View
76
Download
5
Category
Preview:
DESCRIPTION
Microsoft WLAN tech. 中正通訊 卓瑩鎗. Outline. Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion & Impressions Reference. 測試環境. 四台桌上型 一台筆記型 三台 AP (ASUS & D-link & SMC) Win 2003 server * 2 Win XP * 3 普通讀卡機+晶片卡. 用戶端環境. 內建 Windows WPA Client - PowerPoint PPT Presentation
Citation preview
Microsoft WLAN techMicrosoft WLAN tech..
中正通訊 卓瑩鎗
OutlineOutline Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion & Impressions Reference
測試環境測試環境四台桌上型 一台筆記型三台 AP (ASUS & D-link & SMC)Win 2003 server * 2Win XP * 3普通讀卡機+晶片卡
用戶端環境用戶端環境內建 Windows WPA Client Windows XP SP2 並使用支援 Wireless Zero
Configuration 服務的無線網路介面卡 WPA2/WPA2-PSK :下載 KB893357 安裝下載安裝 Windows WPA Client (KB826942) Windows XP Service Pack 1 (SP1) 並使用支援
Wireless Zero Configuration 服務的無線網路介面卡
安裝 安裝 KB893357KB893357
http://www.microsoft.com/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&DisplayLang=zh-tw
解決方案解決方案WPA-PSK 、 WPA2-PSK SOHO 使用
Dynamic WEP 、 WPA 、 WPA2 PEAP and passwords
不打算部署用戶端憑證沒有 AD 的中小企業可用,有 AD 更佳
PEAP and Certificate PEAP and Smart Card
安全度高、使用便利 (Certificate) 、成本較高(Smart Card)
PEAP and PasswordsPEAP and Passwords 環境需求環境需求用戶端
Windows Server 2003 、 Windows XP (Windows 2000 需更新至 SP3 含以上 )無線存取點 支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 ( 向憑證授權單位登記 )憑證授權單位 Windows Server 2003 CA ( 或使用其他受信任的 CA)
Active Directory 可以沒有,但為降低部署成本與容易管理,建議使用
PEAP and PasswordsPEAP and Passwords 的運作的運作用戶端 驗證伺服器
(IAS)1 用戶端
連接
無線存取點(AP)
2用戶端驗證 伺服器端驗證雙向驗證
4
5
3 密鑰散佈授權存取無線網路存取加密
內部網路
P@ssw0rd
先行知識先行知識IAS 是 Microsoft 的「遠端驗證撥號使用者服務 (RADIUS) 」伺服器的實作 Domain Controller Active Directory Policy桌面全黑的是 client 測試台
沒有安裝 AD ,停掉 ASP ,準備 2003 光碟01 安裝『憑證授權單位』 網際網路服務, win IIS02 設定『網際網路驗證服務』03 設定 Wireless AP 使用 WPA 驗證04 設定 Wireless Client 使用 WPA 的 PEAP 存取網路
PEAP and CertificatePEAP and Certificate 環境需求環境需求用戶端
Windows Server 2003 、 Windows XP 使用者需向 CA 登記『使用者憑證』無線存取點 支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 ( 向憑證授權單位登記 ) 加入 Active Directory Domain憑證授權單位 Windows Server 2003 Enterprise CA
Active Directory 必需要有
PEAP and CertificatePEAP and Certificate 的運作的運作用戶端 驗證伺服器
(IAS)1 用戶端
連接
無線存取點(AP)
2用戶端驗證 伺服器端驗證雙向驗證
4
5
3 密鑰散佈授權存取無線網路存取加密
內部網路由 DC 驗證
有安裝 AD ( EIAS ),停掉 ASP ,準備 2003 光碟05 架設 Enterprise CA設定 wireless users 群組06 設定自動登記伺服器與使用者憑證07 設定 IAS(下指令 gpupdate /force ,群組原則安裝整理, IAS 登錄在 AD 上,進 AP 去改 IP 設定)08 未加入 Domain 的 Client 登記憑證(因為未加入 Domain ,所以訪客不能直接去 certsrv 網站)
EAP 類型 :PEAP ,驗證方法要選 : 智慧卡或其他驗證方法09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路
PEAP and Smart CardPEAP and Smart Card 環境需求環境需求用戶端
Windows Server 2003 、 Windows XP 需安裝讀卡機裝置 ( 含驅動程式 ) 與 Smart Card 軟體 需取得管理者所核發的 Smart Card
Smart Card 註冊代理站 加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體 管理者用來為使用者製發 Smart Card 時使用無線存取點 支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS ,電腦憑證 ,加入 Active Directory憑證授權單位 Windows Server 2003 Enterprise CA 新增要發行的憑證範本
Active Directory 必需要有
PEAP and Smart CardPEAP and Smart Card 的運作的運作用戶端 驗證伺服器
(IAS)1 用戶端
連接
無線存取點(AP)
2用戶端驗證 伺服器端驗證雙向驗證
4
5
3 密鑰散佈授權存取無線網路存取加密
內部網路由 DC 驗證
微軟無線監視器微軟無線監視器Windows Server 2003 內建查看 Access Points 網路名稱、類型、 MAC 位址、私密性、訊號強度、電波頻道等資訊記錄無線用戶端資訊 ,以供故障排除使用
Conclusion & ImpressionsConclusion & ImpressionsMS 的東西表面上很簡單,實際上很複雜
,要一直反覆測試,寫成實用手冊造福後人會比較好一點中文相關文件不多,去年研討會開始的晶片卡還有一些相關知識要再深入MS 的技術問題回應很迅速我的這份 project偏重企業應用導向
參考資料參考資料Windows Server 2003 Wireless Networking
http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx
Wireless Provisioning Services Overview http://www.microsoft.com/technet/community/columns/cableguy/
cg1203.mspxWi-Fi Protected Access Data Encryption and Integrity
http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx
Wi-Fi Protected Access 2 (WPA2) Overview http://www.microsoft.com/technet/community/columns/cableguy/
cg0505.mspxWi-Fi Protected Access 2 Data Encryption and Integrity
http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx
不同解決方案的比較不同解決方案的比較解決方案 典型環境 額外需要的基礎結構
使用憑證對用戶端進行驗證使用密碼對用戶端進行驗證 典型的資料加密方式
WPA-PSK /WPA2-PSK
SOHO 無 否使用預先共用的網路金鑰(非使用者密碼 )
TKIP 、 AES
PEAP and password 中小企業 RADIUS 否 是
TKIP 、 AES 或 Dynamic WEP
PEAP and Certificate /Smart Card
中大型企業 RADIUS 與CA 是 否
TKIP 、 AES 或 Dynamic WEP
Recommended