Введение

Беспроводные локальные сети с беспроводным интернетом являются идеальным выбором для обеспечения подключений компьютеров к сети без необходимости организации физического соединения между ними. Однако это преимущество беспроводной сети делает ее уязвимой для несанкционированного доступа.

Корпорация Microsoft осознала потенциальную угрозу безопасности такой сети и совместно с другими ведущими производителями и разработчиками стандартов ведет работы по обеспечению ее защиты. Результатом этих работ явилось добавление новых функциональных возможностей и улучшений в операционные системы Microsoft Windows Server 2003 и Windows XP Professional, Windows Vista, которые предоставляют безопасное, масштабируемое, основанное на стандартах решение для беспроводной сети.

Беспроводные локальные сети на платформе Microsoft обладают следующими характеристиками:

• Высокая безопасность
• Экономическая эффективность
• Управляемость
• Соответствие стандартам

Масштабируемое, основанное на стандартах решение с повышенной безопасностью

Платформа Windows поддерживает множество решений: от проверки пароля до проверки подлинности на основе сертификатов, что позволяет построить решение, полностью удовлетворяющее любым потребностям.

Проверка подлинности на основе сертификатов в беспроводной сети
В Windows Server 2003, Windows 2000 Server, Windows XP, Windows Vista имеется встроенная поддержка стандарта управления доступом к сети 802.1X. В стандарте 802.1X используется протокол EAP-TLS (Extensible Authentication Protocol-Transport Security), разработанный корпорацией Microsoft и принятый в качестве стандарта IETF (Internet Engineering Task Force). Протокол EAP-TLS обеспечивает взаимную проверку подлинности между клиентом и сервером проверки подлинности. После завершения проверки подлинности протоколом 802.1X начинается создание динамических ключей шифрования. В протоколе EAP-TLS для взаимной проверки подлинности используются цифровые сертификаты. Цифровые сертификаты могут храниться на смарт-картах или на компьютере клиента.

Проверка подлинности на основе пароля в беспроводной сети
Для обеспечения безопасности беспроводных сетей без развертывания инфраструктуры открытых ключей корпорация Microsoft предоставляет протокол PEAP (Protected Extensible Authentication Protocol), поддерживаемый в Windows Server 2003 и Windows 2000 Server. По протоколу PEAP создается зашифрованный туннель безопасности TLS (Transport Layer Security) между клиентом и сервером проверки подлинности. Впоследствии этот туннель обеспечивает безопасность при проверке подлинности пользователей. Корпорацией Microsoft для протокола PEAP реализована поддержка протокола проверки подлинности пользователей MS-CHAP (Microsoft Challenge Handshake Authentication Protocol версии 2), что позволяет использовать традиционные учетные записи и пароли домена Windows, если не планируется использование сертификатов.

Средства, необходимые для построения безопасной и экономически эффективной беспроводной сети

Клиентская операционная система

Windows XP Professional с установленным пакетом обновлений SP2 или Windows Vista.

Протокол защищенного доступа Wi-Fi (Wi-Fi Protected Access, WPA)
Улучшенную проверку подлинности можно реализовать с помощью протокола WPA или WPA версии 2. WPA особенно удобно использовать в домашних условиях или в небольших офисах, поскольку его можно настроить для работы без использования сервера RADIUS.

Служба автоматической настройки (Wireless Zero Configuration) упрощает подключение
На основе сведений, полученных от сетевого адаптера клиентского компьютера, выбираются доступные беспроводные сети и выполняется автоматическая настройка подключения к нужной сети, не требующая вмешательства пользователя.

Взаимная проверка подлинности для защиты клиента
Взаимная проверка подлинности позволяет защитить от угрозы безопасности как компьютер сотрудника, так и сеть организации.

Служба проверки подлинности в Интернете (IAS/RADIUS)

Основным требованием развертывания стандарта 802.1X и сетей с включенным протоколом PEAP является наличие сервера проверки подлинности по протоколу RADIUS (Remote Authentication Dial-in User Service).

Windows Server 2003 поставляется со службой проверки подлинности в Интернете (Internet Authentication Service, IAS). Microsoft IAS - это полноценный RADIUS-сервер. Служба проверки подлинности в Интернете (IAS), полностью интегрирована со службой каталогов Active Directory, что позволяет выполнять проверку подлинности и управление политиками удаленного доступа. Интеграция IAS и Active Directory предоставляет следующие возможности:

• централизованная проверка подлинности и авторизация доступа к сети, в результате чего к различным точкам беспроводного доступа, к локальным проводным сетям и шлюзам VPN применяется один набор правил;
• использование детальных политик для проверки доступа к сети на основе атрибутов, таких, как принадлежность к группам, время дня и тип проверки подлинности.

Служба проверки подлинности (Internet Authentication Service, IAS) собирает записи об использовании ресурсов со всех серверов доступа и сохраняет сведения для аудита. Служба IAS Windows Server 2003 поддерживает формат файла журнала, допускающий непосредственный импорт в базу данных Microsoft SQL Server. Можно выполнять анализ данных с помощью стандартных приложений анализа данных, предоставляющих детальные сведения о действиях и широкие возможности работы с учетными записями и отчетами для больших беспроводных сетей.

Служба каталогов Active Directory

Управление учетными записями пользователей является необходимым требованием при развертывании беспроводных сетей.

Служба каталогов Active Directory предоставляет централизованную базу данных учетных записей пользователей, средства управления разрешениями и администрирования.

Удобство администрирования достигается с помощью применения групповых политик. Групповые политики службы каталогов Active Directory предоставляют администратору полный контроль над учетными записями пользователей и возможность централизованного управления параметрами безопасности.

Автоматическое получение и возобновление сертификатов удостоверяющим центром через групповые политики автоматизирует установку и возобновление истекших сертификатов компьютеров и пользователей

Инфраструктура открытых ключей (Public Key Infrastructure, PKI)

 Удостоверяющий центр (Microsoft Certificate Authority) Windows Server 2003 интегрирован со службой каталогов Active Directory, что позволяет использовать сертификаты X.509 версии 3 для создания инфраструктуры открытых ключей для всего предприятия.

Инфраструктура открытых ключей обеспечивает надежность способов проверки подлинности компьютеров и пользователей, а использование ключей шифрования и цифровых подписей позволяет конфиденциально обмениваться данными.

Цифровые сертификаты идентифицируют как отдельных пользователей, так и целые организации и могут быть сохранены в службе каталогов. Например, в службе каталогов Active Directory могут храниться сертификаты и при при необходимости может выполняться их отзыв.

Преимущества продуктов корпорации Microsoft для построения беспроводных сетей

Сетевые технологии корпорации Microsoft в целях экономии средств, упрощения использования и администрирования сети поддерживают одну и ту же инфраструктуру для построения беспроводных сетей, виртуальных частных сетей и локальных сетей. Платформа Windows упрощает управление сетью посредством использования стандартного клиента и тесной интеграции служб безопасности и проверки подлинности. При низкой совокупной стоимости владения сетевые технологии Microsoft предоставляют следующие возможности:

• Единый вход в систему
• Использование одного клиента для доступа ко всем сетям
• Централизованная проверка подлинности

РАССЧИТАТЬ СТОИМОСТЬ РЕШЕНИЯ