Microsoft TechDayshttp://www.techdays.ru

Инфраструктураоткрытого ключа (PKI) в

Windows 2008R2/Windows 7

Часть 2 (Реализация безопасного доступа к

проводной и беспроводной сети 802.1x )Комаров Михаил

MCT

Microsoft TechDayshttp://www.techdays.ru

Схема сети для демонстраций

Имя DC (Windows 2008R2)Службы AD DSСлужбы AD CS

Имя RadiusСлужба NPS

Имя VPNСлужбы RRAS

Windows XP

Windows 7(не в домене)

192.168.0.XContoso.com

192.168.1.X

192.168.0.50Wi-FI AP D link

Switch 802.1x

Microsoft TechDayshttp://www.techdays.ru

Стандарты безопасности беспроводной сетиСтандарт

безопасности

Метод аутентификации

Метод шифрования

Размер ключа шифрования

Комментарии

IEEE 802.11 Открытая система и общий ключ

WEP 40 и 104 Слабая аутентификация и шифрование. Не безопасен

IEEE 802.11X

EAP Не используется

Не используется

Надежная аутентификация с использованием EAP метода

WPA-Enterprise

802.1x TKIP и AESопционально

128 Надежная аутентификация с использованием EAP метода и шифрование стойкое TKIP и очень стойкое AES

WPA-Personal

PSK (общий ключ)

TKIP и AESопционально

128 Надежная аутентификация с использованием PSK метода и шифрование стойкое TKIP и очень стойкое AES

WPA2-Enterprise

802.1x TKIP и AES 128 Надежная аутентификация с использованием EAP метода и шифрование стойкое TKIP и очень стойкое AES

WPA2-Personal

PSK (общий ключ)

TKIP и AES 128 Надежная аутентификация с использованием PSK метода и шифрование стойкое TKIP и очень стойкое AES

Microsoft TechDayshttp://www.techdays.ru

Требования к технологиям аутентификации.Метод Требования клиенту Требования к

RADIUS серверу

PEAP-MSCHAP V2(вход с указанием имени и пароля)

Строгий пароль и установленный корневой сертификат для проверки подлинности RADIUS

Установленный сертификат на радиус сервер.

EAP-TLS(вход без указания имени и пароля)

Сертификат пользователя, компьютера или смарт-карты. Корневой сертификат для проверки подлинности RADIUS

Установленный сертификат на радиус сервер. Корневой сертификат для проверки подлинности клиента

PEAP-TLS(вход без указания имени и пароля)

Сертификат пользователя, компьютера или смарт-карты. Корневой сертификат для проверки подлинности RADIUS

Установленный сертификат на радиус сервер. Корневой сертификат для проверки подлинности клиента

Microsoft TechDayshttp://www.techdays.ru

Настройка сети

Комаров МихаилMCT

Демонстрация

Microsoft TechDayshttp://www.techdays.ru

Контроллер домена и центр сертификации

Создание пользователей и групп

Добавление серверов в группу (IAS и RAS)

Создание шаблонов сертификатов и подготовка к развертыванию

Microsoft TechDayshttp://www.techdays.ru

NPS сервер (Radius)

Добавление роли NPSЗапрос и установка

сертификата на серверСоздание политики

беспроводного доступа

Microsoft TechDayshttp://www.techdays.ru

Windows XP

Запрос и установка сертификата

Настройка беспроводного доступа

Экспорт сертификата

Microsoft TechDayshttp://www.techdays.ru

Беспроводная точка доступа

Настройка точки доступа

Microsoft TechDayshttp://www.techdays.ru

Windows 7

Импорт сертификата

Настройка беспроводного доступа

Microsoft TechDayshttp://www.techdays.ru

Windows XP

Импорт сертификата

Настройка беспроводного доступа

Microsoft TechDayshttp://www.techdays.ru

NPS сервер (Radius)

Создание политики проводного доступа

Microsoft TechDayshttp://www.techdays.ru

Windows XP

Настройка коммутатора

Настройка параметров проводного доступа

Microsoft TechDayshttp://www.techdays.ru

NPS сервер (Radius)

Демонстрация пакетов EAP

Microsoft TechDayshttp://www.techdays.ru

В следующей части

Построение VPN (PPTP,IKEv2,SSTP) сетей с использованием текущей

инфраструктуры

Microsoft TechDayshttp://www.techdays.ru

Ресурсы

Начало. http://www.microsoft.com/pkiБлог http://blogs.technet.com/pki