RECEPT: Biztonságos Wi-Fi

5-10 főre (kis- és közepes vállakozásoknak)

"Gasztronómiai" visszatekintés

Ahogy egyre népszerűbbé váltak a vezetéknélküli hálózatok, úgy növekedett az igény az adatbiztonságra. A régen biztonságosnak gondolt 64 bites WEP titkosítást például ingyenesen letölthető programok segítségével 5 perc alatt fel lehet törni átlagos forgalom mellett. A WEP javított változataként látott napvilágot a WPA titkosítás amely a félreértések elkerülése végett szintén WEP alapú (RC4-es algoritmus), de olyan elemekkel egészítették ki mint pl. a Message Integrity Check vagy a Hash funkció használata CRC32 helyett. Ezekkel nagyban növelték a rendszer biztonságát. Ezután jött a WPA-2, amely lényegében abban különbözik a WPA-tól, hogy TKIP helyett a még erősebb AES titkosítási eljárást használja.

A WPA-n belül is megkülönböztetünk WPA-PSK-t és WPA-t. Néhol úgy láthatjuk ezeket mint Personal WPA és Enterprise WPA. A különbség azonban nem csekély. Míg a WPA-PSK egy előre beállított kulcsot használ, addig a WPA egy azonosító kiszolgálót (RADIUS) használ amely a felhasználó beazonosítása után szolgáltatja a titkosító kulcsot. Mi most ez utóbbi összeállítással fogunk foglalkozni a gyakorlatban.

Hozzávalók

1 db AccessPoint (mi egy ZyAir G-3000-est használtunk)

1 db Windows Server 2003 SMB

Egy csipetnyi IAS (Internet Authentication Server), Active Directory

Elkészítés:

Telepítsük a Windows Server 2003 IAS (Internet Authentication Server) komponensét, ez lesz a RADIUS szerver amit az AP használni fog. Ezután indítsuk el az IAS adminisztratív kezelőfelületét és hozzunk létre egy RADIUS klienst az alábbi képen látható módon. Fontos, hogy a "shared secret"-et helyesen adjuk meg itt és majd az AP-ban is, ami pedig értelemszerűen a RADIUS kliens lesz.

Ezután az ún. Remote Access Policy-t kell meghatároznunk, hogy milyen feltételekkel engedünk hálózati hozzáférést. Itt három dolgot definiálunk: a NAS (Network Authentication Server) hozzáférés típusát, ami jelen esetben IEEE 802.11 Wi-Fi.

Ezt követően adjuk meg mint kritériumot, hogy mely AD csoportba tagja kell legyen az adott felhasználó (a mi esetünkben computer account lesz).

További biztonságot nyújt, ha időbeni megszorítást állítunk be, az alábbi példában hétköznapokon reggel nyolctól este hatig engedélyezzük a belépést.

A következő lépés a legfontosabb talán, magának a policy-nak a beállítása. Adjuk meg itt is a NAS típust (IEEE 802.11)

Az Encryption fülnél pedig 56 ill. 128 bites titkosítást állítsunk be.

Az Authentication fülnél célszerű csak az MSCHAP v2-t engedélyezni. További beállításokat végzünk el az EAP Method gombra kattintva; itt kiválaszthatjuk a PEAP protokollt, aminek a tulajdonságait az Edit gombbal tudjuk elérni. Győződjünk meg róla, hogy a Protected EAP Properties ablak Eap types listáján csak a Secured password (EAP-MSCHAP v2) szerepel.

Minthogy a hozzáférés legfőbb kritériuma a Windows Group (egész pontosan AD csoport) tagság, hozzuk létre az IAS-ban megadott nevű AD biztonsági csoportot (security group) és adjuk hozzá azon gépek Computer Account-ját, melyek számára engedélyezni kívánjuk a vezeték nélküli hálózat használatát.



Itt egy példát láthatunk arra, hogyan állítsuk be Wi-Fi kliensünket (jelen esetben a beépített Windows kliens) a tárgyalt authentikációs sémához. Fontos az IEEE 802.1x engedélyezése, ezen belül a PEAP kiválasztása. Külön kiemelném az "Authenticate as computer when computer information is available" opciót, melyet feltétlenül be kell jelölnünk.

























Most pedig lássuk az AP előkészítését. Külső RADIUS szervert adunk meg (bizonyos AP-ban nincs is beépített). Az IP cím az IAS szerver címe lesz, a portot hagyhatjuk az alapértelmezett 1812-esen és ügyeljünk a "shared secret" helyes megadására úgy ahogy az IAS szerver RADIUS Client-jénél tettük.

Végezetül egy kis segítség, ha "odaégne" főztünk; érdemes körülnézni az AP logjában. Pirossal bekarikázva láthatunk két tipikus hibaüzenetet, az első arra utalhat, hogy pl. nem tagja az adott számítógép az általunk megadott csoportnak (AD Security Group), a második pedig kommunikációs hibát jelez az AP és a RADIUS szerver között (hibás IP cím, port, shared secret, stb.)

Zölddel bekarikázva pedig egy sikeres RADIUS tranzakciót láthatunk.

Remélem minden kedves olvasónknak beválik a "recept" és nyugodtabban gondolhat saját Wi-Fi hálózatára, mint biztonságos hálózatra.

----------------
Benkő Zsolt



ZyXEL Hungary
Budapest, 1025 Zöldlomb u. 48.
T.: +36-1-336-1646
F.: +36-1-325-9100
info@zyxel.hu
www.zyxel.hu