4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung und zur Authentifizierung wird der Verschlüsselungsalgorithmus WPA2-Enterprise mit AES verwendet. Der Enterprise Mode bietet das höchste Maß an Sicherheit, was Sie im Wireless LAN implementieren können. Die Authentifizierung wird dabei von einem RADIUS Server übernommen. 4.2 Voraussetzungen 1x D-Link Access Point z.b. DWL-3200AP Firmware Version ab v2.40. 1x Computer mit WLAN Client 1x Windows Server 2003 inkl. IAS Optional ein Zertifikatsserver 4.3 Konfiguration Für die Konfiguration einer WLAN Verbindung mit 802.1x gehen Sie in folgendes Menü: GUI Basic Settings Wireless - 1 -
Mode SSID SSID Broadcast Channel Authentication Cipher Type Group Key Update Interval RADIUS Server RADIUS Port RADIUS Secret Bestimmen Sie hier den Betriebsmodus. Geben Sie den Namen des Netzwerks an. Geben Sie an, ob das Netzwerk bei der Suche automatisch sichtbar ist. Bestimmen Sie den Kanal für die Funkübertragung. Dies ist das Authentifizierungs-Protokoll. Wählen Sie den Algorithmus für die Verschlüsselung. Dies ist die Lebenszeit vom Gruppenschlüssel. Die IP-Adresse vom Authentifizierungsserver. Der TCP-Port, auf dem der Radius Dienst läuft. Das Passwort zwischen Access Point und Radius Server. Bei Mode wählen Sie: Access Point. Unter SSID tragen Sie z.b. wireless ein. Die SSID Broadcasts setzen Sie auf: Enable. Den Channel stellen Sie auf: z.b. 7. Als Authentication wählen Sie z.b. WPA2-Enterprise aus. Den Cipher Type stellen Sie auf: AES. - 2 -
Den Group Key Update Interval setzen Sie auf: 1800. Unter RADIUS Server tragen Sie z.b. 192.168.0.100 ein. Der Standard RADIUS Port bleibt auf: 1812. Als RADIUS Secret verwenden Sie z.b. password. Bestätigen Sie Ihre Eingabe mit Apply. Wenn Sie die Konfiguration übernehmen möchten, führen Sie folgenden Menüpunkt aus: GUI Configuration Save and Activate Nach einem Neustart ist der Access Point nach ca. 20 Sekunden bereit und hat die aktuelle Konfiguration geladen. 4.4 Konfiguration des Windows Server 2003 Unter Windows Server 2003 sollten Sie folgende Änderungen machen, um die Dienste Active Directory, Internet Authentication Server und Zertifikatsserver zu nutzen: Installieren Sie Active Directory Service als Standard installation (Domäne z.b. Neo-One). Installieren Sie den Internet Information Service (Für Zertifikate). Installieren Sie eine Organisations-Zertifizierungsstelle. Installieren Sie den Internet Authentication Server. Erstellen Sie im AD einen User z.b. user/user und geben Sie ihm Einwahl rechte. Erstellen Sie im Radius einen Client mit der IP-Adresse vom Access Point und dem Passwort z.b. password. Erstellen Sie im RADIUS eine RAS Richtlinie mit dem Assistenten: Richtlinienname: Wireless. Zugriffsmethode: Drahtlos. Zugriff gewähren für: Benutzer. EAP-Typ: PEAP. Bearbeiten Sie die Richtlinie und erteilen Sie die RAS Berechtigung. Öffnen Sie das Menü: Profil bearbeiten Authentifizierung EAP-Methoden Hinzufügen und fügen Sie Smartcard oder anderes Zertifikat hinzu. - 3 -
4.5 Wireless LAN Client Konfiguration mit PEAP Für die Konfiguration der Wireless LAN Verbindung im Client, gehen Sie unter Windows in folgendes Menü: Start Einstellungen Netzwerkverbindungen Drahtlose Netzwerkverbindung Erweiterte Einstellungen ändern Drahtlosnetzwerke Hinzufügen Netzwerkname (SSID) Netzwerkauthentifizierung Datenverschlüsselung Der Wireless LAN Netzwerkname. Wählen Sie das Authentifizierungs-Protokoll aus. Bestimmen Sie das Verschlüsselungsprotokoll. INFO Die Authentifizierung bei PEAP ist in der Regel einseitig, so dass der Client sich nur gegenüber dem Server authentifizieren muss. - 4 -
Bei Netzwerkname (SSID) tragen Sie z.b. wireless ein. Unter Netzwerkauthentifizierung wählen Sie: WPA2 aus. Die Datenverschlüsselung setzen Sie auf: AES. Klicken Sie auf die Registerkarte: Authentifizierung. EAP-Typ Geben Sie die Art der Authentifizierung an (Passwort /Zertifikate). Bei EAP-Typ wählen Sie: Geschütztes EAP (PEAP). Gehen Sie in das Untermenü: Eigenschaften. - 5 -
Serverzertifikat überprüfen Überprüfen Sie die Identität des Remoteservers. Authentifizierungsmethode Wählen Sie eine Authentifizierungsmethode aus. auswählen Konfigurieren Weitere Optionen für die Authentifizierung. Den Haken bei Serverzertifikat überprüfen: deaktivieren. Wählen Sie bei Authentifizierungsmethode wählen: Sicheres Kennwort. Im Untermenü Konfigurieren den Haken: deaktivieren. Bestätigen Sie Ihre Eingaben mit OK. Beim Verbindungsaufbau erscheint ein Login, wo Sie folgende Daten verwenden: Benutzer: user / Passwort: user / Domäne: neo-one - 6 -
4.6 Wireless LAN Client Konfiguration mit Zertifikat Nach dem Anfordern und Installieren eines Benutzerzertifikats über die Webdienste von Windows Server 2003 verfügen Sie über ein eigenes Zertifikat und das der Zertifizierungsstelle. PKCS#12 Zertifikate beinhalten alle wichtigen Daten. Für die Konfiguration der Wireless LAN Verbindung im Client, gehen Sie unter Windows in folgendes Menü: Start Einstellungen Netzwerkverbindungen Drahtlose Netzwerkverbindung Erweiterte Einstellungen ändern Drahtlosnetzwerke Hinzufügen Netzwerkname (SSID) Netzwerkauthentifizierung Datenverschlüsselung Der Wireless LAN Netzwerkname. Wählen Sie das Authentifizierungs-Protokoll aus. Bestimmen Sie das Verschlüsselungsprotokoll. - 7 -
Bei Netzwerkname (SSID) tragen Sie z.b. wireless ein. Unter Netzwerkauthentifizierung wählen Sie: WPA2 aus. Die Datenverschlüsselung setzen Sie auf: AES. Klicken Sie auf die Registerkarte: Authentifizierung. EAP-Typ Geben Sie die Art der Authentifizierung an (Passwort /Zertifikate). Bei EAP-Typ wählen Sie: Smartcard oder anderes Zertifikat. Gehen Sie in das Untermenü: Eigenschaften. - 8 -
Serverzertifikat überprüfen Vertrauenswürdige Stammzertifizierungsstellen Überprüfen Sie die Identität des Remoteservers. Wählen Sie eine vertrauenswürdige Stammzertifizierungsstelle aus. Den Haken bei Serverzertifikat überprüfen: aktivieren. Wählen Sie bei Vertrauenswürdige Stammzertifizierungsstellen: z.b. Neo-One aus. Bestätigen Sie Ihre Eingaben mit OK. Beim Verbindungsaufbau wird das eigene Zertifikat übermittelt und die Remoteidentität mit Hilfe des CA-Zertifikats überprüft. - 9 -