Побудова захищеної бездротової мережі IEEE 802.11 (Wi-Fi) з використанням SoftPI RADIUS
Існує декілька технологій безпеки бездротової мережі, підтримуваних практично всіма точками доступу:
- WEP;
- WPA Personal/Enterprise;
- WPA2 Personal/Enterprise.
На даний момент найбільш надійний захист мережі досягається при використанні технології WPA2 Enterprise. Розглянемо налаштування SoftPI Radius сервера при роботі з точками доступу, що працюють за технологією WPA2 Enterprise. У такому варіанті бездротова точка доступу буде блокувати всі підключення до бездротової мережі до тих пір, поки вводяться користувачем ім'я та пароль не пройдуть перевірку на сервері аутентифікації. Якщо користувача немає в базі даних RADIUS сервера, то він не зможе підключитися до бездротової мережі. Додатково при використанні сертифікатів здійснюється взаємна аутентифікація клієнтів і сервера, що виключає можливість створення працюючих «помилкових» точок доступу.
Для роботи даної схеми аутентифікації необхідна настройка таких компонентів:
- В якості RADIUS сервера використовуємо сервер SoftPI RADIUS;
- Точка доступу 802.11 c підтримкою WPA2 Enterprise;
- Клієнтський комп'ютер.
Налаштування сервера SoftPI RADIUS
Сервер SoftPI RADIUS виконує перевірку користувачів, що підключаються до точки доступу (аутентифікація), перевіряє, чи має право даний користувач підключатися до точки доступу в поточний момент (авторизація), і веде облік усіх сесій користувачів (аккаунтинг).
Насамперед потрібно в "Консолі управління RADIUS" сервера налаштувати параметри сервера доступу. Сервером доступу в даному випадку буде точка доступу Wi-Fi. Необхідно ввести IP адресу точки доступу і загальний секрет. Загальний секрет - це пароль, який використовується при обміні даними між сервером RADIUS і точкою доступу. Використання даного пароля виключає можливість появи неавторизованої точки доступу. RADIUS-сервер буде ігнорувати всі запити від сервера доступу, якщо йому невідомий IP адрес або загальний секрет сервера. Приклад додавання сервера доступу наведено на Малюнку 1.
МАЛЮНОК 1
Далі необхідно створити одного або декількох користувачів, які матимуть право підключатися до точки доступу. Щоб додати користувача необхідно використовувати режим "Консолі налаштування RADIUS-сервера": "Користувачі / Групи" → "Користувачі". Для користувача обов'язково слід вказати ім'я користувача та пароль. Також можна вказати групу атрибутів, дозволений час входу, і ряд інших параметрів.
Вікно додавання користувача приведено на Малюнку 2.
МАЛЮНОК 2
Після створення користувача при необхідності задайте атрибути. Атрибути, що відправляються авторизованому клієнту, необхідно відзначати типом "Відправляти в Access-Accept".
Для завдання видається користувачеві IP адреси можна додати користувачеві атрибут Framed-IP-Address і як значення вказати необхідний IP адресу (Малюнок 3).
МАЛЮНОК 3
Для обмеження часу сесії користувача слід скористатися атрибутом Session-Timeout, який задає максимальну тривалість сесії в секундах.
Аналогічним чином можна створити потрібну кількість логінів користувачів. Крім ручного створення користувачів підтримується також імпорт даних з Active Directory або іншого каталогу, що підтримує LDAP протокол.
Налаштування точки доступу
Для того, щоб точка доступу виконувала перевірку підключень користувачів засобами RADIUS сервера, необхідно виконати настройку параметрів безпеки пристрою Wi-Fi. Залежно від типу пристрою настройка може відрізнятися.
Виберіть режим безпеки "WPA2 Enterprise" (Підтримуються також WPA Enterprise і WEP RADIUS, однак вони значно більш уразливі), вкажіть IP адреса RADIUS сервера, і введіть загальний секрет, заданий в налаштуваннях RADIUS сервера. Приклад налаштування точки доступу наведено на Малюнку 4.
МАЛЮНОК 4
Налаштування на стороні клієнта
Нижче наведена інструкція по створенню та налагодженню бездротового підключення на клієнті з операційною системою Windows 7. Створите новий профіль підключення (Малюнок 5).
МАЛЮНОК 5
Виберіть підключення по бездротовій мережі (Малюнок 6).
МАЛЮНОК 6
Введіть ім'я SSID бездротової мережі, виберіть тип безпеки WPA2 Enterprise і тип шифрування AES (Малюнок 7).
МАЛЮНОК 7
Відкрийте додаткові налаштування підключення (Малюнок 8).
МАЛЮНОК 8
Виберіть вкладку «Безпека». Зі списку методів аутентифікації слід вибрати Microsoft: Protected EAP (PEAP). Після цього натисніть кнопку «Налаштування» (Малюнок 9).
МАЛЮНОК 9
Всі клієнти PEAP повинні перевіряти сертифікат RADIUS сервера, тому в настройках необхідно вибрати опцію «Перевіряти сертифікат сервера», а в списку довірених центрів сертифікації треба відзначити SoftPI Radius сервер.
У списку методів аутентифікації повинен бути обраний «Secured password (EAP-MSCHAP v2)». Далі слід відключити опцію швидкого перепідключення і клацнути по кнопці «Configure» (Малюнок 10).
МАЛЮНОК 10
У діалоговому вікні зніміть прапор біля пункту «Автоматично використовувати ім'я входу і пароль Windows (і ім'я домену, якщо існує)» (Малюнок 11).
МАЛЮНОК 11
Клацніть по кнопці «ОК» для закриття всіх діалогових вікон.
Клацніть «Закрити» для закриття майстра створення мережевого підключення.
Для підключення виберіть у списку доступних бездротових підключень створене раніше підключення і клацніть по кнопці «Підключитися». У вікні, введіть ім'я користувача та пароль, налаштовані для користувача в "Консолі налаштування SoftPI RADIUS".