WPA (WiFi Protected Access) - это система аутентификации и шифрования трафика, использующаяся для реальной защиты беспроводных сетей типа WiFi. Помимо WPA, существует уже устаревшая система WEP (Wired Equivalent Privacy), которая использовалась до появления WPA и обеспечивала гораздо меньшую степень защиты в виду использования статичных ключей шифрования трафика.

В отличие от WEP, WPA не использует единый статичный ключ для шифрования трафика для всей сети, что позволяет серьезно упростить администрирование такой сети (при смене ключа не нужно перенастраивать все оборудование и рабочие станции) и повысить безопасность, поскольку ключ шифрования периодически меняется самим оборудованием.

Итак, перечислим недостатки WEP:

1. Сложность администрирования - единый ключ, который нужно прописывать на всем оборудовании и периодически менять в целях безопасности.
2. Невозможность оперативного отключения абонента - нужно изменять ключ для всей сети, что вызовет необходимость его смены на всем оборудовании.
3. Низкая стойкость к дешифрации - ключ не меняется долгое время, соответственно, его можно подобрать и получить возможность перехватывать пакеты.

Эти недостатки устраняет протокол WPA, который вводит в работу беспроводной сети процедуры аутентификации пользователя и автоматической периодической смены ключа шифрования трафика.

Аутентификация реализуется через использование протокола IEEE 802.1x, а периодическая смена ключа шифрования - через протокол TKIP (Temporal Key Integrity Protocol).

При использовании WPA в среде Active Directory процедура подключения нового абонента беспроводной сети выглядит следующим образом:

1. Получение и установка на компьютере пользователя сертификата пользователя и компьютера.
2. Настройка политики удаленного доступа таким образом, чтобы разрешить этому пользователю доступ через беспроводную сеть.

После этого начало работы пользователя в беспроводной сети будет следующим:

1. Ассоциация с точкой доступа - точка доступа создает ассоциацию с фильтрацией пакетов на втором уровне с тем, чтобы пользователь мог обратиться к RADIUS-серверу и аутентифицироваться.
2. Аутентификация через RADUIS-сервер по протоколу EAP (Extensible Authentication Protocol) с использованием сертификата компьютера и пользователя.
3. Допуск пользователя к работе в беспроводной сети в соответствии с политикой удаленного доступа.
4. Периодическая смена ключа шифрования трафика.

Для использования WPA в среде Active Directory требуется Certificate Authority (CA) и RADUIS-сервер, роль которого выполняет Internet Authentication Service (IAS), и то и другое является стандартными компонентами Windows Server 2000 и выше (за исключением Windows Server 2003 Web Edition). Процедура установки обоих довольно проста, IAS устанавливается по умолчанию, а CA устанавливается в режиме Enterprise Root CA.

В случае использования Windows 2000 для сервера ISA и клиентских компьютеров требуется минимум SP3 и установленный клиент для сетей 802.1x (Microsoft 802.1x Authentication Client).

После установки CA следует получить сертификат пользователя и компьютера. Для этого, используя учетную запись с правами локального администратора, запускаем на рабочей станции mmc.exe и добавляем туда оснастки "Сертификаты->Учетной записи пользователя" и "Сертификаты->Учетной записи компьютера". Затем в подпапке "Личные" нажимаем правую кнопку и выбираем "Все задачи->Запросить новый сертификат", сертификат будет получен на CA и установлен в хранилище сертификатов на локальном компьютере.

Аналогичную процедуру нужно повторить для подпапки "Личные" в разделе сертификатов беспроводной рабочей станции, а также IAS-сервера, поскольку в ходе двухсторонней аутентификации не только сервер проверяет подлинность клиента, но и клиент проверяет подлинность сервера. Для автоматической выдачи сертификатов можно настроить групповую политику для использования процедуры "Automatic Certificate Enrollment".

Данные сертификаты будут использованы для работы протокола EAP, т.е. для аутентификации компьютера и пользователя через протокол 802.1x.

Теперь перейдем к настройке службы IAS (которая играет у нас роль RADIUS-сервера). На службе IAS нужно создать специальную политику для пользователей, использующих беспроводную сеть. В требованиях политики нужно добавить два пункта: "NAS-Port-Type", который должен соответствовать "Wireless - IEEE 802.11", и "Windows-Groups", куда следует внести группу, содержащую только пользователей беспроводного доступа, ну и, конечно же, указать, что данная политика разрешает доступ.

Затем следует связать RADIUS-сервер с точкой доступа. По отношению к RADIUS точка доступа является клиентом, поэтому в папке "Клиенты" RADIUS-сервера нужно создать запись для точки доступа, где указать ее IP-адрес и общий пароль. На точке доступа следует указать IP-адрес RADIUS-сервера и общий пароль, который будет использоваться для шифрования всего "общения" точки доступа с RADIUS-сервером.

Вот, в общем-то, и все, что нужно настроить для использования WPA в среде Active Directory. Теперь достаточно на рабочей станции выбрать беспроводную сеть, указать, что будет использоваться WPA (не путать с WPA-PSK - это совсем другое), и выбрать сертификат, который будет использоваться для аутентификации. Для настройки клиентов на беспроводную сеть можно использовать и групповую политику.

Нетрудно заметить, что при использовании WPA вообще отсутствует общий ключ шифрования, и перед тем, как пользователь получит доступ в беспроводную сеть, будет проверена его аутентичность и действительность как пользователя Active Directory. Это значительно упрощает администрирование корпоративных беспроводных сетей, поскольку в ходе плановой замены не нужно изменять ключ на каждой рабочей станции, а доступ определенных рабочих станций можно оперативно блокировать просто отключением учетной записи в Active Directory, отменой сертификата на CA (revoke) и перезагрузкой точки доступа.

Детальные инструкции по настройке WPA в среде Active Directory на английском языке можно получить через поиск по ключевым словам "Enterprise Deployment of Secure 802.11 Networks" на сайте www.microsoft.com.

Алексей ГРЕЧАНИНОВ,
портал IT'шников Беларуси www.administrators.ws