WPA2-EAP वायरलेस नेटवर्क नेटवर्क नेटवर्क सर्वर (NPS), AD और समूह नीतियों का उपयोग कैसे करें - कैसे

WPA2-EAP वायरलेस नेटवर्क नेटवर्क नेटवर्क सर्वर (NPS), AD और समूह नीतियों का उपयोग कैसे करें

मैंने हाल ही में अपने वायरलेस नेटवर्क को RADIUS / IAS से विंडोज 2003 में PKI के साथ विंडोज 2008 R2 में माइग्रेट किया है। मुझे इसकी तह तक पहुंचने में थोड़ा समय लगा इसलिए मैंने सोचा कि मैं दूसरों की मदद करने के लिए कैसे-कैसे लिखूंगा।

आवश्यकताएँ:

# एक या अधिक 802.1X- सक्षम 802.11 वायरलेस एक्सेस पॉइंट (APs)।

# समूह नीति के साथ सक्रिय निर्देशिका

# एक या अधिक नेटवर्क नीति सर्वर (NPS) सर्वर।

# एनपीएस कंप्यूटर / आपके वायरलेस पीसी के लिए सर्वर सर्टिफिकेट के लिए पीकेआई पर आधारित एक्टिव डायरेक्ट्री सर्टिफिकेट सर्विसेज

मान्यताओं:

यह मानता है कि आपको अपने वायरलेस एक्सेस पॉइंट को सेट करने और सर्वर की भूमिकाएं स्थापित करने का कुछ ज्ञान है। यह भी मानता है कि आपने अपने सक्रिय निर्देशिका डोमेन पर पहले ही एंटरप्राइज पीकेआई स्थापित कर लिया है (विंडोज के लिए नोट एंटीकैप पीकेआई को विंडोज सर्वर ओएस के एंटरप्राइज संस्करण की एक प्रति की आवश्यकता है)

कुल 10 कदम

चरण 1: अपने वायरलेस एक्सेस पॉइंट को कॉन्फ़िगर करें


IOS 12.3 JED (या ऐसा ही कुछ) चलाने वाले सिस्को 1200 सीरीज़ एक्सेस पॉइंट्स हैं। मैंने इन पहुँच बिंदुओं को निम्न पर सेट किया है:

1) एसएसआईडी प्रसारित करें
2) एन्क्रिप्शन के लिए एईएस-सीसीएम सिफर का उपयोग करें
3) WPA2 (अनिवार्य) का उपयोग करें
4) देशी वलान का उपयोग करें।
5) एक साझा रहस्य सेट करें जिसका उपयोग आप एनपीएस रेडियस सर्वर के साथ करेंगे।

TKIP के साथ दरार के रूप में उजागर किया जा रहा है:

http://www.andybrain.com/qna/2009/08/30/tkip-wireless-encryption-has-been-cracked-use-wpa2-aes-encryption-instead/

मैं आपके एन्क्रिप्शन साइफर के रूप में AES के साथ WPA2-EAP का उपयोग करने की सलाह देता हूं। आप अनुलग्नक में मेरी सिस्को सेटिंग्स के सारांश के साथ एक तस्वीर देख सकते हैं:

चरण 2: अपने सर्वर पर एनपीएस स्थापित करें

Windows 2008 या 2008 R2 पर सर्वर प्रबंधक खोलें और:

1) "नेटवर्क पॉलिसी और एक्सेस सर्विसेज" भूमिका जोड़ें

भूमिका सेवाओं के तहत जोड़ें:

* नेटवर्क नीति सर्वर
* रूटिंग और रिमोट एक्सेस सर्विसेज

जब तक आप नेटवर्क एक्सेस प्रोटेक्शन का उपयोग क्वारंटनिंग करने के लिए नहीं करते हैं और नेटवर्क हेल्थ चेक दूसरों के साथ परेशान नहीं करते हैं।

चरण 3: एनपीएस पर रेडियस ग्राहक सेट करें


एनपीएस कंसोल खोलें। "रेडियस क्लाइंट" पर राइट क्लिक करें, फिर "न्यू" पर क्लिक करें।

मैत्रीपूर्ण नाम, पता के लिए फ़ील्ड भरें और फिर आपके द्वारा एक्सेस बिंदु पर कॉन्फ़िगर किए गए साझा रहस्य को जोड़ें।

आप अटैचमेंट में देख सकते हैं कि आपको दायर की गई तस्वीरों की एक तस्वीर भरनी है।

चरण 4: एनपीएस सर्वर पर 802.1x कॉन्फ़िगर करें (part1)


सर्वर मैनेजर में, "रोल्स" खोलें, फिर "नेटवर्क पॉलिसी और एक्सेस सर्विसेज" पर फिर एनपीएस (लोकल) पर क्लिक करें।

मानक कॉन्फ़िगरेशन के तहत दाहिने हाथ के फलक में "802.1x वायरलेस या वायर्ड कनेक्शन के लिए रेडियस सर्वर" चुनें, फिर विज़ार्ड आधारित कॉन्फ़िगरेशन शुरू करने के लिए "802.1X कॉन्फ़िगर करें" पर क्लिक करें।

संलग्नक देखें

चरण 5: NPS सर्वर पर 802.1x कॉन्फ़िगर करें (part2) WIZARD :)

1. शीर्ष रेडियो बटन का चयन करें "सुरक्षित वायरलेस कनेक्शन" अगले पर क्लिक करें

2. निर्दिष्ट करें 802.1X Swtiches पृष्ठ पर एपी की जांच करें कि आपने रेडियस ग्राहकों के तहत कॉन्फ़िगर किया है, उस सूची में हैं फिर अगले पर क्लिक करें।

3. अब प्रमाणीकरण विधि। ड्रॉप डाउन सूची से उस विधि का चयन करें जिसका आप उपयोग करना चाहते हैं। यहाँ मैं Microsoft का उपयोग कर रहा हूँ: संरक्षित EAP (PEAP)।

नोट: इस विधि के लिए एक कंप्यूटर प्रमाणपत्र और त्रिज्या सर्वर और क्लाइंट मशीन पर एक कंप्यूटर या उपयोगकर्ता प्रमाणपत्र की आवश्यकता होती है। यही कारण है कि आपको एक डोमेन PKI का उपयोग करने की आवश्यकता है :)

4. उन समूहों का चयन करें जिन्हें आप वायरलेस एक्सेस देना चाहते हैं। आप इसे उपयोगकर्ता या कंप्यूटर या दोनों द्वारा कर सकते हैं। (यदि आपके पास उन्हें AD में सेट नहीं किया गया है, तो ऐसा करें और इस चरण पर वापस आएं! :)

5. यदि आपको अगले चरण में वीएलएएन स्थापित करने की आवश्यकता है। चूंकि मैं डिफ़ॉल्ट वलान का उपयोग करता हूं इसलिए मुझे यहां कुछ भी करने की आवश्यकता नहीं थी।

6. फिर आपको सक्रिय निर्देशिका के साथ सर्वर को पंजीकृत करने की आवश्यकता है। तो एनपीएस (स्थानीय) पर राइट क्लिक करें और सक्रिय निर्देशिका में रजिस्टर सर्वर का चयन करें।

अब आपके पास एक कनेक्शन अनुरोध नीति और एक नेटवर्क नीति होनी चाहिए। एक वैकल्पिक कदम के रूप में यदि आपके पास एक्सपी क्लाइंट हैं या बाद में आप एमएस-सीएचएपी v1 को हटाना चाह सकते हैं) नेटवर्क नीति से (प्रमाणीकरण टैब के तहत) प्रमाणीकरण विधि

स्टेप 6: सर्टिफिकेट ऑटोएनरोलमेंट सेट करें

समूह नीति प्रबंधन खोलें।

1) एक नई GPO नीति बनाएं और इसे उचित रूप से नाम दें।
2) "प्रमाणित उपयोगकर्ता" को हटाने और अपने AD द्वारा बनाए गए उपयोगकर्ता और / या कंप्यूटर समूहों को जोड़ने के लिए नीति क्या लागू होती है, इसके लिए सिक्योरिटी फ़िल्टरिंग स्कोप के तहत। यह सुनिश्चित करता है कि नीति, एक बार कॉन्फ़िगर करने के बाद, केवल उन समूहों के सदस्यों पर लागू होती है।

3) समूह नीति की सेटिंग संपादित करें और यहां जाएं:

ए) कंप्यूटर कॉन्फ़िगरेशन नीतियाँ विंडोज सेटिंग्स सुरक्षा सेटिंग्स सार्वजनिक कुंजी नीतियाँ

विवरण फलक में आपको प्रमाणपत्र सेवा क्लाइंट - ऑटोइरोलमेंट पर राइट क्लिक करने की आवश्यकता है और फिर गुणों का चयन करें।

गुण संवाद बॉक्स में ड्रॉप डाउन बॉक्स से सक्षम का चयन करें और फिर अन्य बक्से में एक टिक लगाएं। यह सुनिश्चित करता है कि कंप्यूटर ADCS से एक प्रमाण पत्र के लिए ऑटोएनरोल करता है।

बी) अब कंप्यूटर कॉन्फ़िगरेशन नीतियाँ Windows सेटिंग्स सुरक्षा सेटिंग्स सार्वजनिक कुंजी नीतियाँ स्वचालित प्रमाणपत्र अनुरोध सेटिंग्स पर जाएँ।

विवरण फलक में राइट क्लिक करें और नया> स्वचालित प्रमाणपत्र अनुरोध चुनें।

यह एक विज़ार्ड खोल देगा और आप एक कंप्यूटर प्रमाणपत्र का चयन कर सकते हैं।

चरण 7: एक विस्टा (या XP) वायरलेस 802.1x GPO नीति बनाना (भाग 1)


ए) अब कंप्यूटर कॉन्फ़िगरेशन नीतियाँ Windows सेटिंग्स सुरक्षा सेटिंग्स वायरलेस नेटवर्क (IEEE 802.11) पर जाएं

Windows Vista और बाद में (यदि आपके पास केवल XP मशीनें हैं, तो केवल एक XP ही करें) राइट क्लिक करें और बनाएं। यदि आपके पास विस्टा है तो आपको एक विस्टा पॉलिसी करनी चाहिए अन्यथा विस्टा XP नीति (अनुशंसित नहीं) का उपयोग करने का प्रयास करेगा।

बी) एक नीति दर्ज करें नाम और विवरण।

ग) "जोड़ें" पर क्लिक करें और फिर एक प्रोफ़ाइल नाम दर्ज करें और फिर वायरलेस एक्सेस प्वाइंट / एस से एसएसआईडी नाम जोड़ें। सुनिश्चित करें कि टिक बॉक्स "स्वचालित रूप से कनेक्ट करें जब यह नेटवर्क सीमा में हो" टिक गया है।

चरण 8: विस्टा बनाना (या XP) वायरलेस 802.1x GPO नीति (भाग 2)


F) सिक्योरिटी टैब पर क्लिक करें

सुनिश्चित करें कि प्रमाणीकरण "WPA2-Enterprise" है और एन्क्रिप्शन "एईएस" है।

"नेटवर्क प्रमाणीकरण विधि का चयन करें" के तहत, "Microsoft: संरक्षित EAP (PEAP) चुनें।

ऑथेंटिकेशन मोड के तहत आपको यह चुनने की ज़रूरत है कि आप अपने डिजिटल सेरिटर्स के साथ कंप्यूटर और / या उपयोगकर्ताओं को प्रमाणित करना चाहते हैं या नहीं। मैं केवल एक प्रमाण पत्र के साथ कंप्यूटर को प्रमाणित करना चाहता था (जो कि AD समूह सदस्यता के अनुसार स्वतःप्रकाशित है) इसलिए "कंप्यूटर प्रमाणीकरण" चुना।

जी) "गुण" बटन पर क्लिक करें।

"वैध सर्वर प्रमाणपत्र" पर टिक करें और फिर "इन सर्वर से कनेक्ट करें" पर टिक करें। यहां NPS सर्वर का FQDN दर्ज करें।

फिर ट्रस्टेड रूट सर्टिफिकेशन अथॉरिटी के तहत, अपने रूट सीए सर्टिफिकेट पर टिक करें। फिर ओके पर क्लिक करें।

एच) दो बार ओके पर क्लिक करें।

वैकल्पिक:
I) नेटवर्क अनुमति टैब के तहत आप ग्राहकों को बुनियादी सुविधाओं के नेटवर्क तक सीमित करने के लिए टिक बॉक्स का उपयोग कर सकते हैं या यदि आप चाहें तो केवल जीपीओ प्रोफाइल नेटवर्क की अनुमति दे सकते हैं।

J) ओके पर क्लिक करें और आपने अपनी विस्टा वायरलेस पॉलिसी बनाई है!

चरण 9: एक XP वायरलेस 802.1x GPO नीति बनाएँ


एक XP पॉलिसी बनाने के लिए उसी सेटिंग्स का पालन करें जैसा कि विस्टा 7 और 8 में ऊपर वर्णित है। आपके लिए आवश्यक सामान्य विकल्प समान हैं, हालांकि यह आपको विस्टा नीति की अनुमति देने वाले कुछ अधिक उन्नत विकल्पों की अनुमति नहीं देता है।

चरण 10: अपने मशीन OU के लिए वायरलेस GPO असाइन करें

ठीक है, इसलिए अब आपने NPS, प्रमाणपत्र और अपने वायरलेस GPO को कॉन्फ़िगर कर दिया है। जो कुछ बचा है, उसे अपने ग्राहक के पीसी को अपने GPO को सौंपना है।

समूह नीति प्रबंधन में, जिस OU पर आप वायरलेस नीति निर्दिष्ट करना चाहते हैं उस पर राइट क्लिक करें और "लिंक ए मौजूदा जीपीओ ..." पर क्लिक करें।

आपके द्वारा अभी बनाया गया वायरलेस GPO चुनें और फिर समूह नीति को ताज़ा करें।

AD में बनाए गए आपके वायरलेस समूह के सदस्य नीति को चलाएंगे, कंप्यूटर सर्टिफिकेट को ऑटो-एनरोल करेंगे, अपने AP से संबद्ध करेंगे, NPS सर्वर और AD के खिलाफ प्रमाणित करेंगे, और अंत में अपने DHCP से एक IP एड्रेस चुनेंगे। सर्वर।

देखा

(और भतीजी!)

मैंने लिखा है कि यह कैसे-दूसरों को एक एंटरप्राइज़ क्लास सुरक्षित वायरलेस नेटवर्क को कॉन्फ़िगर करने में सिर शुरू करने में मदद करने के लिए है जो आपके नेटवर्क की सुरक्षा के लिए डिजिटल प्रमाणपत्र और मजबूत प्रमाणीकरण और एन्क्रिप्शन का उपयोग करता है।

यह प्रगति पर एक काम है, क्योंकि यह ज्यादातर मैंने वास्तव में इसे कॉन्फ़िगर करने के बाद लिखा था, इसलिए यह संभव है कि मुझे उपयोगकर्ता प्रतिक्रिया के आधार पर इसे संशोधित करने की आवश्यकता हो।

यहां आप एक सफल कार्यान्वयन की कामना कर रहे हैं

टीनो