Wireless Authentication using Microsoft IAS Server

8/7/2019 Wireless Authentication using Microsoft IAS Server

1/59

Autentificare Wireless utiliznd Microsoft IAS Server

1. Introducere

Crearea unei reele wireless (fr fir) ce ofer o siguran maxim este unproces destul de complicat. Dac reeaua necesit autentificarea fiecrui utilizator nparte, ceea ce este recomandat pentru ntreprinderile mari i mijlocii, atunci vei avea

nevoie de protocoalele AAA (Authentication, Authorization, Accounting).Autentificarea (Authentication) se refer la procesul de autentificare aunei identiti, ce are loc, de obicei, prin furnizarea unui anumit set de dovezi,cum ar fi un cod de identificare i acreditrile corespunztoare.

Autorizarea (Authorization) determin dac identitatea autentificat esteautorizat s efectueze anumite activiti. Autorizaia poate fi determinat de oserie de restricii, de exemplu, restricii pe timp de zi.

Audit (Accounting) se refer la urmrirea traficului de reea de ctreutilizatori.

n reelele wireless din zilele noastre, acestea, sunt caracteristice generale aleunui RADIUS (Remote Authentication Dial-in User Service) Server.

Dup ce am stabilit c avem nevoie de un RADIUS Server, urmtorul pasconst n cutarea unei soluii. La moment, exist mai multe opiuni disponibile

pentru consumatorii de toate tipurile, de la soluii gratuite, cum ar fi FreeRADIUS,pn la soluii ce necesit procurarea unei licene i o administrare cu mult maicomplicat .

Cu toate acestea, ceea ce muli oameni nu i dau seama este c ei pot aveadeja un RADIUS Server complet funcional, uor de configurat i cu o licen ce nunecesit costuri adugtoare. Soluia este Windows 2003 Server, care implementeazRADIUS Serverul prin IAS (Serviciul de Internet Autentificare) care furnizeazAAA.

Un alt beneficiu care l ofer Windows Server 2003 este faptul c el suportcriptarea AES, necesar pentru securizarea datelor transmise, ceea ce nu implic altecosturi adiionale pentru crearea reelei fr fir bazate pe standardul 802.11x.

Beneficiul major care l ofer Windows 2003 Server este faptul c el poate ficonfigurat ca o Autoritate de Certificate. Aceasta nseamn c el poate fi configurat

pentru a genera certificate, care cresc securitatea reelei, dar care trebuie s fie n lista

de certificate aprobate ale clientului wireless.

Astfel utiliznd funciile Windows Server 2003, noi am realizat autentificareareciproc a serverului i staiei de lucru (clientului wireless) cu utilizatorul prinintermediului procesului de autentificare a utilizatorilor pe Domain (cu ajutorulferestrei Enter Credentials).

Pagina 1 din 59


2/59


2. Procesul de Autentificare

ntr-o reea wireless cu 802.1x, un utilizator sau un calculator (denumit ncontinuare client wireless) solicit accesul la un Access Point, pentru a deveni cliental reelei. Astfel, clientul wireless transmite o cerere de conectare ctre Access Point.

La primirea cererii, Access Pointul returneaz un mesaj prin care cere datele deindentificare utilizatorului (identitii). Clientul wireless ntoarce datele de identificareale utilizatorului, prin intermediul ferestrei de autentificare, care transmite datele,criptate, spre verificare catre RADIUS Server, care utilizeaz diferite certificate i

politici de verificare a identitii utilizatorului (care este nregistrat n prealabil nActive Directory). Dup verificarea identitii utilizatorului, Serverul returneaz unmesaj prin care anun dac el a autorizat sau nu accesul clientului la reeaua wirelessi astfel traficul de reea poate ncepe sau nu. Schematic, acest process este ilustrat nimaginea de mai jos.

3. Hardware-ul i Software-ul NecesarPagina 2 din 59


3/59


1. CD-ul cu Windows Server 2003 Entreprise Edition ( liceniat)

2. Un PC pe care vom instala Windows 2003 Server cu urmtoarele

caracteristici minime:

1 GB RAM

40 GB HDD

Procesor de 2 GHz

Video Cartel 256 MB

3. Access Point care suport tehnologia 802.11x i tipul de criptare WEP(AES)

4. Fir de reea UTP (categoria 5e)

5. Clieni cu cartel de reea wireless care suport WEP (AES)

6. Aplicaia Wifi Signal Strength pentru a testa semnalul reelei Wireless.

Pagina 3 din 59


4/59


4. Instalare Windows Server 2003

nainte de a introduce cd-ul n unitatea optic, verificai dac n BIOS la BootDevice Priority prima este setat unitatea optic (CD) apoi unitatea de disc (HDD).

Dup ce ai introdus cd-ul cu sistemul de operare Windows Server 2003Entreprise Edition va ncepe procesul de instalare.

Pagina 4 din 59


5/59


Tastai Enter.

Tastai F8.

Tastai Cpentru a crea o partiie nou.

Pagina 5 din 59


6/59


7/59


Dup ce ai creat partiia, trebuie s o formatai. Alegei tipul de formatareNTFS. Tastai Enter i apoi va ncepe procesul de formatare.

Pagina 7 din 59


8/59


Dup ce s-a formatat partiia i s-au copiat fiierele pentru instalare, se va faceun restart al calculatorului i va ncepe instalarea sistemului de operare propriu-zis .

Pagina 8 din 59


9/59


Tastai Nextpentru a seta opiunile.

Introducei key-ul i apsai Next.

Pagina 9 din 59


10/59


Selectai Per Server itastai Next.

Setai numele calculatorului i parola administratorului, apoi tastai Next.

Pagina 10 din 59


11/59


Setai data i timpul, apoi tastai Next.

Instalarea a luat sfrit. Este necesar de a descrca toate update-urile de pe site-ul official pentru a evita ulterioare erori n procesul de configurare al Serverului.

Pagina 11 din 59


12/59


5. Configurare Windows Server 2003

Dup instalare, la pornirea sistemului de operare Windows Server 2003 sedeschide fereastra Manage your Server. Ea poate fi deschis i din meniul Start ->Manage Your Server. Alegei Add or remove a role.

Va aprea urmatoarea fereastr n caz c nu avei un cablu de reea conectat lacalculator sau setrile conexiunilor de reea sunt incorecte. Selectai Continue i maitrziu facei schimbrile necesare legate de reea.

Pagina 12 din 59


13/59


Selectai Custom Configuration i tastai Next.

Selectai Domain Controller i alegei Next.

Pagina 13 din 59


14/59


Selectai Next.

Selectai Next.Pagina 14 din 59


15/59


Selectai Domain Controller for a new domain, apoi Next.

Selectai Domain in a new Forest. Tastai Next.

Pagina 15 din 59


16/59


Pentru a configura DNS selectai opiunea a II-a.

Scriei DNS Name. n cazul nostru am ales wificfbc.com .

Pagina 16 din 59


17/59


Selectai Netbios Name.

Alegei locaia pentru stocarea bazei de date din Active Directory. SelectaiNext.

Pagina 17 din 59


18/59


Selectai locaia pentru mapa SYSVOL. Selectai Next.

Selectai Next.

Pagina 18 din 59


19/59


Setai parola. Selectai Next.

Aici sunt afiate toate configurrile pentru Active Directory, dac suntei deacord selectai Next, ns dac dorii s modificai ceva, selectai Back.

Pagina 19 din 59


20/59


Introducei CD-ul nr. 1 cu sistemul de operare Windows Server 2003.

Pagina 20 din 59


21/59


Selectai Proprieties.

Trebuie s configurai adresele IP apoi tastai OK.

Pagina 21 din 59


22/59


Selectai Finish.Pagina 22 din 59


23/59


Selectai Restart Now.

Dup restartare va aprea urmatoarea fereastra, dup care trebuie s selectaiFinish.

Acum Serverul are rolul de DNS i Domain Controller.

Pagina 23 din 59


24/59


Pentru a instala Autoritatea de certificate i IAS, intrai n Control Panel->Add remove Programs-> Add remove Windows Components.

Selectai Certificate Services, Network Services details->InternetAuthentication Service.Selectai Next.

Pagina 24 din 59


25/59


Pagina 25 din 59


26/59


27/59


Bifai Store configuration information in a shared folder, apoi alegeilocaia pentru a salva certificatul. Din aceast map trebuie s selectai apoicertificatul i s-l importai pe calculatorul clienilor. (Vedei Configurare Client).Selectai Next.

Odat ce avei certificatul instalat, este timpul de a configura Clientul Radius.Acum facei urmtorii pai -> Start, Programs, Administrative Tools, InternetAuthentication Service.

Pagina 27 din 59


28/59


Facei click dreapta i selectai New RADIUS Client.

Pagina 28 din 59


29/59


Introducei Friendly name i IP adresa a acces pointului. Apoi selectai Next.

Selectai RADIUS Standard din lista Client-Vendor. Setai parola (caretrebuie s coincid i pe Acces Point) i apoi cofirmai-o. Bifai urmtorul mesaj. Selectai Finish.

Pagina 29 din 59


30/59


TastaiRemote Access Logging i facei dublu click la Local File.

Bifai urmtoarele opiuni din fereastra deschis i tastai OK.

Pagina 30 din 59


31/59


Dac alegei Log File putei face schimbrile necesare legate de stocarea dedate a logrilor.

Tastai click dreapta pe Remote Access Policies i selectai New RemoteAccess Policy.

Pagina 31 din 59


32/59


Selectai Next.

Selectai Next. Selectai primul rnd, i introducei Policy name apoi selectaiNext.

Selectai Wireless i apoi selectai Next.

Pagina 32 din 59


33/59


Selectai User apoi selectai Next.

Pagina 33 din 59


34/59


Selectai EAP type 'Protected EAP (PEAP)'.

Facei click pe Configure.

Asigurai-v c ai ales certificatul corect. Bifai Enable Fast Reconnect. Selectaithe Eap Type 'Secured password (EAP-MSCHAPv2)' i tastai Edit. Ajustaiopiunele dorite.

Pagina 34 din 59


35/59


Tastai OK, OK, Next, Finish.

Dup ce ai fcut toate configurriel necesare, facei click dreapta pe IAS, selectaiRegister Server in Active Directory.

La acest punct Radius Serverul este setat i este gata s accepte cererile pentruconexiune.

Pagina 35 din 59


36/59


37/59


n fereastra care a aprut vei indica datele despre utilizator, i vei defini unnume de utilizator, apoi vei tasta Next.

n urmtoarea fereastr vei indica parola, i vei scoate toate bifele de peselecii, continund procesul cu Next:

Pagina 37 din 59


38/59


Procesul de creare va fi ncheiat prin apsarea butonului Finish.

Pentru a-i garanta utilizatorului dreptul de a intra n reea, vei efectua urmtoriipai:

[nume utilizator]>Properties>Dial-In>Allow access>OK

Pagina 38 din 59


39/59


Pagina 39 din 59


40/59


7. Configurarea Access Point-ului

Access point-ul folosit n aceast lucrare este Linksys WRT150N HomeRouter. Pentru a-l configura, el trebuie resetat, apoi trebuie conectat la calculator princablu cross-over. Configurrile AP-ului se fac prin intermediului browserului web.

Adresa IP de baz a AP-ului, dup resetare, este 192.168.1.1 (pentru AP-ul folosit ncazul nsotru), iar numele de utilizator admin i parola admin. Ele pot fimodificate mai trziu, la dorin, dac dorii o securitatea mai mare a reelei. nfereastra Basic setup vei efectua urmtoarele modificri (conturate):

Urmtorul pas va fi setarea numelui reelei (SSID), n fereastra Wireless->Basic Wireless Settings:

Pagina 40 din 59


41/59


Dup ce ai setat SSID-ul vei indica tipurile de securitate i criptare, apoi iadresa IP a serverului RADIUS, n fereastra Wireless>Wireless security:

Dup ce au fost indicate toate modificrile, ele vor fi salvate apsnd butonulSave Settings. Access Point-ul este pregtit pentru a primi cererile de conectare lareea.

8. Configurare ClientPagina 41 din 59


42/59


Windows Seven

Pentru a avea acces la reea utilizatorul trebuie s instaleze certificatul eliberatde server (mapa n care se afl o vedei n seciunea Configurare Windows) pe

calculatorul propriu. Copiai certificatul pe un CD sau un Flash Usb i apoi l instalai.Acest lucru se face n felul urmtor:

Bifai mapa Trusted Root Certification Authorities apoi alegei OKpentru cacertificatul s devin vizibil n lista de certificate aprobate de ctre client. Apoialegei opiunile indicate i Next.

Pagina 42 din 59


43/59


Procesul va fi ncheiat apsnd butonul Finish.

Pagina 43 din 59


44/59


Dup ce reeaua a fost adugat n lista de reele (lucru ce variaz foarte mult ladiferite sisteme de operare), n fereastra properties se vor aplica urmtoarele setri.

n caz c reeaua nu a fost adugat n mod automat, ea poate fi adugat imanual.

Pagina 44 din 59


45/59


Dup ce am instalat certificatul i am configurat setrile clientului, ne putemconecta la reea:

Pagina 45 din 59


46/59


47/59


Windows Xp

Instalai certificatul fcnd double click pe certificatul importat. Apoi click peInstall Certificate.

Pagina 47 din 59


48/59


49/59


n urmtoarea fereasrt care va aparea selectai Trusted Root CertificationAuthorities.

Facei click pe OK.Apoi alegei Next.

Pagina 49 din 59


50/59


Alegei Finish.Certificatul a fost instalat cu succes. Alegei OK.

Pagina 50 din 59


51/59


Acum dupa ce ai instalat certificatul, urmeaz s configurai cartela de reeawireless.

nainte de a ncepe configurarea asigurai-v c cartela de reea e pornit. Alegei Refresh pentru a identifica reeaua wifi, apoi alegei Change advanced

settings.

n urmtoarea fereastr selectai Wireless Networks. Apoi alegei Properties.

Pagina 51 din 59


52/59


Selectai la Network Authentication - WPA i la Data encryption - AES.

Pagina 52 din 59


53/59


54/59


Selectai Configure. Debifai opiunea Automatically use my Windows logonname and password (and domain if any). Selectai OK.

Acum dup ce ai terminat de configurat selectai OKpentru a se salva setrilefcute.

Pagina 54 din 59


55/59


Pentru a v conecta la reea, selectai Connect.

Facei click pe mesajul ce va aprea.

Pagina 55 din 59


56/59


Introducei numele de utilizator i parola, apoi alegei OK.

Pagina 56 din 59


57/59


Acum suntei conectat la reeaua wireless.

Pagina 57 din 59


58/59


Linux Ubuntu 10.04.

Pornii cartela de reea wireless., apoi mergei la System->Preferences->Network Connections. n urmtoarea fereastr selectai Wireless, apoi alegei Edit.

Selectai Wireless Security i configurai conform imaginii de mai jos. La CAcertificate: indicai calea ctre certificat. Apoi selectai Apply.

Pagina 58 din 59


59/59


n seciunea IPv4 Settings selectai Automatic DHCP.

Acum suntei conectat la reeaua wireless.

Documents

Wireless Authentication using Microsoft IAS Server