В беспроводных сетях применяются два способа проверки пользователей и устройств при их подключении. Первый - это проверка MAC-адресов устройств, подключаемых к данной точке доступа. В этом случае администратор вручную должен настроить для каждой точки доступа соответствующий список MAC-адресов устройств, которым разрешено беспроводное подключение.

Способ не может считаться безопасным, поскольку МАС-адреса легко определяются при прослушивании беспроводного сегмента, а "подмена" MAC-адреса не представляет никакой сложности даже для не совсем опытного пользователя.

Второй способ основан на протоколе двухточечного соединения с надежной аутентификацией - EAP (Extensible Authentication Protocol). Для предприятий следует рекомендовать аутентификацию на основе стандарта 802.1x с использованием сервера RADIUS.

Наиболее безопасен способ, при котором для аутентификации вместо паролей используются сертификаты. Однако он требует наличия на предприятии настроенной системы PKI (Public Key Infrastructure, инфраструктура открытых ключей) (см. главу 9). Настройка беспроводных устройств для аутентификации с использованием сертификатов по протоколу 802.1x практически идентична примеру, описанному в главе 9 в разд. "Настройка протокола 802.1х”. Единственное отличие заключается в выборе шаблона политики, используемой на сервере RADIUS (рис. 3.9).

Создание политики RADIUS-сервера для беспроводной сети

Рис. 3.9. Создание политики RADIUS-сервера для беспроводной сети.

При создании политики удаленного доступа для сервера RADIUS должен быть выбран шаблон Беспроводной доступ Примечание

При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть подключены к нему по беспроводной сети, поскольку на них не установлены необходимые сертификаты. Вам следует либо заранее осуществить подсоединение компьютера к домену с помощью проводной сети, либо настроить особую политику для временного подключения гостевых записей (введя в этом случае временные ограничения сессии в политике подключения сервера RADIUS). При краткосрочном подключении к сети клиент получит сертификат и в дальнейшем будет работать в соответствии с постоянной политикой беспроводного доступа.

Шифрование трафика беспроводной сети | Самоучитель системного администратора | Безопасность клиента


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31