- Захист з'єднань мобільних клієнтів Бездротові мережі дійсно можуть бути безпечними, якщо вірно обраний...
- Установка Windows 2003
- установка IAS
- Налаштування конфігурації вузла доступу
- Налаштування РОБОЧОЇ станції
- Справу Зроблено!
- альтернатива WPA
- Організація відмовостійкої мережі
Захист з'єднань мобільних клієнтів
Бездротові мережі дійсно можуть бути безпечними, якщо вірно обраний метод захисту. Щоб доповнити існуючу мережу Windows безпечної бездротовою мережею, досить встановити один або кілька 802.1x-сумісних бездротових вузлів доступу (Access Points, AP) і один комп'ютер Windows Server 2003. Сервер Windows 2003 забезпечить аутентифікацію бездротових клієнтів 802.1x в існуючій мережі Windows. Для доступу до бездротової мережі достатньо вже наявних у користувачів облікових записів Windows.
Засоби інформаційного захисту
Для захисту бездротової мережі використовуються специфікація 802.1x і споріднений протокол PEAP (Protected Extensible Authentication Protocol - захищений розширюваний протокол аутентифікації), результат першої спроби вирішення проблем безпеки, властивих стандарту Wired Equivalent Privacy (WEP). Найбільш вразливі місця WEP - слабкі функції управління ключем шифрування і відсутність процедур аутентифікації і авторизації окремих користувачів. У стандарті 802.1x ці проблеми вирішуються завдяки більш розвиненим методам управління ключем і використання серверів RADIUS (Remote Authentication Dial-In User Service) для аутентифікації, обліку та авторизації.
Wi-Fi Protected Access (WPA) - новий і ще більш надійний стандарт, який повинен повністю замінити WEP. Компанія Microsoft випустила виправлення для Windows, щоб забезпечити сумісність операційної системи з WPA. Однак під час підготовки даної статті неможливо було задіяти групову політику для розгортання і налаштування виправлень WPA; цю роботу доводилося виконувати вручну або купувати інший програмний інструмент для автоматичної установки. Більш детальна інформація про WPA приведена в урізанні «Альтернатива WPA».
Стандарт 802.1x сумісний практично з будь-яким протоколом аутентифікації завдяки PEAP, вдосконаленому варіанту протоколу EAP (Extensible Authentication Protocol), розробленим фахівцями Microsoft, Cisco Systems і RSA Security. EAP дозволяє вибирати метод аутентифікації, але не захищає дані від перехоплення або зміни хакерами. PEAP забезпечує безпечний канал на базі SSL (Secure Sockets Layer - рівень захищених гнізд) з перевіркою цілісності. Через цей канал клієнт і сервер можуть виконувати аутентифікацію будь-якими способами, в тому числі з використанням сертифікатів, паролів, смарт-карт і біометричних пристроїв. Windows 2003 і Windows XP мають у своєму розпорядженні вбудованими функціями для роботи з сертифікатами, паролями і смарт-картами. Клієнт Microsoft 802.1x Authentication Client, що розглядається в даній статті, забезпечує таку ж підтримку для Windows 2000, Windows NT і Windows 98. Всі три варіанти дозволяють виконати взаємну аутентифікацію між сервером і клієнтом, перевірити цілісність і зашифрувати дані, щоб попередити спроби їх перехоплення.
Для аутентифікації в бездротовій локальній мережі можна використовувати PEAP EAP-Transport Layer Security (TLS - захист на транспортному рівні) або PEAP EAP-Microsoft Challenge Handshake Authentication Protocol (MSCHAP - протокол аутентифікації з квотуванням) v2. EAP-TLS виконує аутентифікацію з використанням клієнтських сертифікатів, які можна зберігати в смарт-картах або на локальному комп'ютері. Смарт-карти забезпечують найвищий рівень безпеки при аутентифікації клієнтів бездротової мережі, але вимагають витрат на покупку пристроїв читання карт і інфраструктуру для розгортання та обслуговування. Надійність клієнтських сертифікатів, що зберігаються в робочій станції, трохи нижче, але також висока. На обслуговуючий персонал покладається обов'язок розмістити сертифікати на кожній клієнтської робочої станції, розгорнути інфраструктуру з відкритим ключем (PKI) і керувати нею.
Active Directory (AD) і Group Policy це зручний спосіб упорядкування сертифікатами, але деяким компаніям потрібні альтернативні сертифікати для бездротових мереж - особливо малим підприємствам, які віддають перевагу не розгортати повну інфраструктуру PKI. Їм може знадобитися специфікація EAP-MSCHAP v2. В цьому випадку всередині PEAP використовується MSCHAP v2 - знайомий протокол аутентифікації Windows з паролями. Завдяки EAP-MSCHAP v2 доступом до бездротової мережі можна керувати за допомогою існуючих облікових записів Windows і не потрібно повної інфраструктури PKI для розміщення клієнтських сертифікатів на кожній робочій станції. Однак слід пам'ятати про одне обмеження EAP-MSCHAP v2. В основі EAP-MSCHAP v2 лежать паролі, тому комп'ютер користувача не має доступу до бездротової мережі (та іншим об'єктам мережі, таким як GPO) до тих пір, поки користувач не зареєструється. У даній статті буде описано, як EAP-MSCHAP v2 дозволяє організувати аутентифікацію в безпечної мережі 802.1x з використанням паролів існуючих облікових записів Windows. Передбачається, що на підприємстві є домен Windows 2000 AD, але якщо його немає, то можна задіяти облікові записи, що зберігаються на сервері Windows 2003 в успадкованому домені NT.
У мережах 802.1x вузол доступу грає роль посередника, просто передаючи сполучення між бездротовим клієнтом і сервером RADIUS. Клієнт і сервер RADIUS аутентифицируют один одного. Якщо аутентифікація виконана успішно, то сервер RADIUS сповіщає вузол доступу про те, що бездротової клієнт може приєднатися до мережі. Сервер RADIUS також передає в вузол доступу список маршрутних обмежень, які застосовуються до клієнта відповідно до профілями, що зберігаються на сервері RADIUS. Завдяки управлінню маршрутизацією окремо для кожного клієнта відкриваються дуже цікаві можливості, зокрема доступ партнерів по бізнесу можна обмежити певними службами і ділянками мережі. Наприклад, профіль на сервері RADIUS можна налаштувати таким чином, щоб відвідувач, що підключається до мережі тільки для доступу в Internet, не міг звернутися до серверів локальної мережі.
В експлуатації знаходиться безліч 802.1x-сумісних вузлів доступу і комп'ютерів XP з пакетом виправлень Service Pack 1 (SP1) і мережним адаптером 802.11b, в яких є вбудовані функції для роботи з мережами 802.1x. Єдиний додатковий компонент, який повинен підтримувати 801.1x, - сервер RADIUS; в Windows 2003 цю підтримку забезпечує сервер Internet Authentication Service (IAS) RADIUS. Windows 2000 Server SP3 підтримує клієнтів 802.1x, але не має в своєму розпорядженні IAS. Windows 2003 IAS перевіряє облікові дані, що зберігаються в AD-домені Windows 2003 або Windows 2000, локальному диспетчері облікових записів SAM сервера або домені NT. Якщо компанія набуває сертифікат для сервера RADIUS у незалежного центру сертифікації (Certificate Authority, CA) або має внутрішнє джерело сертифікатів, то необхідний ще один компонент, Microsoft Certificate Services, який можна встановити разом з IAS на одному комп'ютері Windows 2003. Навіщо потрібен CA, якщо використовуються методи аутентифікації клієнта на базі пароля, а не сертифікату? Тому що одна з вимог PEAP - наявність у сервера RADIUS сертифіката для аутентифікації сервер-клієнт. В цьому випадку Certificate Services використовується для генерації одного сертифікату для сервера IAS. На екрані 1 показані всі компоненти, що забезпечують безпеку бездротової мережі.
Для надійного захисту бездротової мережі потрібно встановити Windows 2003, потім встановити і налаштувати конфігурацію Certificate Services і IAS. Потім слід встановити бездротової вузол доступу і налаштувати його на використання RADIUS для звернень до сервера IAS в процесі обробки клієнтських запитів з'єднань. В даному прикладі використовується AirPremier Enterprise DWL-1000AP + AP компанії D-Link Systems, але багато вузлів доступу Cisco Systems, Linksys, NETGEAR і інших фірм сумісні з 802.1x. І нарешті, слід налаштувати клієнтську робочу станцію для аутентифікації в бездротовій мережі.
Установка Windows 2003
Після установки Windows 2003 в стандартні параметри необхідно внести деякі зміни. Це можна зробити негайно, якщо в процесі установки сервер вже приєднаний до домену AD. Вузли доступу повинні мати можливість відшукати сервер IAS RADIUS, тому слід переконатися, що сервера присвоєно статичний IP-адресу або його ім'я коректно оновлено о DNS (шляхом звернення до сервера з іншого комп'ютера мережі). Я вважаю за краще призначати статичні IP-адреси найважливішим серверам, таким як сервери RADIUS, так як їх відмова впливає на багатьох користувачів.
Потім слід встановити Microsoft IIS, як того вимагає служба Certificate Services. Після установки необхідно активізувати підтримку для Active Server Pages (ASP) - ще одна вимога Certificate Services. Для установки IIS потрібно запустити додаток Add / Remove Programs в панелі управління. У діалоговому вікні Add or Remove Programs слід вибрати пункт Add / Remove Windows Components. У майстра Windows Components Wizard потрібно вибрати Application Server (він же IIA) і клацнути на кнопці Details. Потім потрібно встановити прапорець Application Server Console and Internet Information Services (IIS), як показано на екрані 2. Після того як буде виділено Internet Information Services (IIS), слід клацнути на кнопці Details, щоб вибрати необхідні компоненти IIS. У діалоговому вікні Internet Information Services (IIS) потрібно відключити всі компоненти, крім Common Files, Internet Information Services Manager і World Wide Web Service. Вибравши World Wide Web Service, слід клацнути на кнопці Details, щоб вказати компоненти World Wide Web Service. У вікні World Wide Web Service потрібно виділити тільки Active Server Pages і World Wide Web Service. В процесі виконання цих операцій можна помітити, що - відповідно до нового акцентом Microsoft на безпеки - IIS не встановлюється автоматично, а після установки IIS всі компоненти з динамічним контентом, такі як ASP, блоковані. Тепер можна клацнути на кнопках OK у всіх діалогових вікнах і завершити роботу майстра Windows Components Wizard.
Після установки IIS можна встановити Certificate Services. Слід знову запустити майстер Windows Components Wizard і вибрати Certificate Services. Клацнувши на кнопці Details, можна переконатися, що виділені як Certificate Services CA, так і Certificate Services Web Enrollment Support. Завершіть роботу майстра клацанням на кнопці OK. Майстер задасть питання, на який тип CA слід налаштувати даний комп'ютер. Звичайно, необхідний корпоративний CA, який можна інтегрувати з AD, але адміністратору доведеться вибирати між Root Enterprise CA і Subordinate Enterprise CA. Якщо в даний час в домені немає корпоративного CA, то новий корпоративний CA повинен бути кореневим (root CA). Але якщо кореневої корпоративний CA вже є, то новий CA можна зробити підлеглим (subordinate) для існуючого кореневого. Використання кореневого і підлеглого CA зручно у великих структурах PKI з підвищеною безпекою, в яких прийняті спеціальні заходи для захисту CA. У даній статті розглядається простий приклад, і новий CA буде кореневим. Зазвичай після установки CA необхідно задіяти виданий їм сертифікат, щоб зареєструвати IAS-сервер, але наш IAS-сервер розташований на одному комп'ютері з Certificate Services, тому IAS може використовувати підписаний сертифікат, виданий сервером Certificate Services самому собі.
установка IAS
Тепер все готово для установки IAS. Потрібно повернутися до майстра Windows Components Wizard, вибрати пункт Networking Services і клацнути на кнопці Details. Потім слід активізувати Internet Authentication Service і завершити роботу майстра. Для настройки конфігурації IAS необхідно відкрити оснастку Internet Authentication Service консолі Microsoft Management Console (MMC) в розділі Administrative Tools. Потім натиснути правою кнопкою миші на корені в панелі з деревовидної структурою і вибрати пункт Register Server в Active Directory.
Тепер потрібно створити нову клієнтську обліковий запис RADIUS для вузла доступу. Вузол доступу буде використовувати цей обліковий запис для власної аутентифікації на сервері IAS, а потім запитувати аутентифікацію від імені бездротових клієнтів. Клацнувши правою кнопкою миші на папці RADIUS Clients в панелі з деревовидної структурою, потрібно вибрати функцію New RADIUS Client, яка відображає перше вікно майстра New RADIUS Client Wizard. Слід ввести «дружнє» ім'я вузла доступу та його IP- або DNS-адреса і клацнути на кнопці Next. Параметр Client-Vendor на наступній сторінці майстра повинен мати значення RADIUS Standard, щоб встановити зв'язок між IAS і вузлом доступу. Крім того, слід ввести складну послідовність символів в два загальних секретних поля. Секретні дані слід запам'ятати, так як цю інформацію доведеться ввести і в AP. Нарешті, потрібно встановити прапорець Request must contain the Message Authenticator attribute, щоб вимагати повної аутентифікації від клієнта RADIUS (для вузла доступу) з використанням загального секретного коду. Клацніть на кнопці Finish.
Тепер IAS-сервер готовий приймати повідомлення RADIUS з вузла доступу, але зробити це заважає одна обставина. Прийнята за замовчуванням політика Remote Access Policy (RAP) IAS-сервера автоматично відкидає спроби будь-яких клієнтів встановити з'єднання, навіть якщо у них є коректні облікові дані для аутентифікації. Тому необхідно створити нову RAP, яка надає доступ бездротовим клієнтам, які успішно пройшли аутентифікацію. В оснащенні Internet Authentication Service потрібно натиснути правою кнопкою миші на Remote Access Policies в панелі з деревовидної структурою. Потім слід вибрати New Remote Access Policy і клацнути на кнопці Next на першій сторінці майстра New Remote Access Policy Wizard. На наступній сторінці потрібно вибрати пункт Use the wizard to set up a typical policy for a common scenario, ввести ім'я для нового RAP, таке як Allow Domain Users to connect wirelessly, і клацнути на кнопці Next. На наступній сторінці слід вибрати тип доступу - Wireless - і клацнути Next.
Майстер також просить вказати, до яких груп повинен належати користувач, щоб отримати доступ через цей RAP. Можна організувати групу і ввести в неї будь-яка підмножина користувачів, яким необхідно надати бездротовий доступ. Якщо бездротовий доступ повинні мати всі користувачі домену, то слід додати групу Domain Users. Клацніть на кнопці Next.
Майстер запитає, який метод аутентифікації необхідно застосувати для цього RAP. Слід вибрати Protected EAP (PEAP) і клацнути на кнопці Configure. У діалоговому вікні Protected EAP Properties можна вибрати сертифікат, який сервер IAS повинен використовувати, щоб аутентифицировать себе на клієнтах, і дозволені типи EAP. Єдиним елементом списку EAP Types повинен бути Secure password (EAP-MSCHAP V2). Далі потрібно клацнути на кнопці Next, а потім Finish, щоб закрити вікно майстра.
Налаштування конфігурації вузла доступу
Тепер можна приступити до установки вузла доступу. Це одна з найпростіших операцій, так як вузол доступу не приймає участі в обміні 802.1x, а лише виконує роль посередника. Конкретні кроки для настройки вузла доступу - різні для різних продуктів, але у всіх моделях налаштовуються одні і ті ж параметри. Вузол доступу необхідно налаштувати на використання 802.1x і надати IP-адреса сервера RADIUS, а також ввести загальний секретний код, раніше введений в клієнтську обліковий запис вузла доступу в сервері RADIUS. У моєму випадку я виконав ці операції на пристрої D-Link AirPremier Enterprise DWL-1000AP +.
Передбачається, що вузлу доступу вже присвоєні статичний IP-адресу, призначений при створенні клієнтської облікового запису AP на сервері IAS, Service Set Identifier (SSID), і пароль адміністратора, тому основна увага буде зосереджена на параметрах 802.1x. Не потрібно налаштовувати ключі шифрування WEP на вузлі доступу, так як проблема WEP вирішується стандартом 802.1x. Але доводиться призначати інші параметри шифрування вузла доступу, такі як довжина і термін дії ключа. Відкривши браузер і зареєструвавшись на вузлі доступу, я вибрав вкладку Advanced (екран 3). Все, що потрібно зробити, - це ввести IP-адресу сервера IAS і загальний секретний код, вказаний при створенні клієнтської облікового запису вузла доступу в IAS. Порту присвоєно стандартний номер 1812. Я можу вказати другий сервер RADIUS (IAS). Завдяки цій можливості, реалізованої в більшості вузлів доступу, можна побудувати отказоустойчивую бездротову мережу. Більш докладно про це розказано в урізанні «Організація відмовостійкої мережі». Нарешті, я клацнув на кнопці Apply, щоб зберегти зміни. Після того як вузол доступу перезавантажиться з новими параметрами, підключитися до мережі зможуть тільки користувачі, які успішно пройшли аутентифікацію на сервері IAS.
Перш ніж намагатися встановити з'єднання з бездротовою мережею з робочої станції, слід переконатися, що обліковий запис користувача AD налаштована на визначення RAP сервером IAS. В оснащенні Active Directory Users and Computers консолі MMC слід знайти обліковий запис користувача, відкрити діалогове вікно Properties і вибрати вкладку Dial-in. Параметру Remote Access Permission має бути присвоєно значення Control access through Remote Access Policy (екран 4). Бездротова мережа буде успішно працювати, якщо обраний режим Allow access, але функція Control access through Remote Access Policy забезпечує набагато більш тонке управління і спрощує обслуговування. Параметр Remote Access Permission визначає різні типи віддаленого доступу (по телефонній лінії, VPN, бездротової), і не завжди розумно вирішувати користувачеві всі типи віддаленого доступу. У режимі Control access through Remote Access Policy можна налаштувати політики RAP, подібні створеної нами раніше на сервері IAS, які будуть керувати кожним типом віддаленого доступу через членство в групах та інші параметри. Потім, коли користувач намагається підключитися до бездротової мережі, вузол доступу направляє запит IAS-сервера. IAS-сервер порівнює ім'я користувача і пароль з даними, що зберігаються в AD, перевіряє, чи належить користувач до групи, зазначеної в RAP, і відповідає вузлу доступу. IAS-сервер передає вузлу доступу команду надати доступ до мережі тільки користувачеві, який має дійсні облікові дані, відповідає критеріям, встановленим у RAP, а в його облікового запису AD немає явного заборони на віддалений доступ.
Налаштування РОБОЧОЇ станції
Щоб налаштувати бездротове мережеве з'єднання робочої станції на аутентифікацію з використанням 802.1x і PEAP, необхідна операційна система XP з пакетом виправлень SP1 або Windows 2000 з клієнтом Microsoft 802.1x Authentication Client for Windows 2000, який можна завантажити за адресою http://www.microsoft.com/windows2000/ server / evaluation / news / bulletins / 8021xclient.asp . Володарі контрактів Microsoft Premier and Alliance Support можуть отримати клієнтів 802.1x для NT і Windows 98. Робоча станція не обов'язково повинна бути членом домену, хоча це спрощує процес підключення, як пояснюється нижче.
В утиліті Network Connections панелі управління слід відкрити діалогове вікно Properties бездротового підключення до мережі і перейти до вкладки Wireless Networks. В поле із списком в розділі Available networks повинен бути вказаний SSID для щойно створеного вузла доступу. Слід вибрати його і клацнути на кнопці Configure, щоб відкрити діалогове вікно Wireless network properties. На вкладці Association потрібно вибрати Open в поле Network Authentication і WEP в поле Data encryption, встановити режим The key is provided for me automatically (так як надання ключа - одна з основних функцій 802.1x) і скинути прапорець This is a computer-to-computer (ad hoc) network; wireless access points are not used.
Потім потрібно перейти до вкладки Authentication (екран 5). Слід встановити прапорець Enable IEEE 802.1x authentication for this network і вибрати тип EAP - Protected EAP (PEAP). Решта два прапорці потрібно скинути. Перший з них, Authenticate as computer when computer information is available, застосуємо, тільки якщо замість сертифікатів використовується PEAP. Щоб вивести на екран діалогове вікно Protected EAP Properties, необхідно клацнути на кнопці Properties. В цьому вікні можна вибрати різні режими. За допомогою прапорця Validate server certificate можна налаштувати клієнта на підключення до бездротової мережі тільки після успішної перевірки сертифіката IAS-сервера. Це надійний захист від помилкових вузлів доступу, які зломщик може розташувати поруч з бездротовою мережею, але при цьому потрібно імпортувати сертифікат кореневого CA в сховище Trusted Root Certification Authorities робочої станції, що збільшує обсяг роботи, необхідний для установки кожного клієнта. Якщо не перевіряти сертифікати, то хакерам надається можливість встановити помилкові вузли доступу, але MSCHAP v2 забезпечує взаємну аутентифікацію (як клієнт, так і сервер повинні пред'явити вірний пароль). Для даного прикладу я скинув прапорець Validate server certificate.
У спадному поле Select Authentication Method діалогового вікна Protected EAP Properties слід вказати Secured password (MSCHAPv2) і клацнути на кнопці Configure. На екрані з'явиться діалогове вікно EAP MSCHAPv2 Properties. І знову адміністратору надається вибір. Стандартний режим - Automatically use my Windows logon name and password (and domain if any). У цьому випадку робоча станція буде використовувати будь-яке ім'я користувача та пароль, введені при реєстрації користувача на робочій станції, а також ім'я домену, якщо користувач зареєструвався з обліковим записом домену. Для користувачів, які не мають облікового запису в тому ж домені, де розташований сервер IAS (або довірений домен), слід скинути цей прапорець. Якщо прапорець скинутий і користувач намагається підключитися до мережі, то на екрані робочої станції спливає запрошення ввести облікові дані. Слід також скинути цей прапорець на комп'ютері відвідувача, якому потрібно звернутися до бездротової мережі. Для відвідувача можна створити тимчасову обліковий запис, який забезпечує тільки доступ до мережі.
Після цього потрібно клацнути на кнопках OK у всіх діалогових вікнах. Через кілька секунд робоча станція запросить облікові дані. Якщо вони введені правильно, то можна звернутися до мережі. Якщо отримати доступ не вдається, слід перевірити, чи отримала робоча станція IP-адреса з DHCP-сервера. Якщо отримано звістку про невдалу реєстрації, перевірте наявність повідомлень про джерело IAS в журналі System на сервері IAS. Вони можуть стати в нагоді для діагностики проблем RADIUS.
Справу Зроблено!
Отже, за допомогою однієї системи Windows 2003, вузла доступу 802.1x, існуючого домену AD і робочих станцій XP, Windows 2000, NT або Windows 98 побудована надійно захищена бездротова мережа. PEAP дозволяє застосовувати існуючі облікові записи користувачів AD для управління доступом до мережі і відмовитися від створення додаткових облікових записів для кожного користувача або розгортання великої інфраструктури PKI. Стандарт 802.1x усуває властиві WEP недоліки, які проявляються при роботі з ключами шифрування. Після початкової установки IAS і вузла доступу потрібно лише активізувати механізм аутентифікації 802.1x на клієнтських робочих станціях. Після цього всі співробітники компанії зможуть користуватися перевагами бездротових мереж, не турбуючись про інформаційному захисті.
Ренді Франклін Сміт - редактор Windows & .NET Magazine і президент компанії Monterey Technology Group, яка займається навчанням і консалтингом в області захисту Windows NT. Зв'язатися з ним можна за адресою: [email protected]
альтернатива WPA
Специфікація Wi-Fi Protected Access (WPA) усуває слабкі місця стандарту 802.11. WPA - проміжне рішення, яке використовується постачальниками бездротового обладнання до тих пір, поки не буде ратифікований «старший брат» - 802.11i. І WPA, і 802.11i повинні усунути недоліки управління ключами і аутентифікації 802.11.
В 802.11 аутентифікація бездротовими клієнтами 802.1x необов'язкова, але WPA вимагає 802.1x. В WPA існує два типи аутентифікатор. Для більшої безпеки аутентифікатором повинен бути сервер Remote Authentication Dial-In User Service (RADIUS) з протоколом Extensible Authentication Protocol (EAP). Але в малих мережах допускається використання в якості аутентифікатора локального бездротового вузла доступу. В цьому випадку бездротової вузол доступу використовує секретну фразу, яку треба зберегти в кожному бездротовому вузлі доступу і клієнтському комп'ютері. Працювати з секретними фразами WPA простіше, ніж із заздалегідь переданими (preshared) ключами WEP, так як кожен виробник працює з заздалегідь переданими ключами WEP по-різному: деякі вимагають вводити ключ в шістнадцятковому форматі, інші як пароль і т. Д. В результаті буває складніше налагодити взаємодію бездротових компонентів. WPA вимагає від виробників єдиного підходу до секретних фразам. Однак секретні фрази WPA можуть стати причиною виникнення вразливих місць, якщо не використовувати різноманітні випадкові символи і не встановити довжину фраз рівній принаймні 20 символів.
У стандартах, що існували до WPA (наприклад, 802.11 з 802.1x), групові (зокрема, multicast - потоковий контент) і широкомовні пакети не отримували переваг від зміни ключа шифрування після певного числа пакетів. В WPA цей метод приносить відчутну вигоду. Крім того, міняти ключі при передачі даних тільки одному одержувачу необов'язково. З метою безпеки WPA вимагає регулярної зміни ключів при широкомовної, групової та індивідуальної передачі.
Щоб вирішити інші проблеми, пов'язані з WEP-шифруванням 802.11, розробники WPA замінили WEP протоколом TKIP (Temporal Key Integrity Protocol - цілісність тимчасових ключів) з більш широкими можливостями управління ключами. Щоб усунути недоліки алгоритму перевірки цілісності WEP і 802.11, в WPA був реалізований новий метод під назвою Michael, в якому старий 32-розрядний параметр перевірки цілісності (Integrity Check Value, ICV) замінений на 64-розрядний код цілісності повідомлення Message Integrity Code (MIC) і новий лічильник кадрів для боротьби з атаками replay (зломщик записує облікові дані і відтворює їх, щоб отримати доступ). Ще одне важливе нововведення WPA - факультативна підтримка стандарту шифрування AES (Advanced Encryption Standard).
Більшості компаній не буде потрібно купувати нові апаратні засоби для переходу на WPA. Такі постачальники бездротових вузлів доступу, як D-Link Systems, Linksys і Cisco Systems, вже пропонують модернізовані вбудовані програми для своїх бездротових вузлів доступу. Споживачі можуть завантажити їх з мережі, а потім записати в пам'ять вузла доступу. Щоб спростити перехід на WPA, WPA-сумісні бездротові вузли доступу тимчасово підтримують змішану середу з клієнтів WPA і 802.11. Мережеві адаптери Wi-Fi з оновленими драйверами підтримують WPA. Поки зі специфікацією WPA сумісні тільки дві версії Windows - Windows Server 2003 і Windows XP, і споживачам доводиться встановлювати пакет WPA Wireless Security Update. Щоб отримати більш детальну інформацію про WPA і завантажити WPA Wireless Security Update для XP, прочитайте статтю Microsoft «Overview of the WPA Wireless Security Update in Windows XP» ( http://support.microsoft.com/?kbid=815485 ).
Організація відмовостійкої мережі
Не так уже й складно організувати отказоустойчивую бездротову мережу, користувачі якої зможуть працювати, незважаючи на відмови компонентів та подавати живлення. Налаштувавши другий сервер IAS (Internet Authentication Service - служба аутентифікації Internet), можна гарантувати, що бездротові клієнти зможуть підключитися до мережі, навіть якщо відмовить основний сервер IAS. Установка другого сервера IAS зводиться до установки IAS на другому сервері і копіювання конфігурації з першого IAS-сервера на другий з допомогою команди Netsh. Але щоб забезпечити справжню надмірність в бездротової мережі, необхідний другий вузол доступу і принаймні два контролера домену (DC), так як IAS виконує аутентифікацію, порівнюючи облікові дані з даними, що зберігаються в AD. Мережного комутатора знадобиться резерв, і всі вузли доступу, мережеві комутатори і сервери необхідно підключити до джерел безперебійного живлення. При наявності такого обладнання користувачі портативних комп'ютерів зможуть продовжувати працювати і звертатися до мережі по бездротових каналах навіть в разі відмови будь-якого мережевого компонента і відключення живлення.
2003. Навіщо потрібен CA, якщо використовуються методи аутентифікації клієнта на базі пароля, а не сертифікату?Com/?