Jarosław Kurek WZIM SGGW Uwierzytelnienie i autoryzacja sieci WiFi za pomocą serwera Radius w Windows server 2008 Jarosław Kurek WZIM SGGW
Test routera Podłączamy router to internetu – port WAN Przywracamy ustawienia domyślne routera Wchodzimy na zarządzanie routerem Konfigurujemy port WAN, aby uzyskiwał dostęp z 172.16.1.x (DHCP z naszej sieci SGGW) Na interfejsie LAN ustawiamy zakres 192.168.x.100 Włączamy server DHCP na routerze i ustawiamy pule zakresu od 192.168.x.230-192.168.x.240 Łączymy się po WiFi z routerem sprawdzamy czy dostajemy dostęp do sieci Internet. 2
Instalacja i konfiguracja Win2008 Instalujemy nową instancję win2008 Konto Administrator hasło:Qwerty123 Zmieniamy nazwę servera na DCx, gdzie x to index komputera stacjonarnego Wyłączamy Firewalla Wyłączamy IPv6 Ustawiamy sieć statycznie na 192.168.x.1 /24 Ustawiamy DNS na 127.0.0.1 Zainstalować kontroler domeny np. SGGW.com, 3
Instalacja roli NPS -Network Policy Server Instalujemy nową rolę Network Policy and Access Services->Network Policy Server Instalujemy rolę Active Directory Certificate Services Generujemy certyfikat Root CA – urzędu certyfikacji 4
Generacja certyfikatu dla serwera Generujemy certyfikat dla serwera Open a new MMC console 2. Go to File -> Add/Remove Snap-in and add the Certificates snap-in 3. Select Computer Account for the local computer 4. When finished with adding the snap-in expand the Certificates -> Personal node 5. Right click on Certificates and choose Request new Certificate 6. In the wizard choose Computer for the certificate type and click Enroll 7. Close the MMC console 5
Konfiguracja roli NPS -Network Policy Server Next, click Start -> Administrative Tools -> Network Policy Server Right click the NPS (local) node and choose Register server in Active Directory With the NPS (Local) node still selected choose RADIUS server for 802.1X Wireless or Wired Connections from the drop- down box and click Configure 802.1x 6
Konfiguracja roli NPS -Network Policy Server 7
Konfiguracja roli NPS -Network Policy Server Under Type of 802.1X connections, select Secure Wireless Connections and configure a name for the policy's created. Next the Access Point is configured by clicking Add, filling in a name for the Access Point and providing the wizard with the IP address or DNS entry Then you can define a shared secret by either creating one manually or generating one randomly 8
Konfiguracja roli NPS -Network Policy Server 9
Konfiguracja roli NPS -Network Policy Server Note that some Access Points (particulary Linksys) have a 22 character limit on the shared key, so keep that in mind while creating one. In the next screen choose Microsoft: Protected EAP (PEAP) and click Configure Ensure the Certificate issued drop-down box has the certificate you've created Click Next, and click Add to use an Active Directory group to secure your wireless (you need to add both the machine accounts and user accounts to this group to allow authentication on the wireless) Tu Dodajemy grupę Domain Admins Close and restart the Network Policy Server service 10
Konfiguracja AP/Routerze W routerze wprowadzamy security na RADIUS, port 1812, Ustawiamy IP serwera NPS-Radiusa na routerze, Ustawiamy identyczny pre-shared-key co w NPS na Win2008 Ustawiamy WEP/WPA 11
Konfiguracja klienta Ustawiamy profil sieci, tak aby korzystał z PAEP – zakładak sieci bezprzewodowe->właściwości profilu Ustawiamy checkbox – otrzymuję klucz automatycznie Zakładka uwierzytelnienie – protokół PEAP PEAP -> właściwości – wyłączyć weryfikuj certyfikat serwera (potem należy wgrać certyfikat i sprawdzić) Wybierz metdoą uwierzytelenia->konfiguruj-> odhaczyć checkbox. 12
Sprawdzenie połączenia Sprawdzamy czy Win2008 widzi się z AP/Routerem Łączymy się u klienta z siecią (routerem) Wyskoczy popup na który trzeba kliknąć i podać parametry połączenia: Administrator Qwerty123 i sggw UWAGA w textbox dotyczący domeny podajemy nazwę netbiosową serwera na którym stoi domena Jeżeli wszystko zrobiliśmy poprawnie w event viewer security pojawi się wpis success! Np. zamiast sggw.com podajemy sggw ! 13
Zwiększenie bezpieczeństwa Ustawić u klienta weryfikację certyfikatu i przenieść go do klienta Sprawdzić działanie 14
Utworzenie nowej grupy w AD Należy utworzyć nową grupę w AD Dodać usera i przypisać go do tej grupy Spróbować połączyć się u klienta na tego użytkownika 15