.microsoft.com/resources/ documentation/windowsserv/2003/ standard/proddocs/en-us.
Если же у вас имеется домен Windows 2003, следует рассмотреть возможность обновления его до корпоративной версии Windows 2003 Enterprise Edition. Для Internet Authentication Service (IAS) достаточно и стандартной редакции Windows 2003 Standard Edition, но особенность Windows 2003 Enterprise Edition состоит в возможности использовать этот сервер в качестве СА для выдачи сертификатов как для беспроводных сетей, так и для других целей. Служба сертификатов версий Windows 2003 Standard или Windows 2000 ограничивает пользователей всего лишь двумя типами сертификатов, которые предоставляют клиентам больше разрешений, чем им необходимо.
Для доступа к беспроводной сети компьютеры пользователей нуждаются в сертификатах, настроенных исключительно с целью авторизации клиентов. К сожалению, центр сертификатов Windows 2003 Standard и Windows 2000 позволяет выдавать сертификаты, базирующиеся на имеющихся шаблонах Computer или Domain Controller, каждый из которых используется для авторизации клиентов и серверов. Выдача беспроводным клиентским рабочим станциям сертификатов на базе шаблона для авторизации сервера не связана с особым риском, однако вы тем самым предоставляете клиентам права, превышающие минимально необходимые.
Windows 2003 версии Enterprise включает несколько новых шаблонов сертификатов, в том числе шаблон Workstation, который предназначен исключительно для авторизации клиентов. Windows 2003 Enterprise Edition имеет новую возможность, названную авторазвертыванием сертификатов, которая упрощает распространение сертификатов для пользователей и компьютеров. Если PKI развертывается на предприятии и планируется выдача значительного количества сертификатов различного назначения, то в этом случае внедрение Windows 2003 Enterprise Edition может себя оправдать. Однако я не думаю, что большая стоимость оправдает себя, если использовать такой СА только для выпуска сертификатов для беспроводной сети.
Редактор Windows IT Pro и ведущий инструктор и разработчик курсов для программы по безопасности Windows NT/2000 института MIS Training. Его компания, Monterey Technology Group, занимается консалтингом в области информационной безопасности. Связаться с ним можно по адресу: rsmith@monterey techgroup.com