Комаров Михаил MCT
description
Transcript of Комаров Михаил MCT
Microsoft TechDayshttp://www.techdays.ru
Инфраструктураоткрытого ключа (PKI) в
Windows 2008R2/Windows 7
Часть 2 (Реализация безопасного доступа к
проводной и беспроводной сети 802.1x )Комаров Михаил
MCT
Microsoft TechDayshttp://www.techdays.ru
Схема сети для демонстраций
Имя DC (Windows 2008R2)Службы AD DSСлужбы AD CS
Имя RadiusСлужба NPS
Имя VPNСлужбы RRAS
Windows XP
Windows 7(не в домене)
192.168.0.XContoso.com
192.168.1.X
192.168.0.50Wi-FI AP D link
Switch 802.1x
Microsoft TechDayshttp://www.techdays.ru
Стандарты безопасности беспроводной сетиСтандарт
безопасности
Метод аутентификации
Метод шифрования
Размер ключа шифрования
Комментарии
IEEE 802.11 Открытая система и общий ключ
WEP 40 и 104 Слабая аутентификация и шифрование. Не безопасен
IEEE 802.11X
EAP Не используется
Не используется
Надежная аутентификация с использованием EAP метода
WPA-Enterprise
802.1x TKIP и AESопционально
128 Надежная аутентификация с использованием EAP метода и шифрование стойкое TKIP и очень стойкое AES
WPA-Personal
PSK (общий ключ)
TKIP и AESопционально
128 Надежная аутентификация с использованием PSK метода и шифрование стойкое TKIP и очень стойкое AES
WPA2-Enterprise
802.1x TKIP и AES 128 Надежная аутентификация с использованием EAP метода и шифрование стойкое TKIP и очень стойкое AES
WPA2-Personal
PSK (общий ключ)
TKIP и AES 128 Надежная аутентификация с использованием PSK метода и шифрование стойкое TKIP и очень стойкое AES
Microsoft TechDayshttp://www.techdays.ru
Требования к технологиям аутентификации.Метод Требования клиенту Требования к
RADIUS серверу
PEAP-MSCHAP V2(вход с указанием имени и пароля)
Строгий пароль и установленный корневой сертификат для проверки подлинности RADIUS
Установленный сертификат на радиус сервер.
EAP-TLS(вход без указания имени и пароля)
Сертификат пользователя, компьютера или смарт-карты. Корневой сертификат для проверки подлинности RADIUS
Установленный сертификат на радиус сервер. Корневой сертификат для проверки подлинности клиента
PEAP-TLS(вход без указания имени и пароля)
Сертификат пользователя, компьютера или смарт-карты. Корневой сертификат для проверки подлинности RADIUS
Установленный сертификат на радиус сервер. Корневой сертификат для проверки подлинности клиента
Microsoft TechDayshttp://www.techdays.ru
Настройка сети
Комаров МихаилMCT
Демонстрация
Microsoft TechDayshttp://www.techdays.ru
Контроллер домена и центр сертификации
Создание пользователей и групп
Добавление серверов в группу (IAS и RAS)
Создание шаблонов сертификатов и подготовка к развертыванию
Microsoft TechDayshttp://www.techdays.ru
NPS сервер (Radius)
Добавление роли NPSЗапрос и установка
сертификата на серверСоздание политики
беспроводного доступа
Microsoft TechDayshttp://www.techdays.ru
Windows XP
Запрос и установка сертификата
Настройка беспроводного доступа
Экспорт сертификата
Microsoft TechDayshttp://www.techdays.ru
Беспроводная точка доступа
Настройка точки доступа
Microsoft TechDayshttp://www.techdays.ru
Windows 7
Импорт сертификата
Настройка беспроводного доступа
Microsoft TechDayshttp://www.techdays.ru
Windows XP
Импорт сертификата
Настройка беспроводного доступа
Microsoft TechDayshttp://www.techdays.ru
NPS сервер (Radius)
Создание политики проводного доступа
Microsoft TechDayshttp://www.techdays.ru
Windows XP
Настройка коммутатора
Настройка параметров проводного доступа
Microsoft TechDayshttp://www.techdays.ru
NPS сервер (Radius)
Демонстрация пакетов EAP
Microsoft TechDayshttp://www.techdays.ru
В следующей части
Построение VPN (PPTP,IKEv2,SSTP) сетей с использованием текущей
инфраструктуры
Microsoft TechDayshttp://www.techdays.ru
Ресурсы
Начало. http://www.microsoft.com/pkiБлог http://blogs.technet.com/pki