2011年11月30日 星期三

架設802.1X無線網路安全性架構

越來越多企業組織基於行動力的便利性而提供了無線區域網路的服務,但無線網路的安全性疑慮始終是資訊部門的一大隱憂,所以如何部署與設計無線網路的安全性就顯得特別重要,而無線區域網路安全性標準包括了WEP、WPA與WPA2

,就驗證方式而言,又可分為以共用金鑰為主的個人驗證方式以及以802.1X方式的企業驗證方式,一般安全使用指引為:如果是應用於SOHO或小公司的無線網路環境,建議採用WPA2的共用金鑰驗證方式,但對於較高無線網路安全性需求的企業組織而言,採用802.1x架構並以憑證方式來進行驗證為較佳方式。
本文將說明如何設定Windows Server 2008 R2的網路原則伺服器成為無線802.1x的驗證伺服器。 設定802.1X驗證伺服器的準備條件為
        1. Acive Directory目錄服務環境
        2. 架設企業憑證授權單位 (Enterprise CA)
步驟
              替網路原則伺服器取得電腦憑證
              新增RADIUS用戶端並設定連線驗證共用密碼
              設定連線原則
              啟用RADIUS帳戶管理

 

一. 安裝 Windows Server 2008的網路原則伺服器

1. 開啟【伺服器管理員】,啟用【新增角色精靈】並新增【網路原則與存取服務】角色內的【網路原則伺服器】。

nps1

 

二. 使用NPS精靈程式架設RADIUS伺服器

  1. 啟動『網路原則伺服器』管理工具。
  2. 在開始設定頁中,選取【802.1X無線或有線連線的RADIUS伺服器】後,選按【設定802.1X】。
    nps2
  3. 於【選取802.1X連線類型】設定頁上,選取【安全的無線連線】,並接受或輸入名稱後按【下一步】。
  4. 接下來,您需要新增無線基地台為RADIUS伺服器的用戶端,於【指定802.1X交換器】設定頁,按【新增】按鈕,待出現【新增RADIUS用戶端】畫面,輸入用戶名稱,無線基地台的IP位址,並手動輸入基地台連線驗證的共用密碼,您也可以利用【產生】選項來自動產生共用密碼,日後在設定無線基地台安全性時,亦需要輸入相同的密碼。
    nps3

  5. 接下來,您需要選擇802.1X的驗證方法:智慧卡或憑證、PEAP或EAP-MSCHAPv2,然後再按【設定】設定驗證參數。

    如果您只需要用戶端只需使用密碼驗證,而不需要用戶端以憑證方式的驗證,則採用EAP-MSCHAPv2方法無疑是較簡單的方法,因為並不需要部署用戶端憑證;反之,若以安全性為首要考量,則使用智慧卡或用戶端憑證則是建議選項。

    nps4
  6. 接下來,新增所要允許或禁止使用無線網路的使用者群組,若未選取則代表所有使用者。
    nps5
  7. 接下來的流量控制設定,請直接按下一步繼續。

    最後完成精靈程式,設定了無線網路802.1x用途的RADIUS驗證伺服器,從主控台內可知上述的精靈程式替您新增了下列工作:

    • 新增了RADIUS用戶端,即無線基地台的IP與共用金鑰。
    • 建立了一個名稱為『安全的無線連線』連線要求原則,此原則限制連線條件為802.11的無線使用者。

    • 建立一個名稱為『安全的無線連線』的網路原則,設定了授予的存取權限、連線條件為802.11的無線連線類型以及驗證方法等。
      nps6

啟用無線基地台的802.1X驗證方式 

接下來,您需要啟用無線基地台的802.1X驗證與加密方式,不同的基地台設定介面可能不同,但內容大同小異,如下圖顯示了可能需要設定的項:

◎ 版本為WPA或WPA2,建議值為WPA2。

◎ 加密方式為TKIP或AES,建議值為AES。

◎ 設定RADIUS伺服器:輸入RADIUS伺服器的IP位址及共用密碼。

nps7

設定無線用戶端網路上使用802.1X驗證

使用Windows作業系統的用,需要設定無線網路使用802.1x驗證連線。作法是透過【網路及共用中心】內的【管理無線網路】來設定無線網卡對基地台使用802.1X驗證,設定的方法自然要與上述網路原則伺服器支援的方法相符合。

nps8