Connexion sans fil de sécurité
Menaces pour la sécurité du réseau sans fil
Les réseaux sans fil n'ont pas intégré la sécurité physique des réseaux filaires, et sont malheureusement plus vulnérable à des attaques contre les intrus. Une fois acquise l'accès non autorisé au réseau sans fil, l'intrus aurait la possibilité d'accéder facilement aux ressources de l'entreprise, un réseau interne. Pour compliquer les choses, il existe de nombreux outils qui les attaquants pourront utiliser afin de détecter et de se connecter à un réseau sans fil, ce qui abuse d'un réseau sans fil pas une tâche complexe.
Les types d'attaques que les réseaux sans fil sont vulnérables sont énumérés ci-dessous:
- Eavesdropping: Au cours de cette attaque, l'intrus tente de capturer le trafic quand il est transmis sans fil à partir de l'ordinateur vers le point d'accès sans fil (WAP).
- Masquerading: Ici, l'intrus mascarades autorisé sans fil comme un utilisateur à accéder aux ressources du réseau ou des services.
- Denial of service (DoS): L'intrus tente d'empêcher les utilisateurs autorisés sans fil d'accéder à des ressources réseau à l'aide d'un transmetteur sans fil pour bloquer les fréquences.
- Man-in-the-middle attaque: Si un intrus lance avec succès un man-in-the-middle attaque, l'attaquant peut être capable de rejouer, et de modifier les communications sans fil.
- Les attaques à des clients sans fil: L'attaquant commence une attaque réseau sans fil à l'ordinateur qui est connecté à un réseau sans fil non sécurisé.
Pour obtenir les réseaux sans fil et des connexions sans fil, les administrateurs peuvent exiger que toutes les communications sans fil d'être authentifiées et chiffrées. Il existe un certain nombre de technologies de sécurité sans fil qui peut être utilisé pour protéger les réseaux sans fil des différents types d'attaques qu'il est vulnérable à. Le plus commun des technologies utilisées pour protéger les réseaux sans fil contre les menaces de sécurité sont les suivants:
Wired Equivalent Privacy (WEP) Vue d'ensemble
Wired Equivalent Privacy (WEP) est un protocole de sécurité sans fil qui utilise une clé partagée, pour chiffrer le trafic avant d'être transmis. L'algorithme de cryptage utilisé par le WEP est un algorithme de chiffrement RC4, qui est un flux de chiffrement. L'authentification par clé partagée permet la communication sans fil pour être chiffré et déchiffré. La norme IEEE 802.11 définit WEP pour assurer la protection de l'espionnage occasionnel. Qu'est-ce que cela signifie, c'est que le WEP est conçu pour fournir la confidentialité des données.
WEP ne fonctionne pas bien, où de hauts niveaux de sécurité sont nécessaires. L'authentification, contrôle d'accès et de réseaux privés virtuels doivent être utilisés là où des niveaux élevés de sécurité sont nécessaires. La raison en est que le secret partagé du WEP peut facilement être découvert par l'analyse capturé le trafic sans fil. En effet, de nombreux outils existent facilement accessibles qui peuvent être utilisés pour déchiffrer le cryptage WEP et de capturer et d'analyser le trafic sans fil.
Toutefois, si le WEP est utilisé correctement, il peut fournir un certain degré de sécurité. Il s'agirait de:
- Activation de suffisamment de chiffrement dans la mesure du possible.
- De ne pas utiliser les options par défaut WEP.
- Mise en œuvre rigoureuse des processus de gestion des clés.
Pour assurer une protection contre l'espionnage occasionnel, il ya un certain nombre d'options qui WEP fournit, y compris les suivantes:
- 64-bit: Ici, la longueur de la clé de chiffrement définit le degré de cryptage qui est prévue pour assurer les transmissions.
- 128-bits: 128-bits offre une plus grande sécurité que les 64-bits.
- Pas de chiffrement: WEP Quand est configuré avec l'option de cryptage Non, toutes les transmissions sont envoyées en texte clair.
Comme mentionné précédemment, l'algorithme de chiffrement utilisé par le WEP est un algorithme de chiffrement RC4, qui est un flux de chiffrement. Le flux de chiffrement est utilisé par l'émetteur et le récepteur pseudo-aléatoire pour créer des chaînes de caractères de la clé partagée.
Le processus qui se produit lorsque le WEP est utilisé pour assurer les transmissions est expliqué ci-dessous:
- Le message clair est transmis par l'intermédiaire du CRC-32 algorithme de contrôle d'intégrité pour générer la valeur de contrôle d'intégrité (ICV).
- La valeur de contrôle d'intégrité (ICV) est alors ajouté à la fin du message en clair.
- The random 24-bit vecteur d'initialisation (IV) est produit à côté, puis il est ajouté au début de la clé secrète.
- The random 24-bit vecteur d'initialisation (IV) est utilisé dans l'algorithme (KSA) de créer une valeur pour le WEP générateur pseudo-aléatoire (PRNG).
- Le WEP PRNG produit le cryptage de flux de chiffrement.
- Le cryptage est XOR'ed stream cipher avec le message pour créer le texte chiffré WEP.
- Le texte chiffré WEP est ajoutée à la prochaine IV, et est ensuite encapsulé et envoyé.
- Chaque cadre utilise une nouvelle IV, ce qui signifie que la clé RC4 est une valeur différente.
Quelques avantages de l'utilisation du WEP pour empêcher les intrus de l'examen de trafic d'être transmis entre les AP et les clients sont résumées ci-dessous:
- WEP est facile à mettre en œuvre. Il vous suffit de configurer la clé de cryptage sur les AP et vos clients.
- WEP peut fournir une sécurité de base pour les applications WLAN.
- Transmission de confidentialité est assurée par le cryptage RC4. Cela signifie que la clé secrète partagée est utilisée pour le décryptage.
- Transmission d'intégrité est assurée par le CRC-32 de contrôle.
Les principaux inconvénients liés à l'utilisation de WEP sont:
- WEP est faible cryptographie. Il a été prouvé que le secret partagé utilisé par WEP peut facilement être découvert par l'analyse de trafic capturé.
- Pour fournir la sécurité WLAN, WEP est insuffisante. Vous devez l'utiliser avec une autre technologie.
- Vous devez veiller à ce que le WEP est mise en oeuvre de tous les AP et sur tous les clients à son fonctionnement.
- WEP est difficile à gérer car il ne prévoit aucun mécanisme pour changer le secret partagé. Si vous souhaitez modifier la clé secrète, toutes les AP et tous les clients doivent être à la fois changé.
Les normes WEP fournir les types suivants de deux méthodes d'authentification:
- Open d'authentification: l'authentification Open ne propose aucune authentification de l'utilisateur. Tout client peut se connecter sans fournir de mot de passe et toutes les demandes sont acceptés.
- L'authentification par clé partagée: les clients sans fil sont nécessaires pour authentifier par le biais d'un secret partagé. L'authentification par clé partagée rend l'utilisation de mécanismes cryptographiques utilisés par les PME pour l'authentification. Le processus qui se produit lorsque l'authentification par clé partagée est utilisée est décrite ci-dessous:
- Le client ou le demandeur transmet une demande de connexion.
- L'AP ou authentificateur reçoit la requête et génère ensuite un défi aléatoire texte.
- L'authentificateur envoie le texte au hasard défi pour le client.
- Lorsque le client reçoit le hasard défi texte, le client utilise une clé secrète pour chiffrer le texte défi.
- Le client retourne le texte cryptée défi de l'authentificateur.
- Lorsque l'authentification cryptée reçoit le défi texte, il décrypte le défi de texte, puis compare le décryptage de l'original.
- Le client est authentifié, si un match a lieu.
Comment faire pour activer le WEP
- Cliquez sur Démarrer, Panneau de configuration, puis cliquez sur Connexions réseau.
- Recherchez et double-cliquez sur la connexion sans fil.
- Cliquez sur le bouton Avancé.
- Cliquez sur l'onglet Réseaux sans fil.
- Sélectionnez l'option Utiliser Windows pour configurer mon réseau sans fil option.
- Choisissez un SSID de la liste des réseaux disponibles.
- Cliquez sur Configurer.
- Vérifiez que le SSID est correct sur l'onglet Association.
- Activez le cryptage des données (WEP activé) case à cocher.
- Pour fermer les boîtes de dialogue que vous avez ouvert, cliquez sur OK, cliquez de nouveau sur OK.
- Double-cliquez sur la connexion sans fil.
- Dans le texte Clé de réseau, spécifiez la clé de l'AP qui va être utilisé.
- Re-entrer la clé dans le réseau Confirmez-clés de texte.
- Cliquez sur OK.
Comprendre l'authentification IEEE 802.1X
Vous pouvez traiter les faiblesses du protocole WEP en utilisant l'authentification IEEE 802.1X. Avec l'authentification IEEE 02.1X, WEP peut changer sur une base régulière ses clés de chiffrement. Cela rend plus complexe pour un intrus de casser le cryptage WEP.
Authentification 802.1X utilise le protocole d'authentification extensible (EAP) de fournir authentifié la communication entre le client, le point d'accès sans fil (WAP), et un accès à distance Dial-In User Server (RADIUS) service. L'Extensible Authentication Protocol (EAP) est un Internet Engineering Task Force (IETF) standard de protocole. Pour fournir une authentification sécurisée, le protocole EAP produit régulièrement une nouvelle clé de chiffrement. Cela a pour effet de réduire la vulnérabilité des protocole WEP.
L'authentification des composants utilisés dans le processus d'authentification 802.1X:
- D'authentification EAP-TLS: Avec l'authentification EAP-TLS, certificats de clés publiques sont utilisées pour authentifier le service RADIUS, et le client. D'authentification EAP-TLS est donc une méthode d'authentification plus forte que l'authentification PEAP. Pour mettre en œuvre l'authentification EAP-TLS, vous avez besoin d'utiliser une infrastructure à clé publique (PKI).
- Protected EAP (PEAP) authentification: Si EAP-TLS utilise des certificats de clé publique pour authentifier les clients, l'authentification PEAP utilise un nom d'utilisateur et mot de passe pour authentifier les clients. EAP-TLS est donc la méthode d'authentification forte pour authentifier les clients sans fil. Un avantage de l'utilisation de l'authentification PEAP est qu'il est facile à mettre en œuvre. Lorsque PEAP authentification RADIUS et le service sont utilisés ensemble, les clés de cryptage doivent être changées sur une base régulière. Cela garantit que le cryptage WEP ne peuvent pas être facilement cassé. Le processus d'authentification PEAP a les deux étapes suivantes:
- Le serveur RADIUS est authentifié par l'examen de son certificat de clé publique. A Transport Layer Security (TLS) session est établie entre le client et le serveur RADIUS.
- Une autre méthode EAP PEAP à l'intérieur de la session authentifie le client vers le service RADIUS.
- RADIUS service: Le service RADIUS est principalement utilisé pour authentifier les utilisateurs des lignes, et peut être utilisé pour authentifier les utilisateurs sans fil quand ils tentent de se connecter au réseau. L'un des principaux avantages de l'utilisation du service RADIUS est que l'authentification de l'utilisateur pour les réseaux sans fil sont centralisées. Quand un client envoie une requête pour établir une connexion, le service RADIUS vérifie l'identité du client par la recherche d'un match dans sa base de données d'authentification. Vous pouvez également configurer un délai maximum de session qui oblige les clients à consulter régulièrement ré-authentifier le service RADIUS. Au cours de ré-authentification, un nouveau secret partagé est générée, ce qui rend plus difficile pour les attaquants de déchiffrer la clé secrète partagée.
La terminologie généralement utilisée lors de l'examen de l'authentification 802.1X est indiqué ci-dessous.
- Port; un seul point de connexion au réseau.
- Extensible Authentication Protocol Over LAN (EAPOL), la définition standard 802.1X EAP pour encapsuler le trafic pour lui permettre d'être traitées par le service MAC LAN.
- Extensible Authentication Protocol over Wireless (EAPOW); EAPOL messages qui figurent sur les cadres sans fil 802.11.
- Serveur d'authentification, le serveur vérifie si le supplicant (voir ci-dessous) est autorisé à accéder à l'authentificateur
- Port d'accès entité (PAE), le contrôle des protocoles et des algorithmes de technologies d'authentification sur le port.
- Authenticator PAE; met en œuvre l'authentification avant d'autoriser l'accès aux ressources qui existent au-delà du port.
- Supplicant PAE; accès aux ressources qui sont autorisées par l'authentificateur.
Le processus qui se produit quand un client essaie de se connecter à un réseau sans fil qui utilise l'authentification 802.1X est expliqué suivante:
- Le client tente de se connecter au SSID du point d'accès sans fil (WAP).
- Le client doit s'authentifier sur le réseau partagé WAP si l'authentification est activée. Le réseau clé est utilisée pour authentifier le client.
- Le WAP envoie un défi pour l'authentification du client.
- Le WAP suivante crée un canal afin de permettre au client de communiquer directement avec le service RADIUS.
- Lorsque le client d'abord en interaction avec le serveur RADIUS, il doit d'abord vérifier que le serveur RADIUS est, en fait, qui il est. Pour vérifier l'identité du serveur RADIUS, le client vérifie le certificat de clé publique du serveur RADIUS.
- Une fois que le client a vérifié l'identité du serveur RADIUS, le client doit utiliser l'authentification 802.1X pour l'authentification RADIUS pour le service.
- Si le service RADIUS et le client est configuré pour utiliser l'authentification EAP-TLS, certificats de clés publiques sont utilisées pour authentifier le client pour le service RADIUS.
- Si le service RADIUS et le client est configuré pour utiliser Protected EAP (PEAP) l'authentification, puis Transport Layer Security (TLS) session est établie entre le client et le service RADIUS. Une fois le protocole Transport Layer Security (TLS) session est établie, le client commence à l'envoi de la sécurité de ses pouvoirs au service RADIUS.
- Lorsque le service RADIUS reçoit les lettres de créance du client, il vérifie les pouvoirs reçus à son répertoire.
- L'accès est accordé au client lorsque les suivantes:
- Le service RADIUS est capable d'authentifier les lettres de créance du client par l'intermédiaire de sa base de données d'authentification.
- La politique d'accès permet au client d'établir une connexion.
- À ce stade, le service RADIUS envoie la dynamique de secret partagé à l'AMP, le WAP et l'informe que l'accès a été accordé pour le client.
- Le secret partagé est utilisé pour chiffrer et déchiffrer les communications échangées entre le client et le WAP.
Wi-Fi Protected Access (WPA) Overview
Wi-Fi Protected Access (WPA) a été élaboré par la Wi-Fi Alliance pour traiter quelques-unes des faiblesses du protocole WEP. WPA peut utiliser les mêmes mécanismes d'authentification et d'algorithmes de cryptage comme le protocole WEP. Cela permet un certain degré de soutien à ajouter WPA avec seulement une simple mise à niveau du microprogramme.
Les deux méthodes de cryptage qui peut être utilisé avec WPA sont les suivants:
- Temporal Key Integrity Protocol (TKIP): Bien que WEP utilise également le protocole TKIP algorithme de chiffrement, l'utilisation de TKIP est améliorée par WPA. Lorsque WPA TKIP et sont utilisées, TKIP génère une clé de chiffrement unique pour chaque cadre. Avec WPA, des vecteurs d'initialisation (IVs) sont moins utilisées régulièrement ce qui rend très difficile pour un intrus de casser le chiffrement.
- Advanced Encryption System (AES): Le Advanced Encryption System algorithme de chiffrement est plus sûre que l'algorithme de chiffrement TKIP. La chute de l'algorithme de cryptage AES est que vous devez mettre à jour votre matériel à l'appui de l'algorithme.
Les principaux avantages de l'utilisation de cryptage WPA sont résumées ci-dessous:
- WPA offre une meilleure sécurité que ce que le WEP ne.
- WPA utilise une clé de chiffrement unique pour tous les paquets qui sont transmis.
Les principaux inconvénients de cryptage WPA sont résumées ci-dessous:
- Certains matériels de réseau sans fil ne prend pas en charge WPA. WEP, d'autre part, est généralement pris en charge.
- Windows 2000 et toutes les versions antérieures ne tiennent pas compte de soutien intégré pour WPA.
- Vous devez configurer manuellement WPA sur Windows XP.
La planification de la sécurité sans fil
Un certain nombre de questions qui doivent être éclaircies lors de la planification de la sécurité sans fil sont les suivantes:
- Déterminez si le Wi-Fi Protected Access (WPA) ou le protocole Wired Equivalent Privacy (WEP) est le protocole utilisé.
- Si vous choisissez d'utiliser le protocole WAP, de déterminer si votre matériel doit être mis à jour prise en charge de WPA.
- Si vous choisissez d'utiliser le protocole WEP, de déterminer si 64-bit ou 128-bits est utilisée.
- Déterminer si l'authentification 802.1X seront utilisés.
- Déterminer si les clients sans fil utilisent IPSec.
- Déterminer si filtrage par adresse MAC sera utilisée pour limiter l'accès sans fil basée sur les adresses MAC.
- Déterminer si la stratégie de groupe seront utilisées pour configurer les paramètres de sécurité de client sans fil, ou si elle sera configurée manuellement.
- Déterminez si votre réseau sans fil de la stratégie de sécurité implique un contrôle de l'activité du réseau sans fil, et si oui, comment et quand allez-vous contrôler le trafic sur le réseau sans fil.
Best Practices for Securing Wireless Networks
Les meilleures pratiques recommandées pour sécuriser les réseaux sans fil sont résumées ci-dessous. Avant de mettre en œuvre des technologies de sécurité réseau sans fil de réduire les menaces à la sécurité des réseaux sans fil, tenir compte de ces meilleures pratiques:
- Étudier les différentes fonctionnalités de sécurité disponibles des appareils sans fil afin de déterminer si l'un de ceux-ci respectent les exigences de sécurité que vous avez définis.
- Déterminer sur une base régulière, si des fournisseurs sans fil ont publié des mises à jour du firmware. Appliquer toutes les mises à jour du firmware de votre sans fil.
- Si possible, placez les dans un réseau sans fil sans fil zone démilitarisée (WDMZ). Un routeur ou un pare-feu doit isoler le réseau de l'entreprise privée de la WDMZ.
- DHCP ne doit pas être utilisé dans le WDMZ.
- Utilisation prolongée masque de sous-réseau pour limiter le nombre d'hôtes.
- Si possible, l'achat d'un AP qui vous permet de minimiser la taille de la zone sans fil grâce à une modification de la puissance de sortie. AP devrait être placé au centre d'un bâtiment, et ne devraient pas être placées près des fenêtres.
- Si vos besoins en matière de sécurité imposent un haut niveau de sécurité sans fil, assurez-vous que les périphériques sans fil de soutien suivants:
- Authentification 802.1X utilisant Extensible Authentication Protocol (EAP) d'authentification.
- Temporal Key Integrity Protocol (TKIP)
- Si possible, vous devriez utiliser IPSec pour sécuriser les communications entre l'AP et le serveur RADIUS.
- Il est recommandé que WAPs et de soutenir les cartes suivantes:
- Mises à jour du firmware
- WEP en utilisant le cryptage 128-bit
- Désactivation de SSID émissions
- Filtrage MAC pour restreindre l'accès sans fil basée sur les adresses MAC.
- Achat appareils qui prennent en charge des clés WEP dynamique, si possible. Vous devez également vous assurer que toutes les clés WEP statiques sont en rotation.
- Pour WAPs, les meilleures pratiques sont les suivants:
- Changer le mot de passe d'administration par défaut qui est utilisé pour gérer l'AP à un complexe, mot de passe fort.
- Changez le SSID par défaut de l'AP ainsi.
- Le SSID doit pas contenir les éléments suivants:
- Le nom de la société.
- L'adresse de l'entreprise.
- Toute autre information d'identification du type
- Pour protéger le réseau de mécanismes d'étude de site, de désactiver SSID émissions.
- Il est recommandé de ne pas utiliser DHCP pour les clients sans fil. Vous devez absolument pas utiliser le DHCP SSID si les émissions sont autorisées.
- Il est recommandé de ne pas utiliser le cryptage à clé partagée, car elle mène à la compromission de la clé WEP.
- Pensez à permettre le filtrage MAC.
- Il est recommandé d'utiliser au moins WEP sur aucun réseau sans fil de la mise en œuvre des mesures de sécurité à tous.
Mise en œuvre et configuration de sécurité sans fil
La mise en œuvre et la configuration de la sécurité sans fil peut être décomposé en étapes suivantes:
- Planifiez votre stratégie de sécurité sans fil.
- Plan d'accès sans fil de votre politique.
- Créez la configuration qui force les utilisateurs et les ordinateurs d'être autorisé avant qu'ils puissent accéder au réseau sans fil.
- Plan du certificat infrastructure.
- Mettre en place une PKI, si nécessaire.
- Configurez vos serveurs ISA:
- Attribuer un certificat
- Créer des stratégies d'accès distant (PAR).
- Configurer les paramètres de sécurité pour WAPs
- Configurer les adresses IP des serveurs IAS pour la WAPs.
- Configurer les clients sans fil avec le SSID.
- Configurer les paramètres de sécurité pour les clients sans fil.
Lorsque vous planifiez vos politiques d'accès sans fil, vous devez vous assurer que les exigences de vos points d'accès sans fil (WAPs) sont les suivantes:
- Authentification: Vous devez configurer que tous les utilisateurs du sans-fil doit être authentifié soit par EAP-TLS ou PEAP.
- Chiffrement: Vous devriez toujours choisir le plus haut niveau de cryptage.
- Votre WAPs devrait être situé dans un espace de sécurité, protection de l'environnement.
- Vous devez définir les conventions de nommage pour les SSID.
Les principaux paramètres de configuration que vous devez spécifier lorsque vous configurez vos points d'accès sans fil (WAPs) sont énumérés ci-dessous:
- Définissez la méthode de cryptage que le cryptage WEP ou cryptage WPA.
- Préciser le niveau de cryptage.
- Définir l'authentification 802.1X.
- Définir la méthode d'authentification.
- Configurer le serveur RADIUS IAS 'adresse IP.
- Définissez la clé partagée qui correspond à le secret partagé qui a été défini lors de l'IAS a été configuré.
Comment faire pour configurer le réseau sans fil de sécurité, en utilisant la stratégie de groupe
Avec Windows Server 2003, la configuration du réseau sans fil est intégrée à la stratégie de groupe. Vous pouvez définir réseau sans fil (IEEE 802,11) pour la politique:
- Les contrôleurs de domaine
- Domaine
- Unités de l'organisation
- Des comptes d'ordinateur
Pour configurer le réseau sans fil de sécurité,
- Ouvrez une console MMC vide.
- Ajouter le GPEdit composant logiciel enfichable à la console.
- Ouvrez le GPO.
- Dans l'arborescence de la console, développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité.
- Sélectionnez Réseau sans fil (IEEE 802.11) Policies.
- Cliquez-droit sur réseau sans fil (IEEE 802.11) Politiques et puis sélectionnez Créer un réseau sans fil de la politique dans le menu.
- La politique de réseau sans fil s'affiche.
- Cliquez sur Suivant dans l'écran initial de la politique de l'Assistant réseau sans fil.
- Entrez un nom et une description de la nouvelle politique en matière de réseaux sans fil sur le réseau sans fil Nom de stratégie de la page. Cliquez sur Suivant.
- Cliquez sur la case à cocher Modifier les propriétés.
- Cliquez sur Terminer.
- La boîte de dialogue Propriétés s'ouvre automatiquement.
- Dans l'onglet Général, vous pouvez définir les paramètres de configuration de sécurité suivantes:
- Dans les réseaux pour accéder à la liste, spécifiez les types de réseau que le client est autorisé à se connecter à.
- Pour empêcher les clients de se connecter aux réseaux sans fil non sécurisé, vérifiez que le connecter automatiquement à la non-Preferred Networks case à cocher est désactivée.
- Passez à l'onglet Réseaux préférés.
- Cliquez sur le bouton Ajouter.
- Le Nouveau Réglage Préféré boîte de dialogue Propriétés s'ouvre. C'est l'endroit où les éléments suivants sont configurés:
- Le SSID par défaut de l'organisation.
- Activer / désactiver le WEP.
- Activer / désactiver le mode d'authentification partagée.
- Précisez si la clé WEP est offerte automatiquement.
- Désactiver le mode Infrastructure.
- Les paramètres généralement configuré sur le réseau de l'onglet Propriétés New Preferred boîte de dialogue Propriétés de Configuration sont:
- Le Data Encryption (WEP activé) est cochée.
- La clé est fournie automatiquement est cochée.
- Le Réseau d'authentification est laissée à la case de sa valeur par défaut de ne pas sélectionné.
- Cliquez sur l'onglet IEEE 802.1X sur le Nouveau Réglage Préféré boîte de dialogue Propriétés.
- Cliquez sur Activer le contrôle d'accès au réseau IEEE 802.1X l'aide de case à cocher pour sélectionner cette configuration.
- Dans la liste Type d'EAP, sélectionner le réglage qui correspond à la mise en configurés sur le serveur IAS:
- Carte à puce ou autre certificat
- Protected EAP
- Sélectionnez Authentification de l'ordinateur lorsque l'ordinateur tant que l'information est disponible si vous souhaitez administrer l'ordinateur lorsque les utilisateurs ne sont pas connectés.
- Si vous souhaitez configurer le type EAP, cliquez sur Paramètres.
- Utilisez la boîte de dialogue pour mieux définir le type EAP que vous avez sélectionné. Cliquez sur OK.
- Cliquez sur OK pour fermer la Nouvelle Réglage Préféré boîte de dialogue Propriétés.
Comment faire pour configurer IAS
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Internet Authentication Service d'ouvrir la console Internet Authentication Service.
- Dans la console, cliquez avec le bouton droit Clients RADIUS, puis sélectionnez Nouveau client RADIUS dans le menu.
- Le nouveau client RADIUS démarrage de l'Assistant.
- Ajouter l'information sur les clients pour le point d'accès sans fil et ajouter les clients sans fil en tant que clients RADIUS. Cliquez sur Suivant.
- Sur le New RADIUS Client écran, sélectionnez l'option Standard RADIUS du client-vendeur zone de liste déroulante.
- Spécifiez le mot de passe secret partagé.
- Cliquez sur Terminer.
Comment faire pour configurer une stratégie d'accès distant pour les clients de l'IAS
- Cliquez sur Démarrer, Outils d'administration, puis cliquez sur Internet Authentication Service d'ouvrir la console Internet Authentication Service.
- Dans l'arborescence de la console, développez Internet Authentication Service.
- Sélectionnez Stratégies d'accès distant.
- Dans le volet droit, sélectionner et double-cliquez sur la politique dont vous avez besoin de configurer.
- Cliquez sur le bouton Modifier le profil.
- Cliquez sur les méthodes EAP sur l'onglet Authentification.
- Cliquez sur Ajouter dans Sélectionner les fournisseurs de PAE, sélectionnez Protected EAP (PEAP), puis cliquez sur OK.
- Maintenant, cliquez sur Protected EAP (PEAP) dans Sélectionner les fournisseurs de PAE, puis cliquez sur le bouton Modifier.
- Protected EAP La boîte de dialogue Propriétés s'ouvre.
- Utiliser le certificat délivré zone de liste déroulante, sélectionnez le certificat sur le serveur utilisera pour les clients de l'identifier.
- Cochez la case Enable Fast Reconnect.
- Dans la zone Type d'EAP, choisissez un mot de passe sécurisé (EAP-MSCHAPv2)
- Cliquez sur OK.
Utilisation de Jeu de stratégie résultant (RSoP) pour visualiser et de dépannage du réseau sans fil Politique Assignments
Jeu de stratégie résultant (RSoP) se réfère à la somme de tous les groupes politiques qui sont appliquées à un utilisateur et l'ordinateur. Cela comprend tous les filtres et les exceptions. Déterminer le Jeu de stratégie résultant d'un utilisateur ou un ordinateur peut être une expérience. Pour simplifier la gestion des politiques de groupe, et de simplifier le processus de détermination de la RSoP d'un utilisateur ou à l'ordinateur, Windows Server 2003 inclut le Jeu de stratégie résultant caractéristique à cet effet. Qu'est-ce que cela signifie est que vous pouvez créer et exécuter des requêtes RSoP dans Windows Server 2003 pour savoir ce que le Jeu de stratégie résultant d'un utilisateur ou ordinateur. Sur la base des informations spécifiées dans la requête de Jeu de stratégie résultant, RSoP recueille des renseignements sur tous les groupes politiques pour déterminer les politiques qui sont associés à un utilisateur ou d'un ordinateur, et de ses effets. Vous pouvez exécuter des requêtes RSoP sur un certain nombre de conteneurs et les objets, y compris les comptes d'utilisateurs, comptes d'ordinateurs, sites, domaines, unités organisationnelles, et les ordinateurs locaux.
Vous pouvez utiliser des requêtes pour RSoP plan politique de la cession du réseau sans fil, et pour résoudre les problèmes de réseau sans fil de la politique des affectations et des questions de priorité. Pour examiner la politique du réseau des missions dans RSoP, vous devez exécuter une requête de Jeu de stratégie résultant.
A RSoP requête est le suivant deux modes:
- Planning Mode: Ce mode vous permet de créer une requête de Jeu de stratégie résultant pour vérifier les paramètres de stratégie de groupe dans le but de simuler les effets sur les utilisateurs et les ordinateurs. RSoP mode de planification est généralement utilisé aux fins énumérées ci-dessous:
- Pour simuler la transformation GPO sur une connexion réseau lente, comme un dial-up, ADSL ou ISDN.
- Pour simuler de bouclage.
- Pour tester la priorité des GPO application.
- Logging Mode: Ce mode vous permet de déterminer ce que les paramètres de stratégie ont été appliqués à un utilisateur ou un ordinateur. RSoP logging mode est généralement utilisé aux fins énumérées ci-dessous:
- Identifier tous les paramètres de stratégie a échoué. Cela inclut les paramètres de stratégie qui ont été écrasées.
- Déterminer la manière dont les politiques locales d'affecter des paramètres de stratégie de groupe, et la manière dont certains groupes de sécurité des incidences sur l'application des paramètres de stratégie de groupe.
La façon dont vous pouvez créer une requête en utilisant la planification RSoP mode ou mode d'exploitation forestière sont énumérées ci-dessous:
- Créer une requête RSoP console, et utiliser le Jeu de stratégie résultant Assistant de préciser les paramètres ou options qui devraient utiliser la requête.
- Ouvrez la Utilisateurs et ordinateurs Active Directory console, cliquez droit sur l'objet dont vous voulez interroger, puis cliquez sur Toutes les tâches et le Jeu de stratégie résultant (planification) ou le Jeu de stratégie résultant (exploitation forestière) dans le menu.
- Ouvrez l'Sites et services Active Directory console, cliquez droit sur le site dont vous souhaitez requête, cliquez sur Toutes les tâches et le Jeu de stratégie résultant (planification) ou le Jeu de stratégie résultant (exploitation forestière) dans le menu
Comment utiliser RSoP requêtes pour évaluer la politique des missions du réseau sans fil
- Cliquez sur Démarrer, sur Exécuter, puis saisissez mmc dans la boîte de dialogue Exécuter. Cliquez sur OK.
- Dans le menu Fichier, sélectionnez Ajouter / Supprimer un composant logiciel enfichable.
- Lorsque l'option Ajouter / Supprimer un composant logiciel enfichable dans la boîte de dialogue s'ouvre, cliquez sur Ajouter.
- Lorsque le composant logiciel enfichable Ajouter la boîte de dialogue s'ouvre, sélectionnez le Jeu de stratégie résultant dans la liste, et cliquez sur Ajouter.
- Cliquez sur Fermer pour fermer le composant logiciel enfichable Ajouter la boîte de dialogue s'ouvre.
- Cliquez sur OK dans la Ajouter / Supprimer un composant logiciel enfichable dans la boîte de dialogue.
- Passez à droite, cliquez sur Jeu de stratégie résultant dans la console MMC, puis sélectionnez Générer RSoP données dans le menu.
- Le Jeu de stratégie résultant s'affiche.
- Cliquez sur Suivant dans le Welcome To The Jeu de stratégie résultant page Assistant.
- Lorsque le mode de sélection apparaît, sélectionnez le mode d'enregistrement. Cliquez sur Suivant.
- Sur la page Sélection des ordinateurs, vous pouvez choisir l'option de cet ordinateur, ou vous pouvez choisir l'option un autre ordinateur. Si vous sélectionnez l'option un autre ordinateur, cliquez sur Parcourir pour sélectionner l'autre ordinateur.
- Activer Ne pas afficher les paramètres de stratégie pour l'ordinateur sélectionné dans les résultats | Affichage des paramètres de stratégie d'utilisation seulement! case à cocher si vous voulez seulement voir les paramètres de stratégie d'utilisateur. Cliquez sur Suivant.
- Sur la page de sélection d'utilisateur, vous pouvez choisir l'option en cours d'utilisation, ou vous pouvez choisir la zone Sélectionner un utilisateur spécifique option. Si vous sélectionnez l'Sélectionner un utilisateur spécifique option, choisissez l'utilisateur de la liste.
- Activer Ne pas afficher les paramètres de stratégie d'utilisateur dans les résultats | Affichage des paramètres de stratégie de l'ordinateur seulement! case à cocher si vous voulez seulement voir les paramètres de stratégie d'ordinateur. Cliquez sur Suivant.
- Lorsque la page Aperçu des sélections s'ouvre, vérifiez que les options que vous avez choisi sont corrects.
- Cliquez sur Terminer.
- Pour afficher les résultats de la requête, cliquez sur les dossiers de l'arborescence de la console RSoP.
Suivi Connexions sans fil
Windows Server 2003 inclut le composant logiciel enfichable Moniteur sans fil à qui peut être utilisé pour surveiller l'activité sans fil. Vous pouvez utiliser le composant logiciel enfichable Moniteur sans fil pour contrôler les connexions sans fil à l'AP sur le réseau de l'entreprise. Le composant logiciel enfichable Moniteur sans fil dans des œuvres de:
- Collecte d'informations sur les AP qui sont à la portée de la carte réseau sans fil du serveur.
- Extraits des données qui ont été recueillies à l'AP.
Comment faire pour ajouter le composant logiciel enfichable Moniteur sans fil dans une MMC
- Cliquez sur Démarrer, sur Exécuter, puis saisissez mmc dans la boîte de dialogue Exécuter. Cliquez sur OK.
- Dans le menu Fichier, sélectionnez Ajouter / Supprimer un composant logiciel enfichable.
- Lorsque l'option Ajouter / Supprimer un composant logiciel enfichable dans la boîte de dialogue s'ouvre, cliquez sur Ajouter.
- Lorsque le composant logiciel enfichable Ajouter la boîte de dialogue s'ouvre, sélectionnez Wireless Monitor dans la liste, et cliquez sur Ajouter.
- Click Close to close the Add Standalone Snap-In dialog box opens.
- Click OK in the Add/Remove Snap-In dialog box.
How to monitor AP traffic
- Open the Wireless Monitor console.
- In the console tree, select Wireless Monitor.
- Locate the server on which the wireless network adapter is installed.
- If you want to monitor all those APs that are within range of the wireless network adapter of the server, click Access Point Information.
- All AP data will be displayed in the details pane of the Wireless Monitor console. The various columns that contain AP information are:
- Network Name; lists the SSIDs of the networks that are within range of the wireless network adapter.
- Network Type; lists the network mode as either Access Point or as Peer to Peer.
- MAC Address; lists the MAC address of the networks that are within range of the wireless network adapter.
- Privacy; indicates whether WEP is enabled or disabled.
- Signal Strength; indicates the signal strength being broadcast from those networks which are within range of the server’s wireless network adapter.
- Radio Channel; indicates the radio channels being used by the networks.
- Access Point Rate; indicates the data rate that the wireless network supports.
- Network Adapter GUID; shows the GUID for every existing wireless adapter.
How to monitor wireless client traffic
- Open the Wireless Monitor console.
- In the console tree, select Wireless Monitor.
- Locate the server on which the wireless network adapter is installed.
- Click Wireless Client Information.
- The data that is displayed in the details pane includes information on all traffic moving through the APs that are within range of the wireless network adapter of the server; and all traffic that the wireless network adapter detects, irrespective of whether it is moving through an AP.
- The various columns that contain wireless client information are:
- Source; displays the software which produced the event.
- Type; indicates the event type as Error, Warning, Information or Packet
- Time; displays when the event was logged.
- Local MAC Address; indicates the MAC address of the local network adapter.
- Remote MAC Address; indicates the MAC address of the remote network interface.
- Network Name; lists the SSID of the network associated with the logging of the event.
- Description; contains a brief description of the event that was logged.
|
Bookmark Wireless Connection Security

